samba-ldap.de - desperate Administratoren

Debian 5.0 Lenny mit Samba als PDC und LDAP-Backend
=====================================================

1.0 Voraussetzungen

- Desktop oder Serverrechner mit mind. 800Mhz und 256 MB Ram
- 10/100Mbit oder 1000Mbit Netzwerkkarte (je nach Last)
- Ausreichend Platz auf der Festplatte für die servgespeicherten Benutzerprofile
sowie für den Datenserver
- Einen Testrechner um die Domänenanmeldung zu testen sowie den
LDAP-Verzeichnisdienst zu verwalten und Benutzer anzulegen

Ziel:

Am Ende der Anleitung besitzen Sie einen vollwertigen Linux Domänenkontroller
mit LDAP-Backend.

Zur Benutzerverwaltung gibt es ein Web-Frontend. Als Clients kommen in unserem
Setup Windows 2000 und Windows XP-Rechner zum Einsatz. Roaming-Profiles sind
ebenso Bestandteil eines Domänenkontrollers. Durch das LDAP-Backend lässt sich
der Verzeichnisdienst problemlos replizieren und so können auch
Backup-Domänenkontroller in das vorhandene Setup integriert werden.

Systembefehle die auf dem Server mit Rootrechten auf der Konsole ausgeführt
werden, sind mit "-#" in der Anleitung markiert.

1.1 Vorbereitungen:

Annahmen:

Server-IP: 192.168.2.15
Netmask: 255.255.255.0
Hostname: pdc
Domainname: musterfirma.com
Domäne: MUSTER
Root-Password: root
Systembenutzer: sb / sb (Initialien - Stefan Bauer)
LDAP-Admin-Benutzer: admin
LDAP-Admin-Kennwort: admin

1.2 Basisinstallation:

- Installation von Debian Lenny mit Netinstall CD
- Sprache Englisch(Fehlermeldungen logischer), Ort, Standort Deutschland
- Feste IP-Adresse für den Server oder per DHCP fest zugewiesene Adresse
- Hostname, aussagekräftig, einmalig z.B. PDC
- Domain Name - Domänenname z.B. musterfirma.com
- Debian Mirrorauswahl - lokaler Mirror oder mit vorhandene Installationsmedien
arbeiten und auf Mirror verzichten
- Partition der Festplatte laut Vorgabe (alles in eine Partition) oder nach
Wunsch auch nach eigenem Ermessen

# Basissystem wird installiert #

- Setzen des Rootpassworts "root"
- Einrichten des zusätzlichen Systembenutzers "sb" mit Kennwort "sb"

# Zusätzliche Pakete werden eingespielt #

- Am popularity-contest nehmen wir nicht teil

- Choose software to install: Lediglich Standard System - Desktop
environment abwählen

# Pakete werden ausgewählt, bezogen und installiert #

- Grub in MBR installieren (auf unserem Server sollen keine weiteren Dienste
installiert werden.

- CD entfernen, System neustarten

1.3 Fernwartungszugang installieren (openssh-server)

-# aptitude install openssh-server

- mit Putty per ssh auf 192.168.2.15 verbinden und mit root/root einloggen

Vernünftigen Editor installieren :p

-# aptitude install vim

1.4 Openldap Installation (LDAP-Backend für Samba)

-# aptitude install slapd

Administrator Password: admin
confirm password: admin

Im Anschluss passen wir die /etc/ldap/slapd.conf an.

Die einzigen Anpassungen die hier relevant sind, sind:

suffix "dc=musterfirma,dc=com"
rootdn "cn=admin,dc=musterfirma,dc=com"
rootpw admin

cn=admin bezeichnet unseren Verzeichnisadministrator, ähnlich wie root.
Das Kennwort hierfür wird auf admin gesetzt.

Die folgende Konfiguration kann 1:1 übernommen werden und enthällt alle
relevanten Einstellungen:

-- Anfang --

include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/inetorgperson.schema
#include /etc/ldap/schema/samba.schema

pidfile /var/run/slapd/slapd.pid
argsfile /var/run/slapd/slapd.args
loglevel none
modulepath /usr/lib/ldap
moduleload back_hdb
sizelimit 500
tool-threads 1
backend hdb
database hdb

suffix "dc=musterfirma,dc=com"
rootdn "cn=admin,dc=musterfirma,dc=com"
rootpw admin
directory "/var/lib/ldap"

dbconfig set_cachesize 0 2097152 0

dbconfig set_lk_max_objects 1500
dbconfig set_lk_max_locks 1500
dbconfig set_lk_max_lockers 1500

index uid,uidNumber,gidNumber,memberUid eq
index cn,mail,surname,givenname eq,subinitial
#index sambaSID eq
#index sambaPrimaryGroupSID eq
#index sambaDomainName eq

lastmod on

checkpoint 512 30

access to attrs=userPassword
by self write
by anonymous auth
by * none

#access to attrs=sambaLMPassword
# by self write
# by anonymous auth
# by * none

#access to attrs=sambaNTPassword
# by self write
# by anonymous auth
# by * none

access to *
by * read

-- Ende --

Achtung! Die Kommentare nicht entfernen. Wir haben an dieser Stelle notwendige
Einstellungen vorgenommen, die jedoch noch eine Abhängigkeiten besitzen, die wir
erst später installieren. Das heißt, die komplette Konfiguration so übernehmen,
die Kommentare werden später zu aktivierten Einstellungen.

Wir starten slapd (den Verzeichnisdienst) jetzt neu mit den neuen Anpassungen:

-# /etc/init.d/slapd restart

Wenn hier Fehler auftreten, bitte Abschnitt 5.0 konsultieren.

1.5 Installation der LDAP-Administrationsoberfläche (phpldapadmin)

-# aptitude install phpldapadmin

Wenn Sie eine Meldung erhalten, Pakete seien defekt (broken), die Frage "Accept
this solution?" bestätigen

Hierdurch wird auf Ihrem System ein Apache-Webserver installiert sowie die
nötigen Module und Erweiterungen um phpldapadmin über ein Web-Interface zu
verwenden.

Jetzt haben Sie das erste Mal die Möglichkeit, über folgende URL die
Administrationsoberfläche Ihres LDAP-Servers zu begutachten:

http://192.168.2.15/phpldapadmin

An dieser Stelle ist die Login-DN vordefiniert. Hier muss sie aber falls nicht
eingetragen identisch sein mit rootdn aus der slapd.conf

Das Password an dieser Stelle ist rootpw aus der slapd.conf

1.6 Installation des Domain-Controllers und File-Servers (samba) sowie einer
kleinen Scriptsammlung zur Verwaltung der Benutzer und des Verzeichnisdienstes
(smbldap-tools)

-# aptitude install samba samba-tools smbldap-tools samba-doc

Workgroup/Domain Name: MUSTER
Es handelt sich hier um den zukünftigen Domänennamen
Modify smb.conf to use WINS settings from DHCP? No

Im Anschluss passen wir unsere Sambakonfiguration an. Kommentare befinden sich
in der Konfiguration, welche 1:1 übernommen werden kann:

-- Anfang --

[global]
netbios name = MFPDC
workgroup = MUSTER
local master = yes
os level = 65
domain master = yes
preferred master = yes
#server string = PDC
dns proxy = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
encrypt passwords = true
passdb backend = ldapsam:ldap://127.0.0.1
wins support = yes

ldap admin dn = cn=admin,dc=musterfirma,dc=com
ldap suffix = dc=musterfirma,dc=com
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap

add machine script = /usr/sbin/smbldap-useradd -w -i "%u"
add user script = /usr/sbin/smbldap-useradd -m "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"

dos charset = 850
unix charset = ISO8859-1

obey pam restrictions = yes
unix password sync = no
ldap passwd sync = yes

pam password change = yes

domain logons = yes
logon path = \\%L\profiles\%U

logon drive = H:
null passwords = no
hide dot files = yes

[homes]
comment = Home Directories
browseable = no
path = /home/samba/home/%U
guest ok = no
inherit permissions = yes
read only = no
create mask = 0700
directory mask = 0700
valid users = %S

[netlogon]
path = /home/samba/netlogon
public = no
writeable = no
browseable = no

[profiles]
writeable = yes
path = /home/samba/profiles
guest ok = yes
write list = "@Domain Users" "@Domain Admins"
browseable = no
create mask = 0600
directory mask = 0700
preserve case = no
case sensitive = no

-- Ende --

Zusätzlich legen wir die soeben hinterlegten Verzeichnisse auch im System an:

-# mkdir /home/samba/netlogon
-# mkdir /home/samba/profiles
-# mkdir /home/samba/home/root

1.7 Anbindung von LDAP an PAM

-# aptitude install libnss-ldap

LDAP server Uniform Resource Identifier: ldap://127.0.0.1
Distinguished name of the search base: dc=musterfirma,dc=com
LDAP version to use: 3
Does the LDAP database require login? No
Special LDAP privileges for root? No
Make the configuration file readable/writeable by its owner only? Yes
LDAP account for root: cn=admin,dc=musterfirma,dc=com
LDAP root account password: admin

Im Anschluss noch die /etc/nsswitch.conf anpassen für die Zeile:

passwd: compat ldap
group: compat ldap
shadow: compat ldap

Aufmerksamen Lesern sollte gleich ins Auge stechen, dass wir lediglich in allen
3 Zeilen hinter compat ldap angefügt haben.

Nun ist es notwendig, unserem Verzeichnisserver beizubringen, wie
sambaspezifische Einstellungen verwendet werden.

Hierzu kopieren wir eine Schemadatei in das slapd-Verzeichnis und entfernen
alle! Kommentare in der /etc/ldap/slapd.conf

# Achtung die folgenden beiden Zeilen müssen auf einer Zeile stehen
zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz >
/etc/ldap/schema/samba.schema

Im Anschluss die /etc/ldap/slapd.conf bearbeiten und alle Kommentarzeichen "#"
in der Datei entfernen.

Nach der erfolgreichen Bearbeitung, den Verzeichnisdienst neustarten:

-# /etc/init.d/slapd restart

1.8 Einrichtung der smbldap-tools (Dient zur einmaligen Einrichtung und
Initialisierung der richtigen Struktur im Verzeichnisdienst sowie zur späteren
Pflege von Benutzern und Maschinen im LDAP-Backend.

Wir legen uns folgende zwei Konfigurationen für die smbldap-tools an:

-# editor /etc/smbldap-tools/smbldap.conf

-- Anfang --

sambaDomain="MUSTER"
slaveLDAP="127.0.0.1"
slavePort="389"
masterLDAP="127.0.0.1"
masterPort="389"
ldapTLS="0"
verify="optional"

cafile="/etc/smbldap-tools/ca.pem"
clientcert="/etc/smbldap-tools/smbldap-tools.pem"
clientkey="/etc/smbldap-tools/smbldap-tools.key"

suffix="dc=musterfirma,dc=com"
usersdn="ou=Users,${suffix}"
computersdn="ou=Computers,${suffix}"
groupsdn="ou=Groups,${suffix}"
idmapdn="ou=Idmap,${suffix}"
sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"
scope="sub"
hash_encrypt="SSHA"
crypt_salt_format="%s"
userLoginShell="/bin/bash"
userHome="/home/%U"
userHomeDirectoryMode="700"
userGecos="System User"
defaultUserGid="513"
defaultComputerGid="515"
skeletonDir="/etc/skel"

# Achtung, neu angelegte Benutzer in der Domäne, müssen nach 45 Tagen Ihr
# Kennwort ändern. Wenn Sie einmalig ein sicheres Kennwort verwenden, was nicht
# geändert werden soll, beginnen Sie die nächste Zeile mit einem #
defaultMaxPasswordAge="45"

userSmbHome="\\MFPDC\%U"
userProfile="\\MFPDC\profiles\%U"

userHomeDrive="H:"
userScript="logon.bat"
mailDomain="musterfirma.com"

with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"
with_slappasswd="0"
slappasswd="/usr/sbin/slappasswd"

-- Ende --

Zusätzlich wird eine /etc/smbldap-tools/smbldap_bind.conf mit folgendem Inhalt
benötigt:

-# editor /etc/smbldap-tools/smbldap_bind.conf

-- Anfang --

slaveDN="cn=admin,dc=musterfirma,dc=com"
slavePw="admin"
masterDN="cn=admin,dc=musterfirma,dc=com"
masterPw="admin"

-- Ende --

An dieser Stelle beenden wir den Verzeichnisdienst (slapd) mit folgender Zeile,
entfernen im Anschluss vorhandene angelgte Einträge und starten ihn neu:

-# /etc/init.d/slapd stop
-# rm /var/lib/ldap/*
-# /etc/init.d/slapd start

Nun, da alle Vorbereitungen getroffen sind, kann der Verzeichnisdienst mit
folgender Zeile gefüllt werden:

-# smbldap-populate

Bei folgender Aufforderung, zweimal root als Kennwort eingeben:

Changing UNIX and samba passwords for root
New password:

Jetzt, wo unser System auch die Gruppen aus Samba kennt, können wir die passenden
Rechte auf die Verzeichnisse verteilen:

-# chown -R root:"Domain Users" /home/samba/
-# chmod 770 root:"Domain Users" /home/samba/

Achtung: Hier erstellte Benutzerverzeichnisse für zukunftige Benutzer,
sollten lediglich Lese- und Schreibrechte für den Besitzer enthalten.

Ein getent groups sollte jetzt die vorhandenen Gruppen im Ldap-Baum darstellen,
zusätzlich zu den lokalen Gruppen in /etc/groups. Dies gillt natürlich auch
für Benutzer und deren Passwörter.

2.0 Ersten Benutzer im Verzeichnisdienst anlegen

Wir begeben uns in unsere Verwaltungsoberfläche von phpldapadmin auf
http://192.168.2.15/phpldapadmin und melden uns mit dem Kennwort admin an

Wir klicken auf der linken Seite vor der Weltkugel auf das Plus, um die Ansicht
zu erweitern.

Wir klicken auf das Plus vor ou=Users(2)

Wir wählen im soeben geöffneten Bereich

Create new entry here

Nun werden uns auf der rechten Seite verschiedene Vorlagen angeboten, wir wählen
den Samba 3 Account und füllen das dann sich öffnende Feld mit folgenden Werten:

First name: Vorname
Last name: Nachname

User ID: Kürzel für den Benutzer, wird der Benutzername zum Anmelden
Bitte hier nur Kleinschreibung verwenden und keine Umlaute /
Sonderzeichen
UID Number: Wird automatisch durchnummeriert
Samba SID: Vorgabe auswählen, ebenso im Feld rechts daneben
Password: Persönliches Benutzerkennwort des zukünftigen Domänenusers
Passwort bestätigen
Login shell: /bin/sh oder persönlichen Wunsch
GID Number: Gruppen-Kennung des Benutzers z.B. normaler User hätte
Domain Users
Primary Group ID: Nochmals Domain Users, zweite Auswahl für normalen
Benutzer
Home directory: /home/samba/home/User ID z.B.
/home/samba/home/sbauer
Hierbei handelt es sich später um den Speicherort für
die persönlichen Nutzerdaten auf dem Server

Im Anschluss mit Save Changes den Benutzer anlegen.

Falls der Knopf Save Changes ohne Funktion bleibt, siehe 5.0.

Als essenzieller Punkt sei jetzt noch erwähnt, dass Samba nocht nicht das
geheime Kennwort für den Adminbenutzer im LDAP kennt um dort Einträge
vorzunehmen. Dies ist notwendig, um im nächsten Schritt, von Windows aus
Maschinenkonten anzulegen. Dieser Schritt wird durchgeführt mit folgender Zeile:

-# smbpasswd -w admin

3.0 Windows 2000 && Windows XP Maschinen in die Domäne aufnehmen

Melden Sie sich an Ihrem XP oder 2000 Arbeitsplatz lokal mit einem Account mit
Administrationsrechten an.

Zur Vorbereitung ist es notwendig, dass der lokale Computer die passenden
DNS-Informationen vom Domänen-Kontroller bezieht. Klicken Sie hierzu mit der
rechten Maustaste auf Ihre Netzwerkkarte und definieren Eigenschaften:

Im Auswahlfenster selektieren Sie Internetprotokoll TCP/IP und unter den
Eigenschaften setzen Sie beim Punkt Erweitert die IP des Servers (192.168.2.15)
als DNS sowie WINS-Server.

Klicken Sie im Anschluss mit der rechten Maustaste auf den ARbeitsplatz und
wählen Eigenschaften.

Klicken Sie den Reiter Computernamen an und wählen Sie den Button
Ändern:

Definieren Sie im Feld Computername einen aussagekräftigen Namen für den lokalen
Computer - klicken Sie auf Ok und starten den PC einmal neu.

Wiederholen Sie die letzten beiden Schritte und wählen jedoch nun nicht noch
einmal den Computernamen sondern im Feld darunter durch einen Klick auf Domäne
die Mitgliedschaft in einer Domäne aus:

Definieren Sie als Name MUSTER und bestätigen Sie dies mit einem OK.

Sie erhalten eine Aufforderung zur Eingabe von Benutzername und Kennwort:

Hier ist root mit Benutzernamen root notwendig.

Falls Sie eine Meldung erhalten, dass der Benutzername unbekannt ist, versuchen
Sie den Domänenbeitritt erneut.

Nach ca. 30-60 Sekunden erhalten Sie eine positive Rückmeldung über den Beitritt
zur Domäne. Ein Neustart ist notwendig.

4.0 Weitere Systemanpassungen

Zusätzliche Unnötige Dienste deinstallieren

-# aptitude remove at portmap nfs-common

4.1 Erweiterungsmöglichkeiten

Durch PAM kann die komplette Authentifizierung am System bzw. einzelner Dienste
über passende Anpassungen am PAM-System erreicht werden.

Am Beispiel von SSH sei dies kurz erwähnt. Wir ergänzen folgende Datei um die
hier genannten Zeilen:

-# vi /etc/pam.d/sshd

auth sufficient /lib/security/pam_ldap.so
account sufficient /lib/security/pam_ldap.so
password sufficient /lib/security/pam_ldap.so

Zusätzlich passen wir noch die Schnittstelle zu LDAP in der Datei
pam_ldap.conf an und ergänzen sie um folgende Zwei zeilen:

-# vi /etc/pam_ldap.conf

binddn cn=admin,dc=musterfirma,dc=com
bindpw admin

Im Anschluss versichern wir uns, dass diese Datei lediglich für Root
einsehbar ist:

-# chmod 600 /etc/pam_ldap.conf

Jetzt prüfen wir die Funktion und überwachen den Loginprozess mit:

-# tail -f /var/log/auth.log

was uns folgende Ausgabe bei einem Login per SSH beschert:
Hinweis: Wir verwenden Benutzer und Passwort aus Schritt 2.0

sshd[2271]: Accepted password for sbauer from 192.168.2.103 port 1642 ssh2
sshd[2271]: pam_unix(sshd:session): session opened for user sbauer by (uid=0)

An dieser Stelle gibt es noch die Fehlermeldung, dass unser Homedirectory
nicht existiert, was wir mit folgendem Schritt anlegen:

-# mkdir /home/samba/home/sbauer

I have no name sollte jetzt vor Ihrem Konsolenprompt erscheinen. Dies liegt
lediglich an den fehlenden Leserechten auf die Datei libnss-lpap.conf:

-# chmod 644 /etc/libnss-ldap.conf

4.2 Netzwerkpapierkorb sowie Logon Script

Wir bearbeiten unsere smb.conf, welche unter /etc/ residiert
und fügen im Abschnitt [home] am Ende folgende Zeile ein:

vfs objects = recycle

Zusätzlich fügen wir folgende Zeile unter die Zeile logon path ein:

logon script = logon.bat

Jetzt haben wir die Möglichkeit unser Logon-Script anzupassen:

In unserem Fall ist es gewünscht, das Benutzerverzeichnis der User "home"
zu nennen und es automatisch als Laufwerk H: einzuhängen:

Wir erstellen folgende zwei Dateien:

-# vi /home/samba/netlogon/logon.bat

start \\mfpdc\netlogon\rename.vbs

-# vi /home/samba/netlogon/rename.vbs

Option Explicit
Dim objNetwork, strDrive, objShell, objUNC
Dim strRemotePath, strDriveLetter, strNewName
'
strDriveLetter = "H:"
strNewName = "home"

' Section which actually (re)names the Mapped Drive
Set objShell = CreateObject("Shell.Application")
objShell.NameSpace(strDriveLetter).Self.Name = strNewName

Mit folgendem Script, wird die Laufwerksbezeichnung unter Windows auch gleich
in den Namen "home" umbenannt und heißt nicht mehr Benutzer auf Server usw.

Abschließend stellen wir sicher, dass die Dateien auch ausführbar sind:

-# chmod +x /home/samba/netlogon/*

Meldet sich jetzt ein Benutzer am Domänenserver an, erhällt er ein Laufwerk H:
mit dem Namen home, worin sich seine Daten befinden.

Löscht der Benutzer irrtümlich Daten auf einem Netzlaufwerk, landen diese in
seinem Home-Ordner im Unterordner .recycle. Ein Netzwerkpapierkorb ist unter
Windows nur mit kostenpflichtigen Zusatzprodukten möglich :)

5.0 Fehler und Problemlösungen:

Frage: Bei der Installation der Pakete hängt der Prozess

Antwort: Mit STRG+ALT+F2 auf die weitere Konsole wechseln und den aptitude
Prozess beenden. Im Anschluss auf F1 zurückwechseln.

Frage: Ich erhalte beim restart von slapd folgende Meldung:
Starting OpenLDAP: slapd - failed...

Antwort: Es besteht ein Konfigurationsfehler in der slapd.conf - Bitte spielen
Sie erneut die vordefinierte Konfigurationsdatei ein und achten darauf, dass
sich keine zusätzlichen Leerzeilen dort befinden.

Frage: Beim Anlegen eines Benutzers im phpldap-Menü hat der Knopf Save Changes
keine Funktion

Antwort: Sie haben nicht alle Felder, die mit required am Ende markiert sind,
korrekt ausgefüllt.

Frage: Wenn ich versuche eine Maschine in der Domäne aufzunehmen, erhalte ich
nur unbekannter Benutzer.

Antwort: Stellen Sie sicher, dass workgroup = ihre-workgroup in der smb.conf
nicht zuviele Zeichen besitzt. Bei unseren Tests, gab es schon Probleme, mit
workgroup namen bei 11 Zeichen.

6.0 Weitere Hilfestellung

Gerne leisten wir auch professionellen Linux-Support bei auftretenden Problemen mit Ihrem Samba-Server.

Cubewerk - IT-Beratung + Planung
Herr Stefan Bauer
Herzog-Otto-Straße 32
83308 Trostberg
stefan.bauer@cubewerk.de
Büro 08621 99 60 237