Samba Konfigurationsparameter

smb.conf

Die zu setzenden Parameter sind gut in man smb.conf erklärt, hier nur nochmals die wichtigsten:

	passdb backend = ldapsam:ldap://localhost tdbsam
	ldap admin dn = cn=manager,dc=my-domain,dc=com
	ldap delete dn = no
	ldap suffix = dc=my-domain,dc=com
      

Essentielle Gruppen

Damit die Gruppen auch netzwerkweit verfügbar sind sollten diese ebenfalls im LDAP abgelegt sein.

POSIX und SMB Benutzer

Die Samba-LDAP-Anbindung gehört zum Lieferumfang der Produktionsversion, was den Funktionsumfang des freien Pakets in Richtung PDC (Primary Domain Controller) für Windows-Domänen erweitert. LDAP selbst erlaubt eine saubere Replikation, somit ist das Szenaria auch auf die BDC (Backup Domain Controller) erweiterbar.
Wie ein normaler Samba werden auch hier POSIX sowie SMB Accounts benötigt. Diese werden durch unterschiedliche Attribute im LDAP dargestellt. Natürlich lohnt sich der Aufwand nicht die POSIX Accounts weiterhin lokal zu pflegen und die SMB Accounts in den LDAP Verzeichnisdienste zu verschieben.

POSIX Benutzer

Die POSIX Nutzer werden über den NSS Machanismus gesucht, im vorhergehenden Kapitel wurde dieser beschrieben und eingerichtet. Nun ist es an der Zeit einen POSIX Benutzer im LDAP einzupflegen.

sampleuser.ldif

	dn: cn=sampleuser,dc=my-domain,dc=com
	objectclass: posixAccount
	objectClass: account
	cn: sampleuser
	uid: sampleuser
	uidNumber: 1000
	gidNumber: 100
	homeDirectory: /home/sampleuser
	loginShell: /bin/bash
      

      ldapadd -x -D "cn=manager,dc=my-domain,dc=com" -W -f sampleuser.ldif
      

Wurde der NSS Mechanismus richtig eingerichtet und /etc/openldap/ldap.conf entsprechende konfiguriert taucht der angelegte Benutzer auch in der UNIX Datenbank auf, zu überprüfen mittels:

	getent passwd
      

SMB Benutzer

Die Samba Attribute kennt der LDAP Server von Hause aus nicht, daher ist eine Schemaerweiterung durchzuführen. Dir LDAP-Anbindung gehört zum Samba-Paket und bringt somit auch die passende Datei mit, zu finden unterhalb examples/LDAP/samba.schema. Die Schemadatei nach /etc/openldap/schema/ kopieren und den slapd neu starten.

Damit ein Benutzer als SambaBenutzer erkannt wird müssen noch einige Attribute hinzugefügt werden, speziell die Objektklasse SambaSamAccount. Die Attribute können einfach per smbpasswd -a $USER oder pdbedit -a -u $USER modifiziert werden. Anderfalls kann auch direkt im LDAP Verzeichnis editiert werden:

	dn: uid=sampleuser,dc=hoogovens,dc=com
	uid: sampleuser
	objectClass: sambaSamAccount
	objectClass: account
	sambaSID: S-1-5-21-3217515603-2648418710-3531488657-3000
	sambaPrimaryGroupSID: S-1-5-21-3217515603-2648418710-3531488657-1201
	displayName: Sample User
	sambaPwdCanChange: 1119276606
	sambaPwdMustChange: 2147483647
	sambaLMPassword: 1EF2AC3C7865B1F2AAD3B435B51404YY
	sambaNTPassword: E5810F3C99AE2ABB2232ED8458A61310
	sambaPasswordHistory: 00000000000000000000000000000000000000000000000000000000
	sambaPwdLastSet: 1119276606
	sambaAcctFlags: [U          ]
      

Die Domänen-SID erhält man per net getlocalsid, der Anhängsel errechnet sich aus der RID-Base (default 1000):

SID = 2 * UNIX ID + 1000 und Primary GSID = 2 * UNIX GID +1000 +1

Ich würde die Primary GSID auf ...-513 setzen, diese ist die BUILT-IN Gruppen Domänen-Benutzer

• Domänen-Administratoren: ...-512
• Domänen-Benutzer: ...-513
• DomänenGäste: ...-514