Ubuntu Server 10 / Samba in Windows 2003 Domain

Ich habe versucht die Anleitung so zu schreiben das man wirklich step by step und
ohne hintergrundwissen es schafft einen Fileserver zu erstellen.

Die Anleitung kann gerne be-kommentiert werden, ich habe sie
neben meinen Projekt einfach mitgeschrieben und bin kein Linux junk *g*...

Diese Anleitung und mein Wissen besteht aus ca. 10x Anleitungen im Netz, mit einer einzeln
hat es nie geklappt, entweder versionsunterschiede oder sonstige scherze...

Das ist mein erster griff in die Linux Welt, hatte noch nie was mit linux zutun,
muss sagen, hat zwar sehr lange gedauert.. Da nicht jedes Linux Raid 5 und mein
Mainboard mochte, aber jetzt wo alles läuft, bin ich sehr sehr zufrieden und glücklich =)

Wer ganz einfache Fileserver braucht, kann sich auch EISFAIR besorgen, fand ich auch
ganz toll, mit grafischer dos Oberfläche und guter selbst hilfe Support suche.

Diese Anleitung Funktioniert!

Ich habe den server mehr als 6x installiert, da ich nur step by step immer
weiter gekommen bin, und um zu vermeiden das ich fehler drinnne hatte in
einer konfiguration habe ich einfach neu aufgesetzt...


Viel spass!

Zur Ubunutu version, sollte nicht neuer sein als 10.04 LTS (bei mir
gings mit der version nicht.. k.A. warum) kann man überall downloaden (google+Ubuntu server download)


DC= Domaincontroller / Active Directory server

Ubuntujaner = Der Ubuntu fileserver ;)



Ubuntu Server 10.0 als Fileserver in Windows Domain

Info Allgemein:
a.) Für jede Änderung einer Datei oder sonstigen ist „sudo“ als erster zu setzen, es gibt bei Ubuntu keinen fix angemeldeten root! Editor in Ubuntu „vi“
b.) Speichern einer Editor Datei shift+zz
c.) Beenden des Editors ohne speichern shift q!
d.) Bei verändern der Konfigurations Dateien immer Kopie machen
e.) Bei der Formatierung immer mit TAB arbeiten, hilft später.
f .) Sonderzeichen mit Alt Gr + Q (für @ z.B.)

Step 1.) Installation Ubuntu Server

a.) Ubuntu Server installieren, ggf. Partitionieren.
b.) Während der Installation wird man gefragt ob man
zusätzliche Pakete installieren möchten, wir benötigen
nur „PRINT SERVER und SAMBA“

Step 2.) Vorbereitung für die Installation

Als aller erstes sollte die Zeit synchron sein mit der Domain Zeit, bereits 2 Minuten
unterschied führen zu Nichterkennung. (befehl date)
Hostname und DC eintragen, das machen wir unter /etc/hosts mit dem befehl

sudo vi /etc/hosts

Vorhandene Einträge löschen (mit shift+v markieren) und diese beiden Einträge
machen:

192.168.0.44 ubuntujaner.domain.at localhost ubuntujaner #IP Adresse des Ubuntujaners und hostname
192.168.0.66 dc.domain.at servername #IP Adresse des DC und hostname des DC (dc, domaincontroller)
 
Step 3.) Installation / Konfiguration Kerberos

Benötigt werden mehrere Pakete, unter anderen Kerberos, libpam, winbind und
smbclient, diese brauchen wir um mit dem DC/ADS zu kommunizieren.
Man kann alle Pakete einzeln installieren, am schnellsten geht es jedoch mit:

sudo apt-get install krb5-user libpam-krb5 windbind smbclient

!!Falls bereits gefragt wurde ob SAMBA 4 installiert werden soll, bitte nicht da
diese Anleitung mit Samba 3 zusammenpasst und unter SAMBA
4 nicht funktioniert!!

Nach der Installation der Pakete fangen wir direkt mit der Konfiguration von
Kerberos an, bevor wir die krb5.conf verändern, machen wir jedoch eine Kopie
der Originaldatei.

sudo cp /etc/krb5.conf   /etc/krb5.conf.original

Zur Kontrolle wechseln wir in den Ordner mit “cd /etc/ und schauen mit dem
Befehl l ob nun beide Dateien vorhanden sind.
(krb5.conf und krb5.conf.original) mit cd.. gehts wieder zurück


Nun konfigurieren wir Kerberos, erreichen wir wieder
unter /etc/krb5.conf (sudo vi /etc/krb5.conf)
jetzt Markieren wir wieder alle Einträge und löschen alles raus, ergänzt
wird nun

[logging]

    default = FILE:/var/log/krb5.log

 

[libdefaults]

   ticket_lifetime = 24000

   clock_skew = 300

   default_realm = DOMAINE.AT        # die tatsächliche domaine..

 

[realms]

  DOMAINE.AT = {

     kdc = hostname:88                #name des DC/ADS

     admin_server = hostname:464        #name des DC/ADS

     default_domain = DOMAINE.AT

}

 

[domain_realm]

   .domain.at = DOMAIN.AT

   domain.at = DOMAIN.AT

 

Speichern

Nun versenden wir ein aktives Ticket an den DC/ADS um die Verbindung zu
überprüfen

Kinit Administrator@DOMAIN.AT

(danach kommt passwortabfrage für den domain admin!)

Wenn keine Fehlermeldung gekommen ist, geben wir ein:

klist

Nun sollten wir ein Ticket vom DC/ADS Server erhalten haben, in dem die
Domäne steht in etwa so

Valid starting                 Expires                  Service principal

01/01/10 16:39:12       01/01/10 23:00:00          krbtgt/DOMAIN.AT@DOMAIN.AT

Wenn das funktioniert hat, ist die Installation und Konfiguration von Kerberos
abgeschlossen, sollte etwas nicht funktionieren, den Server neu starten mit
“sudo reboot” oder ggf. nochmal vergleichen.

Oft besteht hier bereits das problem, falsche Netwerkconfig, kein dhcp, falscher
hostname. Standardmäßig sollte es gehen, ich habe 6x diesen Server gemacht.

Boxenstop bei Fehler, kein Fehler vorhanden, weiter gehts zu Step 4 -->

 

Bei Problemen (klick mich)
Hier kann helfen... befehl "ifconfig" dort seht Ihr welche IP Adresse der Ubuntujaner hat, sollte auch mit euren vorstellungen übereinstimmen ;)


unter

sudo vi /etc/network/interfaces

findet ihr die standard einstellung vom Netzwerk, im normalfall über DHCP,
reservierung kann man ja später am DC anlegen.

Standardmäßig ist vorhanden:

auto lo

iface lo inet loopback

 

auto eth0     #eth0 Anschluss LAN

iface eth0 inet dhcp    #wie schon steht, dhcp

für fixe adressen statt dhcp static schreiben. Könnte dann so aussehen:

auto lo

iface lo inet loopback

 

auto eth0     #eth0 Anschluss LAN

iface eth0 inet static    #wie schon steht, static

 

address 192.168.3.90

gateway 192.168.3.1

netmask 255.255.255.0

network 192.168.3.0

broadcast 192.168.3.255    


Für die Installation nicht zu empfehlen, nach der erfolgreichen
installation gern ;P

Step 4.) Ubuntu Server in die Domäne einbinden

In Zukunft wird sich meistens alles um die smb.conf drehen, dort werden
wir auch festlegen welche freigaben wir haben, unter anderem wird in der
smb.conf (dienst von Samba und winbind) auch festgelegt in welcher
Domäne wir arbeiten und beitreten möchten.

/etc/Samba/smb.conf

Wir erstellen hierfür wieder ein Kopie der smb.conf danach löschen
wir wieder den kompletten Inhalt und ergänzen wie folgt.

[global]

security = ADS

realm = DOMAINE.AT

password server = IPADRESSE                  #IP des DC/ADS

workgroup = DOMAINE

idmap uid = 10000-30000

idmap gid = 10000-30000

winbind enum users = yes

winbind enum groups = yes

winbind cache time = 10

winbind use default domain = yes

client use spnego = yes

encrypt passwords = yes

restrict anonymous = 2

domain master = no

local master = no

preferred master = no

os level = 0

Speichern

Danach starten wir Samba neu, mit der Ubuntu Version geht das unter:

sudo initctl stop smbd

sudo initctl start smbd

jetzt treten wir der Domain bei

sudo net ads join –U Administrator@DOMAINE.COM


sollte ein Fehler auftreten und bei der Meldung die Domäne 2x stehen

(domaine@domaine@adminsitrator)

hat er sich die Domäne bereits ermittelt und man braucht nur
–U Administrator

Nun schauen wir am DC/ADS ob der Ubuntu Server sichtbar ist, bei
bedarf noch aktivieren.

Nun starten wir winbind neu mit:

sudo /etc/init.d/winbind restart

Zur Kontrolle geben wir ein:

wbinfo –u     #(zeigt alle user der Domäne)

wbinfo –g    #(zeigt alle Gruppen der Domäne)
<code></code>
Step 5.) Konfigurieren der Authentication

Kopie erstellen vorher.

sudo /etc/nsswitch.conf

alles löschen und ergänzen

passwd:            compat windbind

group:        compat windbind

 

shadow:            compat


Speichern

Winbind wieder neu starten und mit:

getent group

sollten wir alle Gruppen sehen, und mit

getent passwd

sollten wir alle user wieder sehen.

Step 6.) Konfiguration von PAM

Alle vorhandenen Einträge in den Dateien wieder löschen

sudo /etc/security/group.conf

* ; * ; * ; Al0000-2400 ; floppy, audio, cdrom, video, usb, plugdev, users

sudo /etc/pam.d/common-account:

  account sufficient        pam_winbind.so

  account required         pam_unix.so

Speichern

sudo /etc/pam.d/common-auth

Speichern

sudo /etc/pam.d/sudo

 auth sufficient pam_winbind.so

  auth sufficient pam_unix.so use_first_pass

  auth required   pam_deny.so

 

  @include common-account

 

Nun starten wir winbind und Samba wieder neu

INSTALLATION FERTIG

Vorsicht, bei den Usershares gelten nicht immer Standard linux befehle,
wenn suche dann immer „Ubuntu Server“ dazu geben.

Für Windows 7 /vista/Server gibt es eine eigene Einstellung für Sicherheitszertifikate und man kann
auf das Share nicht zugreifen wenn man \\ubuntu\ im Explorer eingibt, Abhilfe schafft eine Umstellung der Lokalen Richtlinien…. Oder die IP Adresse des Servers eingeben.

 

 

Update !

Ich habe heute das Tutorial nochmal ausprobiert,

Zwar bin ich schon ne weile nicht mehr in der IT tätitg,
aber sieh doch einer mal an, es Funktioniert noch immer.

Linux <3