Tanzkurs

Gruppenverwaltung

Wer seine Netzwerkumgebung nach Räumen aufteilt, könnte beispielsweise ein Zimmer einer eigenen Gruppe zugeordnen. Dies ergibt Sinn, falls dort häufiger mehr als nur eine Person vor dem PC sitzt. Dazu erstellt der Workgroup-Admin mit dem Befehl groupadd wohnzimmer eine Gruppe unter Linux und stellt ein entsprechendes Mapping für Samba mit dem folgenden Befehl her: net groupmap add ntgroup="Das Wohnzimmer" unixgroup=wohnzimmer type=domain.

In einer Wohngemeinschaft dürfte ein übertriebenes Sicherheitskonzept den Mitbewohnern sauer aufstoßen; in einem kleinen Unternehmen macht es hingegen sicherlich Sinn, etwa die Personalabteilung von anderen Abteilungen durch Gruppen zu trennen. Achten Sie darauf, dass Windows bei Gruppennamen nicht zwischen Groß- und Kleinschreibung unterscheidet, Linux allerdings sehr wohl. Leerzeichen im Gruppennamen verträgt Linux ebenfalls nicht.

Einen Test für ein erfolgreiches Mapping bietet der Befehl net groupmap list | sort. In Listing 3 sehen Sie die Ausgabe des Befehls. Diese zeigt, dass die Windows-Gruppen durch einen Pfeil auf ihre gemappten Linux-Gruppen verweisen. Bei den kryptischen, mit S beginnenden Zahlenkolonnen hinter den Windows-Gruppennamen handelt es sich um Security Identifier (SID).

Möchten Sie einen Benutzer in eine frisch erzeugte Gruppe einfügen, verwenden Sie den Befehl gpasswd -a Benutzer wohnzimmer. Ob die Aktion erfolgreich war, überprüfen Sie mit wieder mit Vigr: Hinter der Gruppe wohnzimmer sollte nun der Eintrag Benutzer stehen.

Account Operators (S-1-5-32-548) -> -1
Administrators (S-1-5-32-544) -> -1
Backup Operators (S-1-5-32-551) -> -1
Das Wohnzimmer (S-1-5-21-4173815429-3277392822-1971295425-3007) -> wohnzimmer
Domain Admins (S-1-5-21-4173815429-3277392822-1971295425-512) -> root
Domain Guests (S-1-5-21-4173815429-3277392822-1971295425-514) -> nobody
Domain Users (S-1-5-21-4173815429-3277392822-1971295425-513) -> users
Guests (S-1-5-32-546) -> -1
Power Users (S-1-5-32-547) -> -1
Print Operators (S-1-5-32-550) -> -1
Replicators (S-1-5-32-552) -> -1
System Operators (S-1-5-32-549) -> -1
Users (S-1-5-32-545) -> -1

Samba starten

Die Grundlagen haben Sie damit abgehakt und können nun den Samba-Server in Betrieb nehmen. Starten Sie das Programm am besten als Daemon im Hintergrund. Je nach Distribution variiert dabei der Name des Init-Skriptes in /etc/init.d. Unter Suse heißt es smb, Gentoo und Debian nennen es dagegen samba. Neben dem Samba-Daemon smbd startet Samba auch einen Daemon nmbd, der das Auflösen der IP-Adressen und Rechnernamen übernimmt. Damit dieser die Namen aber korrekt umsetzt, muss auf den Linux-Rechnern der folgende Eintrag in der Datei /etc/nsswitch.conf existieren: hosts: files wins.

Noch ein Daemon ist sehr wichtig: Winbind übernimmt das Mapping von Benutzern und Gruppen zwischen Linux und Windows. Wie jeder andere Dienst lässt sich auch dieser über ein Init-Skript (/etc/init.d/winbind start) anstoßen. Wer kein solches Init-Skript hat, aktiviert Winbind direkt auf der Konsole mit winbindd. Gegebenenfalls beendet ein killall winbindd als root den Prozess.

Abbildung 4: Um im Netzwerk zu kommunizieren, braucht ein Rechner eine IP-Adresse. Zum Auflösen der Namen dient dann ein WINS-Servers.

Abschließend gilt es zu kontrollieren, ob alle notwendigen Daemonen laufen. Die Kommandozeile ps aux | egrep "smbd|nmbd|winbindd" sollte entsprechend aktive Prozesse anzeigen. Ob der Samba-Server auf Anfragen korrekt reagiert, testen Sie auf dem Server: smbclient -L localhost -U%. Die Ausgabe für das vorliegende Beispiel zeigt Listing 4.

Eine Verbindung zu einem Home-Verzeichnis erhalten Sie mit smbclient //chef/Benutzer -U Benutzer . Es erscheint ein Prompt, an dem Sie sich mit dem entsprechenden Passwort des Benutzers authentifizieren. War dies erfolgreich, haben Sie Zugriff auf die persönlichen Dateien auf dem Server. Diese zeigen Sie entweder dir oder ls an.

Domain=[TULPENSTRASSE] OS=[Unix] Server=[Samba 3.0.20]
        Sharename       Type      Comment
        ———       —-      ——-
        netlogon        Disk      Netzwerkanmeldung
        gemeinsam       Disk      Gemeinsame Dateien
        IPC$            IPC       IPC Service (Samba 3.0.20)
        ADMIN$          IPC       IPC Service (Samba 3.0.20)
        Besen           Printer   Gemeinschaftsdrucker
Domain=[TULPENSTRASSE] OS=[Unix] Server=[Samba 3.0.20]
        Server               Comment
        ———            ——-
        CHEF                 Samba 3.0.20
        Workgroup            Master
        ———            ——-
        TULPENSTRASSE        CHEF

Die Sektion [Homes] der Samba-Konfiguration in Listing 1 (ab Zeile 22) enthält mit der fehlenden Option path keinen bestimmten Ort, an dem Home-Verzeichnisse zu finden sind. Geben Sie keinen besonderen Platz dafür an, sind die Homes gemäß Voreinstellung über //Server/Benutzer zu erreichen. Dies ist eine Eigenschaft von Samba.

Das ermöglicht einem Linux-Benutzer den Zugriff auf sein Home-Verzeichnis. Unter Windows verläuft dieser Vorgang vorab mit einer Anbindung des Windows-Clients in die Samba-Domäne.