Wer parallel Windows 7 und Linux in einem Netz einsetzt, möchte meist allen Nutzern Daten zentral zur Verfügung stellen. Mit Samba ist das kein Problem.

Neue Betriebssystemversionen bringen neben vielen Veränderungen in aller Regel vor allem Verbesserungen gegenüber ihren Vorgängern mit. Einher damit gehen aber auch immer eine gewisse Anzahl an Inkompatibilitäten zu anderen Systemen, die bisher in der Lage waren, eine gemeinsame Sprache zu sprechen. Bei diesen Sprachen handelt es sich um die Protokolle, über die sich die Maschinen in einem Netzwerk unterhalten. Gerade Windows 7 wartet hier mit einigen Veränderungen auf.

Samba [1] erlaubt, unter Linux Daten über Freigaben mit dem SMB/CIFS-Protokoll an Windows-Maschinen zur Verfügung zu stellen. Als Server-Variante für die zentrale Verwaltung und Freigabe von Daten an Windows-, Linux- und auch Mac-OS-Maschinen hat sich Samba in der Welt der freien Software als Marke etabliert. Wie sich mit Samba und der neuesten Betriebssystemversion von Microsoft, mit Windows 7, Daten teilen lassen, welche Änderungen es gibt und was es zu beachten gilt, behandelt dieser Workshop.

Vorbetrachtungen

Zu einem eigenen Netzwerk wie in Abbildung 1 – sei es für das Büro, die Familie daheim oder die Wohngemeinschaft – gehören eine Reihe von Komponenten, darunter nicht zuletzt der Zugang ins Internet. Dafür gibt es bereits für wenig Geld fertige Lösungen. Aktuelle Router bringen in aller Regel bereits ein eingebautes DSL-Modem mit, lassen sich einfach handhaben und bieten alles, was man zur Grundkonfiguration eines Netzwerks braucht. Dazu zählen etwa die Möglichkeit zum Vernetzen mehrerer Rechner über Kabel und WLAN, NAT sowie ein DHCP-Server. Als zentraler Dienst sorgt <DHCP vor allem dafür, dass jeder Rechner im Netz eine IP-Adresse erhält. Allerdings lassen sich via DHCP-Server den Clients auch eine Vielzahl weiterer Informationen mitgeben, wie beispielsweise die Adressen von DNS– und NTP-Servern.

Abbildung 1: Die typische Struktur eines kleinen, gemischten Netzwerks.

Ob Sie einen DHCP-Server auf dem Samba-Server mitlaufen lassen oder den DHCP-Server eines Routers mit benutzen, ist hauptsächlich eine Geschmacksfrage. Falls der Router den DHCP-Dienst übernimmt, müssen Sie Windows 7 in der Netzwerkkonfiguration zusätzliche Informationen mitgeben.

Zu den Rechnern, die im Netz via Samba Daten teilen sollen, kommt ein Drucker hinzu, auf den alle Maschinen im Netzwerk drucken können sollen. In unserem Beispiel ist er per USB direkt an den Samba-Server angeschlossen.

Die Konfiguration von Samba erfolgte im Test mit der Samba-Version 3.4.2 einer 64-Bit-Installation von OpenSuse 11.2.

Samba einrichten

YaST lässt sich über das Startmenü oder in der Konsole mit yast2 aufrufen. In der Rubrik Netzwerkdienste findet sich die Option Samba-Server. Mit einem Klick darauf beginnt die Konfiguration.

Als erstes fragt YaST nach dem Namen für die Arbeitsgruppe oder Domäne. Beide Begriffe unterscheiden sich zentral in einem Punkt: in der Authentifizierung – dazu später mehr. In vorliegendem Test heißt die Domäne TULPENSTRASSE. Im folgenden Schritt fragt YaST nach dem Betriebsmodus des Samba-Servers (näheres zu den Betriebsmodi von Samba in der Tabelle “Samba-Betriebsmodi”). Wir erstellen in unserem Fall einen Primary Domain Controller, der als erste Instanz die Domäne TULPENSTRASSE verwaltet (Abbildung 2).

Primary Domain Controller (PDC).” width=”300″ height=”235″ /> Abbildung 2: Als Betriebsmodus für den Samba-Server wählen Sie den Primary Domain Controller (PDC).

Die Informationen zu Betriebsmodus und Domänenname bilden das Fundament für den Samba-Server gegossen, nun folgt die weitere Konfiguration. Lassen Sie den Samba-Dienst beim Booten gleich mit zu starten: Das erspart ein manuelles Hochfahren über YaST oder die Konsole. Außerdem müssen Sie die Ports für die von Samba unterstützten Microsoft-Protokolle in der Firewall öffnen: Setzen Sie also in YaST bei der Option Firewall-Port öffnen ein Häkchen. Funktioniert ein Dienst nicht, liegt das oft an einem geschlossenen Port. Mit dem Befehl iptables -L auf der Konsole können Sie die Einstellungen der Firewall nochmals genauer in Augenschein nehmen.

Bei der Konfiguration der Freigaben gibt YaST bereits die wichtigsten Einstellungen für den Domänenbetrieb vor, viel müssen Sie nicht mehr ändern. Die Freigabe mit dem Namen users (Abbildung 3) kann wegfallen. Die Freigabe groups löschen Sie ebenfalls und erzeugen dafür eine mit dem Namen shared (Abbildung 4). Eine Liste mit voreingestellten Samba-Freigaben zeigt die Tabelle “Samba-Freigabenamen”.

Abbildung 3: YaST schlägt bereits eine ganze Reihe von Samba-Freigaben vor.

Abbildung 4: Neue Samba-Freigaben legen Sie in YaST in einem komfortablen Interface an.

Mit dem Haken an der Option ACLs vererben teilen Sie Samba mit, dass Sie gerne das von Windows standardmäßig genutzte System für erweiterte Datei- und Verzeichnisrechte nutzen möchten, die ACLs (Access Control Lists). OpenSuse aktiviert die entsprechende Unterstützung im jeweiligen Dateisystem standardmäßig, sodass Samba den Abgleich von ACLs unter Linux hin zu Windows vornehmen kann. Änderungen von Windows über das SMB/CIFS-Protokoll an den Berechtigungen an einer Datei oder einem Verzeichnis veranlassen Samba, diese Informationen auch in den ACLs des jeweiligen Dateisystems unter Linux zu speichern, auf dem die Datei oder das Verzeichnis liegt.

Den letzten Schritt der Samba-Konfiguration zeigt Abbildung 5. Neben der Kontrolle der Grundeinstellungen findet sich hier die Konfiguration des Windows Internet Naming Service WINS. In kleinen Netzen, wie hier für den Workshop angenommen, genügt die Option zur Unterstützung eines WINS-Servers. Dessen Funktion übernimmt der Samba-eigene NMBD-Dienst. In größeren Netzen gibt es oft mehrere WINS-Server, wofür YaST die Option Entfernter WINS-Server bereitstellt. Die beiden Reiter für vertrauenswürdige Domains sowie LDAP, die Sie in Abbildung 5 sehen, spielen nur in größeren Netzen eine Rolle.

Abbildung 5: Im letzten Schritt der Samba-Konfiguration richten Sie WINS ein.

Mit einem abschließenden OK und der Eingabe des Root-Passworts für Samba richtet YaST den Samba-Server ein und startet die notwendigen Dienste. In aller Regel sind das smbd sowie nmbd für die Namensauflösung. Nun testen Sie als Erstes, ob zumindest lokal ein Zugriff auf den Samba-Server möglich ist. Die Ausgabe des Befehls smbclient -L localhost -U% sollte der Ausgabe in Abbildung 6 gleichen.

Abbildung 6: Ein kurzer Aufruf gibt darüber Aufschluss, ob sich der Samba-Server schon erreichen lässt.

Wie YaST die von Ihnen getroffenen Vorgaben für Samba umgesetzt hat, sehen Sie sich ganz einfach an, indem Sie die Konfigurationsdatei /etc/samba/smb.conf mit einem Editor öffnen. Alternativ rufen Sie auf der Kommandozeile den Befehl testparm -s auf. Dessen Ausgabe zeigt Listing 1.

[global]
  workgroup = TULPENSTRASSE
  map to guest = Bad User
  printcap name = cups
  add machine script = /usr/sbin/useradd  -c Machine -d /var/lib/nobody -s /bin/false %m$
  logon script = logon.bat
  logon path = \\%L\profiles\.msprofile
  logon drive = P:
  logon home = \\%L\%U\.9xprofile
  domain logons = Yes
  os level = 65
  preferred master = Yes
  domain master = Yes
  wins support = Yes
  usershare allow guests = Yes
  cups options = raw
[homes]
  comment = Home Directories
  valid users = %S, %D%w%S
  read only = No
  inherit acls = Yes
  browseable = No
  browsable = No
[profiles]
 comment = Network Profiles Service
  path = %H
  read only = No
  create mask = 0600
  directory mask = 0700
  store dos attributes = Yes
[printers]
  comment = All Printers
  path = /var/tmp
  create mask = 0600
  printable = Yes
  browseable = No
  browsable = No
[print$]
  comment = Printer Drivers
  path = /var/lib/samba/drivers
  write list = @ntadmin, root
  force group = ntadmin
  create mask = 0664
  directory mask = 0775
[netlogon]
  comment = Network Logon Service
  path = /var/lib/samba/netlogon
  write list = root
[shared]
  comment = Für alle
  path = /home/shared
  read only = No
  inherit acls = Yes

Klebearbeiten

Damit der Samba-Server die Namensauflösung für das SMB-Netz übernehmen kann, müssen Sie ihm noch sagen, welcher Rechnername mit welcher IP-Adresse korrespondiert. Das erledigen Sie der Einfachheit halber über die Datei /etc/hosts, die Samba bei der Namensauflösung via WINS mit auswertet. In unserem Beispiel sähe der relevante Teil wie folgt aus:

192.168.178.24   samba
192.168.178.23   win7
192.168.178.26   linux

Bislang gibt es noch keine Samba-Benutzer, die auf Freigaben zugreifen könnten. Die erstellen Sie nun auf Basis von Linux-Benutzerkonten. Auch jeder Benutzer, der sich an einem Windows-7-Client anmeldet, benötigt dazu auf dem Samba-Server einen Linux-Account. Sie erstellen neue Benutzerkonten entweder via YaST oder auf der Konsole mit dem Befehl useradd.

Das Kommando smbpasswd -a User erzeugt anschließend ein Samba-Benutzerkonto in einer eigenen Datenbank und fragt auch gleich dessen Passwort ab. Genau das tat auch YaST, als es am Ende der Konfiguration nach einem Passwort für den Benutzer root fragte. Die Datei /etc/samba/smbusers legt fest, welcher Benutzer unter Linux welchem Windows-Benutzer entspricht. Einen solchen Eintrag – root = Administrator – erstellt YaST bei der Einrichtung von Samba bereits automatisch.

Was für Benutzer unter Linux und Windows gilt, gilt gleichermaßen für Gruppen. Hier muss der Samba-Server wissen, welche Gruppe unter Linux welcher Gruppe unter Windows entsprechen soll. Die entsprechende Zuweisung nehmen Sie über den Befehl net vor, den es auch unter Windows gibt, allerdings mit unterschiedlichen Optionen. Die Funktion groupmap etwa gibt es im Windows-Werkzeug net nicht; unter Linux bilden Sie damit Linux- auf Windows-Gruppen ab (Listing 2). Weitere Informationen zum net-Befehl von Samba erhalten Sie durch Aufruf des Befehls ohne Optionen. Einen noch genaueren Einblick verschafft die Manpage (man net).

# net groupmap add ntgroup="Domain Admins" unixgroup=root type=d
# net groupmap add ntgroup="Domain Users" unixgroup=users type=d

Sollen weitere Windows-Benutzer in dafür bestimmten Gruppen Zugriff auf die Daten erhalten, müssen Sie die entsprechenden Konten und Gruppen unter Linux mit useradd und groupadderstellen und dann wieder auf Linux-Pendants abbilden. Gibt es etwa die Windows-Benutzergruppe Accounting für die Finanzverwaltung eines Kleinunternehmens, erzeugen die beiden Befehle aus Listing 3 eine entsprechende Samba-Benutzergruppe:

groupadd finanzen
net groupmap add ntgroup=Accounting unixgroup=finanzen type=d

Willkommen

Damit ein Windows-7-Client den Samba-Server im Netz sieht und darauf zugreifen kann, muss die Windows-Namensauflösung klappen. Der dazu notwendige Eintrag findet sich in den Netzwerkeinstellungen des Clients. Klicken Sie in den Eigenschaften des Internetprotokolls TCP/IP der Version 4 (TCP/IPv4) auf den Schalter Erweitert. Im nun erscheinenden Dialog (Abbildung 7) tragen Sie die Adresse des WINS-Servers ein – in unserem Fall also diejenige des Samba-Servers.

Abbildung 7: Auf dem Windows-Client müssen Sie noch die Adresse des WINS-Server angeben.

Es liegt der Gedanke nahe, nun über den Befehl ping samba auf der Windows-Kommandozeile zu prüfen, ob die Namensauflösung via Samba-Server funktioniert. Noch aber schlägt der Versuch fehl: Die Firewall des Samba-Servers blockiert Zugriffe auf den entsprechenden Port, sodass die WINS-Anfragen den für die Namensauflösung verantwortlichen Daemon nmbd garnicht erreichen. In den YaST-Firewall-Einstellungen in der Rubrik Sicherheit und Benutzer wählen Sie den zu erlaubenden Dienst bequem aus einem Menü aus – in diesem Fall die Option Netbios Server (Abbildung 8).

Abbildung 8: In den Firewall-Einstellungen von YaST öffnen Sie bequem die für Samba benötigten Ports.

Jetzt klappt auch die Namensauflösung unter Windows. Bevor der Windows-7-PC aber Mitglied der Domäne TULPENSTRASSE beitreten kann, steht noch eine Änderung in der Registrierungsdatenbank von Windows 7 an. Einen passenden Patch für die Registry in Form einer REG-Datei, den Sie mit einem Doppelklick einspielen, stellt das Samba-Projekt bereit [2]. Windows 7 fragt dabei im Stil von Sudo nach erweiterten Benutzerrechten – nach dem Patch und einem Neustart klappt der Beitritt in die Domäne.

Dazu genügt es, im Windows-Startmenü mit einem Rechtsklick auf Computer die Systemeigenschaften aufzurufen holen und mit Einstellungen ändern der Domäne TULPENSTRASSE beizutreten (Abbildung 9). Die dabei erscheinende Fehlermeldung, dass es einen Fehler beim Ändern des DNS-Namens gegeben hätte, können Sie getrost ignorieren [3].

Systemsteuerung treten Sie mit dem Windows-Client der neuen Domäne bei.” width=”300″ height=”225″ /> Abbildung 9: Über die Systemsteuerung treten Sie mit dem Windows-Client der neuen Domäne bei.

Abbildung 10 zeigt den Windows-Anmeldebildschirm nach dem Beitritt in die Domäne TULPENSTRASSE. Dabei existiert der Benutzer ruth auch unter Linux und hat dort eine zusätzliche Identität in der Samba-Datenbank Tdbsam. Das ebenfalls dort vorhandene, mit smbpasswd erzeugte Passwort nutzt Windows 7 für die Anmeldung.

Abbildung 10: So sieht die Domänenanmeldung auf dem Windows-7-Client aus.

Nach der Anmeldung zeigt das Windows-Startmenü einen Eintrag mit dem Benutzernamen in der rechten oberen Ecke. Mit einem Klick darauf gelangen Sie an die persönlichen Daten des Benutzers. Das Bibliotheksmodell von Windows 7 mit dem Prinzip, Daten in Rubriken aufzuteilen, spiegelt sich in diesem Ordner in Form des Desktops, von Downloads, Dokumenten, eigenen Bildern und weiteren Einträgen wieder. Alle Daten landen, wie im Abschnitt [profiles] der Samba-Konfiguration mit der Option path = %H angegeben (Listing 1, Zeile 28), im Home-Verzeichnis des Benutzers auf dem Samba-Server in einem Ordner namens .msprofile.V2.

Um nun unter Dokumente gespeicherte Daten auch auf dem Samba-Server verfügbar zu machen, verlegen Sie einfach den entsprechenden Pfad. Dazu klicken Sie mit der rechten Maustaste auf Dokumente, wählen die Eigenschaften und tragen im Reiter Pfad das neue Ziel ein. Dazu verwenden Sie den Pfad zum Netzlaufwerk des Home-Verzeichnisses unter Linux. Dank der Homes-Sektion (siehe Tabelle “Samba-Freigabenamen”) in der Samba-Konfiguration (Listing 1, Zeile 18 bis 24) lässt sich dazu die Freigabe \\samba\ruth\Dokumente nutzen. Sollte das Verzeichnis auf dem Samba-Server noch nicht existieren, bietet Windows 7 an, es neu zu erstellen (Abbildung 11).

Abbildung 11: Den Speicherpfad für die Dokumente eines Nutzers biegen Sie ganz einfach auf dem Samba-Server um.

Standardmäßig schaltet Windows 7 Offlinedateien ein. Dabei hält Windows lokal Kopien der Dateien vor, die auf dem Samba-Server liegen. So können Sie auch dann mit den Inhalten arbeiten, wenn gerade keine Verbindung zum Server besteht, und die Änderungen später mit den Inhalten auf dem Server abgleichen. Falls Sie dieses Feature nicht nutzen möchten, schaltet Sie es für einzelne Order in deren Eigenschaften aus (Abbildung 12) oder deaktivieren es gleich ganz.

Offlinedateien arbeiten Sie mit lokalen Datenkopien, solange keine Verbindung zum Server besteht.” width=”246″ height=”300″ /> Abbildung 12: Über Offlinedateien arbeiten Sie mit lokalen Datenkopien, solange keine Verbindung zum Server besteht.

Detailarbeiten

Neben ihrem Home-Verzeichnis, für das kein spezielles Mapping notwendig ist, sollen alle Benutzer auf bei der Konfiguration eigens angelegte Freigabe shared Zugriff erhalten. Um den Benutzern zu ersparen, dazu manuell per net use ein Laufwerk einbinden zu müssen, können sie diese Mapping auch automatisieren. Dazu besteht die Möglichkeit, auf dem Samba-Server Skripte abzulegen, die jeder Client bei der Anmeldung ausgeführt. Diese Skripte verteilt ein Windows-Netzwerk in der Netlogon-Freigabe (siehe Tabelle “Samba-Freigabenamen”).

Damit Samba weiß, das es ein solches Skript gibt und wie es heißt, fügen Sie dem Abschnitt [global] der Samba-Konfiguration die Zeile logon script = logon.bat hinzu (Listing 1, Zeile 6). Erledigen Sie das mit einem Texteditor direkt in der Konfigurationsdatei, müssen Sie anschließend die Samba-Konfiguration mit /etc/init.d/smb reload neu laden.

Via YaST treffen Sie die entsprechende Einstellung in der Samba-Konfiguration unter Identität bei den erweiterten Einstellungen unter Globale Einstellungen für Experten. Dort tragen Sie die Optionen und einen Wert dazu ein (Abbildung 13). Nach dem Bestätigen der Änderung mit OK sorgt YaST automatisch dafür, dass Samba die Konfiguration neu lädt.

Abbildung 13: Über YaST fügen Sie der Samba-Konfiguration bei Bedarf zusätzliche Optionen hinzu.

Client-Skripte wie die Datei logon.bat müssen sich auch von Windows-Rechnern lesen lassen. Deshalb müssen Sie darauf achten, das die Zeilen einer solchen Batchdatei mit der Sequenz Wagenrücklauf/Zeilenvorschub (CR+LF) enden statt nur mit einem Zeilenvorschub wie bei Linux. Dem Standard-Editor unter Linux, Vi, teilen Sie mit dem Kommando : set ff=dos mit, dass er die Zeilenenden mit CR+LF kodieren soll.

Standardmäßig legt YaST das Netlogon-Verzeichnis für die Freigabe unter /var/lib/samba/netlogon an. Hier muss auch das Anmelde-Skript logon.bat liegen, damit Windows 7 es bei der Anmeldung des Benutzers findet und ausführt. Der Inhalt sieht für unser Beispiel wie folgt aus:

@echo off
net use S: \\samba\shared

Daneben kann das Skript bei Bedarf noch viele weitere Aufgaben erledigen – eben alles das, was die Clients bei der Anmeldung automatisch erledigen sollen.

Druckerei

YaST erkennt automatisch alle am Rechner angeschlossenen Drucker unter Drucker im Bereich Hardware. Dort lassen sich über die Option Bearbeiten grundlegende Einstellungen für den Druckerbetrieb vornehmen (Abbildung 14). Dabei arbeitet YaST mit den Befehlen, die das Common Unix Printing System (Cups, [4]) bereitstellt und über einen Webservice ebenfalls als Frontend zur Konfiguration von Druckern anbietet (Abbildung 15).

Abbildung 14: YaST erkennt an den Rechner angeschlossene Drucker automatisch und erlaubt deren Konfiguration.

Abbildung 15: Cups offeriert ein komfortables Webfrontend zur Verwaltung von Druckern.

Dank der Option printcap name = cups und des Abschnitts [printers] in der Konfigurationsdatei (Listing 1, Zeilen 4 und 34 bis 40) weiß Samba, dass es über Cups als Metadienst alle Drucker allen angemeldeten Windows-Clients anbieten soll. Dass das auch funktioniert, sehen Sie, wenn Sie im Client den UNC des Samba-Servers (\\samba) eingeben: Unter den angezeigten Freigaben finden sich auch die an dem Server angeschlossenen den Drucker (Abbildung 16). Auch hier muss die Firewall wieder Anfragen an den CUPS-Server durchlassen, wofür Sie beispielsweise via YaST sorgen (Abbildung 8).

Abbildung 16: An den Server angeschlossene Drucker finden sich unter den Samba-Freigaben.

Bei einem Doppelklick auf den Drucker unter Windows 7 erscheint die Fehlermeldung, dass kein Windows-Treiber auf dem Server zu finden sei, den der Windows 7-Client herunterladen könnte. Die Druckertreiber fraglichen Treiber erhalten Sie aus der Windows-7-Installation; es handelt sich um die Dateien ps5ui.dll, pscript.hlp, pscript.ntf, pscript5.dll. Sie finden Sie in Unterverzeichnissen von C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\: In W32X86\3 liegen die 32-Bit-Treiber, in X64\3 die 64-Bit-Treiber. Sie kopieren die Dateien nach /usr/share/cups/drivers respektive /usr/share/cups/drivers/x64, wobei Sie die Dateinamen noch in Kleinbuchstaben konvertieren müssen, damit Samba sie korrekt anbieten kann.

Mit dem Kommandozeilenbefehl cupsaddsmb -a fügen Sie nun alle Druckertreiber in den unter [print$] in der Samba-Konfiguration angegeben Pfad ein (Zeilen 42 bis 48). Da es sich dabei um eine Freigabe handelt, die das Windows-Treibermodell genauestens abbildet, weiß der Windows-7-Client nun, wo er bei einem Doppelklick auf den Drucker die Treiber herunterladen kann. Nähere Einzelheiten dazu finden Sie in der Manpage zum Befehl unter man cupsaddsmb.

Fazit

Mit OpenSuse und Samba bauen Sie in wenigen Minuten ein kleines Heim- oder Büronetzwerk mit Linux- und Windows-Rechnern auf. Es gilt nur einige kleine Details zu beachten und sich ein wenig in das Verständnis eines kleines Netzwerk einzuarbeiten.

Treten im Zusammenspiel mit Windows 7 unerwartet Probleme auf, lohnt der Einsatz der Samba-Version 3.4.3, die einen speziellen Windows-7-Bug berücksichtigt. Samba 3.4.3 erhalten Sie man aus den OpenSuse-Repositories [5] oder – für eine Vielzahl an Distributionen – bei der Firma SerNet [6].