Handbuch - Univention
Handbuch - Univention
Handbuch - Univention
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
8.3 Dienste einer Samba-Domäne<br />
univention-samba eingerichtet werden. Bei der nachträglichen Installation muß zum Abschluss der Be-<br />
fehl univention-run-join-scripts aufgerufen werden.<br />
Auf Memberservern heisst die Installer-Komponente Windows Memberserver (Samba 3 / Samba 4).<br />
Alternativ können die Pakete univention-samba und winbind installiert werden.<br />
8.2.2 Installation / Aufbau einer Domäne mit Samba 4<br />
Samba 4 kann nur auf UCS-Domänencontrollern installiert werden.<br />
Im <strong>Univention</strong> Installer ist die Komponente Active Directory-kompatibler Domänencontroller (Samba<br />
4) auszuwählen. Eine Installation auf der Kommandozeile erfolgt mit dem Paket univention-samba4. Auf<br />
den Systemrollen Domänencontroller Master und Domänencontroller Backup muss zusätzlich univention-<br />
s4-connector installiert werden (bei der Installation über den <strong>Univention</strong> Installer wird das Connector-<br />
Paket automatisch mitinstalliert).<br />
Zur Installation eines Samba-Member-Servers ist auf einem UCS-Memberserver im <strong>Univention</strong> Installer<br />
die Komponente Windows Memberserver (Samba 3 / Samba 4) auszuwählen. Alternativ können die<br />
Pakete univention-samba und winbind installiert werden.<br />
8.3 Dienste einer Samba-Domäne<br />
8.3.1 Authentifizierungsdienst<br />
Unter Samba 3 werden die Benutzerkennwörter im UCS-LDAP gespeichert. Benutzer werden bei der<br />
Domänenanmeldung mit Benutzernamen und Passwort gegen das LDAP-Verzeichnis authentifiziert und<br />
können dann auf alle freigegebenen Ressourcen der Domäne zugreifen ohne Benutzernamen und Pass-<br />
wort erneut eingeben zu müssen. Rechner mit jeglicher Art von Windows-Betriebssystem werden wie in<br />
Windows NT-Domänen über das NTLMv2-Protokoll authentifiziert.<br />
Unter Samba 4 werden die Samba-Benutzerkonten komplett durch Samba verwaltet. Die Synchronisati-<br />
on zwischen den UCS-LDAP und Samba erfolgt durch einen internen Systemdienst, den <strong>Univention</strong>-S4-<br />
Connector. Benutzer, die sich an einem Windows-System anmelden, das in einen Samba4-Server gejoint<br />
ist, erhalten bei der Anmeldung ein Kerberos-Ticket, mit dem die weitere Authentifizierung durchgeführt<br />
wird. Mit diesem Ticket wird dann auf die Ressourcen der Domäne zugegriffen. Für eine funktionierende<br />
Kerberos-Authentifizierung ist eine Synchronisation der Systemzeiten zwingend erforderlich.<br />
Benutzeranmeldungen können nur auf Microsoft Windows-Systemen erfolgen, die der Samba-Domäne<br />
beigetreten sind. Der Domänenbeitritt ist in Kapitel 3.2.2 dokumentiert.<br />
Mischumgebungen aus Samba 3- und Samba 4-Domänencontrollern sind nur für Update-Szenarien un-<br />
terstützt und werden im <strong>Univention</strong> Wiki [3] weitergehend beschrieben.<br />
8.3.2 Dateidienste / File-Server<br />
Die in UCS integrierten Dateidienste unterstützen eine Bereitstellung von Freigaben auf Basis von CIFS<br />
(siehe Kapitel 10). Sofern das unterliegende Dateisystem Access Control Lists (ACLs) unterstützt (ver-<br />
wendbar bei ext3, ext4 und XFS) sind ACLs auch von Windows-Clients verwendbar. Samba 4 setzt zwin-<br />
gend ein Dateisystem mit XATTR-Unterstützung voraus.<br />
125