Startseite   |  Site map   |  A-Z artikel   |  Artikel einreichen   |   Kontakt   |  
   

informatik artikel (Interpretation und charakterisierung)

Windows

Linux als server


1. Java
2. Viren



Im diesem Kapitel wird beschrieben, wie man Samba als Fileserver einsetzt und eine Domäne aufbaut, an der sich Windows-Clients anmelden können.

5.1 Möglichkeiten und Einschränkungen

Samba bietet viele Features, die es erlauben es nicht nur als File- und Printserver, sondern auch als Anmeldeserver einzusetzen. Dabei kann man sogar so weit gehen, Samba als PDC zu nutzen, an dem sich ein Windows-Client anmelden, und ein benutzerspezifisches Profil herunterladen kann.
Wegen der prinzipiellen Unvereinbarkeit von Windows und Unix gibt es allerdings noch eine Menge Funktionen, die in Samba noch nicht oder nur teilweise implementiert sind. So gibt es z.B. bei den folgenden Punkten noch Schwierigkeiten bzw. Einschränkungen:

 Die Verwaltung von Samba über die Windows-Werkzeuge: Da etliche Remote Procedure Calls (RPCs) noch nicht implementiert sind, lässt sich der Sambaserver weder mit dem Benutzermanager für Domänen (Benutzerverwaltung), noch mit dem Server Manager (Computerkonten), noch mit dem Explorer (Berechtigungen für Dateien und Freigaben) verwalten.
 Replikation für BDCs: Man kann keine Server (Windows oder Samba) als BDCs einrichten, da die Replikationsmechanismen hierfür fehlen.
 Benutzerlisten für bestimmte Freigaben: In Samba gibt es noch keine Möglichkeit, sich Benutzerlisten für bestimmte Ressourcen anzeigen zu lassen und diese gezielt zu manipulieren. Dies lässt sich nur indirekt über die smb.conf realisieren.

Des weiteren gilt es beim Einsatz von Samba als PDC zu beachten, dass man viele Verwaltungsprogramme für Domänen, die für den Windows-Server existieren, nicht nutzen kann, wie z.B. den Systems Management Server (SMS).
Meiner Meinung nach ist Samba eine sinnvolle Alternative, wenn es entweder um kleine Netze geht, die eine zentrale Benutzerverwaltung und Roaming Profiles haben sollen oder um Unixnetze, in denen auch Windows Clients mit eben diesen Möglichkeiten genutzt werden sollen.
Ansonsten macht Samba lediglich als reiner File- und Printserver Sinn, da man mit Linux ein günstiges, Hardwaresparendes und gut skalierbares System erhält, dass sich in Punkto Leistung in jedem Fall mit dem Windows-Server messen kann und in Punkto Stabilität und Administrationsmöglichkeiten diesen sogar übertreffen kann.

Soll Samba als Fileserver dienen, so stellen sich für den Rechner auf dem es läuft keine besonders hohen Hardwareanforderungen (jedenfalls solange er nur als Fileserver dient), es ist jedoch sinnvoll den Rechner aufgrund der guten Erweiterbarkeit und Performance (Beschleunigung durch Parallelzugriffe und im allgemeinen geringfügig schnellere Platten) als SCSI System aufzubauen.

5.2 Grundlegende Unterschiede zwischen Unix und Windows

Bei der Entwicklung von Samba gilt es, mehrere grundlegende Unterschiede zwischen Windows und Unix zu bedenken, die eigentlich für eine Unvereinbarkeit der beiden Betriebssystemwelten sprechen.

Einer der wichtigsten Unterschiede sind die Zugriffsrechte auf Dateiebene. Während unter Unix hierfür die Dateiattribute, die für die Benutzer bzw. die Gruppen gelten, zuständig sind, existieren unter Windows sogenannte Access Control Lists (ACL) die separat gemanagt werden (z.B. über den Explorer bzw. den Benutzermanager).
Neben den Dateiattributen sind auch die Dateinamen und der Zeitstempel in DOS/Windows und Unix unterschiedlich, weshalb man Samba dementsprechend konfigurieren muss

Windows und DOS wurden nicht für lange Dateinamen konzipiert, Windows verwaltet nach wie vor zwei Namen, einen langen nach außen und einen achtstelligen nach innen.
Unix kann von Haus aus Dateien mit langen Namen und gemischter Groß- und Kleinschreibung verwalten, daher muss eine Konvertierung stattfinden.

Samba ist von Haus aus so eingestellt, dass es mit den Eigenheiten der Systeme umgehen kann und z.B. nicht zwischen Groß- und Kleinschreibung unterscheidet. Deshalb muss Samba dann immer eine Suche nach passenden Namen durchführen, falls ein Windows Client z.B. eine Datei namens \"hallo " anfordert, die aber in Wirklichkeit \"Hallo " heißt.

Ein weiterer Unterschied besteht in der Art Passwörter zu verschlüsseln. Windows und Unix arbeiten zwar beide nach dem Prinzip der \"Einweg-Verschlüsselung ", dennoch ist der Verschlüsselungsalgorithmus unterschiedlich, und das bedeutet, dass Samba ein Windows-Passwort nicht mit einem Unix-Passwort abgleichen kann.
Will man die verschlüsselte Passwortübertragung verwenden, macht dies eine eigene Datenbank für Samba Accounts erforderlich.

5.3 Anlegen einer Benutzerdatenbank

Will ein Windows Benutzer einen eigenen Zugang haben, muss er zunächst auch als Linuxbenutzer einen Eintrag in der datei /etc/passwd haben.
Soll sich der Benutzer nur per SMB-Client am Samba Rechner anmelden können und nicht unter Linux, genügt es, seine Shell auf \"/bin/false " zu setzen, zusätzlich kann man ihm die Eingabe eines gültigen Passworts durch Setzen dieses auf z.B. "-1\" unmöglich machen.

Die Benutzerzuordnung findet entweder über den Benutzernamen statt oder über eine Zuordnungsdatei, welche einen oder mehrere Windows Benutzer auf einen Unix Account mappt. Kann man auf eigene Profile bzw. Passwörter für einzelne Benutzer verzichten, so trägt man in einer Datei, deren Name und Pfad in der smb.conf durch den Parameter \"username map " festgelegt wird, z.B. Folgendes ein:
root = administrator

pitti = \"Peter Schmidt\"
schueler= alexander, carsten, sabrina, mario

Nun kann man ihm mit dem Programm smbpasswd einen Samba Account erzeugen bzw. dessen Passwort ändern.
Passwörter können verschlüsselt werden, jedoch zur Authentifizierung nicht entschlüsselt. Stattdessen wird das Passwort bei der Eingabe auch verschlüsselt und das Chiffrat mit dem abgespeicherten Passwortchiffrat (Fingerprint) verglichen.


5.4 Berechtigungen für Freigaben

Wie bei Windows kann man für den Zugriff auf Freigaben bestimmte Benutzer mit unterschiedlichen Rechten ausstatten. Allerdings müssen hierfür sowohl die Unix- als auch die Sambaberechtigungen aus der smb.conf stimmen. Unter Samba sind hierfür folgende Parameter zuständig:

 writeable - yes/write ok - yes/read only - no: Hier hat man die Wahl zwischen drei Parametern, die alle die gleiche (bei read only invertierte) Bedeutung haben. Der Parameter bestimmt, ob ein Verzeichnis generell zum Schreiben (Erzeugen und ändern von Dateien/Verzeichnissen) freigegeben ist oder nicht. Wird das share auf schreibgeschützt gesetzt, kann es mit der write list für bestimmte Benutzer wieder zum Schreiben freigegeben werden. Die Voreinstellung lautet \"writeable -no ".
 valid users/invalid users: Hiermit kann man eine Liste der Benutzer angeben, die überhaupt Zugriff auf das share haben, bzw. keinen Zugriff haben. Gruppen lassen sich mit einem vorangestellten \'@\' kennzeichnen (\"valid users - @schueler "). Der Standardwert ist jeweils eine leere Liste, was zur Folge hat, dass jeder zugreifen kann.
 read list: Mit der read list lässt sich angeben, wer Dateien/Verzeichnisse eines shares lesen kann. Gruppen können ebenfalls angegeben werden. Der Standardwert ist eine leere Liste, jeder kann lesen.
 write list: Hiermit kann ein share nur für bestimmte Benutzer schreibbar gemacht werden. Ist ein Benutzer auch in der read list, erhält er hierdurch trotzdem Schreibrechte. Gruppen lassen sich ebenfalls angeben. Der Standardwert ist auch hier eine leere Liste, also jeder kann schreiben. Durch Kombination dieser Parameter lassen sich relativ genau bestimmte Benutzer/Gruppen festlegen bzw. gezielt ausschließen.

Beim Erstellen von Dateien und Verzeichnissen muss festgelegt sein, welche Berechtigungen diese haben.
Dazu dienen die Parameter \"create mask " und \"force create mode " für Dateien, und \"directory mask " und \"force directory mode " für Verzeichnisse. Ebenso lassen sich die Besitzverhältnisse der Dateien mit den Parametern \"force group " und \"force user " festlegen.

Auf einem Fileserver wird man in der Regel drei Arten von shares haben:


 Homeverzeichnisse
 Teamverzeichnisse

 Öffentliche Verzeichnisse

Für alle Freigaben gilt, dass die Unixrechte der Freigaben (und der darüber liegenden Verzeichnisse) den Einträgen in der smb.conf entsprechen müssen, was normalerweise bedeutet, dass die Rechte mit denen Werten von \"create mask " und \"directory mask " übereinstimmen müssen, und alle Verzeichnisse darüber das Ausführbit (wechseln) für alle gesetzt haben.


5.5 Domänenintegration

Will man eine windowskompatible Domäne aufbauen, kommt man wegen des Sicherheitskonzeptes (SID, Security Identifier, eine eindeutige Benutzerkennung, die sowohl der Server als auch jeder Client besitzt) nicht umhin, ein Computerkonto für jeden PC anzulegen. Dieses entspricht, bis auf kleine Abweichungen, einem normalen Benutzerkonto. Zunächst ist es nötig, in der Datei /etc/passwd einen Benutzer mit dem Namen der Workstation und einem angehängten $ Zeichen zu erstellen. Dies ist nur nötig, um eine UID zu erhalten, deshalb sollten diese auch nicht mehrfach verwendet werden. Die Shell und das Homeverzeichnis können disabled werden:
BART$:801:800:NT Workstation:/dev/null:/bin/false
MAGGIE$:802:800:NT Workstation:/dev/null:/bin/false

Nun werden die Sambakonten angelegt. Standardmäßig hat der Computer ein Passwort, das seinem NetBIOS-Namen in Kleinschreibung entspricht. Dieses ändert er, wenn er der Domäne beitritt, indem er auf Basis des alten Keys und eines Zufallswertes ein neues Passwort erstellt. Deshalb muss man, will man den PC neu in die Domäne aufnehmen, das Passwort der Maschine am Server reseten, z.B. durch Löschen und Neuaufnehmen des Accounts in die smbpasswd. Falls noch nicht geschehen, muss man nun in der smb.conf die Option \"domain logons - yes " setzen, und als \"workgroup " den Namen der Domäne eintragen.
Beim nächsten Starten des smbd wird dann eine Datei namens MACHINE.SID erzeugt, die gut aufbewahrt werden sollte, wenn man abgeneigt ist alle Computer neu in die Domäne aufzunehmen.
Nun muss man an der Windows Maschine in den Netzwerkeigenschaften als Domäne den Namen der Domäne eintragen und wird dann hoffentlich in dieser Willkommen geheißen.

Nach einem Neustart kann man sich dann an der Domäne anmelden, natürlich nur mit einem gültigen Domänenmitgliedsaccount (Samba Benutzer). Durch die Aufnahme in die Domäne sind auf dem lokalen PC zwei weitere Benutzergruppen hinzugefügt wurden, die Domänenadmins " und die \"Domänenbenutzer ". Welche Unix Benutzer/Gruppen diesen Gruppen angehören, regeln die Parameter \"domain admin group " bzw. \"domain admin user " und \"domain group ".
Natürlich kann ein Samba Server auch einer bereits existierenden Domäne beitreten, er braucht dann lediglich ein Konto auf dem PDC (Samba oder Windows) und dann kann auf Wunsch auch die Passwortvalidierung an Windows-Server weiterreichen. Das Kommando hierzu lautet smbpasswd -j Domänenname und bedingt folgende Einstellungen in der smb.conf:

security = domain
workgroup = \"GCL-Schule\"
# Liste der Domänencontroller (PDC und BDCs)
password server = NTPDC, NTBDC1, NTBDC2

5.6 Benutzerprofile für Windows Clients

Benutzerprofile sind sowohl Einstellungen eines Benutzers (z.B. Hintergrundbild) als auch seine persönlichen Ordner (z.B. das Startmenü) und Dateien (Eigene Dateien, Desktopsysmbole).
Bei der Verwendung von wandernden Profilen erhält jeder User an jedem PC, an dem er sich anmeldet, das gleiche Profil, das beim Abmelden auf den Server zurückgespeichert wird. Die Profile liegen auf einem share namens \"Profiles ", das wiederum im netlogon Pfad liegt. Mit dem Parameter \"logon path " gibt man den Pfad zum Profiles share an, das man ebenfalls in der smb.conf definiert hat.

Wegen eines Problems mit Windows ist es nicht sehr ratsam das Profil im Homeverzeichnis eines Benutzers abzulegen.
Es empfiehlt sich deshalb, ein separates share \"Profiles " anzulegen. Dieses share muss sowohl browseable als auch writeable für alle Benutzer sein, solange neue Benutzerprofile dazukommen sollen. In der Beispielkonfiguration unten ist auch ein Beispiel für das Profiles share zu finden. Wenn sich der Benutzer zum ersten Mal anmeldet, wird sein Profilverzeichnis erzeugt, das durch den \"logon path " angegeben wurde. Für Windows-Clients ist der Parameter \"logon drive " sinnvoll, besonders in Verbindung mit dem Parameter \"logon home ". Folgende Einstellungen bewirken, dass der Benutzer beim Anmelden sein Unix-Homeverzeichnis als Laufwerk p: gemountet bekommt:

logon drive = p:
logon home = " "%L "%U

Bestehende Profile lassen sich von Windows aus über die Systemeigenschaften (Reiter Benutzerprofile) auch nachträglich in servergespeicherte Benutzerprofile umwandeln, was z.B. die Umstellung von Arbeitsgruppen auf Domänen unter Beibehaltung der Profile möglich macht.

 
 





Datenschutz
Top Themen / Analyse
Aufgabenstellung 2c - Standardsoftware
Bitübetragungsschicht
Die Flusskontrolle
Lnternet-Adresse (URL)
Hauptkomponenten
Homebanking - Einführung
Festplatte regelmäßig defragmentieren
Batch Files unter Windows 95
Sicherungsschicht
Das E-Mail System des Internets






Datenschutz
Zum selben thema
Netzwerk
Software
Entwicklung
Windows
Programm
Unix
Games
Sicherheit
Disk
Technologie
Bildung
Mp3
Cd
Suche
Grafik
Zahlung
Html
Internet
Hardware
Cpu
Firewall
Speicher
Mail
Banking
Video
Hacker
Design
Sprache
Dvd
Drucker
Elektronisches
Geschichte
Fehler
Website
Linux
Computer
A-Z informatik artikel:
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z #

Copyright © 2008 - : ARTIKEL32 | Alle rechte vorbehalten.
Vervielfältigung im Ganzen oder teilweise das Material auf dieser Website gegen das Urheberrecht und wird bestraft, nach dem Gesetz.