Ubuntu Samba Netzwerk Freigabe an Windows Active-Directory Gruppe binden

Grundlage:

  • Grundlegend installiertes Ubuntu
  • Einen Ordner namens testordner z.B. im root Verzeichnis /testordner
  • Erweiterung der Ubuntu um die folgenden Pakete:
    • apt-get install samba smbfs smbclient
    • apt get install winbind
    • apt-get install krb5-user libpam-krb5 libpam-ccreds auth-client-config libpam-winbind libnss-winbind

Anpassung der /etc/krb5.conf

[libdefaults]
default_realm = MEIN-DOMAINNAME.LOCAL
dns_lookup_realm = true
dns_lookup_kdc = true
forwardable = true

[realms]
MEIN-DOMAINNAME = {
kdc = name-eines-domaincontrollers.mein-domainname.local
kdc = name-eines-weiteren-domaincontrollers.mein-domainname.local
default_domain = mein-domainname.local
}

[domain_realm]
.mein-domainname = MEIN-DOMAINNAME.LOCAL
mein-domainname = MEIN-DOMAINNAME.LOCAL

Anpassen der /etc/nsswitch.conf

Erweitern der Einträge passwd und Group um den Eintrag winbind

passwd:         compat winbind
group:          compat winbind

Anpassen der /etc/samba/smb.conf

[global]
Security = ADS
workgroup = MEIN-DOMAINNAME
realm = MEIN-DOMAINNAME.LOCAL
preferred master = no
server string = %h server (Samba, Ubuntu)
encrypt passwords = yes
winbind separator = +
winbind use default domain = true
winbind offline logon = false
winbind enum users = yes
winbind enum groups = yes
winbind nested groups = yes
guest ok = yes

log level = 3
log file = /var/log/samba/log.%m
max log size = 1000

syslog = 0
panic action = /usr/share/samba/panic-action %d

idmap uid = 10000-99999
idmap gid = 10000-99999

[scripts]
path = /testordner
available = yes
valid users = @benutzergruppe-im-ad-server
read only = no
browsable = yes
public = yes
writable = yes

Neustart der beteiligten Dienste

service smbd restart
service winbind restart

Aufnahme des Linux In das bestehende Active-Directory

net ads join -U Administrator@MEIN-DOMAINNAME.LOCAL
#Klar, nun fragt er nach dem Kennwort des Benutzers Administrator aus dem Active Directory

Grundlegende Befehle, um die Funktion zu prüfen

#zeigt Gruppen an
getent group | grep teil-des-gruppennamens-aus-dem-ad

#zeigt Benutzer an, lokal und vom AD
wbinfo -u

#zeigt Gruppen an, lokal und vom AD
wbinfo -g

# Zugangsdaten an der AD testen
wbinfo -a MEIN-DOMAINNAME+Administrator