Samba 4 Quickstart für UCS 3.2

From Univention Wiki

Jump to: navigation, search
Produktlogo UCS Version 3.2
Sprachen: Flag de.gif DeutschFlag usa.gif English

Samba 4 ist die nächste Generation der Samba-Suite. Die wichtigste Neuerung von Samba 4 besteht in der Unterstützung von Domänen-, Verzeichnis- und Authentifizierungsdiensten, die kompatibel zu Microsoft Active Directory sind. Mit Samba 4 realisierte Domänen ermöglichen auch die Verwendung der von Microsoft bereit gestellten Werkzeuge für die Verwaltung von Benutzern oder Gruppenrichtlinien (GPOs).

Univention stellt mit Univention Corporate Server eine für den Produktivbetrieb getestete Version von Samba 4 bereit.

Dieser Quickstart Guide bietet einen Startpunkt für die Verwendung von Samba 4 mit UCS und beschreibt die Einrichtung eines Domänencontrollers mit Samba 4, die Einrichtung eines Memberservers für Datei- und Druckdienste und den Beitritt eines Microsoft Windows 7-Systems in die Samba-Domäne.

Vorbereitung

Für diesen Quickstart Guide wird zur Installation von Univention Corporate Server (UCS) das DVD-ISO benötigt, das kostenlos auf der Webseite zum Download bereit steht. Die Installation von UCS wird im UCS Quickstart Guide beschrieben. Dieses Tutorial hier beschreibt die vom UCS Quickstart Guide abweichend vorzunehmenden Einstellungen für die jeweiligen Systemrollen.

Das UCS-Handbuch beschreibt die umfangreichen Möglichkeiten von UCS. Ein vorinstalliertes System findet sich im VMware bzw. VirtualBox-Image, das ebenfalls im Download-Bereich der Univention-Webseite zu finden ist.

Installation

Die in diesem Quickstart Guide beschriebene Samba 4-Umgebung besteht aus zwei Systemen; einem Windows-Domänencontroller und einem Memberserver. Prinzipiell kann der Windows-Domänencontroller auch die Dienste eines Memberservers übernehmen, die Trennung von Domänendiensten einerseits und Datei- und Druckdiensten andererseits wird jedoch empfohlen. Dies stellt sicher, dass hohe Last auf einem Fileserver nicht zu Störungen im Anmeldedienst führt. Für kleine Umgebungen, in denen keine Möglichkeit für den Betrieb zweier Server gegeben ist, können Datei- und Druckdienste auch mit auf einem Domänencontroller betrieben werden.

Jedes UCS-System ist einer Systemrolle zugeordnet. Die folgende Tabelle zeigt, welche Systemrolle für welche Komponente der Samba 4-Umgebung verwendet werden kann.

Systemrolle
DC Master DC Backup DC Slave Memberserver
Windows-Domänencontroller X X X
Windows-Memberserver X

Dieser Quickstart Guide setzt eine neue UCS-Umgebung auf und beginnt mit der Installation eines DC Master, auf dem der Windows-Domänencontroller betrieben wird.

Installation des Domänencontrollers

Wählen Sie für die Installation folgende abweichende Einstellungen:

  • Systemrolle: Domain Controller Master
  • Vollständiger Rechnername: master.samba4.test
  • Software-Auswahl: Active Directory-kompatibler Domänencontroller (Samba 4) auswählen. Nicht benötigte Software kann hier aus der Auswahl entfernt werden.

Nach der Bestätigung im Installer wird UCS als DC Master der UCS-Domäne installiert. Nach der Installation startet das System nach einem Tastendruck automatisch neu.

Installation des Memberservers

Wählen Sie für die Installation folgende abweichende Einstellungen:

  • Systemrolle: Memberserver
  • Vollständiger Rechnername: member.samba4.test
  • Domänen-DNS-Server: Die IP-Adresse des Domänencontroller Master
  • Join-Einstellungen: Die Optionen Starte den Join-Vorgang am Ende der Installation und DNS nach Domain Controller Master durchsuchen müssen aktiviert werden. Als Join-Account ist Administrator und als Passwort das bei der Installation des Domänencontroller Master vergebene root-Passwort angegeben werden.
  • Software-Auswahl: Windows Memberserver (Samba 3 / Samba 4) und Druckserver (CUPS). Nicht benötigte Software kann hier aus der Auswahl entfernt werden.

Nach der Bestätigung im Installer wird UCS als Memberserver installiert und tritt automatisch der UCS-Domäne bei. Nach der Installation startet das System nach einem Tastendruck automatisch neu.

Domänenbeitritt eines Microsoft Windows 7-Clients

Nun tritt ein Microsoft Windows 7-Client der UCS-Domäne bei. Der Beitritt kann nur mit einer domänenfähigen Version durchgeführt werden, d.h. nicht mit Microsoft Windows 7 Home.

Der Windows-Client muss DNS-Einträge aus der DNS-Zone der UCS-Domäne aufgelösen können, d.h. der UCS-Domänencontroller sollte in den Netzwerkeinstellungen des Windows-Clients als DNS-Server eingetragen werden.

Auf dem Windows-System muss die aktuelle Zeit konfiguriert werden. Wenn mit Virtualisierung gearbeitet wird, muss beachtet werden, dass Suspend/Resume-Zyklen zu inkorrekten Systemuhren führen können. Der folgende Befehl führt eine Synchronisation der Systemzeit durch:

net time /set /domain:<dnsdomainname>

Über StartSystemsteuerungSystem und SicherheitSystem kann der Basiskonfigurationsdialog erreicht werden. Nun muss Einstellungen ändern gewählt werden und auf Ändern geklickt werden.

Basisinformationen über den Computer

Für den Domänenbeitritt muss dann unter Domäne samba4.test eingetragen werden. Nach einem Klick auf die Schaltfläche OK muss in das Eingabefeld Ändern des Computernamens, bzw. der Domäne unter Name der Administrator und in das Eingabefeld Kennwort das bei der Einrichtung des DC Masters verwendete Administrator-Kennwort eingetragen werden. Nun kann der Domänenbeitritt mit einem Klick auf OK gestartet werden.

Abschließend sollte der Client neu gestartet werden.

Durch den Domänenbeitritt wird für den Microsoft Windows-Client automatisch ein Eintrag in der Rechnerverwaltung und DNS-Einträge angelegt. Weitere Hinweise finden sich im UCS-Handbuch.

Konfiguration einer Gruppenrichtlinie

In diesem Schritt wird eine Gruppenrichtlinie definiert. Dieser Schritt kann auch übersprungen werden, wenn die Benutzer-Desktops nicht weitergehend konfiguriert werden sollen.

Die Gruppenrichtlinie muss mit Administrator-Rechten konfiguriert werden. Dazu erfolgt eine Domänen-Anmeldung (also mit dem Benutzer SAMBA4\Administrator) auf dem Microsoft Windows 7-System.

Nun müssen auf dem Microsoft Windows 7-System die Remote Server Administration Tools for Windows 7 heruntergeladen und installiert werden.

Nun muss die Gruppenrichtlinien-Funktion mit folgenden Schritten aktiviert werden: StartSystemsteuerungProgrammeWindows-Funktionen aktivieren und deaktivierenRemoteserver-VerwaltungstoolsFeatureverwaltungs-ToolsTools für die Gruppenrichtlinienverwaltung aktivieren → OK.

Windows-Funktionen aktivieren

Nun kann der Gruppenrichtlinien-Editor aufgerufen werden und eine Richtlinie definiert werden. Im folgenden Beispiel wird eine Richtlinie aktiviert, die den Lautstärke-Regler in der Windows-Taskleiste für alle Benutzer ausblendet. Gruppenrichtlinien sind ein mächtiges Werkzeug; im folgenden Beispiel wird die Richtlinie mit der Standard-Domänen-Richtlinie verknüpft und gilt somit für alle Benutzer:

Die Standard-Domänen-Richtlinie kann über Domainsamba4.testDefault Domain Policy erreicht und über einen Rechtsklick mit Bearbeiten bearbeitet werden.

Unter BenutzerkonfigurationRichtlinienAdministrative VorlagenStartmenü und TaskleisteLautstärkesymbol entfernen kann die Richtlinie mit einem Doppelklick geöffnet werden. Die muss mit Aktiviert eingeschaltet und mit OK bestätigt werden.

Der Gruppenrichtlinien-Editor kann nun mit DateiBeenden verlassen werden.

Gruppenrichtlinien-Editor: Lautstärkesymbol entfernen

Anlegen eines Benutzers

Nun erfolgt eine Anmeldung an der Univention Management Console, die unter https://IP-ADRESSE-MASTER/univention-management-console/ erreicht werden kann.

Die Anmeldung erfolgt mit dem Administrator-Konto und dem bei der Installation des Domänencontroller Master vergebenen Passwort.

Im Modul Benutzer ist nun auf Hinzufügen zu klicken. Die folgenden Werte müssen mindestens ausgefüllt werden:

  • Nachname
  • Benutzername (hier im Beispiel mustermann)
  • Passwort (doppelt)

Der Standard-Dialog zum Anlegen eines Benutzers zeigt nur die wichtigsten Attribute an; durch Klick auf Erweitert werden alle Attribute angezeigt.

Durch Klick auf Benutzer anlegen ist der Benutzer vollständig angelegt.

Wenn das Heimatverzeichnis des Benutzers nicht lokal auf dem Microsoft Windows 7-Client, sondern auf dem Memberserver gespeichert werden soll, muss im Reiter Konto in das Eingabefeld Windows-Heimatverzeichnis \\member\mustermann und in das Eingabefeld Laufwerk für das Windows-Heimatverzeichnis I: eingetragen werden.

Die Einstellung kann auch in einer Benutzervorlage definiert werden, so dass der Eintrag für das Windows-Heimatverzeichnis automatisch aus dem Benutzernamen übernommen wird und nicht manuell gesetzt werden muss. Die Erstellung einer Vorlage ist im UCS-Handbuch beschrieben.

Benutzer-Anmeldung

Der Benutzer kann sich nun am Microsoft Windows 7-Client mit mustermann anmelden. Wenn die Gruppenrichtlinie gesetzt wurde, wird nun der Laufstärke-Regler auf dem Windows-Desktop ausgeblendet.

Weitere Informationen

Eine ausführliche Beschreibung zu UCS und der Windows-Integration findet sich im UCS-Handbuch.

Hilfe zu UCS gibt es im Univention Forum, nützliche Hinweise sind in der Support und Knowledge Base (SDB) von Univention zu finden.

Personal tools