Vorheriger Abschnitt Inhaltsverzeichnis Nächster Abschnitt

7.6 Datei- und Druckserver SAMBA

Samba ist ein universeller Datei- und Druckserver, der auf dem SMB- und dem LAN-Manager-Protokoll beruht. Ausführliche Informationen:

7.6.1 Konfiguration

Mit dem "midnight commander" (mc) können Sie die Konfigurationsdatei ''/etc/samba/smb.conf'' anschauen und ggfs. ändern. Die wichtigsten Einstellungen nehmen Sie im Abschnitt "[global]" vor. Hier können Sie einstellen, welche Namen der Server und die Arbeitsgruppe/Domäne haben soll und wie der Server arbeitet.

In der Zeile "workgroup" kann man sehr einfach den Namen der Arbeitsgruppe oder Domäne anpassen. Sie sollten diese Veränderung aber nur vornehmen, wenn Sie noch keine Client-Rechner an den Server angebunden haben. Die Zeile "interfaces" sorgt in Verbindung mit der Einstellung "bind interfaces only =Yes" dafür, dass zu Ihrer Sicherheit auf diesen Server aus dem Internet nicht zugegriffen werden kann.

Die wichtigsten Einstellungen für den Server finden Sie unter "security". Grundsätzlich kennt Samba drei verschiedene Arbeitsweisen, die in der Zeile "security" eingestellt werden können. Der Standard-Eintrag "USER" lässt Samba als Server mit eigener Nutzerverwaltung arbeiten. Damit ist er als Einzelserver oder als primärer Domänenserver (PDC) einsetzbar. Die Option "SHARE" lässt Samba als Freigabeserver arbeiten, der keine einzelnen Nutzer kennt und damit keine unterschiedlichen Nutzerrechte berücksichtigt. Diese Stufe bietet nur eine geringe Sicherheit und sollte für Arktur nicht benutzt werden. Die dritte Betriebsart nutzt Samba als Server, der seine Benutzerliste jedoch von einem anderen Server bezieht. Dabei unterscheidet man zwischen "SERVER" (ein anderer NT-Server hat die Benutzerliste) und "DOMAIN" (ein anderer Domänenserver hat die Nutzerliste). Wenn Sie den Server in dieser Betriebsart betreiben wollen, müssen Sie die Nutzer trotzdem auf dem Linux-System bekannt machen, sorgen also in der Regel für eine doppelte Benutzerführung und damit für Mehrarbeit.

Eine weitere wichtige Einstellung nehmen Sie mit den Punkten "encrypt passwords" und "update encrypted" vor. Mit Windows 95b hat Microsoft aus Sicherheitsgründen eine verschlüsselte Übertragung der Passwörter eingeführt. Aus den verschlüsselten Passwörtern lässt sich das Klartext-Passwort nicht mehr ermitteln, weil die Verschlüsselung nicht umkehrbar eindeutig ist. Damit ergeben sich zwei Probleme: Zum einen muss ein nach den eingeführten Regeln verschlüsseltes Passwort auf dem Server hinterlegt werden und zum anderen kann es nicht mit dem Linux-Passwort direkt übereinstimmen, weil auch das Linux-Passwort in verschlüsselter Form gespeichert wird, jedoch nach anderen Regeln als unter Windows/Samba. Das erste Problem löst Samba mit einer eigenen Passwortdatei: /etc/samba/private/smbpasswd oder (seit Samba 3.0.23) /etc/samba/private/passdb.tdb. Das zweite Problem ist größer. Für die Nutzung als Domänen-Server muss Samba mit verschlüsselten Passwörtern arbeiten. Das Werkzeug von sysadm und die Passwortänderung in den Bereichen des Benutzermenus ändern Linux- und Samba-Passwort zugleich. Probleme treten dann auf, wenn die Standard-Werkzeuge für Linux oder Windows zum Ändern des Passworts genutzt werden: Der passwd-Befehl von Linux ändert nur das Linux-Passwort, nicht aber das Samba-Passwort. Analog ändert das Windows-Werkzeug meist nur das Samba-Passwort, nicht aber das Linux-Passwort. Entweder Sie deaktivieren diese Werkzeuge, oder Sie schalten die Passwort-Verschlüsselung am Client-Rechner ab und nutzen ausschließlich die Linux-Passwörter. Dann kann aber Arktur nicht mehr als Domänen-Server genutzt werden. Das Abschalten der Verschlüsselung kann nur dann empfohlen werden, wenn Sie neben den Windows-Rechnern auch Linux-Clients betreiben. Ändern Sie also den Eintrag "encrypt passwords" nur dann auf "No", wenn Sie genau wissen, dass es notwendig ist. Dann müssen Sie auch die Registry-Patches aus dem Verzeichnis software/regedit der CD bei den Windows-Clients einspielen.

Der Eintrag "update encrypted" kann genutzt werden, wenn Sie bislang mit unverschlüsselten Passwörtern gearbeitet haben, nun aber auf verschlüsselte Passwörter umstellen wollen. Dann kann Samba während der Anmeldung das unverschlüsselt übertragene Passwort in die smbpasswd-Datei übernehmen. Voraussetzung dafür ist, dass dieser Nutzer bereits einen Eintrag in der smbpasswd-Datei hat. Es werden bei "update encrypted=Yes" keine Nutzer neu in die smbpasswd-Datei eingetragen, sondern nur bei den vorhandenen Nutzern das Passwort übernommen, wenn die Anmeldung erfolgreich war. Wenn nach ein paar Wochen sich jeder Nutzer einmal angemeldet hat, kann man auf verschlüsselte Passwörter umstellen. Achtung! Erzeugen Sie keine Benutzereinträge in der smbpasswd-Datei mit leerem Passwort. Damit kann sich jeder ohne ein Passwort (einfach leer lassen) als Nutzer anmelden!

Änderungen im Abschnitt "[global]" erfordern, dass die Konfiguration neu eingelesen wird, z.B. per

	killall -HUP smbd
	killall -HUP nmbd
oder
	/etc/init.d/samba stop
	/etc/init.d/samba start
Änderungen in den anderen Abschnitten werden binnen einer Minute automatisch übernommen.

Seien Sie vorsichtig, wenn Sie Änderungen an der smb.conf von Hand direkt an der Konsole vornehmen. Ist die Datei fehlerhaft, wird der Samba-Dienst nicht gestartet. Damit können Sie sich nicht mehr im Schulnetz anmelden. Mit dem Befehl "testparm -s" als root können Sie einen Test der smb.conf-Datei vornehmen lassen. Nehmen Sie Fehlermeldungen bei diesem Test ernst.

7.6.2 Freigaben

Die Clients sehen in ihrer "Netzwerkumgebung" die Samba-Freigaben des Servers. Diese Freigaben werden in "/etc/samba/smb.conf" definiert; sie können auch als einzelne Dateien definiert werden, die per "include " in die "smb.conf" eingebunden werden.

Bei einer Domänenanmeldung wird vom Client automatisch das Skript "/etc/samba/scripts/logon.bat" abgearbeitet; diese Datei muss von DOS/Windows gelesen werden können, sollte also auch mit DOS-/Windows-Mitteln bearbeitet werden.

In dieser Datei werden u.a. einzelne Freigaben per "Laufwerksbuchstaben" mit dem jeweiligen Client verbunden; vor-eingestellt sind

LWKommentarArktur-Verz.Schreibrecht
P:pub auf Arktur/home/admadm
T:tmp auf Arktur/home/tmpalle
U:home auf Arktur/home/<User>User
K:Klasse/home/Klassealle
W:homepage/home/www-pub/<User>User

Mit dem Skript "P:/software/regedit/letters1st9xME.reg" bzw. "P:/software/regedit/letter1st-2kXP.reg" kann der Client so eingestellt werden, dass der Laufwerksbuchstabe am Anfang des Eintrags steht.

7.6.3 Profile

Wenn jeder User sein Profil auf dem Server ablegen soll (was auf den ersten Blick sehr sinnvoll aussieht), dann kommen damit schnell 50 MByte (oder noch mehr, wenn grosse Dateien auf dem Desktop abgelegt werden) zusammen, die bei jedem Ein- und Ausloggen transferiert werden müssen. Der nahezu gleichzeitige Start aller Rechner in einem Rechnerraum kann somit das Netz stark belasten.

Einige mögliche Verfahren sind im Arktur-Wiki und der Arktur-FAQ nachlesbar.


Vorheriger Abschnitt Inhaltsverzeichnis Nächster Abschnitt
© Reiner Klaproth, 23.02.2002

Diese Seite dokumentiert den c't/ODS-Schulserver, insbesondere die Dateien in den Verzeichnissen "/slack/ods1" und "slack/ods9" auf der Installations-CD (oder der zugehörigen *.iso-Datei).
Die o.g. Dateien stehen unter der GNU Public License GPLv2, dementsprechend steht auch diese Dokumentation unter der GPL.
© Arktur-Team 2004,2005,2006,2007,2008,2009,2010