Samba als Windows Domain Controller auf dem NSLU2

Domäne anlegen

Im Folgenden werden wir die Windows-Domäne „SLUGDOM“ anlegen und vom Samba-Server auf dem NSLU2 als Domain-Controller verwalten lassen. In unserem Testnetzwerk sollen zwei Windows-PCs mit den Namen „PC1“ und „PC2“ laufen. Als Benutzer arbeiten darauf „albert“ und „petra“. Jeder soll einen exklusiven Zugriff auf sein privates Home-Laufwerk und auf sein Windows-Nutzerprofil inklusive der „Eigene Dateien“ haben. Zudem soll der NSLU2 ein gemeinsames Verzeichnis namens „public“ anbieten.

Wir beschränken uns hier bewusst auf ein einfaches Netzwerk, um auch reinen Windows-Usern ohne große Netzwerkkenntnisse den Domain-Aufbau zu ermöglichen. Auch legen wir die Nutzerkonten manuell an, was bei kleinen Netzwerken dem scriptgesteuerten Weg vorzuziehen ist. Selbstverständlich kann man später die Struktur und das Usermanagement beliebig erweitern und optimieren. Allein zu Samba existieren dazu auf www.samba.org und speziell unter http://us1.samba.org/samba/docs/ frei als PDF erhältliche Bücher mit vielen hundert Seiten zur Konfiguration.

Zunächst legen wir auf der Linux-Konsole über PuTTY die für unsere Testdomäne notwenigen Verzeichnisse an:

cd /data
mkdir netlogon
mkdir profiles
mkdir public
mkdir home
chmod 777 netlogon
chmod 777 profiles
chmod 777 public
chmod 777 home

Um die Zugriffsrechte machen wir uns keine weiteren Sorgen. Lokale Benutzer haben wir nicht auf dem NSLU2, die Rechte beim Zugriff über das Netzwerk regeln wir später über die Samba-Shares.

Bevor wir uns nun um die Rechner, die Benutzer und die Rechtevergabe kümmern, noch ein paar grundlegende Anmerkungen. Im Windows-Domänenkonzept existiert nicht nur für jeden Benutzer ein eigener Account. Auch die Rechner benötigen einen Maschinen-Account. So erhält ein Eindringling über das WLAN keinerlei Zugang zur Domäne, selbst wenn er den Benutzernamen und das Passwort eines Users kennt.

Damit Samba dieses Sicherheitskonzept unter Linux nachbilden kann, müssen wir zunächst die User und die Maschinen-Accounts auf der Linux-Kommandozeile anlegen. Dabei werden die Maschinen-Accounts wie normale Benutzer-Accounts erzeugt. Anschließend ist es zusätzlich nötig, diese Accounts nochmals in die Samba-interne Benutzerverwaltung einzutragen.