Linux als PDC mit Samba 3

Erzeugen der Maschinen-Accounts

Ein erster Versuch, nun der Domain MEINNETZ beizutreten, schlägt allerdings fehl. Ursache ist, dass für jeden Rechner in der Domäne eine eigene Vertrauensstellung bestehen muss. Mit anderen Worten: nicht nur der Benutzer, sondern auch der Rechner benötigt einen eigenen Account - und zwar bevor eine Aufnahme in die Domäne erfolgt. Am besten ist es, Sie richten eine eigene Benutzergruppe für die Rechner ein und nehmen den Client in dieser auf:

groupadd -g 300 clientpc
useradd -g clientpc -d /dev/null -s /bin/false TEST$
passwd -l TEST$

Mit diesen Befehlen erzeugen Sie eine Vertrauensstellung zwischen dem Samba-Server und dem Rechner, der zu der Domäne hinzugefügt werden soll. Bis dies nun geschieht, besteht potenziell die Möglichkeit für einen Angreifer, die eingerichtete Vertrauensstellung auszunutzen. Daher ist es besser, den Account für den Rechner von Samba quasi automatisch erzeugen zu lassen. Hierzu dient ein weiterer Eintrag in der Sektion [global] der Konfigurationsdatei /etc/init.d/smb.conf:

add machine script = /usr/sbin/useradd -d /dev/null -g clientpc -s /bin/false %u

Beachten Sie, dass Sie die Gruppe zur Aufnahme der Rechner-Accounts trotzdem von Hand anlegen müssen.