Verzeichnisdienste auf Basis vom Samba und Linux-Server Ubuntu 20.04 als Active-Directory-Domänencontroller

Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

Mit „Samba“ ist es möglich, einen Linux-Server zu einem Active-Directory-Domänencontroller zu erweitern.Thomas Joos zeigt in diesem Beitrag die Installation von Samba auf „Ubuntu 20.04“ und den Aufbau einer Active-Directory-Infrastruktur.

Firmen zum Thema

Auch Linux-Server können zu Domänencontrollern aufgewertet werden. Thomas Joos zeigt, wie:
Auch Linux-Server können zu Domänencontrollern aufgewertet werden. Thomas Joos zeigt, wie:
(Bild: Joos)

Seit Samba 4.x können Linux-Server auch als Active-Directory-Domänencontroller betrieben werden. Sinnvoll kann die Installation als zusätzlicher Domänencontroller oder als Domänencontroller in kleineren Netzwerken sein.

Mit „Samba 4“ lassen sich Domänencontroller mit Linux auch primär nutzen. Die Umgebungsverwaltung, zum Beispiel der Benutzerkonten, kann mit den Standard-Tools Active-Directory-Benutzer und -Computer erfolgen, zum Beispiel von „Windows 10“ aus.

Bildergalerie
Bildergalerie mit 8 Bildern

Vorbereitungen für den Betrieb von Ubuntu als Domänencontroller

Vor der Installation von Samba auf einem Linux-Server sollte zunächst obligatorisch die Aktualisierung des Betriebssystems durchgeführt werden:

Sudo apt update
Sudp apt upgrade

Dafür sollte der Server über einen entsprechenden Namen verfügen und seine IP-Adresse statisch konfiguriert sein. Der DNS-Name einer AD-Gesamtstruktur sollte frühzeitig geplant werden, da sich der Name nicht mehr ändern lässt.

Active Directory hängt auch beim Betrieb auf Linux-Servern stark von DNS ab. Tools wie „resolvconf“ sollten möglichst deaktiviert werden, da hier die Datei „/etc/resolv.conf“ automatisch gepflegt wird. Grundsätzlich sollte ein DNS-Server eingebunden werden, der in der Lage ist, Active-Diretory-Zonen aufzulösen.

Active Directory hängt zudem stark davon ab, dass die Uhren der Rechner im Netzwerk synchron laufen. Aus diesem Grund sollte auf den Linux-Servern mit „timedatectl“ überprüft werden, welche Zeit eingestellt ist und ob die Zeitsynchronisierung mit einem NTP-Server aktiv ist.

Vor der Installation sollte der Hostname bereits so gesetzt sein, dass auch der spätere Name der AD-Domäne genutzt wird:

sudo vim /etc/hostname

Hier wird zum Beispiel der Name „ubuntu-dc01.joos.intern“ genutzt.

Installieren der notwendigen Pakete

Die Installation der notwendigen Pakete zur Installation von Active Directory erfolgt mit:

sudo apt -y install samba krb5-config winbind smbclient

Idealerweise sollte auf dem Server noch kein Samba installiert und auf keinen Fall konfiguriert sein. Im Rahmen der Installation wird auch nach dem Namen für die AD-Domäne gefragt. Ein Beispiel dafür ist „joos.intern“ – wie weiter oben bereits erwähnt. Idealerweise sollte der Name des Servers vorher in der Host-Datei auch mit dieser Domäne konfiguriert sein, zum Beispiel „ubuntu-dc01.joos.intern“. Der Name wird in der Datei „hostname“ gepflegt:

sudo vim /etc/hostname

Die Namensauflösung kann zusätzlich noch in der Datei „hosts“ eingetragen werden:

sudo vim /etc/hosts

Als Kerberos-Realm wird der Name genutzt, der zuvor für den Domänencontroller festgelegt wurde, als Kerberos-Server der Name des Servers, der ebenfalls vorher festgelegt wurde, zum Beispiel „ubuntu-dc01.joos.intern“. Nach der Installation kann die Standarddatei von Samba gesichert werden, um diese bei Problemen wiederherstellen zu können:

sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.backup

Server zum Domänencontroller hochstufen

Die Konfiguration eines Linux-Servers zu einem Domänencontroller erfolgt mit Samba. Hierzu wird das zugehörige Tool im Terminal mit dem Befehl „samba-tool domain provision“ gestartet. Danach müssen einige Daten eingegeben werden:

sudo samba-tool domain provision

Als „Realm“ wird der DNS-Name der Domäne verwendet, der bereits für den Namen festgelegt wurde. In diesem Beispiel ist das „joos.intern“. Als „Domain“ verwendet Samba, wie Windows, den Namen ohne die Domänenendung. In diesem Beispiel ist das „joos“. Anschließend kann festgelegt werden, ob der Server zum Domänencontroller heraufgestuft werden soll.

Dazu wird die Eingabe „dc“ genutzt, die aber ohnehin voreingestellt ist. Auch DNS-Weiterleitungen können konfiguriert werden. Nach der Eingabe des Kennwortes für das Administrator-Konto beginnt das Heraufstufen.

Anschließend sollte die Konfigurationsdatei von Kerberos gesichert werden, damit bei Problemen einfacher eine Wiederherstellung durchgeführt werden kann:

sudo cp /var/lib/samba/private/krb5.conf /etc/

Anschließend müssen die Systemdienste für AD noch angepasst werden:

sudo systemctl disable --now smbd nmbd winbind systemd-resolved
sudo systemctl unmask samba-ad-dc
sudo systemctl enable --now samba-ad-dc

Um zu überprüfen, ob die Gesamtstruktur erstellt wurde, kann die Funktionsebene der Umgebung angezeigt werden:

sudo samba-tool domain level show

Standardmäßig wird die Funktionsebene „Windows Server 2008 R2“ verwendet. Eine höhere Stufe wird auf Linux-DCs nicht unterstützt.

Computer zur Domäne hinzufügen und AD auf Linux verwalten

An dieser Stelle ist der Domänencontroller bereit und es können Linux-Rechner, aber auch Windows-Arbeitsstationen genauso hinzugefügt werden, wie auf Windows-DCs. Als Authentifizierung wird der Name der Domäne, in diesem Beispiel „Joos“ und das Konto „Administrator“ mit dem Kennwort verwendet, das bei dem Heraufstufen von Active Directory eingegeben wurde.

Für die Verwaltung von Active Directory auf dem Linux-Server können auch die Remoteserver-Verwaltungs-Tools (RSAT) auf den Windows-10-Rechnern genutzt werden. Nach der Anmeldung eines Windows-10-Computers an der Domäne, kann RSAT auf dem Rechner installiert werden. Ein Download ist dazu nicht notwendig.

RSAT wird über die Einstellungs-App von Windows 10 über „Apps“ und die Auswahl „Optionale Features“ aktiviert. Hier können jetzt „RSAT: Tools für Active Directory Domain Services und „Lightweight Directory Services” installiert werden.

Nach der Installation kann mit „Active Directory-Benutzer und -Computer“ die Domäne aufgerufen werden. Hier lassen sich Benutzerkonten und Gruppen anlegen. Die Benutzer können sich anschließend mit ihren Windows Computern an Active Directory anmelden, wenn der entsprechende Computer zur Domäne hinzugefügt wurde.

Auch „Active Directory-Standorte und -Dienste“ funktioniert. Das „Active Directory Admnistration Center“ (ADAC) kann mit Linux allerdings leider nicht genutzt werden. Hier stellt Ubuntu die Endpunkte nicht zur Verfügung.

Die Verwaltung von AD kann auf Linux-Servern auch mit dem „samba-tool“ vorgenommen werden. Neue Benutzer können damit zum Beispiel mit dem folgenden Befehl angelegt werden:

sudo samba-tool user create thomas

Nach dem Anlegen können die Benutzer sich an ihrem PC an Active Directory anmelden, wenn der entsprechende Computer durch einen Administrator zur Domäne hinzugefügt wurde.

Active Directory im Fokus
Bildergalerie mit 43 Bildern

(ID:47139005)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist