Im folgenden wir beschrieben, wie winbind
unter Debian eingerichtet werden muss, damit User ab Samba 3.x durch Active Directory authentifiziert werden können. In weiteren Schritten können sich User auch direkt an einem Linux-Terminal anmelden, deren Accounts lediglich im Active Directory vorhanden sind.
Voraussetzungen
Folgende Packages sollten installiert sein:
- winbind
- samba
- libkrb53
- krb5-user
Bei der Installation von krb5-conf werden ein paar Informationen direkt abgefragt, wie etwas der Default Realm (entspricht dem Namen der Active Directory Domäne) und des Domänenservers. Anschließend sollte allerdings die Datei /etc/krb5.conf
noch ein wenig bearbeitet werden. Soll Kerberos nur für in Zusammenhang mit Winbind eingesetzt werden, so können die ganzen MIT-Realms ersteinmal entfernt werden. Auch werden eine ganze Reihe von Einstellungen für Kerberos 4 nicht benötigt; auch diese können weg.
Eine einfache krb5.conf
Datei für die Domäne ACME.COM (aka Realm) könnte also so aussehen:
[libdefaults] default_realm = ACME.COM kdc_timesync = 1 ccache_type = 4 forwardable = true proxiable = true [realms] ACME.COM = { kdc = server.acme.com admin_server = server.acme.com } [domain_realm] acme.com = ACME.COM .acme.com = ACME.COM
Damit die Benutzerauflösung auch durch Winbind erfolgen kann, muss zum einen in der nsswitch.conf
neben compat
auch windbind
eingetragen werden (auf diese Weise werden sowohl lokale Benutzer als auch Benutzer über Winbind zur Verfügung gestellt) und Samba muss noch so eingestellt werden, daß die Authentifizierung über das ADS läuft. Eine einfach smb.conf
sieht dann etwa so aus:
# Global parameters [global] workgroup = ACME realm = ACME.COM idmap uid = 10000-20000 idmap gid = 10000-20000 winbind separator = / winbind use default domain = yes server string = %h server (Samba %v) security = ADS password server = server.acme.com client use spnego = yes
Damit die Änderungen übernommen werden, muss sowohl Samba als auch Winbind neu gestartet werden (/etc/init.d/samba restart; /etc/init.d/winbind restart
). Anschließend kann mit wbinfo -u
eine Liste alle Benutzer über winbind angezeigt werden.
Nun sollten sich auch Windows-Benutzer, die auf dem Linux Rechner nicht lokal angelegt sind, auf Samba-Freigaben verbinden können. Die Authentifizierung wird im Hintergrund durch Winbind erledgit.