Open Source im professionellen Einsatz
Linux-Magazin 05/2006
© photocase.com

© photocase.com

Samba 4 - die ersten Eindrücke

Tanzquartett

Von Samba 4 existiert seit Ende Januar nur eine erste Technical Preview. Doch lässt der Quellcode der Neuimplementation schon ahnen, dass es keine Trippelschrittchen sind, die die Entwicklung macht.

764

Sambas Hauptaufgabe bleibt über alle Versionen gleich: freigegebene Windows-Ressourcen Unix-artigen Betriebssystemen bereitzustellen und umgekehrt [1]. Dumm nur, dass die Basis beweglich ist: Microsoft, in der Herausgabe von Spezifikationen nicht eben Weltmeister, entwickelt seine Protokolle von Windows-Version zu -Version weiter. Die Open-Source-Entwickler halten dagegen, indem sie Verbindungen mit Tools wie Ethereal mitschneiden [2].

Das hat in der Vergangenheit gut funktioniert, wie die vielen Samba-Server auf der Welt beweisen. Mit Windows 2000 legte Microsoft eins drauf und setzte als Trend einen objektbasierten Verzeichnisdienst in die Server-Landschaft: Active Directory Service (ADS, [3]).

Anders als sonst griff der Softwareriese dabei in die Kiste mit der Aufschrift "Etablierte Standards": Die Entwickler koppelten eine LDAP-Benutzerdatenbank mit Kerberos 5 als Authentifizierungsmechanismus. Zur Namensauflösung setzen sie auf DNS. Der Umstand, dass ADS sich weitgehend an echte Standards hält, gestattet Linux ein hohes Maß an Interoperabilität dank freier Implementierungen wie OpenLDAP und Kerberos-Versionen des MIT oder von Heimdal [4].

Entschlackungskur

Die Funktionalität eines Samba-Directory-Servers analog zu Microsofts Active Directory zu erlangen ist ein zentrales Anliegen von Samba 4, das seit Ende Januar in einer sehr frühen Version vorliegt. Das Team wählte dafür den radikalen Schritt einer Neuimplementierung der meisten Routinen. Ziel ist, Samba 4 ohne den Workaround-bedingten Ballast der früheren Versionen aufzusetzen. Folglich entfallen auch diverse Optionen, die in Samba 3 unverzichtbar sind.

Bereits Samba 3 bietet die Möglichkeit, eine Installation als Domain Member Server in einer Windows-2000/2003-Domäne zu betreiben. Technisch hantiert der Member-Server zur Authentifizierung mit Kerberos-Tickets: Sowohl Server als auch Clients (mit Tools wie »smbmount«) tauschen ihre Tickets aus und praktizieren so ein Domänen-weites Single-Sign-On zwischen Linux und Windows. Den Betrieb als Primary Domain Controller oder Backup Domain Controller (PDC, BDC) beherrscht Samba 3 trotz Kerberos aber nur im Windows-NT-Style.

Mit eigenem Kerberos ist erstmals Samba 4 in der Lage, die Funktion eines Domänen-Controllers im aktuellen Microsoft-Style auszuüben (siehe unten). Die Kerberos-Implementierung geht auf die Heimdal-Variante zurück, an ihr hat sinnigerweise auch Heimdal-Entwickler Love Astrand mitgearbeitet. Später soll es auch möglich sein, externe Kerberos-Bibliotheken zu betreiben.

Ein Samba-3-Manko ist die fehlende Replikation von Benutzerdaten mit Samba-eigenen Datenbanken (siehe Kasten "Samba4WINS"). Einen pfiffigen Umweg, OpenLDAP als Datenbank-Backend zu betreiben, wählt [5]. Da OpenLDAP seine Datenbank an andere Server seiner Art replizieren kann, schoben die Samba-3-Entwickler das Thema damals zur Seite. Dabei ist die Konfiguration eines OpenLDAP-Servers alles andere als trivial. Das Samba-4-Team um Andrew Tridgell tritt die Flucht nach vorn an und implementiert mit der LDB gleich ein eigenes LDAP-Backend.

Samba4WINS

Der Windows Internet Naming Service (WINS) ist ein Relikt aus NT-4-Zeiten. Gleichwohl verwenden auch neuere Windows-Systeme das WINS-Protokoll für die Auflösung von Netbios-Namen. Beim Mappen einer Freigabe findet dieser nach den ersten Backslashes beziehungsweise Slashes Verwendung. Auch Samba unterstützt Netbios seit langem, da es den interoperablen Serverbetrieb erledigt. Mit Samba 4 ändert sich daran wenig.

Es besteht aus den Firmen Sernet, Computacenter und Fujitsu Siemens Computers sowie dem Linux Solutions Group e.V. Samba4WINS soll künftig nahtlos in Samba 4 integriert werden. Für Samba ab Version 3.0.21 lässt sich die Software hinzukompilieren und als eigenständiger Prozess betreiben.

Ein wichtiger Grund für eine eigene LDAP-Implementierung ist die bessere Replikation. Beispielsweise sollen sich Passwortänderungen sofort zwischen allen beteiligten Rechnern herumsprechen, um keinen Freiraum für Replikationsinkonsistenzen zu bieten. Dem Vernehmen nach wird sich Samba 4 bei Bedarf aber weiterhin an OpenLDAP-Server anbinden, insbesondere um in Samba-3-betriebenen Serverlandschaften eine Heimstatt zu bieten.

CIFS, NTFS- und Posix-ACLs

Samba will nicht nur in heterogenen Umgebungen tanzen, sondern auch in die Domäne von NFS - Datenaustausch zwischen Unix- und Linux-Systemen - einbrechen, auch als Konkurrent für das noch nicht vollständig entwickelte NFS 4. Dies Bemühen lässt sich in den CIFS-Kernelmodulen erkennen, die von Version zu Version mehr Erweiterungen enthalten. Ein Beispiel sind die CIFS-Experimental-Features, die seit Version 2.6.16 auch Kerberos unterstützen. Es war ein großes Manko gegenüber Windows SMB, bei dem das Mounten von Freigaben durch Anhängen der Option »-o krb« via Single-Sign-On erlaubt ist.

Schon länger kann Samba bei der Zugriffsrechteverwaltung Posix-ACLs auf NTFS-ACLs abbilden und umgekehrt. Version 4 geht auch hier neue Wege und legt NT-ACLs nicht mehr im Posix-Dateisystem ab, sondern führt dafür ein virtuelles Dateisystem ein: NTVFS, das NTFS-Attribute eins zu eins speichert. Es ist sogar in der Lage, ACLs innerhalb von NTFS-Datenströmen vollständig nachzubilden. Alternate Data Streams (ADS) sind eine Funktion in NTFS-Dateisystemen, die zu einer Datei unsichtbar weitere Daten speichert. Ein verwandtes Thema sind Gruppenrichtlinien, zu denen bisher nicht bekannt ist, wie sie einen Platz in Samba 4 finden.

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • King of the Castle

    Bald wird Microsoft Windows NT4 nicht mehr unterstützen. Doch Samba unter Linux bleibt eine kostenlose Alternative, die Benutzern und Administratoren die gewohnte Netzwerkumgebung zur Verfügung stellt. Auch in bestehende Domains lassen sich Samba-Server gut integrieren.

  • Jetzt: Samba!

    Wenn der Pinguin den Samba-Schritt vorlegt, müssen die im LAN vorhandenen Windows-Clients einfach mit. Möglich macht dies das SMB-Protokoll, dessen freie Implementierung Samba ist. Der Unterschied liegt hauptsächlich in gesparten Lizenzkosten. Wir klären die technischen Details. Ulrich Wolf

  • Samba 3.0

    Samba 3.0 steht vor der Tür und es gibt Grund für ausgelassene Stimmung: Die freie Implementierung des SMB-Protokolls verhilft Linux-Servern zu einer mit NT 4.0 vergleichbaren Funktionalität und tanzt beherzt auf Windows XP zu.

  • Details zu Samba 4

    Wie Samba-Gründer Andrew Tridgell und der bei Sernet unter Vertrag stehende Samba-Entwickler Jelmer Vernooij auf der Konferenz Samba-Experience in Göttingen bekannt gaben, wird Samba 4 demnächst in die Alpha-Phase übergeben.

  • LDAP und Samba 4

    Mit Samba 4 lässt sich ein Active-Directory-kompatibler Domain Controller betreiben. Das Linux-Magazin schaut sich die Choreografie des darin enthaltenen LDAP-Verzeichnisses genauer an.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.