Workshop: Einen modernen Fileserver fürs Unternehmen aufsetzen

Partitionieren

Das sich das I-SCSI-Storage nun wie ein lokales verhält, können Sie es nun wie gewohnt partitionieren. Die für einen Fileserver meist nötige Flexibilität erzielen Sie am ehesten mit Logical Volume Manager (LVM, Howto unter [3]). Sie legen dazu initial mit Fdisk oder einem Derivat eine große Partition des Typs »Linux LVM« (»8e«) an. Dann erzeugen Sie in vier Schritten mit den LVM Tools das benötigte Volume:

pvcreate /dev/sdb1
vgcreate storage_group /dev/sdb1
vgchange -a y storage_group
lvcreate -L100M -nfiles storage_group

Der erste Schritt legt ein Physical Volume an, in das der zweite eine Volumegroup erzeugt, die der dritte aktiviert. Lvcreate erzeugt als Viertes ein 100 MByte großes logisches Volume mit dem Namen »files«. Ein beherztes

mkfs -t ext3 /dev/storage_group/files

legt darauf ein Dateisystem an. Tipp: Sehr große Volumes lohnt es mit »nohup mkfs -t ... &« im Hintergrund zu formatieren. Das Mounten geht wieder ganz wie von der Stange:

mkdir /mnt/iscsi
mount -t ext3 /dev/storage_group/files /mnt/iscsi/

Damit Linux das Device ab dem nächsten Reboot automatisch einbindet, etablieren Sie den I-SCSI-Dienst mit »chkconfig iscsi on« und tragen die Partition in der »/etc/fstab« ein:

/dev/storage_group/files /mnt/iscsi ext3 _netdev 0 0

Um das Weitere nicht zu verkomplizieren, deaktivieren Sie besser die lokale Firewall und SE Linux temporär:

service iptables stop
chkconfig iptables off

Über die Änderung des Eintrags »SELINUX=disabled« in der Konfiguration »/etc/selinux/config« ließe sich SE Linux auch dauerhaft abschalten. Den Enforce-Modus auf die Schnelle zu deaktivieren, geht übrigens mit »echo 0 >/selinux/enforce«.

Die folgenden, alternativen Szenarien basieren auf der eben aufgebauten Basis, die den Zugriff auf ein redundant angeschlossenes Storage konfiguriert hat.

Szenario 1: Samba als Domain Member

Um einen Linux-Server [4] an ein vorhandenes Active Directory anzubinden (Abbildung 1), bedarf es außer Samba noch des Kerberos-Pakets und der exakten Synchronisation mit einem NTP-Server. Damit eine AD-Domäne das System aufnimmt, müssen Sie ein paar Anpassungen in der Datei »/etc/samba/smb.conf« vornehmen. Listing 8 tut das und erstellt zwei Freigaben.

Damit Linux die AD-User und -Gruppen nutzt, erweitern Sie die Datei »/etc/nsswitch.conf« um:

passwd: files winbind
group:  files winbind

Anschließend tritt das System mit dem Befehl »net join -U Administrator« nach einer Passwortabfrage der Domäne bei. Jetzt noch die Samba-Dienste neu: »service smb start && service winbind start «, und schon listen »wbinfo -u« und »wbinfo -g« alle Domänen-Benutzer und -Gruppen auf. Legen Sie jetzt die in Listing 6 freigegebenen Verzeichnisse an und passen deren Berechtigungen an:

mkdir /mnt/iscsi/data /mnt/iscsi/public
chgrp "domänen-benutzer" /mnt/iscsi/*
chmod 2770 /mnt/iscsi/data
chmod 2777 /mnt/iscsi/public

Ab sofort kann ein AD-Client bereits auf die Freigaben »data« oder »public« des Servers zugreifen. Wer SE Linux wieder aktivieren will, passt mit

chcon -t samba_share_t /mnt/iscsi/data
chcon -t samba_share_t /mnt/iscsi/public

die Policies für den Einsatz als Domänen-Controller an und ordnet die Freigaben dem Kontext »samba_share_t« zu.

Listing 8: »smb.conf« als Domain Member
01 [global] 02 workgroup = AD # Windows Domänenname 03 security = ADS # AD als Sicherheitsmodell 04 realm = AD.LOCAL # FQDN der Domäne 05 server signing = auto 06 netbios name = fs2009 # Netbios Name des Servers 07 winbind use default domain = yes 08 encrypt passwords = yes # Verschlüsselte Passwortübertragung 09 password server = w3k.ad.local # Anstelle von w3k.ad.local ist 10 auch * für alle Server der Domäne möglich 11 idmap uid = 10000-20000 # Bereich für Domänenuser 12 idmap gid = 10000-20000 # Bereich für Domänengruppen 13 14 [data] 15 comment = Data Share using AD 16 path = /mnt/iscsi/data 17 valid users = @"ADdomänen-benutzer" # Zugriff für User der Gruppe domänen-benutzer 18 writeable = yes 19 browseable = yes 20 21 [public] # Freigabe eines freien Zugriffsbereich 22 comment = Public Stuff 23 path = /mnt/iscsi/public 24 create mode = 0777 25 directory mode = 0777 26 public = yes 27 writable = yes 28 printable = no

Listing 8:
»smb.conf« als Domain Member

01 [global]
02 workgroup = AD                      # Windows Domänenname
03 security = ADS                      # AD als Sicherheitsmodell
04 realm = AD.LOCAL                    # FQDN der Domäne
05 server signing = auto
06 netbios name = fs2009               # Netbios Name des Servers
07 winbind use default domain = yes
08 encrypt passwords = yes             # Verschlüsselte Passwortübertragung
09 password server = w3k.ad.local      # Anstelle von w3k.ad.local ist
10                              auch * für alle Server der Domäne möglich
11 idmap uid = 10000-20000              # Bereich für Domänenuser
12 idmap gid = 10000-20000              # Bereich für Domänengruppen
13 
14 [data]
15 comment = Data Share using AD
16 path = /mnt/iscsi/data
17 valid users = @"ADdomänen-benutzer" # Zugriff für User der Gruppe domänen-benutzer
18 writeable = yes
19 browseable = yes
20 
21 [public]                        # Freigabe eines freien Zugriffsbereich
22 comment = Public Stuff
23 path = /mnt/iscsi/public
24 create mode = 0777
25 directory mode = 0777
26 public = yes
27 writable = yes
28 printable = no