Workshop: Einen modernen Fileserver fürs Unternehmen aufsetzen

Konfiguration testen

Zu diesem Zeitpunkt ist es günstig, das Setup einem Test zu unterwerfen: Im ersten Schritt legen Sie den Domänen-User-Administrator an und ordnen ihn der Gruppe »Domain Admins« zu:

smbldap-useradd -m -a administrator
smbldap-passwd administrator
smbldap-usermod -G "Domain Admins" administrator

Es folgt ein ein Testuser in der Gruppe »Domain Users«, der Check, ob das auch im LDAP angekommen ist, sowie die Überprüfung der Freigaben mit dem Samba-Client:

smbldap-useradd -m -a test
smbldap-passwd test
smbldap-usermod -G "Domain Users" test
ldapsearch -b "dc=mx,dc=local" -h 127.0.0.1 -x -LLL "uid=test" 
smbclient -L fs2009 -U test

Jetzt lässt sich der erste Windows-Client auf die herkömmliche Weise zur Domäne hinzufügen (Abbildung 3). Wer dafür die Gruppe »Domain Admins« verwenden möchte, muss dieser noch die benötigten Rechte dazu erteilen:

net -U root%Passwort rpc rights grant 'MXDomain Admins' SeMachineAccountPrivilege

Ersetzen sie dabei »Passowort« durch das des Root-Users.

Abbildung 3a und b: Einen Windows-Client tritt der Domäne des Samba-Servers bei.

Individuelle ACLs für beide Szenarien

Ein hilfreiches Feature, das viele Administratoren immer noch links liegen lassen, ist sind individuelle Zugrifsslisten [6]. Über die Registerkarte »Security« im Windows-Client vergeben Benutzer damit granulare Berechtigungen für Kollegen und setzen erweiterte Zugriffsmöglichkeiten auf Dateien und Verzeichnisse (Abbildung 4). Wollen Sie solche ACLs auf dem Server aktivieren, müssen Sie dafür sorgen, dass das darunterliegende Filesystem diese auch unterstützt - was die meisten modernen sofort tun, wenn Sie beim Mounten beziehungsweise in der »/etc/fstab« in der vierten Spalte die Option »acl« angeben.

Abbildung 4a und b: Von Windows aus lassen sich erweiterte Berechtigungen auf einem Samba-LDAP-Domänencontroller vergeben – den auf dem Access Control Lists sei Dank.