Samba 3 speichert solche Abbilder in der Datei »winbindd_idmap.tdb«. Sie ist binär, um den Zugriff zu beschleunigen. Linux-Administratoren begegnen Binärdateien mit einem – durchaus berechtigten – Misstrauen. Aus diesem Grund enthält Samba 3 die Werkzeuge »net idmap dump« und »net idmap restore«, die die »winbindd_idmap.tdb« lesbar ausgegeben und auch wieder herstellen. Übrigens ist die Datei Format-kompatibel mit den Dateien von Samba ab 2.2.4, sodass das »net«-Kommando auch für das Backup von modernen 2.2er Systemen verwendbar ist.

Ein bislang ungelöstes Problem bei Samba 2.2 ist der Einsatz von Winbind auf mehreren Maschinen in einem Netz. Jede Maschine wählt sich die Zuordnung von SID zu Linux-ID selbst. Die Entwicklung von IDMAP hat eine Schnittstelle geschaffen, um diese Vergabe von Linux-IDs zentral zu regeln. Es gibt bereits eine Implementation, die IDMAP im LDAP abzulegen – die Entwicklung ist aber noch lange nicht abgeschlossen. IDMAP liefert die Grundlage für drei interessante Erweiterungen von Samba: Die Übernahme von Windows-Domänen, das Gruppen-Mapping und die Unterstützung von Vertrauensstellungen.

Abbildung 1: So zeigt Windows NT 4 einen unbekannten SID.

Abbildung 2: Windows 2000 listet einen unbekannten SID in numerischer Form.

Eine Windows-Domäne übernehmen

Dank der IDMAP-Datenbank ergibt sich die Möglichkeit, bestehende SIDs einer Windows-Benutzerdatenbank bei ihrer Übernahme zu erhalten. Um von einem Windows-Domänencontroller die Daten inklusive der Passwörter zu erhalten, muss Samba die Installation eines NT-4-Backup-Domänencontrollers simulieren. Das heißt, man kann mit Samba die NT-4- und Windows-2000-Domänen im gemischten Modus übernehmen; der einheitliche Windows-2000-Modus verhindert die Installation von NT-BDCs.

Samba wird zu einem BDC der Domäne »WINDOWS« mit den Einstellungen:

[global]
workgroup = WINDOWS
domain master = no
domain logons = yes

Wenn der Admin mit diesen Einstellungen in der »smb.conf« die Domäne per »net rpc join -U Administrator« betritt, wird Samba im Servermanager nicht mehr als Mitglieds-Server oder -Workstation, sondern als Backup Domain Controller geführt. In Abbildung 3 ist der Rechner »delphin« (der Laptop des Autors) als BDC einer Windows-Domäne zu sehen.

Abbildung 3: Samba als BDC »delphin« im Servermanager.

Benutzerdatenbank vom PDC beziehen

Für das Betreten als BDC ist auf jeden Fall ein Administrator erforderlich, ein zum Aufnehmen von Computern in die Domäne berechtigter Benutzer reicht nicht. Im nächsten Schritt soll der PDC ja die Benutzerdatenbank inklusive aller Passwörter ausgeben – dafür sollte man schon Administrator sein.

»net rpc samdump« erlaubt einen Blick in die Benutzerdatenbank, »net rpc vampire« überschreibt die Samba-Benutzerdatenbank mit den Werten, die Windows übermittelt hat. Damit dies funktioniert, muss Samba die Windows-Benutzer und -Gruppen lokal unter Linux anlegen. Dazu bekommt Samba einen Satz von Shellskripten genannt, die dies erledigen. Beispielparameter dafür sind im Kasten “Skripte” zu sehen.