14. April 2022

Samba als AD DC

Angeregt durch einen Artikel im Fedora-Magazin, habe ich mir kürzlich - zum wiederholten Mal - die Mühe gemacht und einen Linux Rechner mit Hilfe von Samba und einigen Hilfprogrammen zum Active Directory Domain Controller einzurichten. Dabei hatte ich, wie in den vergangenen Versuchen dies zu realisieren, schon bei der Namensauflösung ein Problem, das ich aber mit Hilfe der Hinweise im Kommentarbereich unter dem Artikel lösen konnte. Zuerst musste ich herausfinden woran die Auflösung der Namen scheitert und dabei half mir zuerst einmal

~$> resolvectl

Damit konnte ich letztlich erreichen, dass ich meinen eigenen DC in die /etc/systemd/resolved.conf.d/custom.conf eintragen konnte, wie in der Anleitung beschrieben.

Danach bekam ich kein positives Ergebnis beim Kerberos-Test:

~$> kinit administrator
~$> klist
kinit: krb5_parse_name_flags: unable to find realm of host dc1

das ich aber mit der Festlegung des FQDN (Fully Quailified Domain Name) beheben konnte:

~$> hostnamectl hostname <hostname.REALM>

Somit habe ich nun einen laufenden AD DC unter Samba und kann nun in weiteren Schritten darauf aufbauen. Einen Benutzer habe ich schon angelegt:

~$> samba-tool user add <username> --unix-home=/home/<username> --login-shell=/bin/bash --gecos '<Full Name>' --given-name=<John> --surname='<Doe>' --mail-address='<username>@<realm>'

Das ganze hab ich mit einem noch übriggebliebenem Raspberry Pi 3 und einem Fedora Server for IoT bewerkstelligt.

Das Ziel eine zentrale Benutzerauthentifizierung zu haben, hätte ich vermutlich auch mit anderen, einfacheren Methoden realisieren können. Aber die Samba-Methode hat zuvor noch nie funktioniert und wann immer ich über so eine Anleitung gestolpert bin hat es mich doch wieder gereizt. Nun war ich zum ersten Mal erfolgreich.

Vermutlich werde ich noch ein paar Umbaumaßnahmen am Netzwerk vornehmen müssen, damit ich am Ende unabhängig von meinem Internetrouter Namensauflösung und Adressvergabe verwalten kann. Dann könnte ich hinter dem Router alles alleine managen und hätte die volle Kontrolle im lokalen Netzwerk und der Router macht nur noch die Verbindung ins Internet.

Die Überlegung dahinter ist: Somit erspare ich mir bei einem künftigen Tarifwechsel und dem Einsatz des “Billigrouters” vom ISP das Gerangel um die Registrierung eines eigenen Routers. Stichwort: Routerfreiheit. Obwohl mich das Thema trotzdem noch reizt, die eigene Fritz!Box am Netzabschluss zu betreiben. Aber da ist ja auch das letzte Wort noch nicht gesprochen.