M 2.437 Planung des Einsatzes eines Samba-Servers

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Die vielfältigen Einsatzmöglichkeiten von Samba machen umfangreiche Planungen im Vorfeld notwendig, damit eine geregelte und sichere Einführung sowie in Folge ein sicherer Betrieb ermöglicht wird. Dabei ist zu gewährleisten, dass die für IT-Systeme festgelegten Sicherheitsrichtlinien (siehe vor allem M 2.316 Festlegen einer Sicherheitsrichtlinie für einen allgemeinen Server ) eingehalten werden und so eine richtlinienkonforme Umsetzung erfolgt. In Abhängigkeit des Einsatzszenarios ist zu definieren, in welchem Szenario und in welcher Funktion Samba eingesetzt werden soll und welche Software hierfür gegebenenfalls zusätzlich installiert werden muss (beispielsweise OpenLDAP).

1. Szenarienplanung

Um die unterschiedlichen Aufgabenbereiche, in denen Samba eingesetzt werden kann, zu verstehen, ist es hilfreich sich die verschiedenen Szenarien vor Augen zu führen, die ein Rechner in einem Windows-Netz haben kann:

Ein Samba-Server kann in den folgenden Szenarien eingesetzt werden. Dabei ist zu beachten, dass es für ein und dasselbe Szenario durchaus mehrere Möglichkeiten gibt, Samba einzusetzen:

2. Funktionsplanung

Wird Samba als Mitglied einer NT4-Domäne oder Mitglied einer AD-Domäne eingesetzt, so kann Samba folgende Funktionen ausüben:

Wird Samba als PDC für eine NT4-kompatible Domäne oder BDC eines Samba PDC in einer NT4-kompatiblen Domäne eingesetzt, so kann Samba folgende Funktionen ausüben:

3. Winbind

Damit die Benutzer Samba-Freigaben nutzen können, müssen sie sich auf dem Server authentisieren. Hierfür ist es erforderlich, dass auf dem Samba-Server für jeden Benutzer ein Windows- und ein Unix-Benutzerkonto vorhanden sind. Das Unix-Benutzerkonto wird unter anderem benötigt, damit Samba die Zugriffskontrolle im Dateisystem dem Kernel überlassen kann (siehe auch M 4.332 Sichere Konfiguration der Zugriffssteuerung bei einem Samba-Server ).

Daher muss jeder Windows-Domänenbenutzer, mit all seinen Gruppenmitgliedschaften im Unix-Betriebssystem existieren. Theoretisch ist es möglich, alle Domänenbenutzer von Hand unter Unix nachzupflegen. Statt dieser Vorgehensweise sollte aber Winbind eingesetzt werden.

Winbind kann zu Windows-Benutzern und -Gruppen passende Unix-Benutzer und -Gruppen dynamisch erzeugen, falls diese unter Unix noch nicht existieren. Außerdem kann durch den Einsatz von Winbind in Verbindung mit Samba die Beanspruchung der Domänencontroller im Informationsverbund gesenkt und eine niedrigere Netzlast erreicht werden. Für eine ausführliche Beschreibung von Winbind wird auf M 4.333 Sichere Konfiguration von Winbind unter Samba verwiesen.

Bei der Planung des Einsatzes eines Samba-Servers ist im Bezug auf Winbind zu beachten, dass das ID-Mapping-Backend "ads" nur eingesetzt werden kann, wenn Samba im Security Mode "ads" betrieben wird (siehe M 4.328 Sichere Grundkonfiguration eines Samba-Servers ).

Prüffragen: