Graphic of a company's worldwide network

Mit dem Release von UCS 4.3 steht Ihnen auch die Samba Version 4.7 zur Verfügung, welche im Vergleich zu älteren Versionen u. a. eine deutliche Performancesteigerung im Bereich der LDAP-Abfragen sowie der Replikation speziell von Gruppenmitgliedschaften bringt. Gerade für große Organisationen mit mehreren tausend oder sogar zehntausend Authentifizierungskonten bringt das erhebliche Vorteile.

Aber was ist Samba überhaupt? Wie lässt es sich mit dem Active Directory von Microsoft vergleichen? An welchen Stellen des Identity Managements von UCS kommt es zum Tragen und wie können Sie davon profitieren?

In diesem Beitrag möchte ich Ihnen mit Samba und Microsoft Active Directory zwei Lösungen zur zentralen Erkennung und Autorisierung von Mitgliedern einer Domäne vorstellen. Beide Lösungen ermöglichen Ihnen die zentrale Verwaltung eines Domänennetzwerkes, führen zu mehr Datenschutz und einer deutlich höheren Ausfallsicherheit Ihres IT-Systems.

Außerdem möchte ich Ihnen zeigen, wie Sie mit UCS eine Brücke zwischen der Linux- und der Windows-Welt schlagen und so die Vorteile beider Systeme voll ausnutzen können, statt sich zwischen einer der beiden entscheiden und damit auch beschränken zu müssen.

Fangen wir doch einfach mit einem kurzen Blick auf Active Directory an:

Was ist Active Directory und wozu ist es da?

Active Directory ist eine von Microsoft entwickelte Lösung, um in einem Domänennetzwerk Authentifizierungs- und Autorisierungsdienste bereitstellen zu können.

Die wichtigsten Elemente von Active Directory sind ein LDAP-Verzeichnisdienst, eine Kerberos-Implementierung sowie DNS-Dienste. Alle Informationen über Benutzer, Gruppen und Rechner Iher IT werden im AD-Verzeichnisdienst gespeichert. Kerberos übernimmt die Authentifizierung der Benutzer und Rechner und DNS (Domain Name System) sorgt dafür, dass sich Client- und Serversysteme in diesem Domänennetzwerk gegenseitig finden und miteinander kommunizieren können.

Alle drei Komponenten, LDAP, Kerberos und DNS, sind eng miteinander verzahnt. Um sie zu einer Einheit zusammenzufassen, wird von Active Directory Domain Services (AD DS) gesprochen.

Microsoft Windows Server können als sog. Domänencontroller diese Active Directory Domain Services bereitstellen oder auch als Mitglied einer solchen Domäne beitreten. Auch Windows Client-Betriebssysteme können in den jeweiligen Business- und Education-Versionen einer solchen Domäne beitreten.

Multi-Master-Replikation für Ressourcenverteilung und Ausfallsicherheit

Die Inhalte des Verzeichnisdienstes werden zwischen den Domänencontrollern einer Domäne repliziert und sind dadurch auf mehreren Systemen verfügbar. Das trägt wesentlich zur Ausfallsicherheit und Lastverteilung der Ressourcen des Domänennetzwerkes bei. Dabei setzt Active Directory eine sogenannte Multi-Master-Replikation um. Änderungen können also auf jedem einzelnen der Domänencontroller vorgenommen werden und werden von dort automatisch auf die übrigen Domänencontroller übertragen.

Samba für Interoperabilität von Linux und Unix Systemen mit Microsoft Lösungen

Samba 4 LogoDas Samba-Projekt betreut eine freie Software-Suite, die die Interoperabilität von Linux und Unix-basierten Systemen mit von Microsoft verwendeten und entwickelten Diensten und Protokollen ermöglicht.

Bereitstellung von Windows-kompatiblen Diensten

Anfangs bot Samba lediglich die Möglichkeit, Dateifreigaben und Druckdienste über das von Microsoft genutzte und geprägte SMB/CIFS zu nutzen. Und zwar sowohl als Serverimplementierung, in der Samba die Dienste auf Linux oder Unix bereitstellt als auch als Clientimplementierung, die es Linux- und Unix-Systemen erlaubt, die von Microsoft Windows bereitgestellten Dienste zu nutzen.

Samba als Active Directory Domänencontroller

Inzwischen implementiert Samba für eine maximale Interoperabilität eine große Zahl von Diensten und Protokollen, u. a. SMB/CIFS, NTLM, WINS/NetBIOS, (MS)RPC, SPOOLSS, DFS, SAM, LSA sowie das Windows NT-Domänenmodell. Mit Version 4.0 wurde Samba schließlich um eine Open Source Implementierung von Active Directory ergänzt und kann so als vollwertige Alternative zu den Active Directory Domain Services eingesetzt werden.

Denn Samba-Systeme können seitdem nicht nur als Mitglied einer Active Directory Domäne beitreten, sondern auch selbst die Rolle des Domänencontrollers einnehmen und die Active Directory Domain Services auf einem Linux- oder Unix-basierten System bereitstellen.

Client-Systeme wie Windows oder macOS können einer von Samba bereitgestellten Active Directory Domäne über denselben Mechanismus beitreten wie bei einer Microsoft Windows Active Directory Domäne. Zudem können Gruppenrichtlinien zur Verwaltung der Windows-Clients angewendet werden.

Eine Brücke zwischen der Windows- und Linux-Welt mit UCS und Samba schlagen

Grundsätzlich ist OpenLDAP als Verzeichnisdienst in UCS das Herzstück, das in jeder UCS Domäne vorhanden sein muss.

Active_Directory_mit_UCSMit der App Active Directory-kompatibler Domänencontroller aus dem Univention App Center bietet UCS über die Samba-Software-Suite zusätzlich die Möglichkeit, eine Active Directory Domäne zu betreiben. Der eigens von Univention entwickelte Univention S4-Connector synchronisiert dabei alle relevanten Informationen zwischen dem OpenLDAP-Verzeichnisdienst und dem Samba-Verzeichnisdienst, sodass sich UCS hervorragend eignet, um sowohl die Windows- als auch die Linux/Unix-Welt in einem Domänennetzwerk zu vereinen. So setzt das Bundesamt für Strahlenschutz zum Beispiel seit Jahren UCS und Samba ein, um uneingeschränkt von den Vorteilen der eingesetzten Linuxserver zu profitieren und gleichzeitig den Mitarbeitern an den verschiedenen Standorten die Arbeit mit Windows-Diensten und Clients zu ermöglichen.

Ich hoffe, dass ich Ihnen mit diesem Artikel einen ersten Einblick in die Aufgaben der Verzeichnisdienste Samba und Microsoft Active Directory geben konnte.

Wenn Sie mehr darüber wissen möchten, wie Sie mit UCS und Samba Microsoft- und Linux-basierte Anwendungen in Ihrer IT-Umgebung einfach miteinander kombinieren können, nehmen Sie Kontakt zu uns auf oder schauen sich in unseren Referenzen um, die unterschiedlichste Einsatzszenarien von UCS und Samba AD beschreiben.

Open Source Software Consultant und Mitglied des Professional Services Teams bei Univention.

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.