Lernen Sie in diesem Beitrag mit Samba und Microsoft Active Directory zwei Lösungen zur zentralen Erkennung und Autorisierung von Mitgliedern einer Domäne besser kennen. Beides Lösungen für die zentrale Verwaltung eines Domänennetzwerkes, die Ihnen helfen, einen sehr viel besseren Datenschutz und eine deutlich höhere Ausfallsicherheit Ihrer IT-Systeme zu erzielen.
In der aktuellen UCS Version ist Samba 4.7 integriert, das im Vergleich zu seinen Vorgängerversionen insbesondere eine deutliche Performancesteigerung im Bereich der LDAP-Abfragen sowie der Replikation speziell von Gruppenmitgliedschaften zeigt. Insbesondere für die Administration von besonders großen Umgebungen mit mehreren tausend, zehntausend oder mehr Authentifizierungskonten bringt Samba 4.7 Ihnen erhebliche Vorteile.
Ich möchte Ihnen außerdem erklären, wie Sie mit UCS eine Brücke zwischen der Linux- und der Windows-Welt schlagen und so die unterschiedlichen Vorteile, die beide Systeme bieten, voll ausnutzen können, statt sich zwischen einem der beiden entscheiden und damit beschränken zu müssen.
Wenn Sie sich also schon länger fragen, was genau die Eigenschaften und Funktionsweisen von Samba sind, inwiefern es sich mit dem Active Directory von Microsoft vergleichen lässt, welche Rolle es für das Identity Management von UCS spielt und wie Sie davon profitieren können, dann sollten Sie jetzt weiterlesen.
Beginnen wir zur Beantwortung dieser Fragen zunächst mit einem kurzen Blick auf Active Directory:
Was ist Active Directory und wozu ist es da?
Active Directory ist eine von Microsoft entwickelte Lösung, um in einem Domänennetzwerk Authentifizierungs- und Autorisierungsdienste bereitstellen zu können.
Die wichtigsten Elemente von Active Directory sind ein LDAP-Verzeichnisdienst, eine Kerberos-Implementierung sowie DNS-Dienste. Alle Informationen über Benutzer, Gruppen und Rechner Ihrer IT werden im AD-Verzeichnisdienst gespeichert. Kerberos übernimmt die Authentifizierung der Benutzer und Rechner und DNS (Domain Name System) sorgt dafür, dass sich Client- und Serversysteme in diesem Domänennetzwerk gegenseitig finden und miteinander kommunizieren können.
Alle drei Komponenten, LDAP, Kerberos und DNS, sind eng miteinander verzahnt. Um sie zu einer Einheit zusammenzufassen, wird von Active Directory Domain Services (AD DS) gesprochen.
Microsoft Windows Server können als sog. Domänencontroller diese Active Directory Domain Services bereitstellen oder auch als Mitglied einer solchen Domäne beitreten. Auch Windows Client-Betriebssysteme können in den jeweiligen Business- und Education-Versionen einer solchen Domäne beitreten.
Multi-Master-Replikation für Ressourcenverteilung und Ausfallsicherheit
Die Inhalte des Verzeichnisdienstes werden zwischen den Domänencontrollern einer Domäne repliziert und sind dadurch auf mehreren Systemen verfügbar. Das trägt wesentlich zur Ausfallsicherheit und Lastverteilung der Ressourcen des Domänennetzwerkes bei. Dabei setzt Active Directory eine sogenannte Multi-Master-Replikation um. Änderungen können also auf jedem einzelnen der Domänencontroller vorgenommen werden und werden von dort automatisch auf die übrigen Domänencontroller übertragen.
Samba für Interoperabilität von Linux und Unix Systemen mit Microsoft Lösungen
Das Samba-Projekt betreut eine freie Software-Suite, die die Interoperabilität von Linux und Unix-basierten Systemen mit von Microsoft verwendeten und entwickelten Diensten und Protokollen ermöglicht.
Bereitstellung von Windows-kompatiblen Diensten
Anfangs bot Samba lediglich die Möglichkeit, Dateifreigaben und Druckdienste über das von Microsoft genutzte und geprägte SMB/CIFS zu nutzen. Und zwar sowohl als Serverimplementierung, in der Samba die Dienste auf Linux oder Unix bereitstellt als auch als Clientimplementierung, die es Linux- und Unix-Systemen erlaubt, die von Microsoft Windows bereitgestellten Dienste zu nutzen.
Samba als Active Directory Domänencontroller
Inzwischen implementiert Samba für eine maximale Interoperabilität eine große Zahl von Diensten und Protokollen, u. a. SMB/CIFS, NTLM, WINS/NetBIOS, (MS)RPC, SPOOLSS, DFS, SAM, LSA sowie das Windows NT-Domänenmodell. Mit Version 4.0 wurde Samba schließlich um eine Open Source Implementierung von Active Directory ergänzt und kann so als vollwertige Alternative zu den Active Directory Domain Services eingesetzt werden.
Denn Samba-Systeme können seitdem nicht nur als Mitglied einer Active Directory Domäne beitreten, sondern auch selbst die Rolle des Domänencontrollers einnehmen und die Active Directory Domain Services auf einem Linux- oder Unix-basierten System bereitstellen.
Client-Systeme wie Windows oder macOS können einer von Samba bereitgestellten Active Directory Domäne über denselben Mechanismus beitreten wie bei einer Microsoft Windows Active Directory Domäne. Zudem können Gruppenrichtlinien zur Verwaltung der Windows-Clients angewendet werden.
Eine Brücke zwischen der Windows- und Linux-Welt mit UCS und Samba schlagen
Grundsätzlich ist OpenLDAP als Verzeichnisdienst in UCS das Herzstück, das in jeder UCS Domäne vorhanden sein muss.
Mit der App Active Directory-kompatibler Domänencontroller aus dem Univention App Center bietet UCS über die Samba-Software-Suite zusätzlich die Möglichkeit, eine Active Directory Domäne zu betreiben. Der eigens von Univention entwickelte Univention S4-Connector synchronisiert dabei alle relevanten Informationen zwischen dem OpenLDAP-Verzeichnisdienst und dem Samba-Verzeichnisdienst, sodass sich UCS hervorragend eignet, um sowohl die Windows- als auch die Linux/Unix-Welt in einem Domänennetzwerk zu vereinen. So setzt das Bundesamt für Strahlenschutz zum Beispiel seit Jahren UCS und Samba ein, um uneingeschränkt von den Vorteilen der eingesetzten Linuxserver zu profitieren und gleichzeitig den Mitarbeitern an den verschiedenen Standorten die Arbeit mit Windows-Diensten und Clients zu ermöglichen.
Ich hoffe, dass ich Ihnen mit diesem Artikel einen ersten Einblick in die Aufgaben der Verzeichnisdienste Samba und Microsoft Active Directory geben konnte.
Wenn Sie mehr darüber wissen möchten, wie Sie mit UCS und Samba Microsoft- und Linux-basierte Anwendungen in Ihrer IT-Umgebung einfach miteinander kombinieren können, nehmen Sie Kontakt zu uns auf oder schauen sich in unseren Referenzen um, die unterschiedlichste Einsatzszenarien von UCS und Samba AD beschreiben.
Wenn Sie noch mehr zu Samba und Active Directory lesen möchten empfehlen wir Ihnen folgende Artikel:
Migration einer Windows AD Domäne zu einer UCS Samba Domäne
Sichere Samba Authentifizierungen mit OpenVPN
Vertrauensstellungen von UCS Samba/AD mit nativen Microsoft AD Domänen