Kurz erklärt: Samba und Active Directory: Zentrale Domänenverwaltung

Fragen Sie sich schon länger, was die konkreten Unterschiede zwischen Samba und Microsoft Active Directory sind, welche Funktionalität sie bieten und welche Rolle sie für das Identitätsmanagement für Univention Corporate Server spielen?

Kurz zusammengefasst: Samba und Microsoft Active Directory sind beides Lösungen zur zentralen Erkennung und Autorisierung von Mitgliedern einer Domäne. Während Samba freie Software ist und unter der GNU GPL-Lizenz steht, ist Active Directory (AD) der Verzeichnisdienst von Microsoft Windows Server, wobei die Kernkomponente seit Windows 2008 Active Directory Domain Services (AD DS) heißt. Beide Lösungen kommen bei der zentralen Organisation, Bereitstellung und Überwachung eines Domänen-Netzwerks zum Einsatz: Samba und Microsoft AD verwalten Objekte im Netzwerk, wie beispielsweise Benutzer, Gruppen, Computer, Dienste, Server, Dateifreigaben usw.

In diesem Artikel möchte ich beide Ansätze vorstellen und zeigen, wie Sie damit den Datenschutz erhöhen und eine bessere Ausfallsicherheit Ihrer IT-Systeme erzielen können. Ich erkläre außerdem, wie Sie mit Univention Corporate Server eine Brücke zwischen der Linux/Unix- und der Windows-Welt schlagen. So nutzen Sie die Vorteile beider Systeme und müssen sich nicht zwischen Samba und Microsoft AD und damit auch nicht auf den Einsatz proprietärer oder aber offenen Open Source Lösungen entscheiden.

Was ist Active Directory?

Active Directory ist eine von Microsoft entwickelte Lösung, um in einer Domäne Authentifizierungs- und Autorisierungsdienste bereitzustellen. Die wichtigsten Elemente von Active Directory sind ein LDAP-Verzeichnisdienst, eine Kerberos-Implementierung sowie DNS-Dienste. Informationen über Benutzer, Gruppen und Rechner in Ihrer Umgebung speichert der Verzeichnisdienst. Kerberos übernimmt die Authentifizierung der Benutzer und Rechner. DNS (Domain Name System) beantwortet Anfragen zur Namensauflösung und sorgt also dafür, dass sich Client- und Serversysteme in diesem Netzwerk finden und miteinander kommunizieren können

Alle drei Komponenten, LDAP, Kerberos und DNS, sind eng miteinander verzahnt und im Active Directory Domain Services (AD DS) zu einer Einheit zusammengefasst. Windows-Server-Systeme können als sogenannte Domänencontroller diese Active Directory Domain Services bereitstellen oder auch als Mitglied einer solchen Domäne beitreten. Auch Windows-Clients können in den jeweiligen Business- und Education-Versionen des Betriebssystems einer solchen Domäne beitreten.

Multi-Master-Replikation: Ressourcenverteilung und Ausfallsicherheit

Da die Inhalte des Verzeichnisdienstes zwischen mehreren Domänencontrollern repliziert werden, sind sie auf mehreren Systemen verfügbar. Replikation heißt, dass dieselben Daten an mehreren Orten zugänglich sind und regelmäßig abgeglichen werden. Das sorgt nicht nur für eine Lastverteilung bei vielen Anfragen, sondern auch für mehr Sicherheit, falls ein Server ausfällt.
Active Directory unterstützt die sogenannte Multi-Master-Replikation, das heißt, dass Änderungen auf jedem beliebigen Domänencontroller vorgenommen werden können; der Abgleich mit den anderen Controllern erfolgt automatisch.

Samba: Linux/Unix-Systeme mit der Microsoft-Lösung vereinen

Das Samba-Projekt betreut die gleichnamige freie Software-Suite, die die Interoperabilität von Linux- und Unix-basierten Systemen mit von Microsoft verwendeten und entwickelten Diensten und Protokollen ermöglicht. Samba unterstützt eine große Zahl von Diensten und Protokollen, unter anderem SMB/CIFS, NTLM, WINS/NetBIOS, (MS)RPC, SPOOLSS, DFS, SAM, LSA sowie das Windows-NT-Domänen-Modell. Seit Version 4.0 kann Samba als vollwertige Alternative zu den Active Directory Domain Services eingesetzt werden.
Samba als Active Directory Domänencontroller

Samba-Systeme können seitdem nicht nur als Mitglied einer Active Directory Domäne beitreten, sondern auch selbst die Rolle des Domänencontrollers übernehmen und die Active Directory Domain Services auf einem Linux- oder Unix-basierten System bereitstellen. Windows- oder macOS-Clients treten einer von Samba bereitgestellten Active Directory Domäne über denselben Mechanismus wie einer MS-AD-Domäne bei. Auch die Gruppenrichtlinien zur Verwaltung der Windows-Clients können angewendet werden.

UCS als Bindeglied zwischen Windows- und Linux-Welt

Ein wichtiges Element von Univention Corporate Server ist der Verzeichnisdienst OpenLDAP. Er muss in jeder UCS-Domäne vorhanden sein. Dank der App Active Directory-kompatibler Domänencontroller, die Sie über das Univention App Center installieren, können Sie über Samba eine AD-Domäne betreiben. Der von Univention entwickelte S4-Connector synchronisiert alle relevanten Informationen zwischen dem OpenLDAP- und dem Samba-Verzeichnisdienst.

Daher eignet sich UCS hervorragend als Bindeglied zwischen Windows- und Linux/Unix-Welt und kann beide Systeme in einer Domäne miteinander kombinieren. Viele Kunden nutzen dieses Feature, um Benutzer- und Gruppen-Mitgliedschaften sowie Passwörter zwischen Samba AD und OpenLDAP zu synchronisieren.

Wenn Sie mehr zu Samba, Microsoft AD und ihrer Kombination und der technischen Umsetzung in IT-Umgebungen lesen möchten, schauen Sie sich gerne in unseren Referenzen um, die ganz unterschiedliche Einsatzszenarien beschreiben. Ich hoffe, dass ich Ihnen mit diesem Artikel einen ersten Einblick in die Aufgaben der Verzeichnisdienste Samba und Microsoft Active Directory geben konnte. Falls es noch offene Fragen gibt, nehmen Sie gerne Kontakt zu uns auf.

Mehr Informationen:

*Über Samba: https://www.samba.org/

**Über Microsoft Active Directory: https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/get-started/virtual-dc/active-directory-domain-services-overview