Debian 12 Samba DC und NTP

Bei der Einrichtung eines Samba Domaincontrollers wird immer auch ein Zeitserver benötigt, bei diesem holen sich die Windows-Clients die aktuelle Zeit. In meinem Buch (und auch an anderen Stellen) wird dafür meist der ntp genutzt. Leider gibt es ein Problem mit Debian 12 und ntp in Verbindung mit einem Samba DC. Die Pakete, die der DC an den Client sendet, müssen vom DC signiert werden. Samba stellt dafür extra einen Socket bereit. Jetzt hat Debian 12 aber von ntp zu ntpsec gewechselt, um Verbindungen zum Zeitserver gesichert durchführen zu können. Nur ist bei ntpsec die Funktion, die der Samba DC benötigt, um die Pakete signieren zu können, fehlerhaft. Wenn Sie also einen Domaincontroller unter Debian 12 einrichten wollen (die Samba-Version spielt dabei keine Rolle), sollten Sie auf jeden Fall auf chrony umsteigen.  Hier sehen Sie eine crony.conf in einer Grundkonfiguration die auf jeden Fall zusammen mit einem Domaincontroller funktioniert:

keyfile /etc/chrony/chrony.keys
driftfile /var/lib/chrony/chrony.drift
logdir /var/log/chrony
maxupdates

/etc/adjtime
rtcsync
makestep 1 3

#IP-Address of this DC
bindcmdaddress 192.168.56.201
server 0.pool.ntp.org     iburst
server 1.pool.ntp.org     iburst
server 2.pool.ntp.org     iburst

#DNS netmask
allow 192.168.56.0/24  
ntpsigndsocket  /var/lib/ntp_signd

Nach der Einrichtung müssen Sie auf jeden Fall das Verzeichnis /var/lib/samba/ntp_signd der Gruppe _chrony zuordnen (Ja, der Gruppenname beginnt mit einem Unterstrich) , damit der chrony auch auf den Socket zugreifen kann.

So können Sie dann auch wieder die Zeit an die Windows-Clients vergeben. 

This entry was posted in Samba and tagged , , . Bookmark the permalink.