SambaXP 2017

Vom 02.05.2017 bis zum 04.05.2017 ist es wieder so weit, die SambaXP findet statt, dieses mal wieder in Göttingen. Hier kann jeder mit den Entwicklern und anderen Administratoren Erfahrungen austauschen und in den Vorträgen das Neueste über die Entwicklung von Samba 4 erfahren:

Wie ist der Stand der Dinge bei den Vertrauensstellungen
Wie weit ist die Python3 Implementierung
Wann kommt der Samba4 ADDC mit dem MIT-Kerberos

Um nur ein paar Themen zu nennen. Die Konferenz richtet sich nicht nur an Entwickler sonder auch an Administratoren, die auf dem aktuellen Stand der Entwicklung bleiben wollen.

Am 02.05.2017, dem ersten Tag der Konferenz, werde ich ein Tutorial durchführen zum Thema:

Creating a Samba 4 Active Directory with DDNS

Im Tutorial werde ich mit den Teilnehmern eine Active Directory mit zwei ADDCs mit Bind9 aufbauen. Zusätzlich wird ein isc-dhcp-server mit failover Funktion eingerichtet.

Posted in Samba | Leave a comment

vfs-Modul für Gluster in den SerNet-Paketen

In Zukunft wird das glusterfs vfs-Modul in den SerNet-Paketen für Samba enthalten sein. Es wird über ein eigenständiges Paket „sernet-samba-vfs-glusterfs“ bereitgestellt werden. Jetzt kann beim Einsatz von Gluster native auf das Volume zugegriffen werden, ohne ein fuse-mount einrichten zu müssen.
Ich habe in meinem „CTDB Howto“ diese Funktion schon eingebaut. Zusätzlich habe ich dort die Einrichtung des vfs-Moduls „shadow_copy2“ und „recycle“ beschrieben.

Posted in Samba | Leave a comment

GlusterFS mount-Bug unter Debian

Da es bei Debian (und somit auch unter Ubuntu) einen Bug gibt, der dazu führt, dass Gluster-Dateisysteme beim Systemstart nicht ordnungsgemäß gemountet werden, habe ich hier ein Lösung dafür. Für den Systemd können verschiedene Targets erstellt werden, darunter auch ein target.mount. Über so eine Target lässt sich ein Dateisystem beim Systemstart mounten. Ein Eintrag in der /etc/fstab wir dann nicht mehr benötigt. Angenommen es soll ein Gluster-Volume (gv1) nach /glusterfs gemountet werden, dann muss eine Target-Datei /etc/systemd/system/glusterfs.mount erstellt werden.

Der Name muss identisch zum Mountpoint sein!
Hier sehen Sie die neue Version die auch funktioniert, wenn kein Knoten mehr aktiv ist.

Der Inhalt der Datei sieht dann so aus:

[Unit]
Description = Data dir
After=network.target glusterfs-server.service
Required=network-online.target

[Mount]
RemainAfterExit=true
ExecStartPre=/usr/sbin/gluster volume list
ExecStart=/bin/mount -a -t glusterfs
Restart=on-failure
RestartSec=3
What=master-01:/gv0
Where=/glusterfs
Type=glusterfs
Options=defaults,acl

[Install]
WantedBy=multi-user.target

Jetzt muss das Target noch mit systemctl enable glusterfs.mount aktiviert werden. Nach einem Neustart ist das Gluster-Dateisystem dann automatisch gemountet.

Posted in Allgemein, Samba | Leave a comment

Ubuntu sichert Bind9 über appamor.

Seit einiger Zeit wird der Bind9 unter Ubuntu-Server 16.04, mit apparmor abgesichert. Wenn Sie jetzt einen Samba-ADDC mit Bind9 einrichten, müssen Sie die Konfigurationsdatei /etc/apparmor.d/usr.sbin.named wie folgt anpassen:

vi /etc/apparmor.d/usr.sbin.named
/etc/bind/** r,
/var/lib/bind/** rw,
/var/lib/bind/ rw,
/var/cache/bind/** lrw,
/var/cache/bind/ rw,
/var/lib/samba/private/** rwmk,
/usr/lib/x86_64-linux-gnu/** rwmk,
/dev/urandom rwmk,

Anschließend müssen Sie den Dienst neu starten.
Ich habe die Einträge der Datei etwas anpassen müssen, weil die Zugriffsrechte für den Bind9 seit einiger Zeit noch etwas restriktiver gehandhabt werden. Es reicht nicht mehr aus das Verzeichnis /var/lib/samba/private/** freizugeben.

Posted in Allgemein | Leave a comment

Schemaerweiterung einfach gemacht

Wieder ein neues kleines Howto um das Schema des Active Directories um eigene Attribute zu erweitern. Seien Sie sehr vorsichtig bei der Erweiterung des Schemas.

Posted in Samba | Leave a comment

CTDB Howto

Noch ein kleines Howto, dieses Mal zum Thema CTDB. Es wird ein Gluster-Volume erstellt und anschließend CTDB als Cluster-Fileserver in eine Active Directory-Domäne eingebunden.

Posted in Allgemein, Samba | Leave a comment

Fehler im CTDB samba.50-eventskript Debian und Ubuntu

Wenn CTDB dazu verwendet werden soll , um Samba im Cluster zu starten, wird das Skript /etc/ctdb/events.d/50.samba aufgerufen und damit die Deamons smbd und nmbd über den systemctl gestartet. Bei älteren Distributionen wurde Samba über samba.service gestartet. Bei den aktuellen Versionen werden die beiden Dienste einzeln über smbd.service und nmbd.service gestartet. Damit CTDB die beiden Dienste wieder starten kann, muss das Skript wie folgt angepasst werden:

debian)
CTDB_SERVICE_SMB=${CTDB_SERVICE_SMB:-smbd}
CTDB_SERVICE_NMB=${CTDB_SERVICE_NMB:-nmbd}
;;

Danach kann CTDB die beiden Dienste wieder starten.

Posted in Allgemein | Leave a comment

Kleines Howto

Ich habe mal ein kleines Howto erstellt, mit dem zwei Samba 4 Domaincontroller, zusammen mit Bind9 als DNS-Server, eingerichtet werden können. Alle verwendeten Kommandos sind aufgelistet. Viel Spaß beim Ausprobieren

Posted in Allgemein | Leave a comment

ldb-tools nach Badlock

Viele Samba-Nutzer erhalten nach dem Update auf einem wegen des badlock-Bug gepatchten Systems Fehlermeldungen beim Zugriff auf die Datenbank mit den ldb-tools. Dabei spielt es keine Rolle, ob Sie den Zugriff über ldaps:// oder ldap:// durchführen. Um dieses Problem zu lösen gibt es zwei verschiedene Lösungen:
1. Sie passen die Datei smb.conf auf Ihrem Domaincontroller dahingegen an, dass Sie die Überprüfung und Sicherheit die durch den Patch eingespielt wurden abschalten, dass können Sie über die Parameter:
– tls verify peer = no_check
– ldap server require strong auth = no
Dabei werden die RPC-Zugriffe zwar immer noch über TLS abgesichert, aber die Zertifikate werden nicht ausreichend auf Gültigkeit geprüft. Alles funktioniert anschließend so wie Sie es gewöhnt sind.

2. Sie verwenden nur noch Kerberos für die Authentifizierung zusammen mit ldap://. Ja, ein Zugriff über ldap:// zusammen mit einer Authentifizierung und Verschlüsselung mit Kerberos ist sicherer als der Zugriff über ldaps:// mit Zertifikaten. Für den Zugriff müssen Sie sich lediglich mit „kinit“ ein Ticket ziehen und dann bei der Verwendung der ldb-tools den Parameter „-k yes“ verwenden. Ein ldbsearch würde dann wie folgt aussehen:
– kinit administrator
– ldbsearch -H ldap://addc.example.net „cn=username“ -k yes
Jetzt wird die Authentifizierung und Verschlüsselung mit Kerberos durchgeführt, ein „Man in the middle“-Angriff wird dabei nicht mehr möglich sein.

Ich hoffe dieser kleine Tipp hilft Betroffenen weiter. Mehr zu der Thematik badlock finden Sie hier

Posted in Samba | Leave a comment

Schwere Sicherheitslücke in Windows und Samba

Stefan Metzmacher vom Samba-Team hat eine schwere Sicherheitslücke gefunden, die sowohl Windows als auch Samba betrifft. Am 12. April wird ein Patch für diese Lücke erscheinen. Erst dann wird auch genau beschrieben worum es bei der Sicherheitslücke geht.

Das Samba-Team arbeitet dabei eng mit den Microsoft-Entwicklern zusammen um das Problem zu lösen. Für die Samba-Versionen 4.2, 4.3 und 4.4 (die gerade erschienen ist) wird es Patches geben. Alle Versionen davor werden NICHT mehr mit Sicherheitsupdates ausgestattet. Für den „Badlock Bug“ wurde extra eine Webseite eingerichtet. Hier werden immer die aktuellsten Informationen zu dem Bug bekannt gegeben.

Posted in Samba | Leave a comment