Vertrauensstellungen mit Samba einrichten und verwalten
Übergreifend
Das Verwalten von Active-Directory-Vertrauensstellungen unter Samba war bisher umständlich bis unmöglich. Mit der Version 4.9 lassen sich jetzt auch Benutzer und Gruppen aus anderen Domänen komfortabel hinzufügen.
Bis zur Samba-Version 4.2 ließen sich Vertrauensstellungen (Trusts) nicht zwischen zwei Active-Directory-Domänen einrichten. Mit der Version 4.3 hat sich das geändert. Aber erst seit Version 4.7 sind die Vertrauensstellungen praxistauglich; sie funktionieren seitdem sowohl zwischen Samba-Domänen als auch zwischen Samba- und Windows-Domänen. Aber leider konnte man Benutzer und Gruppen aus der vertrauten Domäne immer noch nicht in eine Gruppe der eigenen Domäne einbinden. Samba 4.8 brachte einige Verbesserungen, aber das Hinzufügen von Benutzern und Gruppen funktioniert erst seit der Version 4.9. Der vorliegende Artikel basiert auf Samba 4.9.1.
Wenn die eigene Domäne nicht die einzige im Unternehmen ist, sollten sich Benutzer aus einer Domäne in einer anderen Domäne anmelden können, wenn sie dort auf Ressourcen zugreifen wollen. Administratoren müssen die Benutzer in solchen Fällen nicht mehrfach anlegen und können die Accounts mithilfe der Vertrauensstellungen von der vertrauten Domäne aus verwalten.
Dieser Artikel zeigt Schritt für Schritt das Einrichten einer solchen Vertrauensstellung zwischen zwei Domänen. Bevor es ins Detail geht, folgt zunächst eine Übersicht über die Einsatzbereiche und Begriffe.
Vertrauende Domäne (Trusting Domain): Von der vertrauenden Domäne A kann man auf Benutzer und Gruppen der vertrauten Domäne B zugreifen. Benutzern und globalen Gruppen aus der Domäne B kann der Administrator Rechte an Ressourcen in Domäne A gewähren.
Bei einer einseitigen Vertrauensstellung muss sich der Administrator der Domäne A bei der Auswahl der Benutzer aus der Domäne B grundsätzlich mit seinen Anmeldedaten für die Domäne B authentifizieren. Der Administrator aus Domäne B muss also einen Benutzer (für den Administrator der Domäne A) mit Kennwort anlegen. Diesen Benutzer nutzt der Administrator aus Domäne A für die Authentifizierung. Denn Domäne B vertraut nicht der Domäne A.
Vertraute Domäne (Trusted Domain): Die Benutzer und globalen Gruppen der vertrauten Domäne, der Domäne B, werden der Domäne A (der vertrauenden Domäne) zur Verfügung gestellt. Die Benutzer der Domäne B sehen bei einer einseitigen Vertrauensstellung keine Benutzer und Gruppen der Domäne A. Administratoren können aber, die entsprechenden Berechtigungen vorausgesetzt, auf Ressourcen in Domäne A zugreifen. Benutzer aus Domäne B können aber nicht auf Ressourcen der Domäne A zugreifen.
Einseitige Vertrauensstellung (One-Way Trust): Die Vertrauensstellung gilt nur in einer Richtung: Domäne A vertraut Domäne B, aber die Domäne B vertraut nicht der Domäne A.
Bidirektionale Vertrauensstellung (Two-Way Trust): Beide Domänen vertrauen sich gegenseitig – die Voreinstellung im Active Directory.
Transitiver Trust: Wer mehrere Domänen oder insbesondere mehrere AD-Trees miteinander verbinden will, kann auch eine Vertrauensstellung mithilfe von Kerberos einrichten. Der Vorteil besteht darin, dass alle Clients zwar immer noch vom Zielserver die Anforderung zur Anmeldung bekommen, aber sie beziehen dann Tickets vom Kerberos-Server. Ein Client meldet sich bei einem DC seiner Domäne (der auch immer Kerberos-Server ist), bekommt einen Verweis auf einen DC des Ziels und erhält vom dortigen Kerberos-Server ein Ticket, das die Clients zur Authentifizierung am Server nutzen können.
Der Zielserver selbst muss sich also nicht um die Authentifizierung kümmern. Man spricht bei Kerberos auch von einer Third-Party Authentication. Alle vertrauen dem Kerberos-Dienst und somit vertrauen die Systeme einander.
Als Microsoft diese Art des Trust in Windows 2000 einführte, konnten sich noch alle Anwender in allen Domänen anmelden und die Administratoren alle Domänen verwalten, weil die Vertrauensstellungen immer bidirektional und transitiv sind.
Heute kann ein Administrator schon beim Einrichten eines Trust festlegen, wer mit welchen Rechten Zugriff auf die anderen Domänen erhält, und damit verhindern, dass der Administrator der Domäne A die Benutzer und Gruppen der Domäne B verwaltet.