Samba, 
2. Auflage

Samba, 2. Auflage

Von Jay Ts, Robert Eckstein, and David Collier-Brown
2. Auflage, August 2003
O'Reilly Verlag, ISBN: 3-89721-359-1
www.oreilly.de/catalog/samba2ger/

Dieses Buch ist unter der GNU Free Documentation License (FDL) erschienen. Bitte beachten Sie den Text der GNU FDL.


TOC PREV NEXT INDEX

Anhang F

Samba unter Mac OS X Server betreiben

Mac OS X Server ist ein Betriebssystem von Apple, das auf Mac OS X beruht, jedoch um administrative Werkzeuge und Server-Software erweitert wurde. Ein Bereich, in dem es sich von Mac OS X unterscheidet, ist die Konfiguration Samba-basierter Dienste. In diesem Anhang zeigen wir Ihnen, wie Sie SMB-Datei- und Druckerfreigaben einrichten, den Zugriff von Client-Benutzern aktivieren und die Aktivitäten überwachen. Wir konzentrieren uns dabei speziell auf Mac OS X Server 10.2.

Vorgehensweise beim Einrichten

Zunächst einmal müssen wir anmerken, dass die in Kapitel 2 beschriebene Vorgehensweise, bei der die Systemeinstellungen verwendet werden, um Samba zu aktivieren, nicht für Mac OS X Server gilt. Im Gegensatz zu Mac OS X enthält das Sharing-Feld der Systemeinstellungen keine Option zum Einschalten von Windows File Sharing. Stattdessen gibt es eine Reihe von Anwendungen zum Konfigurieren, Aktivieren und Überwachen von Diensten: Arbeitsgruppen-Manager, Server-Einstellungen, Server-Status und Open Directory Assistant, alle zu finden im Verzeichnis /Programme/Dienstprogramme.


Diese und andere Administrationsprogramme sind nicht nur unter Mac OS X Server installiert, sondern auch auf einer separaten Installations-CD-ROM enthalten, die mit dem Betriebssystem verkauft wird. Sie können verwendet werden, um Mac OS X Server-Systeme von jeder anderen Mac OS X-Maschine aus zu verwalten.
Nähere Informationen finden Sie im Mac OS X Server Administrator's Guide, der als PDF-Datei im Verzeichnis /Library/Documentation/ MacOSXServer zu finden ist und auch von der Apple-Website unter http://www.apple.com/ server/ heruntergeladen werden kann.

Um SMB-Datei- und Druckerfreigaben einzurichten, müssen Sie folgendermaßen vorgehen:

1. Festlegen der Netzwerkordner für das Freigeben von Dateien im Arbeitsgruppen-Manager.
2. Einrichten der Druckwarteschlangen in Server-Einstellungen für die Druckerfreigaben und Aktivieren des Druckdiensts.
3. Konfigurieren und Aktivieren der Windows-Dienste in Server-Einstellungen.
4. Aktivieren des Kennwort-Servers und Einstellen der SMB-Authentifizierung im Open Directory Assistant.
5. Aktivieren der Kennwort-Server-Authentifizierung für Benutzerzugänge im Arbeitsgruppen-Manager.
6. Überwachen der Datei- und Druckdienste mit Server-Status.

Freigeben von Dateien

Der erste Schritt beim Aktivieren von SMB-Dateifreigaben besteht darin, einen oder mehrere Netzwerkordner festzulegen. Netzwerkordner sind Ordner, die die Wurzel der freigegebenen Volumes für die von Mac OS X Server unterstützten Protokolle bilden: Apple Filesharing Protocol (AFP), Network Filesystem (NFS), File Transfer Protocol (FTP) und SMB.

Um einen Netzwerkordner zu bestimmen, starten Sie das Programm Arbeitsgruppen-Manager. Sie werden nach dem Hostnamen oder der IP-Adresse des lokalen oder entfernten Servers sowie nach einem Benutzernamen und einem Kennwort gefragt. Dies ist bei allen administrativen Anwendungen unter Mac OS X Server erforderlich. Sobald der Arbeitsgruppen-Manager geöffnet ist, klicken Sie auf den Button Zugriff in der Symbolleiste. Die Liste auf der linken Seite unter dem Register Netzwerkordner zeigt die aktuell definierten Netzwerkordner. Um einen hinzuzufügen, klicken Sie auf das Register Alle und suchen den Ordner, den Sie freigeben wollen.

Klicken Sie auf der rechten Seite unter dem Register Allgemein das Optionsfeld Dieses Objekt und seinen Inhalt freigeben an, ändern Sie bei Bedarf den Eigentümer und die Rechte und klicken Sie dann auf den Button Sichern. Wählen Sie als Nächstes unter dem Register Protokolle den Punkt Windows-Datei-Server-Einstellungen aus dem Pop-up-Menü und prüfen Sie, ob das Optionsfeld Dieses Objekt über SMB gemeinsam nutzen aktiviert ist. An dieser Stelle können Sie entscheiden, ob ein Gastzugriff auf die Freigabe erlaubt sein soll. Sie können hier außerdem den Namen der Freigabe ändern, der SMB-Clients gezeigt wird, und die Rechte für Dateien und Ordner einstellen, die von SMB-Clients erzeugt werden. Klicken Sie auf den Button Sichern, wenn Sie mit den Änderungen fertig sind. Siehe Abbildung F-1.
Abbildung F-1
Arbeitsgruppen-Manager: Netzwerkordner und Windows-Datei-Server-Einstellungen

Freigeben von Druckern

Druckerfreigaben werden etwas anders eingerichtet. Starten Sie zuerst das Programm Server-Einstellungen. Wählen Sie unter dem Register File & Print erst Drucken, dann Print-Server konfigurieren... Klicken Sie das Optionsfeld Neue Wartelisten für Windowsdruckdienste freigeben an. Danach klicken Sie erneut auf das Symbol Drucken und anschließend auf Print Monitor anzeigen. Stellen Sie sicher, dass die Drucker, die Sie freigeben wollen, aufgeführt sind. Bei Druckern, die direkt an den Server angeschlossen sind, sollten die Warteschlangen automatisch erzeugt worden sein, entfernte Drucker dagegen müssen Sie erst hinzufügen, indem Sie auf Neue Warteliste klicken und die Drucker suchen oder festlegen. Wenn Sie fertig sind, klicken Sie auf Sichern, wählen ein weiteres Mal das Drucken-Symbol aus und wählen dann Print-Server starten. Siehe Abbildung F-2.
Abbildung F-2
Server-Einstellungen: Print-Server


Server-Einstellungen stellt lokale Drucker nur dann für die gemeinsame Nutzung zur Verfügung, wenn diese PostScript-kompatibel sind. Leider sind viele Drucker - einschließlich einfacher USB-Tintenstrahldrucker - dies nicht. Falls Sie einen dieser Drucker den SMB-Clients zur Verfügung stellen wollen, können Sie die Freigabe mit einem Texteditor selbst in die Datei /etc/smb.conf eintragen. Hinweise und Warnungen bezüglich manuell vorgenommener Änderungen in smb.conf finden Sie im Abschnitt »Selbst ist der Mann (und die Frau)« weiter unten in diesem Anhang.

Konfigurieren und Aktivieren von Diensten

An dieser Stelle stehen weder die Dateifreigaben noch die Druckerfreigaben den SMB-Clients zur Verfügung. Um sie zu aktivieren, klicken Sie zuerst auf das Symbol Windows im Programm Server-Einstellungen und anschließend auf Windows-Datei-Server konfigurieren... Unter dem Register Allgemein können Sie den NetBIOS-Hostnamen des Servers, die Arbeitsgruppe oder Windows NT-Domäne, in der sich der Server befindet, und die Beschreibung, die in einer Suchliste angezeigt wird, einstellen. Darüber hinaus können Sie die Codepage für einen alternativen Zeichensatz einstellen. Schließlich haben Sie noch die Möglichkeit, den Start von Samba beim Booten zu aktivieren. Siehe Abbildung F-3.
Abbildung F-3
Server-Einstellungen: Windows-Datei-Server

Das Register Zugriff bietet Ihnen Optionen zum Aktivieren des Gastzugriffs und zum Beschränken der Anzahl der gleichzeitig möglichen Client-Verbindungen. Unter dem Register Protokoll können Sie die Ausführlichkeit der Protokollierung festlegen. Mit den Optionen unter dem Register Netzwerkumgebung können Sie Ihre Maschine als WINS-Client oder -Server konfigurieren oder einstellen, dass sie lokal oder über Subnetzgrenzen hinweg Suchdienste anbietet.

Kennwort-Server

Der Kennwort-Server ist eine Funktion, die mit Mac OS X Server 10.2 eingeführt wurde. In früheren Versionen von Mac OS X Server wurde die Windows-Authentifizierung mit dem Identifizierungs-Manager durchgeführt, der das Windows-Kennwort eines Benutzers in der Eigenschaft tim_password des NetInfo-Eintrags des Benutzers speichert. In Version 10.2 ist dies immer noch möglich, allerdings wird davon streng abgeraten, da das verschlüsselte Kennwort für andere Benutzer mit Zugriff auf die NetInfo-Domain sichtbar ist und potenziell entschlüsselt werden kann.
Falls Sie den Identifizierungs-Manager benötigen, gehen Sie folgendermaßen vor, um ihn zu aktivieren:
1. Führen Sie auf jeder Maschine, die eine Domain beherbergt, die in die NetInfo-Hierarchie eingebunden ist, für jede einzelne Domain den Befehl tim -init -auto tag aus, wobei tag der Name der Domain-Datenbank ist.
2. Geben Sie bei der entsprechenden Aufforderung ein Kennwort an, das als Verschlüsselungsschlüssel für die Domain verwendet wird. Dieser Schlüssel wird benutzt, um die Windows-Kennwörter zu entschlüsseln, und liegt in einer verschlüsselten Datei, die nur durch root gelesen werden kann: /var/db/netinfo/.tag.tim.
3. Setzen Sie AUTHSERVER=-YES- in /etc/hostconfig.
4. Starten Sie den Identifizierungs-Manager, indem Sie tim aufrufen. Dies wird ebenfalls während des Bootens durch das AuthServer-Startobjekt ausgeführt.
5. Setzen Sie die Kennwörter aller Benutzer zurück, die SMB-Client-Zugriff erfordern. Stellen Sie in Mac OS X Server 10.2 oder später sicher, dass für den Benutzer Einfache Identifizierung, nicht Authentifizierung über den Kennwort-Server eingestellt ist.

Wenn Sie die Konfiguration der Windows-Dienste beendet haben, klicken Sie auf den Button Sichern, danach auf das Symbol Windows in Server-Einstellungen und wählen dann Windows-Datei-Server starten. Dies startet die Samba-Daemons und aktiviert den Zugriff von SMB-Clients.

Aktivieren des Kennwort-Servers

Nachdem Sie nun die Datei- und Druckerfreigaben eingerichtet haben, müssen Sie dafür sorgen, dass die Benutzer sich richtig authentifizieren können, um auf sie zuzugreifen. In Mac OS X Server wird dies mit dem Open Directory Kennwort-Server erreicht, einem Dienst, der auf dem Simple Authentication and Security Layer-Standard (SASL) beruht und mit vielen verschiedenen Authentifizierungsprotokollen verwendet werden kann, einschließlich den Protokollen LAN Manager und Windows NT LAN Manager (NTLM). Dieser Abschnitt beschreibt, wie die SMB-Client-Authentifizierung unterstützt wird. Weitere Informationen darüber, was der Kennwort-Server tut und wie er funktioniert, finden Sie im Mac OS X Server Administrator's Guide.

Um den Kennwort-Server zu aktivieren oder wenigstens seine Einstellungen zu überprüfen, starten Sie den Open Directory Assistant. Klicken Sie, falls Sie keine Einstellungen ändern wollen, einfach auf den Rechtspfeil in der unteren rechten Ecke des Fensters, bis Sie zum ersten Sicherheitsschritt kommen. An dieser Stelle aktivieren Sie den Kennwort-Server, indem Sie die Option Kennwörter und Identifizierungs-Informationen werden für andere Systeme bereitgestellt auswählen. Der nächste Schritt zeigt den Hauptadministratorzugang, und der übernächste bietet Ihnen eine Auswahl zu aktivierender Authentifizierungsprotokolle (siehe Abbildung F-4). Achten Sie darauf, dass SMB-NT angeklickt ist, und aktivieren Sie SMB-LAN Manager, falls Sie Windows 95/98/Me oder ältere Clients haben. Der letzte Schritt speichert die Kennwort-Server-Konfiguration und fordert Sie auf, den Rechner neu zu starten.
Abbildung F-4
Die Kennwort-Server-Authentifizierungsprotokolle

Freigeben des Kennwort-Servers

Um die Benutzung des Kennwort-Servers für einen Benutzerzugang freizugeben, starten Sie den Arbeitsgruppen-Manager und klicken auf den Accounts-Button in der Symbolleiste. Unter dem Register Benutzer auf der linken Seite (mit der Silhouette einer einzelnen Person) wählen Sie den Zugang, und unter dem Register Erweitert auf der rechten Seite wählen Sie Kennwort-Server für Benutzerkennwort: (siehe Abbildung F-5). Sie werden aufgefordert, ein neues Kennwort einzugeben, das in der Password Server-Datenbank abgelegt wird. Nach dem Sichern der Zugangskonfiguration kann sich der Benutzer von einem SMB-Client authentifizieren und auf Freigaben zugreifen.
Abbildung F-5
Arbeitsgruppen-Manager: Aktivieren der Kennwort-Server-Authentifizierung

Überwachen von Diensten

Wenn alles läuft, wollen Sie die Dinge sicher im Auge behalten. Das Programm Server-Status liefert Ihnen Darstellungen der verschiedenen von Mac OS X Server angebotenen Dienste. Für Windows-Server können Sie den aktuellen Zustand des Diensts betrachten, die Protokolle durchsuchen (die sich im Verzeichnis /Library/Logs/WindowsServices befinden), einzelne Verbindungen anzeigen und beenden und eine Darstellung der Verbindungen über die Zeit anschauen (siehe Abbildung F-6). Ähnliche Informationen werden für den Print-Server angeboten.
Abbildung F-6
Server-Status: Windows-Server

Einzelheiten der Konfiguration

Unterhalb der grafischen Oberfläche laufen eine Menge Aktivitäten ab, um die Windows-Dienste anzubieten. In der Nicht-Server-Version von Mac OS X wird beim Auswählen von Windows File Sharing der Parameter SMBSERVER in /etc/hostconfig gesetzt und das Samba-Startobjekt ausgelöst. Unter Mac OS X Server werden das Samba-Startobjekt und der Parameter SMBSERVER normalerweise nicht benutzt.

Stattdessen erzeugt ein Prozess namens sambadmind die /etc/smb.conf aus der Konfiguration, die in den Server-Einstellungen und dem Arbeitsgruppen-Manager angegeben ist, und erledigt das Starten und Neustarten der Samba-Daemons bei Bedarf. Der Prozess sambadmind wird wiederum durch watchdog überwacht. Dieses Programm beobachtet bestimmte Prozesse und startet Prozesse neu, die abgestürzt sind. Das Dienstprogramm watchdog wird in /etc/watchdog.conf, einer Datei ähnlich einer inittab unter System V, konfiguriert. Diese Datei legt fest, wie die unter der Aufsicht von watchdog stehenden Dienste behandelt werden. Die Zeile für sambadmind sieht beispielsweise so aus:

sambadmin:respawn:/usr/sbin/sambadmind -d     # SMB Admin daemon
 

Durch den Einsatz eines von watchdog-überwachten Prozesses wie sambadmind zum Start der Samba-Daemons an Stelle der einmaligen Ausführung eines Start-Objekts erhalten Sie einen zuverlässigeren Dienst. Wenn unter Mac OS X Server ein Samba-Daemon unerwartet seinen Dienst einstellt, wird er schnell neu gestartet. (Beispiele für andere Dienste, die von watchdog überwacht werden, sind Kennwort-Server, Print-Server und der Server-Einstellungen-Daemon, der eine entfernte Verwaltung erlaubt.)
Abbildung F-7
NetInfo Manager: SMBServer-Eigenschaften

Es gibt noch einen weiteren Trick in Mac OS X Server: Die Samba-Konfigurationseinstellungen werden nicht direkt nach /etc/smb.conf geschrieben, wie dies in der Nicht-Server-Version von Mac OS X der Fall ist. Stattdessen werden sie in der lokalen Open Directory-Domain des Servers abgelegt,1 aus der sambadmind sie bezieht und smb.conf neu erstellt. Die globalen Parameter von Samba werden zum Beispiel in /config/SMBServer gespeichert (siehe Abbildung F-7). Netzwerkordner-Informationen werden ebenfalls in Open Directory abgelegt, und zwar unter /config/SharePoints, während CUPS die Verantwortung für die Druckerkonfiguration in /etc/cups/printers.conf übernimmt (dabei werden auch Stub-Einträge erzeugt, die von Samba in /etc/printcap verwendet werden).

Tabelle F-1 fasst die Verbindung der Windows-Server-Einstellungen im Programm Server-Einstellungen, der im Open Directory gespeicherten Eigenschaften und der Parameter in /etc/smb.conf zusammen.

Tabelle F-1
Samba-Konfigurationseinstellungen in Mac OS X Server 
Grafisches Element der Server-Einstellungen in Windows-Server
Open Directory-Eigenschaft in /config/SMBServer
Globaler Samba-Parameter in /etc/smb.conf
Allgemein Æ Servername
netbios_name
netbios name
Allgemein Æ Arbeitsgruppe
workgroup
workgroup
Allgemein Æ Beschreibung
description
server string
Allgemein Æ Code-Seite
code_page
client code page
Allgemein Æ Windows Datei-Server beim Systemstart automatisch starten
auto_start
N/A
Zugriff Æ Gastzugriff erlauben
guest_access, map_to_guest
map to guest
N/A
guest_account
guest account
Zugriff Æ Höchstzahl angemeldeter Clients
max_connections
max smbd processes
Protokoll Æ Details
logging
log level
Netzwerkumgebung Æ WINS-Registrierung Æ Aus
WINS_enabled, WINS_register
wins support
Netzwerkumgebung Æ WINS-Registrierung Æ WINS-Server aktivieren
WINS_enabled
wins support
Netzwerkumgebung Æ WINS-Registrierung Æ Bei WINS-Server anmelden
WINS_register, WINS_address
wins server
Netzwerkumgebung Æ Arbeitsgruppen/Domänen-Dienste Æ Master-Browser
Local_Master
local master
Netzwerkumgebung Æ Arbeitsgruppen/Domänen-Dienste Æ Domänen-Master-Browser
Domain_Master
domain master
Drucken Æ Print-Server starten
printing
N/A
N/A
lprm_command
lprm command
N/A
lppause_command
lppause command
N/A
lpresume_command
lpresume command
N/A
printer_admin
printer admin
N/A
encryption
encrypt passwords
N/A
coding_system
coding system
N/A
log_dir
N/A
N/A
smb_log
log file
N/A
nmb_log
N/A
N/A
samba_sbindir
N/A
N/A
samba_bindir
N/A
N/A
samba_libdir
N/A
N/A
samba_lockdir
N/A
N/A
samba_vardir
N/A
N/A
stop_time
N/A

Selbst ist der Mann (und die Frau)

Wenn Sie manuell Änderungen an der Samba-Konfigurationsdatei vornehmen, müssen Sie darauf achten, dass Sie mit dem folgenden Befehl Änderungen blockieren, die von grafischen Programmen initiiert werden:

# chflags uchg /etc/smb.conf
 

Von diesem Moment an hilft Ihnen die grafische Oberfläche nur noch beim Starten, Stoppen und Überwachen des Diensts - nicht mehr beim Konfigurieren.

Falls Sie Ihre eigene Version von Samba installieren, können Sie diese weiterhin vom Programm Server-Einstellungen aus verwalten, indem Sie einige der Open Directory-Eigenschaften in /config/SMBServer ändern.

Öffnen Sie dazu den NetInfo Manager und verändern Sie die Eigenschaften samba_sbindir und samba_bindir entsprechend dem Ablageort Ihrer Samba-Installation. Optional können Sie samba_libdir, samba_vardir und samba_lockdir modifizieren. Angenommen, Sie haben eine Standard-Samba-Installation. Dann können Sie diese Werte mit den folgenden Befehlen auch auf der Kommandozeile ändern:

# nicl . -create /config/SMBServer samba_sbindir /usr/local/samba/bin
 
# nicl . -create /config/SMBServer samba_bindir /usr/local/samba/bin
 
# nicl . -create /config/SMBServer samba_libdir /usr/local/samba/lib
 
# nicl . -create /config/SMBServer samba_vardir /usr/local/samba/var
 
# nicl . -create /config/SMBServer samba_lockdir /usr/local/samba/var/locks
 

Ihre Einstellungen überprüfen Sie mit diesem Befehl:

# nicl . -read /config/SMBServer
 

Wählen Sie im Programm Server-Einstellungen den Punkt Windows Datei-Server stoppen. Führen Sie dann den folgenden Befehl aus:

# killall sambadmind
 

Das Dienstprogramm watchdog startet innerhalb weniger Sekunden sambadmind neu. Gehen Sie schließlich zurück zu Server-Einstellungen und wählen Sie Windows Datei-Server starten.

Falls Sie die Open Directory-Eigenschaften nicht an Ihre aktive Samba-Installation anpassen (weil Sie Ihre Konfiguration auf andere Weise verwalten wollen), dürfen Sie die Windows-Dienste niemals über das Programm Server-Einstellungen starten, da Sie ansonsten zwei Gruppen von Samba-Daemons erhalten, die gleichzeitig laufen.

1In Versionen von Mac OS X vor 10.2 wurden Open Directory-Domains als NetInfo-Domains bezeichnet. Der NetInfo Manager (zu finden in /Programme/Dienstprogramme) stellt eine grafische Schnittstelle zur Verfügung, um den Inhalt der Open Directory-Datenbanken zu betrachten und zu modifizieren. Nähere Informationen finden Sie im Mac OS X Server Administrator's Guide sowie im Dokument Understanding and Using NetInfo, das von der Mac OS X Server-Ressourcenseite unter http://www.apple.com/server/macosx/resources.html heruntergeladen werden kann.

TOC PREV NEXT INDEX

Copyright © 2003 by O'Reilly Verlag GmbH & Co.KG