Um Windows-Rechner mit File- und Printdiensten zu versorgen, eignet sich praktisch nur Samba. Windows bietet ab Vista zwar auch einen NFS-Client, der allerdings nur Version 3 implementiert. Damit lässt sich keine ausreichende Sicherheit schaffen. Insbesondere können Clients vorgeben, jeder beliebige Benutzer zu sein. Mit der Option root_squash lässt zwar der Zugriff als root verhindern, jedoch kann Benutzer A jederzeit auf die Dateien von Benutzer B zugreifen.
Samba ist eine Implementierung des nativen Windows-File- und Printsharings mit dem Protokoll SMB. Man muss sich darüber im Klaren sein, dass Samba eine Usermode-Implementierung von SMB ist. Samba erreicht daher nicht die Performance eines Windows-Fileservers. Es ist spürbar langsamer.
Was die konfigurierbaren Optionen angeht, übertrifft Samba seinem Windows-Pendant allerdings bei weitem. Das geht so weit, dass beim Auf- oder Abbau einer Verbindung durch einen Client ein Skript ausgeführt wird.
In der Definition für einen Share lassen sich Variablen einsetzen, etwa die IP-Adresse des Clients, der Benutzername oder die Version des Clients. Das eignet sich für eine ganze Reihe von Szenarien. So kann man bestimmte sicherheitsempfindliche Shares nur für IP-Teilnetze zugänglich machen. Nur wer in einem zulässigen Büro sitzt, bekommt Zugriff auf solche Shares.
Mit demselben Mechanismus ist es möglich, die Administratorrechte auf das interne Netzwerk zu beschränken. Wenn ein Admin sich per VPN einwählt, erhält er nur normale Benutzerrechte auf einem Share.
In der Standard-Konfiguration kennt Samba nur die Unix-Rechtestruktur. Mit der Konfigurationsoption nt acl support = yes lassen sich vollständige Access Control Lists von Windows-Clients aus verwalten. Voraussetzungen dafür sind, dass ein Filesystem mit ACL-Unterstützung verwendet wird, etwa ext3 oder ReiserFS, das Filesystem mit der Option acl gemountet wurde und der Kernel ACLs unterstützt. Von Letzterem kann man bei nahezu jeder Distribution ausgehen.
In einer reinen Linux-Server-Installation kann kein Windows-Server die Benutzerauthentifizierung durchführen. Das müssen die Linux-Rechner übernehmen. Allerdings ist das schwieriger zu bewerkstelligen, als man annehmen möchte. Da das SMB-Protokoll Passwörter in der Regel nur als Hash übermittelt, kann der Samba-Server nicht einfach den Benutzer per PAM authentifizieren. Er muss über eine separate Passwort-Datenbank mit Hashwerten verfügen.
Dazu gibt es verschiedene Lösungsansätze. Der einfachste besteht darin, dass Benutzer nur über ihren Windows-Client Passwörter ändern dürfen. Samba lässt sich so konfigurieren, dass das Unix-Passwort ebenfalls geändert wird. Eine andere Möglichkeit bietet das PAM-Modul pam_smbpass.so. Dann kann jede Anmeldung, die PAM unterstützt, etwa per SSH über die Samba-Passwort-Datenbank erfolgen, die man sinnvollerweise mit der Option passdb backend = ldapsam:ldap://myldap.example.com zentral für alle Linux-Rechner vorhält.
Neueste Kommentare
1 Kommentar zu Firmennetze ohne Windows: Linux als Intranetserver
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Scalix Mailserver
Liebes ZDnet Team,
leider habt ihr in Eurer Auflistung die meiner Meinung nach wichtigste MS-Exchange Alternative unter Linux vergessen: Scalix. Dieser Mailserver ist extrem performant und arbeitet bestens mit Outlook zusammen. Push-Mail gibt es natürlich auch. Weitere Infos: http://www.itsd.de/de/Produkte/Linux/Scalix oder http://www.scalix.com