Projektarbeit: Primary Domain Controller

Erstellt von Patrick Kreipe und Paul Szymanski

Download als PDF-Datei hier erhältlich: Download

Einleitung

Unser Kursthema in Fachpraxis Informationstechnik ist die Projektarbeit im Bereich der Netzwerktechnik. Für die Erstellung der Facharbeit wurden uns verschiedene Geräte zur Verfügung gestellt. Zur Auswahl standen mehrere Fritzboxen der Firma AVM und mehrere Server. Wir entschieden uns für einen Server. Mit einem Server war die Vielfalt der Projektthemen Umfangreicher.

Unsere Schule hat vor kurzem ein Primary Domain Controller (PDC) System für die Schüler eingeführt. Daher hatten wir die Idee einen solchen PDC zu erstellen.

Recherchen

Zunächst haben wir uns über PDCs informiert. Danach mussten wir noch herausfinden wie genau man einen PDC Softwaretechnisch umsetzt.

Begriffserklärung PDC

Mit Windows-NT oder neuer ist es möglich meherer Rechner eines Netzwerkes zusammen in eine Domäne einzubinden. Der Primary Domain Controller ist der zentreale Verwaltungscomputer dazu. Somit ist es möglich Daten von Nutzern eines Netzwerkes, zum Beispiel im Netzwerk einer Firma, Zentral auf einen Server – dem PDC – zu speichern. Dies ermöglicht das sich jeder Nutzer eines solchen Netzwerkes auf jedem Rechner innerhalb dieses Netzwerkes anmelden kann. Die Benutzer und die zugehörigen Passwörter werden auf dem PDC verwaltet. Außerdem können Gruppen erstellt werden, denen unterschiedliche Berechtigungen zugeordnet werden können. So kann zum Beispiel ein Gruppe "‘Buchhaltung"’ erstellt werden, dessen Benutzer auf den Drucker im Buchhaltungsbüro und auf den Ordner "‘Rechnungen"’ zugreifen können.

Softwaretechnische Lösung

Normalerweise kann ein PDC mit einem NT-Server aufgesetzt werden. Wir haben uns jedoch dazu entschieden, die Linux Distribution Debian auf unserem Server zu installieren, da sie kostenlos ist. Da dies jedoch nicht NT ist, mussten wir nun eine Software installieren, die eine NT-Domäne emuliert. Dies ist mit Samba möglich. In der Praxis wird dies häufig gemacht, da somit keine Lizenzkosten fällig werden.

Ausführung

Installation von Debian

Das unter der GPL-Lizenz veröffentlichte Betriebssystem Debian wurde von der Debian-Website1 runtergeladen und auf eine CD gebrannt. Da der Server kein CD-Laufwerk hatte, musste zunächst die Abdeckung abgenommen werden und ein CD-Laufwerk installiert werden.

Nun wurde der Server gestartet und gleich darauf ins BIOS-Menü navigiert. Im BIOS-Menü wurde das erste Bootmedium auf das CD-Laufwerk umgestellt, anschließend wurde der Server neu gestartet und das Installationsprogramm von Debian erschien. Das Programm hat uns durch das Installationsverfahren geführt. Wie genau Debian installiert wurde, wird nicht weiter erläutert, da dieses nicht Thema der Facharbeit ist. Nach der Installation wurde das First-Boot-Device wieder auf die erste Festplatte umgestellt, dass CD-Laufwerk ausgebaut und die Abdeckung vom Server wieder verschraubt.

Installation von Samba

Um den PDC zu realisieren musste Samba installiert werden. Dies geschieht mit den folgenden Befehlen:

apt-get update
apt-get upgrade
apt-get install samba

Dabei wird dem Paketmanagment-System APT23 angewiesen die Packetliste zu aktualisiern, schon installierte – und veraltete – Pakete zu aktualisieren und dann Samba zu installieren.

Konfiguration von Samba

Nach der Installation von Samba wurde die Konfigurationsdatei angepasst. Sie ist zu finden unter /etc/samba/smb.conf. Die Bearbeitung wurde mit dem Programm Vim4 getätigt.

cd /etc/samba
cp smb.conf smb.conf.original
vim smb.conf

In der ersten Zeile wurde in den Ordner /etc/samba gewechselt. Dann wurde eine Sicherheitskopie der Datei smb.conf erstellt. Mit vim wurde dann schließlich die Konfigurationsdatei im Editor Vim geöffnet. Die Konfigurationsdatei wurde wie folgt geändert:

[global]
# Domaenenname und NetBIOS-Name:
workgroup = DOMAINCPAUL
netbios name = server4593

# Computername:
server string = Samba PDC von Patrick und Paul

# Hier werden die IPs angegeben, welche sich an der Domaene anmelden duerfen. 
In diesem Fall werden alle IPs erlaubt, die mit 192.168 beginnen.
hosts allow = 192.168., 127.0.0.1/255.255.255.0

# Maximale Groesse der Log-Datei in kB.
max log size = 50

# Benutzer und Sicherheitseinstellungen:
# bei security = user werden bei der Benutzeranmeldung der Benutzername und das 
Passwort Uebermittelt und geprueft. Dies ist bei Windows-NT immmer noetig.
security = user

# Passwort Verschluesselung einschalten:
encrypt passwords = true
# Manche Betriebssysteme, z.B. Windows 95, unterstuetzen dies nicht. Dann muss 
die Verschluesselung mit "false" abgeschaltet werden. Dies stellt jedoch ein erhebliches 
Sicherheitsrisiko dar, da dann die Passwoerter einfach ueber das Netzwerk mit Sniffing 
Programmen wie WireShark ausgelesen werden koennen.

# Hier wird die Datei angegeben, in der die Benutzer und zugehoerigen Passwoerter 
gespiechert sind. Bei jeder Anfrage einer Verbindung sieht Samba in dieser Datei nach.
smb passwd file = /etc/samba/smbpasswd

# Die folgenden Zeilen werden benoetigt damit man in Windows das Passwort eines 
Benutzers aendern kann.
unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = *Neues*Passwort* %n\n *Bitte*Passwort*Wiederholen* %n\n 
*Passwort*erfolgreich*geaendert*


# Master-Browser 'Einstellungen':
# Mit dieser Angabe wird festgelegt, dass sich der Samba-Server als Master-Browser 
fuer seine Domaene zur Verfuegung stellt.
local master = yes

preferred master = yes

#OS Chance des Samba-Servers Browser-Master zu werden
os level = 200

# Gast Account
guest account = nobody

# Samba zum WINS-Server machen:
wins support = yes
# Ende


# Samba zum Verwalter der Domaene machen:
domain master = yes

# Domaenen Logins aktivieren:
domain logons = yes

# Pfad in dem die Benutzerdateien gespeichert werden
# %L fuer diesen NetBIOS Namen, %U fuer den Benutzernamen
logon path = \\%L\Profiles\%U

# Heimatverzeichnis:
logon home = \\%L\Profiles\%U

# Laufwerk:
logon drive = H:

# Dieses Script wird ausgefuehrt, wenn Sich ein Benutzer an der Domaene anmeldet:
logon script = netlogon.bat

#=== Freigaben ===
[homes]
comment = Heimatverzeichnis
browseable = no
read only = no
create mode = 0664
directory mode = 0775

# NT braucht den Ordner netlogon und profiles
[netlogon]
comment = Netzwerk Login Service
path = /home/samba/netlogon
writable = no

[Profiles]
path = /home/samba/profiles
browseable = yes
writeable = yes

Mit /etc/init.d/samba restart musste samba neu gestartet werden.

Ordner anlegen

Nun müssen die Ordner angelegt werden, welche in /etc/samba/smb.conf angegeben wurden. Das sind die Ordner /home/samba/netlogon und /home/samba/profiles.

mkdir /home/samba
mkdir /home/samba/netlogon
mkdir /home/samba/profiles

Anschließend müssen die Berechtigungen korrigiert werden:

chmod 777 /home/samba
chmod 755 /home/samba/netlogon
chmod 777 /home/samba/profiles

Benutzer anlegen

Danach wurden die Benutzer hinzugefügt. Dazu muss für jeden Benutzer ein Konto auf dem PDC angelegt werden.

adduser BENUTZERNAME

Dieser Benutzer muss nun noch samba bekannt gemacht werden:

smbpasswd -a BENUTZERNAME

Ausserdem benötigt jeder Benutzer ein eigenes Verzeichniss:

mkdir /home/samba/profiles/BENUTZERNAME
chmod 700 /home/samba/profile/BENUTZERNAME
chown BENUTZERNAME /home/samba/profile/BENUTZERNAME

PC hinzufügen

Damit sich ein Computer mit Windows an der Domäne anmelden kann, muss für den ihn auch noch ein Benutzer angelegt werden.

useradd -s /bin/false PC1$
smbpasswd -a -m PC1$

Hierbei ist darauf zu achten, dass ‘PC1’ mit dem NetBIOS Namen des Computers übereinstimmt. Den NetBIOS Namen findet man bei Windows unter Systemeigenschaften -> Computername.

Windows-PC zur Domäne hinzufügen

Die Konfiguration des PDCs’ ist nun abgeschlossen und ein Windows-Computer kann zur Domäne hinzugefügt werden. Dies geschieht wie folgt:

  1. "‘Systemsteuerung"’ öffnen

  2. "‘System"’ öffnen

  3. Den Reiter "‘Computername"’ aktivieren

  4. Auf "‘Ändern"’ klicken

  5. Den Punkt "‘Domäne"’ auswählen und den Wert der Variable "‘workgroup"’ der smb.conf eintragen. In unserem Fall ist das "‘DOMAINCPAUL"’.

  6. Nun erschein ein Dialog in dem man den Adminnamen des PDC und das zugehörige Passwort eingibt. Also "‘root"’ und das Kennwort.

  7. Es erscheint eine Willkommensnachricht.

Die Einrichtung ist nun abgeschlossen.

Einloggen auf einem Computer an einer Domäne

Möchte nun ein Benutzer einer Domäne am Computer PC1 arbeiten, so gibt er seine Logindaten ein und wählt in dem Feld "‘Anmelden an:"’ die Domäne aus. Nach dem Klick auf "‘Ok"’ werden alle Benutzerdaten vom Server geladen sodass der Benutzer seine Dateien hat. Beim Abmelden werden die Daten wieder auf den Server geladen, sodass der Nutzer beim nächsten Login – auch an einem anderen Computer in der Domäne – wieder an seine Daten kommt.

Probleme

Es können sich nur Computer anmelden, die auf Windows-NT basieren. Ausserdem muss es sich immer um die Professional Edition von Windows handeln. Windows XP Home-Edition kann sich somit nicht an einer Domöne anmelden. Es gibt allerdings einen Trick um trotzdem an seine Dateien zu gelangen: Seinen Benutzerordner bindet man ganz einfach als Netzwerk-Laufwerk ein.

{Aufbau des Netzwerkes}
image

  1. www.debian.org

  2. Advanced Package Tool

  3. vgl. /wiki.ubuntuusers.de/apt-get

  4. Vi Improved