[[it-themen:allgemein:samba-mischfreigabe_linux_windows|zurück]]
====== Samba mit LDAP oder Active Directory ======

Diese Anleitung zeigt, wie du Samba in ein zentrales Verzeichnisdienst-System integrierst – wahlweise über **OpenLDAP** oder **Active Directory (AD)**. Dadurch entfällt die lokale Benutzerpflege auf dem Linux-Server.

===== 🎯 Ziel =====
  * zentrale Benutzer- und Gruppenverwaltung für Samba-Zugriffe
  * konsistente Anmeldung für Windows- und Linux-Clients
  * optional: Benutzerverwaltung über LDAP Account Manager (LAM)

===== 🧱 Voraussetzungen =====
  * Samba ist installiert
  * LDAP- oder AD-Server existiert (z. B. [[linux:openldap]] oder Windows AD)
  * Der Linux-Server kann die LDAP-Quelle auflösen und erreichen (z. B. per `ldapsearch`)

===== 🔁 OpenLDAP-Anbindung (ldapsam) =====

=== 1. Benötigte Pakete ===

<code bash>
apt install samba libnss-ldap libpam-ldap nscd
</code>

=== 2. smb.conf Ergänzungen ===

<code ini>
passdb backend = ldapsam:ldap://ldap.mash4077.local
ldap admin dn = cn=admin,dc=mash4077,dc=local
ldap suffix = dc=mash4077,dc=local
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap machine suffix = ou=Computers
ldap ssl = start_tls
</code>

=== 3. LDAP-Struktur (Beispiel) ===

<code text>
dc=mash4077,dc=local
├── ou=Users
│   └── uid=lars
├── ou=Groups
│   └── cn=smbgroup
</code>

=== 4. Benutzer mit smbldap-tools oder LAM einpflegen ===

Siehe: [[linux:openldap]]
und: [[linux:lam_setup]]

===== 🧬 Active Directory-Anbindung (ADS-Modus) =====

=== 1. Voraussetzungen ===
  * Domain Controller mit DNS (z. B. dc1.mash4077.local)
  * Zeit synchronisiert (NTP)
  * FQDN auflösbar (ping dc1.mash4077.local)
  * Kerberos korrekt konfiguriert (/etc/krb5.conf)

=== 2. smb.conf Beispiel für ADS ===

<code ini>
workgroup = MASH
security = ADS
realm = MASH4077.LOCAL

idmap config * : backend = tdb
idmap config * : range = 3000-7999
idmap config MASH : backend = rid
idmap config MASH : range = 10000-999999

winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
</code>

=== 3. Domain-Join durchführen ===

<code bash>
net ads join -U Administrator
</code>

=== 4. Testen ===

<code bash>
wbinfo -u      # AD-Benutzer anzeigen
getent passwd  # Benutzerauflösung testen
</code>

===== 🔐 Rechtevergabe in Samba-Freigaben =====

<code ini>
valid users = MASH\\lars
</code>

Oder bei LDAP:

<code ini>
valid users = @smbgroup
</code>

===== 🧠 Hinweise =====
  * Bei ADS ist Kerberos entscheidend – ohne funktionierendes Ticket kein Login
  * Bei LDAP sollte smbldap-tools oder LAM verwendet werden
  * Prüfe /var/log/samba/log.smbd bei Problemen

---

 {{avatar>lars|Lars.Weiss@gmail.com?l|Lars Weiß}} //[[Lars.Weiss@gmail.com|Lars Weiß]] 10.07.2025 12:32//