Anleitung/HowTo: PDC unter CentOS 7

In dieser Anleitung/HowTo geht es darum einen PDC (Primary Domain Controller) unter CentOS 7 zu erstellen. Wir nutzen für die Erstellung eine VM (virtuelle Maschine) welche mittels VMWare Workstation 10 verwaltet wird. OpenBox eignet sich genauso gut und sollte weiter verbreitet im Endanwenderbereich sein. Dann mal los.

Schritt 1: Installation von CentOS 7

Die ISO von CentOS 7 könnt ihr unter folgendem Link herunterladen: CentOS 7

Bei der Installtion solltet ihr folgende Punkte beachten:

Auswahl der Sprache

sprache_centos

Bei der Software Auswahl wählen wir in der Basisumgebung Server mit GUI und unter Erweiterungen für ausgewählte Umgebung die Punkte: Verzeichnis-Server, Datei- und Storage-Server. Dies erleichtert uns später das arbeiten und wir müssen nicht so viele Pakete nachinstallieren.

softwareauswahl_centos

Jetzt muss lediglich das Installationsziel gewählt werden, was in einer VM relativ einfach sein sollte, da es meist nur 1 Festplatte in der Standardkonfiguration gibt. Solltet ihr mehrere Platten erstellt haben müsst ihr hier natürlich angeben auf welcher das System installiert werden soll.

Scheinbar hat CentOS 7 hier noch einen Bug, das Geräteauswahlfenster wird bei mir nicht richtig dargestellt

geräteauswahl_centos

Das sollte uns aber nicht weiter stören, da wir einfach die Standardpartitionierung übernehmen indem wir oben auf „Fertig“ klicken. Danach ist das System für die Installation konfiguriert und wir können auf „Installation starten“ klicken

installationstarten_centos

Während der Installation müssen wir einen Standarduser anlegen und das Root Passwort setzen.

rootpw_centos

Nun heißt es warten …..  Wenn die Installation abgeschlossen ist muss das System nur noch neu gestartet werden.

neustart_centos

Lizenz bestätigen

lizenz_centos

Kdump kann man aktiviert lassen, muss man aber nicht. Jeder wie er es mag. Wenn man nicht weiß, was die Funktion genau macht, einfach mit der Standardauswahl weiter.

Wenn während der Installation kein Benutzer angelegt wurde erscheint jetzt ein Dialog um dies nachzuholen.

benutzer_centos

Wenn der Benutzer erstellt wurde begrüßt uns nun der „Willkommens Bildschirm“

willkommen_centos

Schritt 2: Konfiguration des PDC

Netzwerk aktivieren

netzwerk_centos

System updaten

systemupdate_centos

Nach der Aktualisierung ist ein Neustart notwendig.

Wenn die VM neu gestartet ist einen Terminal öffnen und sich als root anmelden

root_centos

[root@localhost samba]# yum install samba-client

Nun wechseln wir in das Verzeichnis /etc/samba

[root@localhost pdc]# cd /etc/samba

Und machen ein Backup der alten smb.conf

[root@localhost samba]# mv smb.conf smb.conf.bak

Mittels nano legen wir die Datei nun neu an

[root@localhost samba]# nano smb.conf

Und fügen folgende config ein

[global]
   ## Server Identifikation - so meldet sich der Server im Netzwerk
   netbios name = PDC
   server string = PDC (%h)
   workgroup = domain
   ## Welche Netzwerkkarte soll von Samba benutzt werden?
   interfaces = eth0
   ## Sicherheits- und Passwort-Einstellungen
   security = user
   encrypt passwords = true
   passdb backend = tdbsam
   obey pam restrictions = yes
   unix password sync = no
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n .
   ## Domain-Einstellungen
   local master = yes
   preferred master = yes
   os level = 200
   domain master = yes
   domain logons = yes
   # Speichert das Windows-Profil im durch die Freigabe [profile] angegebenen Verzeichnis:
   logon path = \\%L\profile\%U
   # Soll das Windows-Profil dagegen im User-Home abgelegt werden, kann man "logon path" auf Standardeinstellung belassen:
   #logon path = \\%L\%U\profile
   # oder auch direkt im User-Home:
   #logon path = \\%L\%U
   logon drive = h:
   #Logon Script einkommentieren falls gewuenscht (muss im Netlogon-Verzeichnis abgelegt sein -> /home/samba/netlogon/)
   #logon script = login.bat
   # DEM Addon 2007-02-20: Empfehlenswert für servergespeichertes Windows Profil
   hide files = /desktop.ini/ntuser.ini/NTUSER.*/Thumbs.db/
   ## DNS-Einstellungen
   wins support = no
   # name resolve order = wins lmhosts host bcast
   ## Log-Einstellungen
   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog = 0
   panic action = /usr/share/samba/panic-action %d
   ## Diverse Einstellungen
   ## DEM Addon 2007-02.20: Manchmal kann die Geschwindigkeit erhöht werden, wenn statt der ersten Zeile die zweite Zeile verwendet wird:
   socket options = TCP_NODELAY
   #socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
#======================= Share Definitions =======================
[homes]
   comment = Home Directories
   browseable = yes
   valid users = %S
   writeable = yes
   create mode = 0600
   directory mode = 0700
[profile]
   comment = Profildateien
   path = /home/samba/profile
   guest ok = yes
   browseable = no
   create mask = 0600
   directory mask = 0700
   writeable = yes
   # DEM Addon 2007-02-20: Folgende Zeile ist wichtig für Servergespeichertes Profil
   # um Probleme mit z.b. desktop.ini unter Windows zu beheben.
   profile acls = yes
[netlogon]
   comment = Network Logon Service
   path = /home/samba/netlogon
   guest ok = yes
   writeable = no

In der config müsst ihr lediglich 2 Punkte anpassen

workgroup = domain / domain sollte hier durch euren eigenen Domainnamen abgeändert werden
interfaces = eth0 / wenn ihr ein anderes Interface für eure Netzwerkverbindung nutzt, muss dieses hier ersetzt werden. !WICHTIG!

[root@localhost samba]# ifconfig
eno16777736: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
 inet 192.168.2.47 netmask 255.255.255.0 broadcast 192.168.2.255
 inet6 fe80::20c:29ff:fea8:782e prefixlen 64 scopeid 0x20<link>
 ether 00:0c:29:a8:78:2e txqueuelen 1000 (Ethernet)
 RX packets 1293 bytes 200518 (195.8 KiB)
 RX errors 0 dropped 0 overruns 0 frame 0
 TX packets 483 bytes 44224 (43.1 KiB)
 TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

Ist dies geschehen kann der smb Dienst mit folgendem Befehlen gestartet werden:

[root@localhost samba]# systemctl start nmb.service
[root@localhost samba]# systemctl start smb.service

Um die Dienste beim Systemstart automatisch zu starten nutzt man folgenden Befehl:

[root@localhost samba]# chkconfig nmb on
[root@localhost samba]# chkconfig smb on

Ich empfehle für den PDC die SELinux Policy zu disablen:

[root@localhost samba]# nano /etc/selinux/config

Dort dann unter SELINUX=disabled eintragen.
Ein Neustart des Systems stellt sicher das alles funktioniert.

Schritt 3: Benutzer konfigurieren

Um Benutzer auf dem PDC anzulegen und freizuschalten sind folgende Schritte notwendig:

[root@localhost samba]# adduser testuser
[root@localhost samba]# smbpasswd -a testuser
[root@localhost samba]# smbpasswd -a root

Danach ist der User freigeschaltet.

Wenn man sich mit PCs in der Domaine anmelden möchte, müssen diese zusätzlich freigeschaltet werden. Dies geschieht über:

[root@localhost samba]# useradd -s /bin/false TESTPC$
[root@localhost samba]# smbpasswd -a -m TESTPC$

Damit seid ihhr fertig was die Benutzer angeht.

Schritt 4: Profil-Verzeichnisse anlegen:

Damit servergespeicherte Profile mit Samba funktionieren, muss man das Verzeichnis /home/samba und die zwei Unterverzeichnisse netlogon und profile anlegen:

mkdir /home/samba
mkdir /home/samba/netlogon
mkdir /home/samba/profile 

chmod 777 /home/samba
chmod 755 /home/samba/netlogon
chmod 777 /home/samba/profile

Im Verzeichnis profile muss jetzt für jeden Benutzer ein Verzeichnis angelegt werden, das genauso benannt wird wie der Benutzername lautet. Danach müssen noch Dateirechte sowie Besitzer des Verzeichnisses angepasst werden. Die Gruppenzugehörigkeit des Verzeichnisses ist egal, da nur der Benutzer Rechte für dieses Verzeichnis bekommt.

mkdir /home/samba/profile/testuser
chmod 700 /home/samba/profile/testuser
chown testuser /home/samba/profile/testuser

!WICHTIG!  Tests mit Samba 3.6.3 zeigten, dass die Ordner von Samba selbständig angelegt werden sobald sich ein Benutzer das erste mal in der Domäne anmeldet. Dabei wird auch automatisch auf das korrekte Format (USER/USER.V2) geachtet. Daher ensteht keine Fehlermeldung wenn sich ein Benutzer von zwei unterschiedlichen Systemen (Win2k & Vista/7) anmeldet.

Schritt 5: Windows-PC zur Domäne hinzufügen

Wenn ihr einen Windows-PC/Server zur Domäne hinzufügen wollt müsst ihr folgendes beachten. Dem PC müssen über die Registry zwei Schlüssel hinzugefügt werden.

Tragt unter „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters“ die zwei Zeilen ein:

DWORD  DomainCompatibilityMode = 1
DWORD  DNSNameResolutionRequired = 0

Danach den PC wie gewohnt der Domäne hinzufügen

Das wars ….. Ging doch ganz schnell ;)

Bei Fragen oder Problemen hinterlasst einen Kommentar.