Test Univention 4.0-1

univention

Meine Güte ist das kompliziert. Aber geil.

Die letzten Tage wurde der Univention Corporate Server auf die Version 4.0-1 geupdatet. Hierbei handelt es sich um eine auf Debian basierende Distribution zur Serververwaltung. Das ganze ist ähnlich wie ClearOS oder NethServer gestrickt. Ihr bekommt eine Weboberfläche zur Verwaltung der einzelnen Servermodule.

Ich hab mir das ganze mal als VM Image runtergeladen und angeschaut:

1. Installation

Nachdem man das Image runtergeladen hat ( hier ist der Link: https://www.univention.de/download/ ) bindet man das ganze unter VMware / VirtualBox ein und startet die Installation.

univention_1

 

Man wird als erstes nach Sprache und Standort gefragt. Worauf auch gleich die IP Konfiguration folgt.

univention_2

Insofern man ein DHCP Setup bevorzugt, kann an dieser Stelle alles übernommen werden.

univention_3

 

Als nächstes kommt die Domäne. Ich wähle hier mal den Punkt „Erstellen einer neuen UC-Domäne“, da es mich interessiert wie einfach das ganze von der Hand geht. Bisher richte ich die PDCs bei Kunden immer von Hand ein, wie ich hier auch schon beschrieben hab: PDC einrichten

Ich bin da mittlerweile aber auf Ubuntu umgestiegen. Keine Ahnung warum eigentlich …. Naja weiter im Text.

univention_4

Name der Organisation eingeben, falls man einer angehört, sowie Mail und Passwort. !Achtung! Hier sollte man das kleingedruckte lesen. Das Passwort, welches hier vergeben wird, ist für den Benutzer „Administrator“. Dank der Info spart man sich das raten nach der Installation. Ich hatte den Text natürlich nicht gelesen und durfte dann erstmal den Benutzer suchen mit dem ich mich anmelde …..

Das System ist in der Test-Version bzw. der Version für die persönliche, nicht gewerbliche Nutzung, frei für bis zu 50 Useraccounts. Danach fällt eine Lizenz für ca 300€ an.

univention_5

Aus der oben angegebenen Oganisation wird der Systemname sowie die LDAP Basis erstellt. Dies kann man ebenfalls so belassen.

univention_6

Softwareauswahl. Was wollen wir mit dem Server machen? Wals soll drauf? Hier könnt ihr die entsprechenden Komponenten auswählen. Ich bleibe bei PDC und wähle noch die Oberfläche KDE dazu.

univention_7

Danach startet die Installation. Dauert nen Moment.

univention_8

Nach der Installation werden wir aufgefordert „Fertigstellen“ zu klicken. Worauf der Server neu startet. Unter der IP ist die Weboberfläche erreichbar. Man wird automatisch weiter geleitet, kann sich also die Endung /univention-management-console/ sparen.

univention_9

Zum Login verwenden wir den Benutzer: Administrator und das von euch vergebene Passwort. Wenn man wie ich den Text während der Installation nicht richtig gelesen hat, steht man an dieser Stelle echt doof da. Zumal nirgendwo ein Hinweis auf einen Benutzer zu finden ist. Erst wenn man sich als root anmeldet, wird man darauf hingewiesen, dass man lieber den Benutzer Administrator verwenden sollte, da unter root nicht alle Funktionen zugänglich sind. Aaah ja.

univention_10

Ich weiß gar nicht wo ich mit den Verbesserungsmöglichkeiten anfangen sollte, deshalb reg ich mich mal nicht auf und klick auf „Alles hat super funktioniert“ (……..)

Danach werdet ihr von der Verwaltungsoberfläche begrüßt. Und da muss ich echt mal sagen: Hut ab. Die hat sich gewaschen. Sieht richtig gut aus.

univention_11

Jetzt kommen wir zur Quizfrage: Da wir ja einen PDC eingerichtet haben, wollen wir natürlich auch der Domain beitreten. Wie lautet der Name der Domain?

Nachdem ich auf der Suche nach dem Benutzer war, fängt an dieser Stelle die Suche nach der Domain an. Unser Host heisst UCS-6197.kleewald.intranet. Naheliegend wäre also: kleewald.intranet. Falsch! Natürlich ist es: kleewald. Der Name der Organsisation, welchen wir während der Installation angegeben haben. Das Problem. Es sagt einem keiner…..

Ein Blick unter Domäne -> LDAP-Verzeichnis -> samba spuckt diesen dann aber aus.

univention_12

Nichts für Anfänger. Dafür umfassende Konfigurationsmöglichkeiten, eine aufgeräumte Oberfläche und das ganze ist auch noch super dokumentiert. Hier das Handbuch .

Da können sich andere Serversysteme ruhig mal eine Scheibe von abschneiden. Wenn es auch ein wenig Einarbeitungszeit bedarf und einige Funktionen ein wenig überfrachtet sind. Wie der Name aber schon verrät handelt es sich hier ja auch um einen Corporate-Server.

Wer zu faul ist das ganze selbst zu installieren kann die Online Demo nutzen. Ein Blick lohnt sich: https://www.univention.de/download/ucs-online-demo/

Anleitung/HowTo: PDC unter CentOS 7

In dieser Anleitung/HowTo geht es darum einen PDC (Primary Domain Controller) unter CentOS 7 zu erstellen. Wir nutzen für die Erstellung eine VM (virtuelle Maschine) welche mittels VMWare Workstation 10 verwaltet wird. OpenBox eignet sich genauso gut und sollte weiter verbreitet im Endanwenderbereich sein. Dann mal los.

Schritt 1: Installation von CentOS 7

Die ISO von CentOS 7 könnt ihr unter folgendem Link herunterladen: CentOS 7

Bei der Installtion solltet ihr folgende Punkte beachten:

Auswahl der Sprache

sprache_centos

Bei der Software Auswahl wählen wir in der Basisumgebung Server mit GUI und unter Erweiterungen für ausgewählte Umgebung die Punkte: Verzeichnis-Server, Datei- und Storage-Server. Dies erleichtert uns später das arbeiten und wir müssen nicht so viele Pakete nachinstallieren.

softwareauswahl_centos

Jetzt muss lediglich das Installationsziel gewählt werden, was in einer VM relativ einfach sein sollte, da es meist nur 1 Festplatte in der Standardkonfiguration gibt. Solltet ihr mehrere Platten erstellt haben müsst ihr hier natürlich angeben auf welcher das System installiert werden soll.

Scheinbar hat CentOS 7 hier noch einen Bug, das Geräteauswahlfenster wird bei mir nicht richtig dargestellt

geräteauswahl_centos

Das sollte uns aber nicht weiter stören, da wir einfach die Standardpartitionierung übernehmen indem wir oben auf „Fertig“ klicken. Danach ist das System für die Installation konfiguriert und wir können auf „Installation starten“ klicken

installationstarten_centos

Während der Installation müssen wir einen Standarduser anlegen und das Root Passwort setzen.

rootpw_centos

Nun heißt es warten …..  Wenn die Installation abgeschlossen ist muss das System nur noch neu gestartet werden.

neustart_centos

Lizenz bestätigen

lizenz_centos

Kdump kann man aktiviert lassen, muss man aber nicht. Jeder wie er es mag. Wenn man nicht weiß, was die Funktion genau macht, einfach mit der Standardauswahl weiter.

Wenn während der Installation kein Benutzer angelegt wurde erscheint jetzt ein Dialog um dies nachzuholen.

benutzer_centos

Wenn der Benutzer erstellt wurde begrüßt uns nun der „Willkommens Bildschirm“

willkommen_centos

Schritt 2: Konfiguration des PDC

Netzwerk aktivieren

netzwerk_centos

System updaten

systemupdate_centos

Nach der Aktualisierung ist ein Neustart notwendig.

Wenn die VM neu gestartet ist einen Terminal öffnen und sich als root anmelden

root_centos

[root@localhost samba]# yum install samba-client

Nun wechseln wir in das Verzeichnis /etc/samba

[root@localhost pdc]# cd /etc/samba

Und machen ein Backup der alten smb.conf

[root@localhost samba]# mv smb.conf smb.conf.bak

Mittels nano legen wir die Datei nun neu an

[root@localhost samba]# nano smb.conf

Und fügen folgende config ein

[global]
   ## Server Identifikation - so meldet sich der Server im Netzwerk
   netbios name = PDC
   server string = PDC (%h)
   workgroup = domain
   ## Welche Netzwerkkarte soll von Samba benutzt werden?
   interfaces = eth0
   ## Sicherheits- und Passwort-Einstellungen
   security = user
   encrypt passwords = true
   passdb backend = tdbsam
   obey pam restrictions = yes
   unix password sync = no
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n .
   ## Domain-Einstellungen
   local master = yes
   preferred master = yes
   os level = 200
   domain master = yes
   domain logons = yes
   # Speichert das Windows-Profil im durch die Freigabe [profile] angegebenen Verzeichnis:
   logon path = \\%L\profile\%U
   # Soll das Windows-Profil dagegen im User-Home abgelegt werden, kann man "logon path" auf Standardeinstellung belassen:
   #logon path = \\%L\%U\profile
   # oder auch direkt im User-Home:
   #logon path = \\%L\%U
   logon drive = h:
   #Logon Script einkommentieren falls gewuenscht (muss im Netlogon-Verzeichnis abgelegt sein -> /home/samba/netlogon/)
   #logon script = login.bat
   # DEM Addon 2007-02-20: Empfehlenswert für servergespeichertes Windows Profil
   hide files = /desktop.ini/ntuser.ini/NTUSER.*/Thumbs.db/
   ## DNS-Einstellungen
   wins support = no
   # name resolve order = wins lmhosts host bcast
   ## Log-Einstellungen
   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog = 0
   panic action = /usr/share/samba/panic-action %d
   ## Diverse Einstellungen
   ## DEM Addon 2007-02.20: Manchmal kann die Geschwindigkeit erhöht werden, wenn statt der ersten Zeile die zweite Zeile verwendet wird:
   socket options = TCP_NODELAY
   #socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
#======================= Share Definitions =======================
[homes]
   comment = Home Directories
   browseable = yes
   valid users = %S
   writeable = yes
   create mode = 0600
   directory mode = 0700
[profile]
   comment = Profildateien
   path = /home/samba/profile
   guest ok = yes
   browseable = no
   create mask = 0600
   directory mask = 0700
   writeable = yes
   # DEM Addon 2007-02-20: Folgende Zeile ist wichtig für Servergespeichertes Profil
   # um Probleme mit z.b. desktop.ini unter Windows zu beheben.
   profile acls = yes
[netlogon]
   comment = Network Logon Service
   path = /home/samba/netlogon
   guest ok = yes
   writeable = no

In der config müsst ihr lediglich 2 Punkte anpassen

workgroup = domain / domain sollte hier durch euren eigenen Domainnamen abgeändert werden
interfaces = eth0 / wenn ihr ein anderes Interface für eure Netzwerkverbindung nutzt, muss dieses hier ersetzt werden. !WICHTIG!

[root@localhost samba]# ifconfig
eno16777736: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
 inet 192.168.2.47 netmask 255.255.255.0 broadcast 192.168.2.255
 inet6 fe80::20c:29ff:fea8:782e prefixlen 64 scopeid 0x20<link>
 ether 00:0c:29:a8:78:2e txqueuelen 1000 (Ethernet)
 RX packets 1293 bytes 200518 (195.8 KiB)
 RX errors 0 dropped 0 overruns 0 frame 0
 TX packets 483 bytes 44224 (43.1 KiB)
 TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

Ist dies geschehen kann der smb Dienst mit folgendem Befehlen gestartet werden:

[root@localhost samba]# systemctl start nmb.service
[root@localhost samba]# systemctl start smb.service

Um die Dienste beim Systemstart automatisch zu starten nutzt man folgenden Befehl:

[root@localhost samba]# chkconfig nmb on
[root@localhost samba]# chkconfig smb on

Ich empfehle für den PDC die SELinux Policy zu disablen:

[root@localhost samba]# nano /etc/selinux/config

Dort dann unter SELINUX=disabled eintragen.
Ein Neustart des Systems stellt sicher das alles funktioniert.

Schritt 3: Benutzer konfigurieren

Um Benutzer auf dem PDC anzulegen und freizuschalten sind folgende Schritte notwendig:

[root@localhost samba]# adduser testuser
[root@localhost samba]# smbpasswd -a testuser
[root@localhost samba]# smbpasswd -a root

Danach ist der User freigeschaltet.

Wenn man sich mit PCs in der Domaine anmelden möchte, müssen diese zusätzlich freigeschaltet werden. Dies geschieht über:

[root@localhost samba]# useradd -s /bin/false TESTPC$
[root@localhost samba]# smbpasswd -a -m TESTPC$

Damit seid ihhr fertig was die Benutzer angeht.

Schritt 4: Profil-Verzeichnisse anlegen:

Damit servergespeicherte Profile mit Samba funktionieren, muss man das Verzeichnis /home/samba und die zwei Unterverzeichnisse netlogon und profile anlegen:

mkdir /home/samba
mkdir /home/samba/netlogon
mkdir /home/samba/profile 

chmod 777 /home/samba
chmod 755 /home/samba/netlogon
chmod 777 /home/samba/profile

Im Verzeichnis profile muss jetzt für jeden Benutzer ein Verzeichnis angelegt werden, das genauso benannt wird wie der Benutzername lautet. Danach müssen noch Dateirechte sowie Besitzer des Verzeichnisses angepasst werden. Die Gruppenzugehörigkeit des Verzeichnisses ist egal, da nur der Benutzer Rechte für dieses Verzeichnis bekommt.

mkdir /home/samba/profile/testuser
chmod 700 /home/samba/profile/testuser
chown testuser /home/samba/profile/testuser

!WICHTIG!  Tests mit Samba 3.6.3 zeigten, dass die Ordner von Samba selbständig angelegt werden sobald sich ein Benutzer das erste mal in der Domäne anmeldet. Dabei wird auch automatisch auf das korrekte Format (USER/USER.V2) geachtet. Daher ensteht keine Fehlermeldung wenn sich ein Benutzer von zwei unterschiedlichen Systemen (Win2k & Vista/7) anmeldet.

Schritt 5: Windows-PC zur Domäne hinzufügen

Wenn ihr einen Windows-PC/Server zur Domäne hinzufügen wollt müsst ihr folgendes beachten. Dem PC müssen über die Registry zwei Schlüssel hinzugefügt werden.

Tragt unter „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters“ die zwei Zeilen ein:

DWORD  DomainCompatibilityMode = 1
DWORD  DNSNameResolutionRequired = 0

Danach den PC wie gewohnt der Domäne hinzufügen

Das wars ….. Ging doch ganz schnell ;)

Bei Fragen oder Problemen hinterlasst einen Kommentar.