Bundesamt für Sicherheit in der Informationstechnik

M 2.437 Planung des Einsatzes eines Samba-Servers

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Die vielfältigen Einsatzmöglichkeiten von Samba machen umfangreiche Planungen im Vorfeld notwendig, damit eine geregelte und sichere Einführung sowie in Folge ein sicherer Betrieb ermöglicht wird. Dabei ist zu gewährleisten, dass die für IT-Systeme festgelegten Sicherheitsrichtlinien (siehe vor allem M 2.316 Festlegen einer Sicherheitsrichtlinie für einen allgemeinen Server ) eingehalten werden und so eine richtlinienkonforme Umsetzung erfolgt. In Abhängigkeit des Einsatzszenarios ist zu definieren, in welchem Szenario und in welcher Funktion Samba eingesetzt werden soll und welche Software hierfür gegebenenfalls zusätzlich installiert werden muss (beispielsweise OpenLDAP).

1. Szenarienplanung

Um die unterschiedlichen Aufgabenbereiche, in denen Samba eingesetzt werden kann, zu verstehen, ist es hilfreich sich die verschiedenen Szenarien vor Augen zu führen, die ein Rechner in einem Windows-Netz haben kann:

  • Standalone-Rechner:
    Ein Standalone-Rechner kann ein einzelner Arbeitsplatzrechner oder ein Server sein, der zu keiner Domäne gehört. Ein solcher Rechner verwaltet seine eigene Benutzerdatenbank, die er auch nicht exportiert.
  • Domänenmitglied:
    Ein Domänenmitglied kann ein Arbeitsplatzrechner oder ein Server sein, der Mitglied in einer Domäne ist. Er bezieht seine Benutzerdatenbank von einem Domänencontroller.
  • Domänencontroller:
    Ein Server der seine Benutzerdatenbank exportiert, wird als Domänencontroller bezeichnet. Hier wird im NT4-Domänenmodell (auch bei Samba) zwischen Primary Domain Controller (PDC) und Backup Domain Controller ( BDC ) unterschieden. Im neueren Active Directory ( AD )-Domänenmodell werden die Benutzerinformationen nicht mehr im Security Account Manager (SAM), sondern, neben vielen anderen zusätzlichen Informationen, im AD-Verzeichnis abgelegt. Ein wichtiger Unterschied ist, dass nicht mehr zwischen PDCs und BDCs unterschieden wird, sondern es nur noch Domänencontroller gibt. Jeder Domänencontroller hat Schreibzugriff auf das AD-Verzeichnis, da der Verzeichnisdienst den Abgleich mehrerer AD-Verzeichnisse unterstützt (Multimaster-Replikation). Des Weiteren kommen in einer AD-Domäne andere Protokolle zum Einsatz. Beispielsweise werden statt Network Basic Input/Output System (NetBIOS) die Protokolle Domain Name System ( DNS ) und Transmission Control Protocol (TCP)/Internet Protocol (IP) eingesetzt).

Ein Samba-Server kann in den folgenden Szenarien eingesetzt werden. Dabei ist zu beachten, dass es für ein und dasselbe Szenario durchaus mehrere Möglichkeiten gibt, Samba einzusetzen:

  • Als Mitglied einer NT4-Domäne (Domänenmitglied)
  • Als Mitglied einer AD-Domäne (Domänenmitglied)
  • Als PDC für eine NT4-kompatible Domäne (Domänencontroller)
  • Als BDC eines Samba-PDCs in einer NT4-kompatiblen Domäne (Domänencontroller). Das Protokoll, das ein NT4 PDC verwendet um die SAM-Datenbank mit seinen BDCs abzugleichen, konnte noch nicht in Samba implementiert werden. Daher kann ein Samba BDC nur mit einem Samba PDC eingesetzt werden.

2. Funktionsplanung

Wird Samba als Mitglied einer NT4-Domäne oder Mitglied einer AD-Domäne eingesetzt, so kann Samba folgende Funktionen ausüben:

  • Datei-Server
  • Druck-Server

Wird Samba als PDC für eine NT4-kompatible Domäne oder BDC eines Samba PDC in einer NT4-kompatiblen Domäne eingesetzt, so kann Samba folgende Funktionen ausüben:

  • Anmelde-Server
  • Datei-Server
  • Druck-Server

3. Winbind

Damit die Benutzer Samba-Freigaben nutzen können, müssen sie sich auf dem Server authentisieren. Hierfür ist es erforderlich, dass auf dem Samba-Server für jeden Benutzer ein Windows- und ein Unix-Benutzerkonto vorhanden sind. Das Unix-Benutzerkonto wird unter anderem benötigt, damit Samba die Zugriffskontrolle im Dateisystem dem Kernel überlassen kann (siehe auch M 4.332 Sichere Konfiguration der Zugriffssteuerung bei einem Samba-Server ).

Daher muss jeder Windows-Domänenbenutzer, mit all seinen Gruppenmitgliedschaften im Unix-Betriebssystem existieren. Theoretisch ist es möglich, alle Domänenbenutzer von Hand unter Unix nachzupflegen. Statt dieser Vorgehensweise sollte aber Winbind eingesetzt werden.

Winbind kann zu Windows-Benutzern und -Gruppen passende Unix-Benutzer und -Gruppen dynamisch erzeugen, falls diese unter Unix noch nicht existieren. Außerdem kann durch den Einsatz von Winbind in Verbindung mit Samba die Beanspruchung der Domänencontroller im Informationsverbund gesenkt und eine niedrigere Netzlast erreicht werden. Für eine ausführliche Beschreibung von Winbind wird auf M 4.333 Sichere Konfiguration von Winbind unter Samba verwiesen.

Bei der Planung des Einsatzes eines Samba-Servers ist im Bezug auf Winbind zu beachten, dass das ID-Mapping-Backend "ads" nur eingesetzt werden kann, wenn Samba im Security Mode "ads" betrieben wird (siehe M 4.328 Sichere Grundkonfiguration eines Samba-Servers ).

Prüffragen:

  • Wurde konkret geplant, welche Szenarien und Funktionen der Samba-Server übernehmen soll?

  • Wenn der Einsatz von Winbind nötig ist, wurde dieser entsprechend geplant?

Stand: 11. EL Stand 2009