Samba ist ein universeller Datei- und Druckserver, der auf dem SMB- und dem LAN-Manager-Protokoll beruht. Das SMB-Protokoll ("Server Message Block") wurde 1985 von einer Firma "Sytec" in Zusammenarbeit mit IBM entwickelt, um Computer ohne einen besonderen Server miteinander zu vernetzen. Heute ist dieses Protokoll weit verbreitet und wird vor allem bei der Vernetzung von Windows-Rechnern eingesetzt. Das erste LAN-Manager-Protokoll ist als Standard 1987 veröffentlicht und später mehrfach erweitert worden. Probleme ergeben sich vor allem durch undokumentierte Erweiterungen durch Microsoft, so dass neue Windows-Generationen die Verbindung zu Servern aus anderen Welten zunächst meist ablehnen, bis die Samba-Entwickler diese Erweiterungen erkundet und in das Programm übernommen haben.
Samba ist als Server für Windows-Rechner auf vielen verschiedenen Plattformen zu Hause, unter anderem unter Linux. Der c't-ODS-Kommunikationsserver in der Version 3.3 liefert eine Version von Samba mit, die es auch Windows XP ermöglicht, die Dienste zu nutzen. Auch die Konfiguration dieses Servers ist auf die Nutzung als zentraler Server für alle Client-Rechner im Schulnetz zugeschnitten. Wenn Sie an dieser Konfiguration Änderungen vornehmen wollen, nutzen Sie am besten SWAT, das Samba Web Administration Tool. Dazu nutzen Sie einen beliebigen Browser und geben als URL an: http://www:901/. Sie werden nach einem Nutzernamen mit Passwort gefragt. Wenn Sie wirklich Änderungen vornehmen wollen, melden Sie sich als root mit dem entsprechenden Linux-Passwort an. Sie kommen auf die Startseite von SWAT:
Abbildung 7.6-1: SWAT-Startseite
Auf der Startseite können Sie sich in der englischsprachigen Dokumentation umsehen. Über die Icons in der oberen Reihe gelangen Sie in die einzelnen Teile der Samba-Konfiguration und Überwachung. Die wichtigsten Einstellungen nehmen Sie über den Punkt "Globals" vor. Hier können Sie einstellen, welche Namen der Server und die Arbeitsgruppe/Domäne haben soll und wie der Server arbeitet. Einen Ausschnitt daraus zeigt die folgende Abbildung mit den Standardeinstellungen von Arktur.
Abbildung 7.6-2: globale Konfiguration mit
SWAT
In der Zeile "workgroup" kann man sehr einfach den Namen der Arbeitsgruppe oder Domäne anpassen. Sie sollten diese Veränderung aber nur vornehmen, wenn Sie noch keine Client-Rechner an den Server engebunden haben. Die Zeile "interfaces" sorgt in Verbindung mit der Einstellung "bind interfaces only =Yes" dafür, dass zu ihrer Sicherheit auf diesen Server aus dem Internet nicht zugegriffen werden kann.
Die wichtigsten Einstellungen für den Server finden Sie in den "Security Options" darunter. Grundsätzlich kennt Samba drei verschiedene Arbeitsweisen, die in der Zeile "security" eingestellt werden können. Der Standard-Eintrag "USER" lässt Samba als Server mit eigener Nutzerverwaltung arbeiten. Damit ist er als Einzelserver oder als primärer Domänenserver (PDC) einsetzbar. Die Option "SHARE" lässt Samba als Freigabeserver arbeiten, der keine einzelnen Nutzer kennt und damit keine unterschiedlichen Nutzerrechte berücksichtigt. Diese Stufe bietet nur eine geringe Sicherheit und sollte für Arktur nicht benutzt werden. Die dritte Betriebsart nutzt Samba als Server, der seine Benutzerliste jedoch von einem anderen Server bezieht. Dabei unterscheidet man zwischen "SERVER" (ein anderer NT-Server hat die Benutzerliste) und "DOMAIN" (ein anderer Domänenserver hat die Nutzerliste). Wenn Sie den Server in dieser Betriebsart betreiben wollen, müssen Sie die Nutzer trotzdem auf dem Linux-System bekannt machen, sorgen also in der Regel für eine doppelte Benutzerführung und damit für Mehrarbeit.
Eine weitere wichtige Einstellung nehmen Sie mit den Punkten "encrypt passwords" und "update encrypted" vor. Mit Windows 95b hat Microsoft aus Sicherheitsgründen eine verschlüsselte Übertragung der Passwörter eingeführt. Aus den verschlüsselten Passwörtern lässt sich das Klartext-Passwort nicht mehr ermitteln, weil die Verschlüsselung nicht umkehrbar eindeutig ist. Damit ergeben sich zwei Probleme: Zum einen muss ein nach den eingeführten Regeln verschlüsseltes Passwort auf dem Server hinterlegt werden und zum anderen kann es nicht mit dem Linux-Passwort direkt übereinstimmen, weil auch das Linux-Passwort in verschlüsselter Form gespeichert wird, jedoch nach anderen Regeln als unter Windows/Samba. Das erste Problem löst Samba mit einer eigenen Passwortdatei: /etc/samba/private/smbpasswd. Das zweite Problem ist größer. Für die Nutzung als Domänen-Server muss Samba mit verschlüsselten Passwörtern arbeiten. Das Werkzeug von sysadm und die Passwortänderung in den Bereichen des Online-Interfaces ändern Linux- und Samba-Passwort zugleich. Probleme treten dann auf, wenn die Standard-Werkzeuge für Linux oder Windows zum Ändern des Passworts genutzt werden: Der passwd-Befehl von Linux ändert nur das Linux-Passwort, nicht aber das Samba-Passwort. Analog ändert das Windows-Werkzeug meist nur das Samba-Passwort, nicht aber das Linux-Passwort. Entweder Sie deaktivieren diese Werkzeuge, oder sie schalten die Passwort-Verschlüsselung am Client-Rechner ab und nutzen ausschließlich die Linux-Passwörter. Dann kann aber Arktur nicht mehr als Domänen-Server genutzt werden. Das Abschalten der Verschlüsselung kann nur dann empfohlen werden, wenn Sie neben den Windows-Rechnern auch Linux-Clients betreiben. Ändern Sie also den Eintrag "encrypt passwords" nur dann auf "No", wenn sie genau wissen, das es notwendig ist. Dann müssen Sie auch die Registry-Patches aus dem Verzeichnis software/regedit der CD bei den Windows-Clients einspielen.
Der Eintrag "update encrypted" kann genutzt werden, wenn Sie bislang mit unverschlüsselten Passwörtern gearbeitet haben, nun aber auf verschlüsselte Passwörter umstellen wollen. Dann kann Samba während der Anmeldung das unverschlüsselt übertragene Passwort in die smbpasswd-Datei übernehmen. Voraussetzung dafür ist, das dieser Nutzer bereits einen Eintrag in der smbpasswd-Datei hat. Es werden bei "update encrypted=Yes" keine Nutzer neu in die smbpasswd-Datei eingetragen, sondern nur bei den vorhandenen Nutzern das Passwort übernommen, wenn die Anmeldung erfolgreich war. Wenn nach ein paar Wochen sich jeder Nutzer einmal angemeldet hat, kann man auf verschlüsselte Passwörter umstellen. Achtung! Erzeugen Sie keine Benutzereinträge in der smbpasswd-Datei mit leerem Passwort. Damit kann sich jeder ohne ein Passwort (einfach leer lassen)als Nutzer anmelden!
Haben Sie in der Konfiguration Änderungen vorgenommen, werden diese mit dem Button "Commit Changes" übernommen. Finden Sie eine Einstellung nicht, gibt der Button "Advanced View" alle an dieser Stelle möglichen Optionen vor. Analog gehen Sie vor, wenn Sie an den Freigaben ("Shares") oder an den Druckern ("Printers") Änderungen vornehmen wollen. Alle Einstellungen werden letztlich in der Datei /etc/samba/smb.conf gespeichert. Mit dem Icon "VIEW" können Sie sich die Datei anzeigen lassen. Ein Beispiel mit einem Auszug der Standardkonfiguration zeigt die folgende Abbildung. In der Datei werden nur die Optionen eingetragen, die nicht bereits Standard sind. So fehlt zum Beispiel der Domäneneintrag ("workgroup"). Wollen Sie auch die nicht eingetragenen Optionen sehen, nutzen Sie den Button "Full View".
Abbildung 7.6-3: Konfigurationsdatei smb.conf (im
SWAT)
Seien Sie vorsichtig, wenn Sie Änderungen an der smb.conf von Hand direkt an der Konsole vornehmen. Ist die Datei fehlerhaft, wird der Samba-Dienst nicht gestartet. Damit können Sie sich nicht mehr im Schulnetz anmelden. Mit dem Befehl "testparm" als root können Sie einen Test der smb.conf-Datei vornehmen lassen. Nehmen Sie Fehlermeldungen bei diesem Test ernst.
Ist die Datei geändert, muss der Dienst neu gestartet werden. Auch hierfür eignet sich SWAT. Unter "STATUS" finden Sie die Anzeige der aktiven Verbindungen mit dem Samba-Server. Sie sehen, welche Clients mit welcher IP-Nummer sich angemeldet haben, welche Freigaben eingebunden wurden und welche Dateien geöffnet sind. In der Abbildung hat sich nur ein Client ("laptop") an Samba angemeldet; in einem Schulnetz sind in der Regel wesentlich mehr Rechner mit dem Server verbunden.
Abbildung 7.6-4: Samba-Status im SWAT
Mit dem Button "restart smbd" wird der Fileserver-Deinst nach einer Änderung der smb.conf neu gestartet. Der Button "restart nmbd" löst den Neustart der Dienste für die Namensauflösung aus. Über den Button "Auto Refresh" kann diese Seite zur direkten Überwachung der Funktion von Samba eingesetzt werden. Das setzt aber aktivierte JavaScript-Funktionen im Browser voraus.
Melden Sie normale Nutzer an SWAT an, sehen Sie nicht die gesamten Verwaltungsfunktionen von Samba, sondern nur einen kleinen Teil daraus. Damit kann ein Nutzer also nicht die Funktion von Samba beeinflussen. Allerdings können Schüler damit ihr persönliches Samba-Passwort korrigieren, wenn das Linux-Passwort nicht mehr mit dem Samba-Passwort übereinstimmt.
Abbildung 7.6-5: SWAT als Benutzer (hier
maxie)
Hier konnte nur ein kleiner Teil der Möglichkeiten von Samba dargestellt werden. Beschreibungen von Samba und dessen Konfiguration füllen ganze Bücher. Andererseits gibt es auch im Internet vielfältige Anleitungen dazu. Wollen Sie also mehr über Samba erfahren, schauen Sie sich nach entsprechender Literatur um. Die Homepage des Samba-Projekts ist http://www.samba.org und kann als Wegweiser zu weiteren Informationen dienen.