Zwei Samba-Server im Netz

tiecoman · March 3, 2006, 4:01pm

Hallo Univention,

ich habe 2 Univention-Server installiert, ein DC-Master (u.a. als Samba-Server für alle Clients) sowie ein DC-Backup (Groupware- und Mailserver UGS). Aus praktischen Gründen ist auf dem DC-Backup auch Samba aktiviert, das allerdings nicht generell von den Clients genutzt werden soll.

Problem: meldet sich ein Benutzer auf einem Windows-Client an der Domäne an, wird sowohl auf dem Master wie auch auf dem Backup ein Home-Verzeichnis mit Profilpfad angelegt. Die Profildaten werden beim Abmelden zwar nur auf den Master geschrieben und das Homeverzeichnis wird auch nur vom Master gemountet, diese “gespiegelte” Userstruktur auf dem DC-Backup ist aber trotzdem nicht erwünscht. Im Baseconfig des DC-Backup habe ich als Domainmaster, Profilserver und Homedirserver jeweils den Master angegeben. Warum wird dennoch ein Profilverzeichnis auf dem Backup angelegt?

Für einen Hinweis schon einmal vielen Dank,

Simon Görler

Rehe · March 6, 2006, 5:04pm

Sehr geehrter Herr Görler,

die Benutzerverzeichnisse werden auf dem Domaincontroller Backup während der Samba Benutzerauthentisierung vom PAM-Stack angelegt. Auf Samba Ebene wickelt der Server als BDC die Benutzerauthentisierung ab, auch wenn wie in Ihrem Fall vom Domaincontroller Master Profil und Home-Verzeichnis auf dem Windows-Client eingebunden werden.

Es besteht die Möglichkeit, über die PAM-Konfigurationsdatei /etc/pam.d/common-session das Anlegen von Home-Verzeichnissen zu unterbinden. Hierbei handelt es sich um eine vom Univention Baseconfig Mechanismus verwaltete Datei. Nach entsprechender Anpassung der Konfiguration steht allerdings das Benutzerverzeichnis auch unter anderen Diensten nicht mehr zur Verfügung, die den PAM-Stack verwenden (zum Beispiel beim SSH-Login).

In UCS 1.3-1 wird es über eine Univention Baseconfig Variable die Möglichkeit geben, das Anlegen der Benutzerverzeichnisse zu unterbinden.

Alternativ könnten die Home-Verzeichnisse auf dem Domaincontroller Backup per NFS vom Master eingebunden werden. Dann könnte die PAM-Konfiguration unverändert bleiben und trotzdem würden Daten von Benutzern nur auf einem Server gespeichert.

tiecoman · March 7, 2006, 7:08am

Vielen Dank für die Auskunft, Herr Rehe.

Das ist ja sehr interessant. Ich verstehe nicht ganz, weshalb standardmäßig der BDC anstelle des Masters die Authentisierung unter Samba vornimmt, das erklärt aber einiges. Ich dachte schon, der Backup hätte in einer heimlichen Attacke die Master-Rolle übernommen
Was passiert denn, wenn der BDC ausfällt? Wird die Benutzerauthentisierung in diesem Fall automatisch vom Master übernommen, oder ist ein manueller Eingriff notwendig?

Rehe · March 8, 2006, 12:00pm

Sehr geehrter Herr Görler,

die Authentisierungsanfrage eines Clients wird in NetBIOS Umgebungen immer vom ersten antwortenden Domaincontroller bearbeitet. Der hierbei verwendete Mechanismus zum Auffinden von Domain Controllern ist in der Microsoft Knowledge Base unter support.microsoft.com/kb/247811 beschrieben.

Mit freundlichen Grüßen
Lars Rehe