Tanze Samba mit Pi - Teil 1: Vorwort

Vorwort

Ja, ich weiß – der ein oder andere wird jetzt aufstöhnen, der Pi ist doch nur eine Bastelkiste. Ja, ein Stück weit habt ihr ja sogar Recht. Ich mache es aber trotzdem ;) Wieso? Ganz einfach, der Kosten/Nutzen Faktor ist an der Stelle einfach ungeschlagen.


Warum ein AD? Auch wenn es in Firmen "irgendwie klar" ist, ist diese Frage für private Anwender nicht leicht zu beantworten. Grundsätzlich kann man sich ein AD als eine "zentrale Verwaltungseinheit" für Rechte und Geräte innerhalb des Netzwerks vorstellen. Wenn ich nur 1 Rechner und 1 Server habe, brauche ich sowas natürlich nicht, da kann ich auch auf dem Server alles so einstellen, wie ich es möchte. Aber wie ist es, wenn ich mit mehreren Benutzern und mehreren Rechnern auf einen (oder mehrere) Server (NAS) zugreifen möchte? Und dann nach Möglichkeit unabhängig vom genutzten Gerät? Ab dann wird es ohne AD umständlich. Natürlich könnte ich jetzt auf jedem Rechner jeden Benutzer anlegen, pflegen und auf jedem Gerät einstellen, was jeder Benutzer für Rechte hat. Das wird aber sehr schnell sehr unübersichtlich.


Stellt euch einmal vor, ihr habt zu Hause 2 NAS, 5 PCs und 2 Notebooks (was in einer Familie mit 2 oder 3 Kindern nicht wirklich ungewöhnlich ist). Da ihr auf eure Sicherheit bedacht seid, ändert ihr regelmässig euer Kennwort. Nun müsst ihr an jeden Server (NAS), jeden PC und jedes Notebook gehen und die Daten ändern. Umständlich! Und das jedes Mal, sobald ihr etwas ändern möchtet. An dieser Stelle hilft euch das AD, denn hier werden Benutzer, Gruppen, Rollen, Rechte (und vieles mehr) zentral gepflegt und verwaltet. Sobald z.B. ein PC Mitglied eines AD ist, kann sich jeder Benutzer der im AD einmalig angelegt wurde, an diesem PC anmelden und erhält exakt die Rechte die ihr im zugewiesen habt. Kommt ein neuer PC oder ein Notebook ins Haus gilt das selbe - der Rechner muss nur einmalig als Mitglied im AD angemeldet werden und schon kann sich jeder vorhandene Nutzer mit seinen entsprechenden Rechten anmelden. Ein Kennwort, das ihr im AD ändert ist direkt innerhalb des AD geändert und verfügbar. Einfacher geht es nicht mehr.


Ob ihr ein AD nutzen möchtet oder nicht, bleibt letztlich selbstverständlich euch überlassen, aber in der hier präsentierten Lösung kann man sich ein solches schnell, relativ einfach und kostengünstig einrichten. Entscheidet einfach selbst, ob es euch für eure Zwecke hilft oder mehr Arbeit macht. Einen Wermutstropfen hat die ganze Sache natürlich dennoch: Damit ihr unter Windows ein AD nutzen könnt (völlig unabhängig, ob das nun unter Samba oder Windows läuft), braucht ihr mindestens eine "pro" Variante von Windows, ansonsten ist die Anmeldung in einem AD nicht möglich.


Wenn jemand zu Hause oder im kleinen KMU ein AD möchte, dann steht er vor einer Entscheidung, die in irgendeiner Form mit Abstrichen versehen ist. Was kann man denn letztlich machen:

  • „echten“ Server mit Windows einrichten, dies ist sicherlich die teuerste Variante
  • die Domäne auf der NAS laufen lassen. Seid mir nicht böse, aber in meinen Augen ist eine NAS dafür einfach nicht gedacht. Es geht zwar, aber regelmäßige Sicherheitsupdates oder gar eine neue Version sobald es seitens Samba neue Features gibt, das kann ein NAS-Hersteller einfach nicht leisten. Samba ist vorhanden, natürlich, darüber stellt eine NAS die Freigaben für Windows zur Verfügung und wenn es „schon mal da ist“ bietet der Hersteller der NAS natürlich auch die Möglichkeit, dies als AD zu konfigurieren. Aber darüber hinaus wird es eng. Vergesst dabei nicht, die Systeme sind extrem angepasste Distributionen – schon diese sind nicht wirklich für solche Anwendungen vorgesehen.
  • das AD auf einem Pi (oder einem ähnlichen) Gerät laufen lassen. Meiner Meinung nach, für eine überschaubare Anzahl an AD-Benutzern die Variante mit den geringsten Abstrichen. Natürlich, so etwas kann man immer belächeln, aber an der Stelle hat man ein Gerät das nur das macht wofür es eingesetzt werden soll, es verwaltet das AD. Und das macht es unter Samba gut. Vor allem aber: Geht mal ein Raspberry kaputt, so ist er schnell und günstig zu ersetzen!

Klar, es gibt immer eine zusätzliche Variante, Samba in einer VM auf der NAS (wenn man denn eine NAS mit ausreichend Speicher und einer CPU mit genug Reserven hat) oder irgendeine andere VM bzw. alle möglichen Mischformen. Aber all diese Lösungen haben eines gemeinsam: Geht mal was kaputt, wird es teuer. Und einen extra Server für zu Hause hinstellen, wer macht das schon gern (und wenn wir mal ehrlich sind, eigentlich braucht man 2, damit das AD nicht irgendwann bei einem Ausfall schlicht tot ist).

Klar, wenn das AD irgendwann immer größer wird, kommt natürlich der Moment, an dem der Pi einfach zu leistungsschwach wird – das kann und will ich nicht abstreiten. Allerdings ist man auch in diesem Fall in keiner Sackgasse, selbstverständlich kann man dann trotzdem einen Windows-Server oder einen unter Samba ins AD aufnehmen, diesen durch Transfer der FSMO-Rollen zum PDC machen und so mit „stärkeren“ Geräten direkt weiter arbeiten. Man entscheidet sich also nicht für einen Weg, aus dem es kein zurück mehr gibt.


Für viele ist evtl. auch die Tatsache „ich kenne mich mit Linux nicht aus“ eine Hemmschwelle. Genau für diese schreibe ich diesen Artikel, denn es ging mir einst ähnlich. Einzig die Überlegung „andere haben das auch geschafft, dann packst Du das auch“ hat mich dabei bleiben lassen. Lange. Zwischen dem Gedanken „ich möchte das auch“ und dem lauffähigen AD mit 2 DC vergingen gut und gerne 9 Monate. In dieser Zeit habe ich viel gelernt, auch über Linux und den Pi.


Für all die, die das auch gern hätten, aber sich nicht trauen oder denen schlicht die Zeit dafür fehlt, schreibe ich diesen Artikel. Allen anderen danke fürs Lesen bis hierher :)


Noch etwas in eigener Sache:

Ich selbst bin (so wie viele) tief in der Windows-Welt verwurzelt und habe vieles per „try and error“ und über das „zusammensetzen“ von Informationen unterschiedlichster Webseiten gelernt bzw. erreicht. Es wird an vielen Stellen sicherlich Dinge geben, die man eleganter und/oder anders lösen könnte. Ich bitte an der Stelle um Nachsicht, vor allem bei all den Linux-Spezialisten, die hier sehr reichlich vertreten sind. Ich möchte auch sicher keine Diskussion „pro und kontra Windows/Linux“ vom Zaun brechen, beides hat seine Vor- und Nachteile und beides seine Daseinsberechtigung. Und wie man an Samba gut sehen kann, harmonieren die sogar zusammen – wenn man sie nur lässt.

Von daher, konstruktive Kritik ist gern gesehen und wird (in sofern sinnvoll) auch gerne eingepflegt. Ich nehme für mich sicher nicht in Anspruch, allwissend zu sein und ihr wisst ja wie das ist:


Fehllose sind auch nur Nieten :P



In diesem Sinne viel Erfolg und vor allem Spaß mit dem Artikel,



- Lauri.


Wie schon geschrieben, stammt lange nicht alles aus meiner Feder sondern teilweise (zum Teil abgewandelt oder geändert) auch von anderen Webseiten. Die Quellen für meinen Artikel findet ihr hier:


https://www.samba.org

https://wiki.samba.org

https://www.isc.org

https://www.isc.org/downloads/bind


Ein besonderer Dank geht an David Herminghaus, der mir freundlicherweise gestattet hat, Teile seines Artikels zum Raspberry Pi und AD zu verwenden:

http://david.herminghaus.nl/de…y-controller-samba4-bind9