====== Samba ======
[[wpde>Samba_(Software)|Samba]] ist eine freie Software-Suite, die (das von [[windows:Windows]] verwendete) [[netzwerke:SMB bzw. CIFS|Server-Message-Block-Protokoll (SMB) bzw. neu: CIFS]] für Unix-artige Systeme verfügbar macht.

siehe auch: **[[netzwerke:Drucken im Netz]]**, [[shellscripts:samba-print-pdf]]

[[http://www.oreilly.de/german/freebooks/samba2ger/ch05.html|Samba, 2. Auflage GNU FDL]]

{{:samba:samba_rechteabbildung.png|Samba Rechteabbildung aus: O`Reilly: Samba; Lizenz GNU FDL}}

^  Nützliche Programme zu Samba  ^^
^ Programm ^ Funktion ^
| nmblookup | schlägt NetBIOS-Namen nach, z.B. <code>nmblookup -U IP -A IP</code> |
| smbstatus | zeigt den aktuellen Status von Samba |
| testparm | prüft die syntaktische Richtigkeit (geänderter) Einstellungen |
| smbpasswd | ändert die Passwörter der Samba-Benutzer (in ''/etc/samba/smbpasswd''). Dieses backend wird übrigens in aktuellen Samba-Versionen nicht mehr standardmäßig benutzt sondern muss mit "''passdb backend = smbpasswd''" explizit angegeben werden |
| pdbedit | Editiert das tdb-backend (Datei liegt in ''/var/lib/samba/passdb.tdb''). ''pdbedit -L'' listet Benutzer auf. |


===== Links =====

  * **[[http://wiki.ubuntuusers.de/Samba_Server|Samba Server]]**
  * [[http://www.nicht-blau.de/2010/12/28/howto-samba-3-5-6-pdc-primary-domain-controller-und-windows-7-2/#more-580|HowTo: Samba 3.5.6 PDC (Primary Domain Controller) und Windows 7]]
  * [[http://gertranssmb3.berlios.de/output/index.html|Samba-HOWTO-Sammlung]]
  * [[http://www.64-bit.de/dokumentationen/netzwerk/b/001/25741-inh.htm#TopOfPage|Samba in 21 Tagen]]


  * [[http://www.linux-magazin.com/videos/samba_freie_alternative_zu_windows_servern|Vortrag - Samba: Freie Alternative zu Windows-Servern]]
  * [[http://www.samba.org/|Samba Homepage]]
  * [[http://www.howtoforge.com/samba_domaincontroller_setup_ubuntu_6.10|SAMBA (Domaincontroller) Server For Small Workgroups With Ubuntu 6.10]]
  * [[http://de4.samba.org/samba/docs/Samba3-HOWTO.pdf|Samba3-Howto]]
  * [[http://gentoo-wiki.com/HOWTO_Implement_Samba_as_your_PDC|HOWTO Implement Samba as your PDC]]
  * [[http://www.netigator.de/netigator/live/show.php3?id=47&aid=10062175|Open-Source-Server Samba Server 3 als PDC ]] 

  * [[http://www.heise.de/newsticker/meldung/97487/|Freier CIFS-Server von Alfresco]]
  * [[http://jaka.kubje.org/wp/2007/05/14/unix-samba-password-sync-on-debian-etch/|Unix and Samba password sync on Debian Etch]]

  * [[https://portal.enterprisesamba.com/users/sign_up|Sernet bietet kostenlose Samba-4-Pakete]]



===== Syncronisation der Passwörter =====
Wenn ein Benutzer sein Passwort ändert, muss das im Normalfall an 2-3 Stellen erfolgen
  - unter [[windows:Windows]]
  - bei Samba (''smbpasswd'')
  - unter [[linux:Linux]] (mit ''passwd'')

Lösen lässt sich das Problem indem man
  - entweder Login-Namen, Passwörter und andere Benutzerspezifische Daten mit einem [[netzwerke:LDAP]]-Server verwaltet. Darauf kann mit Samba und [[linux:PAM]] zugegriffen werden.
  - oder einen [[windows:Windows]]-Server dazu benutzt. Dann muss Samba (mit ''security = domain'' oder ''security = ads'' und ''winbindd'') als auch [[linux:PAM]] passend konfiguriert werden.







===== Konfiguration =====
Die Einstellungen von Samba sind eigentlich recht ausführlich dokumentiert.

Die Einstellungen die man meist braucht sind 
  guest ok = Yes
Es ist kein Benutzerkonto auf dem Pc nötig
  browseable = Yes
Man kann die Freigabe im Netzwerk sehen.


Nach der Änderung sollte zuerst die Richtigkeit überprüft werden:
  testparm
dann kann man die Änderungen einlesen lassen:
  /etc/init.d/smb reload



==== Domänencontroller einrichten ====
  * [[http://www.tecchannel.de/server/linux/1744753/|Samba als Windows Domain Controller auf dem NSLU2]]



==== Freigabe einrichten ohne Benutzer ====
Den einfachsten Fall (eine Verbindung auf Freigabe-ebene und ohne Passwortabfrage für jeden beschreibbar):

<file>
[public]
	path = /home/user/public
	read only = No
	guest ok = Yes
</file>
''guest ok = Yes'' ist gleichbedeutend mit ''public = Yes''


==== Freigabe einrichten mit Benutzern ====

Vorbereitung:
  * Systembenutzer anlegen (adduser TOM)und z.B. in Gruppe "users" stecken (usermod -g users TOM)
  * Ordner anlegen und entsprechende Rechter erteilen

<file>
[dateiserver]
   comment = unser Dateiserver
   read only = no
   path = /path_to_our_files
   guest ok = no
   create mask = 0640
   directory mask = 0770
</file>

  * Benutzer hinzufügen: <code bash>smbpasswd -a TOM</code>
  * Passwort ändern: <code bash>ssmbpasswd TOM</code>
  * existierende Benutzer auflisten: <code bash>pdbedit -w -L</code>


==== Firewalling ====

Samba (bzw. netbios und CIFS) sollten nicht frei aus dem Internet erreichbar sein.

[[https://www.stefanux.de/wiki/doku.php/linux/iptables#iptables-regeln-dauerhaft-sichern|Iptables-Regeln dauerhaft]]:

In diesem Beispiel wird netbios und CIFS auf allen Interfaces AUSSER $IP blockiert (deswegen die Negation "!").

''/etc/iptables/rules.v4'':
<file>
# Generated by iptables-save
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT ! -d $IP/32 -p tcp -m tcp --dport 137:139 -j DROP
-A INPUT ! -d $IP/32 -p udp -m udp --dport 137:139 -j DROP
-A INPUT ! -d $IP/32 -p udp -m udp --dport 445 -j DROP
-A INPUT ! -d $IP/32 -p tcp -m tcp --dport 445 -j DROP
COMMIT
</file>

Hier wird CIFS auf IPv6 gar nicht angeboten: ''/etc/iptables/rules.v6''
<file>
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp --dport 137:139 -j DROP
-A INPUT -p udp -m udp --dport 137:139 -j DROP
-A INPUT -p udp -m udp --dport 445 -j DROP
-A INPUT -p tcp -m tcp --dport 445 -j DROP
COMMIT
</file>


==== Samba an AD authentifizieren ====

  * [[https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto|ActiveDirectoryWinbindHowto]]
  * [[http://forum.ubuntuusers.de/topic/49746/|Einer Domain beitreten]]
  * [[http://www.pro-linux.de/work/server/samba3-domaene.html|Beitritt zu einer Windows 2003-Domäne mit Benutzerübernahme]]


==== Schattenkopien mit ZFS ====

<file>
[global]
shadow: snapdir = .zfs/snapshot
shadow: sort = desc
# Specify snapshot name: frequent, hourly, daily… as desired
shadow: format = zfs-auto-snap_hourly-%Y-%m-%d-%H%M"
</file>

  * https://www.samba.org/samba/docs/current/man-html/vfs_shadow_copy2.8.html
  * help.univention.com/t/ucs-samba-with-zfs-via-nfs-working/6865

==== Verschlüsselung erzwingen ====
<file>
[global]
  min protocol = SMB2
  client max protocol = SMB3
  encrypt passwords = yes
  server signing = mandatory
  smb encrypt = mandatory
</file>

''testparm -v | grep protocol''
<file>
	client max protocol = SMB3
	client min protocol = CORE
	server max protocol = SMB3
	server min protocol = SMB2
</file>
==== WINS-Unterstützung ====

Samba als WINS-Server:
<file>[global]
	wins support = yes
	name resolve order = wins lmhosts hosts bcast</file>

Samba als WINS-Client:<file>
[global]
	wins server = IP_or_DNS-Name</file>

  * [[http://lug.krems.cc/docu/samba/ch07_03.html|Kapitel 7.3 Namensauflösung unter Samba]]
  * [[http://www.oucs.ox.ac.uk/network/wins/client-config/index.xml.ID=body.1_div.2|2.7. Configuring a Samba Server to use WINS]]


===== Samba als standalone Dateiserver =====

Komplexes Beispiel:
<code bash>
useradd meinUser
passwd meinUser
smbpasswd -a meinUser
# anzeigen lassen zur Kontrolle:
# pdbedit -w -L
</code>

''/etc/samba/smb.conf''
<file>
# Global parameters
[global]
	log file = /var/log/samba/log.%m
	logging = file
	map to guest = Bad User
	max log size = 1000
	obey pam restrictions = Yes
	pam password change = Yes
	panic action = /usr/share/samba/panic-action %d
	passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
	passwd program = /usr/bin/passwd %u
	server role = standalone server
	unix password sync = Yes
	usershare allow guests = Yes
	idmap config * : backend = tdb

	store dos attributes = no
	ea support = no
	map archive = no
	map hidden = no
	map system = no
	map readonly = no

	min protocol = SMB2
	client max protocol = SMB3
	encrypt passwords = yes
# win7 unterstützt die folgenden beiden Einstellungen nicht:
#	server signing = mandatory
#	smb encrypt = mandatory

#[homes]
#	browseable = No
#	comment = Home Directories
#	create mask = 0700
#	directory mask = 0700
#	valid users = %S

[meineFreigabe]
	create mask = 0700
	directory mask = 0700
	path = /srv/samba
	read only = No
	valid users = meinUser
</file>

''systemctl restart smbd.service ''

Optional:
  * siehe oben firewalling
  * in [[linux:wireguard]] tunneln
===== Samba als DC =====

  * [[https://samba.plus/|Samba+ von Sernet]]
<file>
# Global parameters[global]
netbios name = $Servername
realm = $Domainroot
server role = active directory domain controller
workgroup = $Domainroot
tls enabled = yes
tls keyfile = tls/$domain-key.pem
tls certificate = tls/$domain-crt.pem
tls cafile = tls/$domain-ca.pem
dns forwarder = extern1.dns.resolver.tld extern2.dns.resolver.tld
kccsrv:samba_kcc = false
ldap server require stron auth = no

[netlogon]
path = /var/lib/samba/sysvol/$domain/scripts
read only = No

[sysvol]
path = /var/lib/samba/sysvol
read only = No
</file>

Zertifikate nach ''/var/lib/samba/private/tls''.

SAMBA_START_MODE="ad" in /etc/default/samba oder /etc/default/sernet-samba

Zeitzone muss überall gleich gesetzt werden: ''timedatectl set-timezone UTC'' 

==== AD-Controller neu installieren ====

Vorbereitungen:
  * :!: Hostname und FQDN in Hostdatei /etc/hosts schreiben (Beispiel).
  * netplan und systemd-resolved deaktivieren
  * Apparmor deaktivieren: <code bash>systemctl stop apparmor && systemctl disable apparmor</code>

Der systemd-NTP wird ersetzt weil DCs signierte Zeitstempel liefern wollen, das kann ntp mit ntpsigndsocket:
<code bash>systemctl disable systemd-timesyncd.service
apt install ntp</code>

/etc/ntp/ntp.conf
<file>
# First one is a internal IP as (in case DNS fails):
server 1.2.3.4
server de.pool.ntp.org
server ntp.ubuntu.com
# Restrictions
restrict default kod limited nomodify notrap nopeer mssntp
restrict 127.0.0.1
restrict ::1
restrict time.neofonie.de mask 255.255.255.255 nomodify notrap nopeer noquery
# Location of drift filedriftfile /var/lib/ntp/ntpd.drift
# Location of the update directory
ntpsigndsocket /var/lib/samba/ntp_signd/
</file>

testen: ''ntpq> pe''

Hostname setzen: <code bash>hostnamectl set-hostname $Hostname</code>

Falls cloud-init installiert ist: /etc/cloud/cloud.cfg von: "preserve_hostname: false" auf  "preserve_hostname: true".
Pakete deinstallieren: <code bash>apt remove cloud-init cloud-initramfs-copymods cloud-initramfs-dyn-netconf</code>

**Kerberos-Config ins System**:
  * krb5.conf kopieren (nach erstmaligem start von samba): <code bash>cp /var/lib/samba/private/krb5.conf /etc/</code>

**Replikation beobachten**: ''samba-tool drs showrepl | less''

**Test/re-index lokale DB** (funktioniert direkt auf der DB, Samba muss nicht gestarten werden): <code bash>samba-tool user list && samba-tool group list</code>


=== csync2 für sysvol-Replikation ===

<code bash>apt install csync2</code>

xinetd konfigurieren:
<code bash>
apt purge openbsd-inetd
apt install xinetd
systemctl is-enabled xinetd
systemctl restart xinetd</code>

Schlüssel generieren:

<code bash>
csync2 -k /etc/csync2.key
openssl genrsa -out /etc/csync2_ssl_key.pem 2048
openssl req -batch -new -key /etc/csync2_ssl_key.pem -out /etc/csync2_ssl_cert.csr
openssl x509 -req -days 9999 -in /etc/csync2_ssl_cert.csr  -signkey /etc/csync2_ssl_key.pem -out /etc/csync2_ssl_cert.pem
</code>

config-Dateien auf die anderen PDCs kopieren incl. keys:
<code bash>
scp csync2* $Server2:/etc/
scp csync2* $Server3:/etc/
</code>

/etc/csync2.cfg:
<code bash>
ignore uid;
ignore gid;
ignore mod;
group samba4
{
  host $server;
  host $server2;
  host $server3;
  key /etc/csync2.key;
  include /var/lib/samba/sysvol/;
  exclude .*;
  action {
    exec "samba-tool ntacl sysvolreset";
  }
}
</code>
testen: csync2 -xv

Auf allen Beteiligten Nodes in den Crontabs den sync setzen (Minuten variieren damit nicht alle drei Nodes zur gleichen Sekunden syncen):
<file>
*/10 *    * * *    root    csync2 -x
</file>

Neuen PDC in die Domain joinen: ''samba-tool domain join $Domainame DC -U administrator''

weitere Links:
  * http://www.wir1234.de/wiki/doku.php?id=csync2
  * https://icicimov.github.io/blog/devops/File-system-sync-with-Csync2-and-Lsyncd/




==== Diagnose ====

  * Log-Dateien: /var/log/samba/...
  * **Replikation** checken: ''samba-tool drs showrepl''
  * Datenbankeinträge checken: ''samba-tool dbcheck --cross-ncs''
  * Offene Verbindungen von Clients anzeigen: ''smbstatus''

**Bind**:
  * Cache des Bind ggf. löschen: ''rndc flush''
  * Cache anzeigen: ''rndc dumpdb -all''

**NTP-Daemon prüfen**: ''ntpq -p''

  * AD-Informationen anzeigen: ''net ads info''
  * Informationen über DCs anzeigen: ''samba-tool dns serverinfo $servername -U Administrator''
  * Master finden: ''samba-tool fsmo show''
  * AD anpingen: ''wbinfo --ping-dc''
  * User-Liste anzeigen: wbi''
  * Aktuelle Benutzer-Zahl: wbinfo -u | wc -l''
  * Liste der Gruppen: ''wbinfo -g''
  * Anzahl von Gruppen: ''wbinfo -g | wc -l''
  * Alle Zahlen zusammen: ''net rpc info -U Administrator''
  * Schnelle Verifikation von Usern auf verschiedenen PDCs: ''for x in `wbinfo -u`; do wbinfo --name-to-sid $x; done''

Bei TKEY Problemen: Rechte anpassen
<code bash>
chgrp bind /var/lib/samba/private/
chmod 750 /var/lib/samba/private/
chgrp bind /var/lib/samba/private/dns.keytab
chmod 640 /var/lib/samba/private/dns.keytab
</code>

  * DNS-Zoneninformationen abfragen (Samba direkt): ''samba-tool dns query <Your-AD-DNS-Server-IP-or-hostname> <zone-name> @ ALL -U administrator''
  * DNS-Zoneninformationen auflisten (Samba direkt): ''samba-tool dns zonelist <Your-AD-DNS-Server-IP-or-hostname> --secondary -U administrator''
  * Neuen DNS-Record setzen: ''samba-tool dns add localhost neofonie.de asp.neofonie.de A 81.17.211.122 -U (anyAD-Adminuser)''


===== ansible =====

  * [[https://stackoverflow.com/questions/44762488/non-interactive-samba-user-creation-via-ansible|Non interactive samba user creation via ansible]]
  * https://github.com/stefanux/ansible-role-samba