Server

Bind9 installieren: Vorbereitungen

Vorbereitung

Auf wessen Pi noch kein Bind existiert, der installiert sich nun trotzdem erst die „offizielle“ Debian-Version. Auf diese Weise lösen wir fast alle Abhängigkeiten ohne großen Aufwand auf und erhalten außerdem ein Init-Skript und weitere Konfigurationen, die wir später nur noch geringfügig für unsere eigene Version anpassen müssen.

a) Bind noch nicht installiert

Wer Bind bereits installiert hat, fährt mit dem nächsten Abschnitt fort. Alle anderen gehen nun an die Konsole:

NAS für die Domäne einrichten

Fein granulierte Datei- und Verzeichnisrechte sind ein Hauptziel unseres Vorhabens. Wir wollen in diesem Beispielprojekt jedem Benutzer auf dem Fileserver ein zentrales „Home“-Verzeichnis (Eigene Dateien) bereitstellen, auf das – nur – er von jedem Client aus zugreifen kann.

Domänenbeitritt

Um die zentralen Benutzerkonten für die Zugriffssteuerung auf dem NAS zu verwenden, muß dieses der Domäne beitreten. Das geschieht bei einem Qnap-Gerät unter Zugriffskontrolle > Domain-Sicherheit:

Bind9

Wer zu Beginn dieses Projekts bereits einen fertig konfigurierten Bind hat und diesen auch mit Samba weiter nutzen will, muss sicherstellen, dass er die richtige Version einsetzt und diese mit den richtigen Optionen kompiliert wurde:

named -V | grep gssapi

sollte ein Ergebnis auswerfen, in dem neben der Versionsnummer unter anderem

'--with-gssapi=/usr/include/gssapi'

und

'--with-dlopen=yes'

enthalten ist:

Fileserver (NAS)

So gut der Raspberry Pi die administrativen Aufgaben eines Active Directory-Controllers in einer kleinen Domäne meistert: Für den häufigen, womöglich gleichzeitigen Zugriff mehrerer Benutzer auf große Datenbestände ist er meines Erachtens nicht geeignet. Das liegt an seiner – nach heutigen Maßstäben langsamen – 100MBit/s-Netzwerkschnittstelle. Hinzu kommt die für solche Aufgaben ungenügende interne Datenbusgeschwindigkeit.

Raspberry Pi als AD-Controller fürs NAS

In dieser Anleitung dokumentiere ich das Installieren und Einrichten eines voll funktionsfähigen Active Directory-Domänenservers („Domain Controller“) auf Basis von Samba4 und Bind9 mit dem Ziel, eine AD-Domäne zu betreiben und deren Einstellungen, Nutzer, Datei- und Druckdienste sowie Computer-, Benutzer- und Gruppeneinstellungen so weit wie möglich bequem von einem beliebigen Windows (7)-Rechner mit Hilfe der Remote Server Administration Tools vornehmen zu können.

Low-Power Active Directory-Server

Dieses Projekt entstand eigentlich aus einer internen Anforderung: Wir brauchten eine Infrastruktur, die möglichst geringe Kosten verursacht und dennoch robust genug ist, um Authentisierungs-, Datei- und Druckdienste in einer Intranetdomäne bereitzustellen. Wir sind noch lange nicht groß genug für eine dedizierte, hochperformante Windows Server-Infrastruktur, dennoch war eine Konsolidierung aller mit den Jahren aufgelaufenen Zugänge, Daten und Dienste überfällig um den inzwischen aufgelaufenen organisatorischen Overhead drastisch zu reduzieren.