Zentyal: Die ultimative Anleitung zur Einrichtung von Active Directory und Samba File Server
Zentyal ist eine leistungsstarke Linux-basierte Alternative zu Windows Server, die es Ihnen ermöglicht, einen vollwertigen Domain Controller innerhalb Ihrer virtuellen Infrastruktur (z.B. unter Verwendung von Proxmox VE als Hypervisor) einzusetzen. Dieser Leitfaden beschreibt den Weg von einer "Vanilla"-Installation zu einer produktionsreifen Domäne mit Netzwerkfreigaben und angeschlossenen Windows-Clients.
Systemvorbereitung
Bevor Sie mit dem Klicken auf die Schaltflächen beginnen, stellen Sie Folgendes sicher:
- Der Server hat eine statische IP-Adresse.
- Sie haben einen Domänennamen gewählt (z.B. office.lan).
- Zentyal ist mit den folgenden Modulen installiert: DNS, Domänencontroller und Dateifreigabe, sowie Benutzer und Computer.
Dieses Tutorial verwendet Zentyal 8.0. Die Schnittstelle kann in anderen Versionen variieren.
Wenn Sie das Zentyal ISO Installationsprogramm verwenden, wählen Sie die Rolle "Domain Controller". Das System wird automatisch alle drei benötigten Module für die Installation markieren.
Wenn dies Ihre erste Anmeldung nach der Installation ist, wählen Sie die Serverrolle Domain Controller und warten Sie auf die Installation der Komponenten. Sie können den anfänglichen Assistenten überspringen und die Konfigurationen zur besseren Kontrolle manuell durchführen.
Konfigurieren des Domänennamens
Navigieren Sie zu System -> Allgemein und geben Sie Ihren Domänennamen an (z. B. office.lan). Das ist entscheidend: Klicken Sie auf Ändern und dann oben rechts auf Änderungen speichern, um die Einstellungen zu übernehmen.
DNS-Modul-Konfiguration
Active Directory ist in hohem Maße von DNS abhängig. Wenn DNS falsch konfiguriert ist, können Windows-Clients Ihre Domäne einfach nicht "sehen".
Schritt 1: Gehen Sie zu Modulstatus. Vergewissern Sie sich, dass das DNS-Modul aktiviert ist. Wenn nicht, schalten Sie es ein und speichern Sie die Änderungen.
Schritt 2: Navigieren Sie zu Infrastruktur -> DNS.
Registerkarte Forwarders: Fügen Sie externe DNS-Server hinzu (z. B. 8.8.8.8 oder den DNS Ihres Internetanbieters). Diese bearbeiten Anfragen, die nicht lokal aufgelöst werden können. Klicken Sie auf Neu hinzufügen -> Änderungen speichern.
Registerkarte Domains: Hier sollte bereits ein Eintrag für Ihre Domäne (office.lan) vorhanden sein.
Einrichtung des Active Directory-Controllers
Lassen Sie uns nun den Server in einen funktionsfähigen Domain Controller umwandeln.
Schritt 1: Aktivieren Sie unter Modulstatus den Domänencontroller und die Dateifreigabe. Wenn Sie eine Fehlermeldung erhalten, gehen Sie auf den Link:
und stellen Sie sicher, dass die IP-Adresse Ihres Servers korrekt zugewiesen ist:
Schritt 2: Navigieren Sie zur Registerkarte Domain.
Schritt 3: Überprüfen Sie die Parameter: Server-Rolle: Domänencontroller. NetBIOS-Name: BÜRO. Domain Realm: office.lan. Laufwerksbuchstabe: Hier wird festgelegt, welcher Buchstabe dem Netzlaufwerk zugewiesen wird, das für jeden Domänenbenutzer bei der Anmeldung automatisch gemountet wird.
Erstellen von Domänenbenutzern und -gruppen
Eine Domäne ist nur eine Hülle, solange sie keine Benutzer hat.
Schritt 1: Gehen Sie in der Seitenleiste zu Benutzer und Computer -> Verwalten.
Schritt 2: Wählen Sie in der linken Baumstruktur Benutzer aus.
Schritt 3: Klicken Sie auf Neu hinzufügen (+).
Schritt 4: Erstellen Sie einen Benutzer (z. B. admin.work oder i.user) und legen Sie ein sicheres Passwort fest. Klicken Sie auf Hinzufügen.
Verwenden Sie denselben Abschnitt, um Gruppen zu erstellen. Die Organisation von Benutzern in Gruppen (z. B. "HR", "IT", "Vertrieb") ist die effizienteste Art, Zugriffsberechtigungen zu verwalten.
Aktualisieren des Domänenadministrators
Standardmäßig legt Zentyal einen Administrator-Benutzer an, der zu den Gruppen Domain Admins und Schema Admins gehört.
Setzen Sie sofort ein sicheres Passwort für dieses Konto. Sie benötigen es, um Server in die Domäne einzubinden und hochrangige administrative Aufgaben durchzuführen.
Sie können einen neuen Domänenadministrator erstellen, indem Sie einen Benutzer zu den Gruppen Domänenadmins und Schemaadmins hinzufügen.
Konfigurieren von Samba-Netzwerkfreigaben
Um die gemeinsame Nutzung von Dateien zu ermöglichen, müssen wir ein Verzeichnis mit spezifischen Zugriffskontrolllisten (ACLs) erstellen.
Schritt 1: Stellen Sie sicher, dass das Modul Dateifreigabe im Modulstatus aktiv ist.
Schritt 2: Gehen Sie zu Dateifreigabe -> Freigaben.
Schritt 3: Klicken Sie auf Add New, benennen Sie den Ordner (z.B. Shared_Files) und wählen Sie den Pfad: Verzeichnis unter Zentyal /home/samba.
Schritt 4: Berechtigungen festlegen (ACL): Klicken Sie in der Freigabeliste auf das Symbol Zugriffskontrolle.
Schritt 5: Klicken Sie auf Add New, wählen Sie Ihren Benutzer (oder die Gruppe Domain Users) und setzen Sie die Berechtigungen auf Read Write.
Klicken Sie immer auf Änderungen speichern in der oberen Kopfzeile, um Ihre Konfiguration für das Live-System zu übernehmen.
Verbinden von Linux-Workstations (Ubuntu/Debian)
In diesem Abschnitt wird beschrieben, wie Sie einen Ubuntu- oder Debian-Rechner in Ihre neue Domäne einbinden, damit sich die Benutzer mit ihren Domänen-Anmeldedaten anmelden können.
Vorbereitung und Installation
Stellen Sie sicher, dass der DNS Ihres Linux-Clients auf die IP des Zentyal-Servers verweist. Installieren Sie dann die erforderlichen Pakete:
sudo apt update && sudo apt install realmd sssd sssd-tools adcli libpam-sss -y
Ändern Sie die DNS-Einstellungen in den Eigenschaften Ihres Netzwerkadapters. In unserem Beispiel verwenden wir Ubuntu Desktop. Im Allgemeinen bietet jede Desktop-Umgebung eine Möglichkeit, diesen Parameter zu konfigurieren. Alternativ können Sie dies auch über die Kommandozeile tun - die genaue Methode hängt von Ihrer Distribution ab: Netplan für Ubuntu oder die traditionelle /etc/network/interfaces-Datei für Debian.
Unter Linux ist es am besten, nur die IP des Domain Controllers in den DNS-Einstellungen zu behalten. Die DNS-Forwarder von Zentyal werden die globale Internet-Namensauflösung für den Client übernehmen.
Beitritt zur Domäne
Führen Sie den folgenden Befehl aus (ersetzen Sie office.lan durch Ihre Domain):
sudo realm join -U Administrator office.lan
Geben Sie das Passwort des Domänenadministrators ein, wenn Sie dazu aufgefordert werden.
Konfigurieren der Sudo-Rechte
Um der Gruppe "Domain Admins" die Verwendung von sudo zu ermöglichen, erstellen Sie eine Konfigurationsdatei:
echo "%Domain\ Admins@office.lan ALL=(ALL) NOPASSWD:ALL" | sudo tee /etc/sudoers.d/domain-admins
Automatische Erstellung des Home-Verzeichnisses
So stellen Sie sicher, dass bei der ersten Anmeldung an der Domäne automatisch ein Ordner /home/user erstellt wird:
sudo pam-auth-update --enable mkhomedir
Login-Überprüfung
Achten Sie auf das Format des Benutzernamens, da es sich von dem unter Windows üblichen Standardformat unterscheidet.
Verbinden eines Windows-Servers/Clients mit der Domäne
Schließen wir nun einen Windows-Rechner an, um die Einrichtung zu überprüfen.
Windows-Netzwerkeinrichtung
Öffnen Sie Netzwerk und Internet -> Netzwerkverbindungen.
- Klicken Sie mit der rechten Maustaste auf Ihren Adapter -> Eigenschaften.
- Wählen Sie Internetprotokoll Version 4 (TCP/IPv4) -> Eigenschaften.
Geben Sie in das Feld Bevorzugter DNS-Server die IP-Adresse Ihres Zentyal-Servers ein. Dies ist der wichtigste Schritt.
Beitritt zur Domäne
Schritt 1. Öffnen Sie die Systemeigenschaften (System -> Erweiterte Systemeinstellungen); Registerkarte Computername -> Schaltfläche Ändern.
Schritt 2. Wählen Sie das Feld "Mitglied der Domäne" und geben Sie Ihren Domänennamen ein. In unserem Beispiel ist dies office.lan.
Schritt 3. Geben Sie in dem nun erscheinenden Fenster das Login und das Passwort eines Benutzers aus der Gruppe der Domänenadministratoren ein. Weiter oben in diesem Handbuch haben wir das Kennwort für das Administratorkonto festgelegt, das Mitglied der Gruppe der Domänenadministratoren ist.
Nach dem erfolgreichen Beitritt zur Domäne starten Sie Windows neu. Nach dem Neustart können Sie ein Domänenkonto verwenden, um sich bei Windows anzumelden.
Anmeldung und Verifizierung
Wählen Sie auf dem Anmeldebildschirm Anderer Benutzer und geben Sie die Anmeldedaten in diesem Format ein: OFFICE\i.user (Ersetzen Sie i.user durch den von Ihnen erstellten Benutzernamen).
Sobald Sie angemeldet sind, öffnen Sie Arbeitsplatz. Sie sollten ein zugeordnetes Netzlaufwerk sehen (normalerweise H:). Dies ist die Samba-Freigabe, die Sie in der Zentyal-Schnittstelle erstellt haben.
Herzlichen Glückwunsch! Sie haben eine vollwertige IT-Infrastruktur eingerichtet. Zentyal verwaltet nun erfolgreich Ihre DNS, Active Directory (AD) und Samba File Services.
