staging.inyokaproject.org

Das Howto ist IMHO fertig.

Sachliche und fachliche Kritik ist willkommen.

Hallo,

schöner und aufwendiger Artikel. Könnte mMn mit einem Hinweis „Artikel für fortgeschrittene Anwender“ versehen werden.

Einige Anmerkungen:

• In der Einleitung könntest Du auf HowTo/Samba-AD-Server unter Ubuntu 20.04 installieren (Abschnitt „Was-ist-ein-Active-Directory-Domain-Controller“) verlinken, damit man einen Eindruck davon erhält, was das ist.

• unter Baustelle/Howto/Samba4-Fileserver im Active Directory (Abschnitt „Freigabe-erstellen“) bestückst Du eine Datei nur durch echo-Aufrufe. Ich würde eher vorschlagen, dass Du die Endfassung der Datei in einem Codeblock zeigst.

• unter Baustelle/Howto/Samba4-Fileserver im Active Directory (Abschnitt „Reports“) nutzt Du den Befehl colum. Meinst Du column?

• Die Dateinamen sollten durch fettdrucken hervorgehoben werden.

• Nutzte bitte die Installationsvorlage.

Einige Kleinigkeiten:

• Die Verwendung der Haupt-Software-Version 4 im Titel ist überflüssig. Aktuelle Ubuntu-Versionen verwenden nichts anderes.

• Warum soll nach der Grundeinrichtung des Samba-Servers das Paket samba installiert werden?

• Für Installationsanweisungen und Hintergrundinformationen usw. sollten die Vorlagen des Wiki verwendet werden anstatt direkter Formatierung.

karzer schrieb:

[…]

• unter Baustelle/Howto/Samba4-Fileserver im Active Directory (Abschnitt „Freigabe-erstellen“) bestückst Du eine Datei nur durch echo-Aufrufe. Ich würde eher vorschlagen, dass Du die Endfassung der Datei in einem Codeblock zeigst.

Das ist eh' keine empfehlenswerte Methode, da während der einzelnen Befehle die Konfigurationsdatei zeitweise in einen inkonsistenten Zustand versetzt wird. Überdies fehlerträchtig. Das könnte einen laufenden Samba-Server (der ständig seine Konfigurationsdatei beobachtet) verwirren und Fehlfunktionen provozieren.

Es ist generell besser, so etwas per Texteditor durchzuführen und das auch im Wiki zu empfehlen. Dann muss man natürlich den gewünschten zusätzlichen Inhalt der Datei smb.conf zeigen. Das das aber natürlich auch schon an anderer Stelle im Wiki gezeigt wird, kann man sich hier im Howto eigentlich auch auf die hier benötigten besonderen Einstellungen beschränken und diese erläutern.

Bournless schrieb:

Sachliche und fachliche Kritik ist willkommen.

Sauber und klar strukturiert. Ich habe zwar keinen Anwendungsfall, aber ich würde mich hier definitiv zurecht finden. Fast zu lange nach meinem Geschmack für ein Howto, aber durch die Struktur nicht überladen und sehr übersichtlich.

Über Kleinigkeiten kann man diskutieren, was ja - wie ich sehe - auch schon gemacht wird.

Gruß BillMaier

Vielen Dank für eure Feedbacks! 👍

@karzer

Ich glaube nicht, dass das Howto den Hinweis „Artikel für fortgeschrittene Anwender“ bekommen sollte. Der Artikel ist ja gewollt als Howto/Anleitung geschrieben, damit ihn auch unerfahrene User benutzen können. Deine Anregungen habe ich hoffentlich wunschgemäß umgesetzt.

@kB

Anekdote: Der Titel war ohne die Verwendung der Versionsnennung! Da ich mich aber beim Hochladen zu dösig angestellt hatte, gab es plötzlich zwei Baustellen, von den ich ausgerechnet die falsche habe löschen lassen! 🤣

Warum soll nach der Grundeinrichtung des Samba-Servers das Paket samba installiert werden?

Verstehe ich nicht! Erwartest Du vor dem Installationsbefehl noch eine kurze Einleitung zum Thema Samba? Bitte genauer beschreiben. Danke.

@BillMaier

Schön, dass das Howto offensichtlich gut lesbar ist. Ich habe das Howto schon auf das Notwendigste gekürzt. Noch kürzer geht IMHO nicht.

Bournless schrieb:

Deine Anregungen habe ich hoffentlich wunschgemäß umgesetzt.

Ja, sehr schön. Nur

sudo repquota -g / | sed 1,5d | colum -t

und ein weiterer Befehl müssten noch in

... column -t

geändert werden, es sei denn, es gäbe ein mir unbekanntes Programm namens colum.

Anekdote: Der Titel war ohne die Verwendung der Versionsnennung! Da ich mich aber beim Hochladen zu dösig angestellt hatte, gab es plötzlich zwei Baustellen, von den ich ausgerechnet die falsche habe löschen lassen! 🤣

Dann kann ich Dir das umbenennen.

@karzer

Beide Befehle sind nun korrigiert.

Ja, bitte das Howto wieder umbenennen.

Gruß
Bournless

Dann kann ich Dir das umbenennen.

Danke, dafür.

Hallo,

danke, für das HowTo! Leider habe ich im Moment wenig Zeit zum ausführlichen Testen, daher nur gelesen und funktional noch nicht getestet:

Anmerkungen: Da das ein HowTo ist:

• IMO zu wenig Schritt-für-Schritt, insbesondere bei Netzwerkkonfiguration und bei Zeitsynchronisation

• Da es ziemlich aufwendig wäre, die manuelle Netzwerkkonfiguration während der Installation im Rahmen dieses HowTos zu behandeln, wäre es IMO geschickt, vom DHCP-Standard auszugehen und dann die manuelle Konfiguration nachträglich vorzunehmen. Dafür könntest Du dann auf den entsprechenden Abschnitt im AD-HowTo verweisen und der HowTo-Gedanke (Schritt-für-Schritt) bliebe erhalten.

• Überprüfung der übernommenen Netzwerkeinstellungen per sudo cat /etc/netplan/*.yaml IMO auch eher eine unübliche Methode. Vielleicht wolltest Du an dieser Stelle auch auf etwas anderes hinaus?

• Bei der Zeitsynchronisation fehlt mir der Hinweis, dass die Zeit zwischen adc01.heim.lan, fs01.heim.lan und den Clients die darauf zugreifen wegen kerberos synchron sein muss. Fände hier einen diesbezüglichen Satz noch hilfreich. Da Du Dich oben an das AD-HowTo anlehnst, wäre hier IMO eine diesbezügliche Schritt-für-Schritt Konfig für timesyncd mit dem auf dem AD laufenden NTP-Server im Rahmen eines HowTo sinnvoll.

• Mir fehlt eine kurze Erklärung zum verwendeten ID-Mapping (Stichworte: tdb, ad, rid) und was das für Folgen hat. Es gibt ja derer drei und je nach eigener Client-Server-Umgebung haben die Ihre Vor- und Nachteile. Da es ein How-To ist, müssen nicht alle drei Mappings erklärt werden, aber wenigstens das verwendete kurz.

• Eine Gesamt-Darstellung der smb.conf wäre IMO auch noch hilfreich

LG, Newubunti

@Newubunti

Vielen Dank für deine Anmerkungen/Vorschläge. Ich werde ab nächster Woche mal schauen, ob und wie ich das noch unterbringen kann.

Gruß
Bournless

@Newubunti

Zu den Anmerkungen 1+2:

Mehr Schritt-für-Schritt bei der Netzwerkkonfiguration bedarf es meiner Meinung nach nicht. Ich habe in den Vorgaben → Netzwerkverbindungen sogar die manuelle IPv4-Methode genannt. Wie man die Vorgabe von DHCPv4 auf die manuelle IPv4 Methode umstellt, setzte ich als absolutes Minimum an Grundwissen voraus. Falls Du dafür allerdings eine kurze Formulierung hast, die dazu auch noch ohne Bebilderung auskommt, bitte immer her damit. 👍

Alternative: Das Howto bekommt doch den Hinweis „Artikel für fortgeschrittene Anwender“, wie bereits von @karzer vorgeschlagen wurde.

Ich werde in keinem Fall die vorgeschlagene Variante per DHCP (inkl. anschließender manueller Konfiguration) in diesem Howto benutzen, da es dabei IMHO zu mehr Flüchtigkeitsfehlern kommt und das Howto zusätzlich aufblähen würde!

Zur Anmerkung 3:

Auch wenn es eine unübliche Methode ist, ist sie narrensicher und nicht falsch. Ich vermute aber mal worauf Du hinaus möchtest: Wie korregiert man falsche Angaben in den Netzwerkeinstellungen.

Zur Anmerkung 4:

Da stimme ich Dir zu und habe deshalb eine entsprechende (rudimentäre) Anleitung eingebaut, in der das Protokoll Kerberos erwähnt wird.

Zur Anmerkung 5:

Dazu komme ich nun wirklich erst in den nächsten Tagen/in der nächsten Woche.

Zur Anmerkung 6:

IMHO nicht notwendig, da es schon selbsterklärend durch den entsprechenden Befehl im Abschnitt smb.conf anpassen ist.

Eigene Anmerkung:

Ich überlege grad, ob man den Namen der notwendigen Freigabe von homes in basis ändern sollte, damit es nicht zu Verwechselungen kommt.

Gruß
Bournless

Ich würde vorschlagen, dass Du den Abschnitt "Vorgaben" wie folgt einleitest - inhaltlich, Formulierung nur ein Vorschlag:

Dieses HowTo setzt voraus, dass der Fileserver unter Verwendung der folgenden Vorgaben neu installiert wird, weil es bei der Verwendung eines bereits bestehenden Servers zu abweichenden Ergebnissen kommen könnte: (gefolgt von den vorhandenen Vorgaben)

Bournless schrieb:

Alternative: Das Howto bekommt doch den Hinweis „Artikel für fortgeschrittene Anwender“, wie bereits von @karzer vorgeschlagen wurde.

Das halte ich für den Betrieb eines Fileservers innerhalb eines AD so und so für sinnvoll, weil man so eine Umgebung in der Regel nicht nur für sich alleine betreibt, sondern für weitere Personen. Und damit hat man eine Verantwortung für Daten Dritter. Und das ist IMO nichts für Server-Anfänger.

Zur Anmerkung 3: ... Ich vermute aber mal worauf Du hinaus möchtest: Wie korregiert man falsche Angaben in den Netzwerkeinstellungen.

Ne, ich wollte darauf hinaus, dass man trotz richtiger yaml-Datei am Ende eine unerwünschte tatsächliche Netzwerkkonfiguration haben kann, wenn man z.B. schon vorher irgendwie an den Netzwerkeinstellungen herum gedoktort haben sollte, weil man z.B. noch kein richtigen Plan von netplan hatte oder so. Deswegen aber auch der von mir vorgeschlagen Einleitungssatz unter Vorgaben.

Ich würde aber die tatsächliche Situation trotzdem mit ip a prüfen.

Zur Anmerkung 6:

IMHO nicht notwendig, da es schon selbsterklärend durch den entsprechenden Befehl im Abschnitt smb.conf anpassen ist.

Finde ich nicht. Zumal es auch nicht viel Platz einnehmen würde, die smb.conf vollständig einzustellen. Ich finde es schon hilfreich, wenn ich im Fehlerfall abgleichen kann, wie die vollständige smb.conf aussehen sollte. Hinzu kommt, dass sich samba von Version zu Version gerne mal etwas ändert, wenn auch beim Fileserver in der Regel weniger als beim AD-Server.

Nur weil der Artikel das Getestet-Tag für 22.04 trägt, schließt dass ja nicht aus, dass ein Leser die Anwendung auch unter 20.04 versucht oder künftig bei 24.04. Dort könnte dies smb.conf aber unter Umständen anders aussehen. Das fällt aber bei der jetzigen Darstellungsweise dann nicht direkt auf und muss dann erst mühsam "erforscht" werden.

Es kann auch sein, dass man wenn man es unter 22.04 nachvollzieht, beim Editieren eine Zeile aus Versehen ändert, die man gar nicht ändern sollte und es aber zunächst nicht bemerkt. Auch das fällt dann erst mal nicht auf.

Ich meide übrigens mittlerweile im Internet Anleitungen, die die Konfig am Ende - oder wann immer sinnvoll - nicht in Gänze darstellen, weil man da nämlich im Fehlerfall viel Zeit verplempern kann, wenn dem nicht so ist.

Ein HowTo sollte IMO weitestgehend Idioten-sicher sein - auch wenn es fortgeschrittene Idioten anspricht. 😉

LG, Newubunti

Ich habe das Howto wie folgt modifiziert:

• Hinweis „Artikel für fortgeschrittene Anwender“ erstellt.

• Einleitung im Abschnitt "Vorgaben" erstellt.

• Abschnitt "smb.conf anpassen" überschtlicher gestaltet.

• Abschnitt "Basisordner" geändert.

• Abschnitt "smb.conf optimieren" erstellt, inkl. der Ausgabe des Dateiinhalts.

• Abschnitt "Ordner" überarbeitet.

• Den Punkt Links erstellt.

eine kurze Erklärung zum verwendeten ID-Mapping (Stichworte: tdb, ad, rid) und was das für Folgen hat.

Falls jemand eine entsprechend KURZE Erklärung hat - bitte immer her damit. 😉

Gruß
Bournless

Hallo,

danke, für die Ergänzungen!

Bournless schrieb:

eine kurze Erklärung zum verwendeten ID-Mapping (Stichworte: tdb, ad, rid) und was das für Folgen hat.

Falls jemand eine entsprechend KURZE Erklärung hat - bitte immer her damit. 😉

Nun aus der smb.conf geht hervor, dass für HEIM rid verwendet wird. rid bedeutet, dass die RIDs verwendet werden, die automatisch beim Anlegen eines Benutzers oder einer Gruppe auf dem AD-Server generiert werden, Verwendung finden. Man muss dabei das ID-Mapping in der jeweiligen smb.conf auf allen Domänenmitgliedern gelich konfigurieren und hat dann auf allen Mitgliedern das gleiche Mapping.

tdb bedeutet, dass die IDs lokal in der Datenbank des betreffenden Servers verwaltet werden. Das verwendet man im Zusammenhang mit AD grundsätzlich AFAIK eher nicht. Ich gehe hier im Rahmen von ubuntuusers.de auch mal davon aus, dass wir hier über eine einzelne, einfache Domänen-Konfiguration reden. Alles andere würde IMO den Rahmen hier sprengen. Im übrigen könnte ich dazu auch praktisch keine Erfahrung beisteuern.

Mal eine Frage - weil ich derzeit leider selbst keine Zeit zum Testen habe:

Da ich mich mit der Verwendung von realm nicht auskenne, weil bisher immer vorgegangen wie im Samba-Wiki beschrieben:

Wird die smb.conf von realm auch so angelegt, wenn man die bei der Installation des Pakets samba angelegte smb.conf zuvor löscht? Bzw. welche Ergänzungen bzw. "Optimierungen" stammen denn da von Dir? Oder meinte hier "Optimierung" "nur" das entfernen von Balast (Kommentare etc.)? Das geht aus dem Abschnitt nicht eindeutig hervor.

Gibt es einen Grund, warum da z.B. die Kombination von server role = standalone server und security = ads gesetzt ist? Denn nach meinem Verständnis von server role würde ich die Kombination so nicht setzen. Ich setze beim Fileserver als Mitgliedsserver eigentlich nur security = ads und setze server role gar nicht explizit, was dann dem Standard server role = auto entspricht.

Damit wir uns nicht missverstehen: Mir geht es hier weniger um "richtig" oder "falsch", sondern mir geht es um das Verständnis, ob realm die smb.conf vollständig neu schreibt oder nur ergänzt - weil ja bei der Paket-Installation eine grundlegende smb.conf angelegt wird und die hat AFAIK eben server role = standalone server.

Sofern die dargestellte smb.conf Optimierungen von Dir enthalten sollte, dann wäre eine kurze Erklärung dazu sinnvoll. Sofern das der Stand nach dem Beitritt mittels realm sein sollte, dann würde mich mal interessieren, wie die smb.conf aussehen würde, wenn man die original smb.conf vor dem Ausführen von realm umbenennt.

Grundsätzlich sollte die smb.conf so kurz wie möglich gehalten werden, weil jeder smbd-Prozess auf Clients beim Starten die smb.conf vollständig neu vom Server zieht.

Statt sudo cat /etc/samba/smb.conf ist samba-tool testparm vorzuziehen, weil dann auch gleich eine Überprüfung stattfindet, ob smbd die Konfigurationsdatei erfolgreich wird einlesen können.

usershare allow guests = yes weicht vom samba-Standard usershare allow guests = no ab und darauf sollte man IMO für Copy-und-Paster schon mal hinweisen und ist IMO im AD eher erst mal unerwünscht. Kann man natürlich drüber streiten - aber sollte nicht einfach so kommentarlos dort stehen.

Ein Hinweis, dass man die gesamte [print$]-Sektion auch herausnehmen kann, falls man den Druckserver nicht nutzen will, würde ich auch noch ergänzen.

Dann würde ich nach dem DNS-Abschnitt, wo man die Zonen auf dem AD-Server anlegt explizit dazu schreiben, dass die Konfiguration nun wieder auf dem Fileserver fortgeführt wird. Ich kann mich gut daran erinnern, dass ich mich in meiner noch unerfahrenen Zeit bei solchen Anleitungen, wo ein "Rechnerwechsel" stattfindet, oft gefragt habe, ob und wo der nachfolgende Befehl nun auszuführen ist, wenn so ein Wechsel stattgefunden hatte. Klingt trivial, ist es für unerfahrene Anwender jedoch häufig nicht. Langt ja ein Halbsatz oder so etwas wie, "Weiter geht es auf dem Fileserver:".

LG, Newubunti