Als openSUSE Leap 15.0 erschien war das für uns ein wichtiges Ereignis, da diese openSUSE Version endlich eigene Samba-Pakete mit ActiveDirectory-Unterstützung mit bringt und wir somit keine eigenen Samba-Pakete mehr bauen mussten.
Dem vorausgegangen ist ein langer Prozess an dessen Anfang die Weigerung vieler Linux-Distributionen stand, Samba 4.x mit AD-Unterstützung in Ihre Distributionen zu integrieren. Grund dafür war, dass die Samba-Entwickler bei der Kerberos-Implementation in Samba auf Heimdal-, statt auf MIT-Kerberos setzten. Heimdal ist schon seit vielen Jahren aus den allermeisten Linux-Distributionen verschwunden, Grund unbekannt.
Ich habe hier schon einiges darüber geschrieben und möchte das nicht alles wiederholen. Während einige Linux-Distributionen wie Ubuntu „Heimdal“ in Samba irgendwann akzeptierten, blieben RedHat und SUSE stur. Dies führte schlussendlich dazu, dass unter Federführung von RedHat und einigen Samba-Entwicklern, Samba inzwischen auch mit MIT-Kerberos als ActiveDirectory DomainController agieren kann. Genau auf dieser Basis funktionieren die openSUSE Samba Pakete.
Wir haben unser Setup mit Erscheinen von invis-Server 14.0 daran angepasst und in unseren Tests lief auch alles wie gewohnt. …bis dann die erste Produktiv-Installation folgte.
Wir haben in einem Bio-Supermarkt einen alten invis-Classic Server abgelöst und durch einen neuen invis 14.0 ersetzt. Im Laufe der Migration musste ich auf einem der Kassen-Computer des Supermarktes eine einfache Verzeichnisfreigabe einrichten. Um es kurz zu machen: Es funktionierte nicht. In der langen Version wurde aus einer Aufgabe die normalerweise ein paar Sekunden dauert ein mehrstündiger Debugging-Marathon, der mich an meinen Fähigkeiten als Administrator hat zweifeln lassen.
In einem wohlgeordneten Netz mit funktionierender Namensauflösung werden PCs mit Freigaben selbstverständlich über Ihren Namen angesprochen und genau das ging nicht. Mit der IP-Adresse, wie ich nach einigen zusätzlichen grauen Haaren bemerkte, funktionierte es wohl. Ein bisschen Recherche förderte zu Tage, dass das wohl ein Kerberos Problem sei.
In den folgenden Tagen sind wir dann im Samba-Wiki darüber gestolpert, dass es sich bei der MIT-Kerberos Implementation um ein „experimentelles“ Feature handelt, welches sicherheitstechnisch bedenklich ist, nicht mit Patches versorgt wird und mit dem die Samba-Entwickler überdies nicht besonders glücklich sind!
Diese Information existierte zu Zeiten unseres Umstiegs darauf definitiv noch nicht….
Vielen Dank auch!
Diese Situation ist für uns als Server-Projekt schlicht unhaltbar, daher werden wir wieder damit beginnen eigene Samba-Pakete mit Heimdal Kerberos zu bauen, zu pflegen und das invis-Server-Setup darauf umstellen.
Wir beginnen damit auf der vor der Tür stehenden openSUSE Conference in Nürnberg (24. bis 26.5.2019) auf der wir wieder unser jährliches Entwicklertreffen abhalten.
So, Sachen Packen und ab nach Nürnberg.
Stefan
P.S.: Danke auch an Kopano, unseren Conference-T-Shirt Sponsor!