Next Previous Contents

4. Das Design eines SMB/CIFS-Netzwerks

Die großen Themen, wenn Sie ein Netzwerk mit Datei- und Druckservern planen, sind unter anderem:

Wenn Sie NetWare, Windows NT oder irgend einen anderen LAN-Dateiserver kaufen, wird von Ihnen erwartet, daß Sie die Antworten dieses Servers auf die obigen Fragen akzeptieren. Dies ist ziemlich restriktiv und oft sehr teuer für Unternehmen, die nur eine Art von Dateiserver einsetzen. Unterschiedliche Typen von Servern einzusetzen macht es häufig unmöglich, daß jeder im Netz mit jedem kommunizieren kann.

Die Philosophie von Samba ist anders. Samba will dem Administrator so viele Wahlmöglichkeiten wie möglich geben. So werden viele Kombinationen von Clients, Servern und Protokollen möglich.

4.1 Arbeitsgruppen, Domänen, Authentifizierung und der Computersuchdienst

Aus Sicht der Netzwerkimplementation sind Domänen und Arbeitsgruppen absolut identisch. Nur die Login-Sequenz der Clients ist unterschiedlich. Gegenüber der Arbeitsgruppe besitzt die Domäne eine verteilte Benutzerdatenbank. Dies ermöglicht so viel Flexibilität, daß viele glauben, eine Domäne sei etwas völlig anderes als eine Arbeitsgruppe. Aus der Sicht von Samba wird vom Client eine Authentifikationsinformation, etwa ein Paßwort, präsentiert. Samba prüft diese Information, und wenn sie korrekt ist, wird der Client akzeptiert. Wie diese Information zustande gekommen ist, ist für Samba völlig ohne Belang.

Der SMB Client, der sich bei einer Domäne anmeldet, erwartet, daß jeder andere Server in dieser Domäne die selbe Authentifizierungsinformation akzeptiert. Der Computersuchdienst ist jedoch bei Domänen und Arbeitsgruppen identisch und in ftp://samba.anu.edu.au/pub/samba/docs/BROWSING.txt erklärt.

Es gibt einige Unterschiede in der Implementation. Windows 95 kann sowohl Mitglied einer Arbeitsgruppe, als auch einer Domäne sein. Windows NT kann dies nicht. Windows 95 hat ebenso das Konzept einer 'Alternativen Arbeitsgruppe'. Samba kann sich nur in einer Domäne oder Arbeitsgruppe aufhalten. Dies wird sich jedoch in Zukunft ändern, wenn der nmbd in zwei Dämonen aufgespalten wird, einer für WINS und einer für den Computersuchdienst.

Begriffsdefinitionen

Arbeitsgruppe

Eine Arbeitsgruppe ist eine Ansammlung von Maschinen, die einen gemeinsamen Computersuchdienst unterhalten, der Informationen über angebotene Resourcen aufsammelt. Sie teilen nicht notwendig irgend welche Sicherheitsinformationen. Wenn sie es tun, wird die Arbeitsgruppe Domäne genannt. Die Resourcendatenbank ist dynamisch. Sie wird angepaßt, sobald Server sich am Netz an- oder abmelden, oder Datei- und Druckerresourcen verändert werden. Der Begriff 'browsing' bezieht sich auf einen Benutzer, der auf diese Datenbank zugreift, beispielsweise über die OS/2 Workplace Shell oder den Windows 95 Explorer. SMB Server einigen sich darüber, wer von ihnen die aktuelle Datenbank vorhält. Arbeitsgruppen können beliebig in einem TCP/IP-Netzwerk verteilt sein, sogar über das Internet. Dies ist jedoch wirklich ein schwierig zu implementierender Teil von SMB.

Master Browser

Ein Master Browser ist eine Maschine, die die Resourcendatenbank für eine Arbeitsgruppe oder Domäne vorhält. Es gibt zwei Arten von Master Browsern:

Subnetze werden unterschieden, da der Computersuchdienst auf Broadcasts basiert, und diese werden von Routern nicht durchgelassen. Subnetze sind nicht geroutet: Obwohl es möglich ist, mehrere Subnetze auf einem Netzwerksegment zu haben, macht dies große Probleme und ist nicht empfehlenswert.

Master Browser (Domain und Local) werden dynamisch gewählt. Der Algorithmus soll die Fähigkeiten der Maschinen berücksichtigen, mit der Last fertigzuwerden. Samba kann so konfiguiert werden daß es immer der Master Browser ist, daß es also unter allen Umständen ie Wahlen gewinnt, sogar gegen Windows NT Primary Domain Controller, die erwarten, selbst zu gewinnen.

Es gibt daneben noch Backup Browser, die die Master Browser entlasten und zu Master Browsern ernannt werden, sobald ein Master Browser vom Netz verschwindet.

Es gibt alternative Begriffe wie 'Browse Master', die nur Verwirrung stiften. Sie sollten daher so bald wie möglich aus der Samba-Dokumentation verschwinden.

Domain Controller

ist ein Begriff, der von Microsoft und IBM im Rahmen ihrer Implementationen des LAN Manager Protokolls geprägt wurde. Der Domain Controller ist fest mit der Authentifizierung verbunden. Es gibt viele Arten der Authentifizierung, jedoch hat die Methode von Windows NT einen zu groß einen riesigen Marktanteil. Die allgemeinen Themen hierzu werden in ftp://samba.anu.edu.au/pub/samba/docs/DOMAIN.txt und in einer Windows-NT spezifischen Diskussion in ftp://samba.anu.edu.au/pub/samba/docs/DOMAIN_CONTROL.txt diskutiert.

Share Level Security

Wird Samba auf 'security = share' gesetzt, dann ist alle Information über Paßwörter an eine Resource gebunden. Es gibt nur vage Informationen darüber, welcher Benutzer eine Resource benutzen möchte. Dies ist im allgemeinen keine gute Idee. Sie spiegelt die ersten Implementationen des SMB Protokolls in den 80er Jahren wieder, und wurde mit Windows for Workgroups 1992 wiederbelebt. Die Idee hinter der Share Level Security ist, daß eine Gruppe von Benutzern ad hoc, ohne große Anstrengungen, Informationen austauschen können. Es reicht, eine kleine Dialogbox auszufüllen.

Authentication Domain Mode

Wird Samba auf 'security = user' oder 'security = server' gesetzt, wird immer ein Paar von Benutzer und Paßwort geprüft, bevor der Zugang zu einer Resource gewährt wird. Für den Client sieht das so aus wie eine Microsoft Domäne. Den Client interessiert es nicht, ob Samba nun eine NT SAM befragt, oder das Paßwort anders prüft.

4.2 Authentifizierungsschemata

Im einfachsten Fall von Authentifizierung wird die gesamte Information auf einem Server gespeichert, und der Benutzer gibt sein Paßwort ein, wenn er sich das erste Mal beim Netzwerk anmeldet. Oft verlangen es Betriebssysteme, daß man sich anmeldet, bevor man arbeiten kann. Darüber hinaus wollen Benutzer Resourcen von vielen Server nutzen. Es ist den Benutzern nicht zumutbar, sich viele Paßwörter für die verschiedenen Server zu merken. So ist eine verteilte Benutzerdatenbank notwendig. Änderungen von Paßwörtern müssen genau so berücksichtigt werden wie der Zugriff von Benutzergruppen auf bestimmte Resourcen. Daher wird mit Samba häfig direkt ein Domänenmodell implementiert.

Authentifizierungsentscheidungen gehören zum schwierigsten, was bei der Planung eines Netzwerkes anfällt. Soll man ein Schema wälen, daß das Client-System vorgibt, oder soll man sich an die natürliche Methode des Servers halten? Eine Liste von möglichen Optionen ist unten zusammengestellt. Wenn sie Erfahrungen mit anderen Methoden haben, teilen Sie sie uns bitte mit.

NIS

Für Windows 95, Windows for Workgroups und die meisten anderen Clients kann Samba einen Domänencontroller darstellen, und die Paßwortdatenbank mit NIS transparent austauschen. Bei Windows NT ist dies anders, jedoch gibt es einen freien NIS NT client.

Kerberos

Kerberos für die USA: Kerberos Überblick Download Kerberos

Hier soll mehr folgen...


Next Previous Contents