In diesem Artikel starten wir ganz praktisch mit dem Fundament der AAA-Umgebung: einem Samba-basierten Active Directory auf Debian Linux. Ziel ist es, eine zentrale Instanz zu schaffen, die Benutzer und Gruppen verwaltet, LDAP bereitstellt und mit Kerberos für sichere Authentifizierung sorgt.

Voraussetzungen

• Debian 12 (Bookworm) frisch installiert
• Root- oder sudo-Zugriff
• Statische IP-Adresse für den Server
• Hostname korrekt gesetzt, z. B. ad01.example.lan

Vorbereitung

apt update && apt install -y samba krb5-config winbind smbclient

Falls das System beim Paket krb5-config nachfragt, gib den korrekten Kerberos Realm ein, z. B. EXAMPLE.LAN (in Großbuchstaben).

DNS konfigurieren

Ein funktionierender DNS ist essenziell. Entweder:

• Nutze systemd-resolved mit einer lokalen Zone
• Oder installiere einen eigenen DNS-Server (z. B. Bind9), falls gewünscht

Für einfache Setups kann Samba selbst den DNS übernehmen.

Samba als AD-DC provisionieren

samba-tool domain provision \
  --use-rfc2307 \
  --interactive

Wichtige Eingaben dabei:

• Realm: EXAMPLE.LAN
• Domain: EXAMPLE
• Server Role: dc
• DNS Backend: SAMBA_INTERNAL
• Administrator Password: [frei wählbar]

Dienste aktivieren

systemctl stop smbd nmbd winbind
systemctl unmask samba-ad-dc
systemctl enable --now samba-ad-dc

DNS testen

host -t SRV _ldap._tcp.example.lan
host -t SRV _kerberos._udp.example.lan
host -t A ad01.example.lan

Kerberos testen

kinit administrator
klist

Benutzerverwaltung mit samba-tool

Benutzer anlegen

samba-tool user add alice

Passwort ändern

samba-tool user setpassword alice

Benutzer löschen

samba-tool user delete alice

Nächste Schritte

Im nächsten Artikel zeige ich dir, wie du den LDAP Account Manager (LAM) im Docker-Container installierst und mit dem Samba-AD verbindest. So kannst du Benutzer komfortabel per Weboberfläche verwalten – ideal für Alltag und Admins.

Bleib dran!