Ist Samba 4 AD mit einer Azure/365-Infrastruktur realisierbar?

[Lecbee]

Hallo,

ich bin System- und Netzwerkadministrator in einem mittelständischen Unternehmen (ca. 300 Mitarbeiter weltweit). Unsere Infrastruktur ist aktuell stark Microsoft-orientiert, obwohl wir hier und da auch Linux im Einsatz haben. Unsere Active Directory-Infrastruktur ist etwas in die Jahre gekommen, und ein Upgrade steht demnächst an.

Seit Jahren träume ich insgeheim davon, alles auf Samba umzustellen. Doch Träumen allein reicht nicht; wir müssen der Realität ins Auge sehen. Wir sind aktuell stark von Azure abhängig (genauer gesagt von Office 365, Teams, Exchange Online usw.), sowohl aus historischen Gründen als auch, weil wir uns an die Bedürfnisse unserer Kunden anpassen müssen. Diese Tools aufzugeben, ist schlichtweg undenkbar.

Unser Active Directory ist derzeit mit Azure synchronisiert. Daher meine einfache Frage: Bevor ich mit dem Team über Samba 4 AD spreche: Ist eine Samba 4 AD-Infrastruktur mit Azure usw. kompatibel?
Falls es eindeutig nicht möglich ist, weiß ich zumindest, dass ich mich anderen Lösungen zuwenden kann. Oder ist es nur mit Workarounds möglich? Oder wird es eindeutig unterstützt und bieten Sie Support für diese Art von Architektur an?

Danke.

[dcardon]

Hallo lecbee,

Ich bin System- und Netzwerkadministrator in einem KMU (ca. 300 Mitarbeiter weltweit). Unsere Infrastruktur ist derzeit stark Microsoft-orientiert, obwohl wir hier und da auch Linux im Einsatz haben. Unsere Active Directory-Infrastruktur ist etwas in die Jahre gekommen und ein Upgrade steht an.

Seit Jahren träume ich insgeheim davon, alles auf Samba umzustellen. Doch Träumen allein reicht nicht; wir müssen der Realität ins Auge sehen. Die Realität ist, dass wir aktuell aufgrund historischer Gegebenheiten und der Notwendigkeit, uns an unsere Kunden anzupassen, stark von Azure abhängig sind (genauer gesagt von Office 365, Teams, Exchange Online usw.). Diese Tools aufzugeben, ist schlichtweg undenkbar.

Unser AD ist derzeit mit Azure synchronisiert. Daher meine einfache Frage: Bevor ich mit dem Rest meines Teams über Samba 4 AD spreche: Ist eine Samba 4 AD-Infrastruktur mit Azure usw. kompatibel? Falls
die Antwort eindeutig Nein lautet, weiß ich zumindest, dass ich mich anderen Dingen zuwenden kann. Oder ist es nur mit Umwegen möglich? Oder wird es im Gegenteil klar unterstützt und bieten Sie Support für diese Art von Architektur an?

Es ist möglich, die Azure AD Connect-Installation so anzupassen, dass sie direkt mit Azure AD synchronisiert wird. Da Samba jedoch derzeit keine gMSAs (gruppenverwaltete Dienstkonten) unterstützt, sind einige Workarounds erforderlich [1]. Ich bin kein Fan davon, aber für manche funktioniert es.

Eine weitere Möglichkeit besteht darin, ein Microsoft Active Directory (für Arbeitsstationen nicht sichtbar) ausschließlich für die Azure AD-Synchronisierung zu verwenden; das funktioniert zwar, aber ich bin kein großer Fan davon. Man muss die Standortdefinitionen und Firewall-Konfigurationen genau im Auge behalten.

Alternativ können Synchronisierungsskripte in Python implementiert werden (ein Beispiel zur Inspiration finden Sie auf GitHub unter Gapps [2]). Dies funktioniert gut, allerdings hat Microsoft die API zum Ändern von Passwörtern mithilfe des NT-Hashs nicht veröffentlicht. Tatsächlich lässt sich ein Passwort nur aktualisieren, indem es im Klartext gesendet wird (was nur möglich ist, wenn der Benutzer sein Passwort ändert, nicht aber im Nachhinein). Der von Azure verwendete Hash ist eine PBKDF2-Variante des NT-Hashs und kann daher reproduziert, aber nicht übertragen werden.

Eine Möglichkeit, das Passwort zu übertragen, besteht darin, den smb.conf-Parameter zu verwenden Skript zur Passwortprüfung.

Wenn Sie also von Samba-AD überzeugt sind, ist es möglich. Sollte nur der Lizenzkauf das Problem darstellen, ist das nicht unbedingt der ausschlaggebende Faktor. Samba-AD ist langfristig deutlich einfacher zu warten und abzusichern. Genau hier liegt der Kosten- und Produktivitätsvorteil.

Aufrichtig,

Denis

[1] https://wiki.samba.org/index.php/Azure_AD_Sync
[2] https://github.com/baboons/samba4-gaps

[Lecbee]

Guten Abend,

vielen Dank für Ihre Antwort. Sie hilft mir bereits, die Einschränkungen und Möglichkeiten besser zu verstehen.

Spontan erscheint mir die Lösung mit einem an Azure angebundenen Microsoft Active Directory am elegantesten. Allerdings kenne ich die genauen Grenzen dieser Lösung nicht. Sie erwähnten ja, dass Sie kein großer Fan davon sind.
Ich habe selbst noch etwas recherchiert, und Samba 4 scheint im Vergleich zu den neueren Active Directory-Versionen (2012/2016/2019) noch einige Funktionen zu vermissen. Könnte das in diesem Anwendungsfall ein Problem darstellen? Ich bin mir da nicht sicher.

Noch eine Frage: Bietet Tranquil-IT auch Unterstützung für die Dateifreigabe (SMB/CIFS) von Samba (bei Verwendung eines Samba-Dateiservers)?
Oder nur für die Active Directory-Funktionalität von Samba?

[dcardon]

Spontan fällt mir die Lösung mit einem Microsoft AD, das mit Azure verbunden ist, als die eleganteste ein. Ich kenne aber die Grenzen dieser Lösung nicht. Du sagst, du seist kein Fan davon.
Ich habe selbst noch etwas recherchiert, und Samba 4 fehlt anscheinend noch einiges an Funktionen im Vergleich zu den neueren AD-Versionen (2012/2016/2019). Könnte das in diesem Anwendungsfall ein Problem darstellen? Ich weiß es nicht.

Sofern Sie kein stark auf Microsoft-Produkte ausgerichtetes Unternehmen sind (SharePoint, lokaler Exchange-Server usw.), fehlen Ihnen in der Regel keine wirklichen Funktionen. Aus Sicherheitssicht ist ein Samba-AD deutlich einfacher zu schützen als ein Microsoft-AD und auch die Datensicherung, -wiederherstellung und -wartung sind einfacher. Wir haben Kunden mit Zehntausenden von Benutzern in ihrem Samba-AD, und ein Kunde verfügt sogar über mehr als 100.000 Benutzer und 100.000 Rechner. Samba-AD ist also auch für große Systeme geeignet.

Grundsätzlich gilt: Wenn Sie mit der Kommandozeile und Linux vertraut sind, ist Samba-AD wahrscheinlich die beste Wahl, und es ist einfach, eine ANSSI ORADAD 3-Bewertung zu erreichen.

Wenn Sie gerne klicken, die PowerShell-Syntax Sie nicht zur Verzweiflung bringt und Sie gerne tagelang im ANSSI-Sicherheitsleitfaden blättern, dann ist Microsoft-AD die richtige Lösung.

Aus Sicherheitssicht war das einzig wirklich Wichtige, was im Vergleich zu FL2k12 fehlte, der Schutz von Benutzern, und dieser ist bereits im Git-Master-Samba enthalten und soll im nächsten September veröffentlicht werden (finanziert durch die DGFiP, es sind Ihre Steuern, die hier ihren Dienst tun! Kikeriki!).

Zu einem etwas anderen Thema: Bietet Tranquil-IT auch Unterstützung für die Dateifreigabe (SMB/CIFS) von Samba (bei Verwendung eines Samba-Dateiservers)?
Oder nur Unterstützung für Active Directory (AD) von Samba?

Wir führen Active Directory-Migrationen durch und bieten Support nach der Migration, inklusive der Dateiserverkomponente. Einzelaufträge können wir jedoch leider nicht bearbeiten.

Denis

[Lecbee]

Entschuldigung für die lange Verzögerung bei der Antwort

In meinem Fall liegt das Problem darin, dass wir Systeme mit Microsoft-Anbindung haben (Exchange Online und Azure AD, vielleicht irgendwann auch SharePoint) Und vor allem bin ich der Einzige, der sich wirklich mit Linux auskennt. Das gilt natürlich nicht unbedingt für meine Kollegen...

Aus Sicherheitssicht ist ein Samba-AD wesentlich einfacher zu sichern als ein Microsoft-AD und auch einfacher zu sichern, wiederherzustellen und zu warten

Davon bin ich überzeugt

Auf jeden Fall vielen Dank für die Antworten, sie geben mir zumindest eine gute Richtung vor!

[Sfonteneau]

Zur Information: Samba 4.18 bietet verbesserte Unterstützung für den Azure AD Connect Windows-Client.

Ich habe außerdem einen Azure AD Connect-Client für Samba 4 in reinem Python entwickelt, falls Sie Interesse haben:

https://github.com/sfonteneau/AzureADConnect_Samba4