PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Sambafreigabe nur für LAN



fleischfreeser
03.01.06, 16:14
Hi,
ich musste gerade mit erschrecken feststellen, das man auf meine Sambafreigabe vom Internet aus zugreifen kann *schock*.
Ich habe aus Bequemlichkeit das root Verzeichnis freigeben mit root Rechte, damit ich von jedem Rechner im LAN den Rechner konfigurieren kann. Ich wusste nicht, das man von außerhalb auch drauf zugreifen kann:eek:
Wie kann ich es machen das nur PCs mit der IP von 192.168.1.x auf diese Freigabe zugreifen können?

Oder eine andere Frage: Kann man Samba so konfigurieren, dass immer ein Fenster mit Benutzername und Passwort erscheint wenn man auf die Freigabe zugreifen möchte? - egal von welchem Rechner.

Gruß
Fleischfreeser

michaxyz
03.01.06, 17:20
Hallo,

ja, das war unheimlich unklug von Dir.
Natürlich kann man samba so konfigurieren, dass man sich vordem Verbinden authentifizieren muss. Lies doch dazu mal man smb.conf!
Außerdem wirst Du entsprechende Sambabenutzer anlegen müssen.

Wenn es darum geht, den Linuxrechner von anderen Stationen aus zu administrieren, geht das unter Linux mit ssh und Windows mit PuTTY.

Mfg Michael

fleischfreeser
03.01.06, 17:27
Hi,
das das auch mit ssh funktioniert ist mir bewusst, das war eigentlich auch so gedacht, das ich extern nur mit ssh meinen Rechner konfigurieren kann. Aber um mal schnell Dateien zu kopieren oder Configs zu ändern geht das halt über die Freigabe einfacher und schneller. Ich werd mir dann wohl doch mal Tutorials zu Samba durchlesen müssen, auch wenn das alles recht kompliziert ist^^

Gruß
Fleischfreeser

michaxyz
03.01.06, 17:48
Hallo nochmal,


Hi,
Aber um mal schnell Dateien zu kopieren oder Configs zu ändern geht das halt über die Freigabe einfacher und schneller.[...]


Ja, schneller geht es mit samba bestimmt, einfacher vielleicht aber vor allem sehr viel unsicherer, wie Du ja nun feststellen konntest.
Übrigens, mit ssh gibt es für graphische Oberflächen, sogar für Kommandozeilentools wie MC, die Möglichkeit, sich per fish und ähnlichem auf einen Rechner einzuloggen. Stell Dir den Midnightcommander vor, der ja anders als der heißgeliebte Datei-Explorer zwei voneinander unabhängige Sichten hat: auf der einen Seite das Zeilverzeichnis, auf der anderen das Quellverzeichnis. Besser gehts doch nicht, oder?
Wenn man aber aufs Klickbunti angewiesen ist...

Ok, mal zurück zum Ausgangsproblem: Du solltest in Deiner smb.conf einen Eintrag der Art "security =..." finden. Dort sollte (für mein Dafürhalten) "user" stehen. Dieser Eintrag sollte in der [global] stehen, in den anderen Sektionen keine solche Direktive. Wenn Du das hast, samba zum Neustart überredet hast (oder wenigstens die Konfiguration neu eingelesen hast), solltest Du auf Deine Freigaben nur noch per Authentifikation zugreifen können.

Mfg Michael

fleischfreeser
03.01.06, 18:42
Hallo,
meine Config schaut folgendermaßen aus:



[global]
netbiosname = Anmeldung
workgroup = Arbeitsgruppe
log level = 2
log file = /usr/local/samba/var/samba.log
lock directory = /usr/local/samba/var/locks/samba
encrypt passwords = yes
security = user
share modes = yes

[homes]
comment = Home-Verzeichnis
browseable = no
read only = no
create mode = 0750
hide unreadable = yes


Es kommt zwar ein Anmeldefenster, aber wenn ich dort den Sambabentuzer und Passwort eingebe klappt es nicht. Es erscheint einfach das Fenster nochmal. Wenn ich mir die log Datei anschaue, dann sehe ich, dass er versucht sich mit dem Windowsbenutzer anzumelden. Das soll aber nicht sein. Ich möchte mich unabhänig vom Windowsbenutzer anmelden können.
Auszug aus der log:


check_ntlm_password: Authentication for user [WINOWSUSER] -> [WINOWSUSER] FAILED with error NT_STATUS_WRONG_PASSWORD


Ich habe zum testen den aktuellen Windowsuser auch unter Linux und Samba angelegt, dann funktioniert es. So solle es aber nicht sein.

Gruß
Fleischfreeser

michaxyz
03.01.06, 19:59
Hallo,

ich weiß zwar nicht, warum ein Windowsbenutzer, der auf eine Sambafreigabe eines Linuxsystems zugreifen soll, dort nicht auch verzeichnet sein sollte, aber egal...
Letztlich willst Du zugreifen können und das geht ja jetzt.
Wenn Du was anderes haben willst, solltest Du das mitteilen.
Trotzdem gilt: Wenn man auf eine samba-Freigabe eines Linuxsystems zugreifen will, muss man dort auch einen Account haben (sowohl einen samba- als auch einen Linuxaccount). Jedenfalls ist das die einfachste Möglichkeit, Zugriffe zu beschränken bzw. zu gewähren.
Vielleicht erzählst Du mal, was Du gerne hättest?!

Wenn es nur darum geht, dass Du möglichst wenig Eingabe bei der Authentifikation möchtest, kannst Du eine Liste anlegen, die angibt, welcher Windowsbenutzernamen welchem Linuxbenutzernamen entspricht. Wolltest Du auf sowas hinaus?

Mfg Michael

emba
03.01.06, 20:25
nur noch ein comment dazu (eher fuer die allgemeinheit, als fuer dich, da du dich scheinbar damit auskennst)


Ja, schneller geht es mit samba bestimmt, einfacher vielleicht
schneller: nein (weder mit config noch bzgl. speed), ssh ist wesentlich komfortabler (in beiden hinsichten)

einfacher: nein, s.o. und mittels applikationen ala konqueror oder winscp (windows) mindestens genauso komfortable als ueber die windowsseite (smb)

greez

RichieX
05.01.06, 16:32
Wenn du es dennoch nicht lassen kannst:


hosts allow (S)
A synonym for this parameter is allow hosts.

This parameter is a comma, space, or tab delimited set of hosts which are permitted to access a service.

If specified in the [global] section then it will apply to all services, regardless of whether the individual ser?
vice has a different setting.

You can specify the hosts by name or IP number. For example, you could restrict access to only the hosts on a Class
C subnet with something like allow hosts = 150.203.5. . The full syntax of the list is described in the man page
hosts_access(5). Note that this man page may not be present on your system, so a brief description will be given
here also.

Note that the localhost address 127.0.0.1 will always be allowed access unless specifically denied by a hosts deny
option.

You can also specify hosts by network/netmask pairs and by netgroup names if your system supports netgroups. The
EXCEPT keyword can also be used to limit a wildcard list. The following examples may provide some help:

Example 1: allow all IPs in 150.203.*.*; except one

hosts allow = 150.203. EXCEPT 150.203.6.66

Example 2: allow hosts that match the given network/netmask

hosts allow = 150.203.15.0/255.255.255.0

Example 3: allow a couple of hosts

hosts allow = lapland, arvidsjaur

Example 4: allow only hosts in NIS netgroup "foonet", but deny access from one particular host

hosts allow = @foonet

hosts deny = pirate



Note

Note that access still requires suitable user-level passwords.

See testparm(1) for a way of testing your host access to see if it does what you expect.

Default: hosts allow = # none (i.e., all hosts permitted access)

Example: hosts allow = 150.203.5. myhost.mynet.edu.au

reiGn
10.01.06, 09:07
Hi,

ziemlich einfach und schnell (werde jetzt von einigen wahrscheinliche böse Blicke ernten weil ich das Programm vorschlage, aber egal) geht es mit dem Programm "Swat". Also für eine sehr schnelle und recht einfache Konfiguration (so wie ich das sehe, hast du die) ist das Programm gut zu gebrauchen. Mit Swat bekommste eine Weboberfläche und kannst somit per Klickibunti deine Freigaben einstellen. So wie ich das sehe genau das richtige für dich. Da ich hier leider die URL zu "Swat" gerade nicht aus dem Kopf weiss....google doch einfach mal danach. Und liess dir auf jeden Fall die Readme durch, denn du musst noch ein paar Dateien editieren bevor "Swat" dann wirklich laufen will. Aber alles in allem ganz einfach...vorallendingen auf Debian!


MFG

reiGn

Mr_Maniac
10.01.06, 13:02
In der global-section:
interfaces = eth0
hosts allow = 192.168.0.0/24 127.0.0.1
bind interfaces only = yes

Somit ist samba dann NUR an eth0 gebunden und es können alle Rechner aus dem Adressbereich 192.168.0.x darauf zugreifen... Ach ja... Und localhost natürlich auch ;)

Alfthe1st
14.01.06, 00:53
Hallo!

Okay nicht steinigen. Aber welche Möglichkeiten gebe es denn noch auf Shares auf einen selbstgehosteten Server zu zugreifen als SAMBA?
Ich habe hier einen Linux-Server stehen mit zwei Netzwerkkarten eth0 und eth1. Die eth0 hängt am DSL und die eth1 führt ins interne Netzwerk. Nun möchte ich meine Dateien oder die von Freunden oder Bekannten vom Internet aus zugänglich machen. Aber nur für den jeweiligen Nutzer.

Wäre interessant da ich mich gerade mit solchen Dingen befasse. Es gibt da nämlich einen Portalserver der das kann. IServ basiert zur Zeit auf RedHat-Linux. Soll aber auf Debian umgestellt werden.

Greetz,

Alex

RichieX
14.01.06, 09:07
(s)ftp

0123456789

michaxyz
14.01.06, 10:23
Hallo Alex(ander Fromm?),

bei IServ ist das eine reine php-Geschichte, verbunden eben mit Linux.
Du authentifizierst Dich per php, das Script liest dann entsprechende Verzeichnisse aus. Keine Zauberei. Auch die Umstellung von RH auf Debian hat damit nix zu tun, der Code kann weiter verwendet werden.
Samba zu nehmen, ist für das Internet keine kluge Idee.
ftp kommt der Sache nahe, ist aber nicht so, wie Du das von IServ gewohnt bist. Bei uns an der Schule haben Schüler ebenfals ein cms entwickelt (rudimentär), das ganz auf php basiert. Also ohne samba, ftp, o.ä.

Mfg Michael (Lange)

Alfthe1st
08.03.06, 22:28
.... gedacht. Das es mit Samba schlecht steht.

Genau der Alex ist es. :rolleyes:

Ich interessiere mich eine eigene Lösung für mich auf die Beine zu stellen, da mir IServ als Privatperson zu Teuer ist. Die Stadt gibt keine Kohle aus. :o
Also muss man eine Alternative haben. Das wäre also eine eigene Lösung mit Zugriff von Aussen.

Greetz,

Alex