Hallo zusammen!

Hab mal wieder n kleines Problem, bzw. ne Interessensfrage.
Wir haben hier im Betrieb mehrere SLES 9 Samba Server stehn und die Frage ist, kann man sein Samba PW von Windows aus ändern? Wir benutzen Samba nicht als PDC sondern machen nur Mappings.

Von Linux aus könnte man ja mitm SMB-Client auf den Server verbinden und das Kennwort ändern oder? Geht sowas nicht auch von der Windows Seite aus?

Wär cool wenn geht, weil wenn ständig jemand kommt und sein PW vergessen hat oder geändert haben möchte, wärs so halt einfacher :)

Schonmal danke
MfG Dominik

Du könntest dich eventuell mit TELNET auf dem Linuxserver einwählen und dann
als root mit smbpasswd das Passwort ändern.
Bei Windows2000 kann man mit Strg+Alt+Entf auch das Passwort ändern (in dem dann folgendem Dialog).
Sonst wüsste ich im Moment nichts weiter...

Gruß,
Christian

mit strg+alt+entfernen kann man ja das user pw im windows ändern, bzw auch das auf dem samba server wenn er denn als pdc fungiert...

und ich weiß nicht ob wir den ganzen mitarbeitern das ändern per telnet zutrauen sollen, hab ich mich vllt ein bisschen unklar ausgedrückt

Nunja, das ändern der Passwörter auf dem Samba-Server ist ja die
Aufgabe des Administrator's und nicht die der User.
Normal darf es nicht sein, dass jeder User sein Sambapasswort einfach
so ändern kann.
Jedenfalls werden Passwörter bei uns nur durch die Administratoren geändert,
seien es gesperrte oder neue.
Der vielleicht beste Weg ist aber mit einer SSH-Verbindung zum Server.
SSH ist auch für Windows verfügbar, muss aber durch den Admin erst einmal
eingerichtet werden (Public und Private Keys usw.).
Ich hoffe dennoch, dass du eine für dich passable Lösung findest.

Gruß,
Christian

der samba server authentifiziert aber selbst, oder?

greez

Wir benutzen Samba nicht als PDC sondern machen nur Mappings.
Habt ihr ne Active Directory laufen? Wenn ja, lasst doch die Sambas als Domain-Member laufen und lasst die Authentifizierung den PDC erledigen (und profitiert evtl. auch vom Single Sign On)

active directory leider noch nicht, befindet sich momentan in planung... dann müssen wir wohl noch solange warten, dann wirds wohl so gelassen weil für jeden user ssh einrichten dauert länger als nur das pw zu ändern


der samba server authentifiziert aber selbst, oder?

greez

also security is = user, client fast alle windows 2000, teils xp. die authentifizieren sich dann am samba

schade schade
aber trotzdem danke

Mahlzeit...

Samba bietet möglicherweise SWAT an (auf Port 901 mit http), da können normale Benutzer ihr Passwort ändern, müsstest Du aber ausprobieren - bei mir funktioniert es, wenn man sich als Benutzer an SWAT anmeldet.

Unter Umständen muss man SWAT aktivieren, indem in /etc/services das Kommentarzeichen vor "swat" entfernt und zusätzlich swat bei Verwendung von inetd in /etc/inetd.conf (Kommentarzeichen entfernen) oder bei Verwendung von xinetd in /etc/xinetd.d/swat (disable=no) aktiviert wird. Ich glaube, SLES9 nutzt xinetd.

Ich weiß nicht, ob das für Euch praktikabel ist, das wäre jedenfalls eine weitere Idee.

Ich habe es aber auch schon erlebt, dass W2k das Passwort auf allen Servern, von denen Shares verbunden waren, geändert hat, wenn man sein Domänenkennwort geändert hat. Allerdings war das mit Netware-Client, vielleicht ist das da anders...

Grüzi!
Marc

Ich benutze dafür lange erfolgreich den webmin

der ist auf der linux maschine ruckzuck installiert

lässt sich mit jedem browser über windows an port 10000 aufrufen

Gruss Che.g

Also Webmin ist für mich erste Wahl, zumal man das Teil so konfigurieren kann, das ein Benutzer nur das sieht was er sehen darf.

Die Frage, die sich mir hier aber stellt ist folgende: Wo meldet sich der User an? Am ADS eines W2K oder W2003 Servers? Wenn ja - der reicht ja die Userdaten an den Samba durch, sodaß man zwar den Samba-benutzer anlegen muss, aber es ist nicht notwendig hier auch noch ein Passwort zu vergeben. Wenn auf Linux-Ebene der User angelegt wird und eine Weisung gegeben wird, dass der Benutzer auch in anderen Modulen angelegt werden soll (z.B. SAMBA), dann geht das in jedem Fall ohne Passwort. Wichtig ist nur, dass der User keine Shellberechtigung bekommt. Also als shell /bin/false eintragen.

security = domain geht doch auch. Hab das mal getestet. Denn holt sich der samba die user vom pdc

security = domain geht doch auch. Hab das mal getestet. Denn holt sich der samba die user vom pdc
ja das geht schon, aber wir betreiben ja keinen pdc, das ist die sache

ich habe bei sourceforge jetzt aber n tool gefunden changepassword.sourceforge.net das ändert smb, squid und user password. die einzelnen optionen kann man deaktivieren, wie in unserem fall z.b. squid da wir das nicht benutzen.

per swat würde zwar auch klappen, aber irgendwie isses ja nicht dafür gemacht, sondern eher smb.conf anpassen oder vertu ich mich jetzt?

@kukibori

wir verwenden ja leider noch keinen ads, der befindet sich ja in der planungsphase... nur da wir momentan halt jede menge samba server basteln wollten wir noch ne vorrübergehende lösung weil das mit dem adc nochn bissl dauern kann

Unabhängig vom Einsatz eines PDC, reicht eine Windowsmaschine die Authentifizierungsdaten per SMB weiter. Man muss dem Samba nur beibringen, dass er verschlüsselte Passwörter frisst. Steht in der Global-Section und heißt irgendwie Password Encryption=yes oder so ähnlich - lieber noch mal nachsehen.

Problem ist aber unabhängig von der jeweiligen Konfiguration, das der SAMBA eigene Benutzerkennungen braucht. Ein automatische Änderung geht nur bei einer gemeinsamen Kontenverwaltung zum Besipiel über LDAP oder eben über eine Windows-Verwaltung. Das heisst aber, dass dem Samba bzw. der Linuxkiste Kerberos beigebracht werden muss.

Ein automatische Änderung geht nur bei einer gemeinsamen Kontenverwaltung zum Besipiel über LDAP oder eben über eine Windows-Verwaltung. Das heisst aber, dass dem Samba bzw. der Linuxkiste Kerberos beigebracht werden muss.
Sollte kein größeres Problem darstellen, ich habe die Integration eines Samba-Servers in eine bestehende (riesige) W2K3 AD als Abschlussprojekt in der Ausbildung gemacht, hat - zumindest mit Debian - problemlos funktioniert :)

Sollte kein größeres Problem darstellen, ich habe die Integration eines Samba-Servers in eine bestehende (riesige) W2K3 AD als Abschlussprojekt in der Ausbildung gemacht, hat - zumindest mit Debian - problemlos funktioniert :)


Hallo! Das ist ja super! Gibt es da soetwas wie eine Doku ode HowTo?? Würde mich nämlich auch brennend interessieren. Das Einzige was ich sonst noch kenne ist die Nutzung von winbind. Ist beschrieben unter http://samba.sernet.de/skript.pdf.

Hast Du das auch so realisiert????

Das Skript kenne ich bereits, es ist aber schon ziemlich alt und basiert glaube ich noch auf Samba Version 2, welche meines Wissens nach keine Unterstützung für Active Directory anbietet. In dem Beispiel wird noch "security = domain" verwendet, für eine Mitgliedschaft in einer ADS müsstest du "security = ads" verwenden. Wie gesagt, das Beispiel in dem Skript (zumindest die smb.conf) würde so nur für eine NT-Domäne funktionieren.

Die Konfiguration der nsswitch.conf könnte man aber so übernehmen. In der Datei wird festgelegt, wie die Anmeldeinformationen, die von einem Client an die Linux-Maschine gesendet werden, behandelt werden. Z.B. bedeutet "passwd: files winbind", dass die Benutzername-/Passwort-Kombination zunächst in der lokalen Passwortdatei der Linux-Maschine gesucht wird. Falls dort kein passender Eintrag gefunden wird, werden die Infos an den winbind weitergeleitet, welcher diese wiederum eben an den PDC weiterleitet.

Bleibt letztendlich nur die Konfiguration von Kerberos, die aber auch kein größeres Problem ist. Vorausgesetzt, die entsprechenden Pakete sind vorhanden. Bei Debian konnte man die leicht mit apt installieren. Im Prinzip muss nur die /etc/krb5.conf so erweitert werden, dass der Kerberos-Realm deiner AD auch zur Authentifizierung verwendet werden kann - fertig ;)

Ein spezielles HOWTO habe ich eigentlich nicht zur Hand, ich habe das offizielle Samba3-HOWTO verwendet:
http://us3.samba.org/samba/docs/Samba3-HOWTO.pdf.

Irgendwo kann man sich davon auch eine deutsche Übersetzung runterladen, ich weiß aber leider nicht mehr genau wo :(

Falls du noch Fragen zu dem Thema hast oder vl. Hilfe benötigst, einfach vielleicht mal ne Mail oder ne PN schreiben. Oder einfach weiter im Forum posten ;)

Gruß
Frank

winbindd spielt bei der nutzerverwaltung auf einem member server eine zentrale rolle. die authentifizierung (bzw. path-trough) übernimmt noch immer der samba-server. ADS setzt hierbei kerberos voraus

greez

winbindd spielt bei der nutzerverwaltung auf einem member server eine zentrale rolle. die authentifizierung (bzw. path-trough) übernimmt noch immer der samba-server. ADS setzt hierbei kerberos voraus

Schöner (und kürzer) hätte ich es auch nicht sagen können ;)

Die Konfiguration der nsswitch.conf könnte man aber so übernehmen. In der Datei wird festgelegt, wie die Anmeldeinformationen, die von einem Client an die Linux-Maschine gesendet werden, behandelt werden. Z.B. bedeutet "passwd: files winbind", dass die Benutzername-/Passwort-Kombination zunächst in der lokalen Passwortdatei der Linux-Maschine gesucht wird. Falls dort kein passender Eintrag gefunden wird, werden die Infos an den winbind weitergeleitet, welcher diese wiederum eben an den PDC weiterleitet.

das stimmt so nicht ganz. NSS (passwd/groups) wird nur verwendet, um namen in UIDs umzuwandeln, v.v. shadow wird von samba (noch) nicht unterstützt. die authentifizierung übernimmt noch immer der smbd (bzw. winbindd, wenn bspw. ntlm_auth verwendet wird, PAM, ...)

"passwd: files winbind" bedeutet also: "schaue in der lokalen DB nach einem nutzer (name, UID, shell, ...) , existiert dieser nicht, befrage winbindd

greez