PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba Zugriffsberechtigung Windows-Gruppen und Profilfrage



ragna
11.10.10, 17:35
Hallo Freunde der Nacht!

Ich habe folgende zwei Problem.

Ich hab einen Samba-Server in eine Windows 2003 Domäne aufgenommen und authentisiere die Benutzer mittels Winbind/Kerberos gegen den Windows-DC.

Das klappt auch soweit ganz gut.

D.h. ich kann auf den Samba-Server mit Windows-Domänen Benutzername und Passwort zugreifen.

Was allerdings so garnicht funktionieren will, ist die Berechtigung der Zugriffe auf dem Samba-Server nach Windows-Benutzer-Gruppen (OU).
So das nur Benutzer in der OU Verkauf lesend bzw. schreibend auf eine Freigabe zugreifen können.

Wie bei Dateien2 über die write list option:

write list = 'DOMAIN.LOCAL\Verkauf'

Die zweite Frage wäre: Kann man samba dazu bringen die profile der windows clients aufzunehmen, auch wenn er nicht als domain controller fungiert?

Bin für alle hilfreichen Anworten dankbar!!

so long...

Hier mal alle relevanten Configs:

common_auth:

auth sufficient pam_winbind.so krb5_auth
auth required pam_unix.so nullok_secure use_first_pass


nsswitch.conf


passwd: files winbind
group: files winbind
shadow: files


smb.conf


[global]

## Browsing/Identification ###

workgroup = DOMAIN
realm = DOMAIN.LOCAL
password server = 192.168.27.253
netbios name = file-srv
map to guest = bad user
# festlegen des Accounts fuer Gastzugang
guest account = nobody
wins support = no
wins server = 192.168.27.253
security = ads
encrypt passwords = true
obey pam restrictions = yes
winbind refresh tickets = yes
winbind use default domain = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind enum groups = yes
winbind enum users = yes

[homes]
comment = Home Directories
browseable = no
read only = yes
create mask = 0775
directory mask = 0775
valid users = %S

[profiles]
comment = Users profiles
path = /home/samba/profiles
guest ok = no
browseable = yes
create mask = 0775
directory mask = 0775

[Dateien]

path= /home/dateien
public = no
browseable = yes
read only = no
writeable = yes
create mask = 0777
directory mask = 0777
admin users = test.user

[Dateien2]
path= /home/dateien2
browseable = yes
read only = no
writeable = yes
write list = 'DOMAIN.LOCAL\Verkauf'

ragna
12.10.10, 10:39
habe jetzt mitbekommen, das die selbst erstellen OUs ausm AD garnicht als gruppen von winbind übernommen werden. (wbinfo -g)
Gibt es eine Möglichkeit, das zu korrieregen? oder kann man nur die nativen windows gruppen benutzen?

ausserdem wird mein domänen-admin im smbstatus nur als domänen-benutzer angezeigt.
was kann das für gründe haben?



Samba version 3.2.5
PID Username Group Machine
-------------------------------------------------------------------
2332 administrator domänen-benutzer __ffff_192.168.8.7 (::ffff:192.168.8.7)
2346 test.user domänen-benutzer testuserpc (::ffff:192.168.27.134)

Service pid machine Connected at
-------------------------------------------------------
IPC$ 2332 __ffff_192.168.8.7 Tue Oct 12 10:24:28 2010
Dateien 2346 testuserpc Tue Oct 12 10:32:39 2010

Locked files:
Pid Uid DenyMode Access R/W Oplock SharePath Name Time
--------------------------------------------------------------------------------------------------
2346 10027 DENY_NONE 0x100001 RDONLY NONE /home/dateien . Tue Oct 12

10:32:39 2010

L00NIX
13.10.10, 12:13
Zur zweiten Frage:


Die zweite Frage wäre: Kann man samba dazu bringen die profile der windows clients aufzunehmen, auch wenn er nicht als domain controller fungiert?


Du willst die Servergespeicherten Profile auf dem Samba-Server ablegen, wenn ich das richtig verstehe. Da hierfür nur ein normaler Windows-Dateiserver notwendig ist, der lediglich eine Freigabe für die Profile bereitstellt, ist die Antwort ja, das geht.

Aber... Das Dateisystem sollte unbedingt ext3 (oder ext4) sein und mit der Option user_xattr gemountet sein, sonst poppen immer die Notepads mit der desktop.ini beim Anmelden auf.

Außerdem ist für die Freigabe der Profile die Option "profile acls = yes" zu setzen, siehe dazu die Manpage.

Allerdings stellt sich mir die Frage "warum will man das?".

Gruß
L00NIX

ragna
14.10.10, 08:25
gibt es auch eine möglichkeit, das die Profilverzeichnisse beim ersten login automatisch erstellt werden?

Und das Problem, das ich immernoch nicht lösen konnte.
Ich möchte den Zugriff auf bestimmte freigaben mittels "valid users"
und den schreibzugriff mittels "write list" einschränken.

write list = "DOMAIN.LOCAL\Gruppe"

Dazu würde ich gern die OUs aus dem Active Direcortry benutzen.
Diese werden allerdings nicht bei wbinfo -g angezeigt.
Jetzt hab ich eine globale und eine lokale gruppe im AD angelegt und auch diese funktionieren nicht obwohl sie bei wbinfo -g angezeigt werden.

wenn ich einzelne benutzer in die write list eintrage so funktionierts.

write list = "DOMAIN.LOCAL\test.user"

irgendwelche vorschläge, wie ich das mit den Gruppen zum laufen bekomme?

pibi
14.10.10, 11:47
irgendwelche vorschläge, wie ich das mit den Gruppen zum laufen bekomme?Mach Dich mal ueber die Prefixes schlau, die Gruppen kennzeichnen (zB. Ampersand, Pluszeichen oder Affenschwanz). Hier gebe ich die Gruppen zB. mit
@DOMAIN\groupnamean.

Gruss Pit.

ragna
14.10.10, 19:12
das probier ich gerne aus (mit @ hab ichs schon getestet, da ich es an mehreren stellen im netz schon so gesehen hatte)

allerdings werden die Gruppen wie gesagt nicht mit wbinfo -g angezeigt ...
owbohl ich
winbind nested groups = yes
und
winbind expand groups = yes
eingestellt habe...
Ich denke das, dies die nötigen Parameter sind.

Wenn ich write list = "DOMAIN\username" benutze, funktionierts einwandfrei ...

pibi
15.10.10, 11:12
Zeigen
getent passwd
getent groupalle lokalen und AD-User und Gruppen an? Ist die letzte Zeile in /etc/group das "+:::" ?

Gruss Pit.