PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Kann nicht von Win 7 als "Nicht Admin" ohne Passworteingabe auf Samba Verz zugreifen



Newbie314
02.01.14, 19:13
Ich werde hier noch zum Rumpelstilzchen...

Ich habe mit Antix Linux einen Uralt-Laptop für meine Eltern als Ersatzrechner und Scanner-Treiberrechner eingerichtet.

Der Linux Laptop steht mit fester IP im LAN, Samba ist installiert der Datenaustausch zwischen dem neuen Windows laptop und der Linux Kiste soll über ein smb Netzverzeichnis mit dem Namen "scans" funktionieren.

Der Nicht-Admin User unter Windows 7 Home Premium soll ohne Eingabe von Nutzername und Passwort auf das Verzeichnis zugreifen können, er soll Schreib und Leserechte haben.


Wenn ich das Verzeichnis als Link im Dateiexplorer unter \\Ip_der_LinuxKiste\scans eingebe verlangt er Nutzer und Passwort, ignoriert aber den Haken "Anmeldedaten speichern" - beim nächsten Login müssen die Daten neu eingegeben werden.

Das Schräge daran: eigentlich habe ich keine Authentizierung im Server aktiviert.

Wenn ich unter dem Adminkonto auf die gleiche Weise vorgehe funktioniert alles wie es soll: ich setze den Link auf das Verzeichnis \\Ip_der_LinuxKiste\scans und speichere ihn als Verknüpfung auf dem Desktop, es wird nicht nach Anmeldedaten gefragt, und beim nächsten Neustart funktioniert es nach wie vor.

Desgleichen wenn ich in meiner eigenen Linuxkiste smb:\\Ip_der_LinuxKiste\scans als normaler Nutzer eingebe. (Auch hier werden keine Anmeldedaten verlangt)

Wenn ich auf der Win 7 Kiste das Laufwerk als Netzlaufwerk (mit Buchstaben) einbinde verlangt er auch immer Nutzer und Passwort. Aus verschiedenen Gründen will ich es eh nicht per Buchstaben einbinden.

Nutzer und Passwort unter dem der Win User einloggd entsprechen nicht denjenigen die in Samba freigegeben sind.

Die smb.conf sieht wie folgt aus (ich nehme an dass ich "Homes" und "printer" löschen kann sobald alles funktioniert, per Samba soll nur auf das "scans" Verzeichnis zugegriffen werden. )


[global]
server string = %h server
map to guest = Bad User
obey pam restrictions = Yes
pam password change = Yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
unix password sync = Yes
syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000
dns proxy = No
usershare allow guests = Yes
panic action = /usr/share/samba/panic-action %d
idmap config * : backend = tdb

[homes]
comment = Home Directories
valid users = %S
create mask = 0700
directory mask = 0700
browseable = No

[printers]
comment = All Printers
path = /var/spool/samba
create mask = 0700
printabl[global]
server string = %h server
map to guest = Bad User
obey pam restrictions = Yes
pam password change = Yes
passwd p[global]
server string = %h server
map to guest = Bad User
obey pam restrictions = Yes
pam password change = Yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
unix password sync = Yes
syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000
dns proxy = No
usershare allow guests = Yes
panic action = /usr/share/samba/panic-action %d
idmap config * : backend = tdb

[homes]
comment = Home Directories
valid users = %S
create mask = 0700
directory mask = 0700
browseable = No

[printers]
comment = All Printers
path = /var/spool/samba
create mask = 0700
printabl[global]
server srogram = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
unix password sync = Yes
syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000
dns proxy = No
usershare allow guests = Yes
panic action = /usr/share/samba/panic-action %d
idmap config * : backend = tdb

[homes]
comment = Home Directories
valid users = %S
create mask = 0700
directory mask = 0700
browseable = No
e = Yes
print ok = Yes
browseable = No

[print$]
comment = Printer Drivers
path = /var/lib/samba/printers

[scans]
comment = Gescante Dateien
path = /media/scans
read only = No
guest ok = Yes
locking = No


Im Web fand ich dieses Verhalten nirgends, dort hatten die Leute nur das Problem dass sie gar nicht auf den Sambaserver zugreifen konnten ohne in der Registry zu editieren. Das war hier bisher nicht nötig.

Hat jemand einen Tipp ?


Unter XP Home hatte ich mal ein ähnliches Problem- nach stundenlangem Googlen fand ich damals heraus dass man XP Home nicht so konfigurieren kann dass der Nicht-Admin User ohne erneute Passworteingabe auf ein webdav Verzeichnis zugreifen kann - haben die Redmonder diesen Mist etwa in Win 7 immer noch ?

pibi
02.01.14, 20:01
Der Nicht-Admin User unter Windows 7 Home Premium soll ohne Eingabe von Nutzername und Passwort auf das Verzeichnis zugreifen können, er soll Schreib und Leserechte haben.Das funktioniert auch mit Win7, sogar, wenn gegen ein AD angemeldet wird.

Ich vermute, dass der Linux-User und der Win-User nicht uebereinstimmen.

Gruss Pit.

PS: Du hast [homes] und [printers] mehrfach definiert. Evtl. ist das ja der Grund? Was sagt der Samba-Check fuer das Config-File dazu?

Newbie314
03.01.14, 14:18
Durch den Samba Check ging es problemlos durch. Stimmt, Win User und Linux User stimmen nicht überein- ist wenn man in Win als Admin angemeldet ist kein Problem, unter Linux auch nicht, aber als einfacher Win 7 User anscheinend schon. Irgendwie habe ich den Verdacht dass es unter Win Professional funktionieren würde...

pibi
03.01.14, 15:22
Stimmt, Win User und Linux User stimmen nicht übereinSorry, das hatte ich ueberlesen.

ist wenn man in Win als Admin angemeldet ist kein Problem, unter Linux auch nicht, aber als einfacher Win 7 User anscheinend schon.Wie verbindest Du die Samba-Drives am Client? Ich mache das immer per Script im Autostart. Etwa so:
net use X: \\samba.server.name\myshare mypassword /persistent:no /user:myusername

Irgendwie habe ich den Verdacht dass es unter Win Professional funktionieren würde...Das wiederum ist gut moeglich. Ich kenne jetzt die Faehigkeiten von "Win7 home premium" nicht auswendig. Aber da es ein reines Heimnetz ist: Was spricht denn dagegen,

alle Connects auf Samba als root auszufuehren -- oder --
WinXP zu installieren


Gruss Pit.

L00NIX
03.01.14, 17:35
Wie heißt denn überhaupt die Arbeitsgruppe?
Paramter workgroup ist zumindest in dem geposteten Config-Fragment nicht vorhanden und einen Defaultwert dafür gibt es nicht.

Warum ist der Parameter security auch nicht gesetzt?
Nie auf Defaults verlassen!

An sonsten die Config mal auf's Nötigste beschränken und dann nochmal posten.


Und warum das ganze IP-Rumgeeier?
Der Hostname kann im Falle von fehlendem DNS (und WINS) auch via NetBIOS-Broadcasts ermittelt werden. Das macht auch Windows 7 noch...

Newbie314
04.01.14, 12:04
Danke ! Werde die Tipps heute Abend oder morgen ausprobieren und melde mich dann wieder! (Habe leider trotz Ferien immer nur sporadisch und wenig Zeit für diese Admin Aufgaben..)

Huhn Hur Tu
04.01.14, 13:27
Was spricht gegen eine Authentifizierung, die sich bis zum Aendern der Daten gemerkt wird?

Newbie314
04.01.14, 14:57
Die Win 7 Kiste merkt sich die Authentizierung nicht wenn unter dem Nutzerkonto darauf zugegriffen wird. Genau da liegt das Problem. Vermutlich ein Bug- aber vielleicht schlägt der nicht mehr zu wenn ich die Config aufräume.... Meine Eltern sollen auf die Freigabe zugreifen können ohne Nutzer und Passwort einzugeben.

Newbie314
05.01.14, 11:45
.. normalerweise lese ich mich schon ein, leider ist hier bei meinen Eltern "die Hütte am brennen" so dass ich für ein Detail in der lokalen IT das meinen Eltern an einer Stelle die Büroarbeit erleichtern soll nicht viel Zeit hatte- bitte entschuldigt...

Mit dieser Konfiguration funktioniert es jetzt. Die Architektur ist folgende:

Eine Fritz Box als Router, dahinter eine Handvoll Geräte (meist nur ein Win 7 Home Premium laptop, ab und zu mal ein Handy im WLAN, selten die Antix Kiste als Scannertreiber und Reserveschreibmaschine im LAN).

Der erwünschte Effekt ist einfach die Freigabe des Ordners "scans" im Netzwerk, ohne jede Authentifizierung.

Die smb.conf sieht jetzt so aus:



[global]
server string = %h server
security = share
map to guest = Bad User
guest account = nobody
obey pam restrictions = Yes
pam password change = Yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
unix password sync = Yes
syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000
dns proxy = No
usershare allow guests = Yes
panic action = /usr/share/samba/panic-action %d
idmap config * : backend = tdb

[scans]
comment = Gescante Dateien
path = /media/scans
public = yes
read only = No
guest ok = Yes
locking = No



Damit kommt jetzt auch der Nicht-Admin User ohne Authentizierung auf das Laufwerk-- und ich sollte wohl eine Entschuldigungsmail nach Redmond schicken...

Mittelfristig werde ich mich "vernünftig" einlesen, hier wäre nur ein Hinweis nett falls ich irgendwo beim Abtippen des Patchworks aus Tutorials eine massive Sicherheitslücke eingebaut haben sollte....