PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba Benutzerverwaltung



KUmba
20.06.03, 22:39
Hallo leutz,

habe hier schon mal gepostet wegen ein Problem mit meinen Samba Server.

Leider bekomme ich es nicht hin von Windows auf den Linuxrechner zu zugreifen.

Wenn ich auf den Linux Rechner klicke geht ein Fenster auf mit der Aufforderung Benutzernamen und Kennwort ein zugeben. Nach der Eingabe bekomme ich das Fenster erneut eingeblendet.

Wahrscheinlich liegt es an der Benutzerverwaltung. Ich habe bereits alle Linux Benutzer zu Samba Benutzern konvertiert.
Das bedeutet im Moment gibt es einen Benutzer Administrator mit den gleichen Kennwort sowohl unter Linux selbst, in Samba als auch unter Windows XP prof.


Hier noch mal meine smb.conf!

[global]
guest account = nobody
keep alive = 30
netbios name = linux
kernel oplocks = false
socket options = TCP_NODELAY
workgroup = LAN
os level = 2
encrypt passwords = yes
security = user
bind interfaces only = yes
wins support = true

[Public]
comment = /tausch
browseable = yes
path = /tausch
writeable = yes
public = yes
guest only = no
directory mask = 777
create mask = 666

[Cdrom]
comment = /media/cdrom
browseable = yes
path = /media/cdrom
writeable = no
public = yes
guest only = no
locking = No

[Brenner]
comment = /media/cdrecorder
browseable = yes
path = /media/cdrecorder
writeable = no
public = yes
guest only = no
locking = No


Wäre über jeden Tip dankbar!

cu
KUmba

Thomas Mitzkat
21.06.03, 02:19
log dich doch mal auf dem win-client als normaler windows=samba=linux-user mit dem passenden samba-passwort ein.

steve-bracket
21.06.03, 07:37
Das bedeutet im Moment gibt es einen Benutzer Administrator mit den gleichen Kennwort sowohl unter Linux selbst, in Samba als auch unter Windows XP prof.


Warum unter Windows XP.
Der Samba User existiert schon automatisch beim anlegen des Linux User.
Nur das smbpasswd muss noch extra vergeben werden.
Wenn Samba zusätzich als PDC verwendet wird noch der Domäne beitretet und das wars.

Probier es mal als normaler User (nicht Admin, root oder dergleichen)

fG
STeve

Thomas Mitzkat
21.06.03, 10:26
Der Samba User existiert schon automatisch beim anlegen des Linux User.

seit wann denn das? nach wie vor müssen samba-user aus den linux-usern abgeleitet werden und denen ein samba-passwort verpasst werden. aber wie schon gesagt, sollte man sich von windows her als normaler samba-user anmelden.

steve-bracket
21.06.03, 11:04
seit wann denn das? nach wie vor müssen samba-user aus den linux-usern abgeleitet werden und denen ein samba-passwort verpasst werden. aber wie schon gesagt, sollte man sich von windows her als normaler samba-user anmelden.


Du beantwortest die Frage ja schon selbst.
Genau weil die Samba User aus LinuxUsern abgeleitet werden.
Zwecks der Verschlüsselung benötigst du halt eine eigene Passwortdatei.
Sag mir doch mal wie ein Samba User angelegt wird.
(nicht die Passwortvergabe mit smbpasswd, anlegen)

fG
Steve

Thomas Mitzkat
21.06.03, 11:11
installier dir mal samba neu und schau mal in /etc/samba/smbpasswd rein. was steht da drin?

NIX.

solange da kein username und passwort steht, gibt es keinen samba-user.

steve-bracket
21.06.03, 11:15
Richtig, da wird aber nur das Passwort für den von Linux abgeleitetet User bekanntgegeben.

Linux-user anlegen.
1. useradd
2. passwd

Samba-user anlegen
1. KEIN Useradd da der User schon existiert
2. smbpasswd um dem User ein Passwort zu geben.

Und ohne Linuxuser kannst auch kein smbpasswd vergeben da ja die User schon existieren müssen um dieses durchzuführen.

fG
Steve

KUmba
21.06.03, 11:26
Morsche,

also ich habe eben noch mal rumprobiert.

In der /etc/samba/smbpasswd Datei sind alle User und Passwörter eingetragen!


Habe ich das jetzt richtig verstanden, das unter Samba keine User eingetragen sein sollen die es auch als Linux user gibt?

Ist das nicht schwachsinning?

Es muss doch möglich sein das es einen Administrator sowohl unter Linux als auch unter WIN gibt! Wenn ich Administrator bin möchte ich doch jeder Zeit uach auf alle Rechner im Netz zugreifen können.


Also was muss ich jetzt anstellen damit ich weiter komme? Soll ich Samba noch mal deinstallieren? Und alles neu machen?


cu
Martin

steve-bracket
21.06.03, 11:33
Habe ich das jetzt richtig verstanden, das unter Samba keine User eingetragen sein sollen die es auch als Linux user gibt?


Falsch verstanden




Ist das nicht schwachsinning?


Was meinst du ?!?!



Es muss doch möglich sein das es einen Administrator sowohl unter Linux als auch unter WIN gibt! Wenn ich Administrator bin möchte ich doch jeder Zeit uach auf alle Rechner im Netz zugreifen können.


Lokaler Admin oder Domänen Admin,?!?!?! Was meinst du ?!?!?
Was willst du schon großartig als Admin machen.
Gehörst du etwa auch zu den Personen die immer als Admin angemeldet sind ?!?!
Ist ein großer Fehler.

Gruß

mamue
21.06.03, 12:33
@KUmba:
Samba user sollten keine shell haben, sagt man. Finde ich auch sinnvoll.

mamue

E S
21.06.03, 12:39
Hi,

Da Samba keine möglichkeiten hat, dan die Linuxpasswörter zu kommen (ist auch gut so) muss man die per Hand vergeben.

smbpasswd -a -m <Benutzername>

Dann Passwort eintragen. Die Passwörter sollten sich aus Sicherheitsgründen von den original-Linuxpasswörtern unterscheiden. Warum sollte Linux so einen Aufwand mit Passwörtern machen, wenn der Samba unter Umständen Petzt?

Probier mal folgendes:

[global]
guest account = nobody
keep alive = 30
netbios name = linux
#kernel oplocks = false #wech damit, wenn Du magst
#socket options = TCP_NODELAY #dito
workgroup = LAN
os level = 2
encrypt passwords = yes
security = user # share probeweise Eintragen, erleichtert Win das "sehen"
bind interfaces only = yes # Eventuell fehlt hierzu die Angabe welches Interface
wins support = true

[Public]
comment = /tausch
browseable = yes
path = /tausch
writeable = yes
public = yes
guest only = no
directory mask = 777
create mask = 666

[Cdrom]
comment = /media/cdrom
browseable = yes
path = /media/cdrom
writeable = no
public = yes
guest only = no
locking = No

[Brenner]
comment = /media/cdrecorder
browseable = yes
path = /media/cdrecorder
writeable = no
public = yes
guest only = no
locking = No


Hier mal meine Eigene (gekürzte Version, muss ja nicht alles Zeigen, was in meinem Netz vorgeht). So geht es:

[global]
workgroup = Netzwerk
netbios name = Marvin
interfaces = 192.168.xxx.xxx #IP selber eintragen
wins support = yes
encrypt passwords = yes
character set = ISO8859-15 #äöüß unter Linux sichtar ist schön
client code page = 850 #auch der Rest der Sonderzeichen :)
guest account = nobody
keep alive = 30
browsable = yes
[homes]
comment = Eigenes Verzeichnis
valid users = %S #Na, wer darf denn?...
browseable = no #... sonnst versteck ich mich
writeable = yes
create mask = 0750
directory mask = 0750
path = /home/%u #individuelle Homeverzeichnisse anbieten...
guest ok = no #...aber nicht jedem

[Pool] #Spielwiese für alle, die Physikalisch
#am Internen Ring hängen
comment = 40GB pool
path = /pool
writable = yes
browsable = yes #Jeder darf's sehen
guest ok = yes
create mask = 0777 #Jeder darf an dem vom anderem...
directory mask = 0777 #...rumfummeln


Gruß
Elmar

steve-bracket
21.06.03, 12:48
Dann Passwort eintragen. Die Passwörter sollten sich aus Sicherheitsgründen von den original-Linuxpasswörtern unterscheiden.


Nur beim root Account ganz ganz wichtig.
Ansonsten gleiche Passwörter um beim Logonprozess (PDC) nur ein Passwort eingeben zu müssen.

fG
Steve

E S
21.06.03, 12:54
Hi,

Root auf jeden Fall. Bei den reinen Win-Usern kann es nicht schaden, denen kann's egal sein.

Für Root sollte das funktionieren:

[root]
comment = Administrator
valid users = root
browseable = no
writeable = yes
create mask = 0750
directory mask = 0750
path = /
guest ok = no

habe es noch nicht getestet, da ich bisher noch kein verlangen auf Sicherheitslücke habe. Dann lieber Treppensteigen bzw. Mein RS232-terminal (aber das ist ein anderer beitrag...)

gruß
Elmar

Thomas Mitzkat
21.06.03, 16:01
Und ohne Linuxuser kannst auch kein smbpasswd vergeben da ja die User schon existieren müssen um dieses durchzuführen.


ok, das wird jetzt haarspalterei, und wir reden von der selben sache.

steve-bracket
21.06.03, 16:12
ok, das wird jetzt haarspalterei, und wir reden von der selben sache.


Glaub ich auch.
Ich sehe die Benutzerverwaltung in zwei Prozessen (useradd, passwd) und du vermutlich in einem Prozess.
Und da hat dann tatsächlich jeder Recht.

fG
Steve

E S
21.06.03, 16:31
Hi,

irgendwie ist es auch möglich, bestimmten Maschinen, unabhängig vom Usernamen Zugang zu gewären. Natürlich teilen die sich dann den Nobody...
So wurde es in der Firma gehandhabt, um Maschinenspezifische Verzeichnisse freizugeben (Scannerarbeitsplatz, ...)

Gruß
Elmar