2
Samba Zugriff gestatten, nur wenn der User an der Domäne aktiv angemeldet ist
Hallo miteinander,
vielleicht kann mir jemand weiterhelfen bei dem Szenario.
Es gibt einen PDC namens "sambaserver" und der Domäne "testdomain" (SLES), auf dem Samba 3.4.13 werkelt. Dieser Hauptserver stellt auch DNS, DHCP und SLAPD (LAPD-Verzeichnisdienst) zur Verfügung, worüber sich die Domänenuser auch anmelden. Samba ist so konfiguriert, dass die Authentifizierung über LDAP abgewickelt wird.
/etc/samba/smb.conf (gekürzt):
[global]
workgroup = TESTDOMAIN
server string = Mainserver
interfaces = 172.16.0.1/16, 127.0.0.1
update encrypted = Yes
map to guest = GuestUser
passdb backend = ldapsam:ldap:172.16.0.1
log level = 1
syslog = 0
log file = /var/log/samba/log.%m
max log size = 500
name resolve order = hosts wins lmhosts bcast
time server = Yes
socket options = IPTOS_LOWDELAY TCP_NODELAY
cups server = 127.0.0.1
logon script = %U.bat
logon path = \\sambaserver\profiles\%U logon drive = U:
domain logons = Yes
os level = 254
preferred master = Yes
domain master = Yes
wins support = Yes
ldap admin dn = cn=root,dc=meinbuero,dc=de
ldap group suffix = ou=groups
ldap idmap suffix = ou=idmap
ldap machine suffix = ou=computers
ldap passwd sync = yes
ldap suffix = dc=meinbuero,dc=de
ldap ssl = no
ldap user suffix = ou=users
admin users = admin, "@Domain Admins"
cups options = raw
veto files = /*.eml/*.nws/riched20.dll/*.{*}/
Wenn nun ein Win7-Client, der NICHT an der Domäne angemeldet ist (sondern nur mit dem lokalen Administrator-Account als Beispiel), und er gibt in den Windows-Explorer \\sambaserver ein, dann popt bei Windows ein Fenster auf. Dort muss dann der User sein Name+Passwort eingeben. Gibt man nun in Benutzernamen "\\testdomain\maxmustermann" und das dazugehörige Passwort ein, kriegt man alle SMB-Freigaben zu sehen und kann darauf zugreifen (sofern man das natürlich darf unter diesem Account). Das funktioniert problemlos.
es gibt nun aber noch einen anderen Samba-Rechner (läuft auch unter SLES). Dort läuft jedoch laut "rpm -qa" Samba 3.0.13. Die Config sieht hier so aus (gekürzt)
[global]
7 workgroup = TESTDOMAIN
8 server string = %h
9 interfaces = eth0, 127.0.0.1
10 bind interfaces only = Yes
11 security = DOMAIN
12 passdb backend = ldapsam:ldap:sambaserver.meinbuero.de
13 syslog = 0
14 log file = /var/log/samba/log.%m
15 max log size = 1024
16 large readwrite = No
17 socket options = IPTOS_LOWDELAY TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
18 load printers = No
19 printcap name = cups
20 cups server = sambaserver.meinbuero.de
29 wins server = 172.16.0.1
30 ldap admin dn = cn=root,dc=meinbuero,dc=de
31 ldap delete dn = Yes
32 ldap group suffix = ou=groups
33 ldap idmap suffix = ou=idmap
34 ldap machine suffix = ou=computers
35 ldap passwd sync = Yes
36 ldap suffix = dc=meinbuero,dc=de
37 ldap user suffix = ou=users
38 admin users = admin, "@Domain Admins"
Die Clients können aber auf all die Freigaben dieses samba2 nicht zugreifen, wenn sie nicht explizit an der Domäne TESTDOMAIN angemeldet sind. Wenn man als lokaler Admininistrator an der Win7-Maschine angemeldet ist, und \\sambaserver eingibt, kriegt man die Fehlermeldung dass kein Zugriff auf den Server möglich ist. Melde ich mich vorher über dem Windows-Logon an der Domäne an, kann ich auf die Freigaben problemlos zugreifen.
Ich würde gerne wissen, WO und WIE GENAU in der Samba-Konfiguration dieses Verhalten gesteuert wird. Freue mich über Hilfestellungen und sage danke im voraus.
vielleicht kann mir jemand weiterhelfen bei dem Szenario.
Es gibt einen PDC namens "sambaserver" und der Domäne "testdomain" (SLES), auf dem Samba 3.4.13 werkelt. Dieser Hauptserver stellt auch DNS, DHCP und SLAPD (LAPD-Verzeichnisdienst) zur Verfügung, worüber sich die Domänenuser auch anmelden. Samba ist so konfiguriert, dass die Authentifizierung über LDAP abgewickelt wird.
/etc/samba/smb.conf (gekürzt):
[global]
workgroup = TESTDOMAIN
server string = Mainserver
interfaces = 172.16.0.1/16, 127.0.0.1
update encrypted = Yes
map to guest = GuestUser
passdb backend = ldapsam:ldap:172.16.0.1
log level = 1
syslog = 0
log file = /var/log/samba/log.%m
max log size = 500
name resolve order = hosts wins lmhosts bcast
time server = Yes
socket options = IPTOS_LOWDELAY TCP_NODELAY
cups server = 127.0.0.1
logon script = %U.bat
logon path = \\sambaserver\profiles\%U logon drive = U:
domain logons = Yes
os level = 254
preferred master = Yes
domain master = Yes
wins support = Yes
ldap admin dn = cn=root,dc=meinbuero,dc=de
ldap group suffix = ou=groups
ldap idmap suffix = ou=idmap
ldap machine suffix = ou=computers
ldap passwd sync = yes
ldap suffix = dc=meinbuero,dc=de
ldap ssl = no
ldap user suffix = ou=users
admin users = admin, "@Domain Admins"
cups options = raw
veto files = /*.eml/*.nws/riched20.dll/*.{*}/
Wenn nun ein Win7-Client, der NICHT an der Domäne angemeldet ist (sondern nur mit dem lokalen Administrator-Account als Beispiel), und er gibt in den Windows-Explorer \\sambaserver ein, dann popt bei Windows ein Fenster auf. Dort muss dann der User sein Name+Passwort eingeben. Gibt man nun in Benutzernamen "\\testdomain\maxmustermann" und das dazugehörige Passwort ein, kriegt man alle SMB-Freigaben zu sehen und kann darauf zugreifen (sofern man das natürlich darf unter diesem Account). Das funktioniert problemlos.
es gibt nun aber noch einen anderen Samba-Rechner (läuft auch unter SLES). Dort läuft jedoch laut "rpm -qa" Samba 3.0.13. Die Config sieht hier so aus (gekürzt)
[global]
7 workgroup = TESTDOMAIN
8 server string = %h
9 interfaces = eth0, 127.0.0.1
10 bind interfaces only = Yes
11 security = DOMAIN
12 passdb backend = ldapsam:ldap:sambaserver.meinbuero.de
13 syslog = 0
14 log file = /var/log/samba/log.%m
15 max log size = 1024
16 large readwrite = No
17 socket options = IPTOS_LOWDELAY TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
18 load printers = No
19 printcap name = cups
20 cups server = sambaserver.meinbuero.de
29 wins server = 172.16.0.1
30 ldap admin dn = cn=root,dc=meinbuero,dc=de
31 ldap delete dn = Yes
32 ldap group suffix = ou=groups
33 ldap idmap suffix = ou=idmap
34 ldap machine suffix = ou=computers
35 ldap passwd sync = Yes
36 ldap suffix = dc=meinbuero,dc=de
37 ldap user suffix = ou=users
38 admin users = admin, "@Domain Admins"
Die Clients können aber auf all die Freigaben dieses samba2 nicht zugreifen, wenn sie nicht explizit an der Domäne TESTDOMAIN angemeldet sind. Wenn man als lokaler Admininistrator an der Win7-Maschine angemeldet ist, und \\sambaserver eingibt, kriegt man die Fehlermeldung dass kein Zugriff auf den Server möglich ist. Melde ich mich vorher über dem Windows-Logon an der Domäne an, kann ich auf die Freigaben problemlos zugreifen.
Ich würde gerne wissen, WO und WIE GENAU in der Samba-Konfiguration dieses Verhalten gesteuert wird. Freue mich über Hilfestellungen und sage danke im voraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 183657
Url: https://administrator.de/contentid/183657
Printed on: April 25, 2024 at 04:04 o'clock
2 Comments
Latest comment
Beim optischen Mustervergleich Deiner Angaben fällt auf:
security=DOMAIN steht nur bei der 2. Conf.
Wie sieht denn die security-Einstellung beim ersten aus?
security=DOMAIN steht nur bei der 2. Conf.
Wie sieht denn die security-Einstellung beim ersten aus?
beim erstere steht nix von "security=..." in der smb.conf. Demnach verwendet samba standardmässig ab Version 2.0 "security = user", korrigiert mich bitte falls ich falsche Infos in Erinnerung habe.
Wie müsste ich denn dem zweiten Samba-Server die Authentifizierung beibringen? Kann er auch gleich an LDAP weitergeben, oder sollte er an den PDC weiterleiten? Muss da evtl. noch zwingend der Eintrag "encrypted passwords = yes" bei beiden gesetzt werden?
Ich bin mir jetzt unsicher, ob
ich den PDC so belassen soll wie er momentan ist, und beim zweiten Samba aus security=domain ebenfalls security=user mache, und beim zweiten Samba dann die Zeile "passdb backend = ldapsam:ldap:sambaserver.meinbuero.de" wieder auskommentiere. Das ergibt aber auch keinen Sinn, denn dann gibt der zweite Server nix weiter.
Mich verwirrt der Eintrag security=domain und gleichzeitig die Zeile "passdb backend = ldapsam:ldap:sambaserver.meinbuero.de". Wie muss das richtig lauten?? Wo sind die Samba-Profis?
Eventuell auf dem zweiten Server eingeben:
[global]
security = domain
password server = sambaserver
workgroup = TESTDOMAIN
printing = bsd
guest account = nobody
encrypted passwords = Yes
Hoffe ihr könnt helfen. DANKE
Wie müsste ich denn dem zweiten Samba-Server die Authentifizierung beibringen? Kann er auch gleich an LDAP weitergeben, oder sollte er an den PDC weiterleiten? Muss da evtl. noch zwingend der Eintrag "encrypted passwords = yes" bei beiden gesetzt werden?
Ich bin mir jetzt unsicher, ob
ich den PDC so belassen soll wie er momentan ist, und beim zweiten Samba aus security=domain ebenfalls security=user mache, und beim zweiten Samba dann die Zeile "passdb backend = ldapsam:ldap:sambaserver.meinbuero.de" wieder auskommentiere. Das ergibt aber auch keinen Sinn, denn dann gibt der zweite Server nix weiter.
Mich verwirrt der Eintrag security=domain und gleichzeitig die Zeile "passdb backend = ldapsam:ldap:sambaserver.meinbuero.de". Wie muss das richtig lauten?? Wo sind die Samba-Profis?
Eventuell auf dem zweiten Server eingeben:
[global]
security = domain
password server = sambaserver
workgroup = TESTDOMAIN
printing = bsd
guest account = nobody
encrypted passwords = Yes
Hoffe ihr könnt helfen. DANKE
