Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Samba Zugriff gestatten, nur wenn der User an der Domäne aktiv angemeldet ist

Frage Linux Samba

Mitglied: panguu

panguu (Level 2) - Jetzt verbinden

17.04.2012 um 15:46 Uhr, 3343 Aufrufe, 2 Kommentare

Hallo miteinander,

vielleicht kann mir jemand weiterhelfen bei dem Szenario.

Es gibt einen PDC namens "sambaserver" und der Domäne "testdomain" (SLES), auf dem Samba 3.4.13 werkelt. Dieser Hauptserver stellt auch DNS, DHCP und SLAPD (LAPD-Verzeichnisdienst) zur Verfügung, worüber sich die Domänenuser auch anmelden. Samba ist so konfiguriert, dass die Authentifizierung über LDAP abgewickelt wird.

/etc/samba/smb.conf (gekürzt):
[global]
workgroup = TESTDOMAIN
server string = Mainserver
interfaces = 172.16.0.1/16, 127.0.0.1
update encrypted = Yes
map to guest = GuestUser
passdb backend = ldapsam:ldap://172.16.0.1
log level = 1
syslog = 0
log file = /var/log/samba/log.%m
max log size = 500
name resolve order = hosts wins lmhosts bcast
time server = Yes
socket options = IPTOS_LOWDELAY TCP_NODELAY
cups server = 127.0.0.1
logon script = %U.bat
logon path = \\sambaserver\profiles\%U logon drive = U:
domain logons = Yes
os level = 254
preferred master = Yes
domain master = Yes
wins support = Yes
ldap admin dn = cn=root,dc=meinbuero,dc=de
ldap group suffix = ou=groups
ldap idmap suffix = ou=idmap
ldap machine suffix = ou=computers
ldap passwd sync = yes
ldap suffix = dc=meinbuero,dc=de
ldap ssl = no
ldap user suffix = ou=users
admin users = admin, "@Domain Admins"
cups options = raw
veto files = /*.eml/*.nws/riched20.dll/*.{*}/

Wenn nun ein Win7-Client, der NICHT an der Domäne angemeldet ist (sondern nur mit dem lokalen Administrator-Account als Beispiel), und er gibt in den Windows-Explorer \\sambaserver ein, dann popt bei Windows ein Fenster auf. Dort muss dann der User sein Name+Passwort eingeben. Gibt man nun in Benutzernamen "\\testdomain\maxmustermann" und das dazugehörige Passwort ein, kriegt man alle SMB-Freigaben zu sehen und kann darauf zugreifen (sofern man das natürlich darf unter diesem Account). Das funktioniert problemlos.

es gibt nun aber noch einen anderen Samba-Rechner (läuft auch unter SLES). Dort läuft jedoch laut "rpm -qa" Samba 3.0.13. Die Config sieht hier so aus (gekürzt)

[global]
7 workgroup = TESTDOMAIN
8 server string = %h
9 interfaces = eth0, 127.0.0.1
10 bind interfaces only = Yes
11 security = DOMAIN
12 passdb backend = ldapsam:ldap://sambaserver.meinbuero.de
13 syslog = 0
14 log file = /var/log/samba/log.%m
15 max log size = 1024
16 large readwrite = No
17 socket options = IPTOS_LOWDELAY TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
18 load printers = No
19 printcap name = cups
20 cups server = sambaserver.meinbuero.de
29 wins server = 172.16.0.1
30 ldap admin dn = cn=root,dc=meinbuero,dc=de
31 ldap delete dn = Yes
32 ldap group suffix = ou=groups
33 ldap idmap suffix = ou=idmap
34 ldap machine suffix = ou=computers
35 ldap passwd sync = Yes
36 ldap suffix = dc=meinbuero,dc=de
37 ldap user suffix = ou=users
38 admin users = admin, "@Domain Admins"

Die Clients können aber auf all die Freigaben dieses samba2 nicht zugreifen, wenn sie nicht explizit an der Domäne TESTDOMAIN angemeldet sind. Wenn man als lokaler Admininistrator an der Win7-Maschine angemeldet ist, und \\sambaserver eingibt, kriegt man die Fehlermeldung dass kein Zugriff auf den Server möglich ist. Melde ich mich vorher über dem Windows-Logon an der Domäne an, kann ich auf die Freigaben problemlos zugreifen.

Ich würde gerne wissen, WO und WIE GENAU in der Samba-Konfiguration dieses Verhalten gesteuert wird. Freue mich über Hilfestellungen und sage danke im voraus.
Mitglied: AndreasHoster
17.04.2012 um 16:19 Uhr
Beim optischen Mustervergleich Deiner Angaben fällt auf:
security=DOMAIN steht nur bei der 2. Conf.
Wie sieht denn die security-Einstellung beim ersten aus?
Bitte warten ..
Mitglied: panguu
17.04.2012 um 17:35 Uhr
beim erstere steht nix von "security=..." in der smb.conf. Demnach verwendet samba standardmässig ab Version 2.0 "security = user", korrigiert mich bitte falls ich falsche Infos in Erinnerung habe.

Wie müsste ich denn dem zweiten Samba-Server die Authentifizierung beibringen? Kann er auch gleich an LDAP weitergeben, oder sollte er an den PDC weiterleiten? Muss da evtl. noch zwingend der Eintrag "encrypted passwords = yes" bei beiden gesetzt werden?

Ich bin mir jetzt unsicher, ob

ich den PDC so belassen soll wie er momentan ist, und beim zweiten Samba aus security=domain ebenfalls security=user mache, und beim zweiten Samba dann die Zeile "passdb backend = ldapsam:ldap://sambaserver.meinbuero.de" wieder auskommentiere. Das ergibt aber auch keinen Sinn, denn dann gibt der zweite Server nix weiter.

Mich verwirrt der Eintrag security=domain und gleichzeitig die Zeile "passdb backend = ldapsam:ldap://sambaserver.meinbuero.de". Wie muss das richtig lauten?? Wo sind die Samba-Profis?

Eventuell auf dem zweiten Server eingeben:

[global]
security = domain
password server = sambaserver
workgroup = TESTDOMAIN
printing = bsd
guest account = nobody
encrypted passwords = Yes

Hoffe ihr könnt helfen. DANKE
Bitte warten ..
Ähnliche Inhalte
Samba
Keine Schreibrechte beim Samba-User

Frage von Ravelux zum Thema Samba ...

Samba
Neue user werden nur temporär angemeldet (5)

Frage von hoeced zum Thema Samba ...

Server
gelöst Ubuntu: ftp user erstellen und Zugriff auf Webseite geben (7)

Frage von laster zum Thema Server ...

Neue Wissensbeiträge
RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

(12)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Drucker und Scanner

Samsung SL-M4025ND, firmware update und (kompatible) Tonerkassetten

(1)

Erfahrungsbericht von markus-1969 zum Thema Drucker und Scanner ...

Heiß diskutierte Inhalte
Windows 10
Windows für Privatanwender "nicht mehr handhabbar" (28)

Frage von FA-jka zum Thema Windows 10 ...

LAN, WAN, Wireless
Brauche Hilfe: Mit (schnellem) WLAN Strecke überbrücken (23)

Frage von pierrehansen zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Komplett neues Netzwerk, Ubiquiti WLAN, Router, Switch (15)

Frage von Freak-On-Silicon zum Thema LAN, WAN, Wireless ...

Backup
Backup Wochen- Monats- Jahressicherung (13)

Frage von Meterpeter zum Thema Backup ...