Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Samba Zugriff gestatten, nur wenn der User an der Domäne aktiv angemeldet ist

Frage Linux Samba

Mitglied: panguu

panguu (Level 2) - Jetzt verbinden

17.04.2012 um 15:46 Uhr, 3324 Aufrufe, 2 Kommentare

Hallo miteinander,

vielleicht kann mir jemand weiterhelfen bei dem Szenario.

Es gibt einen PDC namens "sambaserver" und der Domäne "testdomain" (SLES), auf dem Samba 3.4.13 werkelt. Dieser Hauptserver stellt auch DNS, DHCP und SLAPD (LAPD-Verzeichnisdienst) zur Verfügung, worüber sich die Domänenuser auch anmelden. Samba ist so konfiguriert, dass die Authentifizierung über LDAP abgewickelt wird.

/etc/samba/smb.conf (gekürzt):
[global]
workgroup = TESTDOMAIN
server string = Mainserver
interfaces = 172.16.0.1/16, 127.0.0.1
update encrypted = Yes
map to guest = GuestUser
passdb backend = ldapsam:ldap://172.16.0.1
log level = 1
syslog = 0
log file = /var/log/samba/log.%m
max log size = 500
name resolve order = hosts wins lmhosts bcast
time server = Yes
socket options = IPTOS_LOWDELAY TCP_NODELAY
cups server = 127.0.0.1
logon script = %U.bat
logon path = \\sambaserver\profiles\%U logon drive = U:
domain logons = Yes
os level = 254
preferred master = Yes
domain master = Yes
wins support = Yes
ldap admin dn = cn=root,dc=meinbuero,dc=de
ldap group suffix = ou=groups
ldap idmap suffix = ou=idmap
ldap machine suffix = ou=computers
ldap passwd sync = yes
ldap suffix = dc=meinbuero,dc=de
ldap ssl = no
ldap user suffix = ou=users
admin users = admin, "@Domain Admins"
cups options = raw
veto files = /*.eml/*.nws/riched20.dll/*.{*}/

Wenn nun ein Win7-Client, der NICHT an der Domäne angemeldet ist (sondern nur mit dem lokalen Administrator-Account als Beispiel), und er gibt in den Windows-Explorer \\sambaserver ein, dann popt bei Windows ein Fenster auf. Dort muss dann der User sein Name+Passwort eingeben. Gibt man nun in Benutzernamen "\\testdomain\maxmustermann" und das dazugehörige Passwort ein, kriegt man alle SMB-Freigaben zu sehen und kann darauf zugreifen (sofern man das natürlich darf unter diesem Account). Das funktioniert problemlos.

es gibt nun aber noch einen anderen Samba-Rechner (läuft auch unter SLES). Dort läuft jedoch laut "rpm -qa" Samba 3.0.13. Die Config sieht hier so aus (gekürzt)

[global]
7 workgroup = TESTDOMAIN
8 server string = %h
9 interfaces = eth0, 127.0.0.1
10 bind interfaces only = Yes
11 security = DOMAIN
12 passdb backend = ldapsam:ldap://sambaserver.meinbuero.de
13 syslog = 0
14 log file = /var/log/samba/log.%m
15 max log size = 1024
16 large readwrite = No
17 socket options = IPTOS_LOWDELAY TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
18 load printers = No
19 printcap name = cups
20 cups server = sambaserver.meinbuero.de
29 wins server = 172.16.0.1
30 ldap admin dn = cn=root,dc=meinbuero,dc=de
31 ldap delete dn = Yes
32 ldap group suffix = ou=groups
33 ldap idmap suffix = ou=idmap
34 ldap machine suffix = ou=computers
35 ldap passwd sync = Yes
36 ldap suffix = dc=meinbuero,dc=de
37 ldap user suffix = ou=users
38 admin users = admin, "@Domain Admins"

Die Clients können aber auf all die Freigaben dieses samba2 nicht zugreifen, wenn sie nicht explizit an der Domäne TESTDOMAIN angemeldet sind. Wenn man als lokaler Admininistrator an der Win7-Maschine angemeldet ist, und \\sambaserver eingibt, kriegt man die Fehlermeldung dass kein Zugriff auf den Server möglich ist. Melde ich mich vorher über dem Windows-Logon an der Domäne an, kann ich auf die Freigaben problemlos zugreifen.

Ich würde gerne wissen, WO und WIE GENAU in der Samba-Konfiguration dieses Verhalten gesteuert wird. Freue mich über Hilfestellungen und sage danke im voraus.
Mitglied: AndreasHoster
17.04.2012 um 16:19 Uhr
Beim optischen Mustervergleich Deiner Angaben fällt auf:
security=DOMAIN steht nur bei der 2. Conf.
Wie sieht denn die security-Einstellung beim ersten aus?
Bitte warten ..
Mitglied: panguu
17.04.2012 um 17:35 Uhr
beim erstere steht nix von "security=..." in der smb.conf. Demnach verwendet samba standardmässig ab Version 2.0 "security = user", korrigiert mich bitte falls ich falsche Infos in Erinnerung habe.

Wie müsste ich denn dem zweiten Samba-Server die Authentifizierung beibringen? Kann er auch gleich an LDAP weitergeben, oder sollte er an den PDC weiterleiten? Muss da evtl. noch zwingend der Eintrag "encrypted passwords = yes" bei beiden gesetzt werden?

Ich bin mir jetzt unsicher, ob

ich den PDC so belassen soll wie er momentan ist, und beim zweiten Samba aus security=domain ebenfalls security=user mache, und beim zweiten Samba dann die Zeile "passdb backend = ldapsam:ldap://sambaserver.meinbuero.de" wieder auskommentiere. Das ergibt aber auch keinen Sinn, denn dann gibt der zweite Server nix weiter.

Mich verwirrt der Eintrag security=domain und gleichzeitig die Zeile "passdb backend = ldapsam:ldap://sambaserver.meinbuero.de". Wie muss das richtig lauten?? Wo sind die Samba-Profis?

Eventuell auf dem zweiten Server eingeben:

[global]
security = domain
password server = sambaserver
workgroup = TESTDOMAIN
printing = bsd
guest account = nobody
encrypted passwords = Yes

Hoffe ihr könnt helfen. DANKE
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
gelöst Powershell: Alle User anzeigen, die Zugriff auf einen Share haben (3)

Frage von bensonhedges zum Thema Windows Server ...

Netzwerkmanagement
gelöst Welche Freigaben haben welche Rechner im Netzwerk und welche User ist angemeldet? (5)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Windows Server
Win Server 2012R2 bzw 2016 als Backupdomaincontroller in einer Samba 3 Domäne

Frage von Franz-Josef-II zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...