Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Samba Zugriff gestatten, nur wenn der User an der Domäne aktiv angemeldet ist

Frage Linux Samba

Mitglied: panguu

panguu (Level 2) - Jetzt verbinden

17.04.2012 um 15:46 Uhr, 3362 Aufrufe, 2 Kommentare

Hallo miteinander,

vielleicht kann mir jemand weiterhelfen bei dem Szenario.

Es gibt einen PDC namens "sambaserver" und der Domäne "testdomain" (SLES), auf dem Samba 3.4.13 werkelt. Dieser Hauptserver stellt auch DNS, DHCP und SLAPD (LAPD-Verzeichnisdienst) zur Verfügung, worüber sich die Domänenuser auch anmelden. Samba ist so konfiguriert, dass die Authentifizierung über LDAP abgewickelt wird.

/etc/samba/smb.conf (gekürzt):
[global]
workgroup = TESTDOMAIN
server string = Mainserver
interfaces = 172.16.0.1/16, 127.0.0.1
update encrypted = Yes
map to guest = GuestUser
passdb backend = ldapsam:ldap://172.16.0.1
log level = 1
syslog = 0
log file = /var/log/samba/log.%m
max log size = 500
name resolve order = hosts wins lmhosts bcast
time server = Yes
socket options = IPTOS_LOWDELAY TCP_NODELAY
cups server = 127.0.0.1
logon script = %U.bat
logon path = \\sambaserver\profiles\%U logon drive = U:
domain logons = Yes
os level = 254
preferred master = Yes
domain master = Yes
wins support = Yes
ldap admin dn = cn=root,dc=meinbuero,dc=de
ldap group suffix = ou=groups
ldap idmap suffix = ou=idmap
ldap machine suffix = ou=computers
ldap passwd sync = yes
ldap suffix = dc=meinbuero,dc=de
ldap ssl = no
ldap user suffix = ou=users
admin users = admin, "@Domain Admins"
cups options = raw
veto files = /*.eml/*.nws/riched20.dll/*.{*}/

Wenn nun ein Win7-Client, der NICHT an der Domäne angemeldet ist (sondern nur mit dem lokalen Administrator-Account als Beispiel), und er gibt in den Windows-Explorer \\sambaserver ein, dann popt bei Windows ein Fenster auf. Dort muss dann der User sein Name+Passwort eingeben. Gibt man nun in Benutzernamen "\\testdomain\maxmustermann" und das dazugehörige Passwort ein, kriegt man alle SMB-Freigaben zu sehen und kann darauf zugreifen (sofern man das natürlich darf unter diesem Account). Das funktioniert problemlos.

es gibt nun aber noch einen anderen Samba-Rechner (läuft auch unter SLES). Dort läuft jedoch laut "rpm -qa" Samba 3.0.13. Die Config sieht hier so aus (gekürzt)

[global]
7 workgroup = TESTDOMAIN
8 server string = %h
9 interfaces = eth0, 127.0.0.1
10 bind interfaces only = Yes
11 security = DOMAIN
12 passdb backend = ldapsam:ldap://sambaserver.meinbuero.de
13 syslog = 0
14 log file = /var/log/samba/log.%m
15 max log size = 1024
16 large readwrite = No
17 socket options = IPTOS_LOWDELAY TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
18 load printers = No
19 printcap name = cups
20 cups server = sambaserver.meinbuero.de
29 wins server = 172.16.0.1
30 ldap admin dn = cn=root,dc=meinbuero,dc=de
31 ldap delete dn = Yes
32 ldap group suffix = ou=groups
33 ldap idmap suffix = ou=idmap
34 ldap machine suffix = ou=computers
35 ldap passwd sync = Yes
36 ldap suffix = dc=meinbuero,dc=de
37 ldap user suffix = ou=users
38 admin users = admin, "@Domain Admins"

Die Clients können aber auf all die Freigaben dieses samba2 nicht zugreifen, wenn sie nicht explizit an der Domäne TESTDOMAIN angemeldet sind. Wenn man als lokaler Admininistrator an der Win7-Maschine angemeldet ist, und \\sambaserver eingibt, kriegt man die Fehlermeldung dass kein Zugriff auf den Server möglich ist. Melde ich mich vorher über dem Windows-Logon an der Domäne an, kann ich auf die Freigaben problemlos zugreifen.

Ich würde gerne wissen, WO und WIE GENAU in der Samba-Konfiguration dieses Verhalten gesteuert wird. Freue mich über Hilfestellungen und sage danke im voraus.
Mitglied: AndreasHoster
17.04.2012 um 16:19 Uhr
Beim optischen Mustervergleich Deiner Angaben fällt auf:
security=DOMAIN steht nur bei der 2. Conf.
Wie sieht denn die security-Einstellung beim ersten aus?
Bitte warten ..
Mitglied: panguu
17.04.2012 um 17:35 Uhr
beim erstere steht nix von "security=..." in der smb.conf. Demnach verwendet samba standardmässig ab Version 2.0 "security = user", korrigiert mich bitte falls ich falsche Infos in Erinnerung habe.

Wie müsste ich denn dem zweiten Samba-Server die Authentifizierung beibringen? Kann er auch gleich an LDAP weitergeben, oder sollte er an den PDC weiterleiten? Muss da evtl. noch zwingend der Eintrag "encrypted passwords = yes" bei beiden gesetzt werden?

Ich bin mir jetzt unsicher, ob

ich den PDC so belassen soll wie er momentan ist, und beim zweiten Samba aus security=domain ebenfalls security=user mache, und beim zweiten Samba dann die Zeile "passdb backend = ldapsam:ldap://sambaserver.meinbuero.de" wieder auskommentiere. Das ergibt aber auch keinen Sinn, denn dann gibt der zweite Server nix weiter.

Mich verwirrt der Eintrag security=domain und gleichzeitig die Zeile "passdb backend = ldapsam:ldap://sambaserver.meinbuero.de". Wie muss das richtig lauten?? Wo sind die Samba-Profis?

Eventuell auf dem zweiten Server eingeben:

[global]
security = domain
password server = sambaserver
workgroup = TESTDOMAIN
printing = bsd
guest account = nobody
encrypted passwords = Yes

Hoffe ihr könnt helfen. DANKE
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
Loginabfrage beim Zugriff auf Netzlaufwerk wo der angemeldete User keinen Zugriff hat
gelöst Frage von uLmiWindows Netzwerk11 Kommentare

Hallo Zusammen, ich habe eine Share wo die standard User keinen Zugriff haben, sondern nur die ITMitarbeiter. Wenn jetzt ...

Samba
RedHat Samba User-Zugriffe loggen
gelöst Frage von AkroshSamba6 Kommentare

Hallo zusammen, ich habe einen RedHat 6 Fileserver mit Samba, das gute Stück ist locker 10 Jahre alt und ...

Batch & Shell
Wie finde ich heraus ob ein User an seinem Client lokal oder an der Domäne angemeldet ist?
gelöst Frage von minimalwerkBatch & Shell7 Kommentare

Hallo liebe Community, gibt es eine Möglichkeit herauszufinden ob sich ein User an seinem Client momenatn lokal oder an ...

Windows Netzwerk
Domänen User haben vollen Zugriff auf Sicherheitseinstellungen
Frage von kingcopyWindows Netzwerk25 Kommentare

Guten Tag, ich habe hier in der Domäne auf einmal das Problem das Domänen User (Mitarbeiter) Zugriff auf die ...

Neue Wissensbeiträge
Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 27 MinutenSicherheit

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Sicherheit

Meltdown und Spectre: Die machen uns alle was vor

Information von Frank vor 51 MinutenSicherheit9 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Microsoft

Update KB4073578 für AMD CPU (Spectre und Meltdown Lücke)

Information von sabines vor 7 StundenMicrosoft

Wegen Problemen (BOSD, nicht startende PCs) wurde das Update KB4056897 und KB4056894 für AMD CPUs zurückgezogen. Dieses Update KB4073578 ...

Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 20 StundenMac OS X4 Kommentare

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser erreichbar sind. Leider fehlt ...

Heiß diskutierte Inhalte
Batch & Shell
Anmeldevorgang für Informatikraum (Schule) unter Windows
gelöst Frage von IngenieursBatch & Shell27 Kommentare

Hey zusammen, ich werde in naher Zukunft den Informatik Raum meiner jetzigen Schule von dem aktuellen Betreiber übernehmen (Vertrag ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von 92943Windows 1025 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Netzwerkgrundlagen
Welches Modem für VDSL 50000 der T-Com
Frage von Windows10GegnerNetzwerkgrundlagen18 Kommentare

Hallo, ein Kollege von mir will sich VDSL50000 von der T-Com holen, um daran einen Server zu betreiben. Ich ...