Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kann man auf einer Sambafreigabe auch Domänencomputerkonten als zugriffsberechtigt eintragen?

Frage Linux Samba

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

20.03.2012, aktualisiert 10:15 Uhr, 6918 Aufrufe, 13 Kommentare

...Expertenfrage...

Moin Kollegen.

hier kommt gerade die Frage auf, ob/wie man auf einem Sambashare (Samba:letzte Version, Domäne: 2008, zugreifendes System: 2008 r2) denn Domänencomputer (das Systemkonto) als zugriffsberechtigt eintragen kann. Mit
01.
 chown nutzer@domäne:domänen-benutzer@domäne Zieldatei 
geht es für Nutzer, aber sowohl
01.
 chown rechnername$@domäne:domänen-benutzer@domäne Zieldatei 
als auch
01.
 chown rechnername$@domäne:domänen-computer@domäne Zieldatei 
liefern nur invalid user: `rechnernamedomäne:domänen-benutzer@domäne
Hingegen mit escape-Character
01.
 chown rechnername\$@domäne:domänen-benutzer@domäne Zieldatei 
wird der Rechnername zwar eingetragen, aber es ist kein Zugriff mit dem Computerkonto möglich. Letzteres wurde getestet von dem eingetragenen Rechner aus über eine Shell, die per psexec -s -i cmd mit Systemrechten gestartet wurde.

Windows kann das, Samba nicht?
Mitglied: DerWoWusste
21.03.2012 um 00:00 Uhr
Eine Frage, bevor ich darauf einsteige: wir haben keine Samba-Domäne, nur eine Samba-Freigabe. Kann man denn am Server mit dieser Freigabe ebenso Machine-Accounts anlegen?
Bitte warten ..
Mitglied: delemming
21.03.2012 um 01:42 Uhr
hey,

theoretisch sollte es möglich sein, die auth-anfragen via winbind direkt an den w2k8 dc durchzuleiten, dann übernimmt der die Auth für den samba.
Bitte warten ..
Mitglied: DerWoWusste
21.03.2012 um 09:27 Uhr
Ich rekapituliere:
Wie gesagt haben wir schon erfolgreich Domänenbenutzerkonten eintragen können - auch Domänencomputerkonten stehen als berechtigt in der ACL - es funktioniert nur bei letzteren nicht, während die Nutzer funktionieren. Meine Frage zielt also darauf ab, wie man Domänencomputerkonten "richtig" einträgt bzw. ob das überhaupt geht.

Da wir keinen Samba-DC haben, verstehe ich das so, dass Deine Methode weder nötig, noch durchführbar ist, denn winbind läuft schließlich bereits einwandfrei.
Bitte warten ..
Mitglied: delemming
21.03.2012 um 22:20 Uhr
Hmmm, ich wer mal rumbasteln, aber per se musst ich gestehen, das mir da auch nix weiter zu einfällt.
Bitte warten ..
Mitglied: Guenni
22.03.2012 um 13:24 Uhr
Hi DerWoWusste,

Zu deiner Frage "Kann man auf einer Sambafreigabe auch Domänencomputerkonten als zugriffsberechtigt eintragen?"

eines vorweg: Ich habe einen Samba-DC und einen Windows-Client (pcstation). Entspricht also nicht deiner Umgebung,

aber du kannst ja versuchen, ob das Anlegen eines Computer-Kontos so bei dir funktioniert. Also . . .


. . . um diesen Client in die Samba-Domäne aufzunehmen, habe ich eine Computer-Gruppe erstellt (wclients).

Der Eintrag in der Datei /etc/group sollte dann so aussehen:

wclients:x:1001:

Anschließend wird der Computer wie ein "normaler" Benutzer angelegt, aber mit $-Zeichen am Ende.

Zum zweiten muß das Computer-Konto in der Passwort-Datei des Samba-Servers eingetragen werden.

Beides erledige ich mit dem Script pcadd. Das $-Zeichen muß hierbei im Script maskiert werden.

Inhalt der Datei pcadd:

01.
#!/bin/bash 
02.
useradd -g wclients -d /dev/null -s /bin/false -c "NT-Computer" $1\$ 
03.
smbpasswd -a -m $1\$

Aufruf: pcadd pcstation

Erklärung der Parameter . . .

. . . beim Befehl useradd:

- g : Zu dieser Gruppe gehört der Computer

- d : Der Computer hat kein Home-Verzeichnis

- s : Der Computer hat keine Shell

- c : Kommentar

- $1 : Ist der Computername, der beim Aufruf des Scripts übergeben wird

- \$ : Computerkonten enden mit einem $-Zeichen, damit Linux "weiss", dass es sich um ein Computer-Konto handelt.

. . . beim Befehl smbpasswd:

- a : hinzufügen

- m : Es handelt sich um ein Computer-Konto

- $1 : Ist der Computername, der beim Aufruf des Scripts übergeben wird

- \$ : Computerkonten enden mit einem $-Zeichen, damit Samba "weiss", dass es sich um ein Computer-Konto handelt.


Nach Aufruf pcadd pcstation ist in der Datei /etc/passwd folgender Eintrag vorhanden:

pcstation$:x:1001:1001:NT-Computer:/dev/null:/bin/false


Nun zu deinen Fragen:

1. Frage im Titel: "Kann man auf einer Sambafreigabe auch Domänencomputerkonten als zugriffsberechtigt eintragen?"
2. Frage im Kommentar: "Kann man denn am Server mit dieser Freigabe ebenso Machine-Accounts anlegen?"

3. Nächste Frage im Kommentar: "Meine Frage zielt also darauf ab, wie man Domänencomputerkonten "richtig" einträgt bzw. ob das überhaupt geht."

zu 3.: Ist beantwortet. Dürfte aber für dein Vorhaben nicht relevant sein, wie du schon selber erkannt hast.

Zu 1. + 2.:

Wenn ich, wie du es versucht hast, chown auf eine Datei anwende, und als Besitzer ein Computerkonto angebe, kann ich die Datei nicht mehr öffnen,

obwohl ich ja mit dem benannten Computer darauf zugreife und mein Zugriff über den Sambaserver auf die Freigabe erlaubt ist. Was ja auch logisch und

bei Windows IMHO auch nicht anders ist: Rechte im Dateisystem gehen vor Rechte in einer Freigabe. Korrigiere mich, wenn ich irre: Ich gebe ein Verzeichnis

frei (zugänglich für alle) auf Dateisystemebene und entscheide dann bei der Freigabe explizit, wer Zugriff hat und wer nicht.

Und nebenbei: Linux ist kein Serversystem. Die Serversysteme, die Dateien/Verzeichnisse als Datenserver im Netz zur Verfügung stellen, sind NIS oder Samba.

Nun zum Zugriff von Computern auf eine Freigabe über Samba.

In der Datei smb.conf kannst du den Zugriff von Computern, Netzen, Teilnetzen auf Freigaben über zwei Parameter steuern:

- hosts allow =

- hosts deny =

Hierbei stehen dir etliche Variationen offen, Zugriffe zu gewähren oder zu verbieten.

Beispiel 1, der Zugriff eines PC's:

- hosts allow = 192.168.179.40/24

- hosts deny = ALL

Beispiel 2, Zugriff eines Netz:

- hosts allow = 192.168.179.0/24

- hosts deny = ALL

Beispiel 3, Kein Zugriff eines Rechners:

- hosts allow =

- hosts deny = 192.168.179.40/24

Zu beachten ist aber die Reihenfolge allow, deny.

allow ist erlaubt.

deny schließt alles aus, was in allow nicht enthalten ist.

Folgendes Beispiel funktioniert deshalb nicht:

- hosts allow = 192.168.179.40/24

- hosts deny = 192.168.179.40/24

Hier hat der Host trotzdem Zugriff, obwohl es ihm verbietet wurde.


Hoffe, ich konnte dir weiter helfen

Gruß
Günni
Bitte warten ..
Mitglied: DerWoWusste
22.03.2012 um 14:52 Uhr
Hi Günni und danke für die Mühe.

Ich sollte folgendes hinzufügen. Sinn und Zweck ist folgender: Das Kennwort der Domänencomputerkonten (=machine accounts) wird vom Domänencontroller automatisch alle 30 Tage geändert und diese (automatische) Kennwortsicherheit wollen wir haben. Wie soll ich dieses also dem Sambaserver mitteilen? Wird das in Deinem Setup überhaupt auf dem Samba-DC jemals geändert? Wenn nicht, dann ist die Methode für mich wertlos.
Bitte warten ..
Mitglied: Guenni
23.03.2012 um 03:41 Uhr
Hi DerWoWusste,


das Kennwort ändert der Samba-DC selber. Du kannst über einen Parameter die Zeitperiode (in Sekunden) festlegen.


Betreffender Teil aus der Samba-Hilfe (SWAT) zu Domänenmitgliedschaft:

machine password timeout (G)

If a Samba server is a member of a Windows NT Domain (see the security = domain parameter),

then periodically a running smbd process will try and change the MACHINE ACCOUNT PASSWORD stored in the TDB called private/secrets.tdb.

This parameter specifies how often this password will be changed, in seconds.

The default is one week (expressed in seconds), the same as a Windows NT Domain member server.

See also smbpasswd(8), and the security = domain parameter.

Default: machine password timeout = 604800


Noch ein Artikel:


8.5.2 machine password timeout

Die globale Option machine password timeout legt eine Speicherungsperiode für NT-Domain-Maschinen-Passwörter fest.

Die Vorgabe ist momentan auf dieselbe Zeitspanne gesetzt, die Windows NT 4.0 verwendet: 604.800 Sekunden (eine Woche).

Samba versucht periodisch, das machine account password zu wechseln, welches ein Passwort darstellt, das besonders von einem anderen Server verwendet wird,

um ihm Änderungen zu melden. Diese Option bestimmt die Anzahl Sekunden, die Samba warten sollte, bevor es versucht dieses Passwort zu ändern.

Das folgende Beispiel ändert sie zu einem einzigen Tag, indem Folgendes festgelegt wird:

[global]
machine password timeout = 86400


Hier gefunden --> http://lug.krems.cc/docu/samba/ch08_05.html

Such' mal nach "machine password timeout", da gibt's jede Menge zu lesen.

Ist es das, was du meinst??

Gruß
Günni


PS.: . . . Wird das in Deinem Setup überhaupt auf dem Samba-DC jemals geändert? . . .

Gute Frage, ich wusste gar nicht, dass Passworte für Computer-Konten überhaupt geändert werden.

Aber ich denke nicht, mein Samba-DC ist ja kein Mitglied einer Windows-Domäne.
Bitte warten ..
Mitglied: DerWoWusste
23.03.2012 um 09:45 Uhr
Moin.

Meine Frage zur Kennwortänderung war: "Wie soll ich dieses also dem Sambaserver mitteilen?". Du antwortest: "das Kennwort ändert der Samba-DC selber" - wir haben aber keinen Samba-DC. Ich bin mir ziemlich sicher, dass wir den einzigen Weg nutzen, der möglich sein sollte, aber dieser funktioniert leider nicht. Vermutlich ein Bug, der niemandem auffällt, weil wenige KLeute Systemkonten via Netzwerk auf Samba-Memberserver zugreifen lassen.
Bitte warten ..
Mitglied: Guenni
25.03.2012 um 11:56 Uhr
Hi DerWoWusste,

du hast einen Samba-Server, der nur nicht als DC eingerichtet ist. Trotzdem ist Samba ein Server-System.

Und wenn dieser Server Mitglied einer Windowsdomäne ist, dann denke ich, dass der Passwortabgleich mit

einer Windows-Domäne funktioniert. Vorausgesetzt, der Server ist richtig eingebunden und konfiguriert.


Ansonsten würde man bestimmt Gegenteiliges von einschlägigen Foren oder Autoren zu lesen bekommen, die sich drauf spezialisiert haben,

jede Neuerung (z.B. die Einführung des Parameters machine password timeout ) sofort auf Herz und Nieren zu prüfen.


Deinen Einwand, . . .

weil wenige KLeute Systemkonten via Netzwerk auf Samba-Memberserver zugreifen lassen. . . .",

. . . halte ich, sorry vielmals, für haltlos. Es gibt mit Sicherheit viele Umgebungen, die so konfiguriert sind,

dass nur bestimmte Computer-Konten auf bestimmte Freigaben zugreifen dürfen. Und das ist mit Samba durchaus möglich.


Ich bin mir ziemlich sicher, dass wir den einzigen Weg nutzen, der möglich sein sollte, aber dieser funktioniert leider nicht.
Vermutlich ein Bug, der niemandem auffällt, . . .


Wenn du damit auf deinen Versuch, mit chown . . . ein Computer-Konto zum Besitzer von Verzeichnissen und Dateien zu machen, anspielst,

hast du recht. Das funktioniert auch so nicht. Es sei denn, du würdest einen Benutzer in die Gruppe der Computer-Konten aufnehmen, bzw.

eine Gruppe mit Benutzern den Verzeichnissen und Dateien hinzufügen.

Dann kann dieser Benutzer aber auch von jedem anderen Rechner wieder auf diese Verzeichnisse/Dateien zugreifen, weil er zu dieser Gruppe gehört.

Das ist aber kein Bug, sondern einfach nur der falsche Weg. Samba/Linux sind eben nicht Windows und werden deshalb auch anders konfiguriert bzw. eingestellt.

Du solltest dich also nicht darauf versteifen "Unter Windows mach ich das so . . . ", also muß das unter Samba/Linux genauso gehen. Das Ziel ist der Weg.

Gruß
Günni
Bitte warten ..
Mitglied: DerWoWusste
26.03.2012 um 15:27 Uhr
Hi.

Noch kein Fortschritt. Ich habe am Server wie beschrieben ein Rechnername$-Konto angelegt, wie gehe ich weiter vor? Hosts allow enthielt auch schon zuvor die IP des Zugreifenden.
Bitte warten ..
Mitglied: DerWoWusste
30.03.2012 um 12:39 Uhr
*bump*
Hallo Didi, noch da?
Bitte warten ..
Mitglied: DerWoWusste
30.03.2012 um 15:28 Uhr
So! Ich hatte heute endlich mal Zeit, das näher anzuschauen. Es ist gelöst und die Lösung war denkbar einfach:
Alles war schon in Ordnung... ich hatte lediglich vergessen, auf der Freigabe selbst die Rechte ebenso anzupassen! Was für ein Bock!

Also war chown rechnername\$@domäne:domänen-benutzer@domäne Zieldatei schon goldrichtig.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Linux Netzwerk
gelöst Squid3 Proxy via Namen statt Ip im Browser eintragen (3)

Frage von M.Marz zum Thema Linux Netzwerk ...

Batch & Shell
gelöst In Html-Datei per Batchdatei das Datum und die Uhrzeit eintragen (2)

Frage von Hakiegold zum Thema Batch & Shell ...

Batch & Shell
Hostname bzw IP-Adresse in Excel eintragen (12)

Frage von EgonFrenz zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...