SUSE 8.1 einen Samba Server in einem NT Netzwerk

[spool]

Ich hab unter SUSE 8.1 einen Samba Server in einem NT Netzwerk aufgesetzt. Es klappt soweit alles ganz gut, bis auf die Freigaben. Eine allgemeinzugängliche (guest only usw.) funktioniert ja. Nur wie krieg ichs hin, das nur bestimmte User aus der Domäne auf die Freigabe zugreifen können ?
Wenn ich die User für das Share eintrage, wird grundsätzlich von der Windows MAschine ein User und ein Passwort abgefragt. Und dann komm ich nciht weiter, mweder mit einem User aus der Domände, noch mit dem root von Linux.
Muß ich die User unter Linux nochmal anlegen, obwohl die Security auf Domain steht ?
Wie gehts nu ? verzweifel....

Bitte keine Links auf irgendwelche Seiten die genauso nichtssagend sind, wie Samba für Dummies. Das Buch ist die absolute Krätze. Da steht zwar drin wie ich einen Samba in ein NT Netzwerk kriege, aber das wars dann auch schon(das kann man ja auch überall woanders im Netz für 0 € lesen nachlesen). Dann wird zum nächsten Thema geschwenkt

[Stormbringer]

Hi,

laut samba Dokumentation ist der Schalter security = domain nur zu wählen, wenn eine Domäne gebildet/abgebildet werden soll.
Setze es einmal auf security = server, trage den password server ein, und per valid user die berechtigten Benutzer, und es sollte funzen .... wenn ich es so recht im Kopf habe .. <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
Hast Du für den samba Server ein Maschinenkonto in der NT4 Domäne? Ansonsten dürften sid-Verifizierungen wohl abgelehnt werden.

Gruß

[spool]

S´Der Samba hat einen Eintrag im Servermanager für Domänen, das hat geklappt.
Eine Freigabe, die für alle gilt, funktioniert auch. Nur möchte ich bestimmte Verzeichnisse/Freigaben (z.B die wwwroot des Apache) nur bestimmten Usern zur Verfügung stellen.
Dieser User hat ein Konto in der NT-Domäne. Damit die Passwortüberprüfung vom PDC durchgeführt wird (zumindest laut meinem Buch) muß Security = Domain eingestellt sein. Wenn ich nun einen Valid User eintrgae, muß der dann zusätzlich zu seinem NT Konto auch unter Linux angelegt werden ???
Wie müssen die Verzeichnissberechtigungen der Freigabe gesetzt werden ???

Fragen über Fragen und keine Antwort.

[Stormbringer]

Hi,

laut <a href="http://de.samba.org/samba/docs/man/smb. ... l#SECURITY" target="_blank"><!--auto-->http://de.samba.org/samba/docs/man/smb. ... <!--auto--> :
<blockquote><hr>
SECURITY = SERVER

In this mode Samba will try to validate the username/password by passing it to another SMB server, such as an NT box. If this fails it will revert to security = user, but note that if encrypted passwords have been negotiated then Samba cannot revert back to checking the UNIX password file, it must have a valid smbpasswd file to check users against. See the documentation file in the docs/ directory ENCRYPTION.txt for details on how to set this up.

Note that from the client's point of view security = server is the same as security = user. It only affects how the server deals with the authentication, it does not in any way affect what the client sees.

Note that the name of the resource being requested is not sent to the server until after the server has successfully authenticated the client. This is why guest shares don't work in user level security without allowing the server to automatically map unknown users into the guest account. See the map to guest parameter for details on doing this.
<hr></blockquote>

Wie auch immer ....

[spool]

Hat denn keiner einen Samba in einer NT Domäne mit Freigaben für bestimmte User laufen und kann mal seine smb.conf posten ???

[elethiomel]

Hi, ich hatte genau das gleiche Problem!
Der einzige Weg, bestimmten Usern Zugriff auf bestimmte Freigaben zu gewähren, lag letzten endes darin, die User mit dem in der Domäne verwendeten Passwort auch auf dem Samba Server anzulegen, sowohl in der passwd als auch in der smbpasswd. Ich habe dann Automatismen gesucht, die mir die Bekanntmachung der User per Hand abnehmen, so dass neue Domänenbenutzer automatisch auf dem Samba Server agelegt werden, habe aber noch nichts funktionierendes gefunden. Auch die automatische Aktualisierung der Kennwörter in der smbpasswd und passwd nach Veränderung des Domänenkennwortes ist möglich, leider funktioniert aber auch das bisher nicht bei mir.

Ich habe mir zu dem Thema das im Samba Paket mitgelieferte "Using Samba" agesehen. Man findet es im Samba Verzeichnis unter /docs/htmldocs/using_samba/index.html

Das war meine smb.conf:

# Global parameters
[global]
workgroup = NETZWERK
netbios name = LINUX
server string = Samba %v on (%L)
security = DOMAIN
encrypt passwords = Yes
password server = *
passwd program = /usr/bin/passwd %u
passwd chat = "*ew*asswor*" "%n "*ld*asswor*" %n
unix password sync = Yes
log level = 3
log file = /usr/local/samba/var/log.%m
max log size = 50
add user script = /usr/sbin/useradd -s /dev/null -d /dev/null %u -g winuser // automatisches Anlegen und
delete user script = /usr/sbin/userdel %u // automatischen Löschen von Benutzern
preferred master = False
local master = No
domain master = False
guest account = ftp

[Arbeitsverzeichnis]
comment = Arbeitsverzeichnis von %u
path = /filespace/%u
valid users = @winuser
read only = No
create mask = 0700
directory mask = 0700

[All_Users]
comment = Dateiablage
path = /filespace/all_users
valid users = @winuser
read only = No
create mask = 0740
directory mask = 0750

Ich würde mich ebenfalls freuen, weitere Lösungsvorschläge zu diesem Problem zu erhalten.

[spool]

Also nochmal zur Security

Security = Server bei Win 95/98 Clients
Security = Domain bei NT Netzwerken

[elethiomel]

Habe nur jeweils einen Windows XP und 2000 Client in einer Windows 2000 Domäne benutzt und deshalb keine Erfahrung mit security = server.
Angeblich ist der Server Modus aber durch den Domain Modus überholt! (Zu finden in "Samba" von Jens Kühnel, MITP Verlag)

[spool]

Ich hab's raus, es funktioniert prima, wenn man weiß wie. Für alle die wissen wollen, wie's bei mir geht:
1. Die smb.conf wie folgt erstellen/ändern:
[global]
workgroup = DIE_NT_DOMÄNE
server string = DIE_BEZEICHNUNG_DES_LINUX_SERVRES
#Die bei Kommentare im Windows Explorer angezeigt wird

netbios name = DER_NETBIOS_NAME_DES_LINUX_SERVERS
#Am Prompt abzulesen bei Standardkonfiguration SUSE

password server = DER_PDC_DER_DOMÄNE
security = DOMAIN
encrypt passwords = Yes
os level = 2
domain master = False
# wins server = DER_WINS_SERVER_FALLS_VORHANDEN
map to guest = Bad User

#Es wird für jeden User ein Home Directory auf der Linux Maschine gemappt
[homes]
comment = Home Directories
valid users = %S
read only = No
create mask = 0640
directory mask = 0750
browseable = No

# Brauch ich nicht, daher hab ich keine Erfahrung damit
[printers]
comment = All Printers
path = /var/tmp
create mask = 0600
printable = Yes
browseable = No

# Brauch ich nicht, daher hab ich keine Erfahrung damit
[print$]
comment = Druckertreiber
path = /var/lib/samba/drivers
write list = @ntadmin root
force group = ntadmin
create mask = 0664
directory mask = 0755

# Eine Freigabe nur für den Webadmin (Intranet) user1 und zusätzlich noch für user2
[www_root]
comment = Basisverzeichniss WWW
path = /opt/lampp/htdocs
valid users = user1 user2
writeable = yes
browseable = yes

2. In der lmhosts den PDC eintragen
127.0.0.1 localhost
xxx.xxx.xxx.xxx DER_PDC_DER_DOMÄNE

3. smb starten
nmb starten
kontrollieren ob beide laufen mit ps -ax | more

Auf der Linux Maschine die Benutzer anlegen, die später auf die Freigaben zugreifen sollen (Passwort ist egal).
Die Datei smbpasswd (Achtung die Datei nicht die Anwendung) kann gelöscht werden.
Kleiner Tipp am Rande: Um zu vermeiden, das User sich später z.B. per Telnet auf der Linux Maschine
anmelden können, einfach in /etc/passwd die Shell des Users auf /bin/FALSE setzen. Somit kann der User sich
nicht direkt an der Konsole und auch nicht per Telnet anmelden!

4. Auf dem PDC im Servermanager ein Konto für den Linux Server erstellen

5. Auf dem Linux Server smbpasswd -j DIE_NT_DOMÄNE starten
Es sollte eine Mitteilung kommen, daß man der Domäne beigetreten ist

6. FERTISCH, nu sollte vom Windows Client eine Freigabe mit dem Usernamen und eine Freigabe www_root zu sehen sein.
Notfalls die Rechte für das freigegebene Verzeichniss (hier htdocs) noch hochsetzen (755 oder 777).