Samba Server benutzerrechte innerhalb einer freigabe

DJCORNI · 05.09.2003

wenn ich eine freigabe habe, in der mehrere ordner gespeichert sind - wie kann ich erreichen das ein bestimmter benutzer nicht einen dieser ordner kommt?
muss ich dazu den ordner aus der freigabe nehmen oder kann er dort bleiben und man kann extra rechte einstellen wie auf windows per NTFS rechte oder so
PS: währe gut wenn man das über webmin oder so einfach erledigen könnte
oder ssh

cane · 08.09.2003

Das läuft über eine spezielle Datei.
Bemühe google...

cane

hp · 08.09.2003

also versuch mal die rechte über ms umgebung zu vergeben, der samba kann inzwischen auch ntfs verhalten simulieren, auf linuxebene wirst du dich schwer tun, du mußt dann jedem user speziell die berechtigung für die einzelne verzeichnisse bzw. dateien vergeben. die datei in der das ganze konfiguriert wird, heißt smb.conf und steht normalerweise unter /etc/samba, mit webmin hab ich keine erfahrung, hab samba immer von der komandozeile aus administriert. auf www.samba.org gibt´s sehr viele doks zum nachlesen, was es mit der smb.conf auf sich hat.

greetz

hugo

DJCORNI · 08.09.2003

ja danke ich glaube das bringt so und so nicht viel wenn ich da zu viel insiderwissen zu Samba 2 hab - Samba 3 kommt ja bald und dann soll ja alles einfacher werden

frank60 · 09.09.2003

cane schrieb:
Das läuft über eine spezielle Datei.

Nein.

An den Rechten im Dateisystem würde ich nicht herumfummeln, das kann schon einmal wilde Effekte nach sich ziehen. Besser ist es, das Ganze auf Share Ebene in der smb.conf zu machen.
Einfach im Abschnitt, der das betreffende Share beschreibt, die Zeile
valid users = username1, username2, ...
eintragen, dann klappts auch.
Daß die betreffenden Benutzerkonten auf dem Samba Server existieren müssen und auch in der smbpasswd, versteht sich natürlich von selbst. Oder es wird eine Authentifizierung via LDAP, etc., genutzt.

MfG

DJCORNI · 09.09.2003

Authentifizierung via LDAP
für mich stellt sich immer noch die frage wie die genau einzurichten ist (wenn man 2k/2k3 server actice directory hat)
gibts da einfach zu verstehende anleitungen die nicht zu viele unnötige hardcore einstellungen beschreiben sondern bei den einfachen grundlagen dafür anfangen?

Ralli · 10.09.2003

Warum willst Du die Benutzer via LDAP authentifizieren ?

Wenn ich Dich richtig verstehe, hast Du ein bestehendes AD und der Samba ist ein Member-Server ? Dann nimm den Samba einfach in die Domäne auf und stelle die Authentifizierung auf Domäne ein (mit den entsprechenden sonstigen Angaben). Das klappt bei mir einwandfrei.

Nach wie vor müssen (egal ob LDAP-Auth oder andere Auth) jedoch auch die Linux-User eingetragen sein. Um dies zu umgehen, kannst Du ein Auto-Add-Script im Samba eintragen, so dass Samba automatisch, wenn sich ein Domänen-Benutzer mit dem Samba verbindet, der noch nie da war, diesen Benutzer als Linux-Benutzer einträgt.

Schau mal hier, das dürfte genau das sein, was Du suchst: http://gladewitz.de/linux/samba/beispiel2.html

DJCORNI · 10.09.2003

samba ist nicht mitglied der domain sondern in einer eigenen arbeitsgruppe.
bestehendes AD ist allerdings da

des problem ist wie ich samba in die domain reinbring so das es vernüftig rennt!?

Ralli · 10.09.2003

Ich verstehe Dein Problem nicht.

Erstelle im AD ein Computerkonto und führe danach auf Deinem Linux als root ein smbpasswd -j DOMAIN aus (wobei DOMAIN = der NT4-Name Deiner Domain ist).

Vorher muss aber die smb.conf bereits so konfiguriert sein, dass der Password-Server auf Deinen DC zeigt und Security=Domain eingestellt ist.

Ich hab's gerade heute noch so gemacht und der Samba läßt sich von jedem Domain-User wie ein ganz normaler Windows-Server ansprechen, ohne dass ich auch nur einen einzigen User auf dem Linux eingetragen habe.

Und wenn er auf keinen Fall Domänen-Mitglied werden soll, dann stelle Security=Server ein, dann funktioniert die Auth trotzdem er kein Domänen-Mitglied ist

.

DJCORNI · 10.09.2003

ah cool

muss ich mal probieren
welche konfigurationsdateien werden dabei geändert? (ich will die vorher backuppen weil der server wichtig sit und ich grad keinen testserver habe...)

Ralli · 10.09.2003

Nur die smb.conf . Sonst nix.

Die Passwort-Dateien werden nur dann verändert, wenn die Auth auf User (oder auch Share?) steht.

DJCORNI · 10.09.2003

gut danke
schau ma mal wie weit ich komme

klickt man rechts auf das computerkonto in der AD Verwaltung auf eigenschaften steht das system des clients in einem feld - bindet man den samba server ein steht da dann auch ein system oder gar nichts?

DJCORNI · 10.09.2003

cool hat gefunzt

bei dem shares dann einfach je die berechtigten benutzer/gruppen aus dem AD eintragen oder?

DJCORNI · 10.09.2003

mm also das einbinden des servers ging

aber ich habe z. B. einen AD benutzer (cla = username) jetzt als benutzer bei global und einer freigabe als berechtigeten benutzer eingegeben. anmelden kann sich dieser user aber nicht mit seinem AD kennwort usw.
warum geht das nicht?

Ralli · 10.09.2003

Hi Conni,

1) im AD mit der rechten Maustaste auf das Computerkonto, da siehst Du auch was mit System - das ist das, was Du unter Samba eintragen kannst (wie er sich melden soll), in den Standard-Einstellungen meldet er sich als NT Server Version 4.9
2) die Übersetzung von Gruppen aus dem AD in den Samba hinein funktioniert IMHO in der Version 2.2 nicht so, Du kannst nur User berechtigen oder NIS- bzw. *lokale* Linux-Gruppen
3) das verstehe ich nicht ganz - was heißt, er kann sich anmelden aber nicht mit seinem AD-Passwort ?

Bezüglich der User und Gruppen: Du kannst in dem User-auto-add-Script auch definieren, in welche (primäre) Linux-Gruppe ein neuer User aufgenommen werden soll und diese Gruppen kannst Du dann auf die Shares berechtigen.

Ach so, wichtig: Du mußt beim Erstellen des Computerkontos im AD anklicken, dass er NT4-Features verwendet !

DJCORNI · 10.09.2003

mit AD User ist ein benutzer gemeint der im AD eingetragen ist mit benutzernamen und kennwort

das problem ist ja genau das die benutzer aus dem AD inkl. kennwörter von SMB Server nicht übernommen werden!

NT4 kompatibel kann ich mal überall anmachen

Ralli · 10.09.2003

Conni schrieb:
NT4 kompatibel kann ich mal überall anmachen

Das ist wichtig ! So klappt's bei mir in einer AD-Domäne einwandfrei.

hp · 10.09.2003

das geht aber nur im gemischten modus, wenn ad einheitlich ist funzt das nicht. samba 3 soll voll ldap, sprich ad fähig sein. unter umständen mal auf smba.org vorbeigucken wie weit sanba 2 ist und den mal probewseise auch als beta oder rc installieren und testen.

grettz

hugo

Ralli · 11.09.2003

@hp: Nein, das ist falsch. Es ist weit verbreiteter (und von MS geschürter) Irrglaube, NT4-Clients würden im Nativ-Mode nicht mehr in einer W2K-Domäne funktionieren. Fakt ist, dass spezielle AD-Sachen nicht funktionieren aber die reine Domänen-Funktionalität mit User- und Maschinen-Authentifizierung klappt einwandfrei.

Bei mir ist die Domäne im Nativ-Mode und es klappt mit meinem Samba so wie ich es beschrieben habe.

hp · 11.09.2003

also ich bezieh mich auf samba als pdc und nicht als client. als normaler meberserver oder client innerhalb der ad funktioniert der zugriff einwandfrei, da hast du recht. ab samba 3 soll man dann den sambaserver voll als dc in ad einsetzten können, hab da allerdings keine erfahrungen mit.

greetz

hugo

Samba Server benutzerrechte innerhalb einer freigabe

DJCORNI

cane

hp

DJCORNI

frank60

DJCORNI

Ralli

DJCORNI

Ralli

DJCORNI

Ralli

DJCORNI

DJCORNI

DJCORNI

Ralli

DJCORNI

Ralli

hp

Ralli

hp

Samba Server benutzerrechte innerhalb einer freigabe

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums