OpenSuSE 10.1 Samba 3.0.23c MIT ROAMING PROFILES

Medozas · 17 Okt. 2006

Hallo liebe SuSE-Gemeinde.

Ich habe ein problem. Ich bräuchte (aus Zeitdruck) so schnell wie möglich einen funktionierenden Samba, der roaming profiles kann.

Mittlerweile habe ich es (nach etlichem Zähneknirschen) endlich geschafft einen PDC mit LDAP-Backend aufzusetzen, und der auch wirklich stabil und gut läuft.

Aber es wollen einfach keine Roaming Profiles!!!

Ich habe auch das howto von opensuse.org befolgt, aber leider ohne hilfe. Wenn sich jemand als mein Retter herauskristallisiert, dann aber 100 pro zeige ich mich erkenntlich!

Folgendes steht in der smb.conf unter profiles drin:
Alles was auskommentiert ist, habe ich in den Verschiedensten Varianten schon probiert!

Code:

# Defining profile share ( for roaming profiles )
####################################################
#[profiles]
#path = /data/profiles
#create mask = 0600
#directory mask = 0700
#browseable = No
#writeable = yes
#guest ok = Yes
##printable = no
#force user = %U
#valid users = %U "Domain Admins"
##read only = No
#csc policy = disable
##inherit owner = yes
##inherit permissions = yes
#profile acls = yes

##root preexec = PROFILE=/data/profiles/%u; chmod 7777 $PROFILE -R ;
#root preexec = setfacl -m user::rwx,group::rwx,other::rwx,mask::rwx,d:user::rwx,d:group::rwx,d:other::rwx,d:mask::rwx -R /data/profiles/%U
#root postexec = setfacl -m user::rwx,group::rwx,other::rwx,mask::rwx,d:user::rwx,d:group::rwx,d:other::rwx,d:mask::rwx -R /data/profiles/%U


[profiles]
        path = /data/profiles
        #nt acl support = no
        csc policy = disable
        profile acls = yes
        browseable = yes
        create mode = 0700
        directory mode = 0700
        read only = no
        default case = lower
        preserve case = no
        short preserve case = no
        mangle case = yes
        case sensitive = no
        directory security mask = 0700
        security mask = 0600

die Rechte unter /data/profiles schauen so aus:
schom mit 777, 7777, setfacl, und vielen mehr noch probiert.

Code:

23:12 Taurodom:/data/profiles # ll
total 1
drwsrwsrwt+  3 root    root  72 Oct 17 22:29 .
drwsrwsrwt   9 root    root 240 Oct 17 11:14 ..
drws--S--T+ 15 medozas root 520 Oct 17 22:45 medozas

das lustige ist ja wirklich, ich sehe einfach keine fehlermeldungen...

Code:

[2006/10/17 22:45:39, 2] smbd/close.c:close_normal_file(344)
  medozas closed file medozas/anwendungsdaten/microsoft/clr security config/v1.1.4322/prf20a.tmp (numopen=0)
[2006/10/17 22:45:39, 2] smbd/open.c:open_file(352)
  medozas opened file medozas/anwendungsdaten/microsoft/clr security config/v1.1.4322/prf20a.tmp read=No write=No (numopen=1)
[2006/10/17 22:45:39, 2] smbd/close.c:close_normal_file(344)
  medozas closed file medozas/anwendungsdaten/microsoft/clr security config/v1.1.4322/prf20a.tmp (numopen=0)
[2006/10/17 22:45:39, 2] smbd/open.c:open_file(352)
  medozas opened file medozas/anwendungsdaten/microsoft/clr security config/v1.1.4322/prf20b.tmp read=No write=No (numopen=1)
[2006/10/17 22:45:39, 2] smbd/close.c:close_normal_file(344)
  medozas closed file medozas/anwendungsdaten/microsoft/clr security config/v1.1.4322/prf20b.tmp (numopen=0)
[2006/10/17 22:45:39, 2] smbd/open.c:open_file(352)
  medozas opened file medozas/anwendungsdaten/microsoft/clr security config/v1.1.4322/prf20b.tmp read=No write=No (numopen=1)
[2006/10/17 22:45:39, 2] smbd/close.c:close_normal_file(344)
  medozas closed file medozas/anwendungsdaten/microsoft/clr security config/v1.1.4322/prf20b.tmp (numopen=0)
[2006/10/17 22:45:39, 2] rpc_server/srv_samr_nt.c:_samr_lookup_domain(2797)
  Returning domain sid for domain GTAURO.NET -> S-1-5-21-4087216907-4145495392-7936343
[2006/10/17 22:45:39, 2] passdb/pdb_ldap.c:init_sam_from_ldap(541)
  init_sam_from_ldap: Entry found for user: medozas
[2006/10/17 22:45:39, 2] passdb/pdb_ldap.c:init_group_from_ldap(2136)
  init_group_from_ldap: Entry found for group: 513
[2006/10/17 22:45:39, 2] passdb/pdb_ldap.c:init_group_from_ldap(2136)
  init_group_from_ldap: Entry found for group: 513
[2006/10/17 22:46:08, 1] smbd/service.c:close_cnum(1141)
  tauro_fepa_app (192.168.205.199) closed connection to service netlogon

Ich bitte euch, ihr sicherlich abgöttischen cracks da draussen, hilft mir - ich habe jetzt wirklich nach über 40 stunden alle karten ausgespielt (denke ich).

ich habe auch schon so ziemlich jedes andere howto durch wie z.B. das http://wiki.bsdforen.de/index.php/FreeBSD_-_Samba_PDC#Network_Default_User_Profile
freebsd tutorial

ich habe auch schon das UPHClean von microsoft draufgehauen, komme aber einfach nicht mehr weiter.

jede hilfe wäre ein traum danke schon mal im voraus!

Mike

pft · 17 Okt. 2006

wenn Du keine Fehler findest - vielleicht gibt (hier) es keine.

Hast Du die Windows Clients auf Roaming Profiles umgestellt?

Medozas · 18 Okt. 2006

Wie meinst du, clients anpassen?

Die cleitns sind der Domäne zugeörig, kriegen auch ein home share gemappt, sieht alles gut aus.

sonst gibt es doch nicht am client einzustellen, oder irre ich mich da?

ich möchte noch betonen, dass es sich um neue Profile handelt! Ich habe nicht die absicht irgendwelche zu übernehmen (z.B. von lokale auf servergespeichertes profil). Wie beschrieben, das erste mal wird das Profil ja auch sauber abgespeichert.

Danke schon mal f. die mühen

pft · 18 Okt. 2006

doch da war was.
Leider kann ich das bei meinem Bürorechner nicht nachvollziehen, da ich hier nicht admin bin.

irgendwo bei den Benutzerkonten bzw. unter Arbeitsplatz/Eigenschaften/... konnte man einstellen ob man lokale Profile verwendet oder zentrale

siehe auch http://us3.samba.org/samba/docs/man/Samba-HOWTO-Collection/ProfileMgmt.html#id2664149

wenn Du es bis heute abend nicht hinbekommst melde Dich noch mal

Medozas · 18 Okt. 2006

danke pft,

aber leider hilft mir das auch nicht weiter...

ich habe wie oben schon beschrieben auch den User Profile Hive Cleanup Service installiert, um sicher zu gehen dass nichts noch darauf zugreift (registry-mäßig), wenn man bei einem ms-produkt "sicher" sagen kann.

ich bin jetzt nochmal deinem link gefolgt (obwohl ich den schon durch hatte), und habe alles da drinnen schon versucht, wobei das meiste sich auf profile transferieren (lokal->serverbasiert), oder mit merging bzw. 9x profilen beschäftigt.

Keines dieser Anworten ist eine Lösung für mein Problem. Ich benötige ja momentan eigentlich nur das mindeste. Ein Profil, dass beim abmelden sauber abspeichert. Dieses Profil bezieht er auch schon von \\meinserver\netlogon\Default User (speichern funktioniert auch nicht, wenn er es von lokal bezieht). Dieses Default User ist von einer nakten XP-Installation hinaufkopiert worden (mittels xcopy gemäß http://wiki.bsdforen.de/index.php/FreeBSD_-_Samba_PDC#Network_Default_User_Profile).

Hat jemand da noch rat?

Jede Hilfe wäre göttlich, danke.

rolle · 18 Okt. 2006

Poste doch mal den globalen Teil Deiner smb.conf. Das Roaming an der Profilen wird nämlich dort eingestellt. Eventuell hilft Dir auch meine smb.conf weiter, dort funktionieren die Roaming Profiles:

http://www.linux-club.de/faq/Samba_Musterkonfigurationen

Wenn Du verhindern willst, daß lokale Kopien der Profile gespeichert werden mußt Du Unter Windows in Systemsteuerung-Verwaltung-Sicherheitsrichtlinien (glaube ich) einen Eintrag suchen, der genau das macht. Genauer kann ich es gerade nicht sagen, ich sitze hier an einem SuSE.

Medozas · 18 Okt. 2006

Hi rolle!

also du hast mir wirklich hier nicht nur den tag sondern die woche gerettet! Besten Dank dafür!!!

mein endgültiger profiles-abschnitt sieht nun so aus:

Code:

[profiles]
path = /data/profiles
create mask = 0706
force create mode = 0706
force security mode = 0706
directory mask = 0706
force directory mode = 0706
force directory security mode = 0706
profile acls = Yes
browseable = No
read only = No
hide files = /desktop.ini/outlook*.lnk/*Briefcase*/
csc policy = disable
store dos attributes = Yes
force user = %U
valid users = %U "Domain Admins"

Ich habe bemerkt, dass das 0706 recht reicht, damit alles so funktioniert, wie es soll. Aber ehrlich gesagt verstehen tu ich das ganze noch nicht...

Dies müsste doch bedeuten, dass windows als bereits ausgeloggter user, bzw als nicht mehr mit den login-credentials versehener user weiter versucht, in das profil zu schreiben, und dies ihm nicht gelingt (ergo: fehler). Andere Erklärungen können doch eigentlich gar nicht sein, oder? Also für eine Erklärung hierauf würde ich echt brennen.

Es ist ja vor allem Sicherheitstechnisch nicht unbedingt erste Sahne, dass jeder dahergelaufene in das Profil eines anderen rumlatschen und sogar änderungen vornehmen kann. Ich bin verdammt heil froh, dass es jetzt erst mal funktioniert, aber gestorben ist es bei mir erst mit 0700

Verbesserungsvorschläge wären echt supi, aber nochmals DANKE!

richte mal einen donation-button ein

mike

Medozas · 18 Okt. 2006

hi nochmal,

ich muss mich korrigieren,

die benötigten rechte lauten 707, nicht 706

windows 2000 sp4 braucht nur 706, aber
windows xp sp2 braucht 707

da er ansonsten wieder ein schönes "access denied" ausspuckt.

dies soll nur der info halber dienen, falls es noch andere geben sollte, die das hier lesen, und ansonsten genauso wie ich es tat, verzweifeln.

immer noch scharf auf den grund, warum 707!!!!
|
v
mike

jengelh · 18 Okt. 2006

706/707, was'n das für ne komische Kombo? Wer sind denn die anderen, die rwx bräuchten?

Medozas · 18 Okt. 2006

Hi jengelh,

nebenbei: Linux Taurodom 2.6.18-jen35-default #1 SMP Mon Oct 2 19:27:41 EDT 2006 x86_64 x86_64 x86_64 GNU/Linux

das soll meinen respekt dir gegenüber zeigen - bin dein groesster fan! mach weiter so!

zu der sache:

wie oben geschildert: ich werde auch nicht ganz schlau aus der sache, es ist aber tatsächlich so - ich habe hier auf einem anderen server 2 jungfräuliche installationen (unter vmware server) - eine 2ksp4, eine xpsp2 - mit 707 und 706 passiert genau das geschilderte - es handelt sich hierbei um 2 deutsche win-installationen (standard - nichts besonderes).

es wäre sicherlich mal ne sache für das samba-team

mike

jengelh · 18 Okt. 2006

Nein ich meine - als welcher User versucht Samba denn in genannte Verzeichnisse zu wechseln, dass es 706/707 erfordert?

Medozas · 18 Okt. 2006

jetzt verstehe ich... aber trotzdem kann ich es leider nicht genau sagen, da es selbst mit loglevel 256 einfach keine fehler ausgeworfen hat. ich bin da auch nicht deeeer oberguru, um das genau zu identifizieren, aber ich werde mich mal heute nacht dransetzen (mit meiner alten config) um herauszufinden, was sache is.

jengelh · 18 Okt. 2006

Hm, auf 700 stellen und den smbd-Prozess der für deine Verbindung verantwortlich ist (gibt mehrere smbd-Prozesse) stracen.

rolle · 18 Okt. 2006

Wenn Du meine smb.conf genau angesehen hast, dann siehst Du, daß ich alle Teile mit 'mask' unter [profiles] auskommentiert habe. Eigentlich müßte 'profile acls = yes' genügen.
Zur Erklärung zu der Sache mit den 'anderen': Ich meine herausgefunden zu haben, daß die Windowsclients auch noch nach der Abmeldung einer Nutzerin Teile des Profils schreiben wollen. Deshalb gibt es die Option profile acls, die löst genau dieses Problem.

TomcatMJ · 18 Okt. 2006

Wenn ich mich jetzt nicht völlig irre, dann schreibt der lokale Windowsuser SYSTEM des jeweiligen Clientrechners manchmal noch etwas in den Profilen, der ja nun nicht der eigentliche Besitzer der jeweiligen Dateien ist. Das könnte dann der Grund dafür sein, daß Unix/Linux-"Others" da auch Zugriff benötigt.

Bis denne,
Tom
P.S.: Mit entsprechendem Usermapping in eine eigene Gruppe für alle SYSTEM genannten User der Cients und Einsatz von (ja auch vererbbaren) Linux-ACLs im Linux-Dateisystem müsste man diese durch die umask gegebene Sicherheitslücke eigentlich auch schließen können, dürfte nur evtl. in bischen Arbeit ausarten die notwendigen User zu mappen...

Medozas · 20 Okt. 2006

Hi leute,

danke schon mal an rolle, der mir doch hier den entscheidenden Tip gab, also wenns was gibt (wie im ersten eintrag beschrieben), dann zeige ich mich gerne erkenntlich!

Das mit den profile acls, ja... hmmm.... helfen nicht, zumindest nicht bei mir. Erst seitdem ich eben die bei dir auskommentieren masks verwende, funktioniert alles, und auch immer noch. insgesamt war ich mit der thematik jetzt 3 tage beschäftigt, davon einmal ca. 32 stunden am stück. ich habe auch eben zu dem thema acls mit wahnsinnig reingesteigert.

ich habe
1. mit setfacl selbst acls angepasst (in zusammenhang mit den inherit acls glaube ich hießen die), damit alle auch alles dürfen
2. ebenso probiert mit nt acl bla (... weiss jetzt auf anhieb den namen nicht) alle acls sogar auszuschalten
3. diversester kombinationen von rechtevergabe und eigentums-hick-hack gespielt
4. definitiv auch nt profile acls an gehabt!

5. und noch vieeeel mehr, was ich gar net mehr alles weiß, aber erst die kombination dieser force .... (deine smb.conf eben) hat die richtigen einträge (auch wenn auskommentiert) gehabt.

ich werde mich sicherlich da weiter dran hängen, und hierzu noch genaueres auch hier reinstellen, damit es niemand dann mehr so schwer hat wie ich es haben musste

das wird zwar leider noch dauern, da ich momentan mehr als genug zu tun habe, melde mich aber dann auch

danke nochmal an alle für die hilfe bei diesem prob!