Samba Fileserver zugriff mit Domain Usern

[diego2k]

Hallo

Ich hab jetzt schon zahlreiche Artikel durchsucht und überall steht etwas anderes, im Moment bin ich total verwirrt.
Folgendes:
Suse Enterprise Server 10 SP2 soll in eine Active Directory(win03) eingebunden werden um dort als SMB Fileserver zu dienen.
Dh. -> er soll SMB Freigaben beinhalten auf die mit den entsprechenden Benutzer und PWD aus der Domain zugegriffen werden kann.
Bei Win sieht so eine Freigabe so aus:
Rechtemaustaste auf Ordner – Freigabe –Freigabeberechtigungen – Hinzufügen
Jetzt taucht ein Fensterchen aus wo ich die User + Gruppen der Domain sehe.
Auswählen und dann noch die jeweiligen Schreib/lese/usw Rechte vergeben und fertig.

So und genau das soll jetzt auf dem Suse Rechner passieren.
Was muss dazu alles Konfiguriert werden.
Gibt’s dazu entsprechende Tuts?

Danke

Diese links helfen nur bedingt weiter:
http://wiki.linux-club.de/opensuse/Samba_in_Win2000_Domain
http://wiki.linux-club.de/opensuse/Active_Directory

 

[stka]

Das ist gut:
http://www.pro-linux.de/work/server/samba3-domaene.html

 

[diego2k]

Dem Benutzer »rainer« das Recht geben, auf die Freigabe zugreifen zu dürfen:
valid users = rainer

Der Domänengruppe »Software« aus der Domäne »Prodas« Zugriff geben:
valid users = @PRODAS/Software


Wie füge ich eine Freigabe hinzu?
z.b /home/asd soll für die Gruppe DomainBenutzer auf der Domain "Msdomain" vollzugriff erhalten

 

[Anonymous]

Hallo Diego,

aufgrund deiner letzten Fragestellung wird ersichtlich, dass du nichtmal die allernötigsten Samba-Grundlagen kennst. Ich kann dir nur raten dich erstmal gründlich in die Materie einzuarbeiten als hier auf die schnelle Hilfe zu hoffen. Mir ist natürlich vollkommen bewußt, dass das keiner lesen will und alle nur auf den schnellen Erfolg aus sind, die Meisten reagieren sogar beleidigt, aber es hilft alles nichts, ohne fundierte Grundlagen wird das nichts.

Ein Anfang könnte dieses Script sein.:

http://samba.sernet.de/uploads/media/skript.pdf

Darin steht alles was du erstmal wissen mußt um überhaupt Freigaben zu erstellen. Wenn das sitzt, dann kannst du dir Gedanken über Samba als Mitgliedsserver im Active Directory machen.

 

[diego2k]

Da soll einer behaupten Linux Distris sind kompliziert und umständlich und nur was für Leute die Stunden in Selbstverständlichkeiten investieren wollen.

Meine Lösung:
Yast2 öffnen – Network Services
-> Kerveros Client einrichten – einfach in den Textfeldern entsprechende Werte eintragen.
-> Windows Domain Membership – Domain eintragen, hacken bei „Also use smb inf for Linux Auth.“, „Create Home Dir. on Login“ und „Offlne Auth.“ kann auch noch angehackt werden ist aber nicht muss.
-> So und jetzt zu Samba Service, Start-Up - Ports frei geben Share – hier können die Shars freigegeben werden. Identity – Domain eintragen dann auf Adcanced Settings und unter „security“ ADS eintragen.

Nun sollte der zugriff auf die Freigegebenen Ordner mithilfe der Domain User möglich sein. Wer hier das Problem hat dsa die Settings nach jedem Neustart wieder weg sind: Einfach als Root einloggen dann beleibt alles gespeichert.

Mein Problem besteht immer noch darin das ich nicht bestimmen kann welcher User auf welchen Ordner zugreifen kann. Es muss doch irgedwo die möglichkeit geben einzugragen welcher User/Gruppe auf einen bestimmten Share zugreifen kann?

 

[stka]

Dein Problem wird der "winbind seperator sein, änder das mal auf

winbind separator = +

Dann starte den samba neu und schau dir mal mit

getent group

Die Liste deiner Gruppen an, dann trage das Ergebnis bei "valid groups" ein. Der "/" gibt ein Problem, das der als Trennzeichen für einen Pfad verwendet wird.

 

[diego2k]

es war wirklich der winbind separator schuld ...
Suse trägt diesen Eintrag gar nicht ein, dh. selber
winbind separator = \
eintragen.
Ich habe mich aber wegen der englischen Tastatur vertan und immer / geschrieben -.-

valid users = domain\user
valid users = @domain\group
admin user = ....

So jetz funktioniert alles, danke
Mit Suse ist es praktisch nur mit geklicke mögliche, einen Linux Rechner an ein AC anzubinden und die SMB Freigaben für die Domain User einzurichten.
Aber das muss sich noch rumsprechen, es gab kein einziges Tut im inet das es mit dem Yast erklärt. Sogar im Suse handbuch war das nur
so nebenbei angeschnitten ... schade

 

[Anonymous]

Das hört sich ja alles supertoll an, aber es handelt sich in deiner Beschreibung nur um die Freigabeberechtigungen der Homeverzeichnisse. Mich würde jetzt mal interessieren wie du mit deiner Methode und deinem Wissen eine Freigabe mit entsprechenden Berechtigungen auf Dateisystemebene auf dem Fileserver anlegst.

 

[diego2k]

mit net groupmap kann man sie auf die lokalen Gruppen übertragen der Rest klappt mit der rechten Maustaste.
Brauche ich aber nicht weil die SMB Berechtigungen sowieso durch die ganze Ordner Struktur laufen sollen.
Abgesehen davon klappt die Freigabe bei jedem Beliebigen Ordner.

 

[Anonymous]

Hallo diego,

du sprichst immer nur von den "Freigabeberechtigungen", die sind aber eher vernachlässigbar da sie keine Sicherheit darstellen. Interessant sind die Berechtigungen auf Dateisystemebene, in Windows auch als NTFS-Berechtigungen bekannt. Wie stellst du diese Berechtigungen für die Shares auf dem Fileserver mit deiner Klick-Administration ein?

 

[diego2k]

die sind aber eher vernachlässigbar da sie keine Sicherheit darstellen.

Das ist so nicht richtig. Es gilt immer die Einschränkung die am stärksten ist. Wenn du ntfs Rechte gibst bei der Benutzer schluckspecht Vollzugriff hat aber die Smb Freigabe für ihn nur auf lesen frei gibst wird dieser Benutzer darauf nie etwas schreiben können. Genau dasselbe passiert auch wenn du ntfs und smb Berechtigungen tauscht.
Das ganze macht nur sinn wenn du eine Freigabe hast in der es 2 Ordner gibt einen für die „AbteilungA“ und einen für die „AbteilungB“: Beide sollen in beiden Ordner lese rechte haben aber nur in ihrem eigenen schreibrechte, außerdem sollen sie in der Hauptfreigabe keine schreibrechte haben. Dies ist allein mit der SMB Freigabe nicht mehr möglich zu realisieren, außer man macht für beide Ordner eine extra Freigabe. Hier benötigt man auch die NTFS Berechtigungen, die den Hauptordner als auch die 2 Unterordner entsprechend anpassen, wobei die SMB Freigabe auf Vollzugriff für beide Gruppen steht. Ein weiterer Anwendungsfall wäre auch wenn man eine feinere Rechte Abstimmung braucht.
Bei mir trifft nix davon zu, daher ist es irrelevant.

 

[stka]

Auch dafür braucht man die Freigabeberechtigungen nicht. Das regelt man im Dateisystem über ACLs. Ich verwende die SMB-Berechtigungen höchsten dazu um die Rechte festzulegen die ein Berechtigter Benutzer über Windows vergeben darf. Alles was die Dateisystemsicherheit angeht sollte immer über Dateisystemrechte geregelt werden. Mit den ACLs kann man alles das machen. Ach ja "hide unreadable" verwende ich natürlich.

 

[Anonymous]

Diego, ich will mich hier auch nicht weiter streiten, da du eh nicht einsichtig bist und deine Antworten zeigen, dass du relativ wenig Ahnung auf dem Gebiet hast. Es reicht mir schon, wenn der ein oder andere Leser begriffen hat, das es eben nicht mit ein paar Klicks getan ist. Ich hoffe nur, dass du nicht in einem Unternehmen für die Administration oder die Sicherheit der Server zuständig bist.

 

[stka]

Das ganz gleitet mit hier ins persönliche ab. Ich mache hier zu.