Samba - LDAP - valid user

m-o · 29 Okt. 2008

Hallo,

ich habe mich diese Woche mal mit Samba und LDAP beschäftigt. Mein LDAP Server läuft auf SUSE 10.3.
Alles läuft soweit ganz gut. Ich kann mich mit einem Windows Client an der SambaDomäne anmelden und bekomme auch mein Home-Laufwerk gemappt. Meine Profile werden auch gesichert.
Nun wollte ich gerne einen Samba Share einrichten, auf den nur bestimmt User Zugriff haben sollen.
Da habe ich zwei Probleme:
1. Wenn ich den Share mit SWAT einrichte kann ich diesen bei dem Windows Client nicht mal sehen.
2. Wenn ich ihn mit Yast einrichte kann ich ihn zwar sehen aber nicht darauf zugreifen.
Kann ich bei Samba (SWAT) unter "valid user" den LDAP User eingeben? Das funktionier mit dem jetzigen Share nicht. Und wie müssen die Dateirechte sein?

Vielen Dank für Eure Hilfe
Gruß
m-o

stka · 29 Okt. 2008

Ohne die entsprechende Stelle aus der smb.conf und die Berechtigungen die du im Dateisystem gesetzt hast, wird dir hier keiner helfen können.

m-o · 30 Okt. 2008

Hallo stka,

vielen Dank schon mal für Deine Antwort.
Ich nehme an, dass Du der stka bist, welcher den LDAP Benutzerverwalung Workschop erstellt hat. Vielen Dank dafür. Ich habe meinen Server in Grunde danach aufgebaut.
Aber zurück zu meinem Problem.
Ich habe die Freigaben mit 777 berechtigt. Und kann auch, wenn ich den valid user leer lasse darauf zugreifen. Aber dann kann ja jeder darauf zugreifen. Ich möchte, dass nur ein paari User die Berechtigung haben zu lesen und zu schreiben.
Welche Stelle der smb.conf brauchst Du denn?
Hier ist mal die ganze:

# Samba config file created using SWAT
# from 127.0.0.1 (127.0.0.1)
# Date: 2008/10/29 13:22:12

[global]
workgroup = FIRMA.DE
map to guest = Bad User
passdb backend = ldapsam:ldap://ldapserver.firma.de
printcap name = /etc/printcap
add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %m$
logon path = \\%N\profile\%U
logon drive = H:
domain logons = Yes
os level = 99
preferred master = Yes
domain master = Yes
ldap admin dn = cn=manager,dc=firma,dc=de
ldap group suffix = ou=groups
ldap machine suffix = ou=hosts
ldap passwd sync = Yes
ldap suffix = dc=firma,dc=de
ldap ssl = no
ldap user suffix = ou=users
usershare allow guests = Yes
printing = cups
cups options = raw
print command =
lpq command = %p
lprm command =
include = /etc/samba/dhcp.conf

[homes]
comment = Home Directories
valid users = %S, %D%w%S
read only = No
inherit acls = Yes
browseable = No

[profiles]
comment = Network Profiles Service
path = %H
read only = No
create mask = 0600
directory mask = 0700
profile acls = Yes
store dos attributes = Yes

[users]
comment = All users
path = /home
read only = No
inherit acls = Yes
veto files = /aquota.user/groups/shares/

[groups]
comment = All groups
path = /home/groups
read only = No
inherit acls = Yes

[printers]
comment = All Printers
path = /var/tmp
create mask = 0600
printable = Yes
browseable = No

[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @ntadmin, root
force group = ntadmin
create mask = 0664
directory mask = 0775

[netlogon]
comment = Network Logon Service
path = /var/lib/samba/netlogon
write list = root

[smb_freigabe3]
path = /smb_freigabe3
read only = No
inherit acls = Yes
profile acls = Yes

[profile]
comment = Freigabe fÃ¼r Servergespeicherte Profile
path = /profile
read only = No
profile acls = Yes
browseable = No

[smb_freigabe5]
path = /smb_freigabe5
read only = No
inherit acls = Yes

Gruß
m-o

stka · 30 Okt. 2008

Ich kann dir nur raten, das mit den Berechtigungen lieber über die Linuxberechtigungen zu steuern. Erzeuge ein Gruppe in der alle Benutzer Mitglied sind die auf die Freigabe zugreifen sollen. Dann setze die Rechte so, das nur der Besitzer und die Gruppe Rechte haben. Dann setzen din der smb.conf für die Freigabe die folgenden Parameter:
browsable = No
hide unreadable = yes
Dann kannst du die Verbindung über das logonskript steuern und der Inhalt ist nur für Mitglieder der Gruppe sichtbar.
Die Berechtigungen über samba wirken sich nur als Filter aus, ähnlich der Freigabeberechtigungen unter Windows.

m-o · 30 Okt. 2008

O.k. Vielen Dank
Dann werde ich das so machen.
Gruß
m-o