Samba

Aus ConfigWiki
(Unterschied zwischen Versionen)
Wechseln zu: Navigation, Suche
(Die Seite wurde neu angelegt: Bei der Installation wird die Arbeitsgruppe/Domain abgefragt, wir verwenden hier ''SAMBA''. Vorerst genügt eine Arbeitsgruppenumgebung. Die vorhandenen Benutzer wurden...)
 
 
(7 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
 +
[[Category:Administration]]
 
Bei der Installation wird die Arbeitsgruppe/Domain abgefragt, wir verwenden hier ''SAMBA''. Vorerst genügt eine Arbeitsgruppenumgebung.
 
Bei der Installation wird die Arbeitsgruppe/Domain abgefragt, wir verwenden hier ''SAMBA''. Vorerst genügt eine Arbeitsgruppenumgebung.
 
Die vorhandenen Benutzer wurden in das TDB-Backend importiert, haben aber noch keine Passwörter bekommen.
 
Die vorhandenen Benutzer wurden in das TDB-Backend importiert, haben aber noch keine Passwörter bekommen.
Zeile 6: Zeile 7:
  
 
Danach fragen wir den Sambaserver nach den verfügbaren Services:
 
Danach fragen wir den Sambaserver nach den verfügbaren Services:
  # smbclient -L -U <username> //lenny
+
  # smbclient -L -U <username> //lenny3
  
 
Sollten hier Fehler auftreten, sind diese zu beseitigen, bevor versucht wird, LDAP ins Spiel zu bringen.
 
Sollten hier Fehler auftreten, sind diese zu beseitigen, bevor versucht wird, LDAP ins Spiel zu bringen.
Zeile 36: Zeile 37:
 
  ---
 
  ---
 
  >    passdb backend = ldapsam
 
  >    passdb backend = ldapsam
  >    ldap suffix = dc=netbreaker,dc=local
+
  >    ldap suffix = dc=debian,dc=local
  >    ldap admin dn = cn=admin,dc=netbreaker,dc=local
+
  >    ldap admin dn = cn=admin,dc=debian,dc=local
 
  >    ldap ssl = no
 
  >    ldap ssl = no
 
  >    ldap user suffix = ou=people
 
  >    ldap user suffix = ou=people
Zeile 52: Zeile 53:
  
 
Jetzt kann das Samba-Passwort für einen im LDAP hinterlegten Benutzer gesetzt werden:
 
Jetzt kann das Samba-Passwort für einen im LDAP hinterlegten Benutzer gesetzt werden:
  # smbpasswd testuser
+
  # smbpasswd -a testuser
  
ToDo: Fehlersuche
+
Im LDAP-Verzeichnis wird daraufhin dem testuser folgende Attribute hinzugefügt:
  Failed to find entry for user testuser
+
  displayname: TestUser
  Failed to modify password entry for user testuser
+
  objectclass: sambaSamAccount
 +
sambaacctflags: [U          ]
 +
sambantpassword: 41F15D06F7F59A98BDFCCFC9ADB1C106
 +
sambapasswordhistory: 0000000000000000000000000000000000000000000000000000000000000000
 +
sambapwdlastset: 1291395231
 +
sambasid: S-1-5-21-1344755936-1802148465-1015568262-3002
 +
 
 +
Beim 1. Aufruf von smbpasswd wird außerdem im LDAP-Verzeichnis der Domain-Eintrag erzeugt:
 +
dn: sambaDomainName=LENNY3,dc=debian,dc=local
 +
objectclass: sambaDomain
 +
sambaalgorithmicridbase: 1000
 +
sambadomainname: LENNY3
 +
sambaforcelogoff: -1
 +
sambalockoutduration: 30
 +
sambalockoutobservationwindow: 30
 +
sambalockoutthreshold: 0
 +
sambalogontochgpwd: 0
 +
sambamaxpwdage: -1
 +
sambaminpwdage: 0
 +
sambaminpwdlength: 5
 +
sambanextuserrid: 1000
 +
sambapwdhistorylength: 0
 +
sambarefusemachinepwdchange: 0
 +
sambasid: S-1-5-21-1344755936-1802148465-1015568262
 +
 
 +
Obwohl in der smb.conf die Workgroup/Domain
 +
workgroup = SAMBA
 +
angegeben ist, wird im LDAP der Hostname als Domain hinterlegt. (???)
 +
= Hinweise =
 +
== Clients ==
 +
=== Win 7 ===
 +
Bei Problemen  mit der Anmeldung an shares
 +
secpol.msc
 +
* Lokale Richtlinien --> Sicherheitsoptionen
 +
* Netzwerksicherheit: LAN Manager-Authentifizierungsebene
 +
** auf LM-und NTLM-Antworten senden setzten
 +
* Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschliesslich sicherer RPC-Clients)
 +
** auf 128-Bit-Verschlüsselung erfordern deaktivieren

Aktuelle Version vom 3. Januar 2012, 12:24 Uhr

Bei der Installation wird die Arbeitsgruppe/Domain abgefragt, wir verwenden hier SAMBA. Vorerst genügt eine Arbeitsgruppenumgebung. Die vorhandenen Benutzer wurden in das TDB-Backend importiert, haben aber noch keine Passwörter bekommen.

Da bei der Installation der sudo-root-Umgebung ein normaler Benutzer angelegt wurde, der nicht im LDAP gelandet ist, verwenden wir diesen gleich wieder um Samba ohne LDAP zu testen und geben ihm als root ein Passwort:

# smbpasswd <username>

Danach fragen wir den Sambaserver nach den verfügbaren Services:

# smbclient -L -U <username> //lenny3

Sollten hier Fehler auftreten, sind diese zu beseitigen, bevor versucht wird, LDAP ins Spiel zu bringen.


Inhaltsverzeichnis

[Bearbeiten] Samba-LDAP-Konfiguration

Für den Betrieb von Samba mit LDAP ist ein funktionierendes NSS-LDAP, PAM-LDAP wird jedoch nicht benötigt.

In der LDAP-Konfiguration (/etc/ldap/slapd.conf) muß das Samba-Schema aufgenommen werden:

# Schema and objectClass definitions
include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/nis.schema
include         /etc/ldap/schema/inetorgperson.schema
include         /etc/ldap/schema/samba.schema

Das Schema muß noch an die richtige Stelle gelegt werden

# cp /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz /etc/ldap/schema
# gunzip /etc/ldap/schema/samba.schema.gz

Anschließend den LDAP-Server neu starten:

# invoke-rc.d slapd restart 

In /etc/samba/smb.conf sind folgende minimale Anpassungen nötig:

/etc/samba# diff smb.conf.tdb smb.conf
110c110,117
<    passdb backend = tdbsam
---
>    passdb backend = ldapsam
>    ldap suffix = dc=debian,dc=local
>    ldap admin dn = cn=admin,dc=debian,dc=local
>    ldap ssl = no
>    ldap user suffix = ou=people
>    ldap group suffix = ou=group
>    ldap machine suffix = ou=hosts
>    ldap passwd sync = yes

Die Änderungen sollten mit testparm auf Fehler überprüft werden. Danach kann die Serverkonfiguration neu geladen werden:

# invoke-rc.d samba reload

Weiterhin muß das Passwort für ldap admin gesetzt werden:

# smbpasswd -W

Jetzt kann das Samba-Passwort für einen im LDAP hinterlegten Benutzer gesetzt werden:

# smbpasswd -a testuser

Im LDAP-Verzeichnis wird daraufhin dem testuser folgende Attribute hinzugefügt:

displayname: TestUser
objectclass: sambaSamAccount
sambaacctflags: [U          ]
sambantpassword: 41F15D06F7F59A98BDFCCFC9ADB1C106
sambapasswordhistory: 0000000000000000000000000000000000000000000000000000000000000000
sambapwdlastset: 1291395231
sambasid: S-1-5-21-1344755936-1802148465-1015568262-3002

Beim 1. Aufruf von smbpasswd wird außerdem im LDAP-Verzeichnis der Domain-Eintrag erzeugt:

dn: sambaDomainName=LENNY3,dc=debian,dc=local
objectclass: sambaDomain
sambaalgorithmicridbase: 1000
sambadomainname: LENNY3
sambaforcelogoff: -1
sambalockoutduration: 30
sambalockoutobservationwindow: 30
sambalockoutthreshold: 0
sambalogontochgpwd: 0
sambamaxpwdage: -1
sambaminpwdage: 0
sambaminpwdlength: 5
sambanextuserrid: 1000
sambapwdhistorylength: 0
sambarefusemachinepwdchange: 0
sambasid: S-1-5-21-1344755936-1802148465-1015568262

Obwohl in der smb.conf die Workgroup/Domain

workgroup = SAMBA

angegeben ist, wird im LDAP der Hostname als Domain hinterlegt. (???)

[Bearbeiten] Hinweise

[Bearbeiten] Clients

[Bearbeiten] Win 7

Bei Problemen mit der Anmeldung an shares

secpol.msc
  • Lokale Richtlinien --> Sicherheitsoptionen
  • Netzwerksicherheit: LAN Manager-Authentifizierungsebene
    • auf LM-und NTLM-Antworten senden setzten
  • Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschliesslich sicherer RPC-Clients)
    • auf 128-Bit-Verschlüsselung erfordern deaktivieren
Meine Werkzeuge