Samba
(Die Seite wurde neu angelegt: Bei der Installation wird die Arbeitsgruppe/Domain abgefragt, wir verwenden hier ''SAMBA''. Vorerst genügt eine Arbeitsgruppenumgebung. Die vorhandenen Benutzer wurden...) |
|||
(7 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
+ | [[Category:Administration]] | ||
Bei der Installation wird die Arbeitsgruppe/Domain abgefragt, wir verwenden hier ''SAMBA''. Vorerst genügt eine Arbeitsgruppenumgebung. | Bei der Installation wird die Arbeitsgruppe/Domain abgefragt, wir verwenden hier ''SAMBA''. Vorerst genügt eine Arbeitsgruppenumgebung. | ||
Die vorhandenen Benutzer wurden in das TDB-Backend importiert, haben aber noch keine Passwörter bekommen. | Die vorhandenen Benutzer wurden in das TDB-Backend importiert, haben aber noch keine Passwörter bekommen. | ||
Zeile 6: | Zeile 7: | ||
Danach fragen wir den Sambaserver nach den verfügbaren Services: | Danach fragen wir den Sambaserver nach den verfügbaren Services: | ||
− | # smbclient -L -U <username> // | + | # smbclient -L -U <username> //lenny3 |
Sollten hier Fehler auftreten, sind diese zu beseitigen, bevor versucht wird, LDAP ins Spiel zu bringen. | Sollten hier Fehler auftreten, sind diese zu beseitigen, bevor versucht wird, LDAP ins Spiel zu bringen. | ||
Zeile 36: | Zeile 37: | ||
--- | --- | ||
> passdb backend = ldapsam | > passdb backend = ldapsam | ||
− | > ldap suffix = dc= | + | > ldap suffix = dc=debian,dc=local |
− | > ldap admin dn = cn=admin,dc= | + | > ldap admin dn = cn=admin,dc=debian,dc=local |
> ldap ssl = no | > ldap ssl = no | ||
> ldap user suffix = ou=people | > ldap user suffix = ou=people | ||
Zeile 52: | Zeile 53: | ||
Jetzt kann das Samba-Passwort für einen im LDAP hinterlegten Benutzer gesetzt werden: | Jetzt kann das Samba-Passwort für einen im LDAP hinterlegten Benutzer gesetzt werden: | ||
− | # smbpasswd testuser | + | # smbpasswd -a testuser |
− | + | Im LDAP-Verzeichnis wird daraufhin dem testuser folgende Attribute hinzugefügt: | |
− | + | displayname: TestUser | |
− | + | objectclass: sambaSamAccount | |
+ | sambaacctflags: [U ] | ||
+ | sambantpassword: 41F15D06F7F59A98BDFCCFC9ADB1C106 | ||
+ | sambapasswordhistory: 0000000000000000000000000000000000000000000000000000000000000000 | ||
+ | sambapwdlastset: 1291395231 | ||
+ | sambasid: S-1-5-21-1344755936-1802148465-1015568262-3002 | ||
+ | |||
+ | Beim 1. Aufruf von smbpasswd wird außerdem im LDAP-Verzeichnis der Domain-Eintrag erzeugt: | ||
+ | dn: sambaDomainName=LENNY3,dc=debian,dc=local | ||
+ | objectclass: sambaDomain | ||
+ | sambaalgorithmicridbase: 1000 | ||
+ | sambadomainname: LENNY3 | ||
+ | sambaforcelogoff: -1 | ||
+ | sambalockoutduration: 30 | ||
+ | sambalockoutobservationwindow: 30 | ||
+ | sambalockoutthreshold: 0 | ||
+ | sambalogontochgpwd: 0 | ||
+ | sambamaxpwdage: -1 | ||
+ | sambaminpwdage: 0 | ||
+ | sambaminpwdlength: 5 | ||
+ | sambanextuserrid: 1000 | ||
+ | sambapwdhistorylength: 0 | ||
+ | sambarefusemachinepwdchange: 0 | ||
+ | sambasid: S-1-5-21-1344755936-1802148465-1015568262 | ||
+ | |||
+ | Obwohl in der smb.conf die Workgroup/Domain | ||
+ | workgroup = SAMBA | ||
+ | angegeben ist, wird im LDAP der Hostname als Domain hinterlegt. (???) | ||
+ | = Hinweise = | ||
+ | == Clients == | ||
+ | === Win 7 === | ||
+ | Bei Problemen mit der Anmeldung an shares | ||
+ | secpol.msc | ||
+ | * Lokale Richtlinien --> Sicherheitsoptionen | ||
+ | * Netzwerksicherheit: LAN Manager-Authentifizierungsebene | ||
+ | ** auf LM-und NTLM-Antworten senden setzten | ||
+ | * Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschliesslich sicherer RPC-Clients) | ||
+ | ** auf 128-Bit-Verschlüsselung erfordern deaktivieren |
Aktuelle Version vom 3. Januar 2012, 12:24 Uhr
Bei der Installation wird die Arbeitsgruppe/Domain abgefragt, wir verwenden hier SAMBA. Vorerst genügt eine Arbeitsgruppenumgebung. Die vorhandenen Benutzer wurden in das TDB-Backend importiert, haben aber noch keine Passwörter bekommen.
Da bei der Installation der sudo-root-Umgebung ein normaler Benutzer angelegt wurde, der nicht im LDAP gelandet ist, verwenden wir diesen gleich wieder um Samba ohne LDAP zu testen und geben ihm als root ein Passwort:
# smbpasswd <username>
Danach fragen wir den Sambaserver nach den verfügbaren Services:
# smbclient -L -U <username> //lenny3
Sollten hier Fehler auftreten, sind diese zu beseitigen, bevor versucht wird, LDAP ins Spiel zu bringen.
Inhaltsverzeichnis |
[Bearbeiten] Samba-LDAP-Konfiguration
Für den Betrieb von Samba mit LDAP ist ein funktionierendes NSS-LDAP, PAM-LDAP wird jedoch nicht benötigt.
In der LDAP-Konfiguration (/etc/ldap/slapd.conf) muß das Samba-Schema aufgenommen werden:
# Schema and objectClass definitions include /etc/ldap/schema/core.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/inetorgperson.schema include /etc/ldap/schema/samba.schema
Das Schema muß noch an die richtige Stelle gelegt werden
# cp /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz /etc/ldap/schema # gunzip /etc/ldap/schema/samba.schema.gz
Anschließend den LDAP-Server neu starten:
# invoke-rc.d slapd restart
In /etc/samba/smb.conf sind folgende minimale Anpassungen nötig:
/etc/samba# diff smb.conf.tdb smb.conf 110c110,117 < passdb backend = tdbsam --- > passdb backend = ldapsam > ldap suffix = dc=debian,dc=local > ldap admin dn = cn=admin,dc=debian,dc=local > ldap ssl = no > ldap user suffix = ou=people > ldap group suffix = ou=group > ldap machine suffix = ou=hosts > ldap passwd sync = yes
Die Änderungen sollten mit testparm auf Fehler überprüft werden. Danach kann die Serverkonfiguration neu geladen werden:
# invoke-rc.d samba reload
Weiterhin muß das Passwort für ldap admin gesetzt werden:
# smbpasswd -W
Jetzt kann das Samba-Passwort für einen im LDAP hinterlegten Benutzer gesetzt werden:
# smbpasswd -a testuser
Im LDAP-Verzeichnis wird daraufhin dem testuser folgende Attribute hinzugefügt:
displayname: TestUser objectclass: sambaSamAccount sambaacctflags: [U ] sambantpassword: 41F15D06F7F59A98BDFCCFC9ADB1C106 sambapasswordhistory: 0000000000000000000000000000000000000000000000000000000000000000 sambapwdlastset: 1291395231 sambasid: S-1-5-21-1344755936-1802148465-1015568262-3002
Beim 1. Aufruf von smbpasswd wird außerdem im LDAP-Verzeichnis der Domain-Eintrag erzeugt:
dn: sambaDomainName=LENNY3,dc=debian,dc=local objectclass: sambaDomain sambaalgorithmicridbase: 1000 sambadomainname: LENNY3 sambaforcelogoff: -1 sambalockoutduration: 30 sambalockoutobservationwindow: 30 sambalockoutthreshold: 0 sambalogontochgpwd: 0 sambamaxpwdage: -1 sambaminpwdage: 0 sambaminpwdlength: 5 sambanextuserrid: 1000 sambapwdhistorylength: 0 sambarefusemachinepwdchange: 0 sambasid: S-1-5-21-1344755936-1802148465-1015568262
Obwohl in der smb.conf die Workgroup/Domain
workgroup = SAMBA
angegeben ist, wird im LDAP der Hostname als Domain hinterlegt. (???)
[Bearbeiten] Hinweise
[Bearbeiten] Clients
[Bearbeiten] Win 7
Bei Problemen mit der Anmeldung an shares
secpol.msc
- Lokale Richtlinien --> Sicherheitsoptionen
- Netzwerksicherheit: LAN Manager-Authentifizierungsebene
- auf LM-und NTLM-Antworten senden setzten
- Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschliesslich sicherer RPC-Clients)
- auf 128-Bit-Verschlüsselung erfordern deaktivieren