SAMBA - Alle User eintragen ???

[Broadcast]

Hi zusammen !

Sitze an meiner smb.conf und mein Boss meint man müsste den Samba so konfigurieren, das er sich alle Authentifikationen von unserem WinNt 4.0- Server (PDC) holt und so die Zugriffe auf die eigenen Ordner erlaubt oder verweigert. Habe eigentlich immer gehört, das dies nicht möglich ist und alle User einzeln eingetragen werden müssen (smbusers oder ähnlich) !

Meine Frage ist, ob das mit einer BDC-Konfiguration möglich wäre ? Es geht eigentlich nur um

den Zugriff aller User auf ein bestimmtes Verzeichnis auf dem keine Dateien gelöscht werden dürfen, ich soll aber eine Authentifizierung haben ohne die User alle manuell einzutragen und

sicherstellen das alle Admins aus dem Netzwerk raus zugreifen und alle Rechte haben !

Nutze Debian mit SAMBA 2.2.3a-6 für Debian

Wer hat schon Erfahrung damit und kann mir was etwas dazu sagen ?

[dr.disk]

Lies Dir mal das Samba BDC-HowTo, zu finden in jedem aktuellen Samba-Paket (2.2.x) durch. Bei SuSE findet man diese Dokus z.B. unter /usr/share/doc/packages/samba. Dort steht z.B. drin, daß Samba die Benutzerdaten nicht von einem PDC holen kann, der nicht auf Samba läuft. Sollte der PDC ebenfalls Samba sein würde folgende Möglichkeit funktionieren (wir in der Firma planen ebenfalls den Umstieg auf WinNT4 PDC und 2 mal BDC auf drei Samba-Maschinen. Die erste hat letzte Woche den Dienst aufgenommen, bisher nur als reines Domainmitglied).

Als erstes darf der BDC nicht Domain-Master werden, also hier muß 'no' drin stehen. Bei Domain-Logons jedoch wiederrum 'yes'.

Die smbpasswd Datei kann man mittels rsync synchronisieren, daß ist das kleinere Problem. Auch eine Verschlüsselung von rsync ist möglich: ssh mit Agent und ein paar intelligente Skripte oder rsync mit ssh tunnel (z.B. ssh selbst, stunnel, zeedebee usw.)

Schwieriger wird's mit den Unix-Accounts. Samba wandelt die Rechte eines Benutzers auf Dateisystemsrechte um. Deswegen braucht Samba exisierende Unix-Accounts um den Zugriff auf Verzeichnisse zu gewähren. Jetzt gibt's zwei Möglichkeiten:

1. Die Dateien/Verzeichnisse gehören nobody:nogroup mit einer umask, daß jeder schreiben und lesen darf. Die Zugriffsrechte werden über die Samba-Benutzer geregelt. Also readlist und writelist in der smb.conf. Sicher ist allerdings was anderes, aber es funktioniert.

2. Die Unix-Paßwort/User-Dateien (passwd, group, shadow) müssen auf allen Maschinen gleich gehalten werden. Das schreit ja förmlich nach nis und genau das ist die Lösung des Problems. (oder das nächste Problem wenn man von nis keine Ahnung hat )

Keine schöne Nachricht für Dein Problem, aber vielleicht interessant für jemand anderen der Dieses Forum liest...