SAMBA - Problem

[HAL 9000]

Hallo Leute,

seit gestern Abend versuche ich meinen SAMBA Server zum laufen zu bekommen aber ohne Erfolg vielleicht könnt ihr mir helfen.

Also Server:

- SUSE Linux 8.2

der nmbd und smbd laufen...

in der runlevel ist ebenfalls alles eingetragen

Client:

- Windows XP Prof. Service Pack 2 + alle Patches die es gibt

hier gibt es auch einen lokalen User "testuser" falls das muss, glaube ich aber nicht.

Ich habe den über SWAT eingerichtet und die smb.conf angepasst,

will ihn zum PDC machen mit wins server

Ich habe einen lokalen LINUX User "testuser" sowie einen SMB User "testuser" angelegt und diesen in der smbuser testuser = testuser zugewiesen.

Dann habe ich mit smbpasswd testuser dem User ein SMB Passwort gegeben (das gleiche wie das LINUX Anmeldepasswort)

Wenn ich mich jetzt an der Dömäne anmelden will bzw. den Rechner da reinhängen will kommt die Meldunf "Zugriff verweigert" also muss er da ja schonmal "hinfinden" oder nicht?

Also es gibt:

lokalen User ---> "testuser" Password "testuser"

SMB User -------> "testuser" Password "testuser

smbusers -------> testuser = testuser

Wäre super wann mir da jemand weiterhelfen kann!

Bin echt am verzweifeln

[HAL 9000]

hier noch die smb.conf

Current Config

# Samba config file created using SWAT

# from localhost (127.0.0.1)

# Date: 2003/09/10 16:59:52

# Global parameters

[global]

coding system =

client code page = 850

code page directory = /usr/share/samba/codepages

workgroup = NINTEMANN

netbios name = SERVER

netbios aliases =

netbios scope =

server string =

interfaces = eth0

bind interfaces only = No

security = USER

encrypt passwords = Yes

update encrypted = No

allow trusted domains = Yes

hosts equiv =

min passwd length = 5

map to guest = Never

null passwords = No

obey pam restrictions = No

password server =

smb passwd file = /etc/samba/smbpasswd

root directory =

pam password change = No

passwd program = /usr/bin/passwd

passwd chat = *new*password* %n\n *new*password* %n\n *changed*

passwd chat debug = No

username map =

password level = 0

username level = 0

unix password sync = No

restrict anonymous = No

lanman auth = Yes

use rhosts = No

admin log = No

log level = 1

syslog = 0

syslog only = No

log file =

max log size = 5000

timestamp logs = Yes

debug hires timestamp = No

debug pid = No

debug uid = No

protocol = NT1

large readwrite = Yes

max protocol = NT1

min protocol = CORE

read bmpx = No

read raw = Yes

write raw = Yes

nt smb support = Yes

nt pipe support = Yes

nt status support = Yes

announce version = 4.9

announce as = NT

max mux = 50

max xmit = 16644

name resolve order = lmhosts host wins bcast

max ttl = 259200

max wins ttl = 518400

min wins ttl = 21600

time server = Yes

unix extensions = Yes

change notify timeout = 60

deadtime = 0

getwd cache = Yes

keepalive = 300

lpq cache time = 10

max smbd processes = 0

max disk size = 0

max open files = 10000

name cache timeout = 660

read size = 16384

socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY

stat cache size = 50

use mmap = Yes

total print jobs = 0

load printers = Yes

printcap name = CUPS

disable spoolss = No

enumports command =

addprinter command =

deleteprinter command =

show add printer wizard = Yes

os2 driver map =

strip dot = No

mangling method = hash

character set =

mangled stack = 50

stat cache = Yes

domain admin group =

domain guest group =

machine password timeout = 604800

add user script =

delete user script =

logon script =

logon path = \\%N\%U\profile

logon drive =

logon home = \\%N\%U

domain logons = Yes

os level = 65

lm announce = Auto

lm interval = 60

preferred master = Yes

local master = Yes

domain master = Yes

browse list = Yes

enhanced browsing = Yes

dns proxy = Yes

wins proxy = No

wins server =

wins support = Yes

wins hook =

kernel oplocks = Yes

lock spin count = 3

lock spin time = 10

oplock break wait time = 0

add share command =

change share command =

delete share command =

config file =

preload =

lock dir = /var/lib/samba

pid directory = /var/run/samba

utmp directory =

wtmp directory =

utmp = No

default service =

message command =

dfree command =

valid chars =

remote announce =

remote browse sync =

socket address = 0.0.0.0

homedir map = auto.home

time offset = 0

NIS homedir = No

source environment =

panic action =

hide local users = No

host msdfs = No

winbind uid =

winbind gid =

template homedir = /home/%D/%U

template shell = /bin/false

winbind separator = \

winbind cache time = 15

winbind enum users = Yes

winbind enum groups = Yes

winbind use default domain = No

acl compatibility =

comment =

path =

alternate permissions = No

username =

guest account =

invalid users =

valid users =

admin users =

read list =

write list =

printer admin =

force user =

force group =

read only = Yes

create mask = 0744

force create mode = 00

security mask = 0777

force security mode = 00

directory mask = 0755

force directory mode = 00

directory security mask = 0777

force directory security mode = 00

force unknown acl user = 00

inherit permissions = No

inherit acls = No

guest only = No

guest ok = No

only user = No

hosts allow =

hosts deny =

status = Yes

nt acl support = Yes

profile acls = No

block size = 1024

max connections = 0

min print space = 0

strict allocate = No

strict sync = No

sync always = No

write cache size = 0

max print jobs = 1000

printable = No

postscript = No

printing = cups

print command = lpr -r -P%p %s

lpq command = lpq -P%p

lprm command = lprm -P%p %j

lppause command =

lpresume command =

queuepause command =

queueresume command =

printer name =

use client driver = No

default devmode = No

printer driver =

printer driver file = /etc/samba/printers.def

printer driver location =

default case = lower

case sensitive = No

preserve case = Yes

short preserve case = Yes

mangle case = No

mangling char = ~

hide dot files = Yes

hide unreadable = No

delete veto files = No

veto files = /*.eml/*.nws/riched20.dll/*.{*}/

hide files =

veto oplock files =

map system = No

map hidden = No

map archive = Yes

mangled names = Yes

mangled map =

browseable = Yes

blocking locks = Yes

csc policy = manual

fake oplocks = No

locking = No

oplocks = Yes

level2 oplocks = Yes

oplock contention limit = 2

posix locking = Yes

strict locking = No

share modes = Yes

copy =

include =

exec =

preexec close = No

postexec =

root preexec =

root preexec close = No

root postexec =

available = Yes

volume =

fstype = NTFS

set directory = No

wide links = Yes

follow symlinks = Yes

dont descend =

magic script =

magic output =

delete readonly = No

dos filemode = No

dos filetimes = No

dos filetime resolution = No

fake directory create times = No

vfs object =

vfs options =

msdfs root = No

msdfs proxy =

[homes]

comment = Home Directories

valid users = %S

read only = No

create mask = 0640

directory mask = 0750

browseable = No

[printers]

comment = All Printers

path = /var/tmp

create mask = 0600

printable = Yes

browseable = No

[print$]

comment = Printer Drivers

path = /var/lib/samba/drivers

write list = @ntadmin root

force group = ntadmin

create mask = 0664

directory mask = 0775

[public]

path = /tmp

read only = No

hosts allow = 192.168.1.168, 192.168.1.10

[Wolle]

Hast du die XP-Verschlüsselung abgeschaltet?

http://www.heise.de/ct/faq/result.xhtml?url=/ct/faq/hotline/02/14/08.shtml&words=XP%20Samba

[HAL 9000]

ja habe ich....

liegt das vielleicht daran, dass der SMB user keine ADMIN Rechte hat?

Wie gebe ich ihm denn welche?

[ava2k3]

hier mal ne kleine Anleitung und ein vernünftige smb.conf Domänencontroller auf Samba war mein Abschlussprojekt. Hoffe es hilft.

Anleitung:

-------------

Benutzer, die sich vom Windows-Client aus an der Domäne anmelden möchten, müssen dem Linux-System bekannt sein. D. h.

zum einen muss der Benutzer auf dem Linux-System existieren und zum anderen muss der Benutzer Samba bekannt sein,

weil Samba eine eigene Benutzer-Datenbank hat. Weitere Überlegungen sollten dahin gehen, dass man sich vorher überlegt,

ob die Benutzer sich ebenfalls am Linux-System anmelden dürfen (telnet, z.B.), aus welchem Grund auch immer. Sollte das nicht der Fall sein,

muss man bei der Linux-Benutzerkonfiguration darauf achten, dass keine Shell für die Benutzer bereit steht.

Ich verfahre immer so, dass ich alle Benutzer von Samba unter Linux einer Gruppe zuordne. Das erleichtert die Administration.

Aus diesem Grund legt man deshalb die Gruppe domainuser an.

---

groupadd domainuser

Im Home-Verzeichnis muss nun noch das Profiles-Verzeichnis der Samba-Benutzer angelegt werden:

cd /home mkdir profiles

--

Damit das Verzeichnis auch von den Clients benutzt werden kann,

müssen die Rechte auf Lesen, Schreiben, Ausführen für alle stehen:

--

chmod 777 profiles

--

Als nächstes müssen die Benutzer nun unter Linux angelegt werden.Benutzer unter Linux werden mit dem Kommando useradd

angelegt. Als Beispiel sollen die Benutzer "adminstrator" (der Windows NT-Administrator) sowie der Benutzer "testuser"

angelegt werden:

--

useradd -s /bin/false -G domainuser administrator

useradd -s /bin/false -G domainuser testuser

--

Achtung Win95:

Nun gibt es allerdings noch zwei wichtige Dinge zu beachten:

Bei Windows 95 ist es notwendig, die Benutzer ein weiteres mal anzulegen.

Allerdings müssen diese mit einem $-Zeichen am Ende angelegt werden.

Das bedeutet für die Benutzer administrator und testuser:

--

useradd -s /bin/false -d /home/Admin -G domainuser Admin$

useradd -s /bin/false -d /home/ralf -G domainuser ralf$

--

Damit das Heimatverzeichnis nicht noch ein weiteres Mal angelegt wird, verweisen wir mit dem Paramtere '-d'

auf das bereits existierende Verzeichnis /home/{Benutzername}.

Achtung Win2000/XP:

Eine weitere Besonderheit gibt es auch unter Windows NT/2000/XP. Hier ist es nicht notwendig,

die Benutzer ein weiteres Mal mit $-Zeichen anzulegen.

Jedoch muss hier ein Maschinenaccount erstellt werden.

Dieser Maschinenaccount ist der Name des Rechners.

Nennt man beispielsweise seine NT-Workstation NTKISTE, muss ein Benutzer NTKISTE erstellt werden.

Hier jedoch mit abschliessendem $-Zeichen.

--

useradd -s /bin/false -d /dev/null NTKISTE$

--

Nachdem auf dem Linux-Rechner nun alle Verzeichnisse und Dateien erstellt worden sind,

ändern wir nun noch die Gruppenzugehörigkeit und die Berechtigungen der einzelnen Dateien und Verzeichnisse:

--

cd /homes

chmod 770 * -R

chgrp domainuser * -R

--

Nachdem dies nun geschehen ist, wollen wir nun die Samba-Benutzer anlegen. Das geschieht mittels smbpasswd.

Samba pflegt nämlich eine eigene Datenbank, die sich unter /etc/samba findet.

Der Name lautet smbpasswd. Die Benutzer "administrator" und "testuser" werden so angelegt:

--

smbpasswd -a testuser

New SMB password:

Retype new SMB password:

Added user testuser.

smbpasswd -a administrator

New SMB password:

Retype new SMB password:

Added user administrator.

--

Nun fügen wir noch den Maschinenaccount hinzu, man muss auf den Parameter '-m' achten:

--

smbpasswd -a -m NTKISTE$

Added user NTKISTE$.

--

Jetzt haben wir die Möglichkeit, mit dem Client eine Anmeldung an der Domäne DOMAIN anzumelden.

Vorraussetzung ist natürlich eine funktionierende Netzwerkkonfiguration.

Achtung WinXP:

Unter Windows XP Professional findet man den Domänenzugang auch wieder unter den "Eigenschaften" der "Netzwerkumgebung".

Hier findet man im linken Fenster einen Hyperlink auf die "Netzwerkidentifikation". Hier kann man nun der Domäne beitreten.

Wichtig: Der Domänenbeitritt wird zwar funktionieren, aber man kann sich nicht am Samba-PDC anmelden.

Folgende Einstellungen sind bei Windows XP vor zu nehmen:

--

;

; This registry key (gathered from the Samba-tng lists) is needed

; for a Windows XP client to join and logon to a Samba domain

;

REGEDIT

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlogon\parameters "RequireSignOrSeal"=dword:00000000

Mit diesem Registierungseintrag deaktivierte ich die Option

Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer)

Zu finden ist dieser Eintrag unter Systemsteurung/Verwaltung/Lokale Sicherheitsrichtlinie/Lokale Richtlinien/Sicherheitsoptionen.

Zusätzlich deaktivierte ich auch

Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich)

Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich)

Nach dem Neustart versuchte ich wieder die Domänenanmelung als Benutzer "root", auch diesmal ohne Erfolg.

Abhilfe schuf erst der Austritt aus der Domäne, Neustart, Wieder-Eintritt in die Domäne.

Jetzt konnte ich auch die Domänenanmeldung mit allen Benutzern durchführen.

ZUSATZ:

Die datei "username.map" muss angelegt werden, um den Benutzer "Administrator" unter windows auf den Benutzer

"root" unter Linux zu mappen.

--

root = Administrator

--

Dazu ist es noch notwendig den Benutzer "root" in der smbpasswd anzulegen.

--

smbpasswd -a -e root

--

Wenn jeder Benutzer (ausser root / administraotr) ein eigenes Benutzerverzeichnis erhalten soll, dass automatisch gemappt wird,

muss unter /home ein Ordner mit dem namen des Users angelegt werden. ansonsten hat der user nur die Freigabe die für alle

da ist zu Verfügung.

Anmeldescript:

Im Verzeichnis /usr/local/samba/netlogon muss die datei script.bat erstellt werden (dann muss in der config nicht %U.bat

sondern script.bat eingetragen werden). Soll für jeden User ein eigenes script verwendet werden muss in der config %U.bat

eingetragen werden und die .BAT Datei mus für jeden user einzeln im Netlogon Verzeichnis erstellt werden (user. bat --> z.B

testuser.bat)

----------

Config:

----------

[global]

domain master = yes

dns proxy = no

socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192

wins support = true

encrypt passwords = yes

max log size = 50

security = user

keep alive = 100

domain logons = yes

server string = Samba Server

username map = /etc/samba/username.map

workgroup = DOMAIN

log file = /var/log/samba/log.%m

netbios name = Samba PDC

os level = 69

logon script = script.bat

logon path = \\%L\profiles\%U

admin users = root,Administrator

#read raw = yes

#write raw = yes

#time server = yes

#interfaces = eth0 192.168.0.0/24

[homes]

comment = Benutzer Verzeichnisse

browseable = no

writeable = yes

[netlogon]

path = /usr/local/samba/netlogon

writeable = no

browseable = no

comment = Network Logon Service

share modes = no

create mask = 0600

directory mask = 0700

[profiles]

path = /home/profiles

writeable = yes

browseable = no

create mask = 0700

directory mask = 0700

[alle]

path = /home/alle

comment = Gemeinsame Laufwerke

writeable = yes

create mask = 0777

directory mask = 0777

Gruß, Ava

PS: diese Config funktioniert zu 100%

[HAL 9000]

naja die Aufnahme in die Dömäne hat geklappt....

"Wilkommen in der Dömäne..." hab ich als Meldung bekommen,

was ja eigentlich auch ganz gut aussieht.

Hmm nur will ich mich jetzt einloggen (in der Domäne) dann will das nicht....

Benutzername, Kennwort, Computerkonto falsch... 0815 Meldung...

Ein Maschinenkonto habe ich für diesen Rechner angelegt das ging auch alles soweit die Benutzer SMB und UNIX müssten acuh ok seien die Zuordnung in der smbusers auch...

Woran kann das denn jetzt noch liegen das sich der Rechner nicht an der Domäne anmelden will? Habe alle Benutzernamen ausgetestet...

:confused:

[ava2k3]

hast du auch alles so gemacht, wie oben in der Anleitung beschrieben ???

Gruß, Ava

[HAL 9000]

Ich werde deine Anleitung heute Abend nocheinmal durchgehen mal sehen ob das geht, ertsmal danke!

[BrainWash]

@ava2k3

muss der Samba-User nicht noch per

smbuser -e username

"enabled" werden?

[BrainWash]

Original geschrieben von ava2k3

(...) ZUSATZ:

Die datei "username.map" muss angelegt werden, um den Benutzer "Administrator" unter windows auf den Benutzer

"root" unter Linux zu mappen. (...)

Ich hab da mal ne Frage zu:

Wo muss die "username.map" angelegt werden? Auf der WinXP-Kiste oder unter Linux?

Ansonsten - coole Doku, genau das was ich gesucht habe, da ich zuhause auch an einem PDC auf Sambabasis bastel und auch die WinXP-Clients nicht zum Anmelden bewegen kann.

:uli

[ava2k3]

hi,

guck dir mal meine Beispiel Config an, da wirst du sehen, dass Sie auf dem Linux System angelegt werden muss (und wo) :)

Gruß, Ava

[ava2k3]

Original geschrieben von BrainWash

@ava2k3

muss der Samba-User nicht noch per

smbuser -e username

"enabled" werden?

Hier mal ein kleines von mir erstelltes Script, welches den User automatisch in der richtigen Gruppe, mit den richtigen Berechtigungen und dem Homeverzeichnis anlegt.

Nach ausführen des Scripts, muss mit dem Usernmae nicht meher gemacht werden.

Code:

-------

#!/bin/bash

#user.sh by ava2k3

#Aufforderung zur Eingabe des Benutzernamens

echo -n "Wie lautet der Benutzername? (nur Kleinbuchstaben!!) : "

#Speicherung der Eingabe in der Variable "username".

read username

#anlegen des Benutzers in der Passwortdatenbank von Linux

useradd -s /bin/false -G domainuser $username

#anlegen des Benutzers in der Passwortdatenbank von Samba. In der Variable "x" wird gespeichert, ob die Eingabe

#des Passworts korrekt war. Wenn sich in der Variable eine "1" befindet war die Eingabe falsch und wird

#erneut aufgerufen. Bei einer "0" (richtige Eingabe) läuft das Script weiter.

smbpasswd -a $username

x=$?

if [ "$x" == "1" ]; then

#Ausgabe der Fehlermeldung.

echo -n "Sie haben das Passwort falsch eingegeben!"

#erneuter Aufruf bei einem Fehler (Variable x=1)

smbpasswd -a $username

fi

#Ausgabe über das erfolgreiche anlegen des Benutzers.

echo -n "User erfolgreich angelegt!"

#Abfrage, ob ein Homeverzeichnis angelegt werden soll.

echo -n "Soll ein Homeverzeichnis angelegt werden? (j/n) : "

#Speicherung der Eingabe (j/N) in der Variable "abfrage".

read abfrage

#Wenn sich in Variable "abfrage" ein "j" befindet, wird ein Homeverzeichnis angelegt.

if [ "$abfrage" == "j" ]; then

mkdir /home/$username

chmod 770 /home/$username

echo -n "Homeverzeichnis für $username wurde erfolgreich angelegt!"

#Bei einem "n" in der Variable "abfrage" wird das Script beendet.

elif [ "$abfrage" == "n" ]; then

exit

fi

--------

muss in einer Datei names xxx.sh gespeichert werden (wie z.B. bei mir user.sh)

Habe noch ein Scipt, welches auch das anlegen der Maschinenaccounts erledigt.

Code:

-------

#!/bin/bash

#maschine.sh by ava2k3

#Aufforderung zur Eingabe des Rechnernamens.

echo -n "Wie lautet der Rechnername? (mit Dollarzeichen am Ende angeben!!!) :"

#Speicherung der Eingabe in der Variable "maschine"

read maschine

#Anlegen des Maschinenaccounts in der Passwordatenbank von Linux

useradd -s /bin/false -d /dev/null $maschine

#Anlegen des Maschinenaccounts in der Passwordatenbank von Samba

smbpasswd -a -m $maschine

#Ausgabe über das erfolgreiche anlegen des Maschinenaccounts

echo "Der Maschinenaccount wurde erfolgreich angelegt!"

---------------

In beiden Scripten müssen noch "echos" eingefügt werden, damit die Ausgaben vernüftigt aussehen. Das hier sind "abgespeckte" Versionen, in denen ich die echos rausgenommen habe, damit die Scripte besser in meine Abschlussdokupassen

Have phun!

Gruß, Ava

[HAL 9000]

naja.... in der Domäne kann ich mich jetzt wunderbar immer "eintragen"

Aber Anmelden geht nicht er will mich einfach nciht reinlassen...

Woran kann das denn noch liegen ich bin echt mit meinem Latein am Ende...

[HAL 9000]

würde das klappen wenn ich einfach deine smb.conf so kopiere und die bei mir dann anpassen würde oder fehlt da was?

Weil nach 3 langen Abendenen nervt einen das echt so langsam

[ava2k3]

meine sollte so wie sie da steht funktionieren (das tat sie zumindest bei meinem Projekt).

Gruß, Ava

PS: eine Anmeldung mit XP ging bei mir auch!

[HAL 9000]

ich meine wenn ich die so mit STRG C und STRG V einfüge geht das dann so?

[ava2k3]

achso ... am besten packst du das in eine Textdatei (unter Windows) die du smb.conf nennst (ohne .txt am ende).

Dann schiebst das per ssh, ftp oder wie auch immer auf die Linux Kiste.

Danach musst du die Datei mit dem Befehl "dos2unix >textdatei<" sozusagen ins Unix Format konvertieren (kann sein, dass du dos2unix noch installieren musst).

Danach noch mit chmod die Berechtigungen ändern und fertig.

Gruß, Ava

[BrainWash]

Original geschrieben von ava2k3

(...) guck dir mal meine Beispiel Config an, da wirst du sehen, dass Sie auf dem Linux System angelegt werden muss (und wo) (..)

Ooups, wer lesen kann ist klar im Vorteil *g*

P.S.: die Skripte kommen mir auch sehr gelegen

[ava2k3]

gut, gut

Gruß, Ava

[BrainWash]

Eine Frage hab ich noch:

du hast beim Anlegen der Maschinen-Accounts den "Benutzer" NTKISTE in Großbuchstaben geschrieben. Muss das so sein, egal ob der Computer nun wirklich NTKISTE oder ntkiste heisst?

[BrainWash]

Und noch eine Kleinigkeit:

Meinst du es ist gut, dass die Gruppe domainuser vollen Zugriff auf alle Home-Verzeichnisse erhält?

cd /homes 

chmod 770 * -R

chgrp domainuser * -R

bedeutet doch, dass jedes Verzeichnis unter /homes (btw es müsste /home heissen) von seinem Besitzer (erste 7) und von der Gruppe des Besitzers (zweite 7) gelesen, geschrieben und gelöscht werden kann.

Das soll jetzt kein "Miesmachen" sein, nur konstruktive Kritik

[ava2k3]

hi,

das bleibt ja jedem selbst überlassen, wir er die Berechtigungen setzt. Da ich bei meinem Projekt nur 2 Benutzer hatte, war das relativ egal.

Aber wenn man das ganze im richtigen Betrieb einsetzt, hast du schon recht.

Gruß, Ava

PS: das mit den home(s) war ein Tippfehler meinerseits