carchaias
Anmeldungsdatum: 6. Oktober 2007
Beiträge: 294
Wohnort: Ratingen
|
Ich habe hier einen Samba Server aufgesetzt. Jedes Familienmitglied hat darauf einen Share um Dateien zentral abzulegen. Zugegriffen wird über Computer mit Ubuntu und Windows 10. Kürzlich ist mir ein etwas merkwürdiges Verhalten aufgefallen. Wenn man mit Gnome-Dateien eine Verbindug zu einem Share herstellt gibt es Unterschiede je nachdem ob man die IP Adresse oder den Servernamen als Adresse verwendet. Varianten: a) Gnome Dateien → +Andere Orte → smb://servername/share
Es folgt ein Eingabefenster 'Für den Speicherort share auf Servername wird ein Passwort benötigt.' Dort gebe ich Benutzername und Passwort ein und die Verbindung wird hergestellt. Ich habe dann Lese- und Schreibrechte auf dem share. So soll es sein. b) Gnome Dateien → +Andere Orte → smb://IP-ADRESSE/share
Der Share wird sofort eingehängt, ich habe aber lediglich Leserechte. AUßER: Ich bin an dem Clientcomputer mit genau dem gleichen Benutzernamen angemeldet dem auch der Share gehört. Dann habe ich auch Schreibrechte. Diese Variante will ich eigentlich nicht haben. Welche Einstellung ist dafür verantwortlich. Anbei der Teil aus der smb.conf (ist für alle Benutzer ähnlich) 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21 | ### Shares
[nas_ralfi]
path = /home/ralfi/nas
public = No
writeable = Yes
# veto files = /.*/
store dos attributes = Yes
#Papierkorb
vfs object = recycle
recycle:repository = .trash
recycle:directory_mode = 755
recycle:keeptree = Yes
recycle:versions = Yes
recycle:touch = Yes
recycle:touch_mtime = Yes
recycle:maxsize = 0
recycle:exclude = *.TMP | *.tmp | ~$*.doc | ~$*.xls
recycle:exclude_dir = tmp | temp | cache
|
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8616
Wohnort: Münster
|
Zu solchen Effekten kann es kommen, wenn im Passwort-Manager für die beiden Fälle Server-ID = Netbios-Name Server-ID = IP-Adresse
unterschiedliche Benutzernamen und oder Passworte hinterlegt an. Dann meldet man sich in den beiden Fällen in der Tat unterschiedlich an und bekommt dann möglicherweise auch unterschiedliche Berechtigungen zugeteilt. Abhilfe: Im Passwort-Manager z.B. über seahorse die Passworte löschen und neu anmelden.
|
carchaias
(Themenstarter)
Anmeldungsdatum: 6. Oktober 2007
Beiträge: 294
Wohnort: Ratingen
|
Ich kann da nix erkennen. Wo muss ich denn kucken?
|
chr123
Anmeldungsdatum: 19. Juli 2018
Beiträge: 1632
|
Ich verstehe ehrlich gesagt nicht, wie die Anmeldung an dem Share funktionieren soll. Weder der Gastaccount noch andere Accounts sind zugelassen: [nas_ralfi]
path = /home/ralfi/nas
public = No
writeable = Yes
store dos attributes = Yes
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8616
Wohnort: Münster
|
carchaias schrieb: Ich kann da nix erkennen. Wo muss ich denn kucken?
Was meinst Du mit „da“? Seahorse? Seahorse ist jedenfalls im Menü der Gnome-Shell erreichbar als Anwendungen → Hilfsprogramme → Passwörter und Verschlüsselung. Wenn man es startet, geht es bei Ubuntu 20.04 selbst in sein Menü GnuPG-Schlüssel, das ist hier nicht hilfreich. Man muss zuerst in das Hauptmenü zurück und dann nach Passwörter/Anmeldung. Dort findet man alle seine gespeicherten Passwörter, auch für SMB-Server.
|
carchaias
(Themenstarter)
Anmeldungsdatum: 6. Oktober 2007
Beiträge: 294
Wohnort: Ratingen
|
kB schrieb:
Seahorse ist jedenfalls im Menü der Gnome-Shell erreichbar als Anwendungen → Hilfsprogramme → Passwörter und Verschlüsselung. Wenn man es startet, geht es bei Ubuntu 20.04 selbst in sein Menü GnuPG-Schlüssel, das ist hier nicht hilfreich. Man muss zuerst in das Hauptmenü zurück und dann nach Passwörter/Anmeldung. Dort findet man alle seine gespeicherten Passwörter, auch für SMB-Server.
Ich wusste nicht das Passwörter und Verschlüsselung das Synonym für Seahorse ist. Da gibt es keine doppelten Einträge.
|
carchaias
(Themenstarter)
Anmeldungsdatum: 6. Oktober 2007
Beiträge: 294
Wohnort: Ratingen
|
chr123 schrieb: Ich verstehe ehrlich gesagt nicht, wie die Anmeldung an dem Share funktionieren soll. Weder der Gastaccount noch andere Accounts sind zugelassen: [nas_ralfi]
path = /home/ralfi/nas
public = No
writeable = Yes
store dos attributes = Yes
Weis ich auch nicht. Die Benutzer haben alle ein Benutzerkonto auf dem Server. Vieleicht deshalb. Oder es steht noch an anderer Stelle was in der smb.conf.
|
chr123
Anmeldungsdatum: 19. Juli 2018
Beiträge: 1632
|
Das ist wirklich mysteriös. Nach meinen Beachtungen können die Benutzerkennungen inkl Passwort direkt von Windows zum SMB Freigabe durchgereicht werden, das setzt aber trotzdem voraus, das zuvor ein Benutzer in der Samba Benutzerdatenbank angelegt wurde. Unter Ubuntu gibt es das durchreichen nicht mehr. Welche Benutzer sind denn in der Datenbank und gibt es nur die eine Freigabe? Per pdbedit solltest du alle Benutzer sehen können. testparm wäre such noch mal interessant. sudo pdbedit -L -v
testparm -s
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8616
Wohnort: Münster
|
carchaias schrieb: […] Da gibt es keine doppelten Einträge.
Es reicht ja auch ein einfacher Eintrag zur Erklärung des beobachteten Verhaltens. Wenn z.B. für die IP-Adresse ein Passwort gespeichert wird, wird dieses zur Anmeldung am SMB-Server verwendet und es wird kein Benutzer und kein Passwort abgefragt. Wenn für den Servernamen kein Passwort gespeichert ist, erscheint der Passwort-Dialog, in dem Du einen anderen Benutzernamen eingeben kannst. Somit bist Du in diesen beiden Fällen mit unterschiedlichem Benutzernamen angemeldet und der SMB-Server verhält sich dann auch unterschiedlich.
|
carchaias
(Themenstarter)
Anmeldungsdatum: 6. Oktober 2007
Beiträge: 294
Wohnort: Ratingen
|
kB schrieb: carchaias schrieb: […] Da gibt es keine doppelten Einträge.
Es reicht ja auch ein einfacher Eintrag zur Erklärung des beobachteten Verhaltens. Wenn z.B. für die IP-Adresse ein Passwort gespeichert wird, wird dieses zur Anmeldung am SMB-Server verwendet und es wird kein Benutzer und kein Passwort abgefragt. Wenn für den Servernamen kein Passwort gespeichert ist, erscheint der Passwort-Dialog, in dem Du einen anderen Benutzernamen eingeben kannst. Somit bist Du in diesen beiden Fällen mit unterschiedlichem Benutzernamen angemeldet und der SMB-Server verhält sich dann auch unterschiedlich.
Klingt einleuchtend! Ich schau mir das nochmal an.
|
carchaias
(Themenstarter)
Anmeldungsdatum: 6. Oktober 2007
Beiträge: 294
Wohnort: Ratingen
|
chr123 schrieb: Das ist wirklich mysteriös. Nach meinen Beachtungen können die Benutzerkennungen inkl Passwort direkt von Windows zum SMB Freigabe durchgereicht werden, das setzt aber trotzdem voraus, das zuvor ein Benutzer in der Samba Benutzerdatenbank angelegt wurde. Unter Ubuntu gibt es das durchreichen nicht mehr. Welche Benutzer sind denn in der Datenbank und gibt es nur die eine Freigabe? Per pdbedit solltest du alle Benutzer sehen können. testparm wäre such noch mal interessant. sudo pdbedit -L -v
testparm -s
Die Benutzer sind in der Samba Datenbank vorhanden. 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97 | rha@sesamserver:~$ testparm -s
Load smb config files from /etc/samba/smb.conf
Global parameter map to guest found in service section!
Global parameter guest account found in service section!
Global parameter map to guest found in service section!
Global parameter guest account found in service section!
Loaded services file OK.
Server role: ROLE_STANDALONE
# Global parameters
[global]
log file = /var/log/samba/log.%m
logging = file
map to guest = Bad User
max log size = 1000
obey pam restrictions = Yes
pam password change = Yes
panic action = /usr/share/samba/panic-action %d
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
passwd program = /usr/bin/passwd %u
server role = standalone server
server string = %h server (Samba, Ubuntu)
unix password sync = Yes
usershare allow guests = Yes
workgroup = SESAMSTRASSE
idmap config * : backend = tdb
[printers]
browseable = No
comment = All Printers
create mask = 0700
path = /var/spool/samba
printable = Yes
[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
[nas_ralfi]
path = /home/ralfi/nas
read only = No
vfs objects = recycle
recycle:exclude_dir = tmp | temp | cache
recycle:exclude = *.TMP | *.tmp | ~$*.doc | ~$*.xls
recycle:maxsize = 0
recycle:touch_mtime = Yes
recycle:touch = Yes
recycle:versions = Yes
recycle:keeptree = Yes
recycle:directory_mode = 755
recycle:repository = .trash
[nas_andrea]
path = /home/andrea/nas
read only = No
vfs objects = recycle
recycle:exclude_dir = tmp | temp | cache
recycle:exclude = *.TMP | *.tmp | ~$*.doc | ~$*.xls
recycle:maxsize = 0
recycle:touch_mtime = Yes
recycle:touch = Yes
recycle:versions = Yes
recycle:keeptree = Yes
recycle:repository = .trash
[nas_jannis]
path = /home/jannis/nas
read only = No
vfs objects = recycle
recycle:exclude_dir = tmp | temp | cache
recycle:exclude = *.TMP | *.tmp | ~$*.doc | ~$*.xls
recycle:maxsize = 0
recycle:touch_mtime = Yes
recycle:touch = Yes
recycle:versions = Yes
recycle:keeptree = Yes
recycle:repository = .trash
[Öffentlich]
guest ok = Yes
path = /home/Öffentlich
read only = No
[dvd]
comment = DVD Laufwerk von Sesamserver
guest ok = Yes
locking = No
path = /cdrom
read only = No
|
|
chr123
Anmeldungsdatum: 19. Juli 2018
Beiträge: 1632
|
Ok, zunächst würde ich den strukturellen Fehler beim Aufbau der smb.conf korrigieren:
Global parameter map to guest found in service section!
Global parameter guest account found in service section!
Global parameter map to guest found in service section!
Global parameter guest account found in service section! Danach Syntaxkontrolle:
testparm -s Anschließend würde ich pro Share den valid User explizit setzen (die korrekten Bezeichnungen hast du ja schon via pdbedit erhalten) :
[nas_jannis]
path = /home/jannis/nas
read only = No
valid users = jannis
...
|
chr123
Anmeldungsdatum: 19. Juli 2018
Beiträge: 1632
|
Kann es vielleicht sein, daß es nur so scheint, als ob du dich mit einem echten Benutzer anmeldest, aber es eigentlich ein "bad user" ist? Man kann via Parameter "map to guest = bad User" genau dieses Verhalten erreichen. Kannst du bitte mal die Ausgabe
getfacl /home/jannis/nas
getfacl /home/jannis
getfacl /home
zeigen? Gleichzeitig wäre es interessant zu erfahren, welche Benutzer sich tatsächlich anmelden. Auf dem Samba Server sollte das Programm smbstatus vorhanden sein. Das Programm starten und laufen lassen
sudo smbstatus --shares
Anschließend mal mit einem Client auf den Share anmelden. Dann sollte man das in smbstatus sehen können.
|