ubuntuusers.de

Hallo. Ich such mir mal wieder einen Wolf. Die Anmeldung am DC funktioniert, ich kann über den Druckserver drucken und alle Netzwerkverbindungen lassen sich auch über den Nautilus einbinden ohne mich erneut zu autorifizieren. Nun will ich die Homeverzeichnisse der Domain auch einbinden, damit allles am gleichen Paltz ist. Windows wie auch Linux. Lesezeichen in Nautilus setzen scheitern daran, dass ich den mountpoint selbs bestimmen will. Passwortdatei oder Passwörter als Klartext in der fstab zu speichern erscheint mir nich richtig, da es a) ein Sicherheitsrisko bietet b) bei jeder Passwortänderung auch die Passwortdatei oder die fstab geändert werden muss

Meine Idee, ich mounte und autirifiziere gegen Kerberos mittels entsprechendem Eintrag in der fstab. Dies scheiter aber. Ich erhalte die Fehlermeldung " Mount error (126) Requiered key not available " klist zeigt mir aber ein gültiges Ticket an und alles andere wie Nautilus oder der Windowsdruckserver funktioniert ja.

Eintrag in meiner fstab wie hier beschrieben: //192.168.1.100/Daten /home/otto/Daten cifs sec=krb5i,vers=3.0,user,noauto 0 3 Selbstverständlich angepasst mit meinen daten. Wo liegt bei mir schon wieder der Denkfehler oder das Brett vorm Kopf?

Gruß Andy

Hallo andy7271,

der Denkfehler liegt darin, dass der mount-Prozess als root läuft und ohne weitere Angabe damit den Credential-Cache von root verwendet. Um das zu ändern gibt es die Option cruid=. Siehe z.B.:

https://manpages.debian.org/bullseye/cifs-utils/mount.cifs.8#cruid=arg

LG, Newubunti

Hallo, newubunti.

Erst mal danke für die Antwort, war aber leider nicht zielführend..

mount -t cifs -o username=andy@hahnenberger.local,user,cruid=169001103,sec=krb5i,ver3.0 //192.168.1.5/home$/andy /home/andy@hahnenberger.local/Bilder

brachte die beschriebene Fehlermeldung. Selbstverständlich war ich als Andy@hahnenberger.local angemeldet. Ebenso mein Eintrag in /etc/fstab:

//192.168.1.5/home$/andy        /home/andy@hahnenberger.local/Bilder    cifs    noauto,users,username=andy@hahnenberger.local,cruid=169001103,sec=krb5          0       3

So langsam wird das Brett vorm Kopf immer Dicker.

Gruß Andy

Hallo andy7271,

geht folgendes manuell, wenn Du eingeloggt bist?:

sudo mount -t cifs -o user=andy,domain=hahnenberger.local,cruid=169001103,sec=krb5i,ver3.0 //192.168.1.5/home$/andy /home/andy@hahnenberger.local/Bilder 

LG, Newubunti

Newubunti schrieb:

Hallo andy7271,

geht folgendes manuell, wenn Du eingeloggt bist?:

sudo mount -t cifs -o user=andy,domain=hahnenberger.local,cruid=169001103,sec=krb5i,ver3.0 //192.168.1.5/home$/andy /home/andy@hahnenberger.local/Bilder 

LG, Newubunti

Danke dir,

aber auch das war nicht zielführend. Zum Nachdenken angeregt hab ich veruscht, mich über Nautilus zu verbinden.

Also bei Server "smb://192.168.1.5/home$/andy" eingetragen. Was soll ich sagen, es poppte eine Eingabemaske auf.

Das gleiche spiel mit dem DNS-Namen also "smb://winserver/home$" versucht. Siehe da, keine Eingabemaske sondern mein Homeverzeichniss. fstab abgeänder, geht. Nur, warum? Überall lese ich, dass reigaben mit der IP nicht mit dem DNS-Namen angesprochen werden.

Alles sehr suspekt. Ob die Fage für mich beantwortet ist? Hmmmm, geht ja. Ist aber doch so nicht richtig.

<edit> Muss ich dann für jeden User, der sich anmeldet, einen eigenen Eintrag in /etc/fstab anlegen oder kann ich beim Benutzernamen und -verzeichniss mit Variablen wie $USER arbeiten? </edit>

Gruß Andy

Hallo andy7271,

andy7271 schrieb:

Das gleiche spiel mit dem DNS-Namen also "smb://winserver/home$" versucht. Siehe da, keine Eingabemaske sondern mein Homeverzeichniss. fstab abgeänder, geht. Nur, warum? Überall lese ich, dass reigaben mit der IP nicht mit dem DNS-Namen angesprochen werden.

Das mit dem DNS-Namen war mir in der Zwischenzeit auch noch eingefallen. Das liegt daran, dass Du ein AD-Setup hast. Und für die Funktion vom ganzen AD ist ein sauber konfiguriertes DNS essentiell.

Die meisten Anwender hier haben aber in der Regel einen Standalone-Samba-Server ohne AD. Ergo haben die in aller Regel auch kein funktionsfähiges lokales DNS. Daher funktionieren dann Freigaben über den DNS in solchen Konstellationen häufig nicht. Und deshalb ist in diesen Fällen das Ansteuern der Freigabe über die IP die in der Regel zielführendere Methode. Da gibt es die Möglichkeit der Kerberos-Authentifizierung aber dann auch häufig gar nicht.

Beim AD basieren die Kerberos-Tickets dagegen ausschließlich auf dem DNS-Namen. Wenn ein Samba-Fileserver das AD joined, dann erhält er automatisch z.B. ein cifs-SPN, aber eben nur für seinen DNS-Namen und niemals für seine IP. D.h. Du hast dann etwa ein SPN der Form:

cifs/winserver.example.com@EXAMPLE.COM

Aber Du wirst im AD niemals ein Service Principal der Form

cifs/192.168.1.5@EXAMPLE.COM

vorfinden.

Wenn bei Dir also bei Verwendung des DNS-Namens alles funktioniert, dann ist das genauso, wie es im AD sein soll.

Und ja, Du solltest in der fstab Variablen wie $USER, $UID verwenden können.

LG, Newubunti

Danke dir, Newubunti. Dann hab ich ja offensichtlich versehendlich alles richtig gemacht. 😉 Ist dann gelöst.

Nochmal ich, Newubunit.

Ich glaub, ich hab wieder ein Brett vorm Kopf. 😉

Die fstab läuft mit:

//winserver/home$/andy        /home/andy@hahnenberger.local/Bilder    cifs    noauto,users,username=andy@hahnenberger.local,sec=krb5          

ordenlich durch und ich kann in Nautilus und auch in anderen Anwendungen meine Serverhome verwenden.

Ersetze ich aber im Mountpoint den Benutzername mit $USER also:

//winserver/home$/andy        /home/$USER/Bilder    cifs    noauto,users,username=$USER,sec=krb5          

passiert exakt nichts. Ich sehe den Montpoint in Nautilus nicht und kann auch mit mount nicht einhängen. Fehlermeldung in etwa, Mountpoint unbekannt. Auch ein erneutes Einlesen mittels mount -a bringt nix.

Danke dir.

Gruß Andy