ubuntuusers.de

Wie im Wiki unter dem Thema samba steht, muss ein Samba-User auch einen gleichnamigen User auf dem System haben um etwas machen zu können.

Wie LÖSE ich die Samba-Benutzerverwaltung KOMPLETT von meinem System und beauftrage einen System-User(e.g. samba) die Arbeit für alle Benutzer zu erledigen?

Vielleicht durch eine Gruppe wie samba?

Früher legte Samba die Benutzerverwaltung in der Textdatei /etc/samba/smbpasswd ab. Heute geschieht dies standardmäßig verschlüsselt in der Binärdatei /var/lib/samba/passdb.tdb. Theoretisch sollte es möglich sein, diese Datei zu löschen. Ich habe dies so aber noch nie versucht und kann deshalb nicht garantieren, dass sich da keine unerwünschten "Risiken und Nebenwirkungen" einstellen.

Der "anständige" Weg ist, dass Du mit dem Befehl sudo pdbedit -L alle vorhandenen Samba-User anzeigen lässt. Diese kannst Du dann einzeln entweder mit sudo pdbedit -x -u USERNAME oder mit sudo smbpasswd -x USERNAME aus der Samba-Benutzerverwaltung löschen. Ob hier Wildcarts ("*") zulässig sind, weiß ich nicht. Näheres siehe man pdbedit bzw. man smbpasswd.

beauftrage einen System-User(e.g. samba) die Arbeit für alle Benutzer zu erledigen

Mit dem cifs-vfs ist dies möglich. Alle Freigaben werden mit der Identität dieses System-Users (e.g. samba) systemweit gemountet, und in den Mount-Befehlen (bzw. fstab-Einträgen) wird festgelegt, wer dann wie auf die gemounteten Freigaben zugreifen darf. Oder - noch eleganter - man benutzt bei UNIX-artigen Clients die cifs-UNIX-Extensions und legt die Zugriffsrechte auf dem Server fest.

Gruß – Max-Ulrich

Leider scheint meine Frage falsch verstanden worden zu sein. Mit Lösen meine ich, dass sich die Benutzer am Samba-Server registrieren können ohne, dass ein gleichnamiger System-User existiert. Also egal ob ich mich als Max, Moritz,e tc. anmelde, mein Samba-Server operiert dann für alle Nutzer mit einem einzigen. Selbstverstädnlich könnte eine Gruppe "samba" helfen, aber die löst mein Problem auch nicht. Nochmal: Die Benutzerverwaltung ist alleinige Sache des Samba-Servers nicht des Systems. Alle Freigaben gehören auf dem Filesystem dem Samba-Server und dieser hat alle Rechte und vererbt diese entsprechend an die Clients.

Ich hoffe die Problemstellung ist nun besser formuliert.

In der Tat hatte ich Dich anders verstanden.

dass sich die Benutzer am Samba-Server registrieren können ohne, dass ein gleichnamiger System-User existiert.

Das geht so grundsätzlich nicht. Einen Samba-Account kann man nur für Benutzer einrichten, die auf dem Server auch einen System-Account haben. Ich glaube auch nicht, dass sich in Samba 4 daran etwas geändert hat.

Also egal ob ich mich als Max, Moritz, etc. anmelde, mein Samba-Server operiert dann für alle Nutzer mit einem einzigen

Nicht genau dies, aber etwas Ähnliches kannst Du erreichen, wenn Du zwar für die verschiedenen Benutzer System- und Samba-Accounts einrichtest, über die diese die Verbindung zum Server herstellen können, dann aber bei der Freigabe in smb.conf mit force user = XY erzwingst, dass diese sich danach auf dem Server immer mit der Identität XY bewegen. Dazu musst Du dann allerdings die cifs-UNIX-Extensions deaktivieren.

Sollte es umständlich sein, für die verschiedenen Benutzer auf dem Server eigene Accounts anzulegen, dann könnte vielleicht eine Domänen-Struktur mit Winbind hilfteich sein?

Ich weiß nicht, welche Sicherheits-Ansprüche bestehen. Sonst könnte man vielleicht auch an den Gast-Zugang denken und eben immer als Gast "nobody" zugreifen, wie dies ja Windows und Nautilus standardmäßig tun. Das geht auch mittels cifs-vfs völlig transparent, wenn man die Mount-Optionen guest,nounix einträgt und dann über die Mount-Optionen auf dem Client festlegt, wer wie zugreifen darf. Dies können dann auch Benutzer sein, die auf dem Server keinen eigenen Account haben.

Habe ich Dich jetzt (hoffentlich) besser verstanden?

Gruß – Max-Ulrich

Also letztendlich steht fest: Jeder Samba-User muss auch als System-User vorhanden sein. Anders funktioniert es nicht, richtig? Damit ist die Frage schon geklärt. Sicherheit ist selbstverständlich sehr wichtig, deswegen kein nobody. Danke trotzdem für die Hilfe!