• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

SAMBA Server für mehrer Benutzer

Lock

NGBler

Registriert
25 März 2020
Beiträge
72
Hallo zusammen,

ich habe auf meinem Debian 10 einen Samba Server installiert.
Ziel ist es, dass ich mehrere Benutzer habe und jeder Benutzer hat seinen eigenen Ordner.
Diese haben untereinander keinen Zugriff auf die Ordner der anderen.

Beispiel: User1 hat zugriff auf /data/user1
User2 hat zufriff auf /data/user2
usw.
Ich habe mit:

sudo useradd -s /bin/false user1

Die Benutzer angelegt:

smbpasswd -a user1
Habe ich das Passwort angelegt.

Die Rechte angepasst.

[src=bash] $sudo chown -R user1:user1 /data/user1

$sudo chmod 700 /data/user1[/src]


/etc/samba/smb.conf

[src=bash][global]
#map to guest = Bad User
security = user
map to guest = never
workgroup = Link

[homes]
comment = /data
browsable = no
read only = no
create mode = 0750

[user1]
valid users = user1
#Wir beschr nken den Zugriff auf den User ''smbuser''
#valid users = @smbusers
#Alternativ kann auch auf eine Benutzergruppe eingeschr nkt werden
path = /data
public = no
writable = yes
comment = Daten_user1
printable = no
guest ok = no
create mask = 0600
directory mask = 0700

[User2]
valid users = user2
path = /data/user2
public = no
writable = yes
comment = Daten_user2
printable = no
guest ok = no
create mask = 0600
directory mask = 0700[/src]

Den Samba Server habe ich neue gestartet.

/data Inhalt:
ls -la
total 43
drwx------ 5 user1 user1 5 Dec 28 17:30 .
drwxr-xr-x 22 root root 22 Dec 27 08:29 ..
drwx------ 3 user1 user1 4 Dec 25 20:38 Filme
drwx------ 12 user1 user1 19 Nov 29 13:22 Hoerbuecher
drwx------ 3 user2 user2 /data/user2 3 Dec 28 17:26


Ich bekomme eine Passwortabfrage bei / und kann mich mit user1 und Passwort anmelden.
Bis auf den Ordner user2 kann ich alles sehen und schreiben.

Wenn ich mich bei smb://SambaIP/user2 Anmelden will kann ich das nicht da er die Anmeldung nicht macht.
Ich hahe das Passwort schon mehrfach erneuert, es geht nicht.

Woran könnte das liegen?

Gruß Lock
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@Lock: First: Kein useradd bei Debianoiden. Man nutzt adduser. Das ist ein Wrapper-Script um useradd, das zusätzliche Einstellungen vornimmt.

Zweitens:
In / werden keine zusätzlichen Verzeichnisse oder Dateien angelegt. Das ist ein No-Go. Samba-Verzeichnisse werden direkt an User weitergegeben, daher haben die in /srv zu liegen, meist unter /srv/samba. FHS ist zwar nur eine Empfehlung, aber sie hat ihren Sinn.

Drittens:
Dein Problem ist das hier:

drwx------ 5 user1 user1 5 Dec 28 17:30 /data

Nur user1 darf auf /data zugreifen, das sperrt alle Unterordner.
 

musv

Bekannter NGBler

Registriert
15 Juli 2013
Beiträge
3.453
Ort
/dev/null
Ziel ist es, dass ich mehrere Benutzer habe und jeder Benutzer hat seinen eigenen Ordner. Diese haben untereinander keinen Zugriff auf die Ordner der anderen.

/etc/samba/smb.conf

[src=bash]
[homes]
browsable = no
read only = no
create mode = 0750[/src]

Du hast die Lösung doch schon selbst geschrieben. Die Homes-Sektion ist genau dafür da. Allerdings gibst du eben die Home-Verzeichnisse frei und nicht /data (was auch Quatsch ist). Siehe dazu: Thomas-Krenn-Wiki.

Zweitens:
In / werden keine zusätzlichen Verzeichnisse oder Dateien angelegt. Das ist ein No-Go.
In der RHCE-Schulung und auch in sämtlichen Unterlagen nutzen die als Standardverzeichnis für die freigegebenen Verzeichnisse /exports. Und auch in diesem (und anderen) Tutorial wird /data als Basis für die Freigaben verwendet.

/srv scheint irgendwie bei einigen Distributionen auch in Ungnade gefallen zu sein. Redhat wirft alles, was eigentlich nach /srv gehört, ins /var (z.B. /var/www). Gentoo macht das ebenfalls. Suse und Arch hingegen nutzen /srv.
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@musv: /var/www ist speziell - Debian nutzt das auch, und es ist auch laut FHS kein Fehler. Das ist ein bisschen Philosophiesache, ob nun das Verzeichnis des Webhost als "direkt an den Nutzer herausgegeben" gilt (HTML) oder die Herausgabe nur eine Interpretation des Verzeichnisses ist (z. B. bei PHP). In jedem Fall ist das Verzeichnis speziell.

Und dass Redhat glaubt, alles besser zu wissen... naja, da muss man nur das Git-Repo von systemd verfolgen und die Interaktion mit den Admins/Usern. :uglyngb:
 

Lock

NGBler

Registriert
25 März 2020
Beiträge
72
  • Thread Starter Thread Starter
  • #5
Hallo zusammen,

erstmals vielen Dank für die Antworten.

Jetzt habe ich aber ein paar Fragezeichen mehr als vorher.
Eventuell hole ich etwas weiter aus, ich habe auf meinem Proxmox ein LXE mit Debian 10, dort habe ich eine HDD eingebunden die unter /data als Mounpoint liegt.
Dort sollen alle meine Daten abgespeichert werden.

Deshalb habe ich ein /data angelegt.
Ich habe mich hier nach dieser Anleitung gehalten:
https://www.youtube.com/watch?v=wffWVEW8J38

Danke nochmal für den Hinweis mit der FHS.

Wenn ich aber user2 in die Gruppe von User1 setzte sollte das doch gehen?
drwx------ 5 user1 user1 5 Dec 28 17:30 /data

Du hast die Lösung doch schon selbst geschrieben. Die Homes-Sektion ist genau dafür da. Allerdings gibst du eben die Home-Verzeichnisse frei und nicht /data (was auch Quatsch ist). Siehe dazu: Thomas-Krenn-Wiki.

Ich hatte gelesen, dass man mit dem Befehl:

adduser --no-create-home --disabled-login --shell /bin/false user1
einen User ohne Home anlegt, dieser kann aber für Samba genutzt werden.
Stimmt das so?

Was macht den aus eure Sicht den meisten Sinn, LXE neu aufsetzten und HDD neu einbinden.
Jeder User bekommt ein eigenes Homeverzeichnis und ich lege dann die Rechte so fest?

Gruß und Danke,
Lock
 

musv

Bekannter NGBler

Registriert
15 Juli 2013
Beiträge
3.453
Ort
/dev/null
ich habe auf meinem Proxmox ein LXE mit Debian 10, dort habe ich eine HDD eingebunden die unter /data als Mounpoint liegt.
Dort sollen alle meine Daten abgespeichert werden.
Warum mountest du die HDD nicht in Dein Home, wenn es die Daten Deines Nutzers sind?

Wenn ich aber user2 in die Gruppe von User1 setzte sollte das doch gehen?
Code:
drwx------ 5 user1 user1 5 Dec 28 17:30 /data [/cdoe]
[/quote]
Nach diesen Rechten darf nur User1 lesen und schreiben. Die Gruppe ist hier irrelevant. Die Rechte sind auf 700 gesetzt. Es ist auch 'ne schlechte Idee, wenn User2 volle Schreibrechte auf das Home-Verzeichnis von User1 bekommt. 

Willst du Verzeichnisse für mehrere Nutzer freigeben, dann setz die Rechte auf 770 oder [url=https://de.wikipedia.org/wiki/Setgid]2770[/url] und ändere die Gruppe des Verzeichnisses, z.B. shared_user oder irgendwas kontextbezogenes. Dann steckst du alle User in diese Gruppe. Alternativ kannst du auch ACLs verwenden. Allerdings ist das meist überdimensioniert für den Heimanwenderfall.  

[QUOTE="Lock, post: 1101034, member: 14212"] 
Ich hatte gelesen, dass man mit dem Befehl: ...einen User ohne Home anlegt, dieser kann aber für Samba genutzt werden.[/quote]
Samba braucht einen existierenden Linux-Nutzer als Basis. Der muss sich nicht einloggen können und auch sonst keine Rechte besitzen. Mit smbpasswd wird dann ein Sambapasswort vergeben, womit sich der Nutzer einloggen kann, da Samba eine eigene Passwortdatenbank nutzt. Siehe auch [url=https://www.cyberciti.biz/faq/adding-a-user-to-a-samba-smb-share/]hier[/url]. 

[QUOTE="Lock, post: 1101034, member: 14212"] Was macht den aus eure Sicht den meisten Sinn, LXE neu aufsetzten und HDD neu einbinden.
Jeder User bekommt ein eigenes Homeverzeichnis und ich lege dann die Rechte so fest?[/QUOTE]
Warum willst du das System neu aufsetzen? Das was du korrigieren willst, ist in 5 Minuten erledigt. Zuerst solltest du selbst verstehen, was du eigentlich machen willst. Dann solltest du versuchen, eine saubere und leichte Lösung zu verwenden und nicht das System zu verbiegen. 

Wenn du per Samba die Homeverzeichnisse freigeben willst, ist es das Naheliegendste, für jeden User ein Homeverzeichnis einzurichten und das dann halt per Samba freizugeben (s.o.). Wenn du nicht willst, dass sich die User sonst irgendwie am System anmelden sollen, kannst du ja deren Passwort löschen und/oder SSH verbieten.
 

Lock

NGBler

Registriert
25 März 2020
Beiträge
72
  • Thread Starter Thread Starter
  • #7
Hallo zusammen,

ich habe jetzt die HDD nach /home eingebunden und mehrere Benutzer mit
adduser name erstellt.

Meine smb.conf sieht nun jetzt so aus:



[global]
map to guest = Bad User
security = user
map to guest = never
workgroup = Link


[homes]
comment = Home Directories
browseable = yes
valid users = %S
writeable = yes
create mode = 0600
directory mode = 0700

Samba habe ich neu gestartet.

systemctl restart smbd.service


Jetzt sehe ich leider in meinem Netzwerk die Samba Ordner bzw. meinen Rechner nicht.
Ich dachte das browseable = yes dafür sorgt das ich ich Netzwerk den Server sehe.

Alle angelegten Benutzer habe ich mit smbpasswd ein Passwort für Samba vergeben.

Kann mir einer sagen warum ich die Ordner nicht sehe.

Wenn ich mit
smb://192.168.0.119/test (Benutzername) den Server suche bekomme ich einen Passwortabfrage, aber kein Name und Passwort passte mir wurde der Zugang bisher immer verwehrt.

Kann mir einer einen Tipp geben?
 
Zuletzt bearbeitet:

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@Lock: Guck mal, ob die Freigabe "test$" heißt. Üblicherweise werden administrative Freigaben in Windows-Netzwerken mit einem Dollar abgeschlossen, und damit vom Endgerät ausgeblendet.
 

Lock

NGBler

Registriert
25 März 2020
Beiträge
72
  • Thread Starter Thread Starter
  • #9
Hallo zusammen und allen ein gesundes neues Jahr.

Ich habe mal ein $ Zeichen hinter die Benutzer gesetzt und es veruscht, hier bekomme ich kein Fenster Angezeigt.
Wenn ich mit meinem Manjaro Suche; smb://192.168.0.119/test

Bekomme ich auch ein Login Fenster, nur klappt kein Passwor

Ist den meine smb.conf so in Ordnung?



[global]
map to guest = Bad User
security = user
map to guest = never
workgroup = Link


[homes]
comment = Home Directories
browseable = yes
valid users = %S
writeable = yes
create mode = 0600
directory mode = 0700
 

Lock

NGBler

Registriert
25 März 2020
Beiträge
72
  • Thread Starter Thread Starter
  • #11
Hallo zusammen,

ich habe es jetzt hinbekommen,
Aus irgend einem Grund wurden die Benutzer nicht angelegt.
Nach einem Reboot waren die Benutzer dann vorhanden und ich kann unter Linux ohne Probleme auf die Ordner zugreifen.

Ich gebe dann ein : smb://IP/name und alles Klappt !!!

Danke dafür!

Bei meinen Windowsrechner sehe ich leider NIX
\\IP \\IP /name \\IP name$ brachte nichts ein.
Auch über Netzwerkordner hinzufügen geht leider nichts, dort sehe ich nur das Synology Nas aber kein SAMBA.

Muss ich da was Freigeben oder in der smb.conf was erweitern?

Unter Windows habe ich die SMB Unterstützung aktiviert.
 

Steeve

Vereinsheimer
Barkeeper

Registriert
15 Juli 2013
Beiträge
41.121
zur Info, bei Windows kann man explizit die SMB 1.0 Unterstützung aktivieren, SMB 2.0 und 3.0 macht Windows schon, da muss man nichts machen. Es geht hier nur um SMB 1.0 was aber vernachlässigt werden kann.



wikipedia/smb schrieb:
Es ist ein zentraler Teil der Netzdienste der Windows-Produktfamilie

Das ist auch der Grund warum eher Linux da rumzickt.

https://de.wikipedia.org/wiki/Server_Message_Block
 

Lock

NGBler

Registriert
25 März 2020
Beiträge
72
  • Thread Starter Thread Starter
  • #13
Hallo und Danke für den Hinweis,
dass hatte ich aber schon gemacht.


samba.png

Leider bringt das keinen Erfolg.

Gruß Lock
 

musv

Bekannter NGBler

Registriert
15 Juli 2013
Beiträge
3.453
Ort
/dev/null
Steev: Sorry, dass ich Dich wiedermal zurückpfeifen muss. Leider schreibst du mal wieder was, was vollkommen in die falsche Richtung geht.

zur Info, bei Windows kann man explizit die SMB 1.0 Unterstützung aktivieren, SMB 2.0 und 3.0 macht Windows schon, da muss man nichts machen. Es geht hier nur um SMB 1.0 was aber vernachlässigt werden kann. ... Das ist auch der Grund warum eher Linux da rumzickt.

Stopp!

Lass das SMB1 deaktiviert! LInux kann SMB2 und 3 schon seit Jahren.

Geh stattdessen lieber nach dieser Anleitung vor.
https://wiki.samba.org/index.php/Windows_User_Home_Folders
 

Steeve

Vereinsheimer
Barkeeper

Registriert
15 Juli 2013
Beiträge
41.121
Nein genau das meine ich. Lass smb 1 deaktiviert. Ich weiss nicht was daraus aus meinen Zeilen falsch zu lesen ist. Aber es ist klar das diese Windows-Feature-smb1 Einstellung nur für Verwirrung sorgt.
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@Steev: Warum schreibst du es dann explizit, sogar mit Screenshot? Machst du das bei deinen Schülern auch? Erst ausführlich zeigen, wie man sich falsch verhält, nur um dann hinterher damit zu kommen, dass du ja nicht gesagt hast, dass sie das auch tun sollen? Bekommen wir jetzt von dir auch noch gezeigt, wie man die Firewall abschaltet, die ja auch irgendwie was mit Samba zu tun hat, nur weil du weißt, wies geht?
 

m6ld8ywqya

NGBler

Registriert
16 Juli 2013
Beiträge
670
Bei meinen Windowsrechner sehe ich leider NIX
\\IP \\IP /name \\IP name$ brachte nichts ein.
\\IP funktioniert nur mit gespeicherten Logindaten. Bei fehlenden wird nicht nachgefragt. Der Rest ist eh falsch und kann nicht funktionieren. \\IP\name ist richtig

--- [2021-01-04 09:02 CET] Automatisch zusammengeführter Beitrag ---

[global]
map to guest = Bad User
security = user
map to guest = never
workgroup = Link

Vielleicht beißt sich ja das fett markierte im Zitat.
 

musv

Bekannter NGBler

Registriert
15 Juli 2013
Beiträge
3.453
Ort
/dev/null
https://www.thomas-krenn.com/de/wiki/Samba-Server_Security#Benutzerzugriff

Deaktivierung der Gäste-Benutzerkonten
map to guest = never

Ein fehlgeschlagener Login-Versuch mit einem nicht vorhandenen Samba-User kann aber auch zu einem Gäste-Account "gemapped" werden. Hierbei werden folgende Zeilen verwendet:

map to guest = Bad User
guest account = nobody
Beißen wird sich das nicht. Eher überschreibt wohl der 2. Eintrag den ersten.

Allerdings ist das "eigentlich" egal, da hier sowieso keine Gäste-Accounts (=Public) verwendet werden sollen. Ganz so egal ist es dann aber doch nicht, wie ich aus dem Thomas-Krenn-Wiki zitiert hab, weil bei "Bad User" ein fehlgeschlagener Loginversuch auf den Gäste-Account (nobody) gemappt wird.

Samba ist insofern richtig kacke, da es der typischen M$-Philosophie folgt. Bei dem Mist ist nichts eindeutig:

writeable = yes ist dasselbe wie read only = no. Und das zieht sich durch die gesamte Konfiguration. Auch der Blödsinn mit den unterschiedlichen User-Datenbank-Backends hat uns schon Kopfschmerzen bereitet. Z.B. haben wir es noch nicht hinbekommen, die Kerberos-Authentifizierung (gegen die AD) in eine separate Keytab auszulagen, um Samba als Clusterdienst nutzen zu können. Zwar gibt es die Optionen in der Config, aber es ist nicht überall dokumentiert und funktioniert auch nicht.

Dass die Einbindung der Homelaufwerke auf den Windows-Clients so nicht funktioniert, wie man es eigentlich vermuten würde, ist klar im o.g. Link erklärt. Hier nochmal:
https://wiki.samba.org/index.php/Windows_User_Home_Folders
Aber auch das folgt natürlich wieder der M$-Philosophie. KISS-Prinzip ist nicht deren Ding.

Ich versuche, Samba weitestgehend zu vermeiden. Blöderweise unterstützt Google kein NFS, was mir dann bei Android wieder auf die Füße fällt und womit dann ein Chromebook als potentieller Tabletersatz wieder als Option ausfällt.
 
Oben