Samba shares, toegang regelen per gebruiker - Linux en overige clients

woensdag 15 oktober 2008 14:20

Acties:

Topicstarter

Beste mede tweakers,

Ik heb sinds een weekje een CentOS machine draaien (eigenlijk is het een TrixBox machine) waarop behalve trixbox, ook samba moet draaien. De bedoeling is eigenlijk dat er een aantal shares op die pc worden aangemaakt, die beschikbaar zijn voor meerdere gebruikers.
Nu wil ik het zo in elkaar zetten dat voor iedere share gevraagd wordt naar een password. Een gebruiker heeft dan toegang tot een share als hij het juiste password weet.

Mijn Samba config ziet er nu als volgt uit:

[global]
workgroup = workgroup
server string = trixbox PBX
local master = no
domain master = no
preferred master = no
password server = None
guest ok = yes
guest account = jan
security = SHARE
dns proxy = no

[opslag]
path = /opslag
public = no
browsable = yes
read only = no
create mask = 0775
valid users = jan

Met deze configuratie kan een willekeurige gebruiker connecten naar \\sambaip\opslag, waarop de gebruiker een prompt krijgt voor het guest password (in dit geval is "jan" het guest account) en als de gebruiker het juiste password invult krijgt hij toegang. So far So good......

Eigenlijk zou ik het volgende willen met mijn config, maar om 1 of andere reden werkt dat niet (weet ook niet of het kan, ben een linux beginneling)

[global]
workgroup = workgroup
server string = trixbox PBX
local master = no
domain master = no
preferred master = no
password server = None
security = SHARE
dns proxy = no

[opslag]
path = /opslag
public = no
browsable = yes
read only = no
create mask = 0775
valid users = jan
guest ok = yes
guest account = jan

[opslag2]
path = /opslag2
public = no
browsable = yes
read only = no
create mask = 0775
valid users = piet
guest ok = yes
guest account = piet

Ik heb in bovenstaande voorbeeld de regels "guest ok = yes" en "guest account = XXX" verplaatst van de global config naar de share config. De share "opslag" mag alleen voor jan toegankelijk zijn, of voor een guest die het password van jan heeft. De share "opslag2" mag alleen voor piet toegankelijk zijn, of voor een guest die het password van piet heeft.

Ik heb het op deze manier geprobeerd maar helaas werkt het niet. Ik heb uit alle macht ge-googled en hier op tweakers zitten zoeken, maar helaas niet gevonden wat ik zocht.

Iemand die mij kan vertellen wat ik fout doe?

woensdag 15 oktober 2008 15:51

Acties:

Convo

Heb je al useraccounts aangemaakt voor Jan en Piet op je machine? Zo ja, heb je de wachtwoorden ingesteld met het commando smbpasswd ?

Heb je de unix bestandspermissies goed ingesteld, zodat de unix gebruiker Piet toegang heeft tot opslag 2?

Als ik je goed begrijp wil je dat mensen met een guest account kunnen inloggen op de share van piet als ze zijn wachtwoord invullen? Wat is hier hiet nut van als ik vragen mag? Waarom laat je de mensen die het wachtwoord weten niet gewoon als piet of jan inloggen?

[ Voor 15% gewijzigd door Convo op 15-10-2008 15:53 ]

donderdag 16 oktober 2008 00:48

Acties:

slash24

Topicstarter

Dr.R schreef op woensdag 15 oktober 2008 @ 15:51:
Heb je al useraccounts aangemaakt voor Jan en Piet op je machine? Zo ja, heb je de wachtwoorden ingesteld met het commando smbpasswd ?

Heb je de unix bestandspermissies goed ingesteld, zodat de unix gebruiker Piet toegang heeft tot opslag 2?

Als ik je goed begrijp wil je dat mensen met een guest account kunnen inloggen op de share van piet als ze zijn wachtwoord invullen? Wat is hier hiet nut van als ik vragen mag? Waarom laat je de mensen die het wachtwoord weten niet gewoon als piet of jan inloggen?

Antwoorden op de vragen die je stelde:
User accounts aangemaakt voor piet en jan: JA
Wachtwoorden voor de users ingesteld: JA
Permissies goed ingesteld: JA

Het NUT? Dat is er in principe niet echt! Als ik met een willekeurige windows XP machine probeer verbinding te maken met \\ipaddress\sharenaam dan komt er automatisch een prompt op met daarin de username guest al ingevuld en greyed-out. Dat betekent dat er automatisch met een guest account wordt gewerkt.

Het liefst zou ik dus hebben dat jan kan inloggen met username jan en password jan'spassword en piet kan inloggen op zijn shares met username piet en password piet'spassword. Indien iemand een manier weet om dat te doen ben ik ook geholpen. De windows pc's komen echter telkens met een prompt waarin Guest al is ingevuld!

donderdag 16 oktober 2008 01:10

Acties:

gertvdijk

slash24 schreef op donderdag 16 oktober 2008 @ 00:48:
Het liefst zou ik dus hebben dat jan kan inloggen met username jan en password jan'spassword en piet kan inloggen op zijn shares met username piet en password piet'spassword. Indien iemand een manier weet om dat te doen ben ik ook geholpen. De windows pc's komen echter telkens met een prompt waarin Guest al is ingevuld!

Als iedereen zijn eigen share heeft waar niemand bij mag, dan zijn het toch geen shares meer, maar gewoon de [homes] sectie in je smb config?
Verder vind ik dit echt een waardeloos ontwerp:

De share "opslag2" mag alleen voor piet toegankelijk zijn, of voor een guest die het password van piet heeft.

Als die het wachtwoord weet, dan kan hij toch ook de username invullen?

slash24 schreef op woensdag 15 oktober 2008 @ 14:20:
Iemand die mij kan vertellen wat ik fout doe?

Het begint al bij je ontwerp.
Een logischere manier om dit op te lossen is d.m.v. groups. Je zet de users die toegang mogen hebben tot opslag1 in de groep opslag1, de users die toegang mogen hebben tot opslag2 zet je in de groep opslag2. Dan zijn passwords personal again en heb je perfect onder controle wie erbij mogen.

[ Voor 39% gewijzigd door gertvdijk op 16-10-2008 01:15 ]

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

donderdag 16 oktober 2008 13:42

Acties:

Convo

Om dat gray-out probleem op te lossen moet je (niet 100% zeker)

guest account = jan/piet weglaten
en guest ok = yes veranderen in guest ok = no

Verder ben ik het helemaal met gert eens. Het is in principe wat ik in mijn eerste post wilde zeggen, maar hij wist het beter uit te leggen.

Hier een stukje uit mijn smb.conf.

code:

#Home dirs, iedere gebruiker moet inloggen met username en password
[Jan]
   comment = Property of Jan
   path = /home/Jan
   guest ok = No
   read only = No
   browseable = Yes
   create mask = 0700
   valid users = Jan

[Piet]
   comment = Property of Piet
   path = /home/Piet
   guest ok = No
   read only = No
   browseable = Yes
   create mask = 0700
   valid users = Piet

#Gedeelde directory, Alle gebruikers die lid zijn van de groep smbusers hebben toegang tot deze share

[Fotos]
   comment = Onze fotos
   path = /ext/fotos
   guest ok = No
   read only = No
   browseable = Yes
   create mask = 0770
   valid users = @smbusers
   force group = foto
   directory mask = 0770
   force directory mode = 0770
   force create mode = 0770

[ Voor 58% gewijzigd door Convo op 16-10-2008 13:49 ]

donderdag 16 oktober 2008 14:12

Acties:

gertvdijk

Dr.R schreef op donderdag 16 oktober 2008 @ 13:42:
Hier een stukje uit mijn smb.conf.

code:

#Home dirs, iedere gebruiker moet inloggen met username en password
[Jan]
   comment = Property of Jan
   path = /home/Jan
   guest ok = No
   read only = No
   browseable = Yes
   create mask = 0700
   valid users = Jan

[Piet]
   comment = Property of Piet
   path = /home/Piet
   guest ok = No
   read only = No
   browseable = Yes
   create mask = 0700
   valid users = Piet

Wat doe jij hier nou?

Dat gaat automagisch met een [home] sectie hoor! Bijvoorbeeld:

code:

[home]
   comment = %U's home
   volume = home
   path = %H
   browseable = yes
   hide files = /desktop.ini/Desktop.ini/
   hide dot files = yes
   writable = yes
   create mask = 0700
   directory mask = 0700
   csc policy = disable
   # valid users = %S

@ TS:
Dit is wat je wil (eventueel aanvullen met guest=<bla> regeltjes):

code:

[opslag1]
   comment = De Opslag 1 schijf
   path = /srv/opslag1
   valid users = @opslag1, @standaardusers, bofh-admin # Dit zijn de groepen opslag1, standaardusers en de gebruiker bofh-admin die toegang heeft
   force group = opslag1 # standaard group die wordt gebruikt bij nieuwe files/dirs
   create mask = 0660
   directory mask = 0770
   writable = yes
[opslag2]
   comment = De Opslag 2 schijf
   path = /srv/opslag2
   valid users = @opslag2, bofh-admin # Hier mogen de users uit de groep opslag1 en standaardusers niet bij.
   force group = opslag2 # standaard group die wordt gebruikt bij nieuwe files/dirs
   create mask = 0660
   directory mask = 0770
   writable = yes

[ Voor 29% gewijzigd door gertvdijk op 16-10-2008 14:16 ]

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

donderdag 16 oktober 2008 14:25

Acties:

Convo

Klopt maar dit is maar een deel van de shares. Ik heb nog meer shares waarbij er bij elke home andere permissies gelden. Daarnaast wil ik niet alle homes sharen.

Volges mij is er verder niets verkeerd met mijn methode, ik vind dit zeker zo overzichtelijk als je niet teveel shares hebt. Jouw manier is gewoon een methode om het met minder typwerk te doen.

[ Voor 6% gewijzigd door Convo op 16-10-2008 14:28 ]

donderdag 16 oktober 2008 14:30

Acties:

!null

Je moet ook kijken naar het global item security.

Maar ik zou je eigenlijk aanraden SWAT te installeren, die maakt het configureren wel iets makkelijker (en geeft je aardig wat info erbij). M.b.v. SWAT krijg ik alles met samba wel voor elkaar eigenlijk.

Ampera-e (60kWh) -> (66kWh)

donderdag 16 oktober 2008 16:35

Acties:

gertvdijk

Dr.R schreef op donderdag 16 oktober 2008 @ 14:25:
Klopt maar dit is maar een deel van de shares. Ik heb nog meer shares waarbij er bij elke home andere permissies gelden. Daarnaast wil ik niet alle homes sharen.

Tja, per gebruiker verschillende permissies over zijn eigen home dir vind ik wel beetje raar. Maar je zal er wel een goede reden voor hebben.

Dr.R schreef op donderdag 16 oktober 2008 @ 14:25:
Volges mij is er verder niets verkeerd met mijn methode, ik vind dit zeker zo overzichtelijk als je niet teveel shares hebt. Jouw manier is gewoon een methode om het met minder typwerk te doen.

Nee, ik wilde ook niet suggereren dat jij iets fout doet. Ik vroeg me alleen af of je wel door had dat er zoiets als een [home] sectie bestond.

En verder is SWAT inderdaad een goed idee voor beginners.

[ Voor 3% gewijzigd door gertvdijk op 16-10-2008 16:36 ]

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

donderdag 30 oktober 2008 16:13

Acties:

slash24

Topicstarter

Bedankt iedereen voor de antwoorden, ik denk dat ik nu wel een idee heb over hoe ik voor elkaar kan krijgen zoals ik het wil. Ben alleen een tijdje op vakantie geweest, dus nog niets geprobeerd.

Ik ga vanavond 1 en ander testen, en zal laten weten of ik het voor elkaar heb gekregen!