Samba, de laatste loodjes - Linux en overige clients

dinsdag 5 augustus 2003 14:44

Acties:

Verwijderd

Topicstarter

Hallo iedereen,

Inmiddels heb ik Samba (versie 2.2.8 draaiend onder RedHat 9) zover dat het in productie genomen kan worden als file- en printserver. Als leuke bijkomstigheid wil ik hierbij nog vermelding dat ook het hele winbind-gebeuren werkt. Dit laatste heeft heel wat gepuzzel gekost maar toch.............

Maar zoals gezegd er zijn nog wat laatste obstakeltjes zoals:

een gebruiker kan vanaf zijn w2k-client de shares op de server zonder meer benaderen nadat hij zich correct heeft geverifeerd. Maar hoe maak ik nu een administrator-user aan die vanaf de werkstations ook toegang heeft tot shares van andere gebruikers.

Dit is zo op zijn tijd best handig bij het onderling kopieren van bestanden uiteraard.

Bedankt voor jullie hulp alvast

dinsdag 5 augustus 2003 14:49

Acties:

BoAC

Memento mori

Waarom een administrator-user?
Je kan toch ook een share aanmaken als bijv. shared data (read-only). Hierin staan dan sym-links naar shared-data's van de andere gebruikers zodat files via die map kunnen worden uitgewisseld.

Wanneer namelijk een administrator-user dat moet doen zit je met een rechten-probleem.

dinsdag 5 augustus 2003 14:49

Acties:

Freak_NL

kun je als root (administrator is meestal een alias van root onder Samba) sowieso niet alle shares al gebruiken? Of wil je een account die los staat van het root account op die server?

dinsdag 5 augustus 2003 15:16

Acties:

Verwijderd

Topicstarter

Je kunt inderdaad bv een "domain admin group = " aanmaken en dan heb je al permissies om als 'administrator' bepaalde handelingen te doen op een w2k-werkstation. Dit werkt allemaal perfect.

Maar met de gebruikersshares ligt dat wat anders. Als ik inlog als gebruiker X en ik moet de bestanden van gebruiker Z kunnen benaderen hoe configureer ik dat dan op Samba-niveau.

Groeten

Ad K.

dinsdag 5 augustus 2003 15:20

Acties:

Verwijderd

Zover ik het begrijp:

je kan of een speciale share maken waar de permissies op 770 staan... alle gebruikers in een groep mikken, en iedereen kan bestanden van elkaar stelen op die share...

Maar volgens mij een w2k ook een "connect as" optie, en dan ken je een share benaderen met een ander account..

dinsdag 5 augustus 2003 15:29

Acties:

Freak_NL

Je kan ook altijd nog met "Map network drive" vanuit een Windows bak als een andere gebruiker connecten als je geen "connect as" vind.

Ik kan die optie iig nooit vinden op WinXP computers.. zal aan mij liggen?

Je kan in Samba met de "valid users" key per share aangeven wie erbij mogen, misschien zoek je dat?

[ Voor 24% gewijzigd door Freak_NL op 05-08-2003 15:30 ]

dinsdag 5 augustus 2003 15:34

Acties:

Hmzaniac

Evil Admin

edit:
[bla

[ Voor 98% gewijzigd door Hmzaniac op 05-08-2003 15:35 . Reden: Ik ben dom :| ]

Ik heb een WOS-post!

dinsdag 5 augustus 2003 15:56

Acties:

Verwijderd

ik heb mezelf op de server root rechten gegeven. Voor thuis kan dat prima, doe ik al 3 jaar zonder probs. Kun je overal naar toe.
Bij mij ziet het bewuste-deel-smb.conf van RH6 er zo uit:

[server]
path = /
admin users = root andre
read only = No
Plus uiteraard de rechten netjes regelen in het systeem als user/beheerder combi.

[ Voor 3% gewijzigd door Verwijderd op 05-08-2003 15:57 ]

dinsdag 5 augustus 2003 15:59

Acties:

Verwijderd

Topicstarter

Wellicht heb ik het niet helemaal duidelijk voorgesteld, maar het idee van een gezamenlijke share bedoel ik niet.

Ik log in als gebruiker X die een bestand nodig heeft van gebruiker Z. Alle permissies van de home-directories staan op 0700. Dus gebruiker X kan nooit bij de bestanden van gebruiker Z.

Hoe maak ik nu een account aan dat deze rechten kan overrulen. Windows ken namelijk de gebruiker root weer niet etc.......

dinsdag 5 augustus 2003 16:02

Acties:

Hmzaniac

Evil Admin

admin users = "<username>"

et voila. Met die account kan je nu o-ver-al bij. En heb je overal lees en schrijfrechten. Dus ook onder andermans homeshares. Je zult alleen even het UNC-path moeten opgeven (dus \\server\pietje )

Ik heb een WOS-post!

dinsdag 5 augustus 2003 16:10

Acties:

BoAC

Memento mori

Hmzaniac schreef op 05 August 2003 @ 16:02:
admin users = "<username>"

et voila. Met die account kan je nu o-ver-al bij. En heb je overal lees en schrijfrechten. Dus ook onder andermans homeshares. Je zult alleen even het UNC-path moeten opgeven (dus \\server\pietje )

Is alleen lastig als de desbetreffende user dat bestand wil lezen/schrijven wanneer je bij hem een bestand hebt geplaatst wat die nodig heeft. Dat gaat dan niet.

dinsdag 5 augustus 2003 16:13

Acties:

Verwijderd

Verwijderd schreef op 05 August 2003 @ 15:59:
Wellicht heb ik het niet helemaal duidelijk voorgesteld, maar het idee van een gezamenlijke share bedoel ik niet.

Ik log in als gebruiker X die een bestand nodig heeft van gebruiker Z. Alle permissies van de home-directories staan op 0700. Dus gebruiker X kan nooit bij de bestanden van gebruiker Z.

Hoe maak ik nu een account aan dat deze rechten kan overrulen. Windows ken namelijk de gebruiker root weer niet etc.......

Vet gedrukte gedeelte zegt toch genoeg? Alleen de eigenaar en root hebben toegang, einde verhaal....

Uiteraard tenzij je "admin users=" gebruikt... maar dat wil je niet voor al je gebruikers..

dinsdag 5 augustus 2003 16:26

Acties:

Hmzaniac

Evil Admin

Je kan ook force user gebruiken. Op die manier forceer je dat de de share wordt benaderd als de gebruiker die je in force user zet. Hoewel mensen dan nog steeds toegang moeten hebben tot de share.

Ik heb een WOS-post!

dinsdag 5 augustus 2003 16:27

Acties:

Hmzaniac

Evil Admin

BoAC schreef op 05 August 2003 @ 16:10:
[...]

Is alleen lastig als de desbetreffende user dat bestand wil lezen/schrijven wanneer je bij hem een bestand hebt geplaatst wat die nodig heeft. Dat gaat dan niet.

force user = %u
force group = @%G
create mask = 0700

daar zijn in samba echt wel oplossingen voor.

Ik heb een WOS-post!

dinsdag 5 augustus 2003 17:55

Acties:

Verwijderd

Verwijderd schreef op 05 August 2003 @ 15:59:
Wellicht heb ik het niet helemaal duidelijk voorgesteld, maar het idee van een gezamenlijke share bedoel ik niet.

Ik log in als gebruiker X die een bestand nodig heeft van gebruiker Z. Alle permissies van de home-directories staan op 0700. Dus gebruiker X kan nooit bij de bestanden van gebruiker Z.

Hoe maak ik nu een account aan dat deze rechten kan overrulen. Windows ken namelijk de gebruiker root weer niet etc.......

dit is geen gezamenlijke share, je geeft jezelf als user root rechten en dan kun je overal bij. Zo werkt het bij mij bij de windows clients ook. Zij kunnen echt niet in mijn dirs op de server terwijl ik vanaf mijn workstation (windows & linux in dual boot) dat wel kan.
En wat die rechten betreft: bij Red Hat 9 is het zelfs zo eenvoudig geworden..
R-muis en geef de anderen schrijfrechten voor het betreffende bestand...
Op de server (RH 6) doe ik het nog vaak handmatig of via Midnight Commander.

dinsdag 5 augustus 2003 19:43

Acties:

Verwijderd

Topicstarter

wat doe ik dan fout, want bij mij wil dit dus niet.

drwxrwxrwx /home/gebruikerA

deze directory wordt dus ook via Samba geshared. Als ik dan het onderstaande ingeef:

smbclient //linux2000/gebruikersA -U xx ( xx = admin user)

xxxx password

dan krijg ik steeds: error tree_connect: NT_status_wrong_password

dinsdag 5 augustus 2003 22:09

Acties:

Hmzaniac

Evil Admin

Heb je dan wel admin users = "username" gedaan? domain admin group = "username" werkt niet, dit geeft alleen maar aan wie er op lokale windows clients admin rechten hebben

Ik heb een WOS-post!

woensdag 6 augustus 2003 08:04

Acties:

Verwijderd

soms moet je onder windows een plain password registeraanpassing doen om met samba te kunnen werken. De code is wel vaker voorbij gekomen maar vooruit. Installeren door eerst als reg op te slaan en dan erop dubbelklikken:

voor XP : NT5EnablePlainTextPassword.reg

code:

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters]
"enableplaintextpassword"=dword:00000001

voor win95/98: ik heb er 2, ik gebruik de 1e. Hier moet je wel pc-naam, werkgroep en commentaar aanpassen.

sambaanpassing.reg

code:

REGEDIT4

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
"ComputerName"="andre"
"Workgroup"="samba"
"Comment"="Downstairs"
"StaticVxD"="vnetsup.vxd"
"Start"=hex:00
"NetClean"=hex:01
"MaintainServerList"="1"
"LMAnnounce"="0"
"EnablePlainTextPassword"=dword:00000001

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP\Ndi]

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP\Ndi\params]

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP\Ndi\params\MaintainServerList]
"default"="2"
"ParamDesc"="Browse Master"
"type"="enum"
@="1"

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP\Ndi\params\MaintainServerList\enum]
"2"="Automatic"
"1"="Enabled"
"0"="Disabled"

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP\Ndi\params\LMAnnounce]
"default"="0"
"ParamDesc"="LM Announce"
"type"="enum"
@="0"

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP\Ndi\params\LMAnnounce\enum]
"1"="Yes"
"0"="No"

code:

REGEDIT4

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
"EnablePlainTextPassword"=dword:00000001

Windows NT: knip en plak de hele link even, want GoT accepteert hem niet als geheel.
http://support.microsoft....6/7/30.asp&NoWebContent=1

[ Voor 47% gewijzigd door Verwijderd op 06-08-2003 08:08 ]

woensdag 6 augustus 2003 08:41

Acties:

JeroenE

Ik log in als gebruiker X die een bestand nodig heeft van gebruiker Z. Alle permissies van de home-directories staan op 0700. Dus gebruiker X kan nooit bij de bestanden van gebruiker Z.

Waarom zou je dit willen? Home directories zijn toch voor je eigen prive bestanden?

Als je bestanden gezamelijk wil gebruiken dan hoor je ze IMHO gewoon op een echte gezamelijke share te zetten. \\server\afdeling\project ofzo. Bij die share kan je dan aangeven wie er allemaal welke rechten heeft en wie er dus bij kan.

woensdag 6 augustus 2003 10:09

Acties:

BoAC

Memento mori

jeroene schreef op 06 August 2003 @ 08:41:
[...]
Waarom zou je dit willen? Home directories zijn toch voor je eigen prive bestanden?

Als je bestanden gezamelijk wil gebruiken dan hoor je ze IMHO gewoon op een echte gezamelijke share te zetten. \\server\afdeling\project ofzo. Bij die share kan je dan aangeven wie er allemaal welke rechten heeft en wie er dus bij kan.

Vandaar de symbolic link die ik aangaf eerder in deze thread. Dan houd je dus gedeelde bestanden en prive bestanden gescheiden.

woensdag 6 augustus 2003 12:32

Acties:

Hmzaniac

Evil Admin

Verwijderd schreef op 06 August 2003 @ 08:04:
soms moet je onder windows een plain password registeraanpassing doen om met samba te kunnen werken. De code is wel vaker voorbij gekomen maar vooruit. Installeren door eerst als reg op te slaan en dan erop dubbelklikken:

Reut aan registry patches...

Dit heeft toch helemaal NIETS met het onderwerp te maken? Je zit hier gewoon wat random blaat op te noemen, die zn systeem ook nog eens ONWERKZAAM kunnen maken. Hij kan nl gewoon authenticaten, en samba heeft al sinds jaar en dag support voor enrypted passwords. Dat heeft dus helemaal niets met het probleem te maken. Ga dan alsjeblieft ergens anders spelen ipv moedwillig of onbewust iemand anders' systeem te verkloten.

Verder: het is wel mogelijk om voor users een public drop box, en een public readable directory in hun homedir te maken, die dan benaderbaar zijn via samba.

Dit heb ik ooit een keer voor een project in elkaar gezet, ik zal kijken of ik het nog terug kan vinden.

Het idee was dan dat je een share "public" had, en een share "drop box". Hiermee zag je voor iedere user een directory, en het enige wat je daaronder kon zien was de directories public, deze was read-only voor iedereen (mensen konden hier dus meuk in zetten voor andere). De andere was een drop box, waar mensen zooi in konden achterlaten waarvan ze wilden dan desbetreffende persoon ze ontving.

Als ik de configuratie nog kan vinden, dan post ik hem hier.

Ik heb een WOS-post!

Pagina: 1

Reageer