• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Samba4, pdbedit speichert Benutzer mit falscher Domain / Workgroup ab

daddy.k

Member
Hallo,

ein neues Problem begleitet mich beim Aufstieg von Leap 42.2 auf 42.3.

Gleiche Samba Konfigurationsdateien aber unterschiedliche Benutzer Einträge.

Hier mal die smb.conf
Code:
[global]
        server string           = server
        netbios name            = server
        workgroup               = tempo
        time server             = yes
        socket options          = TCP_NODELAY
        security                = user
        admin users             = root
        username map            = /etc/samba/smbusers
        hosts allow             = 192.168.0.0/24 127.0.0.0/8 [::1]
        map to guest            = BAD USER
        interfaces              = eth1
        bind interfaces only    = yes
        load printers           = yes
        printing                = cups
        printcap name           = cups
        printcap cache time     = 3600
        cups options            = raw
        wins support            = no
        wins server             =
        domain logons           = no
        os level                = 20
        prefered master         = auto
        domain master           = auto
        local master            = no
        logon path              = \\%L\profiles\.msprofile
        logon home              = \\%L\%U\.9xprofile
        logon script            = .netlogon.cmd
        logon drive             = S:
        log level               = 3
        log file                = /var/log/samba/%m.log
        max log size            = 2000
        add user script         = /usr/bin/pdbedit -a "%u"
        add machine script      = /usr/bin/pdbedit -am "%m"
        delete user script      = /usr/bin/pdbedit -x "%u"
        passwd program          = /usr/bin/pdbedit -a %u
        passwd chat             = "Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supda
        passdb backend          = tdbsam

[homes]

Nach dem Anlegen eines Benutzers mit z.B.: "pdbedit -a roland" sieht die ausgabe wie folgt aus:
Code:
server:/etc/samba # pdbedit -a roland
No builtin backend found, trying to load plugin
Module 'tdbsam' loaded
new password:
retype new password:
Forcing Primary Group to 'Domain Users' for roland
Forcing Primary Group to 'Domain Users' for roland
Forcing Primary Group to 'Domain Users' for roland
Forcing Primary Group to 'Domain Users' for roland
Unix username:        roland
NT username:
Account Flags:        [U          ]
User SID:             S-1-5-21-4169872705-2732636905-3626138832-1025
Primary Group SID:    S-1-5-21-4169872705-2732636905-3626138832-513
Full Name:            Roland
Home Directory:       \\server\roland\.9xprofile
HomeDir Drive:        S:
Logon Script:         .netlogon.cmd
Profile Path:         \\server\profiles\.msprofile
Domain:               SERVER
Account desc:
Workstations:
Munged dial:
Logon time:           0
Logoff time:          Wed, 06 Feb 2036 16:06:39 CET
Kickoff time:         Wed, 06 Feb 2036 16:06:39 CET
Password last set:    Sun, 27 Aug 2017 00:24:04 CEST
Password can change:  Sun, 27 Aug 2017 00:24:04 CEST
Password must change: never
Last bad password   : 0
Bad password count  : 0
Logon hours         : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
server:/etc/samba #

Der Name des Server in HOSTNAME lautet:
Code:
server.tempo
HOSTNAME lines 1-1/1 (END)

Die folge ist, dass ich mich von den Windows-Clients nicht anmelden kann.

Die Ausgabe des anderen Servers lautet:
Code:
server-gate:/etc/samba # pdbedit -Lv roland
No builtin backend found, trying to load plugin
Module 'tdbsam' loaded
Unix username:        roland
NT username:
Account Flags:        [U          ]
User SID:             S-1-5-21-3558286380-2406469518-4117491884-1005
Primary Group SID:    S-1-5-21-3558286380-2406469518-4117491884-513
Full Name:            roland
Home Directory:       \\server-gate\roland\.9xprofile
HomeDir Drive:        S:
Logon Script:         .netlogon.cmd
Profile Path:         \\server-gate\profiles\.msprofile
Domain:               TEMPO
Account desc:
Workstations:
Munged dial:
Logon time:           0
Logoff time:          Wed, 06 Feb 2036 16:06:39 CET
Kickoff time:         Wed, 06 Feb 2036 16:06:39 CET
Password last set:    Wed, 12 Jul 2017 21:24:25 CEST
Password can change:  Wed, 12 Jul 2017 21:24:25 CEST
Password must change: never
Last bad password   : 0
Bad password count  : 0
Logon hours         : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
server-gate:/etc/samba #

Woher kommen die vier Einträge?: Forcing Primary Group to 'Domain Users' for roland
Warum wir die Domain auf "SERVER" statt auf "TEMPO" gesetzt?

Für Eure Hilfe schon mal Vielen Dank.

daddy.k
 

spoensche

Moderator
Teammitglied
Zu deiner Domain- Frage:

deine Domain heisst server.tempo. D.h. die Domainendung ist .tempo und kann nicht für den Arbeitsgruppennamen verwendet werden. Somit wird SERVER für als Name der Arbeitsgruppe verwendet.

daddy.k schrieb:
Woher kommen die vier Einträge?: Forcing Primary Group to 'Domain Users' for roland

In deiner Samba Konfiguration fehlt die Definition des Betriebsmodus (Domain Controller, AD-Memberserver, etc..) Daher geht Samba davon aus, das er der PDC ist und in einer Domäne gibts es diverse Defaultgruppen die dann eben auch dem User zugewiesen werden.
 
OP
D

daddy.k

Member
Hallo spoensche,

danke für Deine Antwort.

Es ist richtig, der Name des Servers ist auch server, und die Domain heist .tempo.
Er soll weder ein DC noch ein AD-Memberserver sein oder werden.

Seine Aufgabe ist:

Name-Server
DHCP-Server
Proxy-Server
Mail-Server
WEB-Server
Gateway (zwei Netzwerkkarten: 192.168.0.0/24 / 172.16.0.0.16)
Netzwerklaufwerke zur Verfügung zu stellen.

Hierzu muss sich jeder Nutzer am Samba anmelden können.

Ich verstehe nur nicht, warum mit Suse Leap 42.3 meine seit Suse 8.2 existierend Sambakonfiguration (kleine Ändungen evtl.) nicht mehr stimmt.
Als Vergleich hatte ich ja die Ausgabe von "pdbedit -Lv roland" von meinem Ausweichrechner "server-gate" gepostet.

Gleiche Konfigutartion wie auf "server" mit dem Unterschied das hier die Domain TEMPO heist.

Mit welchem Parameter habe ich Samba zum DC oder AD-Memberserver erklärt?

Gruße
daddy.k
 

spoensche

Moderator
Teammitglied
daddy.k schrieb:
Es ist richtig, der Name des Servers ist auch server, und die Domain heist .tempo.
Er soll weder ein DC noch ein AD-Memberserver sein oder werden.

Wenn der Samba nicht als PDC (Primary Domain Controller) oder in deinem Netz auch kein PDC vorhanden ist, dann handelt es sich um eine Arbeitsgruppe und nicht um eine Domain.

Eine Domain benötigt, im M$ NixAhnungUniversum, ein Active Directory, Kerberos, DNS etc.. Diese Dinge werden für eine reine Arbeitsgruppe nicht benötigt.

Wenn du einen FQDN verwenden willst, dann muss an dein server.tempo noch der Suffix hinzugefügt werden, z.B. server.tempo.kmh. Dann wird pdbedit auch das Tempo als Arbeitsgruppennamen verwenden.

daddy.k schrieb:
Seine Aufgabe ist:

Name-Server
DHCP-Server
Proxy-Server
Mail-Server
WEB-Server
Gateway (zwei Netzwerkkarten: 192.168.0.0/24 / 172.16.0.0.16)
Netzwerklaufwerke zur Verfügung zu stellen.

Kurz gesagt eierlegende Wollmilchsau.

Eine Info bzw. Ratschlag, warum du das so nicht machen solltest (auch IT-Security):

1. Auf einem Gateway haben Dienste, die irgendwelche Services den Usern bereitstellen absolut gar nix verloren. Sprich Samba, Mail-Server haben auf einem Gateway nix verloren. Du kannst als Klempner auch nicht sagen ich mach heut einen auf Koch im Sternerestaurant. Da ist der Klempner nur zur Instandhaltung der Sanitäranlagen und sonst völlig fehl am Platze.

Ein Webserver ist ok, sofern er denn für die Administrations-UI verwendet wird. Ansonsten bietet er nur unnötige Angriffsfläche.

Alleine aus sicherheitstechnischen Gründen sollte man dies nicht tun. Wenn ein Angreifer durch eine mögliche Schwachstelle dein Gateway übernimmt, dann hat er auch Zugriff auf deine Dokumente etc. und könnte im schlimmsten Fall noch auf Idee kommen dich mit deinen Daten zu erpressen. Noch wesentlich prikärer wird das ganze, wenn du Kundendaten o.ä. dort ablegst. (Datenschutzgesetz, strafrechtl. Folgen usw.)

2. Du bist dir deiner Verantwortung und der rechtl. Konsequenzen, die der Betrieb eines Mail- Servers mit sich bringt bewusst oder?

3. Wenn der Rechner wegen eines Hardwaredefektes ausfällt, dann kannst du bis zur Reperatur nicht mehr auf deine Dateien zugreifen. Wie es dann halt so ist, muss man genau in diesem Moment in einem Dokument was nachlesen und tata A-Karte gezogen.

4. Den Proxy willst du nur zwecks pseudo anonymen Surfen und evtl. als Cache verwenden oder?

5. Nameserver
Der Nameserver hat auch nix auf dem Gateway verloren. Wenn Gateway tot, dann keine Namensauflösung mehr im Netz. Auf einem Gateway ist höchstens ein DNS-Forwarder, DNS-Cache zu finden.


daddy.k schrieb:
Hierzu muss sich jeder Nutzer am Samba anmelden können.

Ich verstehe nur nicht, warum mit Suse Leap 42.3 meine seit Suse 8.2 existierend Sambakonfiguration (kleine Ändungen evtl.) nicht mehr stimmt.

Weil du Samba Version 4 verwendest, deine alte Konfig evtl. Version 3 ist und Samba auch weiterentwickelt worden ist.
Du kannst mit Samba 4 ein vollständiges und M$ konformes Active Directory aufsetzen, was mit Samba Version kleiner 4 nicht möglich ist.

Damit Samba die Zugriffsrechte von Win nach posixkonform aufs lokale Dateisystem mappen kann, müssen bei einer Arbeitsgruppe die User auch lokal auf dem Server existieren. Ist das bei dir der Fall?

Siehe auch https://wiki.samba.org/index.php/Setting_up_Samba_as_a_Standalone_Server
 
OP
D

daddy.k

Member
Hallo Gräfin Klara,
hallo spoensche,

Code:
server:~ # hostname
server
server:~ # hostname -d
tempo
server:~ # hostname -f
server.tempo
server:~ #

Der Server liegt hinter einer Fritzbox, welche der eigentliche Gateway ist.

Deine Sicherheitsbedenken kann ich verstehen, denke aber, dass ich hinter der Fritzbox schon einiges an Sicherheit gewonnen habe.
Zum Beispiel habe ich den SSH-Zugang von aussen auf einem anderen Port liegen.

Die E-Mail's und Daten werden etwa alle 4 Wochen auf einem anderen Rechner gesichert und gezipt. Geht ja mit rsync recht gut.

Für die Ausfallsicherheit habe ich mit einem "3ware Raidcontroller, 6 HD's im Raid 6 Verbund" eine Ausfallsicherheit von 2 Platten. Sollte reichen für zuhause.

Für die Spannungssicherheit habe ich eine APC-USV vorgeschaltet und mit einer starken Batteriegekoppelt welche zwei Rechner, die Fritzbox sowie unsere Telefonanlage für mindestens 30 min. aufrecht erhält. (War lebenswichtig, da in unserem Gebiet viel gebaut wurde)
Batterie hat ein eigenes Ladegerät, auf Masseschleife wurde geachtet. (ist ein Fehler den man so gut wie NIE findet wenn's soweit ist)

Zu Punkt 4: Ich verwende Squid, der auch als Cache gesehen werden kann.
SuSEFirewall erledigt das Masquerading. So das alle Rechner im Netz (solange sich die Browser nicht verraten) als ein Rechner gesehen werden.
War bei manchen Spielen schon hinderlich.

Alle Benutzer sind auch Benutzer auf dem Server, allerdings ohne Anmeldung auf der Konsole.

Aber noch mal Vielen Dank für den Hinweis mit der Domain!!!
Ich habe jetzt alle Zeilen herraus genommen, die mit der Domainverwaltung zu tun haben.
War wirklich noch ein Relikt aus alten Zeiten.

Danke für die vielen nützlichen Hinweise.

daddy.k


P.S.: Der Domainname "tempo" geht nicht auf Geschindigkeit zurück. (tempo.kmh)
Ich hatte beim ersten Linux (8.2) fürchterlichen Schupfen und immer einen "Tempo"-Pack neben mir. ;)
 

spoensche

Moderator
Teammitglied
daddy.k schrieb:
Der Server liegt hinter einer Fritzbox, welche der eigentliche Gateway ist.

Auf der Fritzbox läuft ein DNS- Forwarder.

daddy.k schrieb:
Zum Beispiel habe ich den SSH-Zugang von aussen auf einem anderen Port liegen.

Und? Nur weil SSH auf einem anderen Port arbeitet sind trotzdem diverse Angriffe möglich.

daddy.k schrieb:
Die E-Mail's und Daten werden etwa alle 4 Wochen auf einem anderen Rechner gesichert und gezipt. Geht ja mit rsync recht gut.

Das ändert allerdings nichts an der Verantwortung und an den rechtl. Konsequenzen.

daddy.k schrieb:
Für die Ausfallsicherheit habe ich mit einem "3ware Raidcontroller, 6 HD's im Raid 6 Verbund" eine Ausfallsicherheit von 2 Platten. Sollte reichen für zuhause.

Wenn der RAID-Controller oder eine andere Hardwarekomponente den Geist aufgibt, steht bei dir trotzdem alles still und du kommst an nichts mehr dran.

daddy.k schrieb:
Zu Punkt 4: Ich verwende Squid, der auch als Cache gesehen werden kann.
SuSEFirewall erledigt das Masquerading. So das alle Rechner im Netz (solange sich die Browser nicht verraten) als ein Rechner gesehen werden.
War bei manchen Spielen schon hinderlich.

Masquerading (NAT) macht die Fritzbox auch und das Konstrukt wird bei Spielen nichts ändern, weil du immer noch die gleiche externe IP- Addresse hast. Wenn musst du einen öffentlichen Proxy verwenden, damit sich deine IP ändert.
 
OP
D

daddy.k

Member
Hallo soensche,

ich kann Deine Ausführungen für ein Firmennetzwerk sehr gut verstehn und werde mir über den einen oder anderen Punk auch noch Gedanken machen.
Dennoch möchte ich Dir Antworten um Deine Einwende zu verstehen.

spoensche schrieb:
Auf der Fritzbox läuft ein DNS- Forwarder.

Der DNS-Forwarder auf der Fritzbox liegt im Subnet 172.16.0.0/16, unsere Rechner im Subnet 192.168.0.0/24.
Hier kann der Forwarder der Fritzbox nicht mehr greifen? Oder täusche ich mich hier?

spoensche schrieb:
Und? Nur weil SSH auf einem anderen Port arbeitet sind trotzdem diverse Angriffe möglich.

Eine hundertprozentige Sicherheit kann ich auf keinem System gewährleisten, dass auf das Internet zugreift.
Hier habe ich einen Port, der nicht unbedingt auf Anhieb mit einem SSH-Zugang in Verbindung gebracht werden kann und ein doch recht langes
Passwort.

spoensche schrieb:
Das ändert allerdings nichts an der Verantwortung und an den rechtl. Konsequenzen.

Das ist richtig. Aber ich habe noch nicht die richtige Lösung gefunden, wie ich zentral die E-Mails ohne zweiten Server für alle zugänglich machen kann, da meine Frau und ich auch von unterweg immer wieder mal nach eingegangen Email schauen. (Protokoll: https auf Horde)
Außerdem werden vom Server die E-Mails auch noch nach Viren gescannt, hier war ich mit gmx, web, freenet usw. nicht immer zufreiden.

spoensche schrieb:
Wenn der RAID-Controller oder eine andere Hardwarekomponente den Geist aufgibt, steht bei dir trotzdem alles still und du kommst an nichts mehr dran.

Erkläre mir bitte was du unter Ausfallsicherheit verstehst.
Ein Beispiel:
Vor etwa 5 Jahren schug ein Biltz in unser Nachbarhaus ein.
Bei uns hat es meinen Router, 5 Platten im Server, zwei Rechner einen Monitor sowie den Kühlschrank erwischt.
Ausser dem Kühlschrank hatten alle Geräte einen Überspannungsschutz vorgeschaltet.

spoensche schrieb:
Masquerading (NAT) macht die Fritzbox auch und das Konstrukt wird bei Spielen nichts ändern, weil du immer noch die gleiche externe IP- Addresse hast. Wenn musst du einen öffentlichen Proxy verwenden, damit sich deine IP ändert.

Das ist richtig, NAT macht auch die Fritzbox. Cachen kann sie allerding noch nicht. Habe ich zumindest noch nichts davon gehört.
Hier ist für mich "squid" die beste Wahl, da er sowohl Proxy aus auch Cache für http und ftp zur verfügung stellt.
Sollte ich für Dich auf "squid" verzichten, müsste z.B.: "wwwoffle - World Wide Web Offline Proxy" und "mirror - Perl Scripts for Mirroring FTP Servers" installieren. Wobei ich FTP sehr selten nutze.

Vielen Dank für Deine Ausführungen.

daddy.k
 

spoensche

Moderator
Teammitglied
daddy.k schrieb:
Auf der Fritzbox läuft ein DNS- Forwarder.

Der DNS-Forwarder auf der Fritzbox liegt im Subnet 172.16.0.0/16, unsere Rechner im Subnet 192.168.0.0/24.
Hier kann der Forwarder der Fritzbox nicht mehr greifen? Oder täusche ich mich hier?
[/quote]

Er greift beim Zugriff auf das Internet.

daddy.k schrieb:
spoensche schrieb:
Und? Nur weil SSH auf einem anderen Port arbeitet sind trotzdem diverse Angriffe möglich.

Eine hundertprozentige Sicherheit kann ich auf keinem System gewährleisten, dass auf das Internet zugreift.
Hier habe ich einen Port, der nicht unbedingt auf Anhieb mit einem SSH-Zugang in Verbindung gebracht werden kann und ein doch recht langes
Passwort.

Ein simpler Portscan reicht und schon weiss jmd. was da für ein Dienst arbeitet. Daher ist eine Steigerung der Sicherheit = 0.
Ein langes Passwort bringt nur etwas, wenn es aus Alphanumerischen- und Sonderzeichen besteht. Besser ist die Verwendung des SSH-Keys für die Authentifizierung.


daddy.k schrieb:
Erkläre mir bitte was du unter Ausfallsicherheit verstehst.

Mir ging es nicht um die Ausfallsicherheit an sich. Wenn du alle Dienste auf einem Rechner laufen lässt und da geht was Kaputt, dann steht bei dir alles still. Wenn du die Dienste auf mehrere Rechner verteilst und geht etwas kaputt, dann können die anderen Dienste weiter genutzt werden.

Nebenbei sei noch die Performance erwähnt. Wie z.B. CPU Zeit, Memory, Plattenzugriffe. Das jetzt genauer zu erklären sprengt den Rahmen.
 
OP
D

daddy.k

Member
Hallo spoensche,

gute Begründungen finden bei mir immer ein offenes Ohr.
Darum beginne ich gleich einmal in der Mitte.
.
spoensche schrieb:
Ein simpler Portscan reicht und schon weiss jmd. was da für ein Dienst arbeitet. Daher ist eine Steigerung der Sicherheit = 0.
Ein langes Passwort bringt nur etwas, wenn es aus Alphanumerischen- und Sonderzeichen besteht. Besser ist die Verwendung des SSH-Keys für die Authentifizierung.

Das ist für mich ein guter und wichtiger Aspekt.
SSH-Key's verwende ich bisher nur zwischen meinem Sicherungsrecher (wird über WakeOnLan gestartet, arbeitet seine Sicherung ab und schaltet wieder ab) und dem Server, weil ich hier evtl. Sträflicherweis den Key ohne Passwort verwenden kann und somit das Backup aus einem Script heraus, Corntab gesteuert, funktioniert.
Habe gerade nachgeschaut. Auf dem Handy verwende ich ConnectBot um schnell einmal was nachzuschauen. Er unterstützt aus privat-Key's.
.
spoensche schrieb:
Er greift beim Zugriff auf das Internet.

Stimmt genau! Doch wie komme ich ohne Forwarder aus dem "internen" Netz (192.168.0.0/24) in das Netz der Fritzbox (172.16.0.0/16)?
Im interenen Netz liegen alle meine PC's, Drucker, Wlan-Router (Wir haben mehrere Stockwerke und Stahlbetondecken dazwischen), Fernseher, SAT-Receiver(TechniSAT Digit ISIO) und Handy's.
.
spoensche schrieb:
Mir ging es nicht um die Ausfallsicherheit an sich. Wenn du alle Dienste auf einem Rechner laufen lässt und da geht was Kaputt, dann steht bei dir alles still. Wenn du die Dienste auf mehrere Rechner verteilst und geht etwas kaputt, dann können die anderen Dienste weiter genutzt werden.

Hier gebe ich Dir auch Recht, den Punkt vernachlässige ich etwas. Beim RAM vertraue ich dem guten alten Kingston, hier hatte ich noch keine Ausfälle. Bei den Platten verwende ich Seagate (war mal anders) hier hatte ich in den letzten 20 Jahren zwei Ausfälle. Eine nach zweieinhalb Jahren (in der Garantie) und eine nach etwas 15 Jahren.
.
spoensche schrieb:
Nebenbei sei noch die Performance erwähnt. Wie z.B. CPU Zeit, Memory, Plattenzugriffe. Das jetzt genauer zu erklären sprengt den Rahmen.

Mein 6 Core AMD Black Edition, 6 x 2 TB Raid 6 am 3ware Raid-Controler, 2 x Gbit PCIe Netzwerkkarten, 32 GB RAM sollte doch für eine 4 köpfige Familie reichen?
Durchschnittliche Auslastung zw. 3 - 8% laut "top", während dem täglichen Virenscan auch mal 50%.

Ich wünsche Dir und allen ein schönes Wochenende.

daddy.k
 

spoensche

Moderator
Teammitglied
daddy.k schrieb:
Stimmt genau! Doch wie komme ich ohne Forwarder aus dem "internen" Netz (192.168.0.0/24) in das Netz der Fritzbox (172.16.0.0/16)?

Ganz einfach. Du trägst die IP der Fritzbox bei den Clients als DNS-Server ein und routest bzw. forwardest den Traffic auf deinem zweiten Gateway weiter zur Fritzbox.

daddy.k schrieb:
Mein 6 Core AMD Black Edition, 6 x 2 TB Raid 6 am 3ware Raid-Controler, 2 x Gbit PCIe Netzwerkkarten, 32 GB RAM sollte doch für eine 4 köpfige Familie reichen?
Durchschnittliche Auslastung zw. 3 - 8% laut "top", während dem täglichen Virenscan auch mal 50%.

Prinzipiell schon, es sei den einer oder zwei davon sind Poweruser und arbeiten ständig auf den Freigaben. Zumal ein RAID-6 nicht gerade so performant ist.

Wie hoch ist den z.B. der IO- Wait? Wie siehts mit der Anzahl der Contextswitche pro Sekunde aus? Wie lange dauert eine Anfrage an das Plattensystem im Durchschnitt? Wie stehts mit der Utilization und der durchschnittl. Anzahl Read- Write Operationen in der Queue des Plattensystems? Wie siehts mit der Anzahl der offenen Filehandels aus?

Das nur mal so als groben Überblick.

Diese Antworten wird dir top nicht liefern können. Dafür liefert dir sysstat die Antworten auf diese Fragen.

daddy.k schrieb:
Ich wünsche Dir und allen ein schönes Wochenende.

Danke, dir auch gehabt zu haben. ;)
 
OP
D

daddy.k

Member
Hallo Spoensche,

ich denke das dieser thread jetzt leider solangsam vom Thema abweicht.

Das Problem, pdbedit die Benutzer mit falscher Domain / Workgroup abspeichert ist gelöst.

Das für mich nie ein PDA / DC ein Thema war, benutze ich auch "security = user". Hier ist die Domain im meinem Fall anscheinend nicht ausschlaggebend für die Anmeldung.
Die Domain kann in den Userdaten mit "pdbedit -i domain geändert werden.

Wichtiger war für mich die Tatsache, dass ich mit zwei Laptop's (Windows 10) im WLAN auf die Freigaben zugreifen konnte und mit zwei weiteren Rechneren (ebenfalls Windows 10) am Kabel nicht.
Mein erster Blick fiel hier auf die Benutzerdaten.

Erst mit der Option "ntlm auth = yes" konnten alle Window PC's auf die Freigaben zugreifen.
In jeder Beschreibung von Samba4 die ich gefunden habe steht das diese Option standardmäßig eingeschaltet ist. Bei mir war es warscheinlich nicht aktiviert.

Ich bedanke mich für Eure Hilfe und die vielen Möglichkeiten die hier besprochen wurden.

Gruß daddy.k
 
Oben