Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Login Skript gruppenbasiert ausführen

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Antworten
Benutzeravatar
PP-checker
Member
Member
Beiträge: 99
Registriert: 7. Apr 2004, 09:41

Login Skript gruppenbasiert ausführen

Beitrag von PP-checker » 23. Aug 2011, 12:49

Hallo,

ich habe einen Server mit 6 Usern, davon 1 Admin User und 1x Buchhaltung. Alle User sind in einer HauptGruppe und haben dadurch (Teil-) Rechte auf ALLEN Shares

Die Buchhaltung soll aber nur per Netlogon auf die Shares A, B, E, F angemeldet werden (alle anderen sollen per Skript auf die Shares A bis E verbunden werden). Der User buchhaltung ist in der Gruppe Buchhaltung und soll so per Skript in der Anmeldung über ein separates Anmeldeskript gesteuert werden (Standardgruppe allerdings wie bei den anderen).


Leider wird aber das Anmeldeskript bei dem buchhaltungsuser nicht ausgeführt. Habt ihr eine Idee?


in der SMB.conf steht zum Netlogon folgendes:

Code: Alles auswählen

 
logon script = %g.bat
logon path = \\%L\profiles\.msprofile
logon home = \\%L\%U\.9xprofile
Bild

Werbung:
spoensche
Moderator
Moderator
Beiträge: 7449
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: Login Skript gruppenbasiert ausführen

Beitrag von spoensche » 24. Aug 2011, 19:17

Was sagen die Logfiles vom Samba? Ist der Samba der PDC? Verwendest du LDAP? Mehr Infos bitte.

Benutzeravatar
PP-checker
Member
Member
Beiträge: 99
Registriert: 7. Apr 2004, 09:41

Re: Login Skript gruppenbasiert ausführen

Beitrag von PP-checker » 26. Aug 2011, 11:26

Samba ist PDC, die Samba DB für Passwörter genutzt.


Global section der smb.conf

Code: Alles auswählen

[global]
        workgroup = Horst
        update encrypted = Yes
        map to guest = Bad User
        username map = /etc/samba/smbusers
        printcap cache time = 750
        printcap name = cups
        add machine script = /usr/sbin/useradd  -c Machine -d /var/lib/nobody -s /bin/false %m$
        logon script = %g.bat
        logon path = \\%L\profiles\.msprofile
        logon home = \\%L\%U\.9xprofile
        domain logons = Yes
        preferred master = Yes
        domain master = Yes
        wins support = Yes
        ldap ssl = no
        include = /etc/samba/dhcp.conf
Logs aus /var/log/samba/log.smbd

Code: Alles auswählen

[2011/08/26 11:14:33, 1] smbd/service.c:make_connection_snum(642)
  buchhaltung (192.168.0.3) connect to service profiles initially as user buchhaltung (uid=1021, gid=1000) (pid 10686)
  
[2011/08/26 11:14:36, 1] smbd/service.c:make_connection_snum(642)
  buchhaltung (192.168.0.3) connect to service netlogon initially as user buchhaltung (uid=1021, gid=1000) (pid 10686)
  
[2011/08/26 11:14:38, 1] smbd/service.c:make_connection_snum(642)
  buchhaltung (192.168.0.3) connect to service buchhaltung initially as user buchhaltung (uid=0, gid=1000) (pid 10686)
  
[2011/08/26 11:14:47, 1] smbd/service.c:make_connection_snum(642)
  buchhaltung (192.168.0.3) connect to service A initially as user psql (uid=1006, gid=5000) (pid 10691)
  
[2011/08/26 11:14:47, 1] smbd/service.c:make_connection_snum(642)
  buchhaltung (192.168.0.3) connect to service B initially as user buchhaltung (uid=1021, gid=1000) (pid 10691)
  
[2011/08/26 11:14:48, 1] smbd/service.c:make_connection_snum(642)
  buchhaltung (192.168.0.3) connect to service C initially as user buchhaltung (uid=1021, gid=1000) (pid 10691)
  
[2011/08/26 11:14:49, 1] smbd/service.c:make_connection_snum(642)
  buchhaltung (192.168.0.3) connect to service D initially as user buchhaltung (uid=1021, gid=1000) (pid 10691)
    
[2011/08/26 11:14:49, 1] smbd/service.c:make_connection_snum(642)
  buchhaltung (192.168.0.3) connect to service F initially as user buchhaltung (uid=0, gid=1000) (pid 10691)
Demnach meldet er sich wie gesagt mit der falschen Gruppe an. (Das sind die Anmeldung an den Netzlaufwerken der andere Benutzergruppe)
Bild

spoensche
Moderator
Moderator
Beiträge: 7449
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: Login Skript gruppenbasiert ausführen

Beitrag von spoensche » 27. Aug 2011, 12:09

Poste mal bitte die vollständige smb.conf

Benutzeravatar
PP-checker
Member
Member
Beiträge: 99
Registriert: 7. Apr 2004, 09:41

Re: Login Skript gruppenbasiert ausführen

Beitrag von PP-checker » 11. Okt 2011, 11:17

Code: Alles auswählen

[global]
        workgroup = ELEMENT
        update encrypted = Yes
        map to guest = Bad User
        username map = /etc/samba/smbusers
        printcap cache time = 750
        printcap name = cups
        add machine script = /usr/sbin/useradd  -c Machine -d /var/lib/nobody -s                                                                                                                      /bin/false %m$
        logon script = %g.bat
        logon path = \\%L\profiles\.msprofile
        logon home = \\%L\%U\.9xprofile
        domain logons = Yes
        preferred master = Yes
        domain master = Yes
        wins support = Yes
        ldap ssl = no
        printer admin = @ntadmin, root, administrator
        cups options = raw
        include = /etc/samba/dhcp.conf

[A]
        path = /shares/A
        valid users = @bereich2
        admin users = @bereich2
        read only = No
        create mask = 0770
        directory mask = 0770
        inherit acls = Yes
        guest ok = Yes

[B]
        path = /shares/B
        valid users = @bereich2
        read only = No
        create mask = 0770
        directory mask = 0770
        inherit acls = Yes

[C]
        comment = Data
        path = /C
        force user = sql
        read only = No
        create mask = 0777
        directory mask = 0777
        inherit acls = Yes
        guest ok = Yes

[D]
        comment = D
        path = /shares/D
        valid users = @bereich2
        admin users = @bereich2
        read list = @bereich2
        write list = @bereich2
        read only = No
        create mask = 0777
        directory mask = 0777
        inherit acls = Yes
        guest ok = Yes

[netlogon]
        comment = netlogon
        path = /shares/netlogon
        read list = @bereich2
        write list = root
        browseable = No

[profiles]
        comment = Network Profiles Service
        path = %H
        read only = No
        create mask = 0600
        directory mask = 0700

[E]
        comment = E
        path = /shares/E
        valid users = @bereich2
        read list = @bereich2
        write list = @bereich2
        read only = No
        create mask = 0770
        directory mask = 0770

[buchhaltung]
        path = /shares/buchhaltung
        valid users = @bereich2
        admin users = @bereich2
        read list = @bereich2
        write list = @bereich2
        read only = No
        create mask = 0770
        directory mask = 0770


[F]
        comment = F
        path = /shares/F
        valid users = @bereich2
        read list = @bereich2
        write list = @bereich2
        create mask = 0770
        directory mask = 0770
Bild

spoensche
Moderator
Moderator
Beiträge: 7449
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: Login Skript gruppenbasiert ausführen

Beitrag von spoensche » 11. Okt 2011, 23:03

Das Script für den User buchhaltung wird nicht ausgeführt, weil du in der smb.conf für das Logonscript für Gruppen verwendest. Es macht auch mehr Sinn, wenn der User buchhaltung auch die Gruppe Buchhaltung als Default- Gruppe hat.

Benutzeravatar
PP-checker
Member
Member
Beiträge: 99
Registriert: 7. Apr 2004, 09:41

Re: Login Skript gruppenbasiert ausführen

Beitrag von PP-checker » 12. Okt 2011, 10:17

OK, habe das im User Manager umgestellt, das mit den Logins funktioniert. Cool, danke!

Jetzt werden Dateien + Ordner von dem user Buchhaltung aber so angelegt, dass die Gruppe bereich2 nicht lesen/ändern etc. kann. Das muss noch mit force group / force create mode / force directory mode = @bereich2 ergänzt werden richtig?
Bild

spoensche
Moderator
Moderator
Beiträge: 7449
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: Login Skript gruppenbasiert ausführen

Beitrag von spoensche » 12. Okt 2011, 22:06

Hm, meines Verständnisses und Wissens her sollte, schon aus Datenschutzgründen, eigentlich nur die Buchaltung und der Chef Zugriff auf die jeweiligen Daten haben.

Directory mask bzw. directory mode kannst du keine Gruppe mit @gruppenname zuweisen.
Am einfachsten hast du es, wenn die Gruppe als Unix Gruppe (also als lokale Gruppe) existiert. Allerdings wirst du über kurz oder lang nicht um ACL´s und die Bitwise bzw oktale Rechtevergabe nicht herum kommern.

Antworten