• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst] Samba funktioniert seit Leap 15 nicht mehr, vermutlich Authentifizierungsproblem

Zerberus

Member
Hi,

beim Wechsel von Leap 42.2 auf Leap 15 hatte ich einige Schwierigkeiten. Das letzte wirklich üble Problem ist, daß ich von Windows-Rechnern nicht mehr auf den File-Server schreiben kann. Wenn ich den Gast-Zugang erlaube, sehe ich den Share, aber als Gast-Zugang kann ich natürlich nicht schreiben. Das zeigt mir, daß Samba prinzipiell läuft. Das Problem ist aber die Authentifizierung. Die wird abgelehnt. Bisher habe ich mit NIS gearbeitet, aber das ist offensichtlich bei Leap 15 den Bach runter. Jedenfalls erhalte ich nur eine Fehlermeldung (siehe meinen anderen Post über NIS). Da es offensichtlich nicht mehr viel NIS-Anwender gibt (0 Antworten auf meinen Post), trage ich mich mit dem Gedanken meine Authentifizierungsmethode zu wechseln. Was würdet Ihr empfehlen?

CIAO Zerberus
 
OP
Z

Zerberus

Member
Zuerst habe ich einen Upgrade gemacht, aber weil ich eine Woche damit erfolglos rumprobiert habe, habe ich eine komplette Neuinstallation gemacht.
 
OP
Z

Zerberus

Member
Hi stka,

Hier ist mein smb.conf:

Code:
# smb.conf is the main Samba configuration file. You find a full commented
# version at /usr/share/doc/packages/samba/examples/smb.conf.SUSE if the
# samba-doc package is installed.
[global]
        workgroup = RIESSNET
        passdb backend = tdbsam
        printing = cups
        printcap name = cups
        printcap cache time = 750
        cups options = raw
        map to guest = Bad User
        include = /etc/samba/dhcp.conf
        logon path = \\%L\profiles\.msprofile
        logon home = \\%L\%U\.9xprofile
        logon drive = P:
        usershare allow guests = No
        security = user
        add machine script = /usr/sbin/useradd  -c Machine -d /var/lib/nobody -s /bin/false %m$
        domain logons = Yes
        domain master = Yes
        local master = Yes
        os level = 65
        preferred master = Yes
        wins support = No
[homes]
        comment = Home Directories
        valid users = %S, %D%w%S
        browseable = No
        read only = No
        inherit acls = Yes
[profiles]
        comment = Network Profiles Service
        path = %H
        read only = No
        store dos attributes = Yes
        create mask = 0600
        directory mask = 0700
[users]
        comment = All users
        path = /home
        read only = No
        inherit acls = Yes
        veto files = /aquota.user/groups/shares/
[groups]
        comment = All groups
        path = /home/groups
        read only = No
        inherit acls = Yes
[printers]
        comment = All Printers
        path = /var/tmp
        printable = Yes
        create mask = 0600
        browseable = No
       [print$]
        comment = Printer Drivers
        path = /var/lib/samba/drivers
        write list = @ntadmin root
        force group = ntadmin
        create mask = 0664
        directory mask = 0775

[BILDER]
        comment = Das BILDER Laufwerk
        inherit acls = Yes
        path = /mnt/raid1/bilder
        read only = No
        guest ok = Yes

[COMMON]
        comment = Das COMMON Laufwerk
        inherit acls = Yes
        path = /mnt/raid1/common
        read only = No

[netlogon]
        comment = Network Logon Service
        path = /var/lib/samba/netlogon
        write list = root

Ich habe weitgehend alles auf Standard gelassen. Die Shares BILDER und COMMON sind von mir dazu gekommen. BILDER habe ich testweise auf Gastzugriff. Zumindest wird mir unter Windows 7 Das BILDER Verzeichnis als grün angezeigt, wobei ein Klick auf das Dreieck zum Aufklappen unter Windows Explorer die Fehlermeldung "Auf P: kann nicht zugegriffen werden. Zugriff verweigert" bringt. Bei COMMON ist schon mal ein roter Zustand angezeigt.

Deshalb ist meine Vermutung: Wenn Gastzugriff "fast" klappt, ist es im Bereich der Authentifizierung zu suchen. Kann aber auch falsch liegen.

CIAO Zerberus
 

spoensche

Moderator
Teammitglied
Kennt der Samba Server den Benutzer, des Windows- System, der auf die Freigabe zugreifen will? Wenn nicht, dann darf nicht jeder den Inhalt lesen. (Dateisystemberechtigungen: Other muss mindestens lese Berechtigung haben).
 
OP
Z

Zerberus

Member
Jeder Windows-Benutzer hat auch einen Login auf meinem Linux-File-Server mit dem identischen Passwort.

Bisher habe ich NIS eingesetzt. Das scheint aber unter Leap 15 nicht mehr zu funktionieren. Deshalb überlege ich eine andere Authentifizierungsmethode zu verwenden.
 

marce

Guru
Zerberus schrieb:
Bisher habe ich NIS eingesetzt. Das scheint aber unter Leap 15 nicht mehr zu funktionieren.
Die Doku meint da was anderes: https://doc.opensuse.org/documentation/leap/security/html/book.security/cha.nis.html

... aus hist. Erfahrung heraus: Wenn selbst ein "doofer" Gast-Account schon nicht geht - hängt es nicht am Auth. Dann liegen die Problem meist irgendwo tiefer im Bereich "Firewall, Dateirechte, ..."
 
OP
Z

Zerberus

Member
Hi marce,

Zu NIS habe ich noch den Thread "NIS läuft in Fehler bei Leap 15" geöffnet. Leider kam kein Feedback. Ich gehe jedenfalls davon aus, daß NIS ein Problem hat. Entweder allgemein bei Leap 15 oder nur bei mir.

Bei meinem ersten Versuch (nur Upgrade, keine Neuinstallation) hat es mit dem Gastzugriff einwandfrei geklappt. Nur Authentifizierung wurde immer abgelehnt. Erst nach meiner kompletten Betriebsystemneuinstallation funktioniert es mit dem Gastzugriff nicht mehr ganz. Aber Du hast Recht: ich werde mir erst mal genau anschauen müssen, woran es hängt, daß der Gastzugriff nicht richtig funktioniert.

CIAO Zerberus
 

spoensche

Moderator
Teammitglied
Zerberus schrieb:
Jeder Windows-Benutzer hat auch einen Login auf meinem Linux-File-Server mit dem identischen Passwort.

Die User existieren auch in der smbpasswd?

Zerberus schrieb:
Bisher habe ich NIS eingesetzt. Das scheint aber unter Leap 15 nicht mehr zu funktionieren. Deshalb überlege ich eine andere Authentifizierungsmethode zu verwenden.

NIS ist keine Authentifizierungsmethode sondern ein Verzeichnis. Die Funktionalität kannst du dir ähnlich wie bei einem AD vorstellen, nur nicht so umfangreich.

Eine Authentifizierungsmethode ist z.B die User Anmeldung an einem Linux System mit PAM, das den User gegen einen LDAP- Account an einem LDAP- Server authentifiziert wird.
 
OP
Z

Zerberus

Member
Hi Spoensche,

es existiert keine smbpasswd. In der smb.conf steht

Code:
passdb backend = tdbsam

Ich nehme an, daß das dafür zuständig ist. Unter /var/lib/samba nicht und unter /etc/samba auch nicht und auch sonst nirgends.

CIAO Zerberus
 

spoensche

Moderator
Teammitglied
User mit
Code:
sudo smbasswd -a

anlegen. Sonst kennt der Samba Server die User nicht. Die User in der /etc/passwd werden nur für die POSIX Zugriffsrechte des Dateisystems verwendet.

Zerberus schrieb:
Code:
passdb backend = tdbsam

Das ist das Backend in dem die Samba Users gespeichert werden.
 
OP
Z

Zerberus

Member
Hi spoensche,

nehme an, du meintest "smbpasswd -a".

Das habe ich gemacht. Wollte, daß ich ein neues Passwort vergebe:
"New SMB password:"

aber danach hatte ich auch noch kein smbpasswd. Oder ist das gar kein File, das in /etc/... oder /var/... liegt?

CIAO Zerberus
 
OP
Z

Zerberus

Member
Habe jetzt noch 2 Dinge nachinstalliert "samba-doc" und "samba-test" und noch einen Service aktiviert "samba-ad-dc" und ein bisschen unter YaST2-Samber-Server rumkonfiguriert (Domänen controller von kein auf Primärer DC, WINS auf "Unterstützung für WINS-Server) und jetzt klappt das Lesen via Gast-Zugriff.

Normaler Zugriff ohne Gast wird wegen Authtifizierung abgelehnt.
 
OP
Z

Zerberus

Member
Verehrtests Gräfin,

der Hinweis auf den usernamen

Gräfin Klara schrieb:
# smbpasswd -a der_gewünschte_username
Resultat sollte sein in:
/etc/samba/smbpasswd

hat tatsächlich beim Account meiner Frau funktioniert. Das ist die Hauptnutzerin von Windows.
Bei meinem Account leider nicht. Da kam nur die Fehlermeldung, daß Password für diesen Account bereits existiert.

Jetzt habe ich gerade eben das gleiche nochmal ausprobiert, um die Fehlermeldung hier zu posten und es hat geklappt. Manchmal denke ich wirklich, diese dämlich Computer machen das absichtlich um mich zu ärgern. :???:

Vielen Dank allen denjenigen die soviel Geduld aufgebracht haben

CIAO Zerberus
 
Oben