Verstaendnisfrage Samba - PDC - Userverwaltung
Hi Leute. Ich hätte eine Verständnisfrage zum Zusammenspiel Windows - Linux via Samba. 1. Ein Samba-Server (nicht PDC), mehrere w2k-Clients, security = user in der smb.conf. Möchte ich einen User neu anlegen, so muß ich diesen - auf jedem w2k-Client anlegen - auf der Linux-Kiste unixmäßig anlegen - mit smbadduser den smb-User auf den Linux-User mappen Richtig? 2. Ein Samba-Server als PDC, mehrere w2k-Clients, security = user in der smb.conf. Möchte ich nunmehr einen User neu anlegen, so muß ich ihn - auf der Linux-Kiste unixmäßig anlegen - mit smbadduser mappen. Indem nun der w2k-Rechner die Authentifizierung nicht mehr selbst vornimmt, sondern den PDC befragt, ist clientseitig keine Veränderung nötig, wenn ein User angelegt werden soll. Richtig? Wenn obiges stimmt, so zieht doch Variante 1 unmäßig viel Verwaltungsaufwand nach sich. Bei jedem neuen User und bei jeder Paßwortänderung müssen sämtliche Rechner aktualisiert werden, der Linux-Rechner sogar doppelt, einmal unix- und einmal smb-mäßig. Demgegenüber muß ich bei Variante 2 nur die Linux-Kiste und auch nur dann pflegen, wenn ein User dazu kommt. Paßwortänderungen können die User selbst vornehmen. Und mit unix password sync = Yes synchronisieren sich in diesem Fall die Samba-Paßwortdatei und die Unix-Paßwortdatei selbst. Richtig? Was ich (trotz linuxbu.ch und google) noch nicht verstehe ist folgendes: Warum kann samba nicht einfach die User/Paßwort-Kombination unixseitig abfragen? Warum muß ich mit smbadduser und smbpasswd eine eigene Datenbank pflegen, in der auch nur Benutzernamen und Paßwörter stehen? Gruß. Andy -- Andreas Feile www.feile.net
Am Sonntag, 27. Juli 2003 10:29 schrieb Andreas Feile:
Hi Leute.
Ich hätte eine Verständnisfrage zum Zusammenspiel Windows - Linux via Samba.
1. Ein Samba-Server (nicht PDC), mehrere w2k-Clients, security = user in der smb.conf. Möchte ich einen User neu anlegen, so muß ich diesen
- auf jedem w2k-Client anlegen - auf der Linux-Kiste unixmäßig anlegen - mit smbadduser den smb-User auf den Linux-User mappen
Richtig?
Ja, würde ich auch so sehen.
2. Ein Samba-Server als PDC, mehrere w2k-Clients, security = user in der smb.conf. Möchte ich nunmehr einen User neu anlegen, so muß ich ihn
- auf der Linux-Kiste unixmäßig anlegen - mit smbadduser mappen.
Indem nun der w2k-Rechner die Authentifizierung nicht mehr selbst vornimmt, sondern den PDC befragt, ist clientseitig keine Veränderung nötig, wenn ein User angelegt werden soll.
Richtig?
Ja.
Wenn obiges stimmt, so zieht doch Variante 1 unmäßig viel Verwaltungsaufwand nach sich. Bei jedem neuen User und bei jeder Paßwortänderung müssen sämtliche Rechner aktualisiert werden, der Linux-Rechner sogar doppelt, einmal unix- und einmal smb-mäßig.
Stimmt, das ist ja auch der Grund, warum es das Domänen-Konzept überhaupt gibt, ganz egal ob unter Samba oder unter Windows...
Demgegenüber muß ich bei Variante 2 nur die Linux-Kiste und auch nur dann pflegen, wenn ein User dazu kommt. Paßwortänderungen können die User selbst vornehmen. Und mit unix password sync = Yes synchronisieren sich in diesem Fall die Samba-Paßwortdatei und die Unix-Paßwortdatei selbst.
Richtig?
Denke schon, weiß ich aber nicht 100%ig.
Was ich (trotz linuxbu.ch und google) noch nicht verstehe ist folgendes: Warum kann samba nicht einfach die User/Paßwort-Kombination unixseitig abfragen? Warum muß ich mit smbadduser und smbpasswd eine eigene Datenbank pflegen, in der auch nur Benutzernamen und Paßwörter stehen?
Weil der Unix-Benutzer und der Samba-Benutzer unterschiedliche Kennwörter haben können und auch haben sollten. Denn das ein User per Samba auf den Server zugreifen darf, heißt ja noch lange nicht, dass er sich auch auf der Maschine einloggen können soll. Viele Grüße Thorsten
Thorsten Dampf wrote: Hallo Thorsten [ ..... ]
Was ich (trotz linuxbu.ch und google) noch nicht verstehe ist folgendes: Warum kann samba nicht einfach die User/Paßwort-Kombination unixseitig abfragen? Warum muß ich mit smbadduser und smbpasswd eine eigene Datenbank pflegen, in der auch nur Benutzernamen und Paßwörter stehen?
Weil der Unix-Benutzer und der Samba-Benutzer unterschiedliche Kennwörter haben können und auch haben sollten. Denn das ein User per Samba auf den Server zugreifen darf, heißt ja noch lange nicht, dass er sich auch auf der Maschine einloggen können soll.
... das ist eine Variante, aber damit für die User und (indirekt, weil die User dann meistens fragen: wie geht denn das ....) auch für den Admin ein Mehraufwand. Ich geben den Usern einfach die shell "/bin/false" und schon sind sie ausgesperrt. User lege ich per Skript mit useradd -c "Vorname Nachname" -d /export/home/1/login -e Gueltigkeitsdatum -G Gruppe -m -s /bin/false login an. Der Vorteil bei gleichem Samba + Linux-Passwort z.B. beim Mailabruf: die User können ihr Windows-Passwort verwenden, weil der Pop3 / Imap-Server normalerweise gegen das Unix-Passwort authentifiziert. Viele Grüsse Joachim
Andreas Feile wrote: Hallo Andy,
Hi Leute.
Ich hätte eine Verständnisfrage zum Zusammenspiel Windows - Linux via Samba.
1. Ein Samba-Server (nicht PDC), mehrere w2k-Clients, security = user in der smb.conf. Möchte ich einen User neu anlegen, so muß ich diesen
- auf jedem w2k-Client anlegen - auf der Linux-Kiste unixmäßig anlegen - mit smbadduser den smb-User auf den Linux-User mappen
Richtig?
Ja fast, bis auf smbadduser (siehe unten).
2. Ein Samba-Server als PDC, mehrere w2k-Clients, security = user in der smb.conf. Möchte ich nunmehr einen User neu anlegen, so muß ich ihn
- auf der Linux-Kiste unixmäßig anlegen - mit smbadduser mappen.
Indem nun der w2k-Rechner die Authentifizierung nicht mehr selbst vornimmt, sondern den PDC befragt, ist clientseitig keine Veränderung nötig, wenn ein User angelegt werden soll.
Richtig?
Fast richtig. Um den Administrationsaufwand gering zu halten, lege ich die User mit "smbpasswd -a username passwd" an. Linux- und Windows-User haben exakt das gleiche login, erscheinen also "nach aussen" wie der gleiche Benutzer. Smbadduser brauchst Du nur, wenn die User unterschiedliche Logins (und Du damit wahrscheinlich zu viel Zeit ;-)) hast.
Wenn obiges stimmt, so zieht doch Variante 1 unmäßig viel Verwaltungsaufwand nach sich.
Ja, deshalb hat man ja einen PDC als zentrale Passwortstelle.
Bei jedem neuen User und bei jeder Paßwortänderung müssen sämtliche Rechner aktualisiert werden, der Linux-Rechner sogar doppelt, einmal unix- und einmal smb-mäßig.
(könnte wie unten auch etwas vereinfacht werden, bringt aber nicht viel).
Demgegenüber muß ich bei Variante 2 nur die Linux-Kiste und auch nur dann pflegen, wenn ein User dazu kommt. Paßwortänderungen können die User selbst vornehmen. Und mit unix password sync = Yes synchronisieren sich in diesem Fall die Samba-Paßwortdatei und die Unix-Paßwortdatei selbst.
Richtig?
Ja, am besten gibst Du den Usern ein kryptisches Passwort, z.B. "8bHpq1Na" unter SAMBA (mit smbpasswd -a ...). Unter Linux gibst Du den Benutzern KEIN Passwort (sprich gesperrt). Wenn sich die User das erste mal anmelden, sollen sie gleich ihr Passwort von jeder beliebigen Windows-Maschine aus ändern (Strg + Alt + Entf --> Passwort ändern) und dann hast Du a) ein neues Windows-Passwort und b) das gleiche nochmals als Linux-Passwort. Solltest Du aus welchen Gründen auch immer - die Passwörter doch auf jedem einzelnen Rechner anlegen müssen, würde Dir ein smbpasswd -r [Remotemachine] .... weiterhelfen --> man smbpasswd.
Was ich (trotz linuxbu.ch und google) noch nicht verstehe ist folgendes: Warum kann samba nicht einfach die User/Paßwort-Kombination unixseitig abfragen?
... unterschiedliche Verschlüsselungs-Verfahren.
Warum muß ich mit smbadduser und smbpasswd eine eigene Datenbank pflegen, in der auch nur Benutzernamen und Paßwörter stehen?
... wegen der unterschiedlichen Verschlüsselung, aber wie oben erwähnt eigentlich für die User und für Dich als Administrator fast transparent. Funktioniert auf jeden Fall sehr gut, viele Grüsse Joachim
Am Sonntag, 27. Juli 2003 10:29 schrieb Andreas Feile:
Hi Leute.
Ich hätte eine Verständnisfrage zum Zusammenspiel Windows - Linux via Samba.
1. Ein Samba-Server (nicht PDC), mehrere w2k-Clients, security = user in der smb.conf. Möchte ich einen User neu anlegen, so muß ich diesen
- auf jedem w2k-Client anlegen - auf der Linux-Kiste unixmäßig anlegen - mit smbadduser den smb-User auf den Linux-User mappen
Richtig?
Ja!
2. Ein Samba-Server als PDC, mehrere w2k-Clients, security = user in der smb.conf. Möchte ich nunmehr einen User neu anlegen, so muß ich ihn
- auf der Linux-Kiste unixmäßig anlegen - mit smbadduser mappen.
Indem nun der w2k-Rechner die Authentifizierung nicht mehr selbst vornimmt, sondern den PDC befragt, ist clientseitig keine Veränderung nötig, wenn ein User angelegt werden soll.
Richtig?
Ja!
Wenn obiges stimmt, so zieht doch Variante 1 unmäßig viel Verwaltungsaufwand nach sich. Bei jedem neuen User und bei jeder Paßwortänderung müssen sämtliche Rechner aktualisiert werden, der Linux-Rechner sogar doppelt, einmal unix- und einmal smb-mäßig. Demgegenüber muß ich bei Variante 2 nur die Linux-Kiste und auch nur dann pflegen, wenn ein User dazu kommt. Paßwortänderungen können die User selbst vornehmen. Und mit unix password sync = Yes synchronisieren sich in diesem Fall die Samba-Paßwortdatei und die Unix-Paßwortdatei selbst.
Richtig?
Sollte so funktionieren!
Was ich (trotz linuxbu.ch und google) noch nicht verstehe ist folgendes: Warum kann samba nicht einfach die User/Paßwort-Kombination unixseitig abfragen? Warum muß ich mit smbadduser und smbpasswd eine eigene Datenbank pflegen, in der auch nur Benutzernamen und Paßwörter stehen?
Ich würde Dir empfehlen, die Userverwaltung mit OpenLDAP zu regeln, da kannst Du User anlegen, die sich nur mit Windows/Samba anmelden dürfen oder mit UNIX/Linux oder beides. Du hast dann auch gleich eine Lösung, die ohne YP / NIS auskommt. Gruß Achim
Hallo Achim, On Sunday 27 July 2003 12:31, Achim Ziegler wrote:
Am Sonntag, 27. Juli 2003 10:29 schrieb Andreas Feile: Ich würde Dir empfehlen, die Userverwaltung mit OpenLDAP zu regeln, da kannst Du User anlegen, die sich nur mit Windows/Samba anmelden dürfen oder mit UNIX/Linux oder beides. Du hast dann auch gleich eine Lösung, die ohne YP / NIS auskommt.
gibts da irgendwo eine Schritt für Schritt Anleitung, wie so etwas aufgesetzt wird? Robert
Hallo Robert, Am Montag, 28. Juli 2003 08:22 schrieb Robert Schott:
Hallo Achim, [...] gibts da irgendwo eine Schritt für Schritt Anleitung, wie so etwas aufgesetzt wird?
Eine Schritt für Schritt Anleitung gibt es so eigentlich noch nicht, aber ich bin gerade dabei, alles so zu konfigurieren. Ich hab Dir hier ein paar Links, ist aber noch eine ziemliche Tüftelei, da sich verschiedene Anleitungen widersprechen. Wenn Du was wissen willst, dann kannst Du nachfragen. http://www.linux-magazin.de/Artikel/ausgabe/2001/05/openldap/openldap.html http://www.linuxnetmag.com/de/issue6/m6ldap1.html http://www.unav.es/cti/ldap-smb-howto.html http://us3.samba.org/samba/ftp/docs/htmldocs/Samba-LDAP-HOWTO.html http://www.heise.de/ix/artikel/2002/04/148/ http://linuxwiki.de/OpenLDAP http://lists.debian.org/debian-user-german/2002/debian-user-german-200209/ms... http://technik.tsn.at/server/linux/ldap/samba-dc226.htm http://www.linuxselfhelp.com/HOWTO/LDAP-HOWTO.html Es gibt auch ein paar gute Bücher, falls es Dich interessiert, melde Dich einfach. CU Achim
participants (5)
-
Achim Ziegler
-
Andreas Feile
-
Joachim Kieferle
-
Robert Schott
-
Thorsten Dampf