samba homes Zugriff erfolgt ohne Passwortabfrage
Hallo, ich habe einen Samba Server, Version 4.7.10, mit YAST installiert. Die Benutzer sind mit smbpasswd angelegt. Das home-Verzeichnis auf dem linux-Rechner, auf dem der samba läuft, liegt in einem Unterverzeichnis /mnt/data/home. Der symbolischer link /home zeigt auf /mnt/data/home. Damit wird der Zugriff von Windows-Maschinen auf die Freigaben verweigert. Wenn ich in der in der smb.conf im Abschnitt [homes] den Pfad /mnt/data/home angebe erhalte ich auf den windows Maschinen Zugriff auf die Verzeichnisse. Allerdings auf alle home-Verzeichnisse nach einer einmaligen Passwortabfrage. Also ich gebe mein Passwort ein und kann dann unter users auf alle home-Verzeichnisse zugreifen. OS ist Leap 15.0 Wie bekomme ich eine Zugriffsverwaltung für die home-Verzeichnisse hin?
[homes] comment = Home Directories valid users = %S, %D%w%S browseable = No read only = No inherit acls = Yes path = /mnt/data/home hosts allow = 192.168.1.0/24 [profiles] comment = Network Profiles Service path = %H read only = No store dosattributes = Yes create mask = 0600 directory mask = 0700 [users] comment = All users path = /home read only = No inherit acls = Yes veto files = /aquota.user/groups/shares/ hosts allow = 192.168.1.0/24 [groups] comment = All groups path = /home/groups read only = No inherit acls = Yes guest ok = No hosts allow = 192.168.1.0/24 [printers] comment = All Printers path = /var/tmp printable = Yes create mask = 0600 browseable = No hosts allow = 192.168.1.0/24 [print$] comment = Printer Drivers path = /var/lib/samba/drivers write list = @ntadmin root force group = ntadmin create mask = 0664 directory mask = 0775 hosts allow = 192.168.1.0/24 [netshare] comment = netshare inherit acls = Yes path = /mnt/data/netshare read only = No hosts allow = 192.168.1.0/24 ## Share disabled by YaST # [netlogon] # comment = Network Logon Service # path = /var/lib/samba/netlogon # write list = root -- Dirk -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, Am Mittwoch, 20. Februar 2019, 18:24:21 CET schrieb dirk: snip
^^^^^^^^^^^^^^^^^ Nach meinem Verständnis sollte da stehen:
path = /mnt/data/home/%S
hosts allow = 192.168.1.0/24
Das Makro %S löst auf einen gültigen Usernamen auf. In der /etc/passwd sollte aber auch als Home-Verzeichnis dieser Pfad drin stehen und nicht der Link. Also /mnt/data/home/$username und nicht /home/$username Dann könnte man path=/mnt/data/home auch weglassen imho snap -- Mit freundlichen Grüßen Matthias Müller (Benutzer #439779 im Linux-Counter http://counter.li.org) PS: Bitte senden Sie als Antwort auf meine E-Mails reine Text-Nachrichten!
Am 20.02.2019 22:40, schrieb Matthias Müller:
Und wie ist das dann, wenn ich das Verzeichnis /mnt/data/home mit nfs exportiere und die user per ldap verwalte? Bisher mounte ich das exportierte Verzeichnis dann unter /home bei den nfs-clients. Geht das dann noch? -- Dirk -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 20.02.2019 22:40, schrieb Matthias Müller:
Ich habe die passwd entsprechend geändert. Das Problem mit den nicht abgefragten Passwörtern in der [users] Freigabe besteht allerdings immer noch. Ich kann in Windows 7 die Netzwerkfreigabe users öffnen und alle darin enthaltenen user öffnen und ihr home-Verzeichnis ohne Passwortabfrage durchstöbern. Wie kann ich das unterbinden? Bei meinem vorhergehenden Samba Server auf OS 12.1 wurde beim Offnen eines user-Ordners das Passwort abgefragt. Wenn ich nun die smb.config von dem alten Server verwende fehlt die Passwortabfrage aber trotzdem. -- Dirk -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Dirk, hallo zusammen, Am Mittwoch, 20. Februar 2019, 18:24:21 CET schrieb dirk:
Nicht nur da ;-) Das AppArmor-Profil für Samba wird automatisch anhand der Freigaben aktualisiert, allerdings gibt es ein paar Ausnahmen - Freigaben mit "%" im Pfad werden ignoriert, und symbolischen Links wird auch nicht gefolgt. Daher musst Du das Profil von Hand ergänzen und dazu in /etc/apparmor.d/local/usr.sbin.smbd folgende Zeilen eintragen: /mnt/data/home/ r, /mnt/data/home/** lrwk, Danach rcapparmor reload aufrufen. Alternative Lösung (empfehlenswert, falls sich die User mit Homeverzeichnis in /data/mnt/home/ auch direkt auf dem Samba-Server einloggen können), ist ein Eintrag in /etc/apparmor.d/tunables/alias /home/ -> /mnt/data/home/, Gruß Christian Boltz -- [20:21] <jospoortvliet> ok but IF we do that, note that you'll have to cook for 50+ people. [...] [20:21] <suseROCKs> jospoortvliet, so you're saying you need 50 microwaves??? :-) [from #opensuse-project] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 21.02.2019 12:22, schrieb Christian Boltz:
Hallo Christian, ich habe nun das apparmor Profil um die beiden Einträge ergänzt. Danach konnte ich den Pfad in der [homes] Freigabe löschen. -- Dirk -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, Am Donnerstag, 21. Februar 2019, 17:56:56 CET schrieb dirk: snip
Zu deinen Fragen an mich: Kann ich dir leider nicht beantworten. Als ich für die Samba-Installation (übrigens unter AIX, nicht Linux) in unserer Firma verantwortlich war, hatten wir noch kein LDAP oder irgend eine zentrale Benutzerverwaltung. Als das dann eingeführt wurde (vor ca 20-22 Jahren, ab da hat sich der PC in der Firma verbreitet, davor gab's nur den Mainframe a la IBM S370), ging auch die Samba-Verwaltung an die SysAdmins. Mein Aufgaben- gebiet hat sich dann auf andere Schwerpunkte verlagert. -- Mit freundlichen Grüßen Matthias Müller (Benutzer #439779 im Linux-Counter http://counter.li.org) PS: Bitte senden Sie als Antwort auf meine E-Mails reine Text-Nachrichten!
participants (3)
-
Christian Boltz
-
dirk
-
Matthias Müller