FreeBSD Samba PDC Howto

cat1510

Well-Known Member
pdbebedit -a -m <machinennameohne$>

Also Dein DNS Problem ist vieleicht noch dran schuld.
Hast Du einen "richtigen" DNS aufgenaut?
Ein domain name sollte nicht nur aus dem computername.local bestehen.
Also server.bladeck.local ist da schon deutlich besser...
Das versucht Win dann auch aufzuloesen.

Das sollte Dein Problem dann auch schon loesen.
Kann man denn auf die shares zugreifen?
Dazu muss man nicht in der Domain sein...

Deine DNS Konstellation und Deine smb.conf waeren dann hilfreich.

CAT
 
Zuletzt bearbeitet:

Dany

Well-Known Member
Hallo,

ja ich habe auf den selben Server auch noch BIND installiert. Nach der Installation habe ich dan die IP von BIND auch in den DHCP übernommen. Die Windowsrechner erhalten auch die IP-Adressen und können auch ins Internet.
Auf die Shares kann man ohne Probleme zugreifen, es kommt ein Loginfenster in den man sich über DOMAINNAME\USERNAME und den Passwort anmelden kann.
Nur bei der Aufnahme der Rechner in die Domain kömmt die Fehlermeldung mit den DNS Problem. Wenn man die Rechner versucht über Netzwerkerkennung in die Domain aufzunemen dann kommt die Fehlermeldung "Domain xxx nicht verfügbar". Ich habe jetzt mal die Domain in BLADECK2 geändert um Fehler zu umgehen.

Leider bin ich jetzt nicht zu Hause und kann erst heute abend weitere Tests durchführen.

Freu mich aber auf jede Hilfe, da ich mir das Problem beim besten willen nicht vorstellen kann. Ich habe das ganze jetzt auch auf einen zweiten Rechner getestet, bekomme den selben Fehler.

Danke für eure Hilfe.

Bis bald Daniel
 

Dany

Well-Known Member
Schaffe es nicht

Hallo,

habe jetzt nochmals google durchsucht, das Forum durchsucht und finde den fehler einfach nicht.

Ich kann mich mit meinen Win2k ServicePack 4 Rechnern nicht an den Server anmelden.

Ich schreibe euch mal die smb.conf vielleicht sieht ja einer von euch den Fehler.

Code:
smb.conf
srv001# more /usr/local/etc/smb.conf
# Samba config file created using SWAT
# from 0.0.0.0 (0.0.0.0)
# Date: 2004/12/30 20:43:07

# Global parameters
[global]
        workgroup = BLADECK.LOCAL
        netbios name = SRV001
        server string = SRV001
        interfaces = 10.0.0.156
        bind interfaces only = Yes
        passdb backend = tdbsam
        logon script = logon.cmd
        logon path = \\%L\profiles\%U
        logon drive = p:
        logon home = \\%L\%U
        os level = 65
        preferred master = Yes
        domain master = Yes
        wins server = 10.0.0.155
        wins support = Yes
        ldap ssl = no

[homes]
        valid users = %S
        read only = No
        create mask = 0700
        security mask = 0700
        directory mask = 0700
        directory security mask = 0700
        veto files = /.*/
        browseable = No

[Netlogon]
        comment = Netlogon
        path = /usr/data/netlogon
        browseable = No

[Profiles]
        comment = Profiles
        path = /usr/data/profiles
        read only = No
        create mask = 0600
        security mask = 0600
        directory mask = 0700
        directory security mask = 0700
        browseable = No

Ein ipconfig /all unter einen Windows Rechner sieht wie folgt aus.

Code:
C:\>ipconfig /all

Windows 2000-IP-Konfiguration

        Hostname. . . . . . . . . . . . . : notebook-dany
        Primäres DNS-Suffix . . . . . . . :
        Knotentyp . . . . . . . . . . . . : Hybridadapter
        IP-Routing aktiviert. . . . . . . : Nein
        WINS-Proxy aktiviert. . . . . . . : Nein
        DNS-Suffixsuchliste . . . . . . . : bladeck.local

Ethernetadapter "LAN-Verbindung":

        Verbindungsspezifisches DNS-Suffix: bladeck.local
        Beschreibung. . . . . . . . . . . : Linksys EtherFast 10/100-CardBus-PC-Karte (PCMPC200)
        Physikalische Adresse . . . . . . : 00-E0-98-78-E6-93
        DHCP-aktiviert. . . . . . . . . . : Ja
        Autokonfiguration aktiviert . . . : Ja
        IP-Adresse. . . . . . . . . . . . : 10.0.0.170
        Subnetzmaske. . . . . . . . . . . : 255.255.255.0
        Standardgateway . . . . . . . . . : 10.0.0.1
        DHCP-Server . . . . . . . . . . . : 10.0.0.155
        DNS-Server. . . . . . . . . . . . : 10.0.0.156
        Primärer WINS-Server. . . . . . . : 10.0.0.156
        Lease erhalten. . . . . . . . . . : Donnerstag, 30. Dezember 2004 21:02:57
        Lease läuft ab. . . . . . . . . . : Donnerstag, 30. Dezember 2004 21:12:57

Wie gesagt ich kann den Fehler nicht erkennen. Habe jetzt schon alle Rechner neu gestartet und neu Versucht aber es läuft einfach nicht. Bin über jeden Tip dankbar!

Danke Daniel
 
Zuletzt bearbeitet:

cat1510

Well-Known Member
Dany schrieb:
Code:
smb.conf
srv001# more /usr/local/etc/smb.conf
# Samba config file created using SWAT
# from 0.0.0.0 (0.0.0.0)
# Date: 2004/12/30 20:43:07

# Global parameters
[global]
        workgroup = BLADECK.LOCAL
        netbios name = SRV001
        server string = SRV001
        interfaces = 10.0.0.156
        bind interfaces only = Yes
[/QUOTE]

Also Deine Workgroup würde ich nach Bladeck umbennenen.


Wenn ich das richtig verstanden habe sieht Deine Netz wie folgt aus:

srv001.bladec.local = ist der Server
notebook-dany.bladec.local = dein Notebook

Kannst du denn per nslookup oder ping alle Namen im LAN aufloesen?
Das win2K hat mit dem allen nichts zu tun.

Ich meine Du darfst unter Win keine Endunng local benutzen. Wenn die Workgroup nur bladeck ist, dann setzt er das local von sich aus dahinter.
Also als Domain Namen auch einfach nur bladeck.
Dein Hostname in der /etc/rc.conf ist auch srv01.bladeck.local?
Dein DHCP Server sendet als option den Domain name bladek.local auch mit?

Im Netz wirst Du dazu auch nicht viel finden. Was sehr hilfreich war sind die Docs von Samba.org. Die sind sogar auch in deutsch verfügbar.

Bis dann und Guten Rutsch.

CAT
 

Dany

Well-Known Member
Hallo,

ok, das mit den local habe ich verstanden und habe somit die Einstellungen auf bladeck.intern umgestellt.

Somit sieht jetzt die smb.conf so aus:

Code:
# Global parameters
[global]
        workgroup = BLADECK.INTERN
        server string = SRV001
        netbios name = SRV001
        interfaces = 10.0.0.156
        bind interfaces only = Yes
        passdb backend = tdbsam
        logon script = logon.cmd
        logon path = \\%L\profiles\%U
        logon drive = p:
        logon home = \\%L\%U
        os level = 65

Das auflösen der Namen im Netz geht über die IP-Adressen und über die Computernamen.

Es funktioniert aber nicht, das ich die "workgroup = BLADECK.INTERN" auflösen kann!

Der Hostname in rc.conf lautet "srv001.bladeck.intern".

Der DHCP Server sendet als option den Domain namen "bladeck.intern" mit.

Ja die Docs von Samba.org sind sehr gut aber auch sehr viele Seiten!

Bekomme aber mit den jetzigen Änderungen immer noch den gleichen Fehler!

Wünsche allen hier im Forum einen Guten Rutsch ins neue Jahr!


Bis bald Daniel
 

Dany

Well-Known Member
Hallo,

ich hoffe es sind alle gut im neuen Jahr angkommen.

Ich habe nun meine smb.conf nach der Anleitung von samba.org umgeschrieben. Nun sieht der Sektor GLOBAL wie folgt aus.

Code:
[global]
        workgroup = BLADECK

        debug level = 3
        guest account = nobody
        keep alive = 30
        os level = 2
        security = user
        printing = bsd
        printcap name = /etc/printcap
        load printers = yes
        log file = /var/log/samba.log.%m
        share modes = yes
        allo hosts = 10.0.0.
        server string = %h SSamba Server %v
        interfaces = 10.0.0.156/24
        bind interfaces only = True
        encrypt passwords = yes
        password level = 2
        netbios name = SRV001
        domain logons = yes
        domain sid = S-1-5-21-1290937831-1921083428-2172654181 ;
        logon path = \\%L\profiles\%U
        wins support = yes

        passdb backend = tdbsam
        logon script = logon.cmd
        logon drive = p:
        logon home = \\%L\%U
        preferred master = Yes
        domain master = Yes
        ldap ssl = no

Wenn ich nun versuche der Domain beizutretten bekomme ich wenigsten keinen DNS Fehler mehr sondern es kommt eine Benutzer / Passwortabfrage.
Problem ist jetzt nur das ich hier eingeben kann was ich will ich bekomme immer die Meldung "Beim versuch der Domäne BLADECK beizutretten, trat der folgende Fehler auf: Der Netzwerkpfad wurde nicht gefunden.".

Das Anmelden an einen Share funktioniert und ich kann darin Daten ablegen.

Ein nslookup auf die Rechnernamen und auf den Domännamen funktioniert.

Bei einen "nslookup bladeck" erhalte ich die IP von meinen SAMBA Server.

Der DHCP Server sendet jetzt als Domäne auch nur noch BLADECK mit ohne Zusatz!

Beim Versuch mein Notebook in die Domain aufzunehmen wurden zwei Logfiles erstellt.
Das eine mit den Namen "samba.log.10.0.0.170" und das andere mit den Namen "samba.log.notebook-dany".

Im Logfile samba.log.10.0.0.170 steht:

Code:
srv001# more /var/log/samba/samba.log.10.0.0.170
[2005/01/01 09:32:08, 3] smbd/oplock.c:init_oplocks(1302)
  open_oplock_ipc: opening loopback UDP socket.
[2005/01/01 09:32:08, 3] smbd/oplock.c:init_oplocks(1333)
  open_oplock ipc: pid = 51368, global_oplock_port = 64685
[2005/01/01 09:32:08, 3] smbd/process.c:process_smb(1092)
  Transaction 0 of length 72
[2005/01/01 09:32:08, 2] smbd/reply.c:reply_special(235)
  netbios connect: name1=SRV001          name2=NOTEBOOK-DANY
[2005/01/01 09:32:08, 2] smbd/reply.c:reply_special(242)
  netbios connect: local=srv001 remote=notebook-dany, name type = 0

Das andere Logfile ist sehr groß aber ich versuche mal ein par Zeilen (die für mich wichtig erscheinen) zu schreiben:

Code:
[2005/01/01 09:32:08, 2] smbd/sesssetup.c:setup_new_vc_session(608)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2005/01/01 09:32:08, 3] smbd/sesssetup.c:reply_sesssetup_and_X_spnego(535)
  Doing spnego session setup
[2005/01/01 09:32:08, 3] smbd/sesssetup.c:reply_sesssetup_and_X_spnego(566)
  NativeOS=[Windows 2000 2195] NativeLanMan=[Windows 2000 5.0] PrimaryDomain=[]
[2005/01/01 09:32:08, 3] libsmb/ntlmssp.c:ntlmssp_server_auth(615)
  Got user=[daniel] domain=[BLADECK] workstation=[NOTEBOOK-DANY] len1=24 len2=24
....
[2005/01/01 09:32:08, 2] auth/auth.c:check_ntlm_password(305)
  check_ntlm_password:  authentication for user [daniel] -> [daniel] -> [daniel] succeeded
[2005/01/01 09:32:08, 3] libsmb/ntlmssp_sign.c:ntlmssp_sign_init(319)
  NTLMSSP Sign/Seal - Initialising with flags:
[2005/01/01 09:32:08, 3] libsmb/ntlmssp.c:debug_ntlmssp_flags(62)
  Got NTLMSSP neg_flags=0x60088215
[2005/01/01 09:32:08, 3] smbd/password.c:register_vuid(222)
  User name: daniel     Real name: User & Daniel
[2005/01/01 09:32:08, 3] smbd/password.c:register_vuid(241)
  UNIX uid 1002 is UNIX user daniel, and will be vuid 100
[2005/01/01 09:32:08, 3] smbd/password.c:register_vuid(270)
  Adding homes service for user 'daniel' using home directory: '/home/daniel'
[2005/01/01 09:32:08, 3] param/loadparm.c:lp_add_home(2333)
  adding home's share [daniel] for user 'daniel' at '/home/daniel'
[2005/01/01 09:32:08, 3] smbd/process.c:process_smb(1092)
  Transaction 4 of length 82
[2005/01/01 09:32:08, 3] smbd/process.c:switch_message(887)
  switch message SMBtconX (pid 51368) conn 0x0
[2005/01/01 09:32:08, 3] smbd/sec_ctx.c:set_sec_ctx(288)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2005/01/01 09:32:08, 3] smbd/service.c:make_connection_snum(472)
  Connect path is '/tmp' for service [IPC$]
[2005/01/01 09:32:08, 3] lib/util_seaccess.c:se_access_check(251)
[2005/01/01 09:32:08, 3] lib/util_seaccess.c:se_access_check(252)
  se_access_check: user sid is S-1-5-21-3984035403-2970336283-3361708798-3004
  se_access_check: also S-1-5-21-3984035403-2970336283-3361708798-3005
  se_access_check: also S-1-1-0
  se_access_check: also S-1-5-2
  se_access_check: also S-1-5-11
  se_access_check: also S-1-5-21-3984035403-2970336283-3361708798-1001
  se_access_check: also S-1-5-21-336180324-4060704947-2491015443-3301
  se_access_check: also S-1-5-21-3984035403-2970336283-3361708798-3403
[2005/01/01 09:32:08, 3] smbd/vfs.c:vfs_init_default(203)
  Initialising default vfs hooks
[2005/01/01 09:32:08, 3] lib/util_seaccess.c:se_access_check(251)
[2005/01/01 09:32:08, 3] lib/util_seaccess.c:se_access_check(252)
  se_access_check: user sid is S-1-5-21-3984035403-2970336283-3361708798-3004
  se_access_check: also S-1-5-21-3984035403-2970336283-3361708798-3005
  se_access_check: also S-1-1-0
  se_access_check: also S-1-5-2
  se_access_check: also S-1-5-11
  se_access_check: also S-1-5-21-3984035403-2970336283-3361708798-1001
  se_access_check: also S-1-5-21-336180324-4060704947-2491015443-3301
  se_access_check: also S-1-5-21-3984035403-2970336283-3361708798-3403
[2005/01/01 09:32:08, 3] smbd/sec_ctx.c:set_sec_ctx(288)
  setting sec ctx (1002, 1002) - sec_ctx_stack_ndx = 0
.....
[2005/01/01 09:32:09, 3] rpc_server/srv_pipe.c:api_rpcTNP(1541)
  api_rpcTNP: rpc command: SAMR_CLOSE_HND
[2005/01/01 09:32:09, 3] rpc_server/srv_lsa_hnd.c:close_policy_hnd(200)
  Closed policy
[2005/01/01 09:32:09, 3] rpc_server/srv_pipe_hnd.c:free_pipe_context(544)
  free_pipe_context: destroying talloc pool of size 0
[2005/01/01 09:32:09, 3] smbd/process.c:process_smb(1092)
  Transaction 30 of length 45
[2005/01/01 09:32:09, 3] smbd/process.c:switch_message(887)
  switch message SMBclose (pid 51368) conn 0x82ee800
[2005/01/01 09:32:09, 3] smbd/process.c:process_smb(1092)
  Transaction 31 of length 132
[2005/01/01 09:32:09, 3] smbd/process.c:switch_message(887)
  switch message SMBtrans (pid 51368) conn 0x82ee800
[2005/01/01 09:32:09, 3] smbd/ipc.c:reply_trans(538)
  trans <\PIPE\> data=44 params=0 setup=2
[2005/01/01 09:32:09, 3] smbd/ipc.c:named_pipe(334)
  named pipe command on <> name
[2005/01/01 09:32:09, 3] smbd/ipc.c:api_fd_reply(296)
  Got API command 0x26 on pipe "lsarpc" (pnum 76b0)
[2005/01/01 09:32:09, 3] rpc_server/srv_pipe_hnd.c:free_pipe_context(544)
  free_pipe_context: destroying talloc pool of size 0
[2005/01/01 09:32:09, 3] rpc_server/srv_pipe.c:api_rpcTNP(1541)
  api_rpcTNP: rpc command: LSA_CLOSE
[2005/01/01 09:32:09, 3] rpc_server/srv_lsa_hnd.c:close_policy_hnd(200)
  Closed policy
[2005/01/01 09:32:09, 3] rpc_server/srv_pipe_hnd.c:free_pipe_context(544)
  free_pipe_context: destroying talloc pool of size 0
[2005/01/01 09:32:09, 3] smbd/process.c:process_smb(1092)
  Transaction 32 of length 45
[2005/01/01 09:32:09, 3] smbd/process.c:switch_message(887)
  switch message SMBclose (pid 51368) conn 0x82ee800
[2005/01/01 09:32:09, 3] smbd/process.c:process_smb(1092)
  Transaction 33 of length 39
[2005/01/01 09:32:09, 3] smbd/process.c:switch_message(887)
  switch message SMBtdis (pid 51368) conn 0x82ee800
[2005/01/01 09:32:09, 3] smbd/sec_ctx.c:set_sec_ctx(288)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2005/01/01 09:32:09, 3] smbd/sec_ctx.c:set_sec_ctx(288)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2005/01/01 09:32:09, 3] smbd/service.c:close_cnum(837)
  notebook-dany (10.0.0.170) closed connection to service IPC$
[2005/01/01 09:32:09, 3] smbd/connection.c:yield_connection(69)
  Yielding connection to IPC$
[2005/01/01 09:32:09, 3] smbd/sec_ctx.c:set_sec_ctx(288)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2005/01/01 09:32:09, 3] smbd/process.c:process_smb(1092)
  Transaction 34 of length 43
[2005/01/01 09:32:09, 3] smbd/process.c:switch_message(887)
  switch message SMBulogoffX (pid 51368) conn 0x0
[2005/01/01 09:32:09, 3] smbd/sec_ctx.c:set_sec_ctx(288)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2005/01/01 09:32:09, 3] smbd/reply.c:reply_ulogoffX(1255)
  ulogoffX vuid=100
[2005/01/01 09:32:09, 3] smbd/process.c:timeout_processing(1332)
  timeout_processing: End of file from client (client has disconnected).
[2005/01/01 09:32:09, 3] smbd/sec_ctx.c:set_sec_ctx(288)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2005/01/01 09:32:09, 2] smbd/server.c:exit_server(571)
  Closing connections
[2005/01/01 09:32:09, 3] smbd/connection.c:yield_connection(69)
  Yielding connection to
[2005/01/01 09:32:09, 3] smbd/server.c:exit_server(614)
  Server exit (normal exit)

Was kann ich jetzt noch tun?

Danke Daniel
 

Dany

Well-Known Member
Hallo,

danke an alle die mir geholfen haben. Ich habe nun die Lösung gefunden und der Fehler lag am DNS Server, der hat die IP's falsch aufgelöst. :) :)

Hier als Lösung meine DNS Dateien.

Code:
srv001# more 10.0.0.rev
$ttl 38400
0.0.10.in-addr.arpa.    IN      SOA     srv001.bladeck.local. root.srv001.bladeck.local. (
                        1104439689
                        10800
                        3600
                        604800
                        38400 )
0.0.10.in-addr.arpa.    IN      NS      srv001.bladeck.local.
156.0.0.10.in-addr.arpa.        IN      PTR     srv001.bladeck.intern.
170.0.0.10.in-addr.arpa.        IN      PTR     notebook-dany.bladeck.intern.
srv001# more bladeck.intern.hosts
$ttl 38400
bladeck.intern. IN      SOA     srv001.bladeck.intern. root.srv001.bladeck.intern. (
                        1104512153
                        10800
                        3600
                        604800
                        38400 )
bladeck.intern. IN      NS      srv001.bladeck.intern.
notebook-dany.bladeck.intern.   IN      A       10.0.0.170
bladeck.bladeck.intern. IN      A       10.0.0.156
srv001.bladeck.intern.  IN      A       10.0.0.156


Nochmals Danke an alle!

Bis bald Daniel
 

cat1510

Well-Known Member
Frohes Neues.


Also so ganz richtig ist das aber noch nicht oder?
Schoen dass es funktioniert.
Dein Zonefile sieht sehr durcheinander aus.
Der DHCP sollte auch den ganzen Domain Namen mitsenden.
Wenn Du das mal richtig gebogen haben willst melde Dich bei mir per PM.

CAT
 

Breiti

Well-Known Member
hallo,
kann mal jemand fuer samba3 und freebsd eine minimale smb.conf
posten, die auf anhieb als windows domäne funktioniert. am besten
mit entsprechenden befehlen zum anlegfen neuer user und maschinen.

gruss Breiti
 
Hi Breiti,

nutz doch einfach das HowTo von Highfish. Ich hab damit Samba-PDCs mit den Samba-Versionen 3.0.5-10 unter FreeBSD 4.8-10 und 5.2.1 und 5.3 immer sofort ans laufen bekommen :D Das HowTo ist einfach der Hammer... THX auch mal von mir.

Ich konnte bisher auch immer ohne Probleme 2k SP4 und XP SP1 & SP2 Maschinen anhängen.

Gruß TheSearcher
 

PatTheMav

Well-Known Member
So - ich hab nunmal ein Update von ner "alten" Samba-Version auf die aktuelle gemacht und es läuft soweit auch alles fein, hab das Passwort-Backend auf tdbsam umgestellt und erfreulicherweise liefen nach einem Neustart des Daemons alle Shares wieder wie erwartet, nur stören mich zwei Dinge :

1. Das Browsen auf dem Samba-Server-Shares dauert Ewigkeiten, mit der vorigen Version war das wesentlich fixer. Ziemlich häufig kommt es auch vor, dass ich Stundenlang in Windows XP über die Netzwerkumgebung nicht auf meine eigene Arbeitsgruppe (in der auch der Samba-Server steckt) zugreifen kann, da mir die Rechte fehlen würde (so die Netzwerkumgebung), d.h. auch auf die anderen Rechner kann ich nicht zugreifen. Und dann plötzlich wie von Geisterhand klappt der Zugriff auf die Arbeitsgruppe.

2. Trotz eingestelltem Admin-User, diesem User in der tdbsam und Anmeldung an das Share mit diesem Nutzer und Passwort, bekomm ich zwar Verzeichnisse zu sehen, aber z.B. keine symbolischen Links und Schreibrechte hab ich auch nicht.

Die Verzeichnisse haben alle als Besitzer "root" und das Verzeichnis auf dem der symbolische Link zeigt, "gehört" dem FTPuser, allerdings dacht ich, dass der "adminuser" root-zugriffsrechte bekommt unter Samba, allerdings funzt das bei mir nicht mehr. Trotz richtigem Login hab ich keine Schreibrechte mehr, was ziemlich nervt, da ich so bequem per Windows Dateien auf den FTP schieben/verändern konnte.

Hier meine smb.conf :
Code:
[global]
	workgroup = LAN 
	security = share
	encrypt passwords = yes
	netbios name = Router
	server string = Samba running on FreeBSD 5.3-p4 Router
	interfaces = 192.168.0.10
	bind interfaces only = yes
	os level = 33
	local master = no
	domain master = no
	preferred master = no
	announce as = NT
	announce version = 4.2
	browsable = yes
	browse list = yes
	invalid users = root bin daemon adm sync shutdown halt mail news uucp operator gopher
	admin users = patthemav
	ldap ssl = no
	passdb backend = tdbsam
	socket options = TCP_NODELAY IPTOS_LOWDELAY
[mirror]
	comment = FreeBSD 5.3-p4 Mirror Space
	path = /dos/mirror
	volume = LocalMirror
	writable = yes
	guest ok = yes
	follow symlinks = yes
	case sensitive = no
	browsable = yes
	wide links = yes
	map archive = yes
	map system = yes
	map hidden = yes
	create mask = 744
	directory mask = 755
[PTM-Share]
	comment = PTM Share Directory
	path = /dos/PTM_Share
	volume = PTMShare
	writable = yes
	guest ok = no
	follow symlinks = yes
	case sensitive = no
	browsable = yes
	wide links = yes
	map archive = yes
	map hidden = yes
	map system = yes
	create mask = 744
	directory mask = 755
	valid users = patthemav
 

cat1510

Well-Known Member
Moin,

als erstes ist es ganz schlecht als security = share zu setzen, wenn man der Doku von Samba glauben darf.
Die Netzwerkumgebung wird unter Win gecached(t). Das kann man abschalten, weiss aber gerade nicht wo.
Alternativ kann man im WinExlporer auch einfach \\<servername> in die Adressleiste schreiben. ;)


Hier meine smb.conf :
Code:
[global]
	security = share
	encrypt passwords = yes
	netbios name = Router
	server string = Samba running on FreeBSD 5.3-p4 Router
	interfaces = 192.168.0.10
	bind interfaces only = yes
	os level = 33                                                      <----   *Level 65 ist besser
	local master = no                                               <----   *ist er nicht Dein einziger?
	domain master = no
	preferred master = no                                        <----   *haste einen anderen?
	announce as = NT                                              <----    *brauchste nicht mehr
	announce version = 4.2                                      <----    *brauchste nicht mehr
	browsable = yes
	browse list = yes
	invalid users = root bin daemon adm sync sh     <----    *brauchste nicht mehr
	admin users = patthemav                                   <----    *brauchste nicht mehr
	ldap ssl = no                                                       <----    *brauchste nicht
	passdb backend = tdbsam
	socket options = TCP_NODELAY IPTOS_LOWDELAY  <----    *raus damit

Es fehlen Dir:
        wins support = Yes
        guest account = nobody
        map to guest = Bad User

Dann fehlt Dir ein netlogon Share, was Win vorraussetzt fuer WinNT oder spaeter.
Es geht auch ohne, aber langsamer...

[Netlogon]
        comment = Netlogon
        path = /usr/local/netlogon
        read only = No
        browseable = No
        guest ok = YES


[mirror]
	comment = FreeBSD 5.3-p4 Mirror Space
	path = /dos/mirror
	volume = LocalMirror
	writable = yes
	guest ok = yes
	follow symlinks = yes
	case sensitive = no
	browsable = yes
	wide links = yes
	map archive = yes
	map system = yes
	map hidden = yes
	create mask = 744
	directory mask = 755
[PTM-Share]
	comment = PTM Share Directory
	path = /dos/PTM_Share
	volume = PTMShare
	writable = yes
	guest ok = no
	follow symlinks = yes
	case sensitive = no
	browsable = yes
	wide links = yes
	map archive = yes
	map hidden = yes
	map system = yes
	create mask = 744                 <----- *auf 774 damit auch Groupmembers duerfen 
	directory mask = 755             <----- *auf 775 damit auch Groupmembers duerfen 
	valid users = patthemav
[/QUOTE]

Am besten ist es, den samba komplett neu zu machen mit der entsprechenden Userverwaltung dahinter.


CAT
 

PatTheMav

Well-Known Member
cat1510 schrieb:
Moin,

als erstes ist es ganz schlecht als security = share zu setzen, wenn man der Doku von Samba glauben darf.
Die Netzwerkumgebung wird unter Win gecached(t). Das kann man abschalten, weiss aber gerade nicht wo.
Alternativ kann man im WinExlporer auch einfach \\<servername> in die Adressleiste schreiben. ;)

Hier meine smb.conf :
[...]

Am besten ist es, den samba komplett neu zu machen mit der entsprechenden Userverwaltung dahinter.


CAT
Hm das verwirrt mich jetzt total .. aber der Reihe nach :
Code:
[global]
	os level = 33                      <----   *Level 65 ist besser
Afaik ist der Level ja nur für die Elections zum Browsing-Master in einem Windows-Netzwerk zuständig, da war meine Erfahrung, dass mein Xp Pro wesentlich schneller arbeitete als der Samba ...
Code:
local master = no                      <----   *ist er nicht Dein einziger?
	domain master = no
	preferred master = no                      <----   *haste einen anderen?
Eben weil mein XP Pro als Master "runder" läuft subjektiv gesehen, lass mich gerne von was anderem mit Argumenten überzeugen :D
Code:
	announce as = NT                      <----    *brauchste nicht mehr
	announce version = 4.2                      <----    *brauchste nicht mehr
Verstanden !
Code:
	invalid users = root bin daemon adm sync sh     <----    *brauchste nicht mehr
	admin users = patthemav                      <----    *brauchste nicht mehr
	ldap ssl = no                      <----    *brauchste nicht
Zum ersten : Wieso ? Zum zweiten: Wieso ? Afaik muss ich das angeben, damit ich als User patthemav auf die Verzeichnisse im letzten Share zugreifen kann ! Denn die Verzeichnisse sind und sollen in der Zugehörigkeit von root liegen und nicht alle auf patthemav chowned werden. Mit Samba2 ging das, da admin-user root-Zugriff bekamen (sehr angenehm). Ausserdem bekam ich alle 2 Sekunden mehrere LDAP-Errors gemeldet, bevor ich das ldap ssl reingehaun hatte, oder lag es vielmehr daran, dass ich tdbsam noch nicht als Backend drin hatte ?
Code:
	socket options = TCP_NODELAY IPTOS_LOWDELAY  <----    *raus damit
Verstanden.

Es fehlen Dir:
wins support = Yes
guest account = nobody
map to guest = Bad User
Ok - guest account ist per default nobody, weshalb mir das so gesehen nicht fehlt - wozu WINS-Support ? Ich fahr hier die einzige Xp-Maschine, der Rest sind 9X-Clients, die auch zugreifen können sollen - ich bin mir nicht sicher, ob das mit WINS gegeben ist.
Dann fehlt Dir ein netlogon Share, was Win vorraussetzt fuer WinNT oder spaeter.
Es geht auch ohne, aber langsamer...

[Netlogon]
comment = Netlogon
path = /usr/local/netlogon
read only = No
browseable = No
guest ok = YES
Wozu und wieso ? Noch nie irgendwie davon gelesen und hab schon ne Menge FAQs durchwühlt wegen all den Kinderkrankheiten, die ich schon mit meinem FreeBSD-System hatte :)

Code:
	create mask = 744                 <----- *auf 774 damit auch Groupmembers duerfen 
	directory mask = 755             <----- *auf 775 damit auch Groupmembers duerfen
Auch verstanden.
 

cat1510

Well-Known Member
Ich antworte Dir natuerlich gern.

Was ich nicht gut finde, ist dass Du keine Angaben zu Deiner Netzwerk Topolgie gemacht hast.
Von welcher Version von smb Du upgedatet hast...
Auf welche?
Welche Config haste denn beim bauen verwendet und so weiter...


CAT
 

PatTheMav

Well-Known Member
Also das Netzwerk ist recht einfach aufgebaut. Ich hab den BSD-Server mit zwei Netzwerkkarten drin, die eine ist direkt mit dem DSL-Modem verbunden, die andere mit dem Switch. An dem hängen neben meinem Windows XP-Pro Rechner noch 3 weitere Win9x-Rechner.

Welche Samba-Version das vorher war, weiss ich nicht mehr, hab einfach mit dem Howto aus diesem Thread damals auf nem Freebsd 5.1 (ohne weitere Updates) aus samba-devel installiert. Hab dann die obige Config gebaut und damit lief das Problemfrei.

Zum Updaten hab ich "portinstall samba3" gemacht, welches sich dann installiert hat ohne Fehler und hab dann meinen alten Nutzer "patthemav" komplett frisch neu mit pdbedit hinzugefügt. An der Config hab ich dann ausser dem Hinzufügen von ldap ssl = no und passdb backend = tdbsam nichts weiter geändert.
 

cat1510

Well-Known Member
Das sind doch mal ein paar Infos.

Code:
[global]
	os level = 33                      <----   *Level 65 ist besser

Definition - WINS
Abkürzung für "Windows Internet Naming Service" - Von der Firma Microsoft entwickelte Methode um den Hostnamen eines Rechners mit seiner Adresse zu verknüpfen.

Ich habe mal die Browsing.txt rausgesucht. Also wenn os Level 0 definiert ist dann macht der Samba kein Browsing.
Ich wuerde das allerdings auf 65 setzen und den Server machen lassen.
Ist Dein WinXP Pro nicht eingeschlatet haste vieleicht ein Problem.
Dazu zweifel ich an der "Serverfaehigkeit" von XP Pro...


Code:
local master = no                      <----   *ist er nicht Dein einziger?
	domain master = no
	preferred master = no                      <----   *haste einen anderen?

Eben weil mein XP Pro als Master "runder" läuft subjektiv gesehen, lass mich gerne von was anderem mit Argumenten überzeugen :D
Nun ich denke auch hier Server ist Server. Deine WS kann das nicht richtig.

Code:
	invalid users = root bin daemon adm sync sh     <----    *brauchste nicht mehr
	admin users = patthemav                      <----    *brauchste nicht mehr
	ldap ssl = no                      <----    *brauchste nicht
Zum ersten : Wieso ? Zum zweiten: Wieso ? Afaik muss ich das angeben, damit ich als User patthemav auf die Verzeichnisse im letzten Share zugreifen kann ! Denn die Verzeichnisse sind und sollen in der Zugehörigkeit von root liegen und nicht alle auf patthemav chowned werden. Mit Samba2 ging das, da admin-user root-Zugriff bekamen (sehr angenehm). Ausserdem bekam ich alle 2 Sekunden mehrere LDAP-Errors gemeldet, bevor ich das ldap ssl reingehaun hatte, oder lag es vielmehr daran, dass ich tdbsam noch nicht als Backend drin hatte ?
Also die Userstruktur ist nicht mehr dazu gedacht und hat sich auch geaendert. Zumal dieses Howto auch einen PDC beschreibt und keinen "primitiven" Shares Server. Wenn du den User patthemav einfach in die Gruppe wheel packst ist auch alles ok. Dann kann er auf alle files, die wheel gehoeren.
Dein LDAP.

Code:
#cd cd /usr/ports/net/samba3/
#make config
Dann schau Dir mal an, was davon nichtgebraucht wird.
Dein Samba wird dann auch viel schneller laufen...

- wozu WINS-Support ? Ich fahr hier die einzige Xp-Maschine, der Rest sind 9X-Clients, die auch zugreifen können sollen - ich bin mir nicht sicher, ob das mit WINS gegeben ist.Wozu und wieso ?

WINS ist auschliesslich fuer Win9X Clients.
Ich weiss nicht mehr genau, wie das war. Ab w2k war es Win moeglich einen netbios Name auch in DNS rueckwaerts aufzuloesen. Vorher nicht.
Also der RechnerName wird von einem 9X Client zuerst in WINS angefragt...
Darum sollte man einen "echten" WINS haben. Der kann dann mit gechachten Browsinglists sofort weiterhelfen.
Wenn auf dem Server auch noch ein Bind laeuft mit eigener Zone dann geht es voll ab... :)


Grundsaetzlich waere es doch eine Ueberlegung einen PDC aufzubauen und beim Login zum Beispiel die Zeit zu syncen und Netzlaufwerke zu verbinden.
Gibt man naemlich die einem Win9X Client kommt er sofort....
Ausserdem ist es doch sehr komfortabel und Admin's sind faul....


CAT
 

PatTheMav

Well-Known Member
cat1510 schrieb:
Das sind doch mal ein paar Infos.

Code:
[global]
	os level = 33                      <----   *Level 65 ist besser

Definition - WINS
Abkürzung für "Windows Internet Naming Service" - Von der Firma Microsoft entwickelte Methode um den Hostnamen eines Rechners mit seiner Adresse zu verknüpfen.

Ich habe mal die Browsing.txt rausgesucht. Also wenn os Level 0 definiert ist dann macht der Samba kein Browsing.
Ich wuerde das allerdings auf 65 setzen und den Server machen lassen.
Ist Dein WinXP Pro nicht eingeschlatet haste vieleicht ein Problem.
Dazu zweifel ich an der "Serverfaehigkeit" von XP Pro...


Code:
local master = no                      <----   *ist er nicht Dein einziger?
	domain master = no
	preferred master = no                      <----   *haste einen anderen?


Nun ich denke auch hier Server ist Server. Deine WS kann das nicht richtig.
OK, wenn ich den Samba hier ungefährlich neustarten kann (momentan wird der als externer Speicher für zu komprimierende VHS-Aufnahmen missbraucht, weil mein Server nach meiner Workstation die grösste HD-Kapazität aufweist, traurig aber wahr :D

Mal schauen, wie sich das Netz mit dem Samba-Server als Master verhält - Domain Master brauch ich ja nicht, solang ich keine Domäne betreibe.
cat1510 schrieb:
Code:
	invalid users = root bin daemon adm sync sh     <----    *brauchste nicht mehr
	admin users = patthemav                      <----    *brauchste nicht mehr
	ldap ssl = no                      <----    *brauchste nicht

Also die Userstruktur ist nicht mehr dazu gedacht und hat sich auch geaendert. Zumal dieses Howto auch einen PDC beschreibt und keinen "primitiven" Shares Server. Wenn du den User patthemav einfach in die Gruppe wheel packst ist auch alles ok. Dann kann er auf alle files, die wheel gehoeren.
Genau DAS geht ja eben NICHT :(

patthemav ist als System User in der Gruppe wheel, mit dem alten Samba konnt ich ohne Probleme auf alles zugreifen, nun mit dem neuen gibts zwar Read-Rechte, aber Schreibrechte sind sense. Ich bin mir aber überhaupt nicht sicher, ob ich dafür auch der Gruppe wheel alle Rechte geben muss für alle Verzeichnisse, damit das funktioniert. Vorher war das ja nicht nötig :( Ausserdem kann ich mein FTP-Verzeichnis nicht mehr sehen, was als symbolischer Link im Share angelegt wurde, d.h. der Link wird verarbeitet und ich kann auch reinwechseln, aber der Ordner ist dann leer.
cat1510 schrieb:
Wolltest da noch was schreiben ?
cat1510 schrieb:
Code:
#cd cd /usr/ports/net/samba3/
#make config
Dann schau Dir mal an, was davon nichtgebraucht wird.
Dein Samba wird dann auch viel schneller laufen...
Bei portinstall kam ein Auswahlmenü, wo ich Datenbanktypen, Druckerunterstützung uvm. auswählen konnte, dort hab ich einiges deaktiviert, weshalb der Samba schon abgespeckt sein sollte :)
cat1510 schrieb:
WINS ist auschliesslich fuer Win9X Clients.
Ich weiss nicht mehr genau, wie das war. Ab w2k war es Win moeglich einen netbios Name auch in DNS rueckwaerts aufzuloesen. Vorher nicht.
Also der RechnerName wird von einem 9X Client zuerst in WINS angefragt...
Darum sollte man einen "echten" WINS haben. Der kann dann mit gechachten Browsinglists sofort weiterhelfen.
Wenn auf dem Server auch noch ein Bind laeuft mit eigener Zone dann geht es voll ab... :)
Bitte nicht - nein - bitte nicht - Bind ist mein persönlicher Alptraum. Ich bin froh, dass da Bind9 inzwischen überhaupt läuft und dann auch noch als caching Nameserver. Alles was ich bisher mit Zonen versucht hab (sogar gemäss mehrerer Tutorials) führte nur zu Fehlern und Stress, deshalb hab ich Zonen gleich weggelassen und nicht mehr angerührt.
cat1510 schrieb:
Grundsaetzlich waere es doch eine Ueberlegung einen PDC aufzubauen und beim Login zum Beispiel die Zeit zu syncen und Netzlaufwerke zu verbinden.
Gibt man naemlich die einem Win9X Client kommt er sofort....
Ausserdem ist es doch sehr komfortabel und Admin's sind faul....


CAT
Jo gerade weil ich faul bin, mach ich mir nicht den Stress eines PDC's zumal das in meinen Augen bei 5 Leuten im Netz (und maximal 10, wenn ich hier Studenten mit Notebooks und WLan versammeln würd) mit Kanonen auf Spatzen schiessen gleichkommen würd. Naja und es ist mir zuviel Arbeit, beim Durchlesen der DOCs auf samba.org wurd mir schon schlecht ;)

Übrigens hab ich absichtlich share-security, weil user-security nie funktioniert hatte mit mir. Ich möcht nur ungern diese eigentlich bisher sehr fein seinen Dienst verrichtende Config total über den Haufen schmeissen und mir wochenlang Ärger machen, bevor ich wieder was zum Laufen bekomme - ich hab so ne Begabung dafür, etwas wochenlang nicht hinzubekommen :)
 

cat1510

Well-Known Member
Du solltest dann einfach ueberlegen, wieder auf die 2er Schiene zu wechseln.
Du brauchst kein Samba3.
Der ist hauptsaechlich fuer PDC und eine erweiterte Userverwaltung gedacht.
/usr/ports/net/samba
vorher den anderen installieren.
Dann sollte deine Konfig auch wieder genauso laufen.

OK?

CAT
 

PatTheMav

Well-Known Member
cat1510 schrieb:
Du solltest dann einfach ueberlegen, wieder auf die 2er Schiene zu wechseln.
Du brauchst kein Samba3.
Der ist hauptsaechlich fuer PDC und eine erweiterte Userverwaltung gedacht.
/usr/ports/net/samba
vorher den anderen installieren.
Dann sollte deine Konfig auch wieder genauso laufen.

OK?

CAT
Naja find ich eher unbefriedigend, wozu alte, verbuggte Software einsetzen, wenn es mit der neuen auch klappt, zumal ich meine, dass alles 100%ig so funzen kann wie vorher, nu irgendwo der Einstellungsfehler liegt. IMO ist Samba=Samba, egal welche Version und es muss auch als dreier Version mindestens son billigen Share-Modus beherrschen, wenn es sich als voller PDC präsentieren möchte. Kann mich ja auch nicht als Webdesigner bezeichnen, wenn ich nichtmal HTML kann - oder ich benutz ja auch kein Windows 98, nur weil damit alte DOS-Spiele funktionieren :)

Da ich bisher nicht die von dir empfohlenen Einstellungen aktivieren konnte (es wird immer noch auf nem 800er ein DivX von der Samba-Share aus komprimiert *schnarch*) kann ich auch noch nicht sagen, ob die was verändert haben, in ner knappen Stunde wissen wir mehr :)
 

PatTheMav

Well-Known Member
So - ich hab mal einige Settings gemäss deiner Empfehlungen eingerichtet - hier meine Erfahrungen :

Lag wohl nur am Neustart des Samba-Servers, aber er Zugriff auf die Netzwerkumgebung ist subjektiv langsamer geworden, bzw. es dauert sehr lange, bis alle Rechner auftauchen in der Umgebung. Nach nem Neustart der Clients trat dann aber der wohl erwartete Effekt in Erscheinung, dass nach ner knappen Minute, in der man immer ne Fehlermeldung unter Windows bekommt, das Netzwerk dann vollständig "angetreten" war :)

Zugriff auf die Shares hab ich mal auf "Security: share" gelassen, weil sonst allein beim Zugriff auf den Router an sich ein Passwort abgefragt wird, was ja nicht der Sinn sein soll. Es soll ja nur eine Share Passwort-gesichert sein.

Auf meine PW-gesicherte Share kann ich zwar nach Eingabe des Passworts zugreifen, aber es ist immer noch so, dass die Dateien alle schreibgeschützt sind und ich eigentlich nichts machen kann, im Gegensatz zu vorher.

Angenehmerweise zeigt ja XP in den Eigenschaften der Shares auch Nutzer und Gruppen.

Bei meinem Guest-Share, das für alle offen sein soll, sind nobody (der Guest Nutzer) als Nutzer und wheel als Gruppe aufgeführt. Bei meinem PW-gesicherten Share tauchen root als Nutzer und wheel als Gruppe auf. Von dem Samba-Nutzer "patthemav" ist nichts zu sehen. Es liegt wohl alles an einer falschen Nutzereinrichtung - hat da jemand nen Tip, wie ich den Nutzer "patthemav" der auf dem Unix-System in der Gruppe wheel ist, vollständigen Zugriff auf die Share zu geben, welche nur Verzeichnisse enthält, die root oder anderen Nutzern (im Falle des FTP-Dirs) gehören.
 

PatTheMav

Well-Known Member
So, nach ewigem Hin und Her ist die Lösung gefunden, ein force user mit root erbrachte dasselbe Ergebnis wie "admin users". Dadurch kann ich mit dem richtigen Login auf mein Share zugreifen und von dort aus als root tun was ich möchte. Einziger Unterschied zu vorher ist, dass ich nicht global als Nutzer "patthemav" mit root-Rechten agiere, sondern ausserhalb meiner Share immer nur als dieser User unterwegs bin. Da patthemav aber in der Gruppe wheel ist und in der Mirror-Freigabe alle Dateien und Verzeichnisse der Gruppe wheel gehören, kann ich auch dort administrieren.

Nur wundersamerweise sind jetzt im Mirror-Share alle Verzeichnisse bis auf ein einziges nicht mehr zugreifbar von den 9x-Maschinen, angeblich, weil die nicht existieren würden *grml*
 

ShitHappens

FreeBSD Pseudo :-)
Bekomme keine Admin-Rechte, trotz des vorgehens wie im Howto beschrieben.
Wie bekomme ich nun einen User der Admin-Rechte auf den Windows Maschinen hat?

Gruß ShitHappens
 

cat1510

Well-Known Member
Hacke mal sowas wie:

[root@gateway]~# net groupmap list
System Operators (S-1-5-32-549) -> -1
Replicators (S-1-5-32-552) -> -1
Guests (S-1-5-32-546) -> -1
Domain Admins (S-1-5-21-1316184650-2293671003-2832008326-512) -> smb-admin
Domain Guests (S-1-5-21-1316184650-2293671003-2832008326-514) -> -1
Power Users (S-1-5-32-547) -> -1
Print Operators (S-1-5-32-550) -> -1
Administrators (S-1-5-32-544) -> -1
Account Operators (S-1-5-32-548) -> -1
Domain Users (S-1-5-21-1316184650-2293671003-2832008326-513) -> smb-user
Backup Operators (S-1-5-32-551) -> -1
Users (S-1-5-32-545) -> -1

Achso um das so zu setzen musst du sowas wie:

net groupmap modify ntgroup="Domain Users" unixgroup=smb-user
net groupmap modify ntgroup="Domain Admins" unixgroup=smb-admin

tippen.

Dann siehste auch, dass Domain Admins nach smb-admin gemappt sind.
Wenn Du als User in der Gruppe smb-admin bist wirst von Win als Admin erkannt...


CAT
 

ShitHappens

FreeBSD Pseudo :-)
@cat1510:
Hab das jetzt mal so gemacht, aber leider ohne Erfolg. Hab einen User in smb-admin Gruppe eingetragen, aber unter Windows hab ich dann mit dem User leider immer noch keine Admin Rechte, kann nicht mal irgendwelche Software installieren oder weglöschen

Gruß ShitHappens
 
Oben