• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

Kriege Samba-Konfiguration nicht hin

cabriofahrer

Well-Known Member
Themenstarter #1
Ich möchte einen Samba-Server aufsetzen und habe schon wichtige Schritte erfolgreich erledigt, aber der Windows-Client meldet beim Login letztendlich, dass keine Rechte bestünden, was ich aufgrund der erstellten smb4.conf nicht verstehe.
Also hier esrtmal, was bereits geschehen ist:

pkg install samba410

tunefs -a für ACLs, wenn man UFS hat, wie in /usr/local/share/doc/samba410/README.FreeBSD vorausgesetzt.

samba-tool domain provision

Das samba-tool gab mir dann folgende /usr/local/etc/smb4.conf

Code:
$ more /usr/local/etc/smb4.conf
# Global parameters
[global]
        dns forwarder = 192.168.1.1
        netbios name = ELVIS69
        passdb backend = samba_dsdb
        realm = ELVIS69.LOCAL
        workgroup = WORKGROUP
die ich dann wie folgt ergänzt habe:

Code:
$ more /usr/local/etc/smb4.conf
# Global parameters
[global]
        dns forwarder = 192.168.1.1
        netbios name = ELVIS69
        passdb backend = samba_dsdb
        realm = ELVIS69.LOCAL
        workgroup = WORKGROUP
        security = user
[werner]
        path = /home/werner
        read only = no
        guest ok = yes
$
Außerdem habe ich wie im Handbook steht pdbedit -a werner ausgeführt. Dabei wurde ich aufgefordert, ein neues und gewissen Anforderungen genügendes Passwort einzugeben, weil mein Passwort für diesen vorhandenen UNIX-User offensichtlich nicht gut genug war. Ist das wegen "passdb backend = samba_dsdb"?

Wenn ich also Im Windows-Client die Windows-Taste + R drücke und in die Zeile "\\elvis69" eingebe, erscheint ein Fenster, das zur Eingabe eines Users und eines Passworts auffordert. Wenn ich also "werner" und das in pdbedit -a werner neue Passwort eingebe, wird das akzeptiert, doch dann kommt eine Fehlermeldung, dass Zugriff auf "\\elvis69" nicht gewährt werden kann.

Warum nicht? Warum muss überhaupt ein Passwort eingegeben werden, wenn ich den Eintrag guest ok = yes habe?
 

CommanderZed

OpenBSD User
Mitarbeiter
#2
Wenn ich das nicht völlig falsch sehe versuchst du hier ja (Siehe deinen vorherigen Thread) keinen einfachen Samba-Server mit 2,3 Dateifreigaben sondern einen AD-Domain-Controller aufzusetzen.

Daher ja auch die Passwortanforderungen e.t.c.

Dann musst du dich aber auch an der Domäne anmelden und nicht nur den Benutzernamen angeben, oder sehe ich das falsch?

Wenn ich das nicht völlig falsch sehe müsstest du hier "ELVIS69.LOCAL\werner" als Benutzername verwenden, und zusätzlich noch das DNS entsprechend konfiguriert haben.

/edit: Das DNS am Server und vor allem auch am Client,
 

medV2

Well-Known Member
#3
Puh zum ersten fällt mir ein: Du nutzt samba_dsdb - das ist mE für samba AD Auth, es sieht jetzt aber nicht danach aus, als würdest du das verwenden. Weiters gibst du eine Workgroup an und keine Domain. Das kann denke ich so nicht passen.
Ob pdbedit dann korrekt in die richtige DB schreibt kann ich dir auch nicht sagen.
Am besten du erklärst mal was du genau versuchst du machen :).

Dann beim Zugriff ist der Share \\elvis69\werner nicht nur \\elvis69
 

CommanderZed

OpenBSD User
Mitarbeiter
#4
Noch als ergänzung: Wenn du AD-Authentifizierung machst, muss dein Windows-Client auf jedenfall mind. die "Pro" Version haben, da Home sich nicht gegen ein AD Authentifizieren lässt.
 

cabriofahrer

Well-Known Member
Themenstarter #6
Vielen Dank erstmal für Eure Antworten.

Wenn ich das nicht völlig falsch sehe versuchst du hier ja (Siehe deinen vorherigen Thread) keinen einfachen Samba-Server mit 2,3 Dateifreigaben sondern einen AD-Domain-Controller aufzusetzen.
Am besten du erklärst mal was du genau versuchst du machen :).
Leider ist mein voriger Thread und die versuchte Herangehensweise missverständlich. Das Problem war/ist, dass die neue Version von samba keine Beispiel-Konfigurationsdatei mitbringt und ich aufgrund der Readme davon ausgegangen bin, dass das samba-tool der notwendige und einfachste Weg sei, die smb4.conf automatisch zu erstellen. Das scheint sich mittlerweile als irrtümlich herauszustellen.

Ich will also einen einfachen Samba-Server, auf dem Windows Home Clients sich anmelden können (mit und ohne Passwort, also zwei verschiedene Shares, denke ich?), AD muss also nicht sein.

Welches wäre dann also die minimale smb.conf, vor allem für den Abschnitt [global]? Was für mich auch konfus ist, sind Informationen im Internet, dass "read only = no" und "writable = yes" Synonyme seien, und mir dann auch nicht klar ist, wo dann z.B. der Unterschied zu "browsable = yes" liegt, usw.
 

medV2

Well-Known Member
#7
Hier mal meine smb.conf, die macht denke ich was du willst - ist aber auch etwas verändert:

Code:
[global]

bind interfaces only = yes
interfaces = 192.168.0.128


workgroup = MYGROUP
server string = Samba Server

security = user
hosts allow = 192.168.0.4, 192.168.0.3

log file = /var/log/samba/log.%m
max log size = 50

interfaces = re0
bind interfaces only = yes
Denke das meiste ist selbsterklärend, hosts allow kannst du z.b. weglassen wenn du keine Einschränkungen brauchst. Ansonsten IPs und Interface ändern, Pfade sollten für BSD passen.


Ein Share würde so aussehen:

Code:
[share]
path=/data/smb/SHAREDFOLDER/
valid users = user1,user2
public = no
writeable = yes
user1 und user2 müssen dann noch über smbpasswd zur Sambadb hinzugefügt werden. Auch müssen die Rechte auf dem Share für die User passen.

Anstatt valid users gibt es auch valid groups.
browsable heißt, der share wird angezeigt wenn man nur \\smbserver eingibt und nicht \\smbserver\share. Browsable kann aber mit den Windowsversionen auch etwas tricky sein.
 

CommanderZed

OpenBSD User
Mitarbeiter
#8
Zu den Share-Fragen:

read only = no <- Es darf auch in den Share geschrieben werden
writeable = yes <- Es darf auch in den Share geschrieben werden
browseable = yes <- der share wird angezeigt und ist nicht nur über \\server\share erreichbar sondern wird auch unter \\server in der "Übersicht" z.B. angezeigt - nützlich bei größeren Servern bei denen nicht alle user wissen sollen was es so für shares gibt - z.b. wenn der Name eines Projekts und dessen Share schon etwas verraten könnte

Eine gute Doku gibts eigentlich direkt vom Samba-Projekt, zur smb.conf z.B.
https://www.samba.org/samba/docs/current/man-html/smb.conf.5.html

Eine einfache conf, sollte für alles "daheim" ausreichen, ich habe auch server für ein paar dutzend Benutzer wo das ausreicht:

Code:
[global]
workgroup = workgroup
security = user

[share1]
comment = share1
path = /mnt/daten/share1
read only = no
browseable = yes
valid users = @users,zed
create mode = 0770
directory mode = 0770
force group = users
(Achtung, evtl. Tippfehler)

Die Workgroup kann man angeben, macht das "finden" des Servers leichter wenn man nach ihm browst und sollte dann bei allen Rechnern gleich sein - ist aber nicht unbedingt nötig wenn man einfach über \\servername drauf zugreift

valid users = @users,zed <-erlaubte Benutzer, gruppen mit @

Folgender Teil ist angeblich nicht immer nötig, aber bei mir klappts nur so mit den rechten richtig
create mode = 0770 <- Mit welchen rechten werden neue dateien erstellt
directory mode = 0770 <- Mit welchen rechten werden neue Ordner erstellt
force group = users <- Gruppenname mit dem neuen Dateien / Ordner erstellt werden

/edit kleine ergänzung mit:
read only = yes
und write list = zed

kannst du shares erstellen die nur von bestimmten Benutzern verändert werden dürfen, aber von den anderen (valid users) gelesen werden dürfen, im Privatbereich u.U. auch nützlich
 

CommanderZed

OpenBSD User
Mitarbeiter
#9
Und leider noch etwas was mir jetzt erst hinterher eingefallen ist, ich mag solche Doppelposts eigentlich auch nicht:

Du musst glaub ich nach dem starten des Sambas mit o.G. konfiguration mit

smbpasswd -a username

als root (username = name des Benutzers) den Benutzer im Samba bekanntmachen und ein Kennwort deiner Wahl vergeben.
 

cabriofahrer

Well-Known Member
Themenstarter #10
Versuch mal
Code:
map to guest = Bad User
in der [global] -sektion
Volltreffer! Durch Hinzufügen dieser Zeile klappt es jetzt mit Windows-Taste + R drücken und in die Zeile "\\elvis69" eingeben. Nach erscheinen des Fensters, das zur Eingabe eines Users und eines Passworts auffordert, öffnet sich der Windows Explorer und zeigt ein Ordner-Symbol mit Leitungen namens "werner" an. Pfad ist Netzwerk -> elvis69 -> werner und bleibt nach jedem Neustart bestehen, soweit samba auf der anderen Maschine auch läuft. Nochmalige Eingabe des Passworts ist beim zweiten Mal dann nicht mehr erforderlich.

Puh zum ersten fällt mir ein: Du nutzt samba_dsdb - das ist mE für samba AD Auth, es sieht jetzt aber nicht danach aus, als würdest du das verwenden. Weiters gibst du eine Workgroup an und keine Domain. Das kann denke ich so nicht passen.
Es erscheint nach dem Start von samba folgende Meldung: elvis69 nmdb[994]: Samba name server ELVIS69 is now a local master browser for workgroup WORKGROUP on subnet 192.168.1.55 (ist die IP des Laptops auf dem samba läuft).

Was bedeutet das genau? Es scheint so zu sein, wie Du sagst, ich gebe eine Workgroup an und keine Domain. Für mich gibt es da noch ein paar Unklarheiten: Beim Ausführen von samba-tool hat das Auswählen der Option "dc" letztendlich zu einer Fehlermeldung geführt. Samba verweigerte mit der dadurch erstellten smd4.conf danach tatsächlich auch den Start. Als ich hingegen beim nächsten Versuch "standalone" angab, klappte es.

Ich nehme mal an, der Fehler im Zusammenhang mit "dc" hatte etwas mit den von mir ausgewählten Bezeichnungen zu tun, ausgehend von "elvis69.local" als "REALM". Das wird für "standalone" wohl akzeptiert, aber mit "dc" gibt es da wohl Probleme.
Könnte man mal kurz erläutern, wie man einen Domain Controller richtig bezeichnen würde, wenn der Hostname der Maschine "elvis69.local" (mit avahi funzt das im Zusammenhang mit mdns/zeroconf wunderbar für die Namensauflösung in einem kleinen Neztwerk) ist? In diesem Zusammenhang auch gefragt: Braucht ein Domaincontroller unbedingt BIND oder würde eben auch mdsn/zeroconf mit .local gehen?

Weiterer Punkt: Bevor ich nicht die ACLs für UFS aktiviert hatte, gab samba-tool ebenfalls eine Fehlermeldung. Was bedeutet das jetzt also allgemein? Wenn man eine smb4.conf manuell erstellt, kann man ACLs umgehen, bzw. braucht man die nicht?
 

CommanderZed

OpenBSD User
Mitarbeiter
#11
Die viel spannendere Frage ist, warum du einen Domaincontroller möchtest?

Ich will dir hier nicht zu nahe treten, aber weißt du was das ist und wofür man den genau verwendet?
 

Nonpareille

Well-Known Member
#12
Poste doch bitte mal die Ausgabe von testparm.
Und bitte beachten: durch die von mir genannte Option wird jeder dem Server nicht bekannte Nutzer als guest behandelt - sprich, es kann sich jetzt jeder an deinem System anmelden - also bitte dauerhaft nur in einem Netz verwenden, wo dir alle user bekannt sind (und zugreifen dürfen).
 

Lance

Well-Known Member
#13
Nur mal so am Rande, warum nimnst du nicht FreeNAS? Das bekam sogar ich (auch mit samba) konfiguriert ohne eine einzige Frage hier zu stellen, soweit ich erinnere.
 

CommanderZed

OpenBSD User
Mitarbeiter
#14
Nur mal so am Rande, warum nimnst du nicht FreeNAS? Das bekam sogar ich (auch mit samba) konfiguriert ohne eine einzige Frage hier zu stellen, soweit ich erinnere.
Lasst doch bitte mal diese völlig bescheurten vorschläge ala "Warum nimmst du nicht xyz" wenn es sich nicht ganz massiv (!) aufdrängt.

In nem Gartenbauforum würdet ihr auch jemanden der nen Apfelbaum pflanzen möchte und dazu eine nachvollziebare Frage hat, vorschlagen doch lieber Johannesbeeren zu nehmen?

Irgendwo da oben steht auch das der cabriofahrer das nebenzu auf nem Notebook laufen lassen möchte, ich hab gehört das FreeNAS dafür nicht so ganz das richtige ist.

/edit PS Warum Freenas? Man könnte auch genauso nen Windows 2016 nehmen
 

cabriofahrer

Well-Known Member
Themenstarter #16
Die viel spannendere Frage ist, warum du einen Domaincontroller möchtest?

Ich will dir hier nicht zu nahe treten, aber weißt du was das ist und wofür man den genau verwendet?
Windows Pro Versionen können Mitglieder einer Domain werden. Das ermöglicht die Organisierung größerer Netzwerke mit unterschiedlichen Gruppen und Policies, Zugriffsrechten, etc. Ähnliches lässt sich mit FreeBSD/Linux z.B. mit NIS erreichen, vorausgesetzt man hat nur FreeBSD/Linux-Maschinen.

Wenn er wirklich einen AD Aufsetzen möchte würde ich sogar mit nachdruck den Windows Server empfehlen :D
Kostenpunkt: Fast 2000 €, richtig?^^

Irgendwo da oben steht auch das der cabriofahrer das nebenzu auf nem Notebook laufen lassen möchte, ich hab gehört das FreeNAS dafür nicht so ganz das richtige ist.
Richtig, denn das Notebook soll seinen ursprünglichen Zwech auch weiterhin erfüllen. Es dient im Moment zum Erlernen von samba, bevor ich es auf einem anderen Rechner dann ganz unkompliziert aufsetzen will. Abgesehen davon kann man mit FreeBSD eben (fast) ALLES machen, wenn man nur weiß, wie. Dafür sind wir hier.

So, jetzt zurück zum eigentlichen Thema:

Poste doch bitte mal die Ausgabe von testparm.
Code:
root@elvis69:/usr/home/werner # service samba_server onestart
Performing sanity check on Samba configuration: OK
Starting nmbd.
Starting smbd.
Starting winbindd.
root@elvis69:/usr/home/werner # testparm /usr/local/etc/smb4.conf
Load smb config files from /usr/local/etc/smb4.conf
Loaded services file OK.
Server role: ROLE_STANDALONE

Press enter to see a dump of your service definitions

# Global parameters
[global]
    dns forwarder = 192.168.1.1
    map to guest = Bad User
    passdb backend = samba_dsdb
    realm = ELVIS69.LOCAL
    security = USER
    idmap config * : backend = tdb


[werner]
    guest ok = Yes
    path = /home/werner
    read only = No
root@elvis69:/usr/home/werner # testparm /usr/local/etc/smb4.conf elvis69.local 192.168.1.55
Load smb config files from /usr/local/etc/smb4.conf
Loaded services file OK.
Server role: ROLE_STANDALONE

Allow connection from elvis69.local (192.168.1.55) to werner
root@elvis69:/usr/home/werner #
 

medV2

Well-Known Member
#17
Windows Pro Versionen können Mitglieder einer Domain werden. Das ermöglicht die Organisierung größerer Netzwerke mit unterschiedlichen Gruppen und Policies, Zugriffsrechten, etc. Ähnliches lässt sich mit FreeBSD/Linux z.B. mit NIS erreichen, vorausgesetzt man hat nur FreeBSD/Linux-Maschinen.



Kostenpunkt: Fast 2000 €, richtig?^^



Richtig, denn das Notebook soll seinen ursprünglichen Zwech auch weiterhin erfüllen. Es dient im Moment zum Erlernen von samba, bevor ich es auf einem anderen Rechner dann ganz unkompliziert aufsetzen will. Abgesehen davon kann man mit FreeBSD eben (fast) ALLES machen, wenn man nur weiß, wie. Dafür sind wir hier.

So, jetzt zurück zum eigentlichen Thema:



Code:
root@elvis69:/usr/home/werner # service samba_server onestart
Performing sanity check on Samba configuration: OK
Starting nmbd.
Starting smbd.
Starting winbindd.
root@elvis69:/usr/home/werner # testparm /usr/local/etc/smb4.conf
Load smb config files from /usr/local/etc/smb4.conf
Loaded services file OK.
Server role: ROLE_STANDALONE

Press enter to see a dump of your service definitions

# Global parameters
[global]
    dns forwarder = 192.168.1.1
    map to guest = Bad User
    passdb backend = samba_dsdb
    realm = ELVIS69.LOCAL
    security = USER
    idmap config * : backend = tdb


[werner]
    guest ok = Yes
    path = /home/werner
    read only = No
root@elvis69:/usr/home/werner # testparm /usr/local/etc/smb4.conf elvis69.local 192.168.1.55
Load smb config files from /usr/local/etc/smb4.conf
Loaded services file OK.
Server role: ROLE_STANDALONE

Allow connection from elvis69.local (192.168.1.55) to werner
root@elvis69:/usr/home/werner #

Dann sieht doch alles ganz gut aus oder? Oder klappt noch etwas nicht?

Zu den Fragen oben: Denke DNS ist nicht zwingend erforderlich, der Windows-PC findet ja auch den Server, von daher. Kommt aber auch drauf an, was du vom AD willst, spätestens wenn du Hosts verwalten und Richtlinen auf Hosts anwenden willst kommst du über einen DNS denke ich nicht herum.

Die Option DC ist soweit ich das in Erinnerung habe wenn du einem AD joinen willst - als Client oder Slave, nicht aber wenn du selbst der Masterserver sein willst.

Meine Erfahrungen mit Samba und AD sind aber ausschließlich unter Linux und da gibts noch ein paar andere Tools mit Zwischenschichten, weshalb das hier alles mit Vorsicht zu genießen ist.

Prinzipiell wenn du nur Gruppenverwaltung willst, gibt es einfachere Dienste wie NIS oder LDAP - AD ist halt der komplette Overkill, ich wills dir nicht schlecht reden, bin vielleicht nur etwas geschädigt durch die Arbeit was das betrifft :D.
Und die 2000 Euro für den Windowsserver (der genaue Preis richtet sich idr. nach den Clients) kommen dir wie ein Schnäppchen vor, wenn du deine Arbeitszeit rechnest.
 

Nonpareille

Well-Known Member
#18
Muss zugeben, dass ich etwas irritiert bin, denn es fehlen einige Einträge, die ich erwartet habe.
Frage:
1. root@elvis69:/usr/home/werner # testparm /usr/local/etc/smb4.conf
das "/usr/local/etc/smb4.conf" nach testparm - stammt das von Dir oder hat testparm das angehängt? Wenn von Dir dann bitte testparm nochmal ohne zusätzliche Parameter.
2. Wenn Du map to guest = Bad User durch map to guest = Bad Password ersetzt, kannst Du dann immer noch auf den Share zugreifen?
 

cabriofahrer

Well-Known Member
Themenstarter #19
Muss zugeben, dass ich etwas irritiert bin, denn es fehlen einige Einträge, die ich erwartet habe.
Frage:
1. root@elvis69:/usr/home/werner # testparm /usr/local/etc/smb4.conf
das "/usr/local/etc/smb4.conf" nach testparm - stammt das von Dir oder hat testparm das angehängt? Wenn von Dir dann bitte testparm nochmal ohne zusätzliche Parameter.
2. Wenn Du map to guest = Bad User durch map to guest = Bad Password ersetzt, kannst Du dann immer noch auf den Share zugreifen?
Zu 1: Stammt von mir, also hier gerne nochmal (nur testparm):

Code:
$ testparm
Load smb config files from /usr/local/etc/smb4.conf
Loaded services file OK.
Server role: ROLE_STANDALONE

Press enter to see a dump of your service definitions

# Global parameters
[global]
    dns forwarder = 192.168.1.1
    map to guest = Bad Password
    passdb backend = samba_dsdb
    realm = ELVIS69.LOCAL
    security = USER
    idmap config * : backend = tdb


[werner]
    guest ok = Yes
    path = /home/werner
    read only = No
$
Zu 2: Ja, wenn ich das so ändere, wie Du sagst, kann ich immernoch zugreifen. Warum fragst Du das/was bedeutet das jetzt?

Dann sieht doch alles ganz gut aus oder? Oder klappt noch etwas nicht?
Ja, tut es, es klappt auch.

Prinzipiell wenn du nur Gruppenverwaltung willst, gibt es einfachere Dienste wie NIS oder LDAP - AD ist halt der komplette Overkill, ich wills dir nicht schlecht reden, bin vielleicht nur etwas geschädigt durch die Arbeit was das betrifft
NIS gefällt mir. Ist im Hanbook auch schön beschrieben und obendrein noch Teil des Basissystems. Aber ich nehme an, Windows Home Maschinen, oder generell Windows Maschinen können nichts damit anfangen, oder? M.E. kann Windows kein NIS Client sein, oder? Gleiches gilt wohl auch für LDAP, zumindest für Windows Home Versionen, wenn ich das richtig sehe.
 

Nonpareille

Well-Known Member
#20
Mit "Bad User" wird jeder der sich anmeldet auf den guest umgeleitet, wenn kein passender user/password Eintrag vorhanden ist.
Mit "Bad Password" nur noch der, der als Benutzer in der Datenbank steht, aber ein "falsches" Passwort angibt.
Das ohne einen dieser beiden Einträge der guest-account bei dir sowieso nicht greift, ergibt sich aus deinen vorherigen Posts.
Sprich: es deutet daraufhin, dass der Benutzer als solcher existiert (obwohl Du jetzt auf den guest umgeleitet wirst), das Problem also in der Authentifizierung liegt und der Rest der Konfiguration erstmal so bleiben kann wie er ist.
Da muss ich mich jetzt aber selber erst mal schlau machen wie pdbedit funktioniert
 

Nonpareille

Well-Known Member
#21
So mal ein Schuss ins Blaue: als root
Code:
pdbedit -L -v
wird da dein User in der Ausgabe mit aufgeführt?

Wenn nein bitte Mitteilung

Wenn ja bitte die Zeilen "passdb backend" und "map to guest" in der global section sowie "guest ok" bei werner auskommentieren, samba neustarten und den Zugriff aufs Share probieren und mitteilen obs klappt oder nicht.

Hintergrund: pdbedit speichert standardmäßig wohl eher nicht in der oben angegebenen Datenbank samba_dsdb.

Das von commanderZed genannte smbpasswd ist leider keine Alternative wenn Du in Richtung AD gehen willst, sonst würde ich auch dafür plädieren.
 

cabriofahrer

Well-Known Member
Themenstarter #22
wird da dein User in der Ausgabe mit aufgeführt?
Ja, wird er:

Code:
root@elvis69:/usr/home/werner # pdbedit -L -v
---------------
Unix username:        Administrator
NT username:         
Account Flags:        [U          ]
User SID:             S-1-5-21-4259515582-54314359-1828096858-500
Primary Group SID:    S-1-5-21-4259515582-54314359-1828096858-513
Full Name:           
Home Directory:       
HomeDir Drive:        (null)
Logon Script:         
Profile Path:         
Domain:               
Account desc:         Built-in account for administering the computer/domain
Workstations:         
Munged dial:         
Logon time:           0
Logoff time:          0
Kickoff time:         never
Password last set:    Sat, 04 Apr 2020 12:51:56 CEST
Password can change:  Sat, 04 Apr 2020 12:51:56 CEST
Password must change: never
Last bad password   : 0
Bad password count  : 0
Logon hours         : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
---------------
Unix username:        krbtgt
NT username:         
Account Flags:        [DU         ]
User SID:             S-1-5-21-4259515582-54314359-1828096858-502
Primary Group SID:    S-1-5-21-4259515582-54314359-1828096858-513
Full Name:           
Home Directory:       
HomeDir Drive:        (null)
Logon Script:         
Profile Path:         
Domain:               
Account desc:         Key Distribution Center Service Account
Workstations:         
Munged dial:         
Logon time:           0
Logoff time:          0
Kickoff time:         never
Password last set:    Sat, 04 Apr 2020 12:51:56 CEST
Password can change:  Sat, 04 Apr 2020 12:51:56 CEST
Password must change: never
Last bad password   : 0
Bad password count  : 0
Logon hours         : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
---------------
Unix username:        nobody
NT username:         
Account Flags:        [U          ]
User SID:             S-1-5-21-4259515582-54314359-1828096858-501
Primary Group SID:    S-1-22-2-65534
Full Name:            Unprivileged user
Home Directory:       
HomeDir Drive:        (null)
Logon Script:         
Profile Path:         
Domain:               ELVIS69
Account desc:         
Workstations:         
Munged dial:         
Logon time:           0
Logoff time:          never
Kickoff time:         never
Password last set:    0
Password can change:  0
Password must change: 0
Last bad password   : 0
Bad password count  : 0
Logon hours         : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
---------------
Unix username:        werner
NT username:         
Account Flags:        [U          ]
User SID:             S-1-5-21-4259515582-54314359-1828096858-1105
Primary Group SID:    S-1-5-21-4259515582-54314359-1828096858-513
Full Name:           
Home Directory:       
HomeDir Drive:        (null)
Logon Script:         
Profile Path:         
Domain:               
Account desc:         
Workstations:         
Munged dial:         
Logon time:           0
Logoff time:          0
Kickoff time:         never
Password last set:    Sat, 04 Apr 2020 20:43:20 CEST
Password can change:  Sat, 04 Apr 2020 20:43:20 CEST
Password must change: never
Last bad password   : 0
Bad password count  : 0
Logon hours         : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
---------------
Unix username:        ELVIS69$
NT username:         
Account Flags:        [S          ]
User SID:             S-1-5-21-4259515582-54314359-1828096858-1000
Primary Group SID:    S-1-5-21-4259515582-54314359-1828096858-516
Full Name:           
Home Directory:       
HomeDir Drive:        (null)
Logon Script:         
Profile Path:         
Domain:               
Account desc:         
Workstations:         
Munged dial:         
Logon time:           0
Logoff time:          0
Kickoff time:         never
Password last set:    Sat, 04 Apr 2020 12:51:56 CEST
Password can change:  Sat, 04 Apr 2020 12:51:56 CEST
Password must change: never
Last bad password   : 0
Bad password count  : 0
Logon hours         : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
root@elvis69:/usr/home/werner #
Wenn ja bitte die Zeilen "passdb backend" und "map to guest" in der global section sowie "guest ok" bei werner auskommentieren, samba neustarten und den Zugriff aufs Share probieren und mitteilen obs klappt oder nicht.
Klappt jetzt nicht mehr.

pdbedit wird aber auch im Handbook genannt, allerdings im Zusammenhang mit passdb backend = tdbsam. Ich nehme mal an, dass samba_dsdb automatisch von samba-tool gesetzt wird, weil samba-tool offensichtlich für die Einrichtung von AD konzipiert ist, aber anscheinend nicht für die Einrichtung eines einfachen Samba-Servers? Wenn man also nicht unbedingt AD will, muss man oder sollte man besser eine smb4.conf manuell erstellen? Ehrlich gesagt ein bißchen enttäuschend.
 

Nonpareille

Well-Known Member
#23
Ja samba_d(irectory)s(ervice)d(aten)b(ank) ist für AD gedacht.

Schau mal in /usr/local/etc/samba wie die Passwortdatei bei dir heißt und setz die in "passdb backend = " Das wäre jetzt der nächste Versuch. Ist aber eigentlich der Default, der automatisch genommen werden sollte, wenn nichts angegeben ist. Frage wäre jetzt noch ob Werner in der normalen passwd drin steht und ob sein Passwort für Samba und System gleich ist. Sollte bei pdbedit eigentlich nicht mehr notwendig sein, aber manchmal geht es dumm zu.
Hast Du evtl. die Möglichkeit von einem Linux oder BSD aus auf das Share zuzugreifen? Dann probier das bitte mal.
 

cabriofahrer

Well-Known Member
Themenstarter #24
Also ich habe jetzt mal eine smb4.conf völlig neu manuell erstellt mit folgendem Inhalt:

Code:
[global]
workgroup = WORKGROUP
server string = Samba Server
netbios name = Machine
server role = standalone server
#hosts allow = 192.168.1. 192.168.2. 127.
realm = elvis69.local
passdb backend = tdbsam
security = user

[test]
path = /home/test
browsable = yes
read only = no
Mit pdbedit -a test konnte ich Problemlos den neuen User aufnehmen, bei der Passworteingabe wurde wegen Eingabe eines armseligen Passworts nicht gemeckert wie vorher beim Hinzufügen des Users "werner". Weitere interessante Beobachtung: pdbedit -x werner funktionierte gar nicht wie vorher, ich konnte stattdessen mit pdbedit -a werner diesen wieder neu hinzufügen.

Im Windows Home Client dann: \\Machine und Aufforderung zur Eingabe des Users "test" mit Passwort, so wie vorher in pdbedit eingegeben. Der Share "test" erscheint, also alles in Ordnung.
Ich nehme in diesem Zusammenhang mal an, dass der Eintrag "netbios name" äußerst sinnvoll ist, um den Server mit diesem Namen anzusprechen. Fazit: Wenn man kein AD braucht, ist samba-tool wohl eher nicht hilfreich.

Schau mal in /usr/local/etc/samba wie die Passwortdatei bei dir heißt und setz die in "passdb backend = "
Der Pfad existiert bei mir nicht. Hast Du Dich da geirrt?

Trotzdem noch ein paar Fragen: Welchen Vorteil bringt der Eintrag "realm"?

Interessant wäre jetzt noch ein printer share. Ich nehme mal an, der Drucker müsste zuerst auf der FreeBSD Maschine, auf der samba läuft, mittles CUPS eingerichtet werden. Wie lautet dann der Eintrag in der smb4.conf, damit Windows Clients über CUPS dann drucken können?
 

CommanderZed

OpenBSD User
Mitarbeiter
#25
Ich fand das Drucken über Windows -> Samba -> Cups immer sehr frickelig (andere haben hier ggf. eine andere Meinung)

Was wirklich super Stabil läuft ist Windows -> Cups ganz ohne Samba.

Dazu muss man das Cups aber in der Config etwas anpassen und ggf. den "richtigen" zugriff unter Windows nehmen, ich glaube "Internet druck" oder so ähnlich und dann http://cups-ip:631/printers/druckername oder so als Ziel eingeben.

Ich glaube so:

1586252821815.png