Zum Samba Howto

[Aleister]

Hallo,

Klasse Howto, danke!
Ich eröffne mal einen Fragenthread damit das Howto nicht zerrissen wird.

Da ich meine alte Debiankiste auf der mein Heimnetz mit Samba/DHCP/NIS/NFS etc läuft gerade ersetzen will, kam dieses Howto goldrichtig.

Fragen von mir:

Ich habe zwei SCSI Platten a 4,3 GB im Server. Unter Linux war es sinnvoll die Aufteilung des Swap vorzunehmen und auch bestimmte Verzeichnisse und diese dann auf den Platten (2) zu verteilen. Ist das unter FreeBSD auch anzuraten und wenn ja, wie?

Da ich grösstenteils unter Linux arbeitete (soll jetzt komplett durch FreeBSD ersetzt werden) hatte ich NIS auf meinem Sambaserver installiert da ich mal am Notebook mal an meiner WS bin. Samba hatte ich mit den NIS Passwörtern synchronisieren lassen. Da ich mittlerweile weiss, das NIS unter FreeBSD etwas anders läuft als unter LInux, auf was sollte man ausweichen - LDAP? Geht dort auch Synchronisierung der Passwörter?

 

[Aleister]

Hi

beim durchlesen ist mir unter Abschnitt 6 "FreeBSD up to date halten" noch eingefallen, das man Sendmail noch durch folgenden Schalter in der /etc/make.conf entfernen könnte.

NO_SENDMAIL= true # do not build sendmail and related programs

Danach neubauen aus den Sourcen.

Das gleiche könnte man noch mit anderen Diensten machen. Ich hoffe das ich make.conf in sofern richtig verstanden habe. Ansonsten bitte um Korrektur von den altgedienten FreeBSD´lern.

 

[srowlain]

thx4how-to und gleich ne frage

hi out there,
erstmal die tollsten komplimente und danksagungen
an highfish, der sich all die mühe gemacht hat, für
einsteiger wie mich

nun, (wen wunderts?) läuft nicht alles wie es soll

wahrscheinlich mein verschulden, bin aber sehr sorgfältig
und auch nochmal alles durchgegangen und kontrolliert.

folgendes Problem:
mein XP-rechner will sich nicht an der dömane anmelden

fehlermeldung: Zugriff verweigert

das kann ich soweit ausschliessen, da auf dem server 2
accounts liegen mit denen man der domäne beitreten können müsste. sprich -> sind samba bekannt, sind in der richtigen gruppe und die pw stimmen auch

ich hänge mal die conf-dateien die wichtig sind dran
(hoffe es sind alle benötigten)

wahrscheinlich liegt der fehler im details und ich seh den wald vor bäumen nicht

also entschuldigung und vielen dank im voraus
peace srowlain

 

[Tulkas]

@Aleister

Aleister schrieb:
[...] das man Sendmail noch durch folgenden Schalter in der /etc/make.conf entfernen könnte

Das stimmt so nicht ganz. Man kann FreeBSD damit daran hindern, neue Binaries (in diesem Fall von Sendmail) zu kompilieren und zu installieren. Die alten Binaries sind jedoch immer noch vorhanden und würden auch wieder benutzt, wenn man die entsprechenden Schalter in den entsprechenden Konfigs setzte. (Hier: in der /etc/rc.conf SENDMAIL="YES" oder "NO" )


Gruß
Tulkas

 

[srowlain]

datei-anhang verschollen

auf dem weg sind die confs abgesprungen...
hab sie nochmal drangetackert

 

[Tomonage]

Die alten Binaries sind jedoch immer noch vorhanden und würden auch wieder benutzt, wenn man die entsprechenden Schalter in den entsprechenden Konfigs setzte. (Hier: in der /etc/rc.conf SENDMAIL="YES" oder "NO" )

Das stimmt so nciht ganz, man braucht :

sendmail_enable="NONE"

in der rc.conf, sendmail_enable="NO" startet immernoch sendmaildienste (ich weiss jetzt nicht mehr aus dem Kopfe welche, sendmail laeuft ja als MTA und um local die mailboxen zu fuellen...).

Ich hatte mal in der FreeBSD-mailingliste gelesen, dass das "NONE" veraltet ist und bald nciht mehr unterstueztzt wird. Was man stattdessen nehmen soll, habe ich nicht mehr im kopf, aber im prinzip schaltete man alle einzelnen sendmail-processe ab.

ich glaube es war :

# Settings for /etc/rc.sendmail:
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"

 

[Tomonage]

ich habs gefunden in man rc.sendmail:

sendmail_enable
(str) If set to ``YES'', run the sendmail(8) daemon at system boot time. If set to ``NO'', do not run a sendmail(8) daemon to listen for incoming network mail. This does not preclude a sendmail(8) daemon listening on the SMTP port of the lopback
interface. The ``NONE'' option is deprecated and should not be used. It will be removed in a future release.

 

[Tulkas]

@Tomonage

Tomonage schrieb
Das stimmt so nciht ganz [...]

... eigentlich stimmt das doch...
Lies meinen obigen Post nochmal durch. (mein Satzbau ist manchmal etwas schwierig... ) Im Wesentlichen meinte ich, wenn diese Variable (sendmail_enable) in der rc.conf auf "YES" oder auf "NO" steht, dann werden die Binaries weiterbenutzt...

Gruß
Tulkas

 

[Tomonage]

ok, die alten binaries werden weiter benutzt, da hast du recht. aber mit =NO wird sendmail nicht komplett abgestellt, das ist das was ich addieren wollte :-)

also haben wir beide recht....

 

[karme]

@Highfish,
erstmal danke für Dein howto, ist echt klasse, hätte ich eher haben sollen...

Bin nach dem howto vorgegangen und habe nach dem Kernel kompilieren ein paar Probs:
Nachdem ich den Kernel mit den beschriebenen Modifikationen kompiliert habe geht ein ping ins Internet nicht mehr:
cannot resolve ...: Host name lookup failure
und mit ssh komm ich nicht mehr auf den Rechner, da kommt ein
"connection timeout error" (verwende putty)
Wenn ich den Generic boote ist alles ok - fehlt da was, ist da was falsch???
Was ich nicht drin habe ist enable_sse und sse_hack, da ich ein P2-350Mhz habe, denke ich, brauche ich das nicht.

Woran kann das liegen??

 

[mroscic]

Hallo karme

Hast Du in der ipfwrules den richtigen DNS eingetragen und das richtige Interface gesetzt?

Gruss mroscic

 

[karme]

Hallo mroscic,

also mein Interface ist eine Realtek 8139 sagt dmesg und ich habe rl0 eingetragen.
Als DNS habe ich den eingetragen, den ich auch bei der Installation eingetragen habe - sollte eigentlich richtig sein?

Grüße karme

 

[karme]

nun hab ich erstmal in der /etc/rc.conf folgendes geändert:

firewall_script="/etc/rc.firewall"
firewall_type="OPEN"

so geht es, sobald ich aber jetzt den firewalltype auf /etc/ipfwrules ändere geht es nicht mehr - scheint also hier das Problem zu liegen.

 

[Spaceelk]

also karme,
wenn eine ipfw open dazu fuehrt das dein samba funktioniert muss du dir die frage stellen wieso es mit firewall nicht funktioniert. was tut man also ?
einen tcpdump anschmeissen und nach dem host der die connection aufbauen moechte grep-en, oder eben man tcpdump lesen und dort schauen wie man den tcpdump auf einen host beschraenkt. nun baust du waehrend der tcpdump laeuft (und die ipfw OPEN ist) eine connection auf und schaust welche ports und protokolle bei der windowsanmeldung verwendet werden....

z.b.
tcpdump host <ipvomxprechner> (and not port [falls dein dump schon ohne verbindung massig connections ausgibt musst du es eben bischen einschraenken.] <nummer>)

ich habe fuer dieses beispiel folgendes gemacht weil meine exceed connection sonst mit ihren xzugriffen alles vollgespammt haette und das ganze nicht uebersichtlich waere.

tcpdump host <windowsrechnerip> and not port 1039 and not port 6000

bei einem windows zugriff auf eine samba freigabe ergibt das z.b.
12:04:49.194946 boron.netbios-ssn > pcmarc.3466: P 14153:14333(180) ack 5540 win 58400 NBT Packet (DF)
12:04:49.195195 pcmarc.3466 > boron.netbios-ssn: P 5540:5585(45) ack 14333 win 65227 NBT Packet (DF)
12:04:49.195246 boron.netbios-ssn > pcmarc.3466: P 14333:14372(39) ack 5585 win 58400 NBT Packet (DF)
12:04:49.402627 pcmarc.3466 > boron.netbios-ssn: . ack 14372 win 65188 (DF)

ein blick in /etc/services und suche nach z.b. netbios-ssn wird dir den port anzeigen. wie gesagt bei der anmeldung sind das ein paar mehr ports. (3?)

jetzt baust du dir eben fuer die benoetigten ports und protokolle regeln fuer deine ipfw...

ala ...
ipfw add allow udp from <host1> to <host2> 135-139

nun kannst du die ipfw neustarten und testen ob es nun funktioniert.

Sorry das ich dir ned einfach die regeln paste aber ich denke es bringt dir mehr derlei sachen in zukunft selber debuggen zu koennen.. also schmeiss den tcpdump an und erlebe unixpower

greets,
elk

 

[karme]

Mal eine neue Frage:
Habe ein paar userkonten kopiert und bin da jetzt in feine Probs reingelaufen.

1. Wie ist die komplette Zugriffsberechtigung auf die home-verzeichnisse?

2. WIe kann ich mir diese anzeigen lassen, mit ls -l werden mir die keine suid, guid ... angezeigt

 

[Ice]

Original geschrieben von karme
2. WIe kann ich mir diese anzeigen lassen, mit ls -l werden mir die keine suid, guid ... angezeigt

Hähh, wie das denn???????? Also bei mir geht das!

 

[Ice]

Ganz einfach wärez.B.

[homes]
comment = "User Home / persoenliches Verzeichnis"
read only = No
force create mode = 0700
force directory mode = 0700
browseable = No

drwx------ 39 user gruppe 3072 Mar 4 08:35 user

Gruß,

Ice

 

[karme]

keine Ahnung aber ich habe gelernt das die passwd und auch die home-verzeichnisse solche bits haben und diese sehe ich nicht

 

[codephreaker]

@aleister

festplatten:
grundsätzlich immer zu empfehlen die platten aufzuteilen, wie du sie aber aufteilst, hängt davon ab was du konkret machen willst.

ldap:
kann Kombination FreeBSD 5.2/Samba/LDAP empfehlen;

dank pam_ldap und nss_ldap is das sowohl für windows (domain) als auch Unix ziemlich entspannend.

gute lektüre in diesem zusammenhang ist das smb-ldap-howto:

http://www.unav.es/cti/ldap-smb-howto.html

 

[Highfish]

ein fragenthread zu meinem howto. den hatte ich bis jetzt noch gar nie bemerkt. ich war wohl in letzter zeit ein bisschen zu wenig im forum unterwegs.

nochmals zu den festplatten:

ich würde aus den festplatten ein software-raid machen, nur hab ich keinen plan wie das mit dem freebsd-software-raid (vinum?) genau funktioniert.

zu freebsd/samba/ldap:

freebsd/samba/ldap wie funktioniert das genau? ich hab mich nämlich mit freebsd 5.1 und samba/ldap auch mal versucht und bin kläglich gescheitert.

für infos dazu wär ich sehr dankbar.

ich hab übrigens im howto noch ein, zwei schönheitsfehler korrigiert.

highfish

 

[codephreaker]

@highfish

ich koennt ja mal nen howto schreiben

wo scheiterte es denn?

 

[Highfish]

@codephreaker

irgendwie bin ich an der kommunikation von samba und ldap gescheitert.

aber ich habe nun in nem anderen thread von diesem o'reilly ldap buch gelesen. ich glaube ich sollte dort wohl mal n blick reinwerfen, weil ich irgendwie das gefühl habe, dass ich wohl auch wegen mangelnder ldap-kenntnisse gescheitert bin.

 

[codephreaker]

bin auch gerad am zusammentragen von infos über ldap - zwecks flickenteppich howto .... hatte damals auch 2 anläufe gebraucht bis ich das dann am laufen hatte ... son ein zusammengestelltes sammelsurium haette mir damals ein paar kilo koffein erspart

 

[Skarabaeus]

hallo,

ich habe eben mein system neu gebaut auf 4.9-RELEASE-p4 FreeBSD. den portstree habe ich auch aktuallisiert (sonntag nachmittag 17.00Uhr)

jetzt versuche ich samba zu installieren und folgendes passiert:

root@router:/usr/ports/net/samba% make install clean
===>   samba-2.2.8a_1 depends on executable: gmake - found
===>   samba-2.2.8a_1 depends on file: /usr/local/libexec/autoconf213/autoconf - found
===>   samba-2.2.8a_1 depends on file: /usr/local/libexec/libtool13/libtool - found
===>   samba-2.2.8a_1 depends on shared library: popt.0 - found
===>   samba-2.2.8a_1 depends on shared library: cups.2 - not found
===>    Verifying install for cups.2 in /usr/ports/print/cups-base
===>  Building for cups-base-1.1.20.0
/usr/libexec/ld-elf.so.1: Shared object "libintl.so.5" not found
*** Error code 1

Stop in /usr/ports/print/cups-base.
*** Error code 1

Stop in /usr/ports/net/samba.
*** Error code 1

Stop in /usr/ports/net/samba.

Gruß
Stefan.

 

[Ice]

Willst Du über Samba drucken?
Wenn nicht, dann würde ich Samba einfach ohne Cups bauen, dann taucht dieser Fehler schonmal nicht mehr auf.
Um diesen Fehler generell zu beheben, würde ich Dir aber empfehlen zunächst gettext zu aktualisieren (portupgrade) und alle darauf referenzierenden Anwendungen neu zu bauen. Dann tritt auch zukünftig der Fehler mit der libintl nicht mehr auf.

Gruß,

Ice