Linux – Windows – Samba


Hilfe samba-doc(ev. extra installieren) mit *.reg-Dateien, samba-client, samba
mount -t smb Linux-Samba-mount
Peer-to-Peer nur Workstations, WfW, 9x, ME, NT, 2000, XP, nur 9 Clients
samba-Client geht auch Kernel-intern, keine Freigaben
samba Server, nutzt SMB-Protokoll, Platte, Drucker, Anmeldung usw.
Reihenfolge /etc/ hosts Handeintrag
resolve.conf
host.conf

Windows Broadcast, cache, WINS-Server, lmhosts, hosts
NetBIOS-Name 15 Zeichen + 1 Zeichen Bytewert
Domänen-Namen=Arbeitsgruppe


logrotate

/etc/crontab über cron-Tabelle
/etc/crond/
/etc/crondaily/
/etc/*logrotate macht alles mit logs, speichern, archivieren, löschen
/etc/logrotate.d/samba
/var/log/messages-*


Samba-Server für Windows-Clients

/etc/init.d/nmb start NetBIOS over IP, Namensauflösungen, cache, browsen
/etc/init.d/smdb start Freigaben
Konfigurations-Dateien /etc/samba, updates haben immer die gleichen Pfade
/etc/samba/smb.conf KonfigurationsDatei
[global]
workgroup = firma MinimumEintrag, Domain / Arbeitsgruppe
netbios name = Name sonst Linux-Name
security = share innerhalb Freigaben, jede Freigabe 1 Authentifizierung
wins support = yes ich bin WINS-Server, nur 1 im Netzwerk, oder:
# wins server = 10.0.0.10 fremden WINS-Server angeben, auskommentiert
preferred master = yes ChefServer(beim Hochfahren, Neuwahl, bis Router)
os level = 255 Max.,(Standard ist 20, erhöht das Selbstvertrauen)
local master = no Standard=yes, lokaler Masterbrowser(bis zum Router)
domain master = no Domaincontroller für workgroup, nur 1 im Netzwerk
server string = samba 2.2 Kommentar
[install] suchen nach \\Servername\Freigabename-install
path = /opt/install
read only = yes geht auch writeable = no
public = yes alle dürfen lesen, auch guest ok=yes, lokal=Rechte
create mask = 0744 -rwxrw-rw- StandardRechte bei neuen Dateien(Mist1)
directory mask = 0777 Maske (Mist2), besser:
force create mode = 0770 erzwingt Rechte an neu angelegten Dateien
force directory mode = 0770 an Verzeichnissen, force=Mindestrechte
force group = mitarbeiter dieser Rechner hat diese Gruppe in passwd
server string = Samba oder doch NT?
Interfaces = 192.168.6.150/255.255.255.0 nur dieses Netzwerk darf SMB + NMB
log level = 9 max. viel Meldungen in den /var/log/samba/log.*
[FreigabeName]
available = no Verfügbarkeit abschalten(Standard=yes)
max log size = 5000 Standard in Kbyte
log file = /usr/local/samba/var/log.%m UserÜberwachung
[geheim$] versteckte Freigabe(linux sieht es trotzdem)
path = /opt/pub/upload
writable = yes
public = yes kein valid users möglich
browsable = no jetzt ist's Versteckt(auch für Windows)
 


Samba Directory mode - Rechte

create mask 0777 0xxx 0xxx
directory mask 0775 0750 0000
--max-- ------ ------ ------
effektive Rechte 0775 0750 0000
effektive Rechte 0775 0750 0000
force directory mask 0750 0770 0770
--addiere maximum-- ------ ------ ------
Rechte für Samba 0775 0770 0770
Ich muß wissen, welche Rechte ich brauche und kann dann rückwärts "force directory mode" und danach "directory mask" setzen. Das Gleiche für Dateien"force create mode"
Schreibschutz unter Windows entzieht die write-Rechte auf Linux, Archivbit unter Windows entzieht die Ausführungsrechte unter Linux.
 


samba security

security = share, user, server, domain für alle, mit acl(Rechtevergabe),NT-Server, domäne
[antraege]
path = /netzdaten/gf/antraege netzdaten + gf mindestens 0771, antraege 0777
writeble = yes
browsable =yes Freigabe wird angezeigt, sonst LaufwerksBuchstabe: zuweisen
force group = gf chmod antrag1.txt root gf 770, owner root, gruppe gf
force user = tom
create mask = 0000
force create mode = 0770
force directory mask = 0000
force directory mode = 0770
[buchhaltung]
path = /netzdaten/buchhaltung
writable = yes
browsable = yes
write list = schulze, schroeder WindowsClient fragt nach Identifikation, Schreibzugriff
encrypt passwords = yes verschlüsselte Passwörter akzeptieren
# force user = schulze schreibend zugreifen, nicht nötig bei write list
# force group = @buchhaltung, @gf schreibend zugreifen, nicht nötig bei write list
[buchhaltung2] gf soll nur lesen, buchhaltung auch schreiben
path = /netzdaten/buchhaltung
browsable = yes
writable = no
write list = schulze, schroeder diese Beiden dürfen schreiben, egal was in writable steht
valid users = @buchhaltung,meier @nis-o-unix-gruppe,+unix-gruppe,name
hosts allow = 150.30. EXEPT 150.30.10.15, mein_rechner,192.168.6.0/255.255.255.0
# guest ok = yes wahrscheinlich nicht mit valid users, default=no
[buchhaltung3] gf soll nur lesen, buchhaltung auch schreiben
path = /netzdaten/buchhaltung
host allow = 192.168.4.0/255.255.255.0 geht auch mit deny
browsable = yes
read only = no
read list = schulze, schroeder,@gf diese dürfen lesen, egal was in readonly steht
siehe auch man smb
 


usersecurity

[global]
security = user
encrypt passwords = yes
valid users = @gf Bei Neuanlegen einer Datei wird aktueller user und Gruppe gf gesetzt.
create mask = 0000
force create mode = 0770
force directory mask = 0000
force directory mode = 0770
Nur 1 Mal muß der user bei mehereren Freigaben in Windows authentifizieren.
 
Port 137,138,139 SMB /NMB für firewall
 
 
 
smbclient -L //rechnername + passwort Freigaben(auch versteckte) werden gezeigt
LinNeighborhood ähnlich Windows-Explorer, Zugriff auf Freigaben
Samba unterstützt ACL's, braucht aber reiserfs oder EXT3, sowie Kernelunterstützung.
Unter Windows root einrichten oder unter Linux Administrator, kann sehr hilfreich sein.
Win2000_PlainPassword.reg in win2000 einspielen und die Win-Passwörter werden unverschlüsselt übertragen. Besser ist, wenn samba mit verschlüsselten Kennwörten umgehen kann:
encrypt passwords=yes
security = user oder share
smbpasswd -a schulze Sambakennwort hinzufügen, OS-user muß vorhanden sein(useradd)
Unter Windows root einrichten oder unter Linux Administrator, kann sehr hilfreich sein.
 


Samba-SWAT

Samba Web Administration Tool
/etc/xinetd.d/samba Konfiguration disable = no
# only-from = 127.0.0.1
xinetd startet /usr/sbin/swat
http://127.0.0.1:901 oder andere Adresse, Name(root) und Kennwort, dann kann man swat benutzen und Samba konfigurieren.
Einträge können auch als Text editiert werden, die smb.conf wird dann ausgelesen. smb restart ist nicht notwendig.
Aufzählungen mit Leerzeichen, Komma, Tab, Semikolon, etc.
Achtung: host-deny-global bezieht sich auch auf die swat-Konfiguration.


Samba als PDC

/usr/shell/doc/packages/samba/htmldocs/Samba-PDC-HOWTO.html Hilfe
yast: möglich, aber ohne Feineinstellungen: samba als PDC konfigurieren
/etc/samba/smb.conf notwendige Einstellungen:
[global]
prefered master = yes
domain master = yes
local master = yes
security = user
encrypt passwords = yes
domain logons = yes
logon path = \\%N\profiles\%u %N=NIS-Servername=%L=netbiosname %u=user
logon drive = H: home-Verzeichnis
logon home = \\%N\%u = net use h:\\.... siehe [homes]
logon script = logon.cmd oder Anderes script, normalerweise in Laufwerk H:
[homes]
valid users = %S angemeldeter Benutzer
read only = no
create mask = 0640
directory mask = 0750
browsable = no Verbot für andere user
guest ok = no
# path = /home/%u darf hier nicht stehen, homedir steht in /etc/passwd
[netlogon]
path = /var/lib/samba/netlogon leer, wird aber gebraucht, ev anlegen, für scripte
read only = yes
write list = ntadmin
[profiles]
path = /var/lib/samba/profiles gibt's schon?, sonst anlegen, Servergesp. Profil
read only = no
create mask = 0600
directory mask = 0700


Samba als PDC Maschinen-Konten einrichten

useradd -g users -d /dev/null -c "client123" -s /bin/false ClientName123$
Gruppe nicht als Maschine anmelden Kommentar shell falsch RechnerName$
passwd -l ClientName123 root kann diesen acount sperren
smbpasswd -a -m ClientName123
 
Alternativ dazu:
/etc/samba/smb.conf
[global]
add user script = /usr/sbin/useradd -g users -d /dev/null -s /bin/false -M %u
 
 
 
logs

/var/log/samba/log.smbd
/var/log/samba/log.nmbd
/etc/samba/lmhost
/etc/samba/smbpasswd
/etc/samba/dh
/etc/samba/
 
 
 
openssl, popt upgraden
 
Server, Domänen keine eigene Active Directory
 
 
 
 
 
cygwin.com Linuxoberfläche auf Windows
linux-loader zum starten von Linux über autoexec.bat
 
 


Samba-Drucker -Server

/etc/samba/smb.conf
BSD Zusammenarbeit mit lpr-System
[global]
printing = cups Kompatibilität zu lpr
printcap name = cups Arbeiten mit cups-system
[printers]
comment = Alle Drucker Kommentar
path = /var/tmp Druckjobs werden hier zwischengespeichert
create mask = 0600
printable = yes
browsable = no
[print$] ????

kann keine fertig aufbereitete Druckjobs(von Windows) bearbeiten, oder die beiden Dateien bearbeiten:
/etc/cups/mime.types application/octet-stream ... aktivieren(kein#)
/etc/cups/mime.confs application/octet-stream ... aktivieren(kein#)
 
 

Hauptseite