https://linupedia.org/wiki/mediawiki/api.php?action=feedcontributions&feedformat=atom&user=Flo84Linupedia.org - Benutzerbeiträge [de]2026-04-21T10:45:35ZBenutzerbeiträgeMediaWiki 1.31.0https://linupedia.org/wiki/mediawiki/index.php?title=Smb.conf&diff=15799Smb.conf2007-05-17T07:53:35Z<p>Flo84: /* /etc/samba/smb.conf */</p>
<hr />
<div>{{Wettbewerb}} <br />
<br />
<br />
{{Löschantrag}}<br />
<br />
--[[Benutzer:Flo84|Flo84]] 09:53, 17. Mai 2007 (CEST)<br />
<br />
Ich hätte gerne meine komplette Samba-Script-Sammlung veröffentlicht - hier baut ein Script auf dem nächsten auf. Da ich mangels Zeit nur selten dazu komme, bereits bestehende Beiträge von anderen Usern so zu überarbeiten, dass diese im Einklang mit meiner Doku sind, lösche ich hiermit meine Beiträge. Gerne übergebe ich die Dokumente an jemanden, der diese dann einpflegt (alle mit OpenOffice.org Writer erstellt)!<br />
<br />
== Die [global]-Sektion ==<br />
<br />
'''workgroup=firma_xyz :''' hier wird der Domänen-Namen vergeben<br />
<br />
'''netbios name=Server01 :''' der NetBIOS-Name des Servers<br />
<br />
'''server string=Linux Samba-Server %v :''' mit dieser Zeichenkette erscheint der Server unter Windows – inklusive der Samba-Version (%v)<br />
<br />
'''security=user :''' der Server soll als PDC fungieren<br />
<br />
'''encrypt passwords=yes :''' Passwörter werden verschlüsselt vom Client an den Server geschickt (ab Windows 98!)<br />
<br />
'''wins support=yes :''' der Server bietet WINS-Support für die Namensauflösung; ist bereits ein WINS-Server im Einsatz, verwende ''wins server = [server_ip]''<br />
<br />
'''name resolv order:''' im Beispiel wird versucht, die Namensauflösung in der Reihenfolge wins, lmhosts, hosts und zum Schluss per Broadcast durchzuführen<br />
<br />
'''domain logons=yes :''' realisiert die Domänenanmeldung der Clients<br />
<br />
'''local master=yes :''' Server wird zum Master-Browser erhoben<br />
<br />
'''preferred master=yes :''' legt fest, dass der nmbd als bevorzugter master browser in der Domain auftritt. nmbd ist der NetBIOS-Name Server und bietet via Netbios über TCP/IP entsprechende Namensdienste an.<br />
<br />
'''domain master=yes :''' spricht für sich...<br />
<br />
'''os level=65 :''' stellt sicher, dass der Samba die "Wahl" zum PDC gewinnt<br />
<br />
'''admin users=root :''' Benutzer mit Administrationsrechten (Domain-Admin)<br />
<br />
'''logon home=\\%L\homes :''' Angabe des Home-Verzeichnis. Im Beispiel befinden sich die Home-Verzeichnise aller User unter /home; die [homes]-Sektion muss hier in der smb.conf enthalten sein!<br />
<br />
'''logon drive=k: :''' in diesem Fall wird auf k: das Home-Verzeichnis gemounted<br />
<br />
'''logon path=\\%L\profiles\%U :''' Quelle der servergespeicherten User-Profile (beachte [profiles])<br />
<br />
'''load printers=yes :''' Drucker laden<br />
<br />
'''printing=cups :''' zum Drucken das CUPS verwenden<br />
<br />
'''printcap name=cups :''' das CUPS Printing-Interface verwenden<br />
<br />
'''logon script=%U.logon.bat :''' Logon-Script, das nach dem Anmelden für jeden – in diesem Fall – einzelnen User ausgeführt wird; verlangt die Existenz der Sektion [netlogon]<br />
<br />
'''unix password sync = yes :''' dieser Parameter ändert nicht nur das Samba- sondern auch das Linux-Passwort, wenn der User am (Windows-)Client sein Kennwort ändert; Voraussetzung: das smbpasswd-Passwort ist gleich dem Linux-Passwort<br />
<br />
'''passwd program = /usr/bin/passwd %u :''' dieses Programm wird für die Passwortänderung verwendet<br />
<br />
'''add machine script = /usr/sbin/useradd -g [maschinen_gruppe] -s /bin/false %u :''' unbekannte Maschinen-/Computer-Accounts automatisch anlegen, wenn diese in die Domäne eingebunden werden; [machinen_gruppe] muss vorher angelegt werden (groupadd)!<br />
<br />
<br />
== Die [homes]-Sektion ==<br />
<br />
Hierbei handelt es sich um ein spezielles Share. Im Grunde ist es aufgebaut wie eine "normale" Freigabe, mit der Besonderheit, dass hier die Home-Verzeichnisse der User, die sich an der Domäne anmelden, liegen. Wenn ''[homes]'' den Eintrag ''path=/pfad/zu/homeverzeichnis'' nicht enthält, werden die Homeverzeichnisse unter ''/home'' verwendet. Egal ob path verwendet wird oder nicht: es muss für jeden Benutzer ein Ordner mit dessen Namen im entsprechenden Verzeichnis existieren (Unix-Rechte anpassen nicht vergessen!). Beachte auch in der ''[global]''-Sektion den Eintrag ''logon home=''!<br />
<br />
<br />
== Die [profiles]-Sektion ==<br />
<br />
Dieses Share ist fast (!) wie alle Anderen, mit der Ausnahme, dass im angegebenen path (z. B. ''/srv/samba/profiles'') für jeden User ein Profil-Verzeichnis liegt. Durch ''hide files'' und store dos attributes wird bewirkt, dass DOS-Attribute (wie z. B. für die versteckte Datei ''desktop.ini'') erhalten bleiben. Beachte hierzu das Script [[Samba mit LDAP - extended]]!<br />
<br />
<br />
== Die [netlogon]-Sektion ==<br />
<br />
Ebenfalls mit einem "normalen" Share zu vergleichen, mit der Sonderbedeutung, dass sich in path die Login-Scripte und die ''ntconfig.pol'' für Systemrichtlinien befinden. Wird in der ''[global]''-Sektion ''logon script = %U.logon.bat'' angegeben, so wird im Verzeichnis path für jeden User ein derartiges Script erwartet, z. B.für einen Benutzer flo die ''flo.logon.bat''. Die ''ntconfig.pol'' wird mit Poledit erstellt. Beachte [[Zentrale Verteilung der Gruppenrichtlinien - poledit]]<br />
<br />
<br />
== Die [printers]-Sektion ==<br />
<br />
Existiert dieses Share, so werden alle am Server eingerichteten Drucker den Clients zur Verfügung gestellt. Will man für Drucker spezielle Rechte vergeben, z. B. dass nur bestimmte User auf einen Drucker drucken dürfen, so muss für jeden Drucker ein eigenes Share angelegt werden. Beachte hierzu das Script ''Samba als Druckserver'' (folgt noch).<br />
<br />
'''path = /srv/samba/spool :''' Pfad zum Samba-Spoolverzeichnis; Rechte: chmod 7771 /srv/samba/spool<br />
<br />
'''browseable = no :''' Share soll in der "Netzwerkumgebung" nicht sichtbar sein<br />
<br />
'''guest ok = yes :''' grundsätzlich darf jeder – auch Gäste – drucken<br />
<br />
'''writeable = no :''' das Ablegen von "Nicht-Drucker-Dateien" soll verweigert werden<br />
<br />
'''printable = yes :''' es handelt sich um ein Printer-Share, d. h. trotz writeable = no dürfen trotzdem Druckjobs von den Benutzern abgelegt werden!<br />
<br />
'''printer admin = root :''' Admin, der die Drucker verwaltet<br />
<br />
<br />
== Die [print$]-Sektion ==<br />
<br />
Dieses Share beinhaltet die Drucker-Treiber für die (Windows-) Clients. Wird ein Drucker an einem Client-PC hinzugefügt, holt sich dieser die Treiber aus dem Ordner path. Genaueres erfährst du im Script [[Samba mit LDAP - extended]].<br />
<br />
'''path = /srv/samba/drivers :''' Pfad, in dem die Druckertreiber liegen<br />
<br />
'''browseable = yes :''' dies verlangt Windows so<br />
<br />
'''guest ok = no :''' kein „Gast“ hat Zugriff auf dieses Share<br />
<br />
'''read only = yes :''' keiner darf schreiben, nur lesen...<br />
<br />
'''write list = root :''' ...außer root, der darf hier Dateien (genauer: Treiber) ablegen<br />
<br />
== Hinweise ==<br />
<br />
Diese Doku war eigentlich für meinen eigenen "Gebrauch" gedacht - vielleicht hilft sie dir auch weiter ;-)<br />
<br />
Willst du Samba mit LDAP-Backend verwenden, lies dir hierzu das Script ''Samba und OpenLDAP'' durch (folgt noch). Das soll's gewesen sein!<br />
<br />
<br />
[[Samba|Zurück zu Samba]]<br />
<br />
<br />
--[[Benutzer:Flo84|Flo84]] 21:57, 14. Mai 2007 (CEST)</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=PDC_Client&diff=15741PDC Client2007-05-16T21:10:03Z<p>Flo84: </p>
<hr />
<div>{{Löschantrag}}<br />
<br />
--[[Benutzer:Flo84|Flo84]] 23:10, 16. Mai 2007 (CEST)<br />
<br />
Ich hätte gerne meine komplette Samba-Script-Sammlung veröffentlicht - hier baut ein Script auf dem nächsten auf. Da ich mangels Zeit nur selten dazu komme, bereits bestehende Beiträge von anderen Usern so zu überarbeiten, dass diese im Einklang mit meiner Doku sind, lösche ich hiermit meine Beiträge. Gerne übergebe ich die Dokumente an jemanden, der diese dann einpflegt (alle mit OpenOffice.org Writer erstellt)!</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=Samba&diff=15736Samba2007-05-16T20:59:39Z<p>Flo84: /* Allgemein */</p>
<hr />
<div>{{Infobox Software<br />
|Name= Samba<br>[[Bild:Samba-logo.png]]<br />
|Screenshot=<br />
|Beschreibung= <br />
|Hersteller= [http://us1.samba.org/samba/team/ Samba-Team]<br />
|AktuelleVersion= 3.0.24<br />
|AktuelleVersionFreigabeDatum= 5. Februar 2007<br />
|Betriebssystem= Linux, Unix, OS X<br />
|Kategorie= [[Samba]]<br />
|Lizenz= GPL<br />
|Deutsch= nein<br />
|Website= [http://samba.org/ Offizielle Seite] / [http://samba.sernet.de/ Deutsche Seite]<br />
}}<br />
[http://www.linux-club.de/forum6.html zum Forum]<br />
<br />
<br />
== Allgemein ==<br />
<!--Die Überschrift dient erst mal als Arbeitsüberschrift--><br />
* [[Samba-Openbooks und Links]] Die Samba Buchliste<br />
* [[Themen und Links zu Samba]]<br />
* [[Domaene einrichten|Domäne einrichten]]<br />
* [[smb.conf]]<br />
* [[Samba als PDC: Clients einrichten]]<br />
* [[Samba mit LDAP]]<br />
* [[Samba mit LDAP - extended]]<br />
* [[Windows Client für Arbeitsgruppe einrichten]]<br />
* [[Drucken mit Samba]]<br />
* [[Vscan]] Echtzeit Virenscanner für SAMBA<br />
* [[Zentrale Verteilung der Gruppenrichtlinien - poledit]]<br />
* [[Logonskripte mit kix]]<br />
* [[Linux-Client in Windows Domain]]<br />
* [[Apple Macintosh am Linux Server]]<br />
* [[SMB-Freigaben mit SuSEfirewall2]]<br />
* [[Samba mit zwei LDAP-Servern als passdb backend]]<br />
* [[Zugriffrechte unter Samba]]<br />
* [[Samba zu langsam]] <br />
* [[Dokumentationen auf Suse 10.0 nicht korrekt verlinkt]]<br />
* [[ACHTUNG: Samba 3.0.23-3.1.33 buggy]]<br />
<br />
== Grafische Installer ==<br />
* [[SWAT]] Installation und Konfiguration<br />
* [[Einfache Sambafreigabe über YaST]] Eine schnelle Netzwerkresource freigeben für jeden Beschreibbar<br />
* [[Samba KDE Kontrollzentrum]]<br />
<br />
== Samba in Verbindung mit active directory oder ldap ==<br />
<br />
* [[SUSE in Win2000 Domain und Acitve Directory]]<br />
<br />
* [[linux und active directory]]<br />
<br />
----<br />
<br />
[[Samba Musterkonfigurationen]]<br />
<br />
[[Category:Samba]][[Kategorie:Übersicht]]</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=Smb.conf&diff=15735Smb.conf2007-05-16T20:58:52Z<p>Flo84: </p>
<hr />
<div>{{Wettbewerb}} <br />
<br />
<br />
== /etc/samba/smb.conf ==<br />
<br />
<br />
[global]<br />
workgroup=krug<br />
netbios name=Server01<br />
server string=Linux Samba-Server %v<br />
security=user<br />
encrypt passwords=yes<br />
wins support=yes<br />
name resolve order=wins lmhosts hosts bcast<br />
domain logons=yes<br />
local master=yes<br />
preferred master=yes<br />
domain master=yes<br />
os level=65<br />
logon home=\\%L\homes<br />
logon drive=k:<br />
logon path=\\%L\profiles\%U<br />
logon script=%U.logon.bat<br />
load printers=yes<br />
printing=cups<br />
printcap name=cups<br />
unix password sync = yes<br />
passwd program = /usr/bin/passwd %u<br />
add machine script = /usr/sbin/useradd -g clientpc -s /bin/false %u<br />
<br />
[homes]<br />
comment=Home-Verzeichnis<br />
read only=no<br />
create mask=0750<br />
browseable=no<br />
hide files=/desktop.ini/<br />
inherit acls=yes<br />
# Nur nötig, wenn für die User in /home kein Homeverzeichnis existiert sondern<br />
# diese in einem separaten Verzeichnis liegen sollen:<br />
#path=/srv/samba/homes/%U<br />
<br />
[profiles]<br />
comment=Profile<br />
path=/srv/samba/profiles<br />
read only=no<br />
create mask=0600<br />
directory mask=0770<br />
browseable=no<br />
hide files=/desktop.ini/<br />
store dos attributes=yes<br />
<br />
[netlogon]<br />
comment=Login-Scripte<br />
path=/srv/samba/netlogon<br />
browseable=yes<br />
read only=yes<br />
<br />
[Sicherung]<br />
comment = Datensicherung<br />
path = /sicherung<br />
browseable = yes<br />
valid users = geli,flo,lan<br />
write list = geli,flo,lan<br />
available = yes<br />
<br />
[install]<br />
comment = Unattended Install-Directory<br />
path = /sicherung/install/unattended<br />
read only = yes<br />
valid users = geli,flo,lan,guest<br />
<br />
[printers]<br />
path = /srv/samba/spool<br />
browseable = no<br />
guest ok = yes<br />
writeable = no<br />
printable = yes<br />
printer admin = root<br />
<br />
[print$]<br />
path = /srv/samba/drivers<br />
browseable = yes<br />
guest ok = no<br />
read only = yes<br />
write list = root<br />
<br />
== Die [global]-Sektion ==<br />
<br />
'''workgroup=firma_xyz :''' hier wird der Domänen-Namen vergeben<br />
<br />
'''netbios name=Server01 :''' der NetBIOS-Name des Servers<br />
<br />
'''server string=Linux Samba-Server %v :''' mit dieser Zeichenkette erscheint der Server unter Windows – inklusive der Samba-Version (%v)<br />
<br />
'''security=user :''' der Server soll als PDC fungieren<br />
<br />
'''encrypt passwords=yes :''' Passwörter werden verschlüsselt vom Client an den Server geschickt (ab Windows 98!)<br />
<br />
'''wins support=yes :''' der Server bietet WINS-Support für die Namensauflösung; ist bereits ein WINS-Server im Einsatz, verwende ''wins server = [server_ip]''<br />
<br />
'''name resolv order:''' im Beispiel wird versucht, die Namensauflösung in der Reihenfolge wins, lmhosts, hosts und zum Schluss per Broadcast durchzuführen<br />
<br />
'''domain logons=yes :''' realisiert die Domänenanmeldung der Clients<br />
<br />
'''local master=yes :''' Server wird zum Master-Browser erhoben<br />
<br />
'''preferred master=yes :''' legt fest, dass der nmbd als bevorzugter master browser in der Domain auftritt. nmbd ist der NetBIOS-Name Server und bietet via Netbios über TCP/IP entsprechende Namensdienste an.<br />
<br />
'''domain master=yes :''' spricht für sich...<br />
<br />
'''os level=65 :''' stellt sicher, dass der Samba die "Wahl" zum PDC gewinnt<br />
<br />
'''admin users=root :''' Benutzer mit Administrationsrechten (Domain-Admin)<br />
<br />
'''logon home=\\%L\homes :''' Angabe des Home-Verzeichnis. Im Beispiel befinden sich die Home-Verzeichnise aller User unter /home; die [homes]-Sektion muss hier in der smb.conf enthalten sein!<br />
<br />
'''logon drive=k: :''' in diesem Fall wird auf k: das Home-Verzeichnis gemounted<br />
<br />
'''logon path=\\%L\profiles\%U :''' Quelle der servergespeicherten User-Profile (beachte [profiles])<br />
<br />
'''load printers=yes :''' Drucker laden<br />
<br />
'''printing=cups :''' zum Drucken das CUPS verwenden<br />
<br />
'''printcap name=cups :''' das CUPS Printing-Interface verwenden<br />
<br />
'''logon script=%U.logon.bat :''' Logon-Script, das nach dem Anmelden für jeden – in diesem Fall – einzelnen User ausgeführt wird; verlangt die Existenz der Sektion [netlogon]<br />
<br />
'''unix password sync = yes :''' dieser Parameter ändert nicht nur das Samba- sondern auch das Linux-Passwort, wenn der User am (Windows-)Client sein Kennwort ändert; Voraussetzung: das smbpasswd-Passwort ist gleich dem Linux-Passwort<br />
<br />
'''passwd program = /usr/bin/passwd %u :''' dieses Programm wird für die Passwortänderung verwendet<br />
<br />
'''add machine script = /usr/sbin/useradd -g [maschinen_gruppe] -s /bin/false %u :''' unbekannte Maschinen-/Computer-Accounts automatisch anlegen, wenn diese in die Domäne eingebunden werden; [machinen_gruppe] muss vorher angelegt werden (groupadd)!<br />
<br />
<br />
== Die [homes]-Sektion ==<br />
<br />
Hierbei handelt es sich um ein spezielles Share. Im Grunde ist es aufgebaut wie eine "normale" Freigabe, mit der Besonderheit, dass hier die Home-Verzeichnisse der User, die sich an der Domäne anmelden, liegen. Wenn ''[homes]'' den Eintrag ''path=/pfad/zu/homeverzeichnis'' nicht enthält, werden die Homeverzeichnisse unter ''/home'' verwendet. Egal ob path verwendet wird oder nicht: es muss für jeden Benutzer ein Ordner mit dessen Namen im entsprechenden Verzeichnis existieren (Unix-Rechte anpassen nicht vergessen!). Beachte auch in der ''[global]''-Sektion den Eintrag ''logon home=''!<br />
<br />
<br />
== Die [profiles]-Sektion ==<br />
<br />
Dieses Share ist fast (!) wie alle Anderen, mit der Ausnahme, dass im angegebenen path (z. B. ''/srv/samba/profiles'') für jeden User ein Profil-Verzeichnis liegt. Durch ''hide files'' und store dos attributes wird bewirkt, dass DOS-Attribute (wie z. B. für die versteckte Datei ''desktop.ini'') erhalten bleiben. Beachte hierzu das Script [[Samba mit LDAP - extended]]!<br />
<br />
<br />
== Die [netlogon]-Sektion ==<br />
<br />
Ebenfalls mit einem "normalen" Share zu vergleichen, mit der Sonderbedeutung, dass sich in path die Login-Scripte und die ''ntconfig.pol'' für Systemrichtlinien befinden. Wird in der ''[global]''-Sektion ''logon script = %U.logon.bat'' angegeben, so wird im Verzeichnis path für jeden User ein derartiges Script erwartet, z. B.für einen Benutzer flo die ''flo.logon.bat''. Die ''ntconfig.pol'' wird mit Poledit erstellt. Beachte [[Zentrale Verteilung der Gruppenrichtlinien - poledit]]<br />
<br />
<br />
== Die [printers]-Sektion ==<br />
<br />
Existiert dieses Share, so werden alle am Server eingerichteten Drucker den Clients zur Verfügung gestellt. Will man für Drucker spezielle Rechte vergeben, z. B. dass nur bestimmte User auf einen Drucker drucken dürfen, so muss für jeden Drucker ein eigenes Share angelegt werden. Beachte hierzu das Script ''Samba als Druckserver'' (folgt noch).<br />
<br />
'''path = /srv/samba/spool :''' Pfad zum Samba-Spoolverzeichnis; Rechte: chmod 7771 /srv/samba/spool<br />
<br />
'''browseable = no :''' Share soll in der "Netzwerkumgebung" nicht sichtbar sein<br />
<br />
'''guest ok = yes :''' grundsätzlich darf jeder – auch Gäste – drucken<br />
<br />
'''writeable = no :''' das Ablegen von "Nicht-Drucker-Dateien" soll verweigert werden<br />
<br />
'''printable = yes :''' es handelt sich um ein Printer-Share, d. h. trotz writeable = no dürfen trotzdem Druckjobs von den Benutzern abgelegt werden!<br />
<br />
'''printer admin = root :''' Admin, der die Drucker verwaltet<br />
<br />
<br />
== Die [print$]-Sektion ==<br />
<br />
Dieses Share beinhaltet die Drucker-Treiber für die (Windows-) Clients. Wird ein Drucker an einem Client-PC hinzugefügt, holt sich dieser die Treiber aus dem Ordner path. Genaueres erfährst du im Script [[Samba mit LDAP - extended]].<br />
<br />
'''path = /srv/samba/drivers :''' Pfad, in dem die Druckertreiber liegen<br />
<br />
'''browseable = yes :''' dies verlangt Windows so<br />
<br />
'''guest ok = no :''' kein „Gast“ hat Zugriff auf dieses Share<br />
<br />
'''read only = yes :''' keiner darf schreiben, nur lesen...<br />
<br />
'''write list = root :''' ...außer root, der darf hier Dateien (genauer: Treiber) ablegen<br />
<br />
== Hinweise ==<br />
<br />
Diese Doku war eigentlich für meinen eigenen "Gebrauch" gedacht - vielleicht hilft sie dir auch weiter ;-)<br />
<br />
Willst du Samba mit LDAP-Backend verwenden, lies dir hierzu das Script ''Samba und OpenLDAP'' durch (folgt noch). Das soll's gewesen sein!<br />
<br />
<br />
[[Samba|Zurück zu Samba]]<br />
<br />
<br />
--[[Benutzer:Flo84|Flo84]] 21:57, 14. Mai 2007 (CEST)</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=PDC_Client&diff=15550PDC Client2007-05-15T06:34:07Z<p>Flo84: </p>
<hr />
<div>{{Wettbewerb}} <br />
<br />
== Client in die Domäne aufnehmen ==<br />
<br />
Will man einen Client einer Domäne hinzufügen, muss der Server als PDC konfiguriert sein ([[Beispiel einer smb.conf]]). Weiter wird davon ausgegangen, dass root und alle gewünschten Benutzer mit smbpasswd angelegt wurden bzw. die User im LDAP-Verzeichnis existieren. Ist der Server einsatzbereit und kann man auf Shares wie in einem Peer-to-Peer Netz zugreifen (Stichwort "Netzlaufwerk verbinden"), werden wir nun die Client-PC's der Domäne hinzufügen.<br />
<br />
<br />
'''''Noch ein Hinweis:''''' läuft Samba mit LDAP-Backend, sollte man auch das Script [[Samba mit LDAP - extended]] bei folgenden Schritten berücksichtigen!<br />
<br />
<br />
Man meldet sich lokal als Admin am Client an und wechselt in die Systemsteuerung, System. In der Registerkarte ''Computername'' klickt man auf den Button ''Ändern'', wählt in Mitglied von den Punkt Domäne und gibt sinnigerweise den Namen der Domäne an, wie sie in der smb.conf steht (''[global]''-Sektion der Punkt ''workgroup''). Klickt man auf OK wird man nach einem Usernamen sowie einem Passwort gefragt. Gib hier root mit seinem in smbpasswd/LDAP-Verzeichnis angelegten Kennwort ein. Nach wenigen Sekunden sollte folgender Hinweis erscheinen:<br />
<br />
<br />
[[Bild:smb_config_client_01.jpg]]<br />
<br />
<br />
Erscheint diese Meldung nicht, kommt also stattdessen eine Fehlermeldung, sollte man sich vergewissern, dass root mit ''smbpasswd -a root'' angelegt wurde und ein Maschinen-Account für den Client existiert – falls man in der ''[global]''-Sektion der ''smb.conf'' nicht<br />
<br />
add machine script = /usr/sbin/useradd -g [maschinengruppe] -s /bin/false %u<br />
<br />
angegeben hat (siehe smb.conf-Beispiel) passiert dies nämlich nicht automatisch! Will man einen Rechner "per Hand" eintragen, lauten die Befehle:<br />
<br />
useradd -s /bin/false [RECHERNAME]$<br />
smbpasswd -a -m [RECHNERNAME]<br />
<br />
Überprüfe bei einem Fehler auch die ''smb.conf'', um sicherzustellen, dass der Server auch wirklich als PDC eingerichtet wurde. Verwende hierzu den Befehl ''testparm''<br />
<br />
<br />
Für LDAP gilt übrigens folgender Befehl:<br />
<br />
add machine script = /usr/sbin/smbldap-useradd -w %u<br />
<br />
<br />
Es sollte bei Problemen auch die ''/etc/ldap.conf'' überprüft werden. Hier muss der Eintrag ''nss_base_passwd ou=Computers,dc=firma_xyz,dc=de'' unter Anderem gesetzt sein! Die Logfiles ''/var/log/messages'' sowie ''/var/log/samba/log.smbd'' geben sicher den wertvollsten Hinweis darauf, wo das Problem liegt!<br />
<br />
<br />
Nach erfolgreichem Aufnehmen des Rechners muss dieser neu gestartet werden. Bevor man sich aber anmeldet, sollte man sich mit den Benutzerprofilen auseinandersetzen!<br />
<br />
== Serverbasierende Profile ==<br />
<br />
Sie machen Sinn, um dem User zu ermöglichen, seinen gewohnten Desktop – egal an welchem PC er sich im Netzwerk anmeldet – zur Verfügung zu stellen. Man bezeichnet soetwas als Roaming Profiles.<br />
<br />
<br />
In der smb.conf muss in der ''[global]''-Sektion ''logon path = /pfad/zum/profilordner'' gesetzt sein und außerdem das Share ''[profiles]'' existieren. Dieses sieht z. B. so aus:<br />
<br />
[profiles]<br />
comment=Profile<br />
path=/srv/samba/profiles<br />
read only=no<br />
create mask=0600<br />
directory mask=0770<br />
browseable=no<br />
<br />
Ist für einen User kein Profil-Verzeichnis in path angelegt, so wird dieses beim ersten Login erzeugt. Voraussetzung ist, dass der User in path (also ''/srv/samba/profiles'') uneingeschränkte Rechte hat (Lese-, Schreib- und Ausführrecht!!!). Werden die Profil-Ordner von root aus einer Vorlage heraus angelegt (siehe weiter unten) reicht es, Lese- und Ausführungsrecht (r-x) für dieses Verzeichnis – sprich ''/srv/samba/profiles'' – zu vergeben, wobei der User für sein Profil-Verzeichnis ''/srv/samba/profiles/[username]'' aber wieder Vollzugriff benötigt, da beim Abmelden das Profil des Clients mit dem Servergespeicherten synchronisiert wird.<br />
<br />
<br />
Treten beim Einloggen eines Users Probleme auf, dass er auf sein Profil nicht zugegriffen kann, wird also wahrscheinlich<br />
<br />
<br />
a) kein Profil für den Benutzer in path existieren und der User für path keinen Vollzugriff besitzen, um ein neues Default-Profil anlegen zu können,<br />
<br />
b) dem Benutzer fehlen die Vollzugriffsrechte auf seinen Profil-Ordner und/oder<br />
<br />
c) dem User wurde das Leserecht auf die ''ntuser.dat / ntuser.man'' entzogen (siehe Punkt "Verbindliche, unveränderbare Profile")<br />
<br />
<br />
[[Bild:smb_config_client_02.jpg]]<br />
<br />
Grafik 1<br />
<br />
<br />
== Profilvorlagen anlegen ==<br />
<br />
Sollen die Benutzer nicht das "klickibunti" XP-Design als Standard verwenden, den Destkop und die Registry nicht ändern können, dann machen verbindliche, unveränderbare Profile Sinn. Problem: beim ersten Anmelden eines Users wird ein Profil-Verzeichnis angelegt – jedoch mit oben genannten Eigenschaften, die wir so nicht akzeptieren *G* Also basteln wir uns eine Vorlage. Das ist gar nicht so schwer: Voraussetzung ist, dass der Samba-Server eingerichtet ist und läuft, root in der smbpasswd/LDAP existiert und man auf das Share ''[profiles]'' als root schreibend zugreifen kann. Ist dies gegeben, meldet man sich an einem XP-Rechner mit Administrationsrechten lokal (nicht an der Domäne!) an.<br />
<br />
<br />
'''''Schritt 1: "vorlage"-User erstellen'''''<br />
<br />
Am XP-PC angemeldet, legen wir einen User "vorlage" an, vergeben ein Passwort, melden uns als Admin ab und als der "vorlage"-User am Rechner erneut an.<br />
<br />
<br />
'''''Schritt 2: Profil des "vorlagen"-Users anpassen'''''<br />
<br />
Ist man als "vorlage" angemeldet, passt man das Aussehen von Windows dementsprechend an – und zwar genau so, wie unsere Client-PC's dann aussehen sollen. Zu beachten: es sollten keine benutzerspezifischen Desktop-Symbole oder Startmenü-Einträge erstellt werden; einfach das Profil anpassen. Ist man mit dem Profil des Users "vorlage" zufrieden, meldet man sich ab und erneut als Administrator lokal an. <br />
<br />
<br />
'''Tipp:''' man sollte nochmal in das erstellte Profil-Verzeichnis des Benutzers "vorlage" wechseln und dort nach den versteckten Dateien ''desktop.ini'' suchen, anschließend alle löschen. Grund: es existiert z. B. im Autostart-Ordner eine solche Datei. Kopiert man dann das Profil auf einen anderen User, ist diese Datei nicht mehr versteckt und wird bei jedem Anmelden geöffnet – das nervt meines Erachtens ziemlich. Zudem sollte man in der ''[homes]'' und ''[profiles]''-Sektion das Attribut ''hide files = /desktop.ini/'' verwenden, um die Dateien als "Versteckt" anzuzeigen.<br />
<br />
<br />
Klicke auf Start, Ausführen und gib ''cmd'' ein. Stelle mit folgendem Befehl – natürlich angepasst an deinen Server – eine Verbindung zu diesem her:<br />
<br />
net use \\server01 /user:root<br />
<br />
Nach Eingabe des root-Passwortes muss eine Bestätigung kommen, dass der Befehl erfolgreich ausgeführt wurde. Andernfalls sollte man prüfen, ob root in der smbpasswd/LDAP angelegt wurde!<br />
<br />
<br />
Nun wechselt man in die Systemsteuerung, klickt auf System, Registerkarte Erweitert und klickt bei den Benutzerprofilen auf Einstellungen. Aus der Liste wählt man den "vorlage"-User aus und klickt dann auf Kopieren nach (Grafik 2). Bei Profil kopieren nach gibt man folgendes an:<br />
<br />
\\server01\profiles\vorlage<br />
<br />
Bevor man nun auf OK klickt, muss man noch den Benutzer ändern. Auf den Button Ändern klicken und als Benutzer ''Jeder'' wählen. Grund: kopiert man das Profil später auf einen anderen User, so hat dieser Zugriffsprobleme auf sein Profil. Als Jeder werden die Rechte – wenn man so will – "neutral" vergeben.<br />
<br />
<br />
Jetzt kann man auf OK klicken und das Profil wird auf den Server in das Profil-Share kopiert (Grafik 3). Wird der Zugriff verweigert oder tritt sonst ein Fehler auf: smb.conf und Zugriffsrechte auf den Ordner prüfen!<br />
<br />
<br />
[[Bild:smb_config_client_03.jpg]]<br />
<br />
Grafik 2<br />
<br />
<br />
[[Bild:smb_config_client_04.jpg]]<br />
<br />
Grafik 3<br />
<br />
<br />
== Verbindliche, unveränderbare Profile ==<br />
<br />
Es ist häufig gewünscht, dass ein Benutzer sein Profil nicht ändern kann, um den Server z. B. durch das Abspeichern übergroßer Hintergrundbilder etc. nicht zu überlasten. Hier gibt’s einen einfachen Trick: benenne im Profil-Verzeichnis des Benutzers (am Besten gleich des "vorlage"-Benutzers) die Datei ''ntuser.dat'' in ''ntuser.man'' um und vergib nur das Leserecht auf die Datei: <br />
<br />
chmod 400 ntuser.man<br />
<br />
damit soll verhindert werden, dass der Benutzer die Datei selbst wieder in ''ntuser.dat'' umbenennt. Das Leserecht ist jedoch zwingend erforderlich, bitte beachten! Außerdem ist darauf zu achten, im ''[profile]''-Share das Attribut ''read only = yes'' zu setzen. Hier ist natürlich wieder zu berücksichtigen, dass dann für jeden User, der sich anmelden will, bereits ein Profil-Ordner vorhanden sein muss. Wichtig ist auch zu wissen, dass die "Eigenen Dateien" ebenfalls zum Profil zählen und in diesem Fall nicht gespeichert würden! Lies dir den Beitrag [[Zentrale Verteilung der Gruppenrichtlinien - poledit]] durch. Ich habe hier [[http://www.f-tech.de/dokumente/flo_poledit.adm]] eine ADM-Vorlage zum Download, welche u. a. Ordnerumleitung ermöglicht. So kannst du die "Eigenen Dateien" auf ein Netzlaufwerk verschieben.<br />
<br />
<br />
'''Zusätzliche Anmkerung:''' die Profile – auch wenn sie serverbasierend sind – werden lokal am Client angelegt und beim Abmelden synchronisiert. Ich habe zum Testen der Funktionalität des unveränderbaren Profils ein Desktopbild eingefügt, mich abgemeldet, erneut angemeldet, Wallpaper entfernt, abgemeldet und wieder angemeldet – das schien jedoch nicht zu funktionieren, da die Grafik wider erwarten angezeigt wurde. In Wirklichkeit war ein Neustart des Clients notwendig, dann funktionierte alles (frag' mich nicht warum...)!<br />
<br />
<br />
== Profilvorlage für User kopieren ==<br />
<br />
Nachdem wir unser Vorlagen-Profil nun auf dem Server haben, müssen wir für jeden User einen Ordner mit den Dateien und Verzeichnissen aus dem Vorlage-Profil heraus erstellen. Wechsle in den Profil-Ordner (z. B. ''/srv/samba/profiles''). Vergewissere dich, dass dort der Ordner ''vorlage'' existiert und gib dann folgende Befehle ein, um ein Profil für den User ''franz'' zu erstellen:<br />
<br />
cp -R vorlage/ franz<br />
chown -R franz franz<br />
chmod 700 franz<br />
<br />
Was passiert hier: als erstes kopieren wir den gesamten Ordnerinhalt von ''vorlage'' in den Ordner ''franz''. Als nächsten Schritt machen wir den Benutzer ''franz'' zum Eigentümer dieses Ordners und geben ihm (und nur ihm!) mit ''chmod'' Vollzugriff auf sein Profil. Andernfalls kommt es zu einem Fehler beim Login bzw. Logout (siehe Grafik 1).<br />
<br />
<br />
Das soll's gewesen sein!<br />
<br />
<br />
[[Samba|Zurück zu Samba]]<br />
<br />
<br />
--[[Benutzer:Flo84|Flo84]] 21:56, 14. Mai 2007 (CEST)</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=PDC_Client&diff=15549PDC Client2007-05-15T06:32:21Z<p>Flo84: </p>
<hr />
<div>{{Wettbewerb}} <br />
<br />
== Client in die Domäne aufnehmen ==<br />
<br />
Will man einen Client einer Domäne hinzufügen, muss der Server als PDC konfiguriert sein ([[Beispiel einer smb.conf]]). Weiter wird davon ausgegangen, dass root und alle gewünschten Benutzer mit smbpasswd angelegt wurden bzw. die User im LDAP-Verzeichnis existieren. Ist der Server einsatzbereit und kann man auf Shares wie in einem Peer-to-Peer Netz zugreifen (Stichwort "Netzlaufwerk verbinden"), werden wir nun die Client-PC's der Domäne hinzufügen.<br />
<br />
<br />
'''''Noch ein Hinweis:''''' läuft Samba mit LDAP-Backend, sollte man auch das Script [[Samba mit LDAP - extended]] bei folgenden Schritten berücksichtigen!<br />
<br />
<br />
Man meldet sich lokal als Admin am Client an und wechselt in die Systemsteuerung, System. In der Registerkarte ''Computername'' klickt man auf den Button ''Ändern'', wählt in Mitglied von den Punkt Domäne und gibt sinnigerweise den Namen der Domäne an, wie sie in der smb.conf steht (''[global]''-Sektion der Punkt ''workgroup''). Klickt man auf OK wird man nach einem Usernamen sowie einem Passwort gefragt. Gib hier root mit seinem in smbpasswd/LDAP-Verzeichnis angelegten Kennwort ein. Nach wenigen Sekunden sollte folgender Hinweis erscheinen:<br />
<br />
<br />
[[Bild:smb_config_client_01.jpg]]<br />
<br />
<br />
Erscheint diese Meldung nicht, kommt also stattdessen eine Fehlermeldung, sollte man sich vergewissern, dass root mit ''smbpasswd -a root'' angelegt wurde und ein Maschinen-Account für den Client existiert – falls man in der ''[global]''-Sektion der ''smb.conf'' nicht<br />
<br />
add machine script = /usr/sbin/useradd -g [maschinengruppe] -s /bin/false %u<br />
<br />
angegeben hat (siehe smb.conf-Beispiel) passiert dies nämlich nicht automatisch! Will man einen Rechner "per Hand" eintragen, lauten die Befehle:<br />
<br />
useradd -s /bin/false [RECHERNAME]$<br />
smbpasswd -a -m [RECHNERNAME]<br />
<br />
Überprüfe bei einem Fehler auch die ''smb.conf'', um sicherzustellen, dass der Server auch wirklich als PDC eingerichtet wurde. Verwende hierzu den Befehl ''testparm''<br />
<br />
<br />
Für LDAP gilt übrigens folgender Befehl:<br />
<br />
add machine script = /usr/sbin/smbldap-useradd -w %u<br />
<br />
<br />
Es sollte bei Problemen auch die ''/etc/ldap.conf'' überprüft werden. Hier muss der Eintrag ''nss_base_passwd ou=Computers,dc=firma_xyz,dc=de'' unter Anderem gesetzt sein! Die Logfiles ''/var/log/messages'' sowie ''/var/log/samba/log.smbd'' geben sicher den wertvollsten Hinweis darauf, wo das Problem liegt!<br />
<br />
<br />
Nach erfolgreichem Aufnehmen des Rechners muss dieser neu gestartet werden. Bevor man sich aber anmeldet, sollte man sich mit den Benutzerprofilen auseinandersetzen!<br />
<br />
== Serverbasierende Profile ==<br />
<br />
Sie machen Sinn, um dem User zu ermöglichen, seinen gewohnten Desktop – egal an welchem PC er sich im Netzwerk anmeldet – zur Verfügung zu stellen. Man bezeichnet soetwas als Roaming Profiles.<br />
<br />
<br />
In der smb.conf muss in der ''[global]''-Sektion ''logon path = /pfad/zum/profilordner'' gesetzt sein und außerdem das Share ''[profiles]'' existieren. Dieses sieht z. B. so aus:<br />
<br />
[profiles]<br />
comment=Profile<br />
path=/srv/samba/profiles<br />
read only=no<br />
create mask=0600<br />
directory mask=0770<br />
browseable=no<br />
<br />
Ist für einen User kein Profil-Verzeichnis in path angelegt, so wird dieses beim ersten Login erzeugt. Voraussetzung ist, dass der User in path (also ''/srv/samba/profiles'') uneingeschränkte Rechte hat (Lese-, Schreib- und Ausführrecht!!!). Werden die Profil-Ordner von root aus einer Vorlage heraus angelegt (siehe weiter unten) reicht es, Lese- und Ausführungsrecht (r-x) für dieses Verzeichnis – sprich ''/srv/samba/profiles'' – zu vergeben, wobei der User für sein Profil-Verzeichnis ''/srv/samba/profiles/[username]'' aber wieder Vollzugriff benötigt, da beim Abmelden das Profil des Clients mit dem Servergespeicherten synchronisiert wird.<br />
<br />
<br />
Treten beim Einloggen eines Users Probleme auf, dass er auf sein Profil nicht zugegriffen kann, wird also wahrscheinlich<br />
<br />
<br />
a) kein Profil für den Benutzer in path existieren und der User für path keinen Vollzugriff besitzen, um ein neues Default-Profil anlegen zu können,<br />
<br />
b) dem Benutzer fehlen die Vollzugriffsrechte auf seinen Profil-Ordner und/oder<br />
<br />
c) dem User wurde das Leserecht auf die ''ntuser.dat / ntuser.man'' entzogen (siehe Punkt "Verbindliche, unveränderbare Profile")<br />
<br />
<br />
[[Bild:smb_config_client_02.jpg]]<br />
<br />
Grafik 1<br />
<br />
<br />
== Profilvorlagen anlegen ==<br />
<br />
Sollen die Benutzer nicht das "klickibunti" XP-Design als Standard verwenden, den Destkop und die Registry nicht ändern können, dann machen verbindliche, unveränderbare Profile Sinn. Problem: beim ersten Anmelden eines Users wird ein Profil-Verzeichnis angelegt – jedoch mit oben genannten Eigenschaften, die wir so nicht akzeptieren *G* Also basteln wir uns eine Vorlage. Das ist gar nicht so schwer: Voraussetzung ist, dass der Samba-Server eingerichtet ist und läuft, root in der smbpasswd/LDAP existiert und man auf das Share ''[profiles]'' als root schreibend zugreifen kann. Ist dies gegeben, meldet man sich an einem XP-Rechner mit Administrationsrechten lokal (nicht an der Domäne!) an.<br />
<br />
<br />
'''''Schritt 1: "vorlage"-User erstellen'''''<br />
<br />
Am XP-PC angemeldet, legen wir einen User "vorlage" an, vergeben ein Passwort, melden uns als Admin ab und als der "vorlage"-User am Rechner erneut an.<br />
<br />
<br />
'''''Schritt 2: Profil des "vorlagen"-Users anpassen'''''<br />
<br />
Ist man als "vorlage" angemeldet, passt man das Aussehen von Windows dementsprechend an – und zwar genau so, wie unsere Client-PC's dann aussehen sollen. Zu beachten: es sollten keine benutzerspezifischen Desktop-Symbole oder Startmenü-Einträge erstellt werden; einfach das Profil anpassen. Ist man mit dem Profil des Users "vorlage" zufrieden, meldet man sich ab und erneut als Administrator lokal an. <br />
<br />
<br />
'''Tipp:''' man sollte nochmal in das erstellte Profil-Verzeichnis des Benutzers "vorlage" wechseln und dort nach den versteckten Dateien ''desktop.ini'' suchen, anschließend alle löschen. Grund: es existiert z. B. im Autostart-Ordner eine solche Datei. Kopiert man dann das Profil auf einen anderen User, ist diese Datei nicht mehr versteckt und wird bei jedem Anmelden geöffnet – das nervt meines Erachtens ziemlich. Zudem sollte man in der ''[homes]'' und ''[profiles]''-Sektion das Attribut ''hide files = /desktop.ini/'' verwenden, um die Dateien als "Versteckt" anzuzeigen.<br />
<br />
<br />
Klicke auf Start, Ausführen und gib ''cmd'' ein. Stelle mit folgendem Befehl – natürlich angepasst an deinen Server – eine Verbindung zu diesem her:<br />
<br />
net use \\server01 /user:root<br />
<br />
Nach Eingabe des root-Passwortes muss eine Bestätigung kommen, dass der Befehl erfolgreich ausgeführt wurde. Andernfalls sollte man prüfen, ob root in der smbpasswd/LDAP angelegt wurde!<br />
<br />
<br />
Nun wechselt man in die Systemsteuerung, klickt auf System, Registerkarte Erweitert und klickt bei den Benutzerprofilen auf Einstellungen. Aus der Liste wählt man den "vorlage"-User aus und klickt dann auf Kopieren nach (Grafik 2). Bei Profil kopieren nach gibt man folgendes an:<br />
<br />
\\server01\profiles\vorlage<br />
<br />
Bevor man nun auf OK klickt, muss man noch den Benutzer ändern. Auf den Button Ändern klicken und als Benutzer ''Jeder'' wählen. Grund: kopiert man das Profil später auf einen anderen User, so hat dieser Zugriffsprobleme auf sein Profil. Als Jeder werden die Rechte – wenn man so will – "neutral" vergeben.<br />
<br />
<br />
Jetzt kann man auf OK klicken und das Profil wird auf den Server in das Profil-Share kopiert (Grafik 3). Wird der Zugriff verweigert oder tritt sonst ein Fehler auf: smb.conf und Zugriffsrechte auf den Ordner prüfen!<br />
<br />
<br />
[[Bild:smb_config_client_03.jpg]]<br />
<br />
Grafik 2<br />
<br />
<br />
[[Bild:smb_config_client_04.jpg]]<br />
<br />
Grafik 3<br />
<br />
<br />
== Verbindliche, unveränderbare Profile ==<br />
<br />
Es ist häufig gewünscht, dass ein Benutzer sein Profil nicht ändern kann, um den Server z. B. durch das Abspeichern übergroßer Hintergrundbilder etc. nicht zu überlasten. Hier gibt’s einen einfachen Trick: benenne im Profil-Verzeichnis des Benutzers (am Besten gleich des "vorlage"-Benutzers) die Datei ''ntuser.dat'' in ''ntuser.man'' um und vergib nur das Leserecht auf die Datei: <br />
<br />
chmod 400 ntuser.man<br />
<br />
damit soll verhindert werden, dass der Benutzer die Datei selbst wieder in ''ntuser.dat'' umbenennt. Das Leserecht ist jedoch zwingend erforderlich, bitte beachten! Außerdem ist darauf zu achten, im ''[profile]''-Share das Attribut ''read only = yes'' zu setzen. Hier ist natürlich wieder zu berücksichtigen, dass dann für jeden User, der sich anmelden will, bereits ein Profil-Ordner vorhanden sein muss. Wichtig ist auch zu wissen, dass die "Eigenen Dateien" ebenfalls zum Profil zählen und in diesem Fall nicht gespeichert würden! Lies dir den Beitrag [[Zentrale Verteilung der Gruppenrichtlinien - poledit]] durch. Ich habe hier [[http://www.f-tech.de/dokumente/flo_poledit.adm]] eine ADM-Vorlage zum Download, welche u. a. Ordnerumleitung ermöglicht. So kannst du die "Eigenen Dateien" auf ein Netzlaufwerk verschieben.<br />
<br />
<br />
'''Zusätzliche Anmkerung:''' die Profile – auch wenn sie serverbasierend sind – werden lokal am Client angelegt und beim Abmelden synchronisiert. Ich habe zum Testen der Funktionalität des unveränderbaren Profils ein Desktopbild eingefügt, mich abgemeldet und wieder angemeldet – das schien jedoch nicht zu funktionieren, da die Grafik wider erwarten angezeigt wurde. In Wirklichkeit war ein Neustart des Clients notwendig, dann funktionierte alles (frag' mich nicht warum...)!<br />
<br />
<br />
== Profilvorlage für User kopieren ==<br />
<br />
Nachdem wir unser Vorlagen-Profil nun auf dem Server haben, müssen wir für jeden User einen Ordner mit den Dateien und Verzeichnissen aus dem Vorlage-Profil heraus erstellen. Wechsle in den Profil-Ordner (z. B. ''/srv/samba/profiles''). Vergewissere dich, dass dort der Ordner ''vorlage'' existiert und gib dann folgende Befehle ein, um ein Profil für den User ''franz'' zu erstellen:<br />
<br />
cp -R vorlage/ franz<br />
chown -R franz franz<br />
chmod 700 franz<br />
<br />
Was passiert hier: als erstes kopieren wir den gesamten Ordnerinhalt von ''vorlage'' in den Ordner ''franz''. Als nächsten Schritt machen wir den Benutzer ''franz'' zum Eigentümer dieses Ordners und geben ihm (und nur ihm!) mit ''chmod'' Vollzugriff auf sein Profil. Andernfalls kommt es zu einem Fehler beim Login bzw. Logout (siehe Grafik 1).<br />
<br />
<br />
Das soll's gewesen sein!<br />
<br />
<br />
[[Samba|Zurück zu Samba]]<br />
<br />
<br />
--[[Benutzer:Flo84|Flo84]] 21:56, 14. Mai 2007 (CEST)</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=PDC_Client&diff=15548PDC Client2007-05-15T06:31:36Z<p>Flo84: </p>
<hr />
<div>{{Wettbewerb}} <br />
<br />
== Client in die Domäne aufnehmen ==<br />
<br />
Will man einen Client einer Domäne hinzufügen, muss der Server als PDC konfiguriert sein ([[Beispiel einer smb.conf]]). Weiter wird davon ausgegangen, dass root und alle gewünschten Benutzer mit smbpasswd angelegt wurden bzw. die User im LDAP-Verzeichnis existieren. Ist der Server einsatzbereit und kann man auf Shares wie in einem Peer-to-Peer Netz zugreifen (Stichwort "Netzlaufwerk verbinden"), werden wir nun die Client-PC's der Domäne hinzufügen.<br />
<br />
<br />
'''''Noch ein Hinweis:''''' läuft Samba mit LDAP-Backend, sollte man auch das Script [[Samba mit LDAP - extended]] bei folgenden Schritten berücksichtigen!<br />
<br />
<br />
Man meldet sich lokal als Admin am Client an und wechselt in die Systemsteuerung, System. In der Registerkarte ''Computername'' klickt man auf den Button ''Ändern'', wählt in Mitglied von den Punkt Domäne und gibt sinnigerweise den Namen der Domäne an, wie sie in der smb.conf steht (''[global]''-Sektion der Punkt ''workgroup''). Klickt man auf OK wird man nach einem Usernamen sowie einem Passwort gefragt. Gib hier root mit seinem in smbpasswd/LDAP-Verzeichnis angelegten Kennwort ein. Nach wenigen Sekunden sollte folgender Hinweis erscheinen:<br />
<br />
<br />
[[Bild:smb_config_client_01.jpg]]<br />
<br />
<br />
Erscheint diese Meldung nicht, kommt also stattdessen eine Fehlermeldung, sollte man sich vergewissern, dass root mit ''smbpasswd -a root'' angelegt wurde und ein Maschinen-Account für den Client existiert – falls man in der ''[global]''-Sektion der ''smb.conf'' nicht<br />
<br />
add machine script = /usr/sbin/useradd -g [maschinengruppe] -s /bin/false %u<br />
<br />
angegeben hat (siehe smb.conf-Beispiel) passiert dies nämlich nicht automatisch! Will man einen Rechner "per Hand" eintragen, lauten die Befehle:<br />
<br />
useradd -s /bin/false [RECHERNAME]$<br />
smbpasswd -a -m [RECHNERNAME]<br />
<br />
Überprüfe bei einem Fehler auch die ''smb.conf'', um sicherzustellen, dass der Server auch wirklich als PDC eingerichtet wurde. Verwende hierzu den Befehl ''testparm''<br />
<br />
<br />
Für LDAP gilt übrigens folgender Befehl:<br />
<br />
add machine script = /usr/sbin/smbldap-useradd -w %u<br />
<br />
<br />
Es sollte bei Problemen auch die ''/etc/ldap.conf'' überprüft werden. Hier muss der Eintrag ''nss_base_passwd ou=Computers,dc=firma_xyz,dc=de'' unter Anderem gesetzt sein! Die Logfiles ''/var/log/messages'' sowie ''/var/log/samba/log.smbd'' geben sicher den wertvollsten Hinweis darauf, wo das Problem liegt!<br />
<br />
<br />
Nach erfolgreichem Aufnehmen des Rechners muss dieser neu gestartet werden. Bevor man sich aber anmeldet, sollte man sich mit den Benutzerprofilen auseinandersetzen!<br />
<br />
== Serverbasierende Profile ==<br />
<br />
Sie machen Sinn, um dem User zu ermöglichen, seinen gewohnten Desktop – egal an welchem PC er sich im Netzwerk anmeldet – zur Verfügung zu stellen. Man bezeichnet soetwas als Roaming Profiles.<br />
<br />
<br />
In der smb.conf muss in der ''[global]''-Sektion ''logon path = /pfad/zum/profilordner'' gesetzt sein und außerdem das Share ''[profiles]'' existieren. Dieses sieht z. B. so aus:<br />
<br />
[profiles]<br />
comment=Profile<br />
path=/srv/samba/profiles<br />
read only=no<br />
create mask=0600<br />
directory mask=0770<br />
browseable=no<br />
<br />
Ist für einen User kein Profil-Verzeichnis in path angelegt, so wird dieses beim ersten Login erzeugt. Voraussetzung ist, dass der User in path (also ''/srv/samba/profiles'') uneingeschränkte Rechte hat (Lese-, Schreib- und Ausführrecht!!!). Werden die Profil-Ordner von root aus einer Vorlage heraus angelegt (siehe weiter unten) reicht es, Lese- und Ausführungsrecht (r-x) für dieses Verzeichnis – sprich ''/srv/samba/profiles'' – zu vergeben, wobei der User für sein Profil-Verzeichnis ''/srv/samba/profiles/[username]'' aber wieder Vollzugriff benötigt, da beim Abmelden das Profil des Clients mit dem Servergespeicherten synchronisiert wird.<br />
<br />
<br />
Treten beim Einloggen eines Users Probleme auf, dass er auf sein Profil nicht zugegriffen kann, wird also wahrscheinlich<br />
<br />
<br />
a) kein Profil für den Benutzer in path existieren und der User für path keinen Vollzugriff besitzen, um ein neues Default-Profil anlegen zu können,<br />
<br />
b) dem Benutzer fehlen die Vollzugriffsrechte auf seinen Profil-Ordner und/oder<br />
<br />
c) dem User wurde das Leserecht auf die ''ntuser.dat / ntuser.man'' entzogen (siehe Punkt "Verbindliche, unveränderbare Profile")<br />
<br />
<br />
[[Bild:smb_config_client_02.jpg]]<br />
<br />
Grafik 1<br />
<br />
<br />
== Profilvorlagen anlegen ==<br />
<br />
Sollen die Benutzer nicht das "klickibunti" XP-Design als Standard verwenden, den Destkop und die Registry nicht ändern können, dann machen verbindliche, unveränderbare Profile Sinn. Problem: beim ersten Anmelden eines Users wird ein Profil-Verzeichnis angelegt – jedoch mit oben genannten Eigenschaften, die wir so nicht akzeptieren *G* Also basteln wir uns eine Vorlage. Das ist gar nicht so schwer: Voraussetzung ist, dass der Samba-Server eingerichtet ist und läuft, root in der smbpasswd/LDAP existiert und man auf das Share ''[profiles]'' als root schreibend zugreifen kann. Ist dies gegeben, meldet man sich an einem XP-Rechner mit Administrationsrechten lokal (nicht an der Domäne!) an.<br />
<br />
<br />
'''''Schritt 1: "vorlage"-User erstellen'''''<br />
<br />
Am XP-PC angemeldet, legen wir einen User "vorlage" an, vergeben ein Passwort, melden uns als Admin ab und als der "vorlage"-User am Rechner erneut an.<br />
<br />
<br />
'''''Schritt 2: Profil des "vorlagen"-Users anpassen'''''<br />
<br />
Ist man als "vorlage" angemeldet, passt man das Aussehen von Windows dementsprechend an – und zwar genau so, wie unsere Client-PC's dann aussehen sollen. Zu beachten: es sollten keine benutzerspezifischen Desktop-Symbole oder Startmenü-Einträge erstellt werden; einfach das Profil anpassen. Ist man mit dem Profil des Users "vorlage" zufrieden, meldet man sich ab und erneut als Administrator lokal an. <br />
<br />
<br />
'''Tipp:''' man sollte nochmal in das erstellte Profil-Verzeichnis des Benutzers "vorlage" wechseln und dort nach den versteckten Dateien ''desktop.ini'' suchen, anschließend alle löschen. Grund: es existiert z. B. im Autostart-Ordner eine solche Datei. Kopiert man dann das Profil auf einen anderen User, ist diese Datei nicht mehr versteckt und wird bei jedem Anmelden geöffnet – das nervt meines Erachtens ziemlich. Zudem sollte man in der ''[homes]'' und ''[profiles]''-Sektion das Attribut ''hide files = /desktop.ini/'' verwenden, um die Dateien als "Versteckt" anzuzeigen.<br />
<br />
<br />
Klicke auf Start, Ausführen und gib ''cmd'' ein. Stelle mit folgendem Befehl – natürlich angepasst an deinen Server – eine Verbindung zu diesem her:<br />
<br />
net use \\server01 /user:root<br />
<br />
Nach Eingabe des root-Passwortes muss eine Bestätigung kommen, dass der Befehl erfolgreich ausgeführt wurde. Andernfalls sollte man prüfen, ob root in der smbpasswd/LDAP angelegt wurde!<br />
<br />
<br />
Nun wechselt man in die Systemsteuerung, klickt auf System, Registerkarte Erweitert und klickt bei den Benutzerprofilen auf Einstellungen. Aus der Liste wählt man den "vorlage"-User aus und klickt dann auf Kopieren nach (Grafik 2). Bei Profil kopieren nach gibt man folgendes an:<br />
<br />
\\server01\profiles\vorlage<br />
<br />
Bevor man nun auf OK klickt, muss man noch den Benutzer ändern. Auf den Button Ändern klicken und als Benutzer ''Jeder'' wählen. Grund: kopiert man das Profil später auf einen anderen User, so hat dieser Zugriffsprobleme auf sein Profil. Als Jeder werden die Rechte – wenn man so will – "neutral" vergeben.<br />
<br />
<br />
Jetzt kann man auf OK klicken und das Profil wird auf den Server in das Profil-Share kopiert (Grafik 3). Wird der Zugriff verweigert oder tritt sonst ein Fehler auf: smb.conf und Zugriffsrechte auf den Ordner prüfen!<br />
<br />
<br />
[[Bild:smb_config_client_03.jpg]]<br />
<br />
Grafik 2<br />
<br />
<br />
[[Bild:smb_config_client_04.jpg]]<br />
<br />
Grafik 3<br />
<br />
<br />
== Verbindliche, unveränderbare Profile ==<br />
<br />
Es ist häufig gewünscht, dass ein Benutzer sein Profil nicht ändern kann, um den Server z. B. durch das Abspeichern übergroßer Hintergrundbilder etc. nicht zu überlasten. Hier gibt’s einen einfachen Trick: benenne im Profil-Verzeichnis des Benutzers (am Besten gleich des "vorlage"-Benutzers) die Datei ''ntuser.dat'' in ''ntuser.man'' um und vergib nur das Leserecht auf die Datei: <br />
<br />
chmod 400 ntuser.man<br />
<br />
damit soll verhindert werden, dass der Benutzer die Datei selbst wieder in ''ntuser.dat'' umbenennt. Das Leserecht ist jedoch zwingend erforderlich, bitte beachten! Außerdem ist darauf zu achten, im ''[profile]''-Share das Attribut ''read only = yes'' zu setzen. Hier ist natürlich wieder zu berücksichtigen, dass dann für jeden User, der sich anmelden will, bereits ein Profil-Ordner vorhanden sein muss. Wichtig ist auch zu wissen, dass die "Eigenen Dateien" ebenfalls zum Profil zählen und in diesem Fall nicht gespeichert würden! Lies dir den Beitrag [[Zentrale Verteilung der Gruppenrichtlinien - poledit]] durch. Ich habe [[http://www.f-tech.de/dokumente/flo_poledit.adm|hier]] eine ADM-Vorlage zum Download, welche u. a. Ordnerumleitung ermöglicht. So kannst du die "Eigenen Dateien" auf ein Netzlaufwerk verschieben.<br />
<br />
<br />
'''Zusätzliche Anmkerung:''' die Profile – auch wenn sie serverbasierend sind – werden lokal am Client angelegt und beim Abmelden synchronisiert. Ich habe zum Testen der Funktionalität des unveränderbaren Profils ein Desktopbild eingefügt, mich abgemeldet und wieder angemeldet – das schien jedoch nicht zu funktionieren, da die Grafik wider erwarten angezeigt wurde. In Wirklichkeit war ein Neustart des Clients notwendig, dann funktionierte alles (frag' mich nicht warum...)!<br />
<br />
<br />
== Profilvorlage für User kopieren ==<br />
<br />
Nachdem wir unser Vorlagen-Profil nun auf dem Server haben, müssen wir für jeden User einen Ordner mit den Dateien und Verzeichnissen aus dem Vorlage-Profil heraus erstellen. Wechsle in den Profil-Ordner (z. B. ''/srv/samba/profiles''). Vergewissere dich, dass dort der Ordner ''vorlage'' existiert und gib dann folgende Befehle ein, um ein Profil für den User ''franz'' zu erstellen:<br />
<br />
cp -R vorlage/ franz<br />
chown -R franz franz<br />
chmod 700 franz<br />
<br />
Was passiert hier: als erstes kopieren wir den gesamten Ordnerinhalt von ''vorlage'' in den Ordner ''franz''. Als nächsten Schritt machen wir den Benutzer ''franz'' zum Eigentümer dieses Ordners und geben ihm (und nur ihm!) mit ''chmod'' Vollzugriff auf sein Profil. Andernfalls kommt es zu einem Fehler beim Login bzw. Logout (siehe Grafik 1).<br />
<br />
<br />
Das soll's gewesen sein!<br />
<br />
<br />
[[Samba|Zurück zu Samba]]<br />
<br />
<br />
--[[Benutzer:Flo84|Flo84]] 21:56, 14. Mai 2007 (CEST)</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=Smb.conf&diff=15543Smb.conf2007-05-15T05:55:10Z<p>Flo84: /* Die [print$]-Sektion */</p>
<hr />
<div>{{Wettbewerb}} <br />
<br />
== Die [global]-Sektion ==<br />
<br />
'''workgroup=firma_xyz :''' hier wird der Domänen-Namen vergeben<br />
<br />
'''netbios name=Server01 :''' der NetBIOS-Name des Servers<br />
<br />
'''server string=Linux Samba-Server %v :''' mit dieser Zeichenkette erscheint der Server unter Windows – inklusive der Samba-Version (%v)<br />
<br />
'''security=user :''' der Server soll als PDC fungieren<br />
<br />
'''encrypt passwords=yes :''' Passwörter werden verschlüsselt vom Client an den Server geschickt (ab Windows 98!)<br />
<br />
'''wins support=yes :''' der Server bietet WINS-Support für die Namensauflösung; ist bereits ein WINS-Server im Einsatz, verwende ''wins server = [server_ip]''<br />
<br />
'''name resolv order:''' im Beispiel wird versucht, die Namensauflösung in der Reihenfolge wins, lmhosts, hosts und zum Schluss per Broadcast durchzuführen<br />
<br />
'''domain logons=yes :''' realisiert die Domänenanmeldung der Clients<br />
<br />
'''local master=yes :''' Server wird zum Master-Browser erhoben<br />
<br />
'''preferred master=yes :''' legt fest, dass der nmbd als bevorzugter master browser in der Domain auftritt. nmbd ist der NetBIOS-Name Server und bietet via Netbios über TCP/IP entsprechende Namensdienste an.<br />
<br />
'''domain master=yes :''' spricht für sich...<br />
<br />
'''os level=65 :''' stellt sicher, dass der Samba die "Wahl" zum PDC gewinnt<br />
<br />
'''admin users=root :''' Benutzer mit Administrationsrechten (Domain-Admin)<br />
<br />
'''logon home=\\%L\homes :''' Angabe des Home-Verzeichnis. Im Beispiel befinden sich die Home-Verzeichnise aller User unter /home; die [homes]-Sektion muss hier in der smb.conf enthalten sein!<br />
<br />
'''logon drive=k: :''' in diesem Fall wird auf k: das Home-Verzeichnis gemounted<br />
<br />
'''logon path=\\%L\profiles\%U :''' Quelle der servergespeicherten User-Profile (beachte [profiles])<br />
<br />
'''load printers=yes :''' Drucker laden<br />
<br />
'''printing=cups :''' zum Drucken das CUPS verwenden<br />
<br />
'''printcap name=cups :''' das CUPS Printing-Interface verwenden<br />
<br />
'''logon script=%U.logon.bat :''' Logon-Script, das nach dem Anmelden für jeden – in diesem Fall – einzelnen User ausgeführt wird; verlangt die Existenz der Sektion [netlogon]<br />
<br />
'''unix password sync = yes :''' dieser Parameter ändert nicht nur das Samba- sondern auch das Linux-Passwort, wenn der User am (Windows-)Client sein Kennwort ändert; Voraussetzung: das smbpasswd-Passwort ist gleich dem Linux-Passwort<br />
<br />
'''passwd program = /usr/bin/passwd %u :''' dieses Programm wird für die Passwortänderung verwendet<br />
<br />
'''add machine script = /usr/sbin/useradd -g [maschinen_gruppe] -s /bin/false %u :''' unbekannte Maschinen-/Computer-Accounts automatisch anlegen, wenn diese in die Domäne eingebunden werden; [machinen_gruppe] muss vorher angelegt werden (groupadd)!<br />
<br />
<br />
== Die [homes]-Sektion ==<br />
<br />
Hierbei handelt es sich um ein spezielles Share. Im Grunde ist es aufgebaut wie eine "normale" Freigabe, mit der Besonderheit, dass hier die Home-Verzeichnisse der User, die sich an der Domäne anmelden, liegen. Wenn ''[homes]'' den Eintrag ''path=/pfad/zu/homeverzeichnis'' nicht enthält, werden die Homeverzeichnisse unter ''/home'' verwendet. Egal ob path verwendet wird oder nicht: es muss für jeden Benutzer ein Ordner mit dessen Namen im entsprechenden Verzeichnis existieren (Unix-Rechte anpassen nicht vergessen!). Beachte auch in der ''[global]''-Sektion den Eintrag ''logon home=''!<br />
<br />
<br />
== Die [profiles]-Sektion ==<br />
<br />
Dieses Share ist fast (!) wie alle Anderen, mit der Ausnahme, dass im angegebenen path (z. B. ''/srv/samba/profiles'') für jeden User ein Profil-Verzeichnis liegt. Durch ''hide files'' und store dos attributes wird bewirkt, dass DOS-Attribute (wie z. B. für die versteckte Datei ''desktop.ini'') erhalten bleiben. Beachte hierzu das Script [[Samba mit LDAP - extended]]!<br />
<br />
<br />
== Die [netlogon]-Sektion ==<br />
<br />
Ebenfalls mit einem "normalen" Share zu vergleichen, mit der Sonderbedeutung, dass sich in path die Login-Scripte und die ''ntconfig.pol'' für Systemrichtlinien befinden. Wird in der ''[global]''-Sektion ''logon script = %U.logon.bat'' angegeben, so wird im Verzeichnis path für jeden User ein derartiges Script erwartet, z. B.für einen Benutzer flo die ''flo.logon.bat''. Die ''ntconfig.pol'' wird mit Poledit erstellt. Beachte [[Zentrale Verteilung der Gruppenrichtlinien - poledit]]<br />
<br />
<br />
== Die [printers]-Sektion ==<br />
<br />
Existiert dieses Share, so werden alle am Server eingerichteten Drucker den Clients zur Verfügung gestellt. Will man für Drucker spezielle Rechte vergeben, z. B. dass nur bestimmte User auf einen Drucker drucken dürfen, so muss für jeden Drucker ein eigenes Share angelegt werden. Beachte hierzu das Script ''Samba als Druckserver'' (folgt noch).<br />
<br />
'''path = /srv/samba/spool :''' Pfad zum Samba-Spoolverzeichnis; Rechte: chmod 7771 /srv/samba/spool<br />
<br />
'''browseable = no :''' Share soll in der "Netzwerkumgebung" nicht sichtbar sein<br />
<br />
'''guest ok = yes :''' grundsätzlich darf jeder – auch Gäste – drucken<br />
<br />
'''writeable = no :''' das Ablegen von "Nicht-Drucker-Dateien" soll verweigert werden<br />
<br />
'''printable = yes :''' es handelt sich um ein Printer-Share, d. h. trotz writeable = no dürfen trotzdem Druckjobs von den Benutzern abgelegt werden!<br />
<br />
'''printer admin = root :''' Admin, der die Drucker verwaltet<br />
<br />
<br />
== Die [print$]-Sektion ==<br />
<br />
Dieses Share beinhaltet die Drucker-Treiber für die (Windows-) Clients. Wird ein Drucker an einem Client-PC hinzugefügt, holt sich dieser die Treiber aus dem Ordner path. Genaueres erfährst du im Script [[Samba mit LDAP - extended]].<br />
<br />
'''path = /srv/samba/drivers :''' Pfad, in dem die Druckertreiber liegen<br />
<br />
'''browseable = yes :''' dies verlangt Windows so<br />
<br />
'''guest ok = no :''' kein „Gast“ hat Zugriff auf dieses Share<br />
<br />
'''read only = yes :''' keiner darf schreiben, nur lesen...<br />
<br />
'''write list = root :''' ...außer root, der darf hier Dateien (genauer: Treiber) ablegen<br />
<br />
== Hinweise ==<br />
<br />
Diese Doku war eigentlich für meinen eigenen "Gebrauch" gedacht - vielleicht hilft sie dir auch weiter ;-)<br />
<br />
Willst du Samba mit LDAP-Backend verwenden, lies dir hierzu das Script ''Samba und OpenLDAP'' durch (folgt noch). Das soll's gewesen sein!<br />
<br />
<br />
[[Samba|Zurück zu Samba]]<br />
<br />
<br />
--[[Benutzer:Flo84|Flo84]] 21:57, 14. Mai 2007 (CEST)</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=Smb.conf&diff=15516Smb.conf2007-05-14T19:57:14Z<p>Flo84: </p>
<hr />
<div>{{Wettbewerb}} <br />
<br />
== Die [global]-Sektion ==<br />
<br />
'''workgroup=firma_xyz :''' hier wird der Domänen-Namen vergeben<br />
<br />
'''netbios name=Server01 :''' der NetBIOS-Name des Servers<br />
<br />
'''server string=Linux Samba-Server %v :''' mit dieser Zeichenkette erscheint der Server unter Windows – inklusive der Samba-Version (%v)<br />
<br />
'''security=user :''' der Server soll als PDC fungieren<br />
<br />
'''encrypt passwords=yes :''' Passwörter werden verschlüsselt vom Client an den Server geschickt (ab Windows 98!)<br />
<br />
'''wins support=yes :''' der Server bietet WINS-Support für die Namensauflösung; ist bereits ein WINS-Server im Einsatz, verwende ''wins server = [server_ip]''<br />
<br />
'''name resolv order:''' im Beispiel wird versucht, die Namensauflösung in der Reihenfolge wins, lmhosts, hosts und zum Schluss per Broadcast durchzuführen<br />
<br />
'''domain logons=yes :''' realisiert die Domänenanmeldung der Clients<br />
<br />
'''local master=yes :''' Server wird zum Master-Browser erhoben<br />
<br />
'''preferred master=yes :''' legt fest, dass der nmbd als bevorzugter master browser in der Domain auftritt. nmbd ist der NetBIOS-Name Server und bietet via Netbios über TCP/IP entsprechende Namensdienste an.<br />
<br />
'''domain master=yes :''' spricht für sich...<br />
<br />
'''os level=65 :''' stellt sicher, dass der Samba die "Wahl" zum PDC gewinnt<br />
<br />
'''admin users=root :''' Benutzer mit Administrationsrechten (Domain-Admin)<br />
<br />
'''logon home=\\%L\homes :''' Angabe des Home-Verzeichnis. Im Beispiel befinden sich die Home-Verzeichnise aller User unter /home; die [homes]-Sektion muss hier in der smb.conf enthalten sein!<br />
<br />
'''logon drive=k: :''' in diesem Fall wird auf k: das Home-Verzeichnis gemounted<br />
<br />
'''logon path=\\%L\profiles\%U :''' Quelle der servergespeicherten User-Profile (beachte [profiles])<br />
<br />
'''load printers=yes :''' Drucker laden<br />
<br />
'''printing=cups :''' zum Drucken das CUPS verwenden<br />
<br />
'''printcap name=cups :''' das CUPS Printing-Interface verwenden<br />
<br />
'''logon script=%U.logon.bat :''' Logon-Script, das nach dem Anmelden für jeden – in diesem Fall – einzelnen User ausgeführt wird; verlangt die Existenz der Sektion [netlogon]<br />
<br />
'''unix password sync = yes :''' dieser Parameter ändert nicht nur das Samba- sondern auch das Linux-Passwort, wenn der User am (Windows-)Client sein Kennwort ändert; Voraussetzung: das smbpasswd-Passwort ist gleich dem Linux-Passwort<br />
<br />
'''passwd program = /usr/bin/passwd %u :''' dieses Programm wird für die Passwortänderung verwendet<br />
<br />
'''add machine script = /usr/sbin/useradd -g [maschinen_gruppe] -s /bin/false %u :''' unbekannte Maschinen-/Computer-Accounts automatisch anlegen, wenn diese in die Domäne eingebunden werden; [machinen_gruppe] muss vorher angelegt werden (groupadd)!<br />
<br />
<br />
== Die [homes]-Sektion ==<br />
<br />
Hierbei handelt es sich um ein spezielles Share. Im Grunde ist es aufgebaut wie eine "normale" Freigabe, mit der Besonderheit, dass hier die Home-Verzeichnisse der User, die sich an der Domäne anmelden, liegen. Wenn ''[homes]'' den Eintrag ''path=/pfad/zu/homeverzeichnis'' nicht enthält, werden die Homeverzeichnisse unter ''/home'' verwendet. Egal ob path verwendet wird oder nicht: es muss für jeden Benutzer ein Ordner mit dessen Namen im entsprechenden Verzeichnis existieren (Unix-Rechte anpassen nicht vergessen!). Beachte auch in der ''[global]''-Sektion den Eintrag ''logon home=''!<br />
<br />
<br />
== Die [profiles]-Sektion ==<br />
<br />
Dieses Share ist fast (!) wie alle Anderen, mit der Ausnahme, dass im angegebenen path (z. B. ''/srv/samba/profiles'') für jeden User ein Profil-Verzeichnis liegt. Durch ''hide files'' und store dos attributes wird bewirkt, dass DOS-Attribute (wie z. B. für die versteckte Datei ''desktop.ini'') erhalten bleiben. Beachte hierzu das Script [[Samba mit LDAP - extended]]!<br />
<br />
<br />
== Die [netlogon]-Sektion ==<br />
<br />
Ebenfalls mit einem "normalen" Share zu vergleichen, mit der Sonderbedeutung, dass sich in path die Login-Scripte und die ''ntconfig.pol'' für Systemrichtlinien befinden. Wird in der ''[global]''-Sektion ''logon script = %U.logon.bat'' angegeben, so wird im Verzeichnis path für jeden User ein derartiges Script erwartet, z. B.für einen Benutzer flo die ''flo.logon.bat''. Die ''ntconfig.pol'' wird mit Poledit erstellt. Beachte [[Zentrale Verteilung der Gruppenrichtlinien - poledit]]<br />
<br />
<br />
== Die [printers]-Sektion ==<br />
<br />
Existiert dieses Share, so werden alle am Server eingerichteten Drucker den Clients zur Verfügung gestellt. Will man für Drucker spezielle Rechte vergeben, z. B. dass nur bestimmte User auf einen Drucker drucken dürfen, so muss für jeden Drucker ein eigenes Share angelegt werden. Beachte hierzu das Script ''Samba als Druckserver'' (folgt noch).<br />
<br />
'''path = /srv/samba/spool :''' Pfad zum Samba-Spoolverzeichnis; Rechte: chmod 7771 /srv/samba/spool<br />
<br />
'''browseable = no :''' Share soll in der "Netzwerkumgebung" nicht sichtbar sein<br />
<br />
'''guest ok = yes :''' grundsätzlich darf jeder – auch Gäste – drucken<br />
<br />
'''writeable = no :''' das Ablegen von "Nicht-Drucker-Dateien" soll verweigert werden<br />
<br />
'''printable = yes :''' es handelt sich um ein Printer-Share, d. h. trotz writeable = no dürfen trotzdem Druckjobs von den Benutzern abgelegt werden!<br />
<br />
'''printer admin = root :''' Admin, der die Drucker verwaltet<br />
<br />
<br />
== Die [print$]-Sektion ==<br />
<br />
Dieses Share beinhaltet die Drucker-Treiber für die (Windows-) Clients. Wird ein Drucker an einem Client-PC hinzugefügt, holt sich dieser die Treiber aus dem Ordner path. Genaueres erfährst du im Script ''Samba als Druck-Server'' (folgt noch).<br />
<br />
'''path = /srv/samba/drivers :''' Pfad, in dem die Druckertreiber liegen<br />
<br />
'''browseable = yes :''' dies verlangt Windows so<br />
<br />
'''guest ok = no :''' kein „Gast“ hat Zugriff auf dieses Share<br />
<br />
'''read only = yes :''' keiner darf schreiben, nur lesen...<br />
<br />
'''write list = root :''' ...außer root, der darf hier Dateien (genauer: Treiber) ablegen<br />
<br />
<br />
== Hinweise ==<br />
<br />
Diese Doku war eigentlich für meinen eigenen "Gebrauch" gedacht - vielleicht hilft sie dir auch weiter ;-)<br />
<br />
Willst du Samba mit LDAP-Backend verwenden, lies dir hierzu das Script ''Samba und OpenLDAP'' durch (folgt noch). Das soll's gewesen sein!<br />
<br />
<br />
[[Samba|Zurück zu Samba]]<br />
<br />
<br />
--[[Benutzer:Flo84|Flo84]] 21:57, 14. Mai 2007 (CEST)</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=PDC_Client&diff=15515PDC Client2007-05-14T19:56:58Z<p>Flo84: </p>
<hr />
<div>{{Wettbewerb}} <br />
<br />
== Client in die Domäne aufnehmen ==<br />
<br />
Will man einen Client einer Domäne hinzufügen, muss der Server als PDC konfiguriert sein ([[Beispiel einer smb.conf]]). Weiter wird davon ausgegangen, dass root und alle gewünschten Benutzer mit smbpasswd angelegt wurden bzw. die User im LDAP-Verzeichnis existieren. Ist der Server einsatzbereit und kann man auf Shares wie in einem Peer-to-Peer Netz zugreifen (Stichwort "Netzlaufwerk verbinden"), werden wir nun die Client-PC's der Domäne hinzufügen.<br />
<br />
<br />
'''''Noch ein Hinweis:''''' läuft Samba mit LDAP-Backend, sollte man auch das Script [[Samba mit LDAP - extended]] bei folgenden Schritten berücksichtigen!<br />
<br />
<br />
Man meldet sich lokal als Admin am Client an und wechselt in die Systemsteuerung, System. In der Registerkarte ''Computername'' klickt man auf den Button ''Ändern'', wählt in Mitglied von den Punkt Domäne und gibt sinnigerweise den Namen der Domäne an, wie sie in der smb.conf steht (''[global]''-Sektion der Punkt ''workgroup''). Klickt man auf OK wird man nach einem Usernamen sowie einem Passwort gefragt. Gib hier root mit seinem in smbpasswd/LDAP-Verzeichnis angelegten Kennwort ein. Nach wenigen Sekunden sollte folgender Hinweis erscheinen:<br />
<br />
<br />
[[Bild:smb_config_client_01.jpg]]<br />
<br />
<br />
Erscheint diese Meldung nicht, kommt also stattdessen eine Fehlermeldung, sollte man sich vergewissern, dass root mit ''smbpasswd -a root'' angelegt wurde und ein Maschinen-Account für den Client existiert – falls man in der ''[global]''-Sektion der ''smb.conf'' nicht<br />
<br />
add machine script = /usr/sbin/useradd -g [maschinengruppe] -s /bin/false %u<br />
<br />
angegeben hat (siehe smb.conf-Beispiel) passiert dies nämlich nicht automatisch! Will man einen Rechner "per Hand" eintragen, lauten die Befehle:<br />
<br />
useradd -s /bin/false [RECHERNAME]$<br />
smbpasswd -a -m [RECHNERNAME]<br />
<br />
Überprüfe bei einem Fehler auch die ''smb.conf'', um sicherzustellen, dass der Server auch wirklich als PDC eingerichtet wurde. Verwende hierzu den Befehl ''testparm''<br />
<br />
<br />
Für LDAP gilt übrigens folgender Befehl:<br />
<br />
add machine script = /usr/sbin/smbldap-useradd -w %u<br />
<br />
<br />
Es sollte bei Problemen auch die ''/etc/ldap.conf'' überprüft werden. Hier muss der Eintrag ''nss_base_passwd ou=Computers,dc=firma_xyz,dc=de'' unter Anderem gesetzt sein! Die Logfiles ''/var/log/messages'' sowie ''/var/log/samba/log.smbd'' geben sicher den wertvollsten Hinweis darauf, wo das Problem liegt!<br />
<br />
<br />
Nach erfolgreichem Aufnehmen des Rechners muss dieser neu gestartet werden. Bevor man sich aber anmeldet, sollte man sich mit den Benutzerprofilen auseinandersetzen!<br />
<br />
== Serverbasierende Profile ==<br />
<br />
Sie machen Sinn, um dem User zu ermöglichen, seinen gewohnten Desktop – egal an welchem PC er sich im Netzwerk anmeldet – zur Verfügung zu stellen. Man bezeichnet soetwas als Roaming Profiles.<br />
<br />
<br />
In der smb.conf muss in der ''[global]''-Sektion ''logon path = /pfad/zum/profilordner'' gesetzt sein und außerdem das Share ''[profiles]'' existieren. Dieses sieht z. B. so aus:<br />
<br />
[profiles]<br />
comment=Profile<br />
path=/srv/samba/profiles<br />
read only=no<br />
create mask=0600<br />
directory mask=0770<br />
browseable=no<br />
<br />
Ist für einen User kein Profil-Verzeichnis in path angelegt, so wird dieses beim ersten Login erzeugt. Voraussetzung ist, dass der User in path (also ''/srv/samba/profiles'') uneingeschränkte Rechte hat (Lese-, Schreib- und Ausführrecht!!!). Werden die Profil-Ordner von root aus einer Vorlage heraus angelegt (siehe weiter unten) reicht es, Lese- und Ausführungsrecht (r-x) für dieses Verzeichnis – sprich ''/srv/samba/profiles'' – zu vergeben, wobei der User für sein Profil-Verzeichnis ''/srv/samba/profiles/[username]'' aber wieder Vollzugriff benötigt, da beim Abmelden das Profil des Clients mit dem Servergespeicherten synchronisiert wird.<br />
<br />
<br />
Treten beim Einloggen eines Users Probleme auf, dass er auf sein Profil nicht zugegriffen kann, wird also wahrscheinlich<br />
<br />
<br />
a) kein Profil für den Benutzer in path existieren und der User für path keinen Vollzugriff besitzen, um ein neues Default-Profil anlegen zu können,<br />
<br />
b) dem Benutzer fehlen die Vollzugriffsrechte auf seinen Profil-Ordner und/oder<br />
<br />
c) dem User wurde das Leserecht auf die ''ntuser.dat / ntuser.man'' entzogen (siehe Punkt "Verbindliche, unveränderbare Profile")<br />
<br />
<br />
[[Bild:smb_config_client_02.jpg]]<br />
<br />
Grafik 1<br />
<br />
<br />
== Profilvorlagen anlegen ==<br />
<br />
Sollen die Benutzer nicht das "klickibunti" XP-Design als Standard verwenden, den Destkop und die Registry nicht ändern können, dann machen verbindliche, unveränderbare Profile Sinn. Problem: beim ersten Anmelden eines Users wird ein Profil-Verzeichnis angelegt – jedoch mit oben genannten Eigenschaften, die wir so nicht akzeptieren *G* Also basteln wir uns eine Vorlage. Das ist gar nicht so schwer: Voraussetzung ist, dass der Samba-Server eingerichtet ist und läuft, root in der smbpasswd/LDAP existiert und man auf das Share ''[profiles]'' als root schreibend zugreifen kann. Ist dies gegeben, meldet man sich an einem XP-Rechner mit Administrationsrechten lokal (nicht an der Domäne!) an.<br />
<br />
<br />
'''''Schritt 1: "vorlage"-User erstellen'''''<br />
<br />
Am XP-PC angemeldet, legen wir einen User "vorlage" an, vergeben ein Passwort, melden uns als Admin ab und als der "vorlage"-User am Rechner erneut an.<br />
<br />
<br />
'''''Schritt 2: Profil des "vorlagen"-Users anpassen'''''<br />
<br />
Ist man als "vorlage" angemeldet, passt man das Aussehen von Windows dementsprechend an – und zwar genau so, wie unsere Client-PC's dann aussehen sollen. Zu beachten: es sollten keine benutzerspezifischen Desktop-Symbole oder Startmenü-Einträge erstellt werden; einfach das Profil anpassen. Ist man mit dem Profil des Users "vorlage" zufrieden, meldet man sich ab und erneut als Administrator lokal an. <br />
<br />
<br />
'''Tipp:''' man sollte nochmal in das erstellte Profil-Verzeichnis des Benutzers "vorlage" wechseln und dort nach den versteckten Dateien ''desktop.ini'' suchen, anschließend alle löschen. Grund: es existiert z. B. im Autostart-Ordner eine solche Datei. Kopiert man dann das Profil auf einen anderen User, ist diese Datei nicht mehr versteckt und wird bei jedem Anmelden geöffnet – das nervt meines Erachtens ziemlich. Zudem sollte man in der ''[homes]'' und ''[profiles]''-Sektion das Attribut ''hide files = /desktop.ini/'' verwenden, um die Dateien als "Versteckt" anzuzeigen.<br />
<br />
<br />
Klicke auf Start, Ausführen und gib ''cmd'' ein. Stelle mit folgendem Befehl – natürlich angepasst an deinen Server – eine Verbindung zu diesem her:<br />
<br />
net use \\server01 /user:root<br />
<br />
Nach Eingabe des root-Passwortes muss eine Bestätigung kommen, dass der Befehl erfolgreich ausgeführt wurde. Andernfalls sollte man prüfen, ob root in der smbpasswd/LDAP angelegt wurde!<br />
<br />
<br />
Nun wechselt man in die Systemsteuerung, klickt auf System, Registerkarte Erweitert und klickt bei den Benutzerprofilen auf Einstellungen. Aus der Liste wählt man den "vorlage"-User aus und klickt dann auf Kopieren nach (Grafik 2). Bei Profil kopieren nach gibt man folgendes an:<br />
<br />
\\server01\profiles\vorlage<br />
<br />
Bevor man nun auf OK klickt, muss man noch den Benutzer ändern. Auf den Button Ändern klicken und als Benutzer ''Jeder'' wählen. Grund: kopiert man das Profil später auf einen anderen User, so hat dieser Zugriffsprobleme auf sein Profil. Als Jeder werden die Rechte – wenn man so will – "neutral" vergeben.<br />
<br />
<br />
Jetzt kann man auf OK klicken und das Profil wird auf den Server in das Profil-Share kopiert (Grafik 3). Wird der Zugriff verweigert oder tritt sonst ein Fehler auf: smb.conf und Zugriffsrechte auf den Ordner prüfen!<br />
<br />
<br />
[[Bild:smb_config_client_03.jpg]]<br />
<br />
Grafik 2<br />
<br />
<br />
[[Bild:smb_config_client_04.jpg]]<br />
<br />
Grafik 3<br />
<br />
<br />
== Verbindliche, unveränderbare Profile ==<br />
<br />
Es ist häufig gewünscht, dass ein Benutzer sein Profil nicht ändern kann, um den Server z. B. durch das Abspeichern übergroßer Hintergrundbilder etc. nicht zu überlasten. Hier gibt’s einen einfachen Trick: benenne im Profil-Verzeichnis des Benutzers (am Besten gleich des "vorlage"-Benutzers) die Datei ''ntuser.dat'' in ''ntuser.man'' um und vergib nur das Leserecht auf die Datei: <br />
<br />
chmod 400 ntuser.man<br />
<br />
damit soll verhindert werden, dass der Benutzer die Datei selbst wieder in ''ntuser.dat'' umbenennt. Das Leserecht ist jedoch zwingend erforderlich, bitte beachten! Außerdem ist darauf zu achten, im ''[profile]''-Share das Attribut ''read only = yes'' zu setzen. Hier ist natürlich wieder zu berücksichtigen, dass dann für jeden User, der sich anmelden will, bereits ein Profil-Ordner vorhanden sein muss. Wichtig ist auch zu wissen, dass die "Eigenen Dateien" ebenfalls zum Profil zählen und in diesem Fall nicht gespeichert würden! Im Script "Samba und Poledit" (folgt noch) wird die Ordnerumleitung erklärt. So kannst du die "Eigenen Dateien" auf ein Netzlaufwerk verschieben.<br />
<br />
<br />
'''Zusätzliche Anmkerung:''' die Profile – auch wenn sie serverbasierend sind – werden lokal am Client angelegt und beim Abmelden synchronisiert. Ich habe zum Testen der Funktionalität des unveränderbaren Profils ein Desktopbild eingefügt, mich abgemeldet und wieder angemeldet – das schien jedoch nicht zu funktionieren, da die Grafik wider erwarten angezeigt wurde. In Wirklichkeit war ein Neustart des Clients notwendig, dann funktionierte alles (frag' mich nicht warum...)!<br />
<br />
<br />
== Profilvorlage für User kopieren ==<br />
<br />
Nachdem wir unser Vorlagen-Profil nun auf dem Server haben, müssen wir für jeden User einen Ordner mit den Dateien und Verzeichnissen aus dem Vorlage-Profil heraus erstellen. Wechsle in den Profil-Ordner (z. B. ''/srv/samba/profiles''). Vergewissere dich, dass dort der Ordner ''vorlage'' existiert und gib dann folgende Befehle ein, um ein Profil für den User ''franz'' zu erstellen:<br />
<br />
cp -R vorlage/ franz<br />
chown -R franz franz<br />
chmod 700 franz<br />
<br />
Was passiert hier: als erstes kopieren wir den gesamten Ordnerinhalt von ''vorlage'' in den Ordner ''franz''. Als nächsten Schritt machen wir den Benutzer ''franz'' zum Eigentümer dieses Ordners und geben ihm (und nur ihm!) mit ''chmod'' Vollzugriff auf sein Profil. Andernfalls kommt es zu einem Fehler beim Login bzw. Logout (siehe Grafik 1).<br />
<br />
<br />
Das soll's gewesen sein!<br />
<br />
<br />
[[Samba|Zurück zu Samba]]<br />
<br />
<br />
--[[Benutzer:Flo84|Flo84]] 21:56, 14. Mai 2007 (CEST)</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=PDC_Client&diff=15514PDC Client2007-05-14T19:55:58Z<p>Flo84: </p>
<hr />
<div>{{Wettbewerb}} <br />
<br />
== Client in die Domäne aufnehmen ==<br />
<br />
Will man einen Client einer Domäne hinzufügen, muss der Server als PDC konfiguriert sein ([[Beispiel einer smb.conf]]). Weiter wird davon ausgegangen, dass root und alle gewünschten Benutzer mit smbpasswd angelegt wurden bzw. die User im LDAP-Verzeichnis existieren. Ist der Server einsatzbereit und kann man auf Shares wie in einem Peer-to-Peer Netz zugreifen (Stichwort "Netzlaufwerk verbinden"), werden wir nun die Client-PC's der Domäne hinzufügen.<br />
<br />
<br />
'''''Noch ein Hinweis:''''' läuft Samba mit LDAP-Backend, sollte man auch das Script [[Samba mit LDAP - extended]] bei folgenden Schritten berücksichtigen!<br />
<br />
<br />
Man meldet sich lokal als Admin am Client an und wechselt in die Systemsteuerung, System. In der Registerkarte ''Computername'' klickt man auf den Button ''Ändern'', wählt in Mitglied von den Punkt Domäne und gibt sinnigerweise den Namen der Domäne an, wie sie in der smb.conf steht (''[global]''-Sektion der Punkt ''workgroup''). Klickt man auf OK wird man nach einem Usernamen sowie einem Passwort gefragt. Gib hier root mit seinem in smbpasswd/LDAP-Verzeichnis angelegten Kennwort ein. Nach wenigen Sekunden sollte folgender Hinweis erscheinen:<br />
<br />
<br />
[[Bild:smb_config_client_01.jpg]]<br />
<br />
<br />
Erscheint diese Meldung nicht, kommt also stattdessen eine Fehlermeldung, sollte man sich vergewissern, dass root mit ''smbpasswd -a root'' angelegt wurde und ein Maschinen-Account für den Client existiert – falls man in der ''[global]''-Sektion der ''smb.conf'' nicht<br />
<br />
add machine script = /usr/sbin/useradd -g [maschinengruppe] -s /bin/false %u<br />
<br />
angegeben hat (siehe smb.conf-Beispiel) passiert dies nämlich nicht automatisch! Will man einen Rechner "per Hand" eintragen, lauten die Befehle:<br />
<br />
useradd -s /bin/false [RECHERNAME]$<br />
smbpasswd -a -m [RECHNERNAME]<br />
<br />
Überprüfe bei einem Fehler auch die ''smb.conf'', um sicherzustellen, dass der Server auch wirklich als PDC eingerichtet wurde. Verwende hierzu den Befehl ''testparm''<br />
<br />
<br />
Für LDAP gilt übrigens folgender Befehl:<br />
<br />
add machine script = /usr/sbin/smbldap-useradd -w %u<br />
<br />
<br />
Es sollte bei Problemen auch die ''/etc/ldap.conf'' überprüft werden. Hier muss der Eintrag ''nss_base_passwd ou=Computers,dc=firma_xyz,dc=de'' unter Anderem gesetzt sein! Die Logfiles ''/var/log/messages'' sowie ''/var/log/samba/log.smbd'' geben sicher den wertvollsten Hinweis darauf, wo das Problem liegt!<br />
<br />
<br />
Nach erfolgreichem Aufnehmen des Rechners muss dieser neu gestartet werden. Bevor man sich aber anmeldet, sollte man sich mit den Benutzerprofilen auseinandersetzen!<br />
<br />
== Serverbasierende Profile ==<br />
<br />
Sie machen Sinn, um dem User zu ermöglichen, seinen gewohnten Desktop – egal an welchem PC er sich im Netzwerk anmeldet – zur Verfügung zu stellen. Man bezeichnet soetwas als Roaming Profiles.<br />
<br />
<br />
In der smb.conf muss in der ''[global]''-Sektion ''logon path = /pfad/zum/profilordner'' gesetzt sein und außerdem das Share ''[profiles]'' existieren. Dieses sieht z. B. so aus:<br />
<br />
[profiles]<br />
comment=Profile<br />
path=/srv/samba/profiles<br />
read only=no<br />
create mask=0600<br />
directory mask=0770<br />
browseable=no<br />
<br />
Ist für einen User kein Profil-Verzeichnis in path angelegt, so wird dieses beim ersten Login erzeugt. Voraussetzung ist, dass der User in path (also ''/srv/samba/profiles'') uneingeschränkte Rechte hat (Lese-, Schreib- und Ausführrecht!!!). Werden die Profil-Ordner von root aus einer Vorlage heraus angelegt (siehe weiter unten) reicht es, Lese- und Ausführungsrecht (r-x) für dieses Verzeichnis – sprich ''/srv/samba/profiles'' – zu vergeben, wobei der User für sein Profil-Verzeichnis ''/srv/samba/profiles/[username]'' aber wieder Vollzugriff benötigt, da beim Abmelden das Profil des Clients mit dem Servergespeicherten synchronisiert wird.<br />
<br />
<br />
Treten beim Einloggen eines Users Probleme auf, dass er auf sein Profil nicht zugegriffen kann, wird also wahrscheinlich<br />
<br />
<br />
a) kein Profil für den Benutzer in path existieren und der User für path keinen Vollzugriff besitzen, um ein neues Default-Profil anlegen zu können,<br />
<br />
b) dem Benutzer fehlen die Vollzugriffsrechte auf seinen Profil-Ordner und/oder<br />
<br />
c) dem User wurde das Leserecht auf die ''ntuser.dat / ntuser.man'' entzogen (siehe Punkt "Verbindliche, unveränderbare Profile")<br />
<br />
<br />
[[Bild:smb_config_client_02.jpg]]<br />
<br />
Grafik 1<br />
<br />
<br />
== Profilvorlagen anlegen ==<br />
<br />
Sollen die Benutzer nicht das "klickibunti" XP-Design als Standard verwenden, den Destkop und die Registry nicht ändern können, dann machen verbindliche, unveränderbare Profile Sinn. Problem: beim ersten Anmelden eines Users wird ein Profil-Verzeichnis angelegt – jedoch mit oben genannten Eigenschaften, die wir so nicht akzeptieren *G* Also basteln wir uns eine Vorlage. Das ist gar nicht so schwer: Voraussetzung ist, dass der Samba-Server eingerichtet ist und läuft, root in der smbpasswd/LDAP existiert und man auf das Share ''[profiles]'' als root schreibend zugreifen kann. Ist dies gegeben, meldet man sich an einem XP-Rechner mit Administrationsrechten lokal (nicht an der Domäne!) an.<br />
<br />
<br />
'''''Schritt 1: "vorlage"-User erstellen'''''<br />
<br />
Am XP-PC angemeldet, legen wir einen User "vorlage" an, vergeben ein Passwort, melden uns als Admin ab und als der "vorlage"-User am Rechner erneut an.<br />
<br />
<br />
'''''Schritt 2: Profil des "vorlagen"-Users anpassen'''''<br />
<br />
Ist man als "vorlage" angemeldet, passt man das Aussehen von Windows dementsprechend an – und zwar genau so, wie unsere Client-PC's dann aussehen sollen. Zu beachten: es sollten keine benutzerspezifischen Desktop-Symbole oder Startmenü-Einträge erstellt werden; einfach das Profil anpassen. Ist man mit dem Profil des Users "vorlage" zufrieden, meldet man sich ab und erneut als Administrator lokal an. <br />
<br />
<br />
'''Tipp:''' man sollte nochmal in das erstellte Profil-Verzeichnis des Benutzers "vorlage" wechseln und dort nach den versteckten Dateien ''desktop.ini'' suchen, anschließend alle löschen. Grund: es existiert z. B. im Autostart-Ordner eine solche Datei. Kopiert man dann das Profil auf einen anderen User, ist diese Datei nicht mehr versteckt und wird bei jedem Anmelden geöffnet – das nervt meines Erachtens ziemlich. Zudem sollte man in der ''[homes]'' und ''[profiles]''-Sektion das Attribut ''hide files = /desktop.ini/'' verwenden, um die Dateien als "Versteckt" anzuzeigen.<br />
<br />
<br />
Klicke auf Start, Ausführen und gib ''cmd'' ein. Stelle mit folgendem Befehl – natürlich angepasst an deinen Server – eine Verbindung zu diesem her:<br />
<br />
net use \\server01 /user:root<br />
<br />
Nach Eingabe des root-Passwortes muss eine Bestätigung kommen, dass der Befehl erfolgreich ausgeführt wurde. Andernfalls sollte man prüfen, ob root in der smbpasswd/LDAP angelegt wurde!<br />
<br />
<br />
Nun wechselt man in die Systemsteuerung, klickt auf System, Registerkarte Erweitert und klickt bei den Benutzerprofilen auf Einstellungen. Aus der Liste wählt man den "vorlage"-User aus und klickt dann auf Kopieren nach (Grafik 2). Bei Profil kopieren nach gibt man folgendes an:<br />
<br />
\\server01\profiles\vorlage<br />
<br />
Bevor man nun auf OK klickt, muss man noch den Benutzer ändern. Auf den Button Ändern klicken und als Benutzer ''Jeder'' wählen. Grund: kopiert man das Profil später auf einen anderen User, so hat dieser Zugriffsprobleme auf sein Profil. Als Jeder werden die Rechte – wenn man so will – "neutral" vergeben.<br />
<br />
<br />
Jetzt kann man auf OK klicken und das Profil wird auf den Server in das Profil-Share kopiert (Grafik 3). Wird der Zugriff verweigert oder tritt sonst ein Fehler auf: smb.conf und Zugriffsrechte auf den Ordner prüfen!<br />
<br />
<br />
[[Bild:smb_config_client_03.jpg]]<br />
<br />
Grafik 2<br />
<br />
<br />
[[Bild:smb_config_client_04.jpg]]<br />
<br />
Grafik 3<br />
<br />
<br />
== Verbindliche, unveränderbare Profile ==<br />
<br />
Es ist häufig gewünscht, dass ein Benutzer sein Profil nicht ändern kann, um den Server z. B. durch das Abspeichern übergroßer Hintergrundbilder etc. nicht zu überlasten. Hier gibt’s einen einfachen Trick: benenne im Profil-Verzeichnis des Benutzers (am Besten gleich des "vorlage"-Benutzers) die Datei ''ntuser.dat'' in ''ntuser.man'' um und vergib nur das Leserecht auf die Datei: <br />
<br />
chmod 400 ntuser.man<br />
<br />
damit soll verhindert werden, dass der Benutzer die Datei selbst wieder in ''ntuser.dat'' umbenennt. Das Leserecht ist jedoch zwingend erforderlich, bitte beachten! Außerdem ist darauf zu achten, im ''[profile]''-Share das Attribut ''read only = yes'' zu setzen. Hier ist natürlich wieder zu berücksichtigen, dass dann für jeden User, der sich anmelden will, bereits ein Profil-Ordner vorhanden sein muss. Wichtig ist auch zu wissen, dass die "Eigenen Dateien" ebenfalls zum Profil zählen und in diesem Fall nicht gespeichert würden! Im Script "Samba und Poledit" (folgt noch) wird die Ordnerumleitung erklärt. So kannst du die "Eigenen Dateien" auf ein Netzlaufwerk verschieben.<br />
<br />
<br />
'''Zusätzliche Anmkerung:''' die Profile – auch wenn sie serverbasierend sind – werden lokal am Client angelegt und beim Abmelden synchronisiert. Ich habe zum Testen der Funktionalität des unveränderbaren Profils ein Desktopbild eingefügt, mich abgemeldet und wieder angemeldet – das schien jedoch nicht zu funktionieren, da die Grafik wider erwarten angezeigt wurde. In Wirklichkeit war ein Neustart des Clients notwendig, dann funktionierte alles (frag' mich nicht warum...)!<br />
<br />
<br />
== Profilvorlage für User kopieren ==<br />
<br />
Nachdem wir unser Vorlagen-Profil nun auf dem Server haben, müssen wir für jeden User einen Ordner mit den Dateien und Verzeichnissen aus dem Vorlage-Profil heraus erstellen. Wechsle in den Profil-Ordner (z. B. ''/srv/samba/profiles''). Vergewissere dich, dass dort der Ordner ''vorlage'' existiert und gib dann folgende Befehle ein, um ein Profil für den User ''franz'' zu erstellen:<br />
<br />
cp -R vorlage/ franz<br />
chown -R franz franz<br />
chmod 700 franz<br />
<br />
Was passiert hier: als erstes kopieren wir den gesamten Ordnerinhalt von ''vorlage'' in den Ordner ''franz''. Als nächsten Schritt machen wir den Benutzer ''franz'' zum Eigentümer dieses Ordners und geben ihm (und nur ihm!) mit ''chmod'' Vollzugriff auf sein Profil. Andernfalls kommt es zu einem Fehler beim Login bzw. Logout (siehe Grafik 1).<br />
<br />
<br />
Das soll's gewesen sein!<br />
<br />
<br />
Zurück: [[Samba]]<br />
<br />
<br />
--[[Benutzer:Flo84|Flo84]] 21:55, 14. Mai 2007 (CEST)</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=Smb.conf&diff=15512Smb.conf2007-05-14T19:55:38Z<p>Flo84: </p>
<hr />
<div>{{Wettbewerb}} <br />
<br />
== Die [global]-Sektion ==<br />
<br />
'''workgroup=firma_xyz :''' hier wird der Domänen-Namen vergeben<br />
<br />
'''netbios name=Server01 :''' der NetBIOS-Name des Servers<br />
<br />
'''server string=Linux Samba-Server %v :''' mit dieser Zeichenkette erscheint der Server unter Windows – inklusive der Samba-Version (%v)<br />
<br />
'''security=user :''' der Server soll als PDC fungieren<br />
<br />
'''encrypt passwords=yes :''' Passwörter werden verschlüsselt vom Client an den Server geschickt (ab Windows 98!)<br />
<br />
'''wins support=yes :''' der Server bietet WINS-Support für die Namensauflösung; ist bereits ein WINS-Server im Einsatz, verwende ''wins server = [server_ip]''<br />
<br />
'''name resolv order:''' im Beispiel wird versucht, die Namensauflösung in der Reihenfolge wins, lmhosts, hosts und zum Schluss per Broadcast durchzuführen<br />
<br />
'''domain logons=yes :''' realisiert die Domänenanmeldung der Clients<br />
<br />
'''local master=yes :''' Server wird zum Master-Browser erhoben<br />
<br />
'''preferred master=yes :''' legt fest, dass der nmbd als bevorzugter master browser in der Domain auftritt. nmbd ist der NetBIOS-Name Server und bietet via Netbios über TCP/IP entsprechende Namensdienste an.<br />
<br />
'''domain master=yes :''' spricht für sich...<br />
<br />
'''os level=65 :''' stellt sicher, dass der Samba die "Wahl" zum PDC gewinnt<br />
<br />
'''admin users=root :''' Benutzer mit Administrationsrechten (Domain-Admin)<br />
<br />
'''logon home=\\%L\homes :''' Angabe des Home-Verzeichnis. Im Beispiel befinden sich die Home-Verzeichnise aller User unter /home; die [homes]-Sektion muss hier in der smb.conf enthalten sein!<br />
<br />
'''logon drive=k: :''' in diesem Fall wird auf k: das Home-Verzeichnis gemounted<br />
<br />
'''logon path=\\%L\profiles\%U :''' Quelle der servergespeicherten User-Profile (beachte [profiles])<br />
<br />
'''load printers=yes :''' Drucker laden<br />
<br />
'''printing=cups :''' zum Drucken das CUPS verwenden<br />
<br />
'''printcap name=cups :''' das CUPS Printing-Interface verwenden<br />
<br />
'''logon script=%U.logon.bat :''' Logon-Script, das nach dem Anmelden für jeden – in diesem Fall – einzelnen User ausgeführt wird; verlangt die Existenz der Sektion [netlogon]<br />
<br />
'''unix password sync = yes :''' dieser Parameter ändert nicht nur das Samba- sondern auch das Linux-Passwort, wenn der User am (Windows-)Client sein Kennwort ändert; Voraussetzung: das smbpasswd-Passwort ist gleich dem Linux-Passwort<br />
<br />
'''passwd program = /usr/bin/passwd %u :''' dieses Programm wird für die Passwortänderung verwendet<br />
<br />
'''add machine script = /usr/sbin/useradd -g [maschinen_gruppe] -s /bin/false %u :''' unbekannte Maschinen-/Computer-Accounts automatisch anlegen, wenn diese in die Domäne eingebunden werden; [machinen_gruppe] muss vorher angelegt werden (groupadd)!<br />
<br />
<br />
== Die [homes]-Sektion ==<br />
<br />
Hierbei handelt es sich um ein spezielles Share. Im Grunde ist es aufgebaut wie eine "normale" Freigabe, mit der Besonderheit, dass hier die Home-Verzeichnisse der User, die sich an der Domäne anmelden, liegen. Wenn ''[homes]'' den Eintrag ''path=/pfad/zu/homeverzeichnis'' nicht enthält, werden die Homeverzeichnisse unter ''/home'' verwendet. Egal ob path verwendet wird oder nicht: es muss für jeden Benutzer ein Ordner mit dessen Namen im entsprechenden Verzeichnis existieren (Unix-Rechte anpassen nicht vergessen!). Beachte auch in der ''[global]''-Sektion den Eintrag ''logon home=''!<br />
<br />
<br />
== Die [profiles]-Sektion ==<br />
<br />
Dieses Share ist fast (!) wie alle Anderen, mit der Ausnahme, dass im angegebenen path (z. B. ''/srv/samba/profiles'') für jeden User ein Profil-Verzeichnis liegt. Durch ''hide files'' und store dos attributes wird bewirkt, dass DOS-Attribute (wie z. B. für die versteckte Datei ''desktop.ini'') erhalten bleiben. Beachte hierzu das Script [[Samba mit LDAP - extended]]!<br />
<br />
<br />
== Die [netlogon]-Sektion ==<br />
<br />
Ebenfalls mit einem "normalen" Share zu vergleichen, mit der Sonderbedeutung, dass sich in path die Login-Scripte und die ''ntconfig.pol'' für Systemrichtlinien befinden. Wird in der ''[global]''-Sektion ''logon script = %U.logon.bat'' angegeben, so wird im Verzeichnis path für jeden User ein derartiges Script erwartet, z. B.für einen Benutzer flo die ''flo.logon.bat''. Die ''ntconfig.pol'' wird mit Poledit erstellt. Beachte [[Zentrale Verteilung der Gruppenrichtlinien - poledit]]<br />
<br />
<br />
== Die [printers]-Sektion ==<br />
<br />
Existiert dieses Share, so werden alle am Server eingerichteten Drucker den Clients zur Verfügung gestellt. Will man für Drucker spezielle Rechte vergeben, z. B. dass nur bestimmte User auf einen Drucker drucken dürfen, so muss für jeden Drucker ein eigenes Share angelegt werden. Beachte hierzu das Script ''Samba als Druckserver'' (folgt noch).<br />
<br />
'''path = /srv/samba/spool :''' Pfad zum Samba-Spoolverzeichnis; Rechte: chmod 7771 /srv/samba/spool<br />
<br />
'''browseable = no :''' Share soll in der "Netzwerkumgebung" nicht sichtbar sein<br />
<br />
'''guest ok = yes :''' grundsätzlich darf jeder – auch Gäste – drucken<br />
<br />
'''writeable = no :''' das Ablegen von "Nicht-Drucker-Dateien" soll verweigert werden<br />
<br />
'''printable = yes :''' es handelt sich um ein Printer-Share, d. h. trotz writeable = no dürfen trotzdem Druckjobs von den Benutzern abgelegt werden!<br />
<br />
'''printer admin = root :''' Admin, der die Drucker verwaltet<br />
<br />
<br />
== Die [print$]-Sektion ==<br />
<br />
Dieses Share beinhaltet die Drucker-Treiber für die (Windows-) Clients. Wird ein Drucker an einem Client-PC hinzugefügt, holt sich dieser die Treiber aus dem Ordner path. Genaueres erfährst du im Script ''Samba als Druck-Server'' (folgt noch).<br />
<br />
'''path = /srv/samba/drivers :''' Pfad, in dem die Druckertreiber liegen<br />
<br />
'''browseable = yes :''' dies verlangt Windows so<br />
<br />
'''guest ok = no :''' kein „Gast“ hat Zugriff auf dieses Share<br />
<br />
'''read only = yes :''' keiner darf schreiben, nur lesen...<br />
<br />
'''write list = root :''' ...außer root, der darf hier Dateien (genauer: Treiber) ablegen<br />
<br />
<br />
== Hinweise ==<br />
<br />
Diese Doku war eigentlich für meinen eigenen "Gebrauch" gedacht - vielleicht hilft sie dir auch weiter ;-)<br />
<br />
Willst du Samba mit LDAP-Backend verwenden, lies dir hierzu das Script ''Samba und OpenLDAP'' durch (folgt noch). Das soll's gewesen sein!<br />
<br />
<br />
Zurück: [[Samba]]<br />
<br />
<br />
--[[Benutzer:Flo84|Flo84]] 21:55, 14. Mai 2007 (CEST)</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=PDC_Client&diff=15510PDC Client2007-05-14T19:53:50Z<p>Flo84: </p>
<hr />
<div>{{Wettbewerb}} <br />
<br />
== Client in die Domäne aufnehmen ==<br />
<br />
Will man einen Client einer Domäne hinzufügen, muss der Server als PDC konfiguriert sein ([[Beispiel einer smb.conf]]). Weiter wird davon ausgegangen, dass root und alle gewünschten Benutzer mit smbpasswd angelegt wurden bzw. die User im LDAP-Verzeichnis existieren. Ist der Server einsatzbereit und kann man auf Shares wie in einem Peer-to-Peer Netz zugreifen (Stichwort "Netzlaufwerk verbinden"), werden wir nun die Client-PC's der Domäne hinzufügen.<br />
<br />
<br />
'''''Noch ein Hinweis:''''' läuft Samba mit LDAP-Backend, sollte man auch das Script [[Samba mit LDAP - extended]] bei folgenden Schritten berücksichtigen!<br />
<br />
<br />
Man meldet sich lokal als Admin am Client an und wechselt in die Systemsteuerung, System. In der Registerkarte ''Computername'' klickt man auf den Button ''Ändern'', wählt in Mitglied von den Punkt Domäne und gibt sinnigerweise den Namen der Domäne an, wie sie in der smb.conf steht (''[global]''-Sektion der Punkt ''workgroup''). Klickt man auf OK wird man nach einem Usernamen sowie einem Passwort gefragt. Gib hier root mit seinem in smbpasswd/LDAP-Verzeichnis angelegten Kennwort ein. Nach wenigen Sekunden sollte folgender Hinweis erscheinen:<br />
<br />
<br />
[[Bild:smb_config_client_01.jpg]]<br />
<br />
<br />
Erscheint diese Meldung nicht, kommt also stattdessen eine Fehlermeldung, sollte man sich vergewissern, dass root mit ''smbpasswd -a root'' angelegt wurde und ein Maschinen-Account für den Client existiert – falls man in der ''[global]''-Sektion der ''smb.conf'' nicht<br />
<br />
add machine script = /usr/sbin/useradd -g [maschinengruppe] -s /bin/false %u<br />
<br />
angegeben hat (siehe smb.conf-Beispiel) passiert dies nämlich nicht automatisch! Will man einen Rechner "per Hand" eintragen, lauten die Befehle:<br />
<br />
useradd -s /bin/false [RECHERNAME]$<br />
smbpasswd -a -m [RECHNERNAME]<br />
<br />
Überprüfe bei einem Fehler auch die ''smb.conf'', um sicherzustellen, dass der Server auch wirklich als PDC eingerichtet wurde. Verwende hierzu den Befehl ''testparm''<br />
<br />
<br />
Für LDAP gilt übrigens folgender Befehl:<br />
<br />
add machine script = /usr/sbin/smbldap-useradd -w %u<br />
<br />
<br />
Es sollte bei Problemen auch die ''/etc/ldap.conf'' überprüft werden. Hier muss der Eintrag ''nss_base_passwd ou=Computers,dc=firma_xyz,dc=de'' unter Anderem gesetzt sein! Die Logfiles ''/var/log/messages'' sowie ''/var/log/samba/log.smbd'' geben sicher den wertvollsten Hinweis darauf, wo das Problem liegt!<br />
<br />
<br />
Nach erfolgreichem Aufnehmen des Rechners muss dieser neu gestartet werden. Bevor man sich aber anmeldet, sollte man sich mit den Benutzerprofilen auseinandersetzen!<br />
<br />
== Serverbasierende Profile ==<br />
<br />
Sie machen Sinn, um dem User zu ermöglichen, seinen gewohnten Desktop – egal an welchem PC er sich im Netzwerk anmeldet – zur Verfügung zu stellen. Man bezeichnet soetwas als Roaming Profiles.<br />
<br />
<br />
In der smb.conf muss in der ''[global]''-Sektion ''logon path = /pfad/zum/profilordner'' gesetzt sein und außerdem das Share ''[profiles]'' existieren. Dieses sieht z. B. so aus:<br />
<br />
[profiles]<br />
comment=Profile<br />
path=/srv/samba/profiles<br />
read only=no<br />
create mask=0600<br />
directory mask=0770<br />
browseable=no<br />
<br />
Ist für einen User kein Profil-Verzeichnis in path angelegt, so wird dieses beim ersten Login erzeugt. Voraussetzung ist, dass der User in path (also ''/srv/samba/profiles'') uneingeschränkte Rechte hat (Lese-, Schreib- und Ausführrecht!!!). Werden die Profil-Ordner von root aus einer Vorlage heraus angelegt (siehe weiter unten) reicht es, Lese- und Ausführungsrecht (r-x) für dieses Verzeichnis – sprich ''/srv/samba/profiles'' – zu vergeben, wobei der User für sein Profil-Verzeichnis ''/srv/samba/profiles/[username]'' aber wieder Vollzugriff benötigt, da beim Abmelden das Profil des Clients mit dem Servergespeicherten synchronisiert wird.<br />
<br />
<br />
Treten beim Einloggen eines Users Probleme auf, dass er auf sein Profil nicht zugegriffen kann, wird also wahrscheinlich<br />
<br />
<br />
a) kein Profil für den Benutzer in path existieren und der User für path keinen Vollzugriff besitzen, um ein neues Default-Profil anlegen zu können,<br />
<br />
b) dem Benutzer fehlen die Vollzugriffsrechte auf seinen Profil-Ordner und/oder<br />
<br />
c) dem User wurde das Leserecht auf die ''ntuser.dat / ntuser.man'' entzogen (siehe Punkt "Verbindliche, unveränderbare Profile")<br />
<br />
<br />
[[Bild:smb_config_client_02.jpg]]<br />
<br />
Grafik 1<br />
<br />
<br />
== Profilvorlagen anlegen ==<br />
<br />
Sollen die Benutzer nicht das "klickibunti" XP-Design als Standard verwenden, den Destkop und die Registry nicht ändern können, dann machen verbindliche, unveränderbare Profile Sinn. Problem: beim ersten Anmelden eines Users wird ein Profil-Verzeichnis angelegt – jedoch mit oben genannten Eigenschaften, die wir so nicht akzeptieren *G* Also basteln wir uns eine Vorlage. Das ist gar nicht so schwer: Voraussetzung ist, dass der Samba-Server eingerichtet ist und läuft, root in der smbpasswd/LDAP existiert und man auf das Share ''[profiles]'' als root schreibend zugreifen kann. Ist dies gegeben, meldet man sich an einem XP-Rechner mit Administrationsrechten lokal (nicht an der Domäne!) an.<br />
<br />
<br />
'''''Schritt 1: "vorlage"-User erstellen'''''<br />
<br />
Am XP-PC angemeldet, legen wir einen User "vorlage" an, vergeben ein Passwort, melden uns als Admin ab und als der "vorlage"-User am Rechner erneut an.<br />
<br />
<br />
'''''Schritt 2: Profil des "vorlagen"-Users anpassen'''''<br />
<br />
Ist man als "vorlage" angemeldet, passt man das Aussehen von Windows dementsprechend an – und zwar genau so, wie unsere Client-PC's dann aussehen sollen. Zu beachten: es sollten keine benutzerspezifischen Desktop-Symbole oder Startmenü-Einträge erstellt werden; einfach das Profil anpassen. Ist man mit dem Profil des Users "vorlage" zufrieden, meldet man sich ab und erneut als Administrator lokal an. <br />
<br />
<br />
'''Tipp:''' man sollte nochmal in das erstellte Profil-Verzeichnis des Benutzers "vorlage" wechseln und dort nach den versteckten Dateien ''desktop.ini'' suchen, anschließend alle löschen. Grund: es existiert z. B. im Autostart-Ordner eine solche Datei. Kopiert man dann das Profil auf einen anderen User, ist diese Datei nicht mehr versteckt und wird bei jedem Anmelden geöffnet – das nervt meines Erachtens ziemlich. Zudem sollte man in der ''[homes]'' und ''[profiles]''-Sektion das Attribut ''hide files = /desktop.ini/'' verwenden, um die Dateien als "Versteckt" anzuzeigen.<br />
<br />
<br />
Klicke auf Start, Ausführen und gib ''cmd'' ein. Stelle mit folgendem Befehl – natürlich angepasst an deinen Server – eine Verbindung zu diesem her:<br />
<br />
net use \\server01 /user:root<br />
<br />
Nach Eingabe des root-Passwortes muss eine Bestätigung kommen, dass der Befehl erfolgreich ausgeführt wurde. Andernfalls sollte man prüfen, ob root in der smbpasswd/LDAP angelegt wurde!<br />
<br />
<br />
Nun wechselt man in die Systemsteuerung, klickt auf System, Registerkarte Erweitert und klickt bei den Benutzerprofilen auf Einstellungen. Aus der Liste wählt man den "vorlage"-User aus und klickt dann auf Kopieren nach (Grafik 2). Bei Profil kopieren nach gibt man folgendes an:<br />
<br />
\\server01\profiles\vorlage<br />
<br />
Bevor man nun auf OK klickt, muss man noch den Benutzer ändern. Auf den Button Ändern klicken und als Benutzer ''Jeder'' wählen. Grund: kopiert man das Profil später auf einen anderen User, so hat dieser Zugriffsprobleme auf sein Profil. Als Jeder werden die Rechte – wenn man so will – "neutral" vergeben.<br />
<br />
<br />
Jetzt kann man auf OK klicken und das Profil wird auf den Server in das Profil-Share kopiert (Grafik 3). Wird der Zugriff verweigert oder tritt sonst ein Fehler auf: smb.conf und Zugriffsrechte auf den Ordner prüfen!<br />
<br />
<br />
[[Bild:smb_config_client_03.jpg]]<br />
<br />
Grafik 2<br />
<br />
<br />
[[Bild:smb_config_client_04.jpg]]<br />
<br />
Grafik 3<br />
<br />
<br />
== Verbindliche, unveränderbare Profile ==<br />
<br />
Es ist häufig gewünscht, dass ein Benutzer sein Profil nicht ändern kann, um den Server z. B. durch das Abspeichern übergroßer Hintergrundbilder etc. nicht zu überlasten. Hier gibt’s einen einfachen Trick: benenne im Profil-Verzeichnis des Benutzers (am Besten gleich des "vorlage"-Benutzers) die Datei ''ntuser.dat'' in ''ntuser.man'' um und vergib nur das Leserecht auf die Datei: <br />
<br />
chmod 400 ntuser.man<br />
<br />
damit soll verhindert werden, dass der Benutzer die Datei selbst wieder in ''ntuser.dat'' umbenennt. Das Leserecht ist jedoch zwingend erforderlich, bitte beachten! Außerdem ist darauf zu achten, im ''[profile]''-Share das Attribut ''read only = yes'' zu setzen. Hier ist natürlich wieder zu berücksichtigen, dass dann für jeden User, der sich anmelden will, bereits ein Profil-Ordner vorhanden sein muss. Wichtig ist auch zu wissen, dass die "Eigenen Dateien" ebenfalls zum Profil zählen und in diesem Fall nicht gespeichert würden! Im Script "Samba und Poledit" (folgt noch) wird die Ordnerumleitung erklärt. So kannst du die "Eigenen Dateien" auf ein Netzlaufwerk verschieben.<br />
<br />
<br />
'''Zusätzliche Anmkerung:''' die Profile – auch wenn sie serverbasierend sind – werden lokal am Client angelegt und beim Abmelden synchronisiert. Ich habe zum Testen der Funktionalität des unveränderbaren Profils ein Desktopbild eingefügt, mich abgemeldet und wieder angemeldet – das schien jedoch nicht zu funktionieren, da die Grafik wider erwarten angezeigt wurde. In Wirklichkeit war ein Neustart des Clients notwendig, dann funktionierte alles (frag' mich nicht warum...)!<br />
<br />
<br />
== Profilvorlage für User kopieren ==<br />
<br />
Nachdem wir unser Vorlagen-Profil nun auf dem Server haben, müssen wir für jeden User einen Ordner mit den Dateien und Verzeichnissen aus dem Vorlage-Profil heraus erstellen. Wechsle in den Profil-Ordner (z. B. ''/srv/samba/profiles''). Vergewissere dich, dass dort der Ordner ''vorlage'' existiert und gib dann folgende Befehle ein, um ein Profil für den User ''franz'' zu erstellen:<br />
<br />
cp -R vorlage/ franz<br />
chown -R franz franz<br />
chmod 700 franz<br />
<br />
Was passiert hier: als erstes kopieren wir den gesamten Ordnerinhalt von ''vorlage'' in den Ordner ''franz''. Als nächsten Schritt machen wir den Benutzer ''franz'' zum Eigentümer dieses Ordners und geben ihm (und nur ihm!) mit ''chmod'' Vollzugriff auf sein Profil. Andernfalls kommt es zu einem Fehler beim Login bzw. Logout (siehe Grafik 1).<br />
<br />
<br />
Das soll's gewesen sein!<br />
<br />
<br />
--[[Benutzer:Flo84|Flo84]] 21:49, 14. Mai 2007 (CEST)</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=Smb.conf&diff=15508Smb.conf2007-05-14T19:52:52Z<p>Flo84: </p>
<hr />
<div>{{Wettbewerb}} <br />
<br />
== Die [global]-Sektion ==<br />
<br />
'''workgroup=firma_xyz :''' hier wird der Domänen-Namen vergeben<br />
<br />
'''netbios name=Server01 :''' der NetBIOS-Name des Servers<br />
<br />
'''server string=Linux Samba-Server %v :''' mit dieser Zeichenkette erscheint der Server unter Windows – inklusive der Samba-Version (%v)<br />
<br />
'''security=user :''' der Server soll als PDC fungieren<br />
<br />
'''encrypt passwords=yes :''' Passwörter werden verschlüsselt vom Client an den Server geschickt (ab Windows 98!)<br />
<br />
'''wins support=yes :''' der Server bietet WINS-Support für die Namensauflösung; ist bereits ein WINS-Server im Einsatz, verwende ''wins server = [server_ip]''<br />
<br />
'''name resolv order:''' im Beispiel wird versucht, die Namensauflösung in der Reihenfolge wins, lmhosts, hosts und zum Schluss per Broadcast durchzuführen<br />
<br />
'''domain logons=yes :''' realisiert die Domänenanmeldung der Clients<br />
<br />
'''local master=yes :''' Server wird zum Master-Browser erhoben<br />
<br />
'''preferred master=yes :''' legt fest, dass der nmbd als bevorzugter master browser in der Domain auftritt. nmbd ist der NetBIOS-Name Server und bietet via Netbios über TCP/IP entsprechende Namensdienste an.<br />
<br />
'''domain master=yes :''' spricht für sich...<br />
<br />
'''os level=65 :''' stellt sicher, dass der Samba die "Wahl" zum PDC gewinnt<br />
<br />
'''admin users=root :''' Benutzer mit Administrationsrechten (Domain-Admin)<br />
<br />
'''logon home=\\%L\homes :''' Angabe des Home-Verzeichnis. Im Beispiel befinden sich die Home-Verzeichnise aller User unter /home; die [homes]-Sektion muss hier in der smb.conf enthalten sein!<br />
<br />
'''logon drive=k: :''' in diesem Fall wird auf k: das Home-Verzeichnis gemounted<br />
<br />
'''logon path=\\%L\profiles\%U :''' Quelle der servergespeicherten User-Profile (beachte [profiles])<br />
<br />
'''load printers=yes :''' Drucker laden<br />
<br />
'''printing=cups :''' zum Drucken das CUPS verwenden<br />
<br />
'''printcap name=cups :''' das CUPS Printing-Interface verwenden<br />
<br />
'''logon script=%U.logon.bat :''' Logon-Script, das nach dem Anmelden für jeden – in diesem Fall – einzelnen User ausgeführt wird; verlangt die Existenz der Sektion [netlogon]<br />
<br />
'''unix password sync = yes :''' dieser Parameter ändert nicht nur das Samba- sondern auch das Linux-Passwort, wenn der User am (Windows-)Client sein Kennwort ändert; Voraussetzung: das smbpasswd-Passwort ist gleich dem Linux-Passwort<br />
<br />
'''passwd program = /usr/bin/passwd %u :''' dieses Programm wird für die Passwortänderung verwendet<br />
<br />
'''add machine script = /usr/sbin/useradd -g [maschinen_gruppe] -s /bin/false %u :''' unbekannte Maschinen-/Computer-Accounts automatisch anlegen, wenn diese in die Domäne eingebunden werden; [machinen_gruppe] muss vorher angelegt werden (groupadd)!<br />
<br />
<br />
== Die [homes]-Sektion ==<br />
<br />
Hierbei handelt es sich um ein spezielles Share. Im Grunde ist es aufgebaut wie eine "normale" Freigabe, mit der Besonderheit, dass hier die Home-Verzeichnisse der User, die sich an der Domäne anmelden, liegen. Wenn ''[homes]'' den Eintrag ''path=/pfad/zu/homeverzeichnis'' nicht enthält, werden die Homeverzeichnisse unter ''/home'' verwendet. Egal ob path verwendet wird oder nicht: es muss für jeden Benutzer ein Ordner mit dessen Namen im entsprechenden Verzeichnis existieren (Unix-Rechte anpassen nicht vergessen!). Beachte auch in der ''[global]''-Sektion den Eintrag ''logon home=''!<br />
<br />
<br />
== Die [profiles]-Sektion ==<br />
<br />
Dieses Share ist fast (!) wie alle Anderen, mit der Ausnahme, dass im angegebenen path (z. B. ''/srv/samba/profiles'') für jeden User ein Profil-Verzeichnis liegt. Durch ''hide files'' und store dos attributes wird bewirkt, dass DOS-Attribute (wie z. B. für die versteckte Datei ''desktop.ini'') erhalten bleiben. Beachte hierzu das Script [[Samba mit LDAP - extended]]!<br />
<br />
<br />
== Die [netlogon]-Sektion ==<br />
<br />
Ebenfalls mit einem "normalen" Share zu vergleichen, mit der Sonderbedeutung, dass sich in path die Login-Scripte und die ''ntconfig.pol'' für Systemrichtlinien befinden. Wird in der ''[global]''-Sektion ''logon script = %U.logon.bat'' angegeben, so wird im Verzeichnis path für jeden User ein derartiges Script erwartet, z. B.für einen Benutzer flo die ''flo.logon.bat''. Die ''ntconfig.pol'' wird mit Poledit erstellt. Beachte [[Zentrale Verteilung der Gruppenrichtlinien - poledit]]<br />
<br />
<br />
== Die [printers]-Sektion ==<br />
<br />
Existiert dieses Share, so werden alle am Server eingerichteten Drucker den Clients zur Verfügung gestellt. Will man für Drucker spezielle Rechte vergeben, z. B. dass nur bestimmte User auf einen Drucker drucken dürfen, so muss für jeden Drucker ein eigenes Share angelegt werden. Beachte hierzu das Script ''Samba als Druckserver'' (folgt noch).<br />
<br />
'''path = /srv/samba/spool :''' Pfad zum Samba-Spoolverzeichnis; Rechte: chmod 7771 /srv/samba/spool<br />
<br />
'''browseable = no :''' Share soll in der "Netzwerkumgebung" nicht sichtbar sein<br />
<br />
'''guest ok = yes :''' grundsätzlich darf jeder – auch Gäste – drucken<br />
<br />
'''writeable = no :''' das Ablegen von "Nicht-Drucker-Dateien" soll verweigert werden<br />
<br />
'''printable = yes :''' es handelt sich um ein Printer-Share, d. h. trotz writeable = no dürfen trotzdem Druckjobs von den Benutzern abgelegt werden!<br />
<br />
'''printer admin = root :''' Admin, der die Drucker verwaltet<br />
<br />
<br />
== Die [print$]-Sektion ==<br />
<br />
Dieses Share beinhaltet die Drucker-Treiber für die (Windows-) Clients. Wird ein Drucker an einem Client-PC hinzugefügt, holt sich dieser die Treiber aus dem Ordner path. Genaueres erfährst du im Script ''Samba als Druck-Server'' (folgt noch).<br />
<br />
'''path = /srv/samba/drivers :''' Pfad, in dem die Druckertreiber liegen<br />
<br />
'''browseable = yes :''' dies verlangt Windows so<br />
<br />
'''guest ok = no :''' kein „Gast“ hat Zugriff auf dieses Share<br />
<br />
'''read only = yes :''' keiner darf schreiben, nur lesen...<br />
<br />
'''write list = root :''' ...außer root, der darf hier Dateien (genauer: Treiber) ablegen<br />
<br />
<br />
== Hinweise ==<br />
<br />
Diese Doku war eigentlich für meinen eigenen "Gebrauch" gedacht - vielleicht hilft sie dir auch weiter ;-)<br />
<br />
Willst du Samba mit LDAP-Backend verwenden, lies dir hierzu das Script ''Samba und OpenLDAP'' durch (folgt noch). Das soll's gewesen sein!<br />
<br />
<br />
--[[Benutzer:Flo84|Flo84]] 21:52, 14. Mai 2007 (CEST)</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=Smb.conf&diff=15507Smb.conf2007-05-14T19:52:35Z<p>Flo84: </p>
<hr />
<div>{{Wettbewerb}} <br />
<br />
== Die [global]-Sektion ==<br />
<br />
'''workgroup=firma_xyz :''' hier wird der Domänen-Namen vergeben<br />
<br />
'''netbios name=Server01 :''' der NetBIOS-Name des Servers<br />
<br />
'''server string=Linux Samba-Server %v :''' mit dieser Zeichenkette erscheint der Server unter Windows – inklusive der Samba-Version (%v)<br />
<br />
'''security=user :''' der Server soll als PDC fungieren<br />
<br />
'''encrypt passwords=yes :''' Passwörter werden verschlüsselt vom Client an den Server geschickt (ab Windows 98!)<br />
<br />
'''wins support=yes :''' der Server bietet WINS-Support für die Namensauflösung; ist bereits ein WINS-Server im Einsatz, verwende ''wins server = [server_ip]''<br />
<br />
'''name resolv order:''' im Beispiel wird versucht, die Namensauflösung in der Reihenfolge wins, lmhosts, hosts und zum Schluss per Broadcast durchzuführen<br />
<br />
'''domain logons=yes :''' realisiert die Domänenanmeldung der Clients<br />
<br />
'''local master=yes :''' Server wird zum Master-Browser erhoben<br />
<br />
'''preferred master=yes :''' legt fest, dass der nmbd als bevorzugter master browser in der Domain auftritt. nmbd ist der NetBIOS-Name Server und bietet via Netbios über TCP/IP entsprechende Namensdienste an.<br />
<br />
'''domain master=yes :''' spricht für sich...<br />
<br />
'''os level=65 :''' stellt sicher, dass der Samba die "Wahl" zum PDC gewinnt<br />
<br />
'''admin users=root :''' Benutzer mit Administrationsrechten (Domain-Admin)<br />
<br />
'''logon home=\\%L\homes :''' Angabe des Home-Verzeichnis. Im Beispiel befinden sich die Home-Verzeichnise aller User unter /home; die [homes]-Sektion muss hier in der smb.conf enthalten sein!<br />
<br />
'''logon drive=k: :''' in diesem Fall wird auf k: das Home-Verzeichnis gemounted<br />
<br />
'''logon path=\\%L\profiles\%U :''' Quelle der servergespeicherten User-Profile (beachte [profiles])<br />
<br />
'''load printers=yes :''' Drucker laden<br />
<br />
'''printing=cups :''' zum Drucken das CUPS verwenden<br />
<br />
'''printcap name=cups :''' das CUPS Printing-Interface verwenden<br />
<br />
'''logon script=%U.logon.bat :''' Logon-Script, das nach dem Anmelden für jeden – in diesem Fall – einzelnen User ausgeführt wird; verlangt die Existenz der Sektion [netlogon]<br />
<br />
'''unix password sync = yes :''' dieser Parameter ändert nicht nur das Samba- sondern auch das Linux-Passwort, wenn der User am (Windows-)Client sein Kennwort ändert; Voraussetzung: das smbpasswd-Passwort ist gleich dem Linux-Passwort<br />
<br />
'''passwd program = /usr/bin/passwd %u :''' dieses Programm wird für die Passwortänderung verwendet<br />
<br />
'''add machine script = /usr/sbin/useradd -g [maschinen_gruppe] -s /bin/false %u :''' unbekannte Maschinen-/Computer-Accounts automatisch anlegen, wenn diese in die Domäne eingebunden werden; [machinen_gruppe] muss vorher angelegt werden (groupadd)!<br />
<br />
<br />
== Die [homes]-Sektion ==<br />
<br />
Hierbei handelt es sich um ein spezielles Share. Im Grunde ist es aufgebaut wie eine "normale" Freigabe, mit der Besonderheit, dass hier die Home-Verzeichnisse der User, die sich an der Domäne anmelden, liegen. Wenn ''[homes]'' den Eintrag ''path=/pfad/zu/homeverzeichnis'' nicht enthält, werden die Homeverzeichnisse unter ''/home'' verwendet. Egal ob path verwendet wird oder nicht: es muss für jeden Benutzer ein Ordner mit dessen Namen im entsprechenden Verzeichnis existieren (Unix-Rechte anpassen nicht vergessen!). Beachte auch in der ''[global]''-Sektion den Eintrag ''logon home=''!<br />
<br />
<br />
== Die [profiles]-Sektion ==<br />
<br />
Dieses Share ist fast (!) wie alle Anderen, mit der Ausnahme, dass im angegebenen path (z. B. ''/srv/samba/profiles'') für jeden User ein Profil-Verzeichnis liegt. Durch ''hide files'' und store dos attributes wird bewirkt, dass DOS-Attribute (wie z. B. für die versteckte Datei ''desktop.ini'') erhalten bleiben. Beachte hierzu das Script [[Samba mit LDAP - extended]]!<br />
<br />
<br />
== Die [netlogon]-Sektion ==<br />
<br />
Ebenfalls mit einem "normalen" Share zu vergleichen, mit der Sonderbedeutung, dass sich in path die Login-Scripte und die ''ntconfig.pol'' für Systemrichtlinien befinden. Wird in der ''[global]''-Sektion ''logon script = %U.logon.bat'' angegeben, so wird im Verzeichnis path für jeden User ein derartiges Script erwartet, z. B.für einen Benutzer flo die ''flo.logon.bat''. Die ''ntconfig.pol'' wird mit Poledit erstellt. Beachte [[Zentrale Verteilung der Gruppenrichtlinien - poledit]]<br />
<br />
<br />
== Die [printers]-Sektion ==<br />
<br />
Existiert dieses Share, so werden alle am Server eingerichteten Drucker den Clients zur Verfügung gestellt. Will man für Drucker spezielle Rechte vergeben, z. B. dass nur bestimmte User auf einen Drucker drucken dürfen, so muss für jeden Drucker ein eigenes Share angelegt werden. Beachte hierzu das Script ''Samba als Druckserver'' (folgt noch).<br />
<br />
'''path = /srv/samba/spool :''' Pfad zum Samba-Spoolverzeichnis; Rechte: chmod 7771 /srv/samba/spool<br />
<br />
'''browseable = no :''' Share soll in der "Netzwerkumgebung" nicht sichtbar sein<br />
<br />
'''guest ok = yes :''' grundsätzlich darf jeder – auch Gäste – drucken<br />
<br />
'''writeable = no :''' das Ablegen von "Nicht-Drucker-Dateien" soll verweigert werden<br />
<br />
'''printable = yes :''' es handelt sich um ein Printer-Share, d. h. trotz writeable = no dürfen trotzdem Druckjobs von den Benutzern abgelegt werden!<br />
<br />
'''printer admin = root :''' Admin, der die Drucker verwaltet<br />
<br />
<br />
== Die [print$]-Sektion ==<br />
<br />
Dieses Share beinhaltet die Drucker-Treiber für die (Windows-) Clients. Wird ein Drucker an einem Client-PC hinzugefügt, holt sich dieser die Treiber aus dem Ordner path. Genaueres erfährst du im Script ''Samba als Druck-Server'' (folgt noch).<br />
<br />
'''path = /srv/samba/drivers :''' Pfad, in dem die Druckertreiber liegen<br />
<br />
'''browseable = yes :''' dies verlangt Windows so<br />
<br />
'''guest ok = no :''' kein „Gast“ hat Zugriff auf dieses Share<br />
<br />
'''read only = yes :''' keiner darf schreiben, nur lesen...<br />
<br />
'''write list = root :''' ...außer root, der darf hier Dateien (genauer: Treiber) ablegen<br />
<br />
<br />
== Hinweise ==<br />
<br />
Diese Doku war eigentlich für meinen eigenen "Gebrauch" gedacht - vielleicht hilft sie dir auch weiter ;-)<br />
<br />
Willst du Samba mit LDAP-Backend verwenden, lies dir hierzu das Script ''Samba und OpenLDAP'' durch (folgt noch). Das soll's gewesen sein!<br />
<br />
<br />
--[[Benutzer:Flo84|Flo84]] 21:51, 14. Mai 2007 (CEST)</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=Smb.conf&diff=15506Smb.conf2007-05-14T19:51:03Z<p>Flo84: </p>
<hr />
<div>== Die [global]-Sektion ==<br />
<br />
'''workgroup=firma_xyz :''' hier wird der Domänen-Namen vergeben<br />
<br />
'''netbios name=Server01 :''' der NetBIOS-Name des Servers<br />
<br />
'''server string=Linux Samba-Server %v :''' mit dieser Zeichenkette erscheint der Server unter Windows – inklusive der Samba-Version (%v)<br />
<br />
'''security=user :''' der Server soll als PDC fungieren<br />
<br />
'''encrypt passwords=yes :''' Passwörter werden verschlüsselt vom Client an den Server geschickt (ab Windows 98!)<br />
<br />
'''wins support=yes :''' der Server bietet WINS-Support für die Namensauflösung; ist bereits ein WINS-Server im Einsatz, verwende ''wins server = [server_ip]''<br />
<br />
'''name resolv order:''' im Beispiel wird versucht, die Namensauflösung in der Reihenfolge wins, lmhosts, hosts und zum Schluss per Broadcast durchzuführen<br />
<br />
'''domain logons=yes :''' realisiert die Domänenanmeldung der Clients<br />
<br />
'''local master=yes :''' Server wird zum Master-Browser erhoben<br />
<br />
'''preferred master=yes :''' legt fest, dass der nmbd als bevorzugter master browser in der Domain auftritt. nmbd ist der NetBIOS-Name Server und bietet via Netbios über TCP/IP entsprechende Namensdienste an.<br />
<br />
'''domain master=yes :''' spricht für sich...<br />
<br />
'''os level=65 :''' stellt sicher, dass der Samba die "Wahl" zum PDC gewinnt<br />
<br />
'''admin users=root :''' Benutzer mit Administrationsrechten (Domain-Admin)<br />
<br />
'''logon home=\\%L\homes :''' Angabe des Home-Verzeichnis. Im Beispiel befinden sich die Home-Verzeichnise aller User unter /home; die [homes]-Sektion muss hier in der smb.conf enthalten sein!<br />
<br />
'''logon drive=k: :''' in diesem Fall wird auf k: das Home-Verzeichnis gemounted<br />
<br />
'''logon path=\\%L\profiles\%U :''' Quelle der servergespeicherten User-Profile (beachte [profiles])<br />
<br />
'''load printers=yes :''' Drucker laden<br />
<br />
'''printing=cups :''' zum Drucken das CUPS verwenden<br />
<br />
'''printcap name=cups :''' das CUPS Printing-Interface verwenden<br />
<br />
'''logon script=%U.logon.bat :''' Logon-Script, das nach dem Anmelden für jeden – in diesem Fall – einzelnen User ausgeführt wird; verlangt die Existenz der Sektion [netlogon]<br />
<br />
'''unix password sync = yes :''' dieser Parameter ändert nicht nur das Samba- sondern auch das Linux-Passwort, wenn der User am (Windows-)Client sein Kennwort ändert; Voraussetzung: das smbpasswd-Passwort ist gleich dem Linux-Passwort<br />
<br />
'''passwd program = /usr/bin/passwd %u :''' dieses Programm wird für die Passwortänderung verwendet<br />
<br />
'''add machine script = /usr/sbin/useradd -g [maschinen_gruppe] -s /bin/false %u :''' unbekannte Maschinen-/Computer-Accounts automatisch anlegen, wenn diese in die Domäne eingebunden werden; [machinen_gruppe] muss vorher angelegt werden (groupadd)!<br />
<br />
<br />
== Die [homes]-Sektion ==<br />
<br />
Hierbei handelt es sich um ein spezielles Share. Im Grunde ist es aufgebaut wie eine "normale" Freigabe, mit der Besonderheit, dass hier die Home-Verzeichnisse der User, die sich an der Domäne anmelden, liegen. Wenn ''[homes]'' den Eintrag ''path=/pfad/zu/homeverzeichnis'' nicht enthält, werden die Homeverzeichnisse unter ''/home'' verwendet. Egal ob path verwendet wird oder nicht: es muss für jeden Benutzer ein Ordner mit dessen Namen im entsprechenden Verzeichnis existieren (Unix-Rechte anpassen nicht vergessen!). Beachte auch in der ''[global]''-Sektion den Eintrag ''logon home=''!<br />
<br />
<br />
== Die [profiles]-Sektion ==<br />
<br />
Dieses Share ist fast (!) wie alle Anderen, mit der Ausnahme, dass im angegebenen path (z. B. ''/srv/samba/profiles'') für jeden User ein Profil-Verzeichnis liegt. Durch ''hide files'' und store dos attributes wird bewirkt, dass DOS-Attribute (wie z. B. für die versteckte Datei ''desktop.ini'') erhalten bleiben. Beachte hierzu das Script [[Samba mit LDAP - extended]]!<br />
<br />
<br />
== Die [netlogon]-Sektion ==<br />
<br />
Ebenfalls mit einem "normalen" Share zu vergleichen, mit der Sonderbedeutung, dass sich in path die Login-Scripte und die ''ntconfig.pol'' für Systemrichtlinien befinden. Wird in der ''[global]''-Sektion ''logon script = %U.logon.bat'' angegeben, so wird im Verzeichnis path für jeden User ein derartiges Script erwartet, z. B.für einen Benutzer flo die ''flo.logon.bat''. Die ''ntconfig.pol'' wird mit Poledit erstellt. Beachte [[Zentrale Verteilung der Gruppenrichtlinien - poledit]]<br />
<br />
<br />
== Die [printers]-Sektion ==<br />
<br />
Existiert dieses Share, so werden alle am Server eingerichteten Drucker den Clients zur Verfügung gestellt. Will man für Drucker spezielle Rechte vergeben, z. B. dass nur bestimmte User auf einen Drucker drucken dürfen, so muss für jeden Drucker ein eigenes Share angelegt werden. Beachte hierzu das Script ''Samba als Druckserver'' (folgt noch).<br />
<br />
'''path = /srv/samba/spool :''' Pfad zum Samba-Spoolverzeichnis; Rechte: chmod 7771 /srv/samba/spool<br />
<br />
'''browseable = no :''' Share soll in der "Netzwerkumgebung" nicht sichtbar sein<br />
<br />
'''guest ok = yes :''' grundsätzlich darf jeder – auch Gäste – drucken<br />
<br />
'''writeable = no :''' das Ablegen von "Nicht-Drucker-Dateien" soll verweigert werden<br />
<br />
'''printable = yes :''' es handelt sich um ein Printer-Share, d. h. trotz writeable = no dürfen trotzdem Druckjobs von den Benutzern abgelegt werden!<br />
<br />
'''printer admin = root :''' Admin, der die Drucker verwaltet<br />
<br />
<br />
== Die [print$]-Sektion ==<br />
<br />
Dieses Share beinhaltet die Drucker-Treiber für die (Windows-) Clients. Wird ein Drucker an einem Client-PC hinzugefügt, holt sich dieser die Treiber aus dem Ordner path. Genaueres erfährst du im Script ''Samba als Druck-Server'' (folgt noch).<br />
<br />
'''path = /srv/samba/drivers :''' Pfad, in dem die Druckertreiber liegen<br />
<br />
'''browseable = yes :''' dies verlangt Windows so<br />
<br />
'''guest ok = no :''' kein „Gast“ hat Zugriff auf dieses Share<br />
<br />
'''read only = yes :''' keiner darf schreiben, nur lesen...<br />
<br />
'''write list = root :''' ...außer root, der darf hier Dateien (genauer: Treiber) ablegen<br />
<br />
<br />
== Hinweise ==<br />
<br />
Diese Doku war eigentlich für meinen eigenen "Gebrauch" gedacht - vielleicht hilft sie dir auch weiter ;-)<br />
<br />
Willst du Samba mit LDAP-Backend verwenden, lies dir hierzu das Script ''Samba und OpenLDAP'' durch (folgt noch). Das soll's gewesen sein!<br />
<br />
<br />
--[[Benutzer:Flo84|Flo84]] 21:51, 14. Mai 2007 (CEST)</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=PDC_Client&diff=15504PDC Client2007-05-14T19:49:18Z<p>Flo84: </p>
<hr />
<div>== Client in die Domäne aufnehmen ==<br />
<br />
Will man einen Client einer Domäne hinzufügen, muss der Server als PDC konfiguriert sein ([[Beispiel einer smb.conf]]). Weiter wird davon ausgegangen, dass root und alle gewünschten Benutzer mit smbpasswd angelegt wurden bzw. die User im LDAP-Verzeichnis existieren. Ist der Server einsatzbereit und kann man auf Shares wie in einem Peer-to-Peer Netz zugreifen (Stichwort "Netzlaufwerk verbinden"), werden wir nun die Client-PC's der Domäne hinzufügen.<br />
<br />
<br />
'''''Noch ein Hinweis:''''' läuft Samba mit LDAP-Backend, sollte man auch das Script [[Samba mit LDAP - extended]] bei folgenden Schritten berücksichtigen!<br />
<br />
<br />
Man meldet sich lokal als Admin am Client an und wechselt in die Systemsteuerung, System. In der Registerkarte ''Computername'' klickt man auf den Button ''Ändern'', wählt in Mitglied von den Punkt Domäne und gibt sinnigerweise den Namen der Domäne an, wie sie in der smb.conf steht (''[global]''-Sektion der Punkt ''workgroup''). Klickt man auf OK wird man nach einem Usernamen sowie einem Passwort gefragt. Gib hier root mit seinem in smbpasswd/LDAP-Verzeichnis angelegten Kennwort ein. Nach wenigen Sekunden sollte folgender Hinweis erscheinen:<br />
<br />
<br />
[[Bild:smb_config_client_01.jpg]]<br />
<br />
<br />
Erscheint diese Meldung nicht, kommt also stattdessen eine Fehlermeldung, sollte man sich vergewissern, dass root mit ''smbpasswd -a root'' angelegt wurde und ein Maschinen-Account für den Client existiert – falls man in der ''[global]''-Sektion der ''smb.conf'' nicht<br />
<br />
add machine script = /usr/sbin/useradd -g [maschinengruppe] -s /bin/false %u<br />
<br />
angegeben hat (siehe smb.conf-Beispiel) passiert dies nämlich nicht automatisch! Will man einen Rechner "per Hand" eintragen, lauten die Befehle:<br />
<br />
useradd -s /bin/false [RECHERNAME]$<br />
smbpasswd -a -m [RECHNERNAME]<br />
<br />
Überprüfe bei einem Fehler auch die ''smb.conf'', um sicherzustellen, dass der Server auch wirklich als PDC eingerichtet wurde. Verwende hierzu den Befehl ''testparm''<br />
<br />
<br />
Für LDAP gilt übrigens folgender Befehl:<br />
<br />
add machine script = /usr/sbin/smbldap-useradd -w %u<br />
<br />
<br />
Es sollte bei Problemen auch die ''/etc/ldap.conf'' überprüft werden. Hier muss der Eintrag ''nss_base_passwd ou=Computers,dc=firma_xyz,dc=de'' unter Anderem gesetzt sein! Die Logfiles ''/var/log/messages'' sowie ''/var/log/samba/log.smbd'' geben sicher den wertvollsten Hinweis darauf, wo das Problem liegt!<br />
<br />
<br />
Nach erfolgreichem Aufnehmen des Rechners muss dieser neu gestartet werden. Bevor man sich aber anmeldet, sollte man sich mit den Benutzerprofilen auseinandersetzen!<br />
<br />
== Serverbasierende Profile ==<br />
<br />
Sie machen Sinn, um dem User zu ermöglichen, seinen gewohnten Desktop – egal an welchem PC er sich im Netzwerk anmeldet – zur Verfügung zu stellen. Man bezeichnet soetwas als Roaming Profiles.<br />
<br />
<br />
In der smb.conf muss in der ''[global]''-Sektion ''logon path = /pfad/zum/profilordner'' gesetzt sein und außerdem das Share ''[profiles]'' existieren. Dieses sieht z. B. so aus:<br />
<br />
[profiles]<br />
comment=Profile<br />
path=/srv/samba/profiles<br />
read only=no<br />
create mask=0600<br />
directory mask=0770<br />
browseable=no<br />
<br />
Ist für einen User kein Profil-Verzeichnis in path angelegt, so wird dieses beim ersten Login erzeugt. Voraussetzung ist, dass der User in path (also ''/srv/samba/profiles'') uneingeschränkte Rechte hat (Lese-, Schreib- und Ausführrecht!!!). Werden die Profil-Ordner von root aus einer Vorlage heraus angelegt (siehe weiter unten) reicht es, Lese- und Ausführungsrecht (r-x) für dieses Verzeichnis – sprich ''/srv/samba/profiles'' – zu vergeben, wobei der User für sein Profil-Verzeichnis ''/srv/samba/profiles/[username]'' aber wieder Vollzugriff benötigt, da beim Abmelden das Profil des Clients mit dem Servergespeicherten synchronisiert wird.<br />
<br />
<br />
Treten beim Einloggen eines Users Probleme auf, dass er auf sein Profil nicht zugegriffen kann, wird also wahrscheinlich<br />
<br />
<br />
a) kein Profil für den Benutzer in path existieren und der User für path keinen Vollzugriff besitzen, um ein neues Default-Profil anlegen zu können,<br />
<br />
b) dem Benutzer fehlen die Vollzugriffsrechte auf seinen Profil-Ordner und/oder<br />
<br />
c) dem User wurde das Leserecht auf die ''ntuser.dat / ntuser.man'' entzogen (siehe Punkt "Verbindliche, unveränderbare Profile")<br />
<br />
<br />
[[Bild:smb_config_client_02.jpg]]<br />
<br />
Grafik 1<br />
<br />
<br />
== Profilvorlagen anlegen ==<br />
<br />
Sollen die Benutzer nicht das "klickibunti" XP-Design als Standard verwenden, den Destkop und die Registry nicht ändern können, dann machen verbindliche, unveränderbare Profile Sinn. Problem: beim ersten Anmelden eines Users wird ein Profil-Verzeichnis angelegt – jedoch mit oben genannten Eigenschaften, die wir so nicht akzeptieren *G* Also basteln wir uns eine Vorlage. Das ist gar nicht so schwer: Voraussetzung ist, dass der Samba-Server eingerichtet ist und läuft, root in der smbpasswd/LDAP existiert und man auf das Share ''[profiles]'' als root schreibend zugreifen kann. Ist dies gegeben, meldet man sich an einem XP-Rechner mit Administrationsrechten lokal (nicht an der Domäne!) an.<br />
<br />
<br />
'''''Schritt 1: "vorlage"-User erstellen'''''<br />
<br />
Am XP-PC angemeldet, legen wir einen User "vorlage" an, vergeben ein Passwort, melden uns als Admin ab und als der "vorlage"-User am Rechner erneut an.<br />
<br />
<br />
'''''Schritt 2: Profil des "vorlagen"-Users anpassen'''''<br />
<br />
Ist man als "vorlage" angemeldet, passt man das Aussehen von Windows dementsprechend an – und zwar genau so, wie unsere Client-PC's dann aussehen sollen. Zu beachten: es sollten keine benutzerspezifischen Desktop-Symbole oder Startmenü-Einträge erstellt werden; einfach das Profil anpassen. Ist man mit dem Profil des Users "vorlage" zufrieden, meldet man sich ab und erneut als Administrator lokal an. <br />
<br />
<br />
'''Tipp:''' man sollte nochmal in das erstellte Profil-Verzeichnis des Benutzers "vorlage" wechseln und dort nach den versteckten Dateien ''desktop.ini'' suchen, anschließend alle löschen. Grund: es existiert z. B. im Autostart-Ordner eine solche Datei. Kopiert man dann das Profil auf einen anderen User, ist diese Datei nicht mehr versteckt und wird bei jedem Anmelden geöffnet – das nervt meines Erachtens ziemlich. Zudem sollte man in der ''[homes]'' und ''[profiles]''-Sektion das Attribut ''hide files = /desktop.ini/'' verwenden, um die Dateien als "Versteckt" anzuzeigen.<br />
<br />
<br />
Klicke auf Start, Ausführen und gib ''cmd'' ein. Stelle mit folgendem Befehl – natürlich angepasst an deinen Server – eine Verbindung zu diesem her:<br />
<br />
net use \\server01 /user:root<br />
<br />
Nach Eingabe des root-Passwortes muss eine Bestätigung kommen, dass der Befehl erfolgreich ausgeführt wurde. Andernfalls sollte man prüfen, ob root in der smbpasswd/LDAP angelegt wurde!<br />
<br />
<br />
Nun wechselt man in die Systemsteuerung, klickt auf System, Registerkarte Erweitert und klickt bei den Benutzerprofilen auf Einstellungen. Aus der Liste wählt man den "vorlage"-User aus und klickt dann auf Kopieren nach (Grafik 2). Bei Profil kopieren nach gibt man folgendes an:<br />
<br />
\\server01\profiles\vorlage<br />
<br />
Bevor man nun auf OK klickt, muss man noch den Benutzer ändern. Auf den Button Ändern klicken und als Benutzer ''Jeder'' wählen. Grund: kopiert man das Profil später auf einen anderen User, so hat dieser Zugriffsprobleme auf sein Profil. Als Jeder werden die Rechte – wenn man so will – "neutral" vergeben.<br />
<br />
<br />
Jetzt kann man auf OK klicken und das Profil wird auf den Server in das Profil-Share kopiert (Grafik 3). Wird der Zugriff verweigert oder tritt sonst ein Fehler auf: smb.conf und Zugriffsrechte auf den Ordner prüfen!<br />
<br />
<br />
[[Bild:smb_config_client_03.jpg]]<br />
<br />
Grafik 2<br />
<br />
<br />
[[Bild:smb_config_client_04.jpg]]<br />
<br />
Grafik 3<br />
<br />
<br />
== Verbindliche, unveränderbare Profile ==<br />
<br />
Es ist häufig gewünscht, dass ein Benutzer sein Profil nicht ändern kann, um den Server z. B. durch das Abspeichern übergroßer Hintergrundbilder etc. nicht zu überlasten. Hier gibt’s einen einfachen Trick: benenne im Profil-Verzeichnis des Benutzers (am Besten gleich des "vorlage"-Benutzers) die Datei ''ntuser.dat'' in ''ntuser.man'' um und vergib nur das Leserecht auf die Datei: <br />
<br />
chmod 400 ntuser.man<br />
<br />
damit soll verhindert werden, dass der Benutzer die Datei selbst wieder in ''ntuser.dat'' umbenennt. Das Leserecht ist jedoch zwingend erforderlich, bitte beachten! Außerdem ist darauf zu achten, im ''[profile]''-Share das Attribut ''read only = yes'' zu setzen. Hier ist natürlich wieder zu berücksichtigen, dass dann für jeden User, der sich anmelden will, bereits ein Profil-Ordner vorhanden sein muss. Wichtig ist auch zu wissen, dass die "Eigenen Dateien" ebenfalls zum Profil zählen und in diesem Fall nicht gespeichert würden! Im Script "Samba und Poledit" (folgt noch) wird die Ordnerumleitung erklärt. So kannst du die "Eigenen Dateien" auf ein Netzlaufwerk verschieben.<br />
<br />
<br />
'''Zusätzliche Anmkerung:''' die Profile – auch wenn sie serverbasierend sind – werden lokal am Client angelegt und beim Abmelden synchronisiert. Ich habe zum Testen der Funktionalität des unveränderbaren Profils ein Desktopbild eingefügt, mich abgemeldet und wieder angemeldet – das schien jedoch nicht zu funktionieren, da die Grafik wider erwarten angezeigt wurde. In Wirklichkeit war ein Neustart des Clients notwendig, dann funktionierte alles (frag' mich nicht warum...)!<br />
<br />
<br />
== Profilvorlage für User kopieren ==<br />
<br />
Nachdem wir unser Vorlagen-Profil nun auf dem Server haben, müssen wir für jeden User einen Ordner mit den Dateien und Verzeichnissen aus dem Vorlage-Profil heraus erstellen. Wechsle in den Profil-Ordner (z. B. ''/srv/samba/profiles''). Vergewissere dich, dass dort der Ordner ''vorlage'' existiert und gib dann folgende Befehle ein, um ein Profil für den User ''franz'' zu erstellen:<br />
<br />
cp -R vorlage/ franz<br />
chown -R franz franz<br />
chmod 700 franz<br />
<br />
Was passiert hier: als erstes kopieren wir den gesamten Ordnerinhalt von ''vorlage'' in den Ordner ''franz''. Als nächsten Schritt machen wir den Benutzer ''franz'' zum Eigentümer dieses Ordners und geben ihm (und nur ihm!) mit ''chmod'' Vollzugriff auf sein Profil. Andernfalls kommt es zu einem Fehler beim Login bzw. Logout (siehe Grafik 1).<br />
<br />
<br />
Das soll's gewesen sein!<br />
<br />
<br />
--[[Benutzer:Flo84|Flo84]] 21:49, 14. Mai 2007 (CEST)</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=Samba&diff=15501Samba2007-05-14T19:48:07Z<p>Flo84: /* Allgemein */</p>
<hr />
<div>{{Infobox Software<br />
|Name= Samba<br>[[Bild:Samba-logo.png]]<br />
|Screenshot=<br />
|Beschreibung= <br />
|Hersteller= [http://us1.samba.org/samba/team/ Samba-Team]<br />
|AktuelleVersion= 3.0.24<br />
|AktuelleVersionFreigabeDatum= 5. Februar 2007<br />
|Betriebssystem= Linux, Unix, OS X<br />
|Kategorie= [[Samba]]<br />
|Lizenz= GPL<br />
|Deutsch= nein<br />
|Website= [http://samba.org/ Offizielle Seite] / [http://samba.sernet.de/ Deutsche Seite]<br />
}}<br />
[http://www.linux-club.de/forum6.html zum Forum]<br />
<br />
<br />
== Allgemein ==<br />
<!--Die Überschrift dient erst mal als Arbeitsüberschrift--><br />
* [[Samba-Openbooks und Links]] Die Samba Buchliste<br />
* [[Themen und Links zu Samba]]<br />
* [[Domaene einrichten|Domäne einrichten]]<br />
* [[Beispiel einer smb.conf]]<br />
* [[Samba als PDC: Clients einrichten]]<br />
* [[Samba mit LDAP]]<br />
* [[Samba mit LDAP - extended]]<br />
* [[Windows Client für Arbeitsgruppe einrichten]]<br />
* [[Drucken mit Samba]]<br />
* [[Vscan]] Echtzeit Virenscanner für SAMBA<br />
* [[Zentrale Verteilung der Gruppenrichtlinien - poledit]]<br />
* [[Logonskripte mit kix]]<br />
* [[Linux-Client in Windows Domain]]<br />
* [[Apple Macintosh am Linux Server]]<br />
* [[SMB-Freigaben mit SuSEfirewall2]]<br />
* [[Samba mit zwei LDAP-Servern als passdb backend]]<br />
* [[Zugriffrechte unter Samba]]<br />
* [[Samba zu langsam]] <br />
* [[Dokumentationen auf Suse 10.0 nicht korrekt verlinkt]]<br />
* [[ACHTUNG: Samba 3.0.23-3.1.33 buggy]]<br />
<br />
== Grafische Installer ==<br />
* [[SWAT]] Installation und Konfiguration<br />
* [[Einfache Sambafreigabe über YaST]] Eine schnelle Netzwerkresource freigeben für jeden Beschreibbar<br />
* [[Samba KDE Kontrollzentrum]]<br />
<br />
== Samba in Verbindung mit active directory oder ldap ==<br />
<br />
* [[SUSE in Win2000 Domain und Acitve Directory]]<br />
<br />
* [[linux und active directory]]<br />
<br />
----<br />
<br />
[[Samba Musterkonfigurationen]]<br />
<br />
[[Category:Samba]][[Kategorie:Übersicht]]</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=PDC_Client&diff=15500PDC Client2007-05-14T19:44:09Z<p>Flo84: </p>
<hr />
<div>== Client in die Domäne aufnehmen ==<br />
<br />
Will man einen Client einer Domäne hinzufügen, muss der Server als PDC konfiguriert sein ([[Beispiel einer smb.conf]]). Weiter wird davon ausgegangen, dass root und alle gewünschten Benutzer mit smbpasswd angelegt wurden bzw. die User im LDAP-Verzeichnis existieren. Ist der Server einsatzbereit und kann man auf Shares wie in einem Peer-to-Peer Netz zugreifen (Stichwort "Netzlaufwerk verbinden"), werden wir nun die Client-PC's der Domäne hinzufügen.<br />
<br />
<br />
'''''Noch ein Hinweis:''''' läuft Samba mit LDAP-Backend, sollte man auch das Script "Samba und OpenLDAP" bei folgenden Schritten berücksichtigen (folgt noch)!<br />
<br />
<br />
Man meldet sich lokal als Admin am Client an und wechselt in die Systemsteuerung, System. In der Registerkarte ''Computername'' klickt man auf den Button ''Ändern'', wählt in Mitglied von den Punkt Domäne und gibt sinnigerweise den Namen der Domäne an, wie sie in der smb.conf steht (''[global]''-Sektion der Punkt ''workgroup''). Klickt man auf OK wird man nach einem Usernamen sowie einem Passwort gefragt. Gib hier root mit seinem in smbpasswd/LDAP-Verzeichnis angelegten Kennwort ein. Nach wenigen Sekunden sollte folgender Hinweis erscheinen:<br />
<br />
<br />
[[Bild:smb_config_client_01.jpg]]<br />
<br />
<br />
Erscheint diese Meldung nicht, kommt also stattdessen eine Fehlermeldung, sollte man sich vergewissern, dass root mit ''smbpasswd -a root'' angelegt wurde und ein Maschinen-Account für den Client existiert – falls man in der ''[global]''-Sektion der ''smb.conf'' nicht<br />
<br />
add machine script = /usr/sbin/useradd -g [maschinengruppe] -s /bin/false %u<br />
<br />
angegeben hat (siehe smb.conf-Beispiel) passiert dies nämlich nicht automatisch! Will man einen Rechner "per Hand" eintragen, lauten die Befehle:<br />
<br />
useradd -s /bin/false [RECHERNAME]$<br />
smbpasswd -a -m [RECHNERNAME]<br />
<br />
Überprüfe bei einem Fehler auch die ''smb.conf'', um sicherzustellen, dass der Server auch wirklich als PDC eingerichtet wurde. Verwende hierzu den Befehl ''testparm''<br />
<br />
<br />
Für LDAP gilt übrigens folgender Befehl:<br />
<br />
add machine script = /usr/sbin/smbldap-useradd -w %u<br />
<br />
<br />
Es sollte bei Problemen auch die ''/etc/ldap.conf'' überprüft werden. Hier muss der Eintrag ''nss_base_passwd ou=Computers,dc=firma_xyz,dc=de'' unter Anderem gesetzt sein! Die Logfiles ''/var/log/messages'' sowie ''/var/log/samba/log.smbd'' geben sicher den wertvollsten Hinweis darauf, wo das Problem liegt!<br />
<br />
<br />
Nach erfolgreichem Aufnehmen des Rechners muss dieser neu gestartet werden. Bevor man sich aber anmeldet, sollte man sich mit den Benutzerprofilen auseinandersetzen!<br />
<br />
== Serverbasierende Profile ==<br />
<br />
Sie machen Sinn, um dem User zu ermöglichen, seinen gewohnten Desktop – egal an welchem PC er sich im Netzwerk anmeldet – zur Verfügung zu stellen. Man bezeichnet soetwas als Roaming Profiles.<br />
<br />
<br />
In der smb.conf muss in der ''[global]''-Sektion ''logon path = /pfad/zum/profilordner'' gesetzt sein und außerdem das Share ''[profiles]'' existieren. Dieses sieht z. B. so aus:<br />
<br />
[profiles]<br />
comment=Profile<br />
path=/srv/samba/profiles<br />
read only=no<br />
create mask=0600<br />
directory mask=0770<br />
browseable=no<br />
<br />
Ist für einen User kein Profil-Verzeichnis in path angelegt, so wird dieses beim ersten Login erzeugt. Voraussetzung ist, dass der User in path (also ''/srv/samba/profiles'') uneingeschränkte Rechte hat (Lese-, Schreib- und Ausführrecht!!!). Werden die Profil-Ordner von root aus einer Vorlage heraus angelegt (siehe weiter unten) reicht es, Lese- und Ausführungsrecht (r-x) für dieses Verzeichnis – sprich ''/srv/samba/profiles'' – zu vergeben, wobei der User für sein Profil-Verzeichnis ''/srv/samba/profiles/[username]'' aber wieder Vollzugriff benötigt, da beim Abmelden das Profil des Clients mit dem Servergespeicherten synchronisiert wird.<br />
<br />
<br />
Treten beim Einloggen eines Users Probleme auf, dass er auf sein Profil nicht zugegriffen kann, wird also wahrscheinlich<br />
<br />
<br />
a) kein Profil für den Benutzer in path existieren und der User für path keinen Vollzugriff besitzen, um ein neues Default-Profil anlegen zu können,<br />
<br />
b) dem Benutzer fehlen die Vollzugriffsrechte auf seinen Profil-Ordner und/oder<br />
<br />
c) dem User wurde das Leserecht auf die ''ntuser.dat / ntuser.man'' entzogen (siehe Punkt "Verbindliche, unveränderbare Profile")<br />
<br />
<br />
[[Bild:smb_config_client_02.jpg]]<br />
<br />
Grafik 1<br />
<br />
<br />
== Profilvorlagen anlegen ==<br />
<br />
Sollen die Benutzer nicht das "klickibunti" XP-Design als Standard verwenden, den Destkop und die Registry nicht ändern können, dann machen verbindliche, unveränderbare Profile Sinn. Problem: beim ersten Anmelden eines Users wird ein Profil-Verzeichnis angelegt – jedoch mit oben genannten Eigenschaften, die wir so nicht akzeptieren *G* Also basteln wir uns eine Vorlage. Das ist gar nicht so schwer: Voraussetzung ist, dass der Samba-Server eingerichtet ist und läuft, root in der smbpasswd/LDAP existiert und man auf das Share ''[profiles]'' als root schreibend zugreifen kann. Ist dies gegeben, meldet man sich an einem XP-Rechner mit Administrationsrechten lokal (nicht an der Domäne!) an.<br />
<br />
<br />
'''''Schritt 1: "vorlage"-User erstellen'''''<br />
<br />
Am XP-PC angemeldet, legen wir einen User "vorlage" an, vergeben ein Passwort, melden uns als Admin ab und als der "vorlage"-User am Rechner erneut an.<br />
<br />
<br />
'''''Schritt 2: Profil des "vorlagen"-Users anpassen'''''<br />
<br />
Ist man als "vorlage" angemeldet, passt man das Aussehen von Windows dementsprechend an – und zwar genau so, wie unsere Client-PC's dann aussehen sollen. Zu beachten: es sollten keine benutzerspezifischen Desktop-Symbole oder Startmenü-Einträge erstellt werden; einfach das Profil anpassen. Ist man mit dem Profil des Users "vorlage" zufrieden, meldet man sich ab und erneut als Administrator lokal an. <br />
<br />
<br />
'''Tipp:''' man sollte nochmal in das erstellte Profil-Verzeichnis des Benutzers "vorlage" wechseln und dort nach den versteckten Dateien ''desktop.ini'' suchen, anschließend alle löschen. Grund: es existiert z. B. im Autostart-Ordner eine solche Datei. Kopiert man dann das Profil auf einen anderen User, ist diese Datei nicht mehr versteckt und wird bei jedem Anmelden geöffnet – das nervt meines Erachtens ziemlich. Zudem sollte man in der ''[homes]'' und ''[profiles]''-Sektion das Attribut ''hide files = /desktop.ini/'' verwenden, um die Dateien als "Versteckt" anzuzeigen.<br />
<br />
<br />
Klicke auf Start, Ausführen und gib ''cmd'' ein. Stelle mit folgendem Befehl – natürlich angepasst an deinen Server – eine Verbindung zu diesem her:<br />
<br />
net use \\server01 /user:root<br />
<br />
Nach Eingabe des root-Passwortes muss eine Bestätigung kommen, dass der Befehl erfolgreich ausgeführt wurde. Andernfalls sollte man prüfen, ob root in der smbpasswd/LDAP angelegt wurde!<br />
<br />
<br />
Nun wechselt man in die Systemsteuerung, klickt auf System, Registerkarte Erweitert und klickt bei den Benutzerprofilen auf Einstellungen. Aus der Liste wählt man den "vorlage"-User aus und klickt dann auf Kopieren nach (Grafik 2). Bei Profil kopieren nach gibt man folgendes an:<br />
<br />
\\server01\profiles\vorlage<br />
<br />
Bevor man nun auf OK klickt, muss man noch den Benutzer ändern. Auf den Button Ändern klicken und als Benutzer ''Jeder'' wählen. Grund: kopiert man das Profil später auf einen anderen User, so hat dieser Zugriffsprobleme auf sein Profil. Als Jeder werden die Rechte – wenn man so will – "neutral" vergeben.<br />
<br />
<br />
Jetzt kann man auf OK klicken und das Profil wird auf den Server in das Profil-Share kopiert (Grafik 3). Wird der Zugriff verweigert oder tritt sonst ein Fehler auf: smb.conf und Zugriffsrechte auf den Ordner prüfen!<br />
<br />
<br />
[[Bild:smb_config_client_03.jpg]]<br />
<br />
Grafik 2<br />
<br />
<br />
[[Bild:smb_config_client_04.jpg]]<br />
<br />
Grafik 3<br />
<br />
<br />
== Verbindliche, unveränderbare Profile ==<br />
<br />
Es ist häufig gewünscht, dass ein Benutzer sein Profil nicht ändern kann, um den Server z. B. durch das Abspeichern übergroßer Hintergrundbilder etc. nicht zu überlasten. Hier gibt’s einen einfachen Trick: benenne im Profil-Verzeichnis des Benutzers (am Besten gleich des "vorlage"-Benutzers) die Datei ''ntuser.dat'' in ''ntuser.man'' um und vergib nur das Leserecht auf die Datei: <br />
<br />
chmod 400 ntuser.man<br />
<br />
damit soll verhindert werden, dass der Benutzer die Datei selbst wieder in ''ntuser.dat'' umbenennt. Das Leserecht ist jedoch zwingend erforderlich, bitte beachten! Außerdem ist darauf zu achten, im ''[profile]''-Share das Attribut ''read only = yes'' zu setzen. Hier ist natürlich wieder zu berücksichtigen, dass dann für jeden User, der sich anmelden will, bereits ein Profil-Ordner vorhanden sein muss. Wichtig ist auch zu wissen, dass die "Eigenen Dateien" ebenfalls zum Profil zählen und in diesem Fall nicht gespeichert würden! Im Script "Samba und Poledit" (folgt noch) wird die Ordnerumleitung erklärt. So kannst du die "Eigenen Dateien" auf ein Netzlaufwerk verschieben.<br />
<br />
<br />
'''Zusätzliche Anmkerung:''' die Profile – auch wenn sie serverbasierend sind – werden lokal am Client angelegt und beim Abmelden synchronisiert. Ich habe zum Testen der Funktionalität des unveränderbaren Profils ein Desktopbild eingefügt, mich abgemeldet und wieder angemeldet – das schien jedoch nicht zu funktionieren, da die Grafik wider erwarten angezeigt wurde. In Wirklichkeit war ein Neustart des Clients notwendig, dann funktionierte alles (frag' mich nicht warum...)!<br />
<br />
<br />
== Profilvorlage für User kopieren ==<br />
<br />
Nachdem wir unser Vorlagen-Profil nun auf dem Server haben, müssen wir für jeden User einen Ordner mit den Dateien und Verzeichnissen aus dem Vorlage-Profil heraus erstellen. Wechsle in den Profil-Ordner (z. B. ''/srv/samba/profiles''). Vergewissere dich, dass dort der Ordner ''vorlage'' existiert und gib dann folgende Befehle ein, um ein Profil für den User ''franz'' zu erstellen:<br />
<br />
cp -R vorlage/ franz<br />
chown -R franz franz<br />
chmod 700 franz<br />
<br />
Was passiert hier: als erstes kopieren wir den gesamten Ordnerinhalt von ''vorlage'' in den Ordner ''franz''. Als nächsten Schritt machen wir den Benutzer ''franz'' zum Eigentümer dieses Ordners und geben ihm (und nur ihm!) mit ''chmod'' Vollzugriff auf sein Profil. Andernfalls kommt es zu einem Fehler beim Login bzw. Logout (siehe Grafik 1).<br />
<br />
<br />
Das soll's gewesen sein!<br />
<br />
<br />
--[[Benutzer:Flo84|Flo84]] 21:44, 14. Mai 2007 (CEST)</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=Smb.conf&diff=15499Smb.conf2007-05-14T19:43:42Z<p>Flo84: </p>
<hr />
<div>== Die [global]-Sektion ==<br />
<br />
'''workgroup=firma_xyz :''' hier wird der Domänen-Namen vergeben<br />
<br />
'''netbios name=Server01 :''' der NetBIOS-Name des Servers<br />
<br />
'''server string=Linux Samba-Server %v :''' mit dieser Zeichenkette erscheint der Server unter Windows – inklusive der Samba-Version (%v)<br />
<br />
'''security=user :''' der Server soll als PDC fungieren<br />
<br />
'''encrypt passwords=yes :''' Passwörter werden verschlüsselt vom Client an den Server geschickt (ab Windows 98!)<br />
<br />
'''wins support=yes :''' der Server bietet WINS-Support für die Namensauflösung; ist bereits ein WINS-Server im Einsatz, verwende ''wins server = [server_ip]''<br />
<br />
'''name resolv order:''' im Beispiel wird versucht, die Namensauflösung in der Reihenfolge wins, lmhosts, hosts und zum Schluss per Broadcast durchzuführen<br />
<br />
'''domain logons=yes :''' realisiert die Domänenanmeldung der Clients<br />
<br />
'''local master=yes :''' Server wird zum Master-Browser erhoben<br />
<br />
'''preferred master=yes :''' legt fest, dass der nmbd als bevorzugter master browser in der Domain auftritt. nmbd ist der NetBIOS-Name Server und bietet via Netbios über TCP/IP entsprechende Namensdienste an.<br />
<br />
'''domain master=yes :''' spricht für sich...<br />
<br />
'''os level=65 :''' stellt sicher, dass der Samba die "Wahl" zum PDC gewinnt<br />
<br />
'''admin users=root :''' Benutzer mit Administrationsrechten (Domain-Admin)<br />
<br />
'''logon home=\\%L\homes :''' Angabe des Home-Verzeichnis. Im Beispiel befinden sich die Home-Verzeichnise aller User unter /home; die [homes]-Sektion muss hier in der smb.conf enthalten sein!<br />
<br />
'''logon drive=k: :''' in diesem Fall wird auf k: das Home-Verzeichnis gemounted<br />
<br />
'''logon path=\\%L\profiles\%U :''' Quelle der servergespeicherten User-Profile (beachte [profiles])<br />
<br />
'''load printers=yes :''' Drucker laden<br />
<br />
'''printing=cups :''' zum Drucken das CUPS verwenden<br />
<br />
'''printcap name=cups :''' das CUPS Printing-Interface verwenden<br />
<br />
'''logon script=%U.logon.bat :''' Logon-Script, das nach dem Anmelden für jeden – in diesem Fall – einzelnen User ausgeführt wird; verlangt die Existenz der Sektion [netlogon]<br />
<br />
'''unix password sync = yes :''' dieser Parameter ändert nicht nur das Samba- sondern auch das Linux-Passwort, wenn der User am (Windows-)Client sein Kennwort ändert; Voraussetzung: das smbpasswd-Passwort ist gleich dem Linux-Passwort<br />
<br />
'''passwd program = /usr/bin/passwd %u :''' dieses Programm wird für die Passwortänderung verwendet<br />
<br />
'''add machine script = /usr/sbin/useradd -g [maschinen_gruppe] -s /bin/false %u :''' unbekannte Maschinen-/Computer-Accounts automatisch anlegen, wenn diese in die Domäne eingebunden werden; [machinen_gruppe] muss vorher angelegt werden (groupadd)!<br />
<br />
<br />
== Die [homes]-Sektion ==<br />
<br />
Hierbei handelt es sich um ein spezielles Share. Im Grunde ist es aufgebaut wie eine "normale" Freigabe, mit der Besonderheit, dass hier die Home-Verzeichnisse der User, die sich an der Domäne anmelden, liegen. Wenn ''[homes]'' den Eintrag ''path=/pfad/zu/homeverzeichnis'' nicht enthält, werden die Homeverzeichnisse unter ''/home'' verwendet. Egal ob path verwendet wird oder nicht: es muss für jeden Benutzer ein Ordner mit dessen Namen im entsprechenden Verzeichnis existieren (Unix-Rechte anpassen nicht vergessen!). Beachte auch in der ''[global]''-Sektion den Eintrag ''logon home=''!<br />
<br />
<br />
== Die [profiles]-Sektion ==<br />
<br />
Dieses Share ist fast (!) wie alle Anderen, mit der Ausnahme, dass im angegebenen path (z. B. ''/srv/samba/profiles'') für jeden User ein Profil-Verzeichnis liegt. Durch ''hide files'' und store dos attributes wird bewirkt, dass DOS-Attribute (wie z. B. für die versteckte Datei ''desktop.ini'') erhalten bleiben. Beachte hierzu das Script ''Samba als PDC'' (folgt noch)!<br />
<br />
<br />
== Die [netlogon]-Sektion ==<br />
<br />
Ebenfalls mit einem "normalen" Share zu vergleichen, mit der Sonderbedeutung, dass sich in path die Login-Scripte und die ''ntconfig.pol'' für Systemrichtlinien befinden. Wird in der ''[global]''-Sektion ''logon script = %U.logon.bat'' angegeben, so wird im Verzeichnis path für jeden User ein derartiges Script erwartet, z. B.für einen Benutzer flo die ''flo.logon.bat''. Die ''ntconfig.pol'' wird mit Poledit erstellt. Beachte [[Zentrale Verteilung der Gruppenrichtlinien - poledit]]<br />
<br />
<br />
== Die [printers]-Sektion ==<br />
<br />
Existiert dieses Share, so werden alle am Server eingerichteten Drucker den Clients zur Verfügung gestellt. Will man für Drucker spezielle Rechte vergeben, z. B. dass nur bestimmte User auf einen Drucker drucken dürfen, so muss für jeden Drucker ein eigenes Share angelegt werden. Beachte hierzu das Script ''Samba als Druckserver'' (folgt noch).<br />
<br />
'''path = /srv/samba/spool :''' Pfad zum Samba-Spoolverzeichnis; Rechte: chmod 7771 /srv/samba/spool<br />
<br />
'''browseable = no :''' Share soll in der "Netzwerkumgebung" nicht sichtbar sein<br />
<br />
'''guest ok = yes :''' grundsätzlich darf jeder – auch Gäste – drucken<br />
<br />
'''writeable = no :''' das Ablegen von "Nicht-Drucker-Dateien" soll verweigert werden<br />
<br />
'''printable = yes :''' es handelt sich um ein Printer-Share, d. h. trotz writeable = no dürfen trotzdem Druckjobs von den Benutzern abgelegt werden!<br />
<br />
'''printer admin = root :''' Admin, der die Drucker verwaltet<br />
<br />
<br />
== Die [print$]-Sektion ==<br />
<br />
Dieses Share beinhaltet die Drucker-Treiber für die (Windows-) Clients. Wird ein Drucker an einem Client-PC hinzugefügt, holt sich dieser die Treiber aus dem Ordner path. Genaueres erfährst du im Script ''Samba als Druck-Server'' (folgt noch).<br />
<br />
'''path = /srv/samba/drivers :''' Pfad, in dem die Druckertreiber liegen<br />
<br />
'''browseable = yes :''' dies verlangt Windows so<br />
<br />
'''guest ok = no :''' kein „Gast“ hat Zugriff auf dieses Share<br />
<br />
'''read only = yes :''' keiner darf schreiben, nur lesen...<br />
<br />
'''write list = root :''' ...außer root, der darf hier Dateien (genauer: Treiber) ablegen<br />
<br />
<br />
== Hinweise ==<br />
<br />
Diese Doku war eigentlich für meinen eigenen "Gebrauch" gedacht - vielleicht hilft sie dir auch weiter ;-)<br />
<br />
Willst du Samba mit LDAP-Backend verwenden, lies dir hierzu das Script ''Samba und OpenLDAP'' durch (folgt noch). Das soll's gewesen sein!<br />
<br />
<br />
--[[Benutzer:Flo84|Flo84]] 21:43, 14. Mai 2007 (CEST)</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=Smb.conf&diff=15498Smb.conf2007-05-14T19:43:16Z<p>Flo84: </p>
<hr />
<div><br />
== Die [global]-Sektion ==<br />
<br />
'''workgroup=firma_xyz :''' hier wird der Domänen-Namen vergeben<br />
<br />
'''netbios name=Server01 :''' der NetBIOS-Name des Servers<br />
<br />
'''server string=Linux Samba-Server %v :''' mit dieser Zeichenkette erscheint der Server unter Windows – inklusive der Samba-Version (%v)<br />
<br />
'''security=user :''' der Server soll als PDC fungieren<br />
<br />
'''encrypt passwords=yes :''' Passwörter werden verschlüsselt vom Client an den Server geschickt (ab Windows 98!)<br />
<br />
'''wins support=yes :''' der Server bietet WINS-Support für die Namensauflösung; ist bereits ein WINS-Server im Einsatz, verwende ''wins server = [server_ip]''<br />
<br />
'''name resolv order:''' im Beispiel wird versucht, die Namensauflösung in der Reihenfolge wins, lmhosts, hosts und zum Schluss per Broadcast durchzuführen<br />
<br />
'''domain logons=yes :''' realisiert die Domänenanmeldung der Clients<br />
<br />
'''local master=yes :''' Server wird zum Master-Browser erhoben<br />
<br />
'''preferred master=yes :''' legt fest, dass der nmbd als bevorzugter master browser in der Domain auftritt. nmbd ist der NetBIOS-Name Server und bietet via Netbios über TCP/IP entsprechende Namensdienste an.<br />
<br />
'''domain master=yes :''' spricht für sich...<br />
<br />
'''os level=65 :''' stellt sicher, dass der Samba die "Wahl" zum PDC gewinnt<br />
<br />
'''admin users=root :''' Benutzer mit Administrationsrechten (Domain-Admin)<br />
<br />
'''logon home=\\%L\homes :''' Angabe des Home-Verzeichnis. Im Beispiel befinden sich die Home-Verzeichnise aller User unter /home; die [homes]-Sektion muss hier in der smb.conf enthalten sein!<br />
<br />
'''logon drive=k: :''' in diesem Fall wird auf k: das Home-Verzeichnis gemounted<br />
<br />
'''logon path=\\%L\profiles\%U :''' Quelle der servergespeicherten User-Profile (beachte [profiles])<br />
<br />
'''load printers=yes :''' Drucker laden<br />
<br />
'''printing=cups :''' zum Drucken das CUPS verwenden<br />
<br />
'''printcap name=cups :''' das CUPS Printing-Interface verwenden<br />
<br />
'''logon script=%U.logon.bat :''' Logon-Script, das nach dem Anmelden für jeden – in diesem Fall – einzelnen User ausgeführt wird; verlangt die Existenz der Sektion [netlogon]<br />
<br />
'''unix password sync = yes :''' dieser Parameter ändert nicht nur das Samba- sondern auch das Linux-Passwort, wenn der User am (Windows-)Client sein Kennwort ändert; Voraussetzung: das smbpasswd-Passwort ist gleich dem Linux-Passwort<br />
<br />
'''passwd program = /usr/bin/passwd %u :''' dieses Programm wird für die Passwortänderung verwendet<br />
<br />
'''add machine script = /usr/sbin/useradd -g [maschinen_gruppe] -s /bin/false %u :''' unbekannte Maschinen-/Computer-Accounts automatisch anlegen, wenn diese in die Domäne eingebunden werden; [machinen_gruppe] muss vorher angelegt werden (groupadd)!<br />
<br />
<br />
== Die [homes]-Sektion ==<br />
<br />
Hierbei handelt es sich um ein spezielles Share. Im Grunde ist es aufgebaut wie eine "normale" Freigabe, mit der Besonderheit, dass hier die Home-Verzeichnisse der User, die sich an der Domäne anmelden, liegen. Wenn ''[homes]'' den Eintrag ''path=/pfad/zu/homeverzeichnis'' nicht enthält, werden die Homeverzeichnisse unter ''/home'' verwendet. Egal ob path verwendet wird oder nicht: es muss für jeden Benutzer ein Ordner mit dessen Namen im entsprechenden Verzeichnis existieren (Unix-Rechte anpassen nicht vergessen!). Beachte auch in der ''[global]''-Sektion den Eintrag ''logon home=''!<br />
<br />
<br />
== Die [profiles]-Sektion ==<br />
<br />
Dieses Share ist fast (!) wie alle Anderen, mit der Ausnahme, dass im angegebenen path (z. B. ''/srv/samba/profiles'') für jeden User ein Profil-Verzeichnis liegt. Durch ''hide files'' und store dos attributes wird bewirkt, dass DOS-Attribute (wie z. B. für die versteckte Datei ''desktop.ini'') erhalten bleiben. Beachte hierzu das Script ''Samba als PDC'' (folgt noch)!<br />
<br />
<br />
== Die [netlogon]-Sektion ==<br />
<br />
Ebenfalls mit einem "normalen" Share zu vergleichen, mit der Sonderbedeutung, dass sich in path die Login-Scripte und die ''ntconfig.pol'' für Systemrichtlinien befinden. Wird in der ''[global]''-Sektion ''logon script = %U.logon.bat'' angegeben, so wird im Verzeichnis path für jeden User ein derartiges Script erwartet, z. B.für einen Benutzer flo die ''flo.logon.bat''. Die ''ntconfig.pol'' wird mit Poledit erstellt. Beachte [[Zentrale Verteilung der Gruppenrichtlinien - poledit]]<br />
<br />
<br />
== Die [printers]-Sektion ==<br />
<br />
Existiert dieses Share, so werden alle am Server eingerichteten Drucker den Clients zur Verfügung gestellt. Will man für Drucker spezielle Rechte vergeben, z. B. dass nur bestimmte User auf einen Drucker drucken dürfen, so muss für jeden Drucker ein eigenes Share angelegt werden. Beachte hierzu das Script ''Samba als Druckserver'' (folgt noch).<br />
<br />
'''path = /srv/samba/spool :''' Pfad zum Samba-Spoolverzeichnis; Rechte: chmod 7771 /srv/samba/spool<br />
<br />
'''browseable = no :''' Share soll in der "Netzwerkumgebung" nicht sichtbar sein<br />
<br />
'''guest ok = yes :''' grundsätzlich darf jeder – auch Gäste – drucken<br />
<br />
'''writeable = no :''' das Ablegen von "Nicht-Drucker-Dateien" soll verweigert werden<br />
<br />
'''printable = yes :''' es handelt sich um ein Printer-Share, d. h. trotz writeable = no dürfen trotzdem Druckjobs von den Benutzern abgelegt werden!<br />
<br />
'''printer admin = root :''' Admin, der die Drucker verwaltet<br />
<br />
<br />
== Die [print$]-Sektion ==<br />
<br />
Dieses Share beinhaltet die Drucker-Treiber für die (Windows-) Clients. Wird ein Drucker an einem Client-PC hinzugefügt, holt sich dieser die Treiber aus dem Ordner path. Genaueres erfährst du im Script ''Samba als Druck-Server'' (folgt noch).<br />
<br />
'''path = /srv/samba/drivers :''' Pfad, in dem die Druckertreiber liegen<br />
<br />
'''browseable = yes :''' dies verlangt Windows so<br />
<br />
'''guest ok = no :''' kein „Gast“ hat Zugriff auf dieses Share<br />
<br />
'''read only = yes :''' keiner darf schreiben, nur lesen...<br />
<br />
'''write list = root :''' ...außer root, der darf hier Dateien (genauer: Treiber) ablegen<br />
<br />
<br />
== Hinweise ==<br />
<br />
Diese Doku war eigentlich für meinen eigenen "Gebrauch" gedacht - vielleicht hilft sie dir auch weiter ;-)<br />
<br />
Willst du Samba mit LDAP-Backend verwenden, lies dir hierzu das Script ''Samba und OpenLDAP'' durch (folgt noch). Das soll's gewesen sein!<br />
<br />
--[[Benutzer:Flo84|Flo84]] 21:43, 14. Mai 2007 (CEST)</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=Samba_und_OpenLDAP&diff=15497Samba und OpenLDAP2007-05-14T19:41:25Z<p>Flo84: </p>
<hr />
<div>Bei den bisherigen Dokus wurde immer davon ausgegangen, dass Samba die Benutzerauthentifizierung über die smbpasswd vornimmt. Das Ganze funktioniert soweit auch wunderbar, was aber, wenn man jetzt z. B. noch einen E-Mail-Server etc. einrichten möchte? Sicher kann man – um beim Beispiel E-Mails zu bleiben – postfix/cyrus dementsprechend konfigurieren, doch stellt das Ganze einen erheblich höheren Administrationsaufwand dar. Mit einem Verzeichnisdienst wie OpenLDAP werden die Benutzerdaten zentral verwaltet und die User können mit ein und denselben Anmeldedaten (Username + Kennwort) auf mehrere Dienste zugreifen. Man bezeichnet dies auch als "Single-Sign-On".<br />
<br />
<br />
== Installation von OpenLDAP ==<br />
<br />
Normalerweise dürften bei jeder Distribution Binärpakete bereit liegen. Folgendes muss installiert werden:<br />
<br />
OpenLDAP (der LDAP-Server, ldap-server unter Debian)<br />
smbldap-tools (erleichtern die Arbeit: http://sourceforge.net/projects/smbldap-tools)<br />
pam_ldap (PAM-Konfigurations-Dateien für LDAP, libpam-ldap unter Debian)<br />
nss_ldap (Konfig-Dateien für NSS LDAP-Unterstützung, libnss-ldap unter Debian)<br />
pam_smb (PAM-Support für SMB, libpam-smbpass unter Debian)<br />
gosa-schema (nur bei Debian – beinhaltete gosa+samba3.schema)<br />
<br />
Nach der Installation können wir nun loslegen. Bitte bis dahin LDAP- und Samba-Daemons noch NICHT starten!<br />
<br />
<br />
== Verschlüsselungsdateien erstellen ==<br />
<br />
Die Verschlüsselung erfolgt mit SSLv3, auch TLS genannt. Eine Erklärung, wie du die Schlüssel erstellst, findest du in meiner Doku ''OpenSSL – Zertifikate selbst erstellen'' (folgt noch)!<br />
<br />
<br />
Wenn du fertig bist, erstelle im Verzeichnis ''/etc/openldap'' (''/etc/ldap/'' unter Debian) den Ordner ssl:<br />
<br />
mkdir /etc/openldap/ssl<br />
<br />
und kopiere hier das CA-Zertifikat, den privaten und öffentlichen Schlüssel hinein (hier wird davon ausgegangen, dass sich diese Dateien im Ordner ''/root/.ssl/'' befinden):<br />
<br />
cp /root/.ssl/cacert.pem /etc/openldap/ssl/CA.cer<br />
cp /root/.ssl/ldap.pem /etc/openldap/ssl/<br />
cp /root/.ssl/ldap.key /etc/openldap/ssl/<br />
<br />
Da im Verzeichnis ''/etc/openldap/ssl'' nun auch der private Schlüssel liegt, müssen die Zugriffsrechte wie folgt angepasst werden:<br />
<br />
chown -R ldap:ldap /etc/openldap/ssl<br />
chmod 400 /etc/openldap/ssl/ldap.key<br />
chmod 444 /etc/openldap/ssl/CA.cer<br />
chmod 444 /etc/openldap/ssl/ldap.pem<br />
<br />
SuSE Linux-Benutzer müssen noch die Datei ''/etc/sysconfig/openldap'' anpassen:<br />
<br />
OPENLDAP_START_LDAPS=“yes“<br />
<br />
Bei Debian muss die Datei ''/etc/default/slapd'' wie folgt geändert werden:<br />
<br />
SLAPD_SERVICES="ldap://127.0.0.1:389/ ldaps:///"<br />
<br />
Andernfalls können wir uns nicht über LDAPS anmelden! Solltest du eine andere Distribution verwenden, starte den slapd-Daemon mit dem entsprechenden Parametern.<br />
<br />
<br />
== Konfiguration von OpenLDAP ==<br />
<br />
Zunächst konfigurieren wir die ''/etc/ldap.conf'' (''/etc/libnss-ldap.conf'' sowie das Selbe in der ''/etc/pam_ldap.conf'' bei Debian):<br />
<br />
# Falls kein TLS: URI ldap://server01<br />
# Verwende bei TLS NICHT 127.0.0.1 oder localhost, sondern den FQHN!<br />
URI ldaps://server01:636<br />
base dc=firma_xyz,dc=de<br />
ldap_version 3<br />
bind_policy soft<br />
pam_password CRYPT<br />
nss_base_passwd ou=Users,dc=firma_xyz,dc=de?one<br />
nss_base_passwd ou=Computers,dc=firma_xyz,,dc=de?one<br />
nss_base_shadow ou=Users,dc=firma_xyz,,dc=de?one<br />
nss_base_group ou=Groups,dc=firma_xyz,,dc=de?one<br />
nss_map_attribute uniqueMember member<br />
pam_filter objectclass=posixAccount<br />
TLS_CACERT /etc/openldap/ssl/CA.cer<br />
<br />
Natürlich kann man ''dc=firma_xyz,dc=de'' seinen Bedürfnissen anpassen. Man muss aber dann beachten, diesen Suffix in den anderen Konfigurationsdateien ebenfalls zu verwenden!<br />
<br />
<br />
Weiter geht’s mit der ''/etc/openldap/ldap.conf:''<br />
<br />
# Falls du ausschließlich TLS verwenden willst: TLS_REQCERT demand<br />
TLS_REQCERT allow<br />
base dc=firma_xyz,dc=de<br />
# Falls du kein TLS verwendest: wie bei der /etc/ldap.conf!<br />
URI ldaps://server01:636<br />
# Nur notwendig, wenn du TLS verwendest!<br />
TLS_CACERT /etc/openldap/ssl/CA.cer<br />
<br />
<br />
Im nächsten Schritt konfigurieren wir die ''/etc/openldap/slapd.conf'', die LDAP-Server-Konfigurationsdatei:<br />
<br />
include /etc/openldap/schema/core.schema<br />
include /etc/openldap/schema/cosine.schema<br />
include /etc/openldap/schema/inetorgperson.schema<br />
include /etc/openldap/schema/nis.schema<br />
include /etc/openldap/schema/misc.schema<br />
include /etc/openldap/schema/yast.schema<br />
include /etc/openldap/schema/samba3.schema<br />
pidfile /var/run/slapd/slapd.pid<br />
argsfile /var/run/slapd/slapd.args<br />
modulepath /usr/lib/openldap/modules<br />
# Zeile bisher nur bei Debian notwendig!<br />
module_load back_bdb<br />
backend bdb<br />
database bdb<br />
suffix "dc=firma_xyz,,dc=de"<br />
checkpoint 1024 5<br />
cachesize 10000<br />
rootdn "cn=admin,dc=firma_xyz,,dc=de"<br />
rootpw secret<br />
directory /var/lib/ldap<br />
# Die 4 Zeilen sind nur notwendig, wenn man TLS verwenden möchte:<br />
TLSCipherSuite HIGH:MEDIUM+SSLv3<br />
TLSCACertificateFile /etc/openldap/ssl/CA.cer<br />
TLSCertificateFile /etc/openldap/ssl/ldap.pem<br />
TLSCertificateKeyFile /etc/openldap/ssl/ldap.key<br />
index objectClass eq<br />
index cn pres,sub,eq<br />
index uid pres,sub,eq<br />
index displayName pres,sub,eq<br />
index uidNumber eq<br />
index gidNumber eq<br />
index memberUid eq<br />
index sambaSID eq<br />
index sambaPrimaryGroupSID eq<br />
index sambaDomainName eq<br />
index default sub<br />
<br />
<br />
Um ein verschlüsseltes admin-Passwort in der slapd.conf zu hinterlegen, verwendet man den Befehl<br />
<br />
slappasswd >> /etc/openldap/slapd.conf<br />
<br />
Am Ende der ''slapd.conf'' wurde das Passwort verschlüsselt hinzugefügt. Das secret bei rootpw nun durch den verschlüsselten Wert ersetzt.<br />
<br />
<br />
'''''Wichtig:''''' die ''samba3.schema'' DARF NICHT durch die ''samba.schema'' ersetzt werden, da letztere nur für LDAP 2 und nicht für LDAP 3 gedacht ist! Die Datei kann unter [http://www.grotan.com/ldap/] heruntergeladen werden. Alle oben nicht aufgeführten includes könnten zu Problemen führen, daher vorerst nur die oben Beschriebenen verwenden!<br />
<br />
<br />
Weiter geht’s mit der ''/etc/nsswitch.conf'':<br />
<br />
passwd: compat ldap<br />
group: compat ldap<br />
shadow: compat ldap<br />
services: files ldap<br />
netgroup: files ldap<br />
aliases: files ldap<br />
hosts: files dns wins<br />
<br />
In dieser Konfigurationsdatei wird hinterlegt, auf welche Weise die User- und Passwortüberprüfung stattfindet – in unserem Falle über die ''/etc/passwd'' | ''/etc/shadow'' und eben über OpenLDAP. Auch zu beachten ist hosts: wenn in der ''/etc/resolv.conf'' von dir ein Namensserver eingetragen wurde (DSL-Router...), dann muss der Eintrag dns gesetzt werden (wie im Beispiel an zweiter Stelle, da sonst erst über WINS die Auflösung probiert wird, dann erst über DNS – dauert länger)!<br />
<br />
<br />
Außerdem muss noch die ''/etc/security/pam_unix2.conf'' bearbeitet werden:<br />
<br />
auth: use_ldap<br />
account: use_ldap<br />
password: use_ldap<br />
session: none<br />
<br />
<br />
== Konfigurieren von Samba ==<br />
<br />
Absolut wichtig: sollte Samba bereits einmal eingerichtet worden und dabei die Authentifizierung über die smbpasswd erfolgt sein, müssen folgende Einstellungen rückgängig gemacht werden:<br />
<br />
<br />
- löschen / umbenennen der secrets.tdb<br />
- löschen / umbenennen der smbpasswd<br />
- löschen eventuell angelegter Samba-Gruppen (User- und Maschinengruppen) mit<br />
groupdel [gruppe]; User mit der Primärgruppe einer zu löschenden Gruppe müssen<br />
entweder gelöscht oder einer anderen Gruppe zugeordnet werden<br />
- in das Verzeichnis /var/lib/samba wechseln und tdbbackup * verwenden, um<br />
die *.tdb-Dateien zurückzusetzen. Die erstellten *.tdb.bak-Dateien können gelöscht<br />
werden<br />
- System neu starten!<br />
<br />
<br />
Bei mir hat diese Vorgehensweise zum Erfolg geführt. Nun kann man mit der weiteren Einrichtung fortfahren.<br />
<br />
<br />
Im Prinzip sollte die ''/etc/samba/smb.conf'' wie im Beitrag [[Beispiel einer smb.conf]] aussehen. Bist du hiermit fertig, füge folgende Zeilen hinzu, um Samba mitzuteilen, LDAP für die Authentifizierungs-Arbeit zu verwenden:<br />
<br />
[global]<br />
...<br />
# Der LDAP-Server – hier einmal OHNE TLS:<br />
#passdb backend = ldapsam:ldap://server01<br />
# Und hier ein Beispiel mit TLS (wieder FQHN verwenden!):<br />
passdb backend = ldapsam:ldaps://server01<br />
# Der LDAP-Suffix<br />
ldap suffix = dc=firma_xyz,dc=de<br />
# Admin-DN<br />
ldap admin dn = cn=admin,dc=firma_xyz,dc=de<br />
# User-, Gruppen- und Maschinen-Suffix<br />
ldap user suffix = ou=Users<br />
ldap group suffix = ou=Groups<br />
ldap machine suffix = ou=Computers<br />
ldap idmap suffix = ou=Idmap<br />
ldap delete dn = no<br />
# Passwortänderung soll sich nur auf die Samba-Accounts auswirken --> NO setzen!<br />
ldap passwd sync = no<br />
unix password sync = no<br />
# Scripte zum Hinzufügen/Löschen von Usern, Gruppen und Maschinen<br />
add user script = /usr/sbin/smbldap-useradd -m -a %u<br />
delete user script = /usr/sbin/smbldap-userdel %u<br />
add group script = /usr/sbin/smbldap-groupadd -p %g<br />
delete group script = /usr/sbin/smbldap-groupdel %g<br />
add user to group script = /usr/sbin/smbldap-groupmod -m %g %u<br />
delete user from group script = /usr/sbin/smbldap-groupmod -x %g %u<br />
set primary group script = /usr/sbin/smbldap-usermod -g %g %u<br />
add machine script = /usr/sbin/smbldap-useradd -i -w %u<br />
...<br />
<br />
Fett markierte Einträge könnten evtl. schon in der smb.conf vorhanden sein und sollten genau beachtet und ggf. abgeändert werden. Alle anderen Einstellungen in der smb.conf kannst du beibehalten.<br />
<br />
<br />
Jetzt muss der LDAP-Admin in die secrets.tdb des Samba-Servers eingetragen werden:<br />
<br />
smbpasswd -w [ldap_adminpasswort]<br />
<br />
Es sollte eine Bestätigung kommen, dass "cn=admin,dc=firma_xyz,dc=de" erfolgreich in der secrets.tdb gespeichert wurde. Steht anstatt dem Admin-Suffix "", sollte die ''smb.conf'' geprüft werden!<br />
<br />
<br />
<br />
== Überprüfen der Konfiguration: starten des LDAP- und des Samba-Daemons ==<br />
<br />
Bevor du nun die Daemons startest: ''testparm'' eingeben und kontrollieren, ob deine ''smb.conf'' auch korrekt konfiguriert wurde und Samba als PDC fungiert.<br />
<br />
So, jetzt wird’s ernst: starte die Dienste mit (Befehle für SuSE Linux)<br />
<br />
rcldap start<br />
rcsmbd start<br />
rcnmbd start<br />
<br />
Man sollte vielleicht darauf achten, dass LDAP vor Samba gestartet wird.<br />
<br />
<br />
Alle Daemons sollten erfolgreich gestartet werden können, andernfalls die Konfigurationen prüfen – da muss man jetzt selber durch, Log-Files checken (''/var/log/messages'' für ldap, ''/var/log/samba/log.smbd'' für Samba) und auf Google nach Problemlösungen suchen.<br />
Bei LDAP sollte z. B. darauf geachtet werden, dass bei den Includes der slapd.conf nur oben Genannte verwendet werden und auch die samba3.schema die Neueste ist. Bei Samba-Problemen gibt meist das Logfile den genauen Hinweis auf die Fehlerursache. <br />
<br />
<br />
Sollte meine Anleitung befolgt worden sein, dürfte jedoch wenig schief laufen – ich bin selbst Stunden dagesessen, war fast am Verzweifeln und zuletzt funktionierte doch alles mit oben aufgeführter Konfiguration. Natürlich übernehme ich keine Garantie für diese Erklärung hier und sie sollte keines falls als "heilig" angesehen werden – nobody is perfect! Aber sie ist sicher eine gute Basis für den Einstieg.<br />
<br />
<br />
<br />
== Die smbldap-tools ==<br />
<br />
Fehlt noch die Konfiguration von zwei Dateien für die smbldap-tools. Um dies durchzuführen, muss der LDAP-Server laufen! Zuerst konfigurieren wir die ''/etc/smbldap-tools/smbldap.conf'':<br />
<br />
# Diese SID fügt man am Besten so ein: net getlocalsid >> /etc/smbldap-tools/smbldap.conf<br />
SID="S-1-5-21-3962808140-4185845012-18905748"<br />
# Name der Samba-Domäne<br />
sambaDomain="firma_xyz"<br />
# Der Slave LDAP Server: der localhost<br />
slaveLDAP="127.0.0.1"<br />
# Der Slave LDAP Port<br />
slavePort="389"<br />
# Master LDAP Server – für Schreibvorgänge<br />
masterLDAP="127.0.0.1"<br />
# Master LDAP Port; ohne TLS 389<br />
masterPort="389"<br />
# Wir verwenden zwar TLS, aber da die smbldap-tools am selben Rechner abgearbeitet <br />
# werden, kann TLS meines Erachtens hier ignoriert werden; gab bei mir nur Probleme ;-)<br />
ldapTLS="0"<br />
# Wie wird das Server-Zertifikat verifiziert (none, optional oder require)<br />
verify="require"<br />
# CA Zertifikat<br />
cafile="/etc/openldap/ssl/CA.cer"<br />
# Zertifikat zum Verbinden mit dem LDAP-Server<br />
clientcert="/etc/openldap/ssl/ldap.pem"<br />
# Schlüssel-Zertifikat zum Verbinden mit dem LDAP-Server<br />
clientkey="/etc/openldap/ssl/ldap.key"<br />
# LDAP Suffix<br />
suffix="dc=firma_xyz,dc=de"<br />
# Wo werden die User im LDAP abgelegt?<br />
usersdn="ou=Users,${suffix}"<br />
# Wo werden die Computer-Accounts im LDAP abgelegt?<br />
computersdn="ou=Computers,${suffix}"<br />
# Wo werden die Gruppen im LDAP abgelegt?<br />
groupsdn="ou=Groups,${suffix}"<br />
# Wo werden die ID's für fremde LDAP-Server abgelegt?<br />
idmapdn="ou=Idmap,${suffix}"<br />
# Hier werden die Gruppen- und User-IDs verwaltet<br />
sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"<br />
scope="sub"<br />
# CRYPT für die Verschlüsselung verwenden (beachte auch /etc/ldap.conf !!!)<br />
hash_encrypt="CRYPT"<br />
# salt-format für die CRYPT-Verschlüsselung<br />
crypt_salt_format="%s"<br />
# Folgende Settings sind Voreinstellungen für User, die neu angelegt werden<br />
# Login-Shell für neu angelegte User<br />
userLoginShell="/bin/false"<br />
# Pfad zum Homeverzeichnis<br />
userHome="/home/%U"<br />
# Mit welchen Rechten wird das Home-Verzeichnis versehen?<br />
userHomeDirectoryMode="700"<br />
# User-Beschreibung<br />
userGecos="Samba-User"<br />
# Die Standard-Gruppe – wichtig: diese Gruppe werden wir später noch angelegen;<br />
# man muss dann exakt diese Gid's verwenden; muss > 1000 sein!<br />
defaultUserGid="1001"<br />
# Gleiches gilt für die Maschinen-Gruppe<br />
defaultComputerGid="1002"<br />
# Dieses Verzeichnis dient als Quell-Ordner beim Anlegen des Homeverzeichnisses<br />
skeletonDir="/etc/skel"<br />
# Wann müssen User spätestens das Passwort ändern?<br />
defaultMaxPasswordAge="30"<br />
# Entspricht eigentlich dem logon path der smb.conf – kann weggelassen werden, wenn<br />
# logon path in der smb.conf gesetzt ist!<br />
#userSmbHome="\\%L\homes"<br />
# Das Gleiche gilt für dieses Attribut...<br />
#userProfile="\\%L\profiles\%U"<br />
# ... und für dieses<br />
#userHomeDrive="k:"<br />
# ... und auch für dieses<br />
#userScript="%U.logon.bat"<br />
# Dieser Zusatz wird für Email-Adressen verwendet<br />
mailDomain="test_flo.dyndns.org"<br />
with_smbpasswd="0"<br />
smbpasswd="/usr/bin/smbpasswd"<br />
with_slappasswd="0"<br />
slappasswd="/usr/sbin/slappasswd"<br />
<br />
Die zweite Konfigurationsdatei im Ordner ''/etc/smbldap-tools'' – die ''smbldap_bind.conf'' – muss als letztes angepasst werden:<br />
<br />
slaveDN="cn=admin,dc=firma_xyz,dc=de"<br />
slavePw="[admin-pwd im Klartext]"<br />
masterDN="cn=admin,dc=firma_xyz,dc=de"<br />
masterPw="[admin-pwd im Klartext]"<br />
<br />
Wie zu sehen ist, kann das LDAP-Passwort in dieser Datei nicht verschlüsselt abgelegt werden. Daher unbedingt sicherstellen, dass diese Datei nur von root gelesen und bearbeitet werden darf!<br />
<br />
Die eben erklärten Schritte wurden unter SuSE Linux 10.1 und Debian 3.1r4 getestet. In wie fern sich die Konfigurationen zu älteren/neueren Versionen bzw. anderen Distributionen unterscheiden, wurde nicht berücksichtigt. Bis auf die ''/etc/security/pam_unix2.conf'' dürften jedoch – wenn überhaupt – wenige bis keine Unterschiede sein. Bezüglich der PAM-Konfiguration muss man halt googlen.<br />
<br />
<br />
== LDAP-Struktur für Samba anlegen ==<br />
<br />
Auf diversen Internetseiten bin ich auf "nette" Scripts/Erklärungen gestoßen, wo beschrieben wird, wie man denn jetzt LDAP für Samba konfiguriert bzw. eine Struktur für Samba in LDAP anlegt. Ohne LDAP-Vorkenntnisse stellt eine solche Lösung eine schier unlösbare Herausforderung dar - zumindest war ich zu faul, mich da noch dahinter zu klemmen ;-). Doch zum Glück gibt es die Samba LDAP-Tools! Diese Sammlung an Perl-Scripten besteht aus folgenden Dateien:<br />
<br />
smbldap-populate: mit diesem Script erstellt man die Samba-Struktur<br />
smbldap-passwd: zum Setzen des Samba-Passwortes<br />
smbldap-userinfo: ändern der Infos zu einem User<br />
smbldap-groupadd<br />
smbldap-groupdel<br />
smbldap-groupmod<br />
smbldap-groupshow<br />
smbldap-useradd<br />
smbldap-userdel<br />
smbldap-usermod<br />
smbldap-usershow<br />
<br />
Alle nicht kommentierten Scripte dürften selbsterklärend sein.<br />
<br />
<br />
Nun legen wir die eben angesprochene LDAP-Struktur für Samba an:<br />
<br />
smbldap-populate<br />
<br />
Bei SuSE wird noch ein Samba-Passwort für root verlangt, unter Debian lautet der User "Administrator" und das Passwort muss separat mit ''smbldap-passwd'' vergeben werden (oder du legst einen root-User mit der GID 512 an)! Solltest du den "Administrator" verwenden, füge noch die Zeile<br />
<br />
admin users = root,Administrator<br />
<br />
in die smb.conf hinzu, sonst schlägt die Aufnahme in die Domäne fehl!<br />
<br />
<br />
Es dürften ein paar Hinweise ausgegeben worden sein, dass ou's (organizationalUnits) sowie Benutzer und Gruppen angelegt wurden. Sollten Fehler auftauchen, stelle sicher, dass<br />
<br />
<br />
- die Konfigurationsdateien stimmen (''/etc/openldap/slapd.conf'', ''/etc/ldap.conf'', ''/etc/smbldap-tools/smbldap.conf'' und ''smbldap_bind.conf'')<br />
- der LDAP-Admin mit ''smbpasswd -w [ldap_admin_passwort]'' in die secrets.tdb aufgenommen wurde<br />
- vorhergehende Samba-Konfigurationen wirklich nicht mehr aktiv sind und auch die smb.conf alle notwendigen Einträge für einen PDC enthält<br />
- die Konfigurationsdateien auf Schreibfehler kontrolliert werden<br />
<br />
<br />
Prüfe auch wieder die Logfiles nach Hinweisen. Bei mir traten Probleme auf, da ich die falsche samba3.schema verwendete, in der smb.conf soetwas wie preferred master = yes vergaß und in der'' /etc/openldap/slapd.conf'' Zugriffs-Beschränkungen einrichtete, welche die Abfrage von Username und Passwort beim Login verhinderten (tja: nobody is perfect) – kontrolliere auch das!<br />
<br />
<br />
Zum Prüfen, ob etwas im LDAP-Verzeichnis angelegt wurde (und falls ja: was), empfehle ich das Java-Tool LDAP Browser/Editor ([www.mcs.anl.gov/~gawor/ldap]). Lade das Tool herunter, extrahiere das Programm und starte es unter Windows durch Doppelklick auf lbe.bat. Natürlich muss auf dem Rechner ein Java RE installiert sein. Über den Button New legen wir jetzt die Verbindung zu unserem LDAP-Server an:<br />
<br />
<br />
[[Bild:smb_ldap_01.jpg]]<br />
<br />
<br />
Die Base DN und User DN müssen natürlich deiner Umgebung angepasst werden. Für eine SSL-Verbindung Häkchen setzen. Klicke auf Save und dann auf Connect, um die Verbindung herzustellen. <br />
Wurde alles richtig eingegeben und ist der LDAP-Server richtig konfiguriert, müsste das Ganze so aussehen:<br />
<br />
<br />
[[Bild:smb_ldap_02.jpg]]<br />
<br />
<br />
Bei dieser Grafik sieht man, dass die Struktur von Samba erfolgreich in das Verzeichnis eingetragen wurde. Klickt man nun auf ou=Groups oder ou=Users, müssten schon Einträge vorhanden sein.<br />
Ich weiß das ist keine Hilfe, doch wenn keine Verbindung zustande kommen sollte oder – wie oben erwähnt – der Befehl smbldap-populate zu Fehlern geführt hat, musst du selbst in Logfiles und den Konfigurationen rumsuchen. LDAP ist beim ersten Mal alles Andere als easy, wenn man es nicht von jemanden erklärt bekommt; ich weiß wovon ich rede – aber hat man's einmal verstanden...<br />
<br />
<br />
Davon ausgehend, dass der smbldap-populate erfolgreich ausgeführt wurde, legen wir nun die Default-Gruppen, die wir ja in der ''/etc/smbldap-tools/smbldap.conf'' festgelegt haben (defaultUserGid, defaultComputerGid), an. Dieser Schritt ist wichtig! Beim Hinzufügen einer Client-Maschine zur Domäne traten bei mir Fehler auf und auch die User konnten nicht angelegt werden, da die Default-Gruppen nicht existierten. Daher:<br />
<br />
smbldap-groupadd -g 1001 -a sambausers<br />
smbldap-groupadd -g 1002 -a sambamachines<br />
<br />
Wie in meiner smbldap.conf hinterlegt, erstelle ich hier die Gruppe sambausers mit der Gruppen-ID 1001 und die sambamachines mit der Gruppen-ID 1002. Erstere wird als Default-Gruppe beim Anlegen neuer Samba-User (siehe nächster Schritt) und Zweitere für die Client-Maschinen verwendet. Die ID für die Gruppen müssen > 1000 sein!<br />
<br />
<br />
Es dürfte nun möglich sein, den Client-Rechner in die Domäne aufzunehmen. Infos hierzu findest du unter [[Samba als PDC]]!<br />
<br />
<br />
Nun können wir einmal einen Benutzer anlegen:<br />
<br />
smbldap-useradd -a -P -m -M flo flo<br />
smbldap-usermod -B1 -A1 flo<br />
<br />
In diesem Falle lege ich den User flo mit den in der ''/etc/smbldap-tools/smbldap.conf'' hinterlegten Voreinstellungen (Home-Verzeichnis, Profil, Gruppe etc.) an. Das -P bedeutet, dass für den Benutzer noch ein Passwort zu vergeben ist, bevor er im Verzeichnis gespeichert wird. -M flo – nicht zu verwechseln mit -m, mit dem man ein Homeverzeichnis für den User anlegt (als Quelle für das Homeverzeichnis wird ''/etc/sekl'' verwendet; siehe smbldap.conf) – ist die Mail-Adresse für den Benutzer. Nächster Befehl: -B 1 verlangt, dass beim ersten Login des Users dieser ein neues Passwort vergeben muss, -A 1 erlaubt es grundsätzlich dem Benutzer sein Passwort zu ändern (in Verwendung mit -B 1 sehr wichtig, da sonst evtl. ständig das Telefon klingelt, weil der Benutzer sein Passwort ändern will, dies jedoch nicht möglich ist...). Es gibt zwar die Möglichkeit, -A1 und -B1 gleich beim Anlegen des Users (''smbldap-useradd'') zu setzen, jedoch griffen diese Optionen bei mir nicht (ein Bug?)! Sollte der User beim Login sein Passwort nicht ändern können ("Keine Berechtigung"), dann unbedingt auch sicherstellen, dass in der smb.conf die Attribute ''unix password sync'' und ''ldap passwd sync'' auf '''NO''' gesetzt sind – war bei mir ebenfalls eine Fehlerquelle (nobody is perfect)!<br />
Zudem noch der Hinweis: wenn der letzte Befehl zum Ändern des Passwortes beim nächsten Login gesetzt wurde, du jedoch eine "Netzlaufwerksverbindung" herstellen willst, schlägt diese Fehl! Ändere in diesem Falle das Passwort an der Konsole und dann funktioniert es.<br />
<br />
<br />
Durch Eingabe von ''smbldap-useradd -h'' erhält man – wie übrigens bei allen anderen Scripten der Samba LDAP-Tools auch – eine Übersicht der möglichen Parameter.<br />
Um zu sehen, ob der LDAP-User auch wirklich vorhanden und für die Authentifizierung verwendet werden kann, gib den Befehl <br />
<br />
getent passwd <br />
<br />
ein. Der Benutzer sollte in der Liste aufgeführt sein. Zu beachten ist auch, dass ein neu hinzuzufügender LDAP-Benutzer nicht lokal existieren sollte (also in der ''/etc/passwd'').<br />
Zum Schluss sei noch angemerkt, dass eine Passwortänderung nicht mit LDAP Browser/Editor durchgeführt werden sollte. Verwende stattdessen smbldap-passwd. <br />
<br />
<br />
== Sicherung des LDAP-Servers ==<br />
<br />
Ein Backup ist schnell angelegt:<br />
<br />
slapcat -l backup.ldif<br />
<br />
Das ist die einfachste Variante. Um dieses Backup zurückzusichern, verwende den Befehl<br />
<br />
slapadd -l backup.ldif<br />
<br />
Leichter kann man es nun wirklich nicht machen. Das soll's gewesen sein.</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=Datei:Smb_ldap_02.jpg&diff=15494Datei:Smb ldap 02.jpg2007-05-14T19:37:52Z<p>Flo84: Eigenes Bild (Screenshot). Verbindung zum LDAP-Server mit dem LDAP Browser/Editor.</p>
<hr />
<div>Eigenes Bild (Screenshot). Verbindung zum LDAP-Server mit dem LDAP Browser/Editor.</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=Datei:Smb_ldap_01.jpg&diff=15489Datei:Smb ldap 01.jpg2007-05-14T19:34:45Z<p>Flo84: Eigenes Bild (Screenshot). Anlegen eines LDAP-Servereintrages im Programm LDAP Browser/Editor, www.mcs.anl.gov/~gawor/ldap</p>
<hr />
<div>Eigenes Bild (Screenshot). Anlegen eines LDAP-Servereintrages im Programm LDAP Browser/Editor, www.mcs.anl.gov/~gawor/ldap</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=Samba&diff=15483Samba2007-05-14T19:11:52Z<p>Flo84: /* Allgemein */</p>
<hr />
<div>{{Infobox Software<br />
|Name= Samba<br>[[Bild:Samba-logo.png]]<br />
|Screenshot=<br />
|Beschreibung= <br />
|Hersteller= [http://us1.samba.org/samba/team/ Samba-Team]<br />
|AktuelleVersion= 3.0.24<br />
|AktuelleVersionFreigabeDatum= 5. Februar 2007<br />
|Betriebssystem= Linux, Unix, OS X<br />
|Kategorie= [[Samba]]<br />
|Lizenz= GPL<br />
|Deutsch= nein<br />
|Website= [http://samba.org/ Offizielle Seite] / [http://samba.sernet.de/ Deutsche Seite]<br />
}}<br />
[http://www.linux-club.de/forum6.html zum Forum]<br />
<br />
<br />
== Allgemein ==<br />
<!--Die Überschrift dient erst mal als Arbeitsüberschrift--><br />
* [[Samba-Openbooks und Links]] Die Samba Buchliste<br />
* [[Themen und Links zu Samba]]<br />
* [[Domaene einrichten|Domäne einrichten]]<br />
* [[Beispiel einer smb.conf]]<br />
* [[Samba als PDC: Clients einrichten]]<br />
* [[Samba und OpenLDAP]]<br />
* [[Windows Client für Arbeitsgruppe einrichten]]<br />
* [[Drucken mit Samba]]<br />
* [[Vscan]] Echtzeit Virenscanner für SAMBA<br />
* [[Zentrale Verteilung der Gruppenrichtlinien - poledit]]<br />
* [[Logonskripte mit kix]]<br />
* [[Linux-Client in Windows Domain]]<br />
* [[Apple Macintosh am Linux Server]]<br />
* [[SMB-Freigaben mit SuSEfirewall2]]<br />
* [[Samba mit zwei LDAP-Servern als passdb backend]]<br />
* [[Zugriffrechte unter Samba]]<br />
* [[Samba zu langsam]] <br />
* [[Dokumentationen auf Suse 10.0 nicht korrekt verlinkt]]<br />
* [[ACHTUNG: Samba 3.0.23-3.1.33 buggy]]<br />
<br />
== Grafische Installer ==<br />
* [[SWAT]] Installation und Konfiguration<br />
* [[Einfache Sambafreigabe über YaST]] Eine schnelle Netzwerkresource freigeben für jeden Beschreibbar<br />
* [[Samba KDE Kontrollzentrum]]<br />
<br />
== Samba in Verbindung mit active directory oder ldap ==<br />
<br />
* [[SUSE in Win2000 Domain und Acitve Directory]]<br />
<br />
* [[linux und active directory]]<br />
<br />
----<br />
<br />
[[Samba Musterkonfigurationen]]<br />
<br />
[[Category:Samba]][[Kategorie:Übersicht]]</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=PDC_Client&diff=15482PDC Client2007-05-14T19:10:13Z<p>Flo84: </p>
<hr />
<div>== Client in die Domäne aufnehmen ==<br />
<br />
Will man einen Client einer Domäne hinzufügen, muss der Server als PDC konfiguriert sein ([[Beispiel einer smb.conf]]). Weiter wird davon ausgegangen, dass root und alle gewünschten Benutzer mit smbpasswd angelegt wurden bzw. die User im LDAP-Verzeichnis existieren. Ist der Server einsatzbereit und kann man auf Shares wie in einem Peer-to-Peer Netz zugreifen (Stichwort "Netzlaufwerk verbinden"), werden wir nun die Client-PC's der Domäne hinzufügen.<br />
<br />
<br />
'''''Noch ein Hinweis:''''' läuft Samba mit LDAP-Backend, sollte man auch das Script "Samba und OpenLDAP" bei folgenden Schritten berücksichtigen (folgt noch)!<br />
<br />
<br />
Man meldet sich lokal als Admin am Client an und wechselt in die Systemsteuerung, System. In der Registerkarte ''Computername'' klickt man auf den Button ''Ändern'', wählt in Mitglied von den Punkt Domäne und gibt sinnigerweise den Namen der Domäne an, wie sie in der smb.conf steht (''[global]''-Sektion der Punkt ''workgroup''). Klickt man auf OK wird man nach einem Usernamen sowie einem Passwort gefragt. Gib hier root mit seinem in smbpasswd/LDAP-Verzeichnis angelegten Kennwort ein. Nach wenigen Sekunden sollte folgender Hinweis erscheinen:<br />
<br />
<br />
[[Bild:smb_config_client_01.jpg]]<br />
<br />
<br />
Erscheint diese Meldung nicht, kommt also stattdessen eine Fehlermeldung, sollte man sich vergewissern, dass root mit ''smbpasswd -a root'' angelegt wurde und ein Maschinen-Account für den Client existiert – falls man in der ''[global]''-Sektion der ''smb.conf'' nicht<br />
<br />
add machine script = /usr/sbin/useradd -g [maschinengruppe] -s /bin/false %u<br />
<br />
angegeben hat (siehe smb.conf-Beispiel) passiert dies nämlich nicht automatisch! Will man einen Rechner "per Hand" eintragen, lauten die Befehle:<br />
<br />
useradd -s /bin/false [RECHERNAME]$<br />
smbpasswd -a -m [RECHNERNAME]<br />
<br />
Überprüfe bei einem Fehler auch die ''smb.conf'', um sicherzustellen, dass der Server auch wirklich als PDC eingerichtet wurde. Verwende hierzu den Befehl ''testparm''<br />
<br />
<br />
Für LDAP gilt übrigens folgender Befehl:<br />
<br />
add machine script = /usr/sbin/smbldap-useradd -w %u<br />
<br />
<br />
Es sollte bei Problemen auch die ''/etc/ldap.conf'' überprüft werden. Hier muss der Eintrag ''nss_base_passwd ou=Computers,dc=firma_xyz,dc=de'' unter Anderem gesetzt sein! Die Logfiles ''/var/log/messages'' sowie ''/var/log/samba/log.smbd'' geben sicher den wertvollsten Hinweis darauf, wo das Problem liegt!<br />
<br />
<br />
Nach erfolgreichem Aufnehmen des Rechners muss dieser neu gestartet werden. Bevor man sich aber anmeldet, sollte man sich mit den Benutzerprofilen auseinandersetzen!<br />
<br />
== Serverbasierende Profile ==<br />
<br />
Sie machen Sinn, um dem User zu ermöglichen, seinen gewohnten Desktop – egal an welchem PC er sich im Netzwerk anmeldet – zur Verfügung zu stellen. Man bezeichnet soetwas als Roaming Profiles.<br />
<br />
<br />
In der smb.conf muss in der ''[global]''-Sektion ''logon path = /pfad/zum/profilordner'' gesetzt sein und außerdem das Share ''[profiles]'' existieren. Dieses sieht z. B. so aus:<br />
<br />
[profiles]<br />
comment=Profile<br />
path=/srv/samba/profiles<br />
read only=no<br />
create mask=0600<br />
directory mask=0770<br />
browseable=no<br />
<br />
Ist für einen User kein Profil-Verzeichnis in path angelegt, so wird dieses beim ersten Login erzeugt. Voraussetzung ist, dass der User in path (also ''/srv/samba/profiles'') uneingeschränkte Rechte hat (Lese-, Schreib- und Ausführrecht!!!). Werden die Profil-Ordner von root aus einer Vorlage heraus angelegt (siehe weiter unten) reicht es, Lese- und Ausführungsrecht (r-x) für dieses Verzeichnis – sprich ''/srv/samba/profiles'' – zu vergeben, wobei der User für sein Profil-Verzeichnis ''/srv/samba/profiles/[username]'' aber wieder Vollzugriff benötigt, da beim Abmelden das Profil des Clients mit dem Servergespeicherten synchronisiert wird.<br />
<br />
<br />
Treten beim Einloggen eines Users Probleme auf, dass er auf sein Profil nicht zugegriffen kann, wird also wahrscheinlich<br />
<br />
<br />
a) kein Profil für den Benutzer in path existieren und der User für path keinen Vollzugriff besitzen, um ein neues Default-Profil anlegen zu können,<br />
<br />
b) dem Benutzer fehlen die Vollzugriffsrechte auf seinen Profil-Ordner und/oder<br />
<br />
c) dem User wurde das Leserecht auf die ''ntuser.dat / ntuser.man'' entzogen (siehe Punkt "Verbindliche, unveränderbare Profile")<br />
<br />
<br />
[[Bild:smb_config_client_02.jpg]]<br />
<br />
Grafik 1<br />
<br />
<br />
== Profilvorlagen anlegen ==<br />
<br />
Sollen die Benutzer nicht das "klickibunti" XP-Design als Standard verwenden, den Destkop und die Registry nicht ändern können, dann machen verbindliche, unveränderbare Profile Sinn. Problem: beim ersten Anmelden eines Users wird ein Profil-Verzeichnis angelegt – jedoch mit oben genannten Eigenschaften, die wir so nicht akzeptieren *G* Also basteln wir uns eine Vorlage. Das ist gar nicht so schwer: Voraussetzung ist, dass der Samba-Server eingerichtet ist und läuft, root in der smbpasswd/LDAP existiert und man auf das Share ''[profiles]'' als root schreibend zugreifen kann. Ist dies gegeben, meldet man sich an einem XP-Rechner mit Administrationsrechten lokal (nicht an der Domäne!) an.<br />
<br />
<br />
'''''Schritt 1: "vorlage"-User erstellen'''''<br />
<br />
Am XP-PC angemeldet, legen wir einen User "vorlage" an, vergeben ein Passwort, melden uns als Admin ab und als der "vorlage"-User am Rechner erneut an.<br />
<br />
<br />
'''''Schritt 2: Profil des "vorlagen"-Users anpassen'''''<br />
<br />
Ist man als "vorlage" angemeldet, passt man das Aussehen von Windows dementsprechend an – und zwar genau so, wie unsere Client-PC's dann aussehen sollen. Zu beachten: es sollten keine benutzerspezifischen Desktop-Symbole oder Startmenü-Einträge erstellt werden; einfach das Profil anpassen. Ist man mit dem Profil des Users "vorlage" zufrieden, meldet man sich ab und erneut als Administrator lokal an. <br />
<br />
<br />
'''Tipp:''' man sollte nochmal in das erstellte Profil-Verzeichnis des Benutzers "vorlage" wechseln und dort nach den versteckten Dateien ''desktop.ini'' suchen, anschließend alle löschen. Grund: es existiert z. B. im Autostart-Ordner eine solche Datei. Kopiert man dann das Profil auf einen anderen User, ist diese Datei nicht mehr versteckt und wird bei jedem Anmelden geöffnet – das nervt meines Erachtens ziemlich. Zudem sollte man in der ''[homes]'' und ''[profiles]''-Sektion das Attribut ''hide files = /desktop.ini/'' verwenden, um die Dateien als "Versteckt" anzuzeigen.<br />
<br />
<br />
Klicke auf Start, Ausführen und gib ''cmd'' ein. Stelle mit folgendem Befehl – natürlich angepasst an deinen Server – eine Verbindung zu diesem her:<br />
<br />
net use \\server01 /user:root<br />
<br />
Nach Eingabe des root-Passwortes muss eine Bestätigung kommen, dass der Befehl erfolgreich ausgeführt wurde. Andernfalls sollte man prüfen, ob root in der smbpasswd/LDAP angelegt wurde!<br />
<br />
<br />
Nun wechselt man in die Systemsteuerung, klickt auf System, Registerkarte Erweitert und klickt bei den Benutzerprofilen auf Einstellungen. Aus der Liste wählt man den "vorlage"-User aus und klickt dann auf Kopieren nach (Grafik 2). Bei Profil kopieren nach gibt man folgendes an:<br />
<br />
\\server01\profiles\vorlage<br />
<br />
Bevor man nun auf OK klickt, muss man noch den Benutzer ändern. Auf den Button Ändern klicken und als Benutzer ''Jeder'' wählen. Grund: kopiert man das Profil später auf einen anderen User, so hat dieser Zugriffsprobleme auf sein Profil. Als Jeder werden die Rechte – wenn man so will – "neutral" vergeben.<br />
<br />
<br />
Jetzt kann man auf OK klicken und das Profil wird auf den Server in das Profil-Share kopiert (Grafik 3). Wird der Zugriff verweigert oder tritt sonst ein Fehler auf: smb.conf und Zugriffsrechte auf den Ordner prüfen!<br />
<br />
<br />
[[Bild:smb_config_client_03.jpg]]<br />
<br />
Grafik 2<br />
<br />
<br />
[[Bild:smb_config_client_04.jpg]]<br />
<br />
Grafik 3<br />
<br />
<br />
== Verbindliche, unveränderbare Profile ==<br />
<br />
Es ist häufig gewünscht, dass ein Benutzer sein Profil nicht ändern kann, um den Server z. B. durch das Abspeichern übergroßer Hintergrundbilder etc. nicht zu überlasten. Hier gibt’s einen einfachen Trick: benenne im Profil-Verzeichnis des Benutzers (am Besten gleich des "vorlage"-Benutzers) die Datei ''ntuser.dat'' in ''ntuser.man'' um und vergib nur das Leserecht auf die Datei: <br />
<br />
chmod 400 ntuser.man<br />
<br />
damit soll verhindert werden, dass der Benutzer die Datei selbst wieder in ''ntuser.dat'' umbenennt. Das Leserecht ist jedoch zwingend erforderlich, bitte beachten! Außerdem ist darauf zu achten, im ''[profile]''-Share das Attribut ''read only = yes'' zu setzen. Hier ist natürlich wieder zu berücksichtigen, dass dann für jeden User, der sich anmelden will, bereits ein Profil-Ordner vorhanden sein muss. Wichtig ist auch zu wissen, dass die "Eigenen Dateien" ebenfalls zum Profil zählen und in diesem Fall nicht gespeichert würden! Im Script "Samba und Poledit" (folgt noch) wird die Ordnerumleitung erklärt. So kannst du die "Eigenen Dateien" auf ein Netzlaufwerk verschieben.<br />
<br />
<br />
'''Zusätzliche Anmkerung:''' die Profile – auch wenn sie serverbasierend sind – werden lokal am Client angelegt und beim Abmelden synchronisiert. Ich habe zum Testen der Funktionalität des unveränderbaren Profils ein Desktopbild eingefügt, mich abgemeldet und wieder angemeldet – das schien jedoch nicht zu funktionieren, da die Grafik wider erwarten angezeigt wurde. In Wirklichkeit war ein Neustart des Clients notwendig, dann funktionierte alles (frag' mich nicht warum...)!<br />
<br />
<br />
== Profilvorlage für User kopieren ==<br />
<br />
Nachdem wir unser Vorlagen-Profil nun auf dem Server haben, müssen wir für jeden User einen Ordner mit den Dateien und Verzeichnissen aus dem Vorlage-Profil heraus erstellen. Wechsle in den Profil-Ordner (z. B. ''/srv/samba/profiles''). Vergewissere dich, dass dort der Ordner ''vorlage'' existiert und gib dann folgende Befehle ein, um ein Profil für den User ''franz'' zu erstellen:<br />
<br />
cp -R vorlage/ franz<br />
chown -R franz franz<br />
chmod 700 franz<br />
<br />
Was passiert hier: als erstes kopieren wir den gesamten Ordnerinhalt von ''vorlage'' in den Ordner ''franz''. Als nächsten Schritt machen wir den Benutzer ''franz'' zum Eigentümer dieses Ordners und geben ihm (und nur ihm!) mit ''chmod'' Vollzugriff auf sein Profil. Andernfalls kommt es zu einem Fehler beim Login bzw. Logout (siehe Grafik 1).<br />
<br />
<br />
Das soll's gewesen sein!</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=PDC_Client&diff=15481PDC Client2007-05-14T19:03:07Z<p>Flo84: /* Client in die Domäne aufnehmen */</p>
<hr />
<div>== Client in die Domäne aufnehmen ==<br />
<br />
Will man einen Client einer Domäne hinzufügen, muss der Server als PDC konfiguriert sein ([[Beispiel einer smb.conf]]). Weiter wird davon ausgegangen, dass root und alle gewünschten Benutzer mit smbpasswd angelegt wurden bzw. die User im LDAP-Verzeichnis existieren. Ist der Server einsatzbereit und kann man auf Shares wie in einem Peer-to-Peer Netz zugreifen (Stichwort "Netzlaufwerk verbinden"), werden wir nun die Client-PC's der Domäne hinzufügen.<br />
<br />
<br />
'''''Noch ein Hinweis:''''' läuft Samba mit LDAP-Backend, sollte man auch das Script "Samba und OpenLDAP" bei folgenden Schritten berücksichtigen (folgt noch)!<br />
<br />
<br />
Man meldet sich lokal als Admin am Client an und wechselt in die Systemsteuerung, System. In der Registerkarte ''Computername'' klickt man auf den Button ''Ändern'', wählt in Mitglied von den Punkt Domäne und gibt sinnigerweise den Namen der Domäne an, wie sie in der smb.conf steht (''[global]''-Sektion der Punkt ''workgroup''). Klickt man auf OK wird man nach einem Usernamen sowie einem Passwort gefragt. Gib hier root mit seinem in smbpasswd/LDAP-Verzeichnis angelegten Kennwort ein. Nach wenigen Sekunden sollte folgender Hinweis erscheinen:<br />
<br />
<br />
[[Bild:smb_config_client_01.jpg]]<br />
<br />
<br />
Erscheint diese Meldung nicht, kommt also stattdessen eine Fehlermeldung, sollte man sich vergewissern, dass root mit ''smbpasswd -a root'' angelegt wurde und ein Maschinen-Account für den Client existiert – falls man in der ''[global]''-Sektion der ''smb.conf'' nicht<br />
<br />
add machine script = /usr/sbin/useradd -g [maschinengruppe] -s /bin/false %u<br />
<br />
angegeben hat (siehe smb.conf-Beispiel) passiert dies nämlich nicht automatisch! Will man einen Rechner "per Hand" eintragen, lauten die Befehle:<br />
<br />
useradd -s /bin/false [RECHERNAME]$<br />
smbpasswd -a -m [RECHNERNAME]<br />
<br />
Überprüfe bei einem Fehler auch die ''smb.conf'', um sicherzustellen, dass der Server auch wirklich als PDC eingerichtet wurde. Verwende hierzu den Befehl ''testparm''<br />
<br />
<br />
Für LDAP gilt übrigens folgender Befehl:<br />
<br />
add machine script = /usr/sbin/smbldap-useradd -w %u<br />
<br />
<br />
Es sollte bei Problemen auch die ''/etc/ldap.conf'' überprüft werden. Hier muss der Eintrag ''nss_base_passwd ou=Computers,dc=firma_xyz,dc=de'' unter Anderem gesetzt sein! Die Logfiles ''/var/log/messages'' sowie ''/var/log/samba/log.smbd'' geben sicher den wertvollsten Hinweis darauf, wo das Problem liegt!<br />
<br />
<br />
Nach erfolgreichem Aufnehmen des Rechners muss dieser neu gestartet werden. Bevor man sich aber anmeldet, sollte man sich mit den Benutzerprofilen auseinandersetzen!<br />
<br />
== Serverbasierende Profile ==<br />
<br />
Sie machen Sinn, um dem User zu ermöglichen, seinen gewohnten Desktop – egal an welchem PC er sich im Netzwerk anmeldet – zur Verfügung zu stellen. Man bezeichnet soetwas als Roaming Profiles.<br />
<br />
<br />
In der smb.conf muss in der ''[global]''-Sektion ''logon path = /pfad/zum/profilordner'' gesetzt sein und außerdem das Share ''[profiles]'' existieren. Dieses sieht z. B. so aus:<br />
<br />
[profiles]<br />
comment=Profile<br />
path=/srv/samba/profiles<br />
read only=no<br />
create mask=0600<br />
directory mask=0770<br />
browseable=no<br />
<br />
Ist für einen User kein Profil-Verzeichnis in path angelegt, so wird dieses beim ersten Login erzeugt. Voraussetzung ist, dass der User in path (also ''/srv/samba/profiles'') uneingeschränkte Rechte hat (Lese-, Schreib- und Ausführrecht!!!). Werden die Profil-Ordner von root aus einer Vorlage heraus angelegt (siehe weiter unten) reicht es, Lese- und Ausführungsrecht (r-x) für dieses Verzeichnis – sprich ''/srv/samba/profiles'' – zu vergeben, wobei der User für sein Profil-Verzeichnis ''/srv/samba/profiles/[username]'' aber wieder Vollzugriff benötigt, da beim Abmelden das Profil des Clients mit dem Servergespeicherten synchronisiert wird.<br />
<br />
<br />
Treten beim Einloggen eines Users Probleme auf, dass er auf sein Profil nicht zugegriffen kann, wird also wahrscheinlich<br />
<br />
<br />
a) kein Profil für den Benutzer in path existieren und der User für path keinen Vollzugriff besitzen, um ein neues Default-Profil anlegen zu können,<br />
<br />
b) dem Benutzer fehlen die Vollzugriffsrechte auf seinen Profil-Ordner und/oder<br />
<br />
c) dem User wurde das Leserecht auf die ''ntuser.dat / ntuser.man'' entzogen (siehe Punkt "Verbindliche, unveränderbare Profile")<br />
<br />
<br />
[[Bild:smb_config_client_02.jpg]]<br />
<br />
Grafik 1<br />
<br />
<br />
== Profilvorlagen anlegen ==<br />
<br />
Sollen die Benutzer nicht das "klickibunti" XP-Design als Standard verwenden, den Destkop und die Registry nicht ändern können, dann machen verbindliche, unveränderbare Profile Sinn. Problem: beim ersten Anmelden eines Users wird ein Profil-Verzeichnis angelegt – jedoch mit oben genannten Eigenschaften, die wir so nicht akzeptieren *G* Also basteln wir uns eine Vorlage. Das ist gar nicht so schwer: Voraussetzung ist, dass der Samba-Server eingerichtet ist und läuft, root in der smbpasswd/LDAP existiert und man auf das Share ''[profiles]'' als root schreibend zugreifen kann. Ist dies gegeben, meldet man sich an einem XP-Rechner mit Administrationsrechten lokal (nicht an der Domäne!) an.<br />
<br />
<br />
'''''Schritt 1: "vorlage"-User erstellen'''''<br />
<br />
Am XP-PC angemeldet, legen wir einen User "vorlage" an, vergeben ein Passwort, melden uns als Admin ab und als der "vorlage"-User am Rechner erneut an.<br />
<br />
<br />
'''''Schritt 2: Profil des "vorlagen"-Users anpassen'''''<br />
<br />
Ist man als "vorlage" angemeldet, passt man das Aussehen von Windows dementsprechend an – und zwar genau so, wie unsere Client-PC's dann aussehen sollen. Zu beachten: es sollten keine benutzerspezifischen Desktop-Symbole oder Startmenü-Einträge erstellt werden; einfach das Profil anpassen. Ist man mit dem Profil des Users "vorlage" zufrieden, meldet man sich ab und erneut als Administrator lokal an. <br />
<br />
<br />
'''Tipp:''' man sollte nochmal in das erstellte Profil-Verzeichnis des Benutzers "vorlage" wechseln und dort nach den versteckten Dateien ''desktop.ini'' suchen, anschließend alle löschen. Grund: es existiert z. B. im Autostart-Ordner eine solche Datei. Kopiert man dann das Profil auf einen anderen User, ist diese Datei nicht mehr versteckt und wird bei jedem Anmelden geöffnet – das nervt meines Erachtens ziemlich. Zudem sollte man in der ''[homes]'' und ''[profiles]''-Sektion das Attribut ''hide files = /desktop.ini/'' verwenden, um die Dateien als "Versteckt" anzuzeigen.<br />
<br />
<br />
Klicke auf Start, Ausführen und gib ''cmd'' ein. Stelle mit folgendem Befehl – natürlich angepasst an deinen Server – eine Verbindung zu diesem her:<br />
<br />
net use \\server01 /user:root<br />
<br />
Nach Eingabe des root-Passwortes muss eine Bestätigung kommen, dass der Befehl erfolgreich ausgeführt wurde. Andernfalls sollte man prüfen, ob root in der smbpasswd/LDAP angelegt wurde!<br />
<br />
<br />
Nun wechselt man in die Systemsteuerung, klickt auf System, Registerkarte Erweitert und klickt bei den Benutzerprofilen auf Einstellungen. Aus der Liste wählt man den "vorlage"-User aus und klickt dann auf Kopieren nach (Grafik 2). Bei Profil kopieren nach gibt man folgendes an:<br />
<br />
\\server01\profiles\vorlage<br />
<br />
Bevor man nun auf OK klickt, muss man noch den Benutzer ändern. Auf den Button Ändern klicken und als Benutzer ''Jeder'' wählen. Grund: kopiert man das Profil später auf einen anderen User, so hat dieser Zugriffsprobleme auf sein Profil. Als Jeder werden die Rechte – wenn man so will – "neutral" vergeben.<br />
<br />
<br />
Jetzt kann man auf OK klicken und das Profil wird auf den Server in das Profil-Share kopiert (Grafik 3). Wird der Zugriff verweigert oder tritt sonst ein Fehler auf: smb.conf und Zugriffsrechte auf den Ordner prüfen!<br />
<br />
<br />
[[Bild:smb_config_client_03.jpg]]<br />
<br />
Grafik 2<br />
<br />
<br />
[[Bild:smb_config_client_04.jpg]]<br />
<br />
Grafik 3<br />
<br />
<br />
== Verbindliche, unveränderbare Profile ==<br />
<br />
Es ist häufig gewünscht, dass ein Benutzer sein Profil nicht ändern kann, um den Server z. B. durch das Abspeichern übergroßer Hintergrundbilder etc. nicht zu überlasten. Hier gibt’s einen einfachen Trick: benenne im Profil-Verzeichnis des Benutzers (am Besten gleich des "vorlage"-Benutzers) die Datei ''ntuser.dat'' in ''ntuser.man'' um und vergib nur das Leserecht auf die Datei: <br />
<br />
chmod 400 ntuser.man<br />
<br />
damit soll verhindert werden, dass der Benutzer die Datei selbst wieder in ''ntuser.dat'' umbenennt. Das Leserecht ist jedoch zwingend erforderlich, bitte beachten! Außerdem ist darauf zu achten, im ''[profile]''-Share das Attribut ''read only = yes'' zu setzen. Hier ist natürlich wieder zu berücksichtigen, dass dann für jeden User, der sich anmelden will, bereits ein Profil-Ordner vorhanden sein muss. Wichtig ist auch zu wissen, dass die "Eigenen Dateien" ebenfalls zum Profil zählen und in diesem Fall nicht gespeichert würden! Im Script "Samba und Poledit" (folgt noch) wird die Ordnerumleitung erklärt. So kannst du die "Eigenen Dateien" auf ein Netzlaufwerk verschieben.<br />
<br />
<br />
'''Zusätzliche Anmkerung:''' die Profile – auch wenn sie serverbasierend sind – werden lokal am Client angelegt und beim Abmelden synchronisiert. Ich habe zum Testen der Funktionalität des unveränderbaren Profils ein Desktopbild eingefügt, mich abgemeldet und wieder angemeldet – das schien jedoch nicht zu funktionieren, da die Grafik wider erwarten angezeigt wurde. In Wirklichkeit war ein Neustart des Clients notwendig, dann funktionierte alles (frag' mich nicht warum...)!<br />
<br />
<br />
== Profilvorlage für User kopieren ==<br />
<br />
Nachdem wir unser Vorlagen-Profil nun auf dem Server haben, müssen wir für jeden User einen Ordner mit den Dateien und Verzeichnissen aus dem Vorlage-Profil heraus erstellen. Wechsle in den Profil-Ordner (z. B. ''/srv/samba/profiles''). Vergewissere dich, dass dort der Ordner ''vorlage'' existiert und gib dann folgende Befehle ein, um ein Profil für den User ''franz'' zu erstellen:<br />
<br />
cp -R vorlage/ franz<br />
chown -R franz franz<br />
chmod 700 franz<br />
<br />
Was passiert hier: als erstes kopieren wir den gesamten Ordnerinhalt von ''vorlage'' in den Ordner ''franz''. Als nächsten Schritt machen wir den Benutzer ''franz'' zum Eigentümer dieses Ordners und geben ihm (und nur ihm!) mit ''chmod'' Vollzugriff auf sein Profil. Andernfalls kommt es zu einem Fehler beim Login bzw. Logout (siehe Grafik 1).<br />
<br />
<br />
Das soll's gewesen sein!</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=PDC_Client&diff=15480PDC Client2007-05-14T19:02:25Z<p>Flo84: </p>
<hr />
<div>== Client in die Domäne aufnehmen ==<br />
<br />
Will man einen Client einer Domäne hinzufügen, muss der Server als PDC konfiguriert sein ([[Beispiel einer smb.conf]]). Weiter wird davon ausgegangen, dass root und alle gewünschten Benutzer mit smbpasswd angelegt wurden bzw. die User im LDAP-Verzeichnis existieren. Ist der Server einsatzbereit und kann man auf Shares wie in einem Peer-to-Peer Netz zugreifen (Stichwort "Netzlaufwerk verbinden"), werden wir nun die Client-PC's der Domäne hinzufügen.<br />
<br />
Noch ein Hinweis: läuft Samba mit LDAP-Backend, sollte man auch das Script "Samba und OpenLDAP" bei folgenden Schritten berücksichtigen (folgt noch)!<br />
<br />
Man meldet sich lokal als Admin am Client an und wechselt in die Systemsteuerung, System. In der Registerkarte ''Computername'' klickt man auf den Button ''Ändern'', wählt in Mitglied von den Punkt Domäne und gibt sinnigerweise den Namen der Domäne an, wie sie in der smb.conf steht (''[global]''-Sektion der Punkt ''workgroup''). Klickt man auf OK wird man nach einem Usernamen sowie einem Passwort gefragt. Gib hier root mit seinem in smbpasswd/LDAP-Verzeichnis angelegten Kennwort ein. Nach wenigen Sekunden sollte folgender Hinweis erscheinen:<br />
<br />
<br />
[[Bild:smb_config_client_01.jpg]]<br />
<br />
<br />
Erscheint diese Meldung nicht, kommt also stattdessen eine Fehlermeldung, sollte man sich vergewissern, dass root mit ''smbpasswd -a root'' angelegt wurde und ein Maschinen-Account für den Client existiert – falls man in der ''[global]''-Sektion der ''smb.conf'' nicht<br />
<br />
add machine script = /usr/sbin/useradd -g [maschinengruppe] -s /bin/false %u<br />
<br />
angegeben hat (siehe smb.conf-Beispiel) passiert dies nämlich nicht automatisch! Will man einen Rechner "per Hand" eintragen, lauten die Befehle:<br />
<br />
useradd -s /bin/false [RECHERNAME]$<br />
smbpasswd -a -m [RECHNERNAME]<br />
<br />
Überprüfe bei einem Fehler auch die ''smb.conf'', um sicherzustellen, dass der Server auch wirklich als PDC eingerichtet wurde. Verwende hierzu den Befehl ''testparm''<br />
<br />
<br />
Für LDAP gilt übrigens folgender Befehl:<br />
<br />
add machine script = /usr/sbin/smbldap-useradd -w %u<br />
<br />
<br />
Es sollte bei Problemen auch die ''/etc/ldap.conf'' überprüft werden. Hier muss der Eintrag ''nss_base_passwd ou=Computers,dc=firma_xyz,dc=de'' unter Anderem gesetzt sein! Die Logfiles ''/var/log/messages'' sowie ''/var/log/samba/log.smbd'' geben sicher den wertvollsten Hinweis darauf, wo das Problem liegt!<br />
<br />
<br />
Nach erfolgreichem Aufnehmen des Rechners muss dieser neu gestartet werden. Bevor man sich aber anmeldet, sollte man sich mit den Benutzerprofilen auseinandersetzen!<br />
<br />
<br />
== Serverbasierende Profile ==<br />
<br />
Sie machen Sinn, um dem User zu ermöglichen, seinen gewohnten Desktop – egal an welchem PC er sich im Netzwerk anmeldet – zur Verfügung zu stellen. Man bezeichnet soetwas als Roaming Profiles.<br />
<br />
<br />
In der smb.conf muss in der ''[global]''-Sektion ''logon path = /pfad/zum/profilordner'' gesetzt sein und außerdem das Share ''[profiles]'' existieren. Dieses sieht z. B. so aus:<br />
<br />
[profiles]<br />
comment=Profile<br />
path=/srv/samba/profiles<br />
read only=no<br />
create mask=0600<br />
directory mask=0770<br />
browseable=no<br />
<br />
Ist für einen User kein Profil-Verzeichnis in path angelegt, so wird dieses beim ersten Login erzeugt. Voraussetzung ist, dass der User in path (also ''/srv/samba/profiles'') uneingeschränkte Rechte hat (Lese-, Schreib- und Ausführrecht!!!). Werden die Profil-Ordner von root aus einer Vorlage heraus angelegt (siehe weiter unten) reicht es, Lese- und Ausführungsrecht (r-x) für dieses Verzeichnis – sprich ''/srv/samba/profiles'' – zu vergeben, wobei der User für sein Profil-Verzeichnis ''/srv/samba/profiles/[username]'' aber wieder Vollzugriff benötigt, da beim Abmelden das Profil des Clients mit dem Servergespeicherten synchronisiert wird.<br />
<br />
<br />
Treten beim Einloggen eines Users Probleme auf, dass er auf sein Profil nicht zugegriffen kann, wird also wahrscheinlich<br />
<br />
<br />
a) kein Profil für den Benutzer in path existieren und der User für path keinen Vollzugriff besitzen, um ein neues Default-Profil anlegen zu können,<br />
<br />
b) dem Benutzer fehlen die Vollzugriffsrechte auf seinen Profil-Ordner und/oder<br />
<br />
c) dem User wurde das Leserecht auf die ''ntuser.dat / ntuser.man'' entzogen (siehe Punkt "Verbindliche, unveränderbare Profile")<br />
<br />
<br />
[[Bild:smb_config_client_02.jpg]]<br />
<br />
Grafik 1<br />
<br />
<br />
== Profilvorlagen anlegen ==<br />
<br />
Sollen die Benutzer nicht das "klickibunti" XP-Design als Standard verwenden, den Destkop und die Registry nicht ändern können, dann machen verbindliche, unveränderbare Profile Sinn. Problem: beim ersten Anmelden eines Users wird ein Profil-Verzeichnis angelegt – jedoch mit oben genannten Eigenschaften, die wir so nicht akzeptieren *G* Also basteln wir uns eine Vorlage. Das ist gar nicht so schwer: Voraussetzung ist, dass der Samba-Server eingerichtet ist und läuft, root in der smbpasswd/LDAP existiert und man auf das Share ''[profiles]'' als root schreibend zugreifen kann. Ist dies gegeben, meldet man sich an einem XP-Rechner mit Administrationsrechten lokal (nicht an der Domäne!) an.<br />
<br />
<br />
'''''Schritt 1: "vorlage"-User erstellen'''''<br />
<br />
Am XP-PC angemeldet, legen wir einen User "vorlage" an, vergeben ein Passwort, melden uns als Admin ab und als der "vorlage"-User am Rechner erneut an.<br />
<br />
<br />
'''''Schritt 2: Profil des "vorlagen"-Users anpassen'''''<br />
<br />
Ist man als "vorlage" angemeldet, passt man das Aussehen von Windows dementsprechend an – und zwar genau so, wie unsere Client-PC's dann aussehen sollen. Zu beachten: es sollten keine benutzerspezifischen Desktop-Symbole oder Startmenü-Einträge erstellt werden; einfach das Profil anpassen. Ist man mit dem Profil des Users "vorlage" zufrieden, meldet man sich ab und erneut als Administrator lokal an. <br />
<br />
<br />
'''Tipp:''' man sollte nochmal in das erstellte Profil-Verzeichnis des Benutzers "vorlage" wechseln und dort nach den versteckten Dateien ''desktop.ini'' suchen, anschließend alle löschen. Grund: es existiert z. B. im Autostart-Ordner eine solche Datei. Kopiert man dann das Profil auf einen anderen User, ist diese Datei nicht mehr versteckt und wird bei jedem Anmelden geöffnet – das nervt meines Erachtens ziemlich. Zudem sollte man in der ''[homes]'' und ''[profiles]''-Sektion das Attribut ''hide files = /desktop.ini/'' verwenden, um die Dateien als "Versteckt" anzuzeigen.<br />
<br />
<br />
Klicke auf Start, Ausführen und gib ''cmd'' ein. Stelle mit folgendem Befehl – natürlich angepasst an deinen Server – eine Verbindung zu diesem her:<br />
<br />
net use \\server01 /user:root<br />
<br />
Nach Eingabe des root-Passwortes muss eine Bestätigung kommen, dass der Befehl erfolgreich ausgeführt wurde. Andernfalls sollte man prüfen, ob root in der smbpasswd/LDAP angelegt wurde!<br />
<br />
<br />
Nun wechselt man in die Systemsteuerung, klickt auf System, Registerkarte Erweitert und klickt bei den Benutzerprofilen auf Einstellungen. Aus der Liste wählt man den "vorlage"-User aus und klickt dann auf Kopieren nach (Grafik 2). Bei Profil kopieren nach gibt man folgendes an:<br />
<br />
\\server01\profiles\vorlage<br />
<br />
Bevor man nun auf OK klickt, muss man noch den Benutzer ändern. Auf den Button Ändern klicken und als Benutzer ''Jeder'' wählen. Grund: kopiert man das Profil später auf einen anderen User, so hat dieser Zugriffsprobleme auf sein Profil. Als Jeder werden die Rechte – wenn man so will – "neutral" vergeben.<br />
<br />
<br />
Jetzt kann man auf OK klicken und das Profil wird auf den Server in das Profil-Share kopiert (Grafik 3). Wird der Zugriff verweigert oder tritt sonst ein Fehler auf: smb.conf und Zugriffsrechte auf den Ordner prüfen!<br />
<br />
<br />
[[Bild:smb_config_client_03.jpg]]<br />
<br />
Grafik 2<br />
<br />
<br />
[[Bild:smb_config_client_04.jpg]]<br />
<br />
Grafik 3<br />
<br />
<br />
== Verbindliche, unveränderbare Profile ==<br />
<br />
Es ist häufig gewünscht, dass ein Benutzer sein Profil nicht ändern kann, um den Server z. B. durch das Abspeichern übergroßer Hintergrundbilder etc. nicht zu überlasten. Hier gibt’s einen einfachen Trick: benenne im Profil-Verzeichnis des Benutzers (am Besten gleich des "vorlage"-Benutzers) die Datei ''ntuser.dat'' in ''ntuser.man'' um und vergib nur das Leserecht auf die Datei: <br />
<br />
chmod 400 ntuser.man<br />
<br />
damit soll verhindert werden, dass der Benutzer die Datei selbst wieder in ''ntuser.dat'' umbenennt. Das Leserecht ist jedoch zwingend erforderlich, bitte beachten! Außerdem ist darauf zu achten, im ''[profile]''-Share das Attribut ''read only = yes'' zu setzen. Hier ist natürlich wieder zu berücksichtigen, dass dann für jeden User, der sich anmelden will, bereits ein Profil-Ordner vorhanden sein muss. Wichtig ist auch zu wissen, dass die "Eigenen Dateien" ebenfalls zum Profil zählen und in diesem Fall nicht gespeichert würden! Im Script "Samba und Poledit" (folgt noch) wird die Ordnerumleitung erklärt. So kannst du die "Eigenen Dateien" auf ein Netzlaufwerk verschieben.<br />
<br />
<br />
'''Zusätzliche Anmkerung:''' die Profile – auch wenn sie serverbasierend sind – werden lokal am Client angelegt und beim Abmelden synchronisiert. Ich habe zum Testen der Funktionalität des unveränderbaren Profils ein Desktopbild eingefügt, mich abgemeldet und wieder angemeldet – das schien jedoch nicht zu funktionieren, da die Grafik wider erwarten angezeigt wurde. In Wirklichkeit war ein Neustart des Clients notwendig, dann funktionierte alles (frag' mich nicht warum...)!<br />
<br />
<br />
== Profilvorlage für User kopieren ==<br />
<br />
Nachdem wir unser Vorlagen-Profil nun auf dem Server haben, müssen wir für jeden User einen Ordner mit den Dateien und Verzeichnissen aus dem Vorlage-Profil heraus erstellen. Wechsle in den Profil-Ordner (z. B. ''/srv/samba/profiles''). Vergewissere dich, dass dort der Ordner ''vorlage'' existiert und gib dann folgende Befehle ein, um ein Profil für den User ''franz'' zu erstellen:<br />
<br />
cp -R vorlage/ franz<br />
chown -R franz franz<br />
chmod 700 franz<br />
<br />
Was passiert hier: als erstes kopieren wir den gesamten Ordnerinhalt von ''vorlage'' in den Ordner ''franz''. Als nächsten Schritt machen wir den Benutzer ''franz'' zum Eigentümer dieses Ordners und geben ihm (und nur ihm!) mit ''chmod'' Vollzugriff auf sein Profil. Andernfalls kommt es zu einem Fehler beim Login bzw. Logout (siehe Grafik 1).<br />
<br />
<br />
Das soll's gewesen sein!</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=Datei:Smb_config_client_04.jpg&diff=15479Datei:Smb config client 04.jpg2007-05-14T18:51:20Z<p>Flo84: Eigenes Bild (Screenshot). Profil auf den Server kopieren.</p>
<hr />
<div>Eigenes Bild (Screenshot). Profil auf den Server kopieren.</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=Datei:Smb_config_client_03.jpg&diff=15478Datei:Smb config client 03.jpg2007-05-14T18:50:53Z<p>Flo84: Eigenes Bild (Screenshot). Verwaltung der Benutzerprofile.</p>
<hr />
<div>Eigenes Bild (Screenshot). Verwaltung der Benutzerprofile.</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=Datei:Smb_config_client_02.jpg&diff=15477Datei:Smb config client 02.jpg2007-05-14T18:50:26Z<p>Flo84: Eigenes Bild (Screenshot). Fehler-Dialog: Rechte prüfen!</p>
<hr />
<div>Eigenes Bild (Screenshot). Fehler-Dialog: Rechte prüfen!</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=Datei:Smb_config_client_01.jpg&diff=15476Datei:Smb config client 01.jpg2007-05-14T18:48:50Z<p>Flo84: Eigenes Bild (Screenshot). Zeigt die Bestätigung, dass der Client erfolgreich in die Domain aufgenommen wurde.</p>
<hr />
<div>Eigenes Bild (Screenshot). Zeigt die Bestätigung, dass der Client erfolgreich in die Domain aufgenommen wurde.</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=Samba&diff=15475Samba2007-05-14T18:25:02Z<p>Flo84: /* Allgemein */</p>
<hr />
<div>{{Infobox Software<br />
|Name= Samba<br>[[Bild:Samba-logo.png]]<br />
|Screenshot=<br />
|Beschreibung= <br />
|Hersteller= [http://us1.samba.org/samba/team/ Samba-Team]<br />
|AktuelleVersion= 3.0.24<br />
|AktuelleVersionFreigabeDatum= 5. Februar 2007<br />
|Betriebssystem= Linux, Unix, OS X<br />
|Kategorie= [[Samba]]<br />
|Lizenz= GPL<br />
|Deutsch= nein<br />
|Website= [http://samba.org/ Offizielle Seite] / [http://samba.sernet.de/ Deutsche Seite]<br />
}}<br />
[http://www.linux-club.de/forum6.html zum Forum]<br />
<br />
<br />
== Allgemein ==<br />
<!--Die Überschrift dient erst mal als Arbeitsüberschrift--><br />
* [[Samba-Openbooks und Links]] Die Samba Buchliste<br />
* [[Themen und Links zu Samba]]<br />
* [[Domaene einrichten|Domäne einrichten]]<br />
* [[Beispiel einer smb.conf]]<br />
* [[Samba als PDC: Clients einrichten]]<br />
* [[Windows Client für Arbeitsgruppe einrichten]]<br />
* [[Drucken mit Samba]]<br />
* [[Vscan]] Echtzeit Virenscanner für SAMBA<br />
* [[Zentrale Verteilung der Gruppenrichtlinien - poledit]]<br />
* [[Logonskripte mit kix]]<br />
* [[Linux-Client in Windows Domain]]<br />
* [[Apple Macintosh am Linux Server]]<br />
* [[SMB-Freigaben mit SuSEfirewall2]]<br />
* [[Samba mit zwei LDAP-Servern als passdb backend]]<br />
* [[Zugriffrechte unter Samba]]<br />
* [[Samba zu langsam]] <br />
* [[Dokumentationen auf Suse 10.0 nicht korrekt verlinkt]]<br />
* [[ACHTUNG: Samba 3.0.23-3.1.33 buggy]]<br />
<br />
== Grafische Installer ==<br />
* [[SWAT]] Installation und Konfiguration<br />
* [[Einfache Sambafreigabe über YaST]] Eine schnelle Netzwerkresource freigeben für jeden Beschreibbar<br />
* [[Samba KDE Kontrollzentrum]]<br />
<br />
== Samba in Verbindung mit active directory oder ldap ==<br />
<br />
* [[SUSE in Win2000 Domain und Acitve Directory]]<br />
<br />
* [[linux und active directory]]<br />
<br />
----<br />
<br />
[[Samba Musterkonfigurationen]]<br />
<br />
[[Category:Samba]][[Kategorie:Übersicht]]</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=Smb.conf&diff=15474Smb.conf2007-05-14T18:12:43Z<p>Flo84: /* Beispiel einer Samba PDC-Konfiguration */</p>
<hr />
<div><br />
<br />
== Die [global]-Sektion ==<br />
<br />
'''workgroup=firma_xyz :''' hier wird der Domänen-Namen vergeben<br />
<br />
'''netbios name=Server01 :''' der NetBIOS-Name des Servers<br />
<br />
'''server string=Linux Samba-Server %v :''' mit dieser Zeichenkette erscheint der Server unter Windows – inklusive der Samba-Version (%v)<br />
<br />
'''security=user :''' der Server soll als PDC fungieren<br />
<br />
'''encrypt passwords=yes :''' Passwörter werden verschlüsselt vom Client an den Server geschickt (ab Windows 98!)<br />
<br />
'''wins support=yes :''' der Server bietet WINS-Support für die Namensauflösung; ist bereits ein WINS-Server im Einsatz, verwende ''wins server = [server_ip]''<br />
<br />
'''name resolv order:''' im Beispiel wird versucht, die Namensauflösung in der Reihenfolge wins, lmhosts, hosts und zum Schluss per Broadcast durchzuführen<br />
<br />
'''domain logons=yes :''' realisiert die Domänenanmeldung der Clients<br />
<br />
'''local master=yes :''' Server wird zum Master-Browser erhoben<br />
<br />
'''preferred master=yes :''' legt fest, dass der nmbd als bevorzugter master browser in der Domain auftritt. nmbd ist der NetBIOS-Name Server und bietet via Netbios über TCP/IP entsprechende Namensdienste an.<br />
<br />
'''domain master=yes :''' spricht für sich...<br />
<br />
'''os level=65 :''' stellt sicher, dass der Samba die "Wahl" zum PDC gewinnt<br />
<br />
'''admin users=root :''' Benutzer mit Administrationsrechten (Domain-Admin)<br />
<br />
'''logon home=\\%L\homes :''' Angabe des Home-Verzeichnis. Im Beispiel befinden sich die Home-Verzeichnise aller User unter /home; die [homes]-Sektion muss hier in der smb.conf enthalten sein!<br />
<br />
'''logon drive=k: :''' in diesem Fall wird auf k: das Home-Verzeichnis gemounted<br />
<br />
'''logon path=\\%L\profiles\%U :''' Quelle der servergespeicherten User-Profile (beachte [profiles])<br />
<br />
'''load printers=yes :''' Drucker laden<br />
<br />
'''printing=cups :''' zum Drucken das CUPS verwenden<br />
<br />
'''printcap name=cups :''' das CUPS Printing-Interface verwenden<br />
<br />
'''logon script=%U.logon.bat :''' Logon-Script, das nach dem Anmelden für jeden – in diesem Fall – einzelnen User ausgeführt wird; verlangt die Existenz der Sektion [netlogon]<br />
<br />
'''unix password sync = yes :''' dieser Parameter ändert nicht nur das Samba- sondern auch das Linux-Passwort, wenn der User am (Windows-)Client sein Kennwort ändert; Voraussetzung: das smbpasswd-Passwort ist gleich dem Linux-Passwort<br />
<br />
'''passwd program = /usr/bin/passwd %u :''' dieses Programm wird für die Passwortänderung verwendet<br />
<br />
'''add machine script = /usr/sbin/useradd -g [maschinen_gruppe] -s /bin/false %u :''' unbekannte Maschinen-/Computer-Accounts automatisch anlegen, wenn diese in die Domäne eingebunden werden; [machinen_gruppe] muss vorher angelegt werden (groupadd)!<br />
<br />
<br />
== Die [homes]-Sektion ==<br />
<br />
Hierbei handelt es sich um ein spezielles Share. Im Grunde ist es aufgebaut wie eine "normale" Freigabe, mit der Besonderheit, dass hier die Home-Verzeichnisse der User, die sich an der Domäne anmelden, liegen. Wenn ''[homes]'' den Eintrag ''path=/pfad/zu/homeverzeichnis'' nicht enthält, werden die Homeverzeichnisse unter ''/home'' verwendet. Egal ob path verwendet wird oder nicht: es muss für jeden Benutzer ein Ordner mit dessen Namen im entsprechenden Verzeichnis existieren (Unix-Rechte anpassen nicht vergessen!). Beachte auch in der ''[global]''-Sektion den Eintrag ''logon home=''!<br />
<br />
<br />
== Die [profiles]-Sektion ==<br />
<br />
Dieses Share ist fast (!) wie alle Anderen, mit der Ausnahme, dass im angegebenen path (z. B. ''/srv/samba/profiles'') für jeden User ein Profil-Verzeichnis liegt. Durch ''hide files'' und store dos attributes wird bewirkt, dass DOS-Attribute (wie z. B. für die versteckte Datei ''desktop.ini'') erhalten bleiben. Beachte hierzu das Script ''Samba als PDC'' (folgt noch)!<br />
<br />
<br />
== Die [netlogon]-Sektion ==<br />
<br />
Ebenfalls mit einem "normalen" Share zu vergleichen, mit der Sonderbedeutung, dass sich in path die Login-Scripte und die ''ntconfig.pol'' für Systemrichtlinien befinden. Wird in der ''[global]''-Sektion ''logon script = %U.logon.bat'' angegeben, so wird im Verzeichnis path für jeden User ein derartiges Script erwartet, z. B.für einen Benutzer flo die ''flo.logon.bat''. Die ''ntconfig.pol'' wird mit Poledit erstellt. Beachte [[Zentrale Verteilung der Gruppenrichtlinien - poledit]]<br />
<br />
<br />
== Die [printers]-Sektion ==<br />
<br />
Existiert dieses Share, so werden alle am Server eingerichteten Drucker den Clients zur Verfügung gestellt. Will man für Drucker spezielle Rechte vergeben, z. B. dass nur bestimmte User auf einen Drucker drucken dürfen, so muss für jeden Drucker ein eigenes Share angelegt werden. Beachte hierzu das Script ''Samba als Druckserver'' (folgt noch).<br />
<br />
'''path = /srv/samba/spool :''' Pfad zum Samba-Spoolverzeichnis; Rechte: chmod 7771 /srv/samba/spool<br />
<br />
'''browseable = no :''' Share soll in der "Netzwerkumgebung" nicht sichtbar sein<br />
<br />
'''guest ok = yes :''' grundsätzlich darf jeder – auch Gäste – drucken<br />
<br />
'''writeable = no :''' das Ablegen von "Nicht-Drucker-Dateien" soll verweigert werden<br />
<br />
'''printable = yes :''' es handelt sich um ein Printer-Share, d. h. trotz writeable = no dürfen trotzdem Druckjobs von den Benutzern abgelegt werden!<br />
<br />
'''printer admin = root :''' Admin, der die Drucker verwaltet<br />
<br />
<br />
== Die [print$]-Sektion ==<br />
<br />
Dieses Share beinhaltet die Drucker-Treiber für die (Windows-) Clients. Wird ein Drucker an einem Client-PC hinzugefügt, holt sich dieser die Treiber aus dem Ordner path. Genaueres erfährst du im Script ''Samba als Druck-Server'' (folgt noch).<br />
<br />
'''path = /srv/samba/drivers :''' Pfad, in dem die Druckertreiber liegen<br />
<br />
'''browseable = yes :''' dies verlangt Windows so<br />
<br />
'''guest ok = no :''' kein „Gast“ hat Zugriff auf dieses Share<br />
<br />
'''read only = yes :''' keiner darf schreiben, nur lesen...<br />
<br />
'''write list = root :''' ...außer root, der darf hier Dateien (genauer: Treiber) ablegen<br />
<br />
<br />
== Hinweise ==<br />
<br />
Diese Doku war eigentlich für meinen eigenen "Gebrauch" gedacht - vielleicht hilft sie dir auch weiter ;-)<br />
<br />
Willst du Samba mit LDAP-Backend verwenden, lies dir hierzu das Script ''Samba und OpenLDAP'' durch (folgt noch). Das soll's gewesen sein!</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=Smb.conf&diff=15473Smb.conf2007-05-14T18:10:28Z<p>Flo84: </p>
<hr />
<div>== Beispiel einer Samba PDC-Konfiguration ==<br />
<br />
<br />
[global]<br />
workgroup=firma_xyz<br />
netbios name=Server01<br />
server string=Linux Samba-Server %v<br />
security=user<br />
encrypt passwords=yes<br />
wins support=yes<br />
name resolve order=wins lmhosts hosts bcast<br />
domain logons=yes<br />
local master=yes<br />
preferred master=yes<br />
domain master=yes<br />
os level=65<br />
logon home=\\%L\homes<br />
logon drive=k:<br />
logon path=\\%L\profiles\%U<br />
logon script=%U.logon.bat<br />
load printers=yes<br />
printing=cups<br />
printcap name=cups<br />
unix password sync = yes<br />
passwd program = /usr/bin/passwd %u<br />
add machine script = /usr/sbin/useradd -g clientpc -s /bin/false %u<br />
<br />
[homes]<br />
comment=Home-Verzeichnis<br />
read only=no<br />
create mask=0750<br />
browseable=no<br />
hide files=/desktop.ini/<br />
inherit acls=yes<br />
# Nur nötig, wenn für die User in /home kein Homeverzeichnis existiert sondern<br />
# diese in einem separaten Verzeichnis liegen sollen:<br />
#path=/srv/samba/homes/%U<br />
<br />
[profiles]<br />
comment=Profile<br />
path=/srv/samba/profiles<br />
read only=no<br />
create mask=0600<br />
directory mask=0770<br />
browseable=no<br />
hide files=/desktop.ini/<br />
store dos attributes=yes<br />
<br />
[netlogon]<br />
comment=Login-Scripte<br />
path=/srv/samba/netlogon<br />
browseable=yes<br />
read only=yes<br />
<br />
[Sicherung]<br />
comment = Datensicherung<br />
path = /sicherung<br />
browseable = yes<br />
valid users = geli,flo,lan<br />
write list = geli,flo,lan<br />
available = yes<br />
<br />
[install]<br />
comment = Unattended Install-Directory<br />
path = /sicherung/install/unattended<br />
read only = yes<br />
valid users = geli,flo,lan,guest<br />
<br />
[printers]<br />
path = /srv/samba/spool<br />
browseable = no<br />
guest ok = yes<br />
writeable = no<br />
printable = yes<br />
printer admin = root<br />
<br />
[print$]<br />
path = /srv/samba/drivers<br />
browseable = yes<br />
guest ok = no<br />
read only = yes<br />
write list = root<br />
<br />
<br />
== Die [global]-Sektion ==<br />
<br />
'''workgroup=firma_xyz :''' hier wird der Domänen-Namen vergeben<br />
<br />
'''netbios name=Server01 :''' der NetBIOS-Name des Servers<br />
<br />
'''server string=Linux Samba-Server %v :''' mit dieser Zeichenkette erscheint der Server unter Windows – inklusive der Samba-Version (%v)<br />
<br />
'''security=user :''' der Server soll als PDC fungieren<br />
<br />
'''encrypt passwords=yes :''' Passwörter werden verschlüsselt vom Client an den Server geschickt (ab Windows 98!)<br />
<br />
'''wins support=yes :''' der Server bietet WINS-Support für die Namensauflösung; ist bereits ein WINS-Server im Einsatz, verwende ''wins server = [server_ip]''<br />
<br />
'''name resolv order:''' im Beispiel wird versucht, die Namensauflösung in der Reihenfolge wins, lmhosts, hosts und zum Schluss per Broadcast durchzuführen<br />
<br />
'''domain logons=yes :''' realisiert die Domänenanmeldung der Clients<br />
<br />
'''local master=yes :''' Server wird zum Master-Browser erhoben<br />
<br />
'''preferred master=yes :''' legt fest, dass der nmbd als bevorzugter master browser in der Domain auftritt. nmbd ist der NetBIOS-Name Server und bietet via Netbios über TCP/IP entsprechende Namensdienste an.<br />
<br />
'''domain master=yes :''' spricht für sich...<br />
<br />
'''os level=65 :''' stellt sicher, dass der Samba die "Wahl" zum PDC gewinnt<br />
<br />
'''admin users=root :''' Benutzer mit Administrationsrechten (Domain-Admin)<br />
<br />
'''logon home=\\%L\homes :''' Angabe des Home-Verzeichnis. Im Beispiel befinden sich die Home-Verzeichnise aller User unter /home; die [homes]-Sektion muss hier in der smb.conf enthalten sein!<br />
<br />
'''logon drive=k: :''' in diesem Fall wird auf k: das Home-Verzeichnis gemounted<br />
<br />
'''logon path=\\%L\profiles\%U :''' Quelle der servergespeicherten User-Profile (beachte [profiles])<br />
<br />
'''load printers=yes :''' Drucker laden<br />
<br />
'''printing=cups :''' zum Drucken das CUPS verwenden<br />
<br />
'''printcap name=cups :''' das CUPS Printing-Interface verwenden<br />
<br />
'''logon script=%U.logon.bat :''' Logon-Script, das nach dem Anmelden für jeden – in diesem Fall – einzelnen User ausgeführt wird; verlangt die Existenz der Sektion [netlogon]<br />
<br />
'''unix password sync = yes :''' dieser Parameter ändert nicht nur das Samba- sondern auch das Linux-Passwort, wenn der User am (Windows-)Client sein Kennwort ändert; Voraussetzung: das smbpasswd-Passwort ist gleich dem Linux-Passwort<br />
<br />
'''passwd program = /usr/bin/passwd %u :''' dieses Programm wird für die Passwortänderung verwendet<br />
<br />
'''add machine script = /usr/sbin/useradd -g [maschinen_gruppe] -s /bin/false %u :''' unbekannte Maschinen-/Computer-Accounts automatisch anlegen, wenn diese in die Domäne eingebunden werden; [machinen_gruppe] muss vorher angelegt werden (groupadd)!<br />
<br />
<br />
== Die [homes]-Sektion ==<br />
<br />
Hierbei handelt es sich um ein spezielles Share. Im Grunde ist es aufgebaut wie eine "normale" Freigabe, mit der Besonderheit, dass hier die Home-Verzeichnisse der User, die sich an der Domäne anmelden, liegen. Wenn ''[homes]'' den Eintrag ''path=/pfad/zu/homeverzeichnis'' nicht enthält, werden die Homeverzeichnisse unter ''/home'' verwendet. Egal ob path verwendet wird oder nicht: es muss für jeden Benutzer ein Ordner mit dessen Namen im entsprechenden Verzeichnis existieren (Unix-Rechte anpassen nicht vergessen!). Beachte auch in der ''[global]''-Sektion den Eintrag ''logon home=''!<br />
<br />
<br />
== Die [profiles]-Sektion ==<br />
<br />
Dieses Share ist fast (!) wie alle Anderen, mit der Ausnahme, dass im angegebenen path (z. B. ''/srv/samba/profiles'') für jeden User ein Profil-Verzeichnis liegt. Durch ''hide files'' und store dos attributes wird bewirkt, dass DOS-Attribute (wie z. B. für die versteckte Datei ''desktop.ini'') erhalten bleiben. Beachte hierzu das Script ''Samba als PDC'' (folgt noch)!<br />
<br />
<br />
== Die [netlogon]-Sektion ==<br />
<br />
Ebenfalls mit einem "normalen" Share zu vergleichen, mit der Sonderbedeutung, dass sich in path die Login-Scripte und die ''ntconfig.pol'' für Systemrichtlinien befinden. Wird in der ''[global]''-Sektion ''logon script = %U.logon.bat'' angegeben, so wird im Verzeichnis path für jeden User ein derartiges Script erwartet, z. B.für einen Benutzer flo die ''flo.logon.bat''. Die ''ntconfig.pol'' wird mit Poledit erstellt. Beachte [[Zentrale Verteilung der Gruppenrichtlinien - poledit]]<br />
<br />
<br />
== Die [printers]-Sektion ==<br />
<br />
Existiert dieses Share, so werden alle am Server eingerichteten Drucker den Clients zur Verfügung gestellt. Will man für Drucker spezielle Rechte vergeben, z. B. dass nur bestimmte User auf einen Drucker drucken dürfen, so muss für jeden Drucker ein eigenes Share angelegt werden. Beachte hierzu das Script ''Samba als Druckserver'' (folgt noch).<br />
<br />
'''path = /srv/samba/spool :''' Pfad zum Samba-Spoolverzeichnis; Rechte: chmod 7771 /srv/samba/spool<br />
<br />
'''browseable = no :''' Share soll in der "Netzwerkumgebung" nicht sichtbar sein<br />
<br />
'''guest ok = yes :''' grundsätzlich darf jeder – auch Gäste – drucken<br />
<br />
'''writeable = no :''' das Ablegen von "Nicht-Drucker-Dateien" soll verweigert werden<br />
<br />
'''printable = yes :''' es handelt sich um ein Printer-Share, d. h. trotz writeable = no dürfen trotzdem Druckjobs von den Benutzern abgelegt werden!<br />
<br />
'''printer admin = root :''' Admin, der die Drucker verwaltet<br />
<br />
<br />
== Die [print$]-Sektion ==<br />
<br />
Dieses Share beinhaltet die Drucker-Treiber für die (Windows-) Clients. Wird ein Drucker an einem Client-PC hinzugefügt, holt sich dieser die Treiber aus dem Ordner path. Genaueres erfährst du im Script ''Samba als Druck-Server'' (folgt noch).<br />
<br />
'''path = /srv/samba/drivers :''' Pfad, in dem die Druckertreiber liegen<br />
<br />
'''browseable = yes :''' dies verlangt Windows so<br />
<br />
'''guest ok = no :''' kein „Gast“ hat Zugriff auf dieses Share<br />
<br />
'''read only = yes :''' keiner darf schreiben, nur lesen...<br />
<br />
'''write list = root :''' ...außer root, der darf hier Dateien (genauer: Treiber) ablegen<br />
<br />
<br />
== Hinweise ==<br />
<br />
Diese Doku war eigentlich für meinen eigenen "Gebrauch" gedacht - vielleicht hilft sie dir auch weiter ;-)<br />
<br />
Willst du Samba mit LDAP-Backend verwenden, lies dir hierzu das Script ''Samba und OpenLDAP'' durch (folgt noch). Das soll's gewesen sein!</div>Flo84https://linupedia.org/wiki/mediawiki/index.php?title=Samba&diff=15459Samba2007-05-14T17:23:40Z<p>Flo84: /* Allgemein */</p>
<hr />
<div>{{Infobox Software<br />
|Name= Samba<br>[[Bild:Samba-logo.png]]<br />
|Screenshot=<br />
|Beschreibung= <br />
|Hersteller= [http://us1.samba.org/samba/team/ Samba-Team]<br />
|AktuelleVersion= 3.0.24<br />
|AktuelleVersionFreigabeDatum= 5. Februar 2007<br />
|Betriebssystem= Linux, Unix, OS X<br />
|Kategorie= [[Samba]]<br />
|Lizenz= GPL<br />
|Deutsch= nein<br />
|Website= [http://samba.org/ Offizielle Seite] / [http://samba.sernet.de/ Deutsche Seite]<br />
}}<br />
[http://www.linux-club.de/forum6.html zum Forum]<br />
<br />
<br />
== Allgemein ==<br />
<!--Die Überschrift dient erst mal als Arbeitsüberschrift--><br />
* [[Samba-Openbooks und Links]] Die Samba Buchliste<br />
* [[Themen und Links zu Samba]]<br />
* [[Domaene einrichten|Domäne einrichten]]<br />
* [[Beispiel einer smb.conf]]<br />
* [[Windows Client für Arbeitsgruppe einrichten]]<br />
* [[Drucken mit Samba]]<br />
* [[Vscan]] Echtzeit Virenscanner für SAMBA<br />
* [[Zentrale Verteilung der Gruppenrichtlinien - poledit]]<br />
* [[Logonskripte mit kix]]<br />
* [[Linux-Client in Windows Domain]]<br />
* [[Apple Macintosh am Linux Server]]<br />
* [[SMB-Freigaben mit SuSEfirewall2]]<br />
* [[Samba mit zwei LDAP-Servern als passdb backend]]<br />
* [[Zugriffrechte unter Samba]]<br />
* [[Samba zu langsam]] <br />
* [[Dokumentationen auf Suse 10.0 nicht korrekt verlinkt]]<br />
* [[ACHTUNG: Samba 3.0.23-3.1.33 buggy]]<br />
<br />
== Grafische Installer ==<br />
* [[SWAT]] Installation und Konfiguration<br />
* [[Einfache Sambafreigabe über YaST]] Eine schnelle Netzwerkresource freigeben für jeden Beschreibbar<br />
* [[Samba KDE Kontrollzentrum]]<br />
<br />
== Samba in Verbindung mit active directory oder ldap ==<br />
<br />
* [[SUSE in Win2000 Domain und Acitve Directory]]<br />
<br />
* [[linux und active directory]]<br />
<br />
----<br />
<br />
[[Samba Musterkonfigurationen]]<br />
<br />
[[Category:Samba]][[Kategorie:Übersicht]]</div>Flo84