Sie sind nicht angemeldet.

[gelöst] Benutzerrechte auf den Clients mit Samba Domainlogin

brun0

User

  • »brun0« ist der Autor dieses Themas

Beiträge: 4

Registrierungsdatum: 26.02.2009

Derivat: Ubuntu

Architektur: 32-Bit PC

  • Nachricht senden

1

26.02.2009, 14:36

Benutzerrechte auf den Clients mit Samba Domainlogin

Hallo,

ich habe einen Samba Server als PDC konfiguriert und kann meinen XP Client in die Domaene hinzufuegen. An der Domaene anmelden als root klappt auch wunderbar, nur habe ich auf dem Client dann nur User Rechte.
Meine smb.conf ist angeleht an die Infos, die ich hier rausziehen konnte.

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

[global]
   passdb backend = tdbsam
   os level = 33
   preferred master = auto
   domain master = yes
   local master = yes
   security = user
   domain logons = yes
   logon path = \\%N\profiles\%U
   logon drive = H:
   logon home = \\LS-LINUX\%U\winprofile
   logon script = logon.cmd
   netbios name = LS-LINUX
   workgroup = PINGUIN
[netlogon]
   path = /var/lib/samba/netlogon
   read only = yes
[profiles]
   path = /var/lib/samba/profiles
   read only = no
   create mask = 0600
   directory mask = 0700


testparm liefert

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

Load smb config files from /etc/samba/smb.conf
Processing section "[netlogon]"
Processing section "[profiles]"
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC
Press enter to see a dump of your service definitions

[global]
    workgroup = PINGUIN
    passdb backend = tdbsam
    logon script = logon.cmd
    logon path = \\%N\profiles\%U
    logon drive = H:
    logon home = \\LS-LINUX\%U\winprofile
    domain logons = Yes
    os level = 33
    domain master = Yes

[netlogon]
    path = /var/lib/samba/netlogon

[profiles]
    path = /var/lib/samba/profiles
    read only = No
    create mask = 0600
    directory mask = 0700


Was mich verwundert ist, dass "net groupmap list" keine Rueckgabe bringt, die groupmap also leer zu sein scheint.

In /var/log/log.smdb steht

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50

[2009/02/26 14:23:53, 0] smbd/server.c:main(944)
  smbd version 3.0.28a started.
  Copyright Andrew Tridgell and the Samba Team 1992-2008
[2009/02/26 14:23:53, 0] printing/print_cups.c:cups_connect(69)
  Unable to connect to CUPS server localhost:631 - Connection refused
[2009/02/26 14:23:53, 0] printing/print_cups.c:cups_connect(69)
  Unable to connect to CUPS server localhost:631 - Connection refused
[2009/02/26 14:23:53, 0] auth/auth_util.c:create_builtin_administrators(792)
  create_builtin_administrators: Failed to create Administrators
[2009/02/26 14:23:53, 0] auth/auth_util.c:create_builtin_users(758)
  create_builtin_users: Failed to create Users
[2009/02/26 14:23:53, 0] auth/auth_util.c:create_builtin_administrators(792)
  create_builtin_administrators: Failed to create Administrators
[2009/02/26 14:23:53, 0] auth/auth_util.c:create_builtin_users(758)
  create_builtin_users: Failed to create Users
[2009/02/26 14:24:00, 0] lib/util_sock.c:write_data(562)
  write_data: write failure in writing to client 192.168.1.200. Error Connection reset by peer
[2009/02/26 14:24:00, 0] lib/util_sock.c:send_smb(761)
  Error writing 4 bytes to client. -1. (Connection reset by peer)
[2009/02/26 14:24:00, 0] auth/auth_util.c:create_builtin_administrators(792)
  create_builtin_administrators: Failed to create Administrators
[2009/02/26 14:24:00, 0] auth/auth_util.c:create_builtin_users(758)
  create_builtin_users: Failed to create Users
[2009/02/26 14:24:00, 0] auth/auth_util.c:create_builtin_administrators(792)
  create_builtin_administrators: Failed to create Administrators
[2009/02/26 14:24:00, 0] auth/auth_util.c:create_builtin_users(758)
  create_builtin_users: Failed to create Users
[2009/02/26 14:24:00, 1] smbd/service.c:make_connection_snum(1033)
  stmlf-df0a8107f (192.168.1.200) connect to service profiles initially as user root (uid=0, gid=0) (pid 5616)
[2009/02/26 14:24:00, 1] smbd/service.c:make_connection_snum(1033)
  stmlf-df0a8107f (192.168.1.200) connect to service profiles initially as user root (uid=0, gid=0) (pid 5616)
[2009/02/26 14:24:11, 1] smbd/service.c:close_cnum(1230)
  stmlf-df0a8107f (192.168.1.200) closed connection to service profiles
[2009/02/26 14:24:11, 1] smbd/service.c:close_cnum(1230)
  stmlf-df0a8107f (192.168.1.200) closed connection to service profiles
[2009/02/26 14:24:13, 0] smbd/server.c:main(944)
  smbd version 3.0.28a started.
  Copyright Andrew Tridgell and the Samba Team 1992-2008
[2009/02/26 14:24:13, 0] printing/print_cups.c:cups_connect(69)
  Unable to connect to CUPS server localhost:631 - Connection refused
[2009/02/26 14:24:13, 0] printing/print_cups.c:cups_connect(69)
  Unable to connect to CUPS server localhost:631 - Connection refused
[2009/02/26 14:24:13, 0] auth/auth_util.c:create_builtin_administrators(792)
  create_builtin_administrators: Failed to create Administrators
[2009/02/26 14:24:13, 0] auth/auth_util.c:create_builtin_users(758)
  create_builtin_users: Failed to create Users
[2009/02/26 14:24:13, 0] auth/auth_util.c:create_builtin_administrators(792)
  create_builtin_administrators: Failed to create Administrators
[2009/02/26 14:24:13, 0] auth/auth_util.c:create_builtin_users(758)
  create_builtin_users: Failed to create Users


Wobei, wenn ich das richtig verstanden habe, das "Failed to create Administrators|Users" bei einem anderen passdb backend als ldap normal sein soll.

Folgende Eintraege kommen dazu, wenn ich mich am Client anmelde:

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48

[2009/02/26 14:27:23, 0] printing/print_cups.c:cups_connect(69)
  Unable to connect to CUPS server localhost:631 - Connection refused
[2009/02/26 14:27:23, 0] printing/print_cups.c:cups_connect(69)
  Unable to connect to CUPS server localhost:631 - Connection refused
[2009/02/26 14:27:23, 0] auth/auth_util.c:create_builtin_administrators(792)
  create_builtin_administrators: Failed to create Administrators
[2009/02/26 14:27:23, 0] auth/auth_util.c:create_builtin_users(758)
  create_builtin_users: Failed to create Users
[2009/02/26 14:27:25, 0] auth/auth_util.c:create_builtin_administrators(792)
  create_builtin_administrators: Failed to create Administrators
[2009/02/26 14:27:25, 0] auth/auth_util.c:create_builtin_users(758)
  create_builtin_users: Failed to create Users
[2009/02/26 14:27:26, 0] auth/auth_util.c:create_builtin_administrators(792)
  create_builtin_administrators: Failed to create Administrators
[2009/02/26 14:27:26, 0] auth/auth_util.c:create_builtin_users(758)
  create_builtin_users: Failed to create Users
[2009/02/26 14:27:26, 0] auth/auth_util.c:create_builtin_administrators(792)
  create_builtin_administrators: Failed to create Administrators
[2009/02/26 14:27:26, 0] auth/auth_util.c:create_builtin_users(758)
  create_builtin_users: Failed to create Users
[2009/02/26 14:27:26, 0] auth/auth_util.c:create_builtin_administrators(792)
  create_builtin_administrators: Failed to create Administrators
[2009/02/26 14:27:26, 0] auth/auth_util.c:create_builtin_users(758)
  create_builtin_users: Failed to create Users
[2009/02/26 14:27:26, 1] smbd/service.c:make_connection_snum(1033)
  stmlf-df0a8107f (192.168.1.200) connect to service profiles initially as user root (uid=0, gid=0) (pid 5675)
[2009/02/26 14:27:26, 1] smbd/service.c:make_connection_snum(1033)
  stmlf-df0a8107f (192.168.1.200) connect to service netlogon initially as user root (uid=0, gid=0) (pid 5675)
[2009/02/26 14:27:26, 0] auth/auth_util.c:create_builtin_administrators(792)
  create_builtin_administrators: Failed to create Administrators
[2009/02/26 14:27:26, 0] auth/auth_util.c:create_builtin_users(758)
  create_builtin_users: Failed to create Users
[2009/02/26 14:27:26, 0] param/loadparm.c:process_usershare_file(4606)
  process_usershare_file: stat of /var/lib/samba/usershares/root failed. Permission denied
[2009/02/26 14:27:26, 0] param/loadparm.c:process_usershare_file(4606)
  process_usershare_file: stat of /var/lib/samba/usershares/root failed. No such file or directory
[2009/02/26 14:27:26, 0] smbd/service.c:make_connection(1191)
  stmlf-df0a8107f (192.168.1.200) couldn't find service root
[2009/02/26 14:27:27, 0] param/loadparm.c:process_usershare_file(4606)
  process_usershare_file: stat of /var/lib/samba/usershares/root failed. Permission denied
[2009/02/26 14:27:27, 0] param/loadparm.c:process_usershare_file(4606)
  process_usershare_file: stat of /var/lib/samba/usershares/root failed. No such file or directory
[2009/02/26 14:27:27, 0] smbd/service.c:make_connection(1191)
  stmlf-df0a8107f (192.168.1.200) couldn't find service root
[2009/02/26 14:27:34, 1] smbd/service.c:close_cnum(1230)
  stmlf-df0a8107f (192.168.1.200) closed connection to service profiles
[2009/02/26 14:27:34, 1] smbd/service.c:close_cnum(1230)
  stmlf-df0a8107f (192.168.1.200) closed connection to service netlogon


Was mir hier auffaellt: " process_usershare_file: stat of /var/lib/samba/usershares/root failed. No such file or directory".

Was haben meine Eltern falsch gemacht?

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »brun0« (26.02.2009, 15:46)

TomTobin

User

  • »TomTobin« ist männlich

Beiträge: 485

Registrierungsdatum: 27.08.2007

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: Unity

Andere Betriebssysteme: Ubuntu

  • Nachricht senden

2

26.02.2009, 15:04

Hallo bruno,

Zitat

nur habe ich auf dem Client dann nur User Rechte.

Mit ner Windows-Domäne hab ich schon lange nicht mehr gearbeitet :D
Aber wenn ich mich recht erinnere muss ein Domänen-Account auf dem Client in die Gruppe der Administratoren hinzugefügt werden damit er Adminrechte auf der lokalen Maschine hat.

Zitat

ich habe einen Samba Server als PDC konfiguriert...

Zitat

Was haben meine Eltern falsch gemacht?

Tja, da weiß ich nichts so recht damit anzufangen :rolleyes:

Ich gehe aber mal davon aus das Du hier nicht nachfragst um Zuhause Sicherheitsbarrieren zu überwinden die Du als "nur User" hast!? :cursing:

Gruß

Tom

brun0

User

  • »brun0« ist der Autor dieses Themas

Beiträge: 4

Registrierungsdatum: 26.02.2009

Derivat: Ubuntu

Architektur: 32-Bit PC

  • Nachricht senden

3

26.02.2009, 15:07

Mit meinen aelteren Samba konfigurationen hatte der User Root immer Administratorrechte auf den Clients.
In die smb.conf "admin users = root" bringt auch nix.

TomTobin

User

  • »TomTobin« ist männlich

Beiträge: 485

Registrierungsdatum: 27.08.2007

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: Unity

Andere Betriebssysteme: Ubuntu

  • Nachricht senden

4

26.02.2009, 15:25

Hi,

ich glaube wir reden jetzt ein wenig aneinander vorbei :)

Wenn Du eine Samba/Windows-Domäne auf einem Rechner installierst (z.B. mit/über Ubuntu) und dann von einem seperaten Client (XP-Rechner) auf diese Domäne zugreifst bzw. Dich dort anmeldest dann hat der PDC - also der Domänencontroller gar nichts zu melden ob Du auf dem Client Admin bist. Da kannst Du in der smb.conf einstellen was Du willst.

Zitat

In die smb.conf "admin users = root" bringt auch nix.

Wenn Du einen Domänen-User "root" hast, der auf dem Client Admin sein soll, musst Du ihn dort (also auf dem XP-Rechner) in die Gruppe der lokalen Administratoren aufnehmen.
Falls das "früher" bei Dir automatisch so war, kann ich mir nur vorstellen, dass auf dem damaligen Client "Jeder" Admin war.

Gruß

Tom

brun0

User

  • »brun0« ist der Autor dieses Themas

Beiträge: 4

Registrierungsdatum: 26.02.2009

Derivat: Ubuntu

Architektur: 32-Bit PC

  • Nachricht senden

5

26.02.2009, 15:33

Nein das stimmt so nicht.
Wenn ich mich an der Domaene anmelde muss ich auch von der Domaenenseite her Administratorrechte oder Userrechte zugewiesen bekommen, von Hand irgendwas am XP Client drehen muss ich hoechstens wenn mir die Userrechte nicht ausreichen und ich den User in die Lokale Hauptbenutzergruppe setzen will.

TomTobin

User

  • »TomTobin« ist männlich

Beiträge: 485

Registrierungsdatum: 27.08.2007

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: Unity

Andere Betriebssysteme: Ubuntu

  • Nachricht senden

6

26.02.2009, 15:42

Zitat

Nein das stimmt so nicht.

Doch :) bin ich immer noch davon überzeugt ;) aber ich glaube immer noch wir reden hier über zwei verschiedene Dinge.

Du möchtest wenn Du Dich am Client anmeldest Domänenadmin sein? -> Dann musst Du das über die Samba-Konfiguration regeln.
Ich denke mal das ist Dein Problem oder?

Zitat

nur habe ich auf dem Client dann nur User Rechte.

das ist etwas völlig anderes.

Wenn ich Dich jetzt trotzdem missverstanden haben sollte, dann gib mir doch bitte mal ein Beispiel was auf Deinem Client (XP-Rechner) nicht funktioniert wenn Du dich als "root" anmeldest und welche Funktion Du da gerne hättest.

Gruß

Tom

brun0

User

  • »brun0« ist der Autor dieses Themas

Beiträge: 4

Registrierungsdatum: 26.02.2009

Derivat: Ubuntu

Architektur: 32-Bit PC

  • Nachricht senden

7

26.02.2009, 15:43

Grad nochmal geschaut warum ich die groupmaps nicht habe und mal testweise modifiziert.

net groupmap add ntgroup="Domain Admins" unixgroup=ntadmins type=d rid=512

und die user in der gruppe ntadmins haben Admin Rechte auf den Kisten.

Noch nennenswert:

net groupmap add ntgroup="Domain Users" unixgroup=samba type=d rid=513
net groupmap add ntgroup="Domain Guests" unixgroup=nobody type=d rid=514

Danke fuer eure Zeit und Hilfe!