Megint Samba

Hálózatok általános

Sziasztok!

Ritkán írok és kérek segítséget, általában megtalálom s megoldom magam, amivel bajom van. De most már sokat szenvedtem, s sehol nem találom a helyes megoldást. Problémám triviális - mondhatnátok -, bele is kezdek:
adott egy szerver, Ubuntu, OpenVPN-t és Samba-t futtat. Működik szépen, eddig nem volt vele probléma. Össze szeretném őket boronálni, hadd táncoljon :) Egy alap konfiggal a gép belső hálóján látható, két könyvtáram/megosztásom van rajta, egyik írható, másik olvasható (upload/download). Ez is működik.

Módosításom után, a VPN klienseknél is sikerült elérhetővé tennem a mappákat, ez is OK. Viszont szeretnék csak magamnak egy privát mappát, amibe a többi user nem tud belelépni. Fontos, hogy ezt WinXP alól is el tudjam érni, fel tudjam csatolni hálózati meghajtóként jelszó megadása után, bár a localhost-on valól próbálkozásaim kudarcai után nyilván a kliensen sem fog menni. Nem enged be :(

Alább postolom a szükséges irományokat, ha tud valaki segíteni, megköszönöm!
Szép napot!

  • 1746 megtekintés

( zolej v | 2011. 03. 06., v – 18:38 )


[global]

workgroup = WORKSTATIONS

dns proxy = no

interfaces = 127.0.0.0/8 szervercime/24 10.8.0.0/24
bind interfaces only = yes
hosts allow = 10.8.0.0/24 127.0.0.1 szervercime/24
hosts deny = 0.0.0.0/0

log file = /var/log/samba/log.%m
max log size = 1000
syslog = 1
panic action = /usr/share/samba/panic-action %d

security = user

encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
unix password sync = yes

passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .

pam password change = no
map to guest = bad user

load printers = no

[down]
comment = Ubuntu Share
path = /home/samba/down/
browsable = yes
guest ok = yes
read only = yes
create mask = 755

[share]
comment = Ubuntu Share
path = /home/samba/private
public = no
browseable = yes
read only = yes
create mask = 755
interfaces = tun0
bind interfaces only = yes
encrypt passwords = yes
valid users = privatjanos
force user = privatjanos

[up]
comment = Ubuntu Share
path = /home/samba/up/
browsable = yes
guest ok = yes
read only = no
writeable = yes
create mask = 755

A helyben próbált csatlakozásnál a
smbclient //10.8.0.1/share -U privatjanos
tree connect failed: NT_STATUS_BAD_NETWORK_NAME
választ kapom. Még nem adom fel a keresést.

Nem vagyok samba guru, de ilyen nálam is előfordult egy már működő rendszeren,
mikor új felhasználót vettem fel.
Nekem(!) az oldotta meg, hogy a megfelelő helyen (alapban, és nálad nincs erre külön config sor),
az /etc/samba/smbusers.cfg -ben felvettem kézzel:

windows_user = unix_user

Mindezt úgy, hogy CSAK ennek az egy új felhasználónak kellett ilyen sor.

Tilla

(ui.: ha nem jött be bocsi..)

nem tudom, mennyit nyom a latban az smbusers.cfg, mert ennél a samba-nál már pl az /etc/samba/smbpasswd sem jöhet szóba, csak a tdbsam-ben vannak tárolva az userek. Előző verziónál tudtam kezelni "smbpasswd - c /etc/samba/smbpasswd" paranccsal.

Azért megpróbálom, két sor. Köszi a tippet.

( Oops | 2011. 03. 06., v – 20:48 )

próbáld DOMAIN\Username mintával megadni a júzert

( ang | 2011. 03. 06., v – 23:53 )

ha az a kerdes, hogy legyen sajat hozzaferesu konyvtarad, akkor miert nem siman a userek home directory-jat rakod ki sharenek, oda biztos csak az authentikacio utan ferhetsz hozza:

[homes]
comment = %u home directory
browseable = no
writeable = yes

esetleg a config felso reszeben adhatsz a sambanak halozat hozzaferesi "jogosultsagokat" is:

interfaces = lo eth0
bind interfaces only = true
hosts deny = all
hosts allow = 192.168.1. 127.

a felhasznalokat "smbpasswd -a username /etc/samba/smbpasswd" paranccsal szoktam felvenni, kulon /etc/samba/smbusers fajlban meghatarozom, hogy a windows vagy felhasznalo altal valasztott usernevek mikent mappelodjenek

smb passwd file = /etc/samba/smbpasswd
username map = /etc/samba/smbusers

---

legjobb tudomasom szerint igazandibol mast nem vizsgal a samba, amikor felhasznalokat authentikal, de lehet tevedek

( ang | 2011. 03. 06., v – 23:56 )

szerintem az interfaces sort meg a hosts allow sort kene vizsgalnod az elobbi (eles, evek ota mukodo rendszer configjahoz) viszonyitva, szerintem a vpn halozat interface nevet, es a hozza kapcsolodo subnetet kellene a fenti pelda szerint javitanod...

Köszönöm, bár beleírtam ezt:
interfaces = 127.0.0.0/8 szervercime/24 10.8.0.0/24

Ez nem ugyanazt az eredményt produkálja? A "lo" beírásán már gondolkodtam. Agyonkerestem magam, s semmi példát nem találtam arra vonatkozóan, hogy "samba trough openvpn"... agyrém, tegnap este feladtam, de ma újraéledek! Ha meglesz a megoldás, kiteszem multireklámra! :-D

samba log level-t fel kéne venni jó magasra, hogy mi dobja az access denied-ot
biztos, hogy 10.8.0.0/24 a tun/tap címe?
Illetve gugliban nem kell ennyire cifrázni, az openvp samba kifejezésre dob sokat, samba és openvpn fórumról/levlistáról is.

Illetve még egy dolog, én samba-hoz így veszek fel user-t (szintén tdb backend):

useradd -g users -d /nowhere -s /bin/false new_user
passwd -l new_user
(echo 'new_pass';echo 'new_pass') | smbpasswd -as new_user
smbpasswd -e new_user

Ez samba only, gépen belépni nem tud, tehát ha saját néven próbálod ne zárd ki magad a "passwd -l" sorral !!!

Felvettem a samba logot 3-ra, (aztán 5,6, 10, 20...) de nem változik a kimenet mennyisége a logokban. Érdekes.
Az OPVPN hálózatom: 10.8.0.1 Ubi szerver, 10.8.0.5 WinXP kliens

Hiába vettem fel egy sambaprivate usert, semmi haszna. Localhost-ról ő is megy, privatjanos is megy, de távolról egyik sem tud belepni.

Kikapcsoltam minden interface-t, semmi nincs a hálózattal kapcsolatban a confban, semmi. Menjen a samba mindenfelé, amerre lát. OpenVPN alatt szépen látszik az "up" könyvtár, még mindig megy a feltöltés.

"windows_user = unix_user" trükk sem jött be.

"smbpasswd -c /etc/samba/smbpasswd" semmit nem ragál, nem ír a fájlba, hozzá sem nyúl

A gogli csak olyan találatokat ad, amik más problémával küzködnek, esetenként nem látják a megosztásokat, vagy csak ip alaján, vagy akármi, de nem jelszavas problémák.....

A log most már mutatja, én voltam balfék. Syslog-ban kellett volna keresnem a többletinformációt.

Nos, tegnap kipróbáltam belső hálón belül és ott minden rendben. Ha a szerver IP címét adtam be, akkor a kiszemelt 193 MB-os fájl csak úgy repült. Ha a 10.8.0.1-en próbáltam, azonosítás ott is sikeres volt, és a fájl jóval lassabban, olyan 6-700 kb/sec jött át, innen gondolom, hogy az azonosítás is normálisan vpn-en keresztül zajlott le. (Másik kérdés, hogy ez egy elfogadható sebesség???) Ezt később le is ellenőriztem a logokban. A "log.10.8.0.5" mutatta rendesen.

Lehet, hogy nem a Samba a ludas, hanem az openvpn?? Ha igen, akkor mégis hogyan tudom tallózni a megosztásokat, és írni/olvasni a jelszó nélkül elérhető mappákat?