Wie mit smbpasswd User anlegen ohne sie mit adduser einzurichten
Wie mit smbpasswd User anlegen ohne sie mit adduser einzurichten
Hallo
ich habe einen Debian 9 Home-Server aufgesetzt und möchte 2 Clienten vollen SMB Zugriff gewähren mittels User + PW Login.
Ich habe mir das so vorgestellt:
Server (Admin) = User Otto
Linux Client 1 = User Paul, PW = 1234
Linux Client 2 = User Sabine, PW = 5678
Wie kann ich Paul und Sabine mittels smbpasswd eintragen OHNE sie mittels adduser als Linux-Benutzer anzulegen.
Sie erhalten keinen physischen Zugriff auf den Server und somit wird kein Desktop Login, Home Verzeichnisse usw. benötigt.
Beide sollen per SMB Zugriff auf / erhalten.
Gibt es Alternativen mit GUI zu smbpasswd?
ich habe einen Debian 9 Home-Server aufgesetzt und möchte 2 Clienten vollen SMB Zugriff gewähren mittels User + PW Login.
Ich habe mir das so vorgestellt:
Server (Admin) = User Otto
Linux Client 1 = User Paul, PW = 1234
Linux Client 2 = User Sabine, PW = 5678
Wie kann ich Paul und Sabine mittels smbpasswd eintragen OHNE sie mittels adduser als Linux-Benutzer anzulegen.
Sie erhalten keinen physischen Zugriff auf den Server und somit wird kein Desktop Login, Home Verzeichnisse usw. benötigt.
Beide sollen per SMB Zugriff auf / erhalten.
Gibt es Alternativen mit GUI zu smbpasswd?
Re: Wie mit smbpasswd User anlegen ohne sie mit adduser einzurichten
An der Stelle fallen mir 2 wichtige Fragen ein:kale hat geschrieben:07.03.2019 18:34:47ich habe einen Debian 9 Home-Server aufgesetzt und möchte 2 Clienten vollen SMB Zugriff gewähren mittels User + PW Login.
- Zu welchem Zeitpunkt findet der Mount auf dem Client-PC statt? (fstab oder nach der Anmeldung durch den User)
- Ist sichergestellt, dass die Client-Hardware immer nur von diesen 2 Benutzern bedient wird und jeder konstant nur seinen eigenen PC verwendet?
Re: Wie mit smbpasswd User anlegen ohne sie mit adduser einzurichten
Der Mount findet nach der Anmeldung der Client User statt, entweder über Client PC oder Client Smartphones (ES-Dateiexplorer).
Ja, das ist sichergestellt, nur die 2 Clienten im lokalen Netzwerk.
Was ist mit Linuxrechten gemeint, SSH?
Wir finden SMB am komfortabelsten für den Server Zugriff. Dateiaustausch kann bequem über Thunar erfolgen.
Ja, das ist sichergestellt, nur die 2 Clienten im lokalen Netzwerk.
Was ist mit Linuxrechten gemeint, SSH?
Wir finden SMB am komfortabelsten für den Server Zugriff. Dateiaustausch kann bequem über Thunar erfolgen.
Re: Wie mit smbpasswd User anlegen ohne sie mit adduser einzurichten
Vor dem jetzt bekannten Hintergrund kann man das wohl vernachlässigen.
Tja, das ist mit Samba etwas anders als z.B. mit Dovecot. So kann man mit/für Dovecot virtuelle User anlegen, die nicht auch im Linux existieren müssen. Aber ohne Linux-User gibts meines Wissens nach keinen Samba-User. Möglicherweise gibts aber eine Lösung...die man einfach mal versuchen muss:
Code: Alles auswählen
adduser paul --no-create-home --gecos "" --disabled-password
adduser sabine --no-create-home --gecos "" --disabled-password
Code: Alles auswählen
smbpasswd -a paul
smbpasswd -a sabine
Re: Wie mit smbpasswd User anlegen ohne sie mit adduser einzurichten
Richtig. User-IDs (eine Benutzernummer, die einem Benutzernamen zugeordnet ist) sind zwingend nötig für die Verwaltung von Dateien im Linuxdateisystem.TomL hat geschrieben:07.03.2019 23:33:31Aber ohne Linux-User gibts meines Wissens nach keinen Samba-User.
Man kann natürlich auch einen Gast anlegen und Samba alles ins Gastkonto mappen lassen.
Alternativ kann man Benutzern auch /bin/false als Login-Shell geben, dann können sie sich auch nicht einloggen.Möglicherweise gibts aber eine Lösung...die man einfach mal versuchen muss:...
Re: Wie mit smbpasswd User anlegen ohne sie mit adduser einzurichten
Das hat funktioniert
1.
adduser paul --no-create-home --gecos "" --disabled-password
adduser sabine --no-create-home --gecos "" --disabled-password
2.
sudo useradd -s /bin/false sabine
3.
sudo smbpasswd -a sabine
Login über client-pc funktioniert, ohne das die User als Linux Benutzer angelegt wurden.
Jetzt habe ich noch das Problem wie ich alle 3 User unter Valid Users eintrage in der smb.conf
Bis jetzt gelingt der client login nur wenn ein user bei valid users eingetragen ist: z.B. valid users = Otto
[global]
workgroup = smb
security = user
map to guest = never
[homes]
comment = Home Directories
browsable = no
read only = no
create mode = 0750
[restricted]
valid users = Otto,Paul,Sabine (So würde ich es gerne eintragen)
#Wir beschränken den Zugriff auf den User ''smbuser''
#valid users = @smbusers
#Alternativ kann auch auf eine Benutzergruppe eingeschränkt werden
path = /
public = no
writable = yes
comment = smb restricted share
printable = no
guest ok = no
create mask = 0600
directory mask = 0700
Wie kann ich alle 3 eintragen?
[restricted]
valid users = Otto
valid users = Paul
valid users = Sabine
geht auch nicht.
Danke für alle Antworten bisher
1.
adduser paul --no-create-home --gecos "" --disabled-password
adduser sabine --no-create-home --gecos "" --disabled-password
2.
sudo useradd -s /bin/false sabine
3.
sudo smbpasswd -a sabine
Login über client-pc funktioniert, ohne das die User als Linux Benutzer angelegt wurden.
Jetzt habe ich noch das Problem wie ich alle 3 User unter Valid Users eintrage in der smb.conf
Bis jetzt gelingt der client login nur wenn ein user bei valid users eingetragen ist: z.B. valid users = Otto
[global]
workgroup = smb
security = user
map to guest = never
[homes]
comment = Home Directories
browsable = no
read only = no
create mode = 0750
[restricted]
valid users = Otto,Paul,Sabine (So würde ich es gerne eintragen)
#Wir beschränken den Zugriff auf den User ''smbuser''
#valid users = @smbusers
#Alternativ kann auch auf eine Benutzergruppe eingeschränkt werden
path = /
public = no
writable = yes
comment = smb restricted share
printable = no
guest ok = no
create mask = 0600
directory mask = 0700
Wie kann ich alle 3 eintragen?
[restricted]
valid users = Otto
valid users = Paul
valid users = Sabine
geht auch nicht.
Danke für alle Antworten bisher
Re: Wie mit smbpasswd User anlegen ohne sie mit adduser einzurichten
Mit dem obogen adduser wurde "sabine" als Linux Benutzer angelegt. Es stimmt also nicht, wenn du sagst "ohne das die User als..."kale hat geschrieben:08.03.2019 11:26:48Das hat funktioniert
1.
...
adduser sabine --no-create-home --gecos "" --disabled-password
2.
sudo useradd -s /bin/false sabine
3.
sudo smbpasswd -a sabine
Login über client-pc funktioniert, ohne das die User als Linux Benutzer angelegt wurden.
Wozu soll das gut sein? Zugriff haben sowieso nur die Benutzer, die ein gültiges Paßwort haben.Jetzt habe ich noch das Problem wie ich alle 3 User unter Valid Users eintrage in der smb.conf
Meiner Meinung nach ist der Eintrag valid users in deinem Fall unnötig. Wenn du das doch unbedingt willst, muß es so aussehen:
Code: Alles auswählen
valid users = otto paul sabine
Re: Wie mit smbpasswd User anlegen ohne sie mit adduser einzurichten
Ja Du hast recht, ich habe ich mich zu früh gefreut. Nach dem ausloggen habe ich es bemerkt.
Da bleibt wohl nur die Möglichkeit alle als Linux Benutzer anzulegen, oder allen meinen Admin Login zu geben.
Da die clienten eh Zugriff auf / haben dürfte das nicht ins Gewicht fallen.
Das mit dem Valid Users habe ich aus einer Anleitung übernommen, ich bin noch nicht so fit mit Linux.
Hatte den Server erst mit Luks aufgesetzt, es aber nicht geschafft mich remote an der Luks Eingabeaufforderung anzumelden, auch nicht mit Mandos. Nun läuft er unverschlüsselt. Möchte ihn deswegen so gut es geht nach außen hin absichern.
Dachte das mit restricted und Valid Users ist ein guter Anfang, damit kein Unbefugter SMB Zugang erhält.
Danke soweit
Da bleibt wohl nur die Möglichkeit alle als Linux Benutzer anzulegen, oder allen meinen Admin Login zu geben.
Da die clienten eh Zugriff auf / haben dürfte das nicht ins Gewicht fallen.
Das mit dem Valid Users habe ich aus einer Anleitung übernommen, ich bin noch nicht so fit mit Linux.
Hatte den Server erst mit Luks aufgesetzt, es aber nicht geschafft mich remote an der Luks Eingabeaufforderung anzumelden, auch nicht mit Mandos. Nun läuft er unverschlüsselt. Möchte ihn deswegen so gut es geht nach außen hin absichern.
Dachte das mit restricted und Valid Users ist ein guter Anfang, damit kein Unbefugter SMB Zugang erhält.
Danke soweit
Re: Wie mit smbpasswd User anlegen ohne sie mit adduser einzurichten
Diesen Rückschluss verstehe ich nicht. Der auf bestimmte Verzeichnisse erteilte Samba-Zugriff hat doch nichts mit einem Admin-Login zu tun. Du hattest gesagt, der Mount erfolgt nach dem Linux-Login des Users im grafischen Desktop-Environment. Diese Anmeldung wird genutzt, damit die Samba-Shares mit dem Usernamen und SMB-Pwd dieses Users gemountet wird. Was muss man denn da jetzt noch machen? Der User kann doch nur das mounten, wozu er samba-seits berechtigt ist. Das er als 'halber' Linux-User auf dem Samba-Server angelegt ist, hat ja gar nix zu sagen... das ist doch nur ein Umstand, den Samba verlangt.kale hat geschrieben:08.03.2019 13:12:10Da bleibt wohl nur die Möglichkeit alle als Linux Benutzer anzulegen, oder allen meinen Admin Login zu geben.
Da die clienten eh Zugriff auf / haben dürfte das nicht ins Gewicht fallen.
Re: Wie mit smbpasswd User anlegen ohne sie mit adduser einzurichten
Das ist so gemeint:
Die Clienten haben über Samba Lese- und Schreibzugriff auf /, also auf alles.
Da die Clienten sich nur mit eigener User und PW Kombination anmelden können über smb://xxx wenn sie gleichzeitig als Linux Benutzer im Server angelegt sind, denke ich macht es keinen Unterschied wenn sie sich als Admin anmelden können. Sie haben so oder so Schreibzugriff auf /.
Mit dem Unterschied das ich sie nicht als Linux Benutzer anlegen muss, wenn sie sich als Admin anmelden.
Da sich die Clienten nie physisch am Server anmelden mit Login wollte ich vermeiden sie als User mit Home Verzeichnissen usw. anzulegen.
Vielleicht ist aber eine saubere Trennung durch Linux-Benutzer Konten Anlegung doch das beste.
Eigentlich geht es nur um gemeinsamen Zugriff auf /mnt bzw /media.
Die Clienten haben über Samba Lese- und Schreibzugriff auf /, also auf alles.
Da die Clienten sich nur mit eigener User und PW Kombination anmelden können über smb://xxx wenn sie gleichzeitig als Linux Benutzer im Server angelegt sind, denke ich macht es keinen Unterschied wenn sie sich als Admin anmelden können. Sie haben so oder so Schreibzugriff auf /.
Mit dem Unterschied das ich sie nicht als Linux Benutzer anlegen muss, wenn sie sich als Admin anmelden.
Da sich die Clienten nie physisch am Server anmelden mit Login wollte ich vermeiden sie als User mit Home Verzeichnissen usw. anzulegen.
Vielleicht ist aber eine saubere Trennung durch Linux-Benutzer Konten Anlegung doch das beste.
Eigentlich geht es nur um gemeinsamen Zugriff auf /mnt bzw /media.
Re: Wie mit smbpasswd User anlegen ohne sie mit adduser einzurichten
Nein, die Clients habe längst nicht Zugriff auf alles. Sie dürfen z.B. definitiv nicht auf /etc schreiben, denn dazu müßten sie die Samba-Freigabe mit dem Benutzernamen "root" mounten. Samba macht ja nicht aus einer Freigabe ein Du-darfst-Alles, denn das wäre ein riesiges Sicherheitsloch, das man den Entwicklern schon längst um die Ohren gehauen hätte.kale hat geschrieben:08.03.2019 17:27:51Die Clienten haben über Samba Lese- und Schreibzugriff auf /, also auf alles.
Re: Wie mit smbpasswd User anlegen ohne sie mit adduser einzurichten
Wenn das möglich wäre, wäre das tatsächlich ein sicherheitstechnischer Super-GAU. GSD lässt Samba das nicht so einfach zu. Und ich entschuldige mich im Voraus für mein nächstes Statement... aber wenn bei Dir ganz allgemein dieser Kenntnisstand und ein solches Interesse bei den Benutzern vorliegt, musst Du Dir über Passworte und Zugangsberechtigungen eigentlich keine Gedanken machen. Du wirst damit nie eine Gewährleistung dafür haben, wer ausser den beabsichtigten Personen außerdem noch die Kontrolle über diesen Computer hat.kale hat geschrieben:08.03.2019 17:27:51Die Clienten haben über Samba Lese- und Schreibzugriff auf /, also auf alles.
Grundsätzlich hat msfree recht... aber nur solange, wie nicht irgendeiner der User auch einen 'unlimited' sudo-Account hat, der gelegentlich z.B. via SSH oder auch direkt am System verwendet wird. In diesem Fall wird Zugriffs-Sicherheit zu reinem Wunschdenken. Das kann gutgehen, aber es gibt keine Gewährleistung dafür, dass der Rechner niemals kompromittiert wird. Ich würde das also unterscheiden... samba-user sind grundsätzlich unberechtigte User. Gibt es User, die Admin-Tätigkeiten durchführen sollen, melden die sich dafür via SSH an ihrem Linux-Account an und haben entweder eine restriktive Polkit-Berechtigungsstufe oder, falls sie sachkundig sind, Kenntnis vom Root-Password. Handelt es sich hier nur um einen unwichtigen privaten Rechner, kann man das mit oder ohne Sicherheitsaspekte frei und nach eigenem gutdünken handhaben. Die Höhe der Messlatte für Sicherheit -was also letztlich richtig und notwendig ist- definiert sich durch die Wichtigkeit des Datenbestand des Rechners selber.
Das ist ein Widerspruch an sich. Es gibt keine Admin-Anmeldung durch User, die nicht auch Linux-User sind. Das heisst, es können sich nur im Linux angemeldete User Adminrechte aneignen... sofern ihnen das erlaubt ist. Das hat aber gar nix mit Samba zu tun und braucht auch kein Samba und verwendet auch kein Samba.Mit dem Unterschied das ich sie nicht als Linux Benutzer anlegen muss, wenn sie sich als Admin anmelden.
Da sich die Clienten nie physisch am Server anmelden mit Login wollte ich vermeiden sie als User mit Home Verzeichnissen usw. anzulegen.
Re: Wie mit smbpasswd User anlegen ohne sie mit adduser einzurichten
Vielen Dank für die ausführliche Erläuterung.
Mir ist bewusst das ich noch viel lernen muss.
Habe bisher nur Linuxmint Desktop Erfahrung und war mit SSH noch nicht befasst.
Jetzt mit dem Server aufsetzen merkt man erst einmal was für eine Handarbeit (Terminal) nötig ist
Viele Grüsse und ein schönes Wochenende
Mir ist bewusst das ich noch viel lernen muss.
Habe bisher nur Linuxmint Desktop Erfahrung und war mit SSH noch nicht befasst.
Jetzt mit dem Server aufsetzen merkt man erst einmal was für eine Handarbeit (Terminal) nötig ist
Viele Grüsse und ein schönes Wochenende