Grundsatzfragen zu Samba 4

Probleme mit Samba, NFS, FTP und Co.
Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Grundsatzfragen zu Samba 4

Beitrag von MSfree » 14.04.2019 00:19:36

TomL hat geschrieben: ↑ zum Beitrag ↑
13.04.2019 23:50:58
aber ohne ein Tool für eine zentrale Benutzerverwaltung halte ich das für unpraktikabel.
Naja, es kommt immer auf die Größenordnung an. Wenn ich 3-4 Rechner insgesammt habe, die von 4-6 Leuten benutz werden, dann ist eine zentrale Benutzerverwaltung vielleicht doch ein wenig mit Kanonen auf Spatzen geschossen.

Wenn ich das für die Mitarbeiter eines großen Konzerns mit mehreren 1000 Mitarbeitern organisieren muß, nehme ich eine zentrale Verwaltung.

Das ist so wie mit der /etc/hosts Datei. Ich kann das IP-Adressproblem zentral mit einem DHCP- und einem Nameserver lösen oder dezentral mit Einträgen auf jedem Rechner in der /etc/hosts. Selbst hier im Forum schwören immer noch viele auf die hosts-Methode, ich nutze seit 25 Jahren eine Kombination aus DHCP und DNS, weil es mir die Arbeit komplett abnimmt.
.... den Rest macht der Sambaserver
Nunja, je nachdem, wie man den einrichtet, führt der Sambaserver bei unbekannten Benutzern ein adduser aus und legt ihn so in der /etc/passwd /etc/group an. Das ist aber nicht das Defaultverhalten.

TomL

Re: Grundsatzfragen zu Samba 4

Beitrag von TomL » 14.04.2019 00:35:18

MSfree hat geschrieben: ↑ zum Beitrag ↑
14.04.2019 00:19:36
Nunja, je nachdem, wie man den einrichtet, führt der Sambaserver bei unbekannten Benutzern ein adduser aus und legt ihn so in der /etc/passwd /etc/group an.
Na sowas gibts hier nicht. Jeder Client hat mindestens 1 User, mache Clients haben mehrere User. Der Server kennt als einzige Maschine alle User, soll heißen, dort sind sie Linuxmäßig und mit Samba-pwd angelegt. Was die User dürfen steht zentral in der smb.conf.... und nur da.... auf den Client-PCs muss ich nix dafür an rechten einstellen.

Trollkirsche
Beiträge: 497
Registriert: 08.08.2015 15:03:09
Wohnort: Schweiz Zürich

Re: Grundsatzfragen zu Samba 4

Beitrag von Trollkirsche » 14.04.2019 00:51:54

MSfree hat geschrieben: ↑ zum Beitrag ↑
14.04.2019 00:10:29
Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
13.04.2019 23:48:32
Du sagst, auf dem Server würde keine User ID und Group ID benötigt. Gleichzeitig bestätigst du, dass der Benutzer eines Clients, der auf einen NFS Ordner zugreifen will, die gleiche gid oder uid haben muss, wie der Ordner.

Wie lässt sich das vereinbaren?
Der exportierte Ordner sollte natürlich Schreib und Leserechte für alle haben, also 777-Rechte haben. Legt ein Benutzer nun einen Ordner an, so kann er das dort tun, weil die oberste Ebene eben für jeden beschreibbar ist. Die vom Benutzer neu angelegte Ordner wird ganz einfach mit der User-ID, der Gruppen-ID und den Zugriffsrechten, die per umask definiert sind, auf dem Server angelegt. In dem Unterorner hat nun nur noch der Benutzer alle Rechte, der den Ordner angelegt hat. Der Server braucht dazu keinen Eintrag in seiner passwd/group.
Okay vielleicht fängt dort bei mir der ärger schon an. Ich exportiere zwar den Ordner per rw rechte und binde sie per /etc/fstab auch wieder per rw ein. Mein Ziel war es jedoch, nicht alle im obersten Verzeichnis schreiben zu lassen, sondern nur ausgewählte benutzer, sollen dateien editieren, löschen usw. haben.

Trollkirsche
Beiträge: 497
Registriert: 08.08.2015 15:03:09
Wohnort: Schweiz Zürich

Re: Grundsatzfragen zu Samba 4

Beitrag von Trollkirsche » 14.04.2019 10:29:44

Frage : Ist das exportierte Verzeichnis in jedem Falle für alle beschreibbar, wenn es in der fstab per rw gemountet wurde?
Gibt es keine Möglichkeit, den Zugriff auf den export für andere Nutzer desselben Clients zu verhindern?

Trollkirsche
Beiträge: 497
Registriert: 08.08.2015 15:03:09
Wohnort: Schweiz Zürich

Re: Grundsatzfragen zu Samba 4

Beitrag von Trollkirsche » 14.04.2019 11:33:40

Ok ich hab wohl verstanden, warum ich immer noch Zugriff auf den Server hatte, obwohl der exportierte Ordner eigentlich die Zugriffe hätte einschränken sollen.

Testweise habe ich auf dem Client den Benutzer aus einer Gruppe genommen, zu der er vorher hinzugefügt war. Da ich den PC nicht neu gestartet habe, hat sich der User wohl immer noch in der Gruppe hinzugefügt gesehen.

Man muss sich also zumindest an und abmelden, wenn man die Information, zu welcher Gruppe ein Benutzer hinzugefügt ist, aktualisieren will.

Weitere Frage : Bietet NFS nicht auch ein hohes Missbrauchspotential? Nehmen wir an, ich ändere die UID eines Benutzers auf dem Client zu einer UID eines vom Server freigegebenen Ordners.. damit hätte ich doch vollen Zugriff auf das Share?

Wenn das stimmt, dann muss man bei NFS immer davon ausgehen, dass alle Gastsysteme, die auf den Server zugreifen, vertrauenswürdig sind. Ist im lokalen Netz ein Nutzer mit schlechten Absichten unterwegs, dann kann er dadurch auch Zugriff auf Shares des Servers erlangen, zu denen er eigentlich keinen Zugriff erhalten sollte. Dies macht den Einsatz von NFS in grossen Unternehmensnetzwerken nur möglich, wenn die Authentfikation zentral gesteuert wird. (Mal abgesehen vom Verwaltungsaufwand )

Zudem habe ich gelesen, dass Daten per NFS unverschlüsselt übertragen werden. Ist das noch aktuell? Das wäre sehr schlecht, wie ich finde.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Grundsatzfragen zu Samba 4

Beitrag von MSfree » 14.04.2019 12:07:07

Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
14.04.2019 11:33:40
Bietet NFS nicht auch ein hohes Missbrauchspotential? Nehmen wir an, ich ändere die UID eines Benutzers auf dem Client zu einer UID eines vom Server freigegebenen Ordners.. damit hätte ich doch vollen Zugriff auf das Share?
Das ist schon richtig.
Wenn das stimmt, dann muss man bei NFS immer davon ausgehen, dass alle Gastsysteme, die auf den Server zugreifen, vertrauenswürdig sind.
Auch das ist richtig.

Auf der anderen Seite, was haben Gäste auf deinem NFS zu suchen? Dem Server kannst du in der /etc/exports ja eintragen, welchen Rechnern er vertrauen soll. Schau dir mal die Beispiele an, die man exports liefert.

Eine Freigabe nach dem Schema:

Code: Alles auswählen

/pub   *(rw)
Ist für jeden (Gast)rechner schreib- und lesbar. Damit hättest du dann das von dir genannte Vetrauensproblem.

Eine Freigabe nachj dem Schema:

Code: Alles auswählen

/pub    himbeere(ro,insecure)
Würde dem Rechner "himbeere" (das ist mein Raspberry) nur Leserechte einräumen und andere dürten überhaupt nicht zugreifen.
Zudem habe ich gelesen, dass Daten per NFS unverschlüsselt übertragen werden. Ist das noch aktuell?
Das gilt zumindest bis zur Version NFS3. Samba verschlüsselt ebenfalls nicht, ausser der Übertragung der Benutzernamen und Paßwörter.

NFS4 kann komplett verschlüsseln, ist aber entsprechend umfangreicher zu konfigurieren.

Trollkirsche
Beiträge: 497
Registriert: 08.08.2015 15:03:09
Wohnort: Schweiz Zürich

Re: Grundsatzfragen zu Samba 4

Beitrag von Trollkirsche » 14.04.2019 13:40:37

Jetzt hab ichs eeeeendlich gecheckt :P Was eine Nacht drüber schlafen alles bewirken kann...
MSfree hat geschrieben: ↑ zum Beitrag ↑
14.04.2019 12:07:07
Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
14.04.2019 11:33:40
Bietet NFS nicht auch ein hohes Missbrauchspotential? Nehmen wir an, ich ändere die UID eines Benutzers auf dem Client zu einer UID eines vom Server freigegebenen Ordners.. damit hätte ich doch vollen Zugriff auf das Share?
MSfree hat geschrieben:Das ist schon richtig.
Ok. Zum normalen Gebrauch muss man daher beachten, dass jeder Benutzer eine eindeutige UID auf seinem Client aufweist,damit sich die User nicht in die Quere kommen.
Wenn das stimmt, dann muss man bei NFS immer davon ausgehen, dass alle Gastsysteme, die auf den Server zugreifen, vertrauenswürdig sind.
MSfree hat geschrieben:Auch das ist richtig.

Auf der anderen Seite, was haben Gäste auf deinem NFS zu suchen? Dem Server kannst du in der /etc/exports ja eintragen, welchen Rechnern er vertrauen soll. Schau dir mal die Beispiele an, die man exports liefert.
Ja stimmt schon. Genau aus dem Grunde habe ich eigentlich schon vorher in der /etc/exports Datei nicht den Zugriff vom ganzen Netz gewährt, sondern explizit jeden Host berechtigt. Also soweit mal kein Problem.
MSfree hat geschrieben:Eine Freigabe nach dem Schema:

Code: Alles auswählen

/pub   *(rw)
Ist für jeden (Gast)rechner schreib- und lesbar. Damit hättest du dann das von dir genannte Vetrauensproblem.

Eine Freigabe nachj dem Schema:

Code: Alles auswählen

/pub    himbeere(ro,insecure)
Würde dem Rechner "himbeere" (das ist mein Raspberry) nur Leserechte einräumen und andere dürten überhaupt nicht zugreifen.
Zudem habe ich gelesen, dass Daten per NFS unverschlüsselt übertragen werden. Ist das noch aktuell?
Das gilt zumindest bis zur Version NFS3. Samba verschlüsselt ebenfalls nicht, ausser der Übertragung der Benutzernamen und Paßwörter.

NFS4 kann komplett verschlüsseln, ist aber entsprechend umfangreicher zu konfigurieren.
Zumindest besteht die Möglichkeit der Verschlüsselung, wobei wie du sagst, den eigenen Hosts im Netzwerk eh schon vertraut werden sollte. Meine Frage zielte eher auf Unternehmensnetzwerke ab, da wäre eine Verschlüsselung wohl unumgänglich.

Sobald ich etwas Zeit habe, werde ich dies aus Lernzwecken mal implementieren. Zurzeit steht bei mir jedoch erst noch die Migration des Clients von stretch nach buster an, damit ich nfsv4 nutzen kann. Stretch stable erlaubt noch nicht die Nutzung von nfsv4.

Eine weitere Frage die ich noch hätte : Kann man ACLs mit NFS bedenkenlos einsetzen?

Eine andere, weitere Frage bezieht sich auf die öffnung von Ports auf dem Server. Muss ich, wenn ich NFSv4 zu gegebener Zeit einsetze, den Port 2049 öffnen, damit die Geräte miteinander kommunizieren können?

Sobald ich etwas Zeit habe, werde ich dies aus Lernzwecken mal implementieren. Zurzeit steht bei mir jedoch erst noch die Migration des Clients von stretch nach buster an, damit ich nfsv4 nutzen kann. Stretch stable erlaubt noch nicht die Nutzung von nfsv4.

Einen Beitrag hierzu habe ich in einer anderen Sektion bereits eröffnet und du hast ebenfalls ja schon darauf geantwortet.

Vielen Dank nochmal für den äusserst wichtigen Hinweis, dass die Rechte jeweils auf dem Client abgeklärt werden und nicht auf dem Server. Das war für das Verständnis äusserst wichtig.

Ihr alle hier seid mir eine unschätzbar grosse Hilfe. Es ist das, was die Linux Community so einmalig macht und weswegen ich glücklich bin, Debian als System einzusetzen.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Grundsatzfragen zu Samba 4

Beitrag von MSfree » 14.04.2019 14:06:53

Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
14.04.2019 13:40:37
Meine Frage zielte eher auf Unternehmensnetzwerke ab, da wäre eine Verschlüsselung wohl unumgänglich.
Jein,

In Unternehmen müssen ja immer mehr oder weniger große Gruppen miteinander am gleichen Thema arbeiten. Innerhalb der Gruppe kann es keine Geheinisse geben, die müssen sich ja austauschen können. Hier ist Verschlüsselung also nicht nötig. Das Subnetz einer Gruppe kann man auch ohne interne Verschlüsselung von Rest des Unternehmens trennen, Stichwort Firewall.

Erst, wenn Daten, wie es heutzutage so modern ist, in der "Cloud" gespeichert werden, kommt man um Verschlüsselung nicht herum.
Stretch stable erlaubt noch nicht die Nutzung von nfsv4.
Doch. Sogar mein älterer Jessieserver kann schon NFS4.
Eine weitere Frage die ich noch hätte : Kann man ACLs mit NFS bedenkenlos einsetzen?
Da bin ich ein wenig überfragt. ACL bedingt zunächst einmal ein Dateisystem auf dem Server, das ACL unterstützt. Ausserdem holt man sich mit ACL Probleme ins Haus, die man mit einfacherer Benutzer- und Gruppenverwaltung gar nicht erst hätte.

Trollkirsche
Beiträge: 497
Registriert: 08.08.2015 15:03:09
Wohnort: Schweiz Zürich

Re: Grundsatzfragen zu Samba 4

Beitrag von Trollkirsche » 14.04.2019 14:25:17

MSfree hat geschrieben: ↑ zum Beitrag ↑
14.04.2019 14:06:53
Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
14.04.2019 13:40:37
Meine Frage zielte eher auf Unternehmensnetzwerke ab, da wäre eine Verschlüsselung wohl unumgänglich.
Jein,

In Unternehmen müssen ja immer mehr oder weniger große Gruppen miteinander am gleichen Thema arbeiten. Innerhalb der Gruppe kann es keine Geheinisse geben, die müssen sich ja austauschen können. Hier ist Verschlüsselung also nicht nötig. Das Subnetz einer Gruppe kann man auch ohne interne Verschlüsselung von Rest des Unternehmens trennen, Stichwort Firewall.

Erst, wenn Daten, wie es heutzutage so modern ist, in der "Cloud" gespeichert werden, kommt man um Verschlüsselung nicht herum.
Stretch stable erlaubt noch nicht die Nutzung von nfsv4.
Doch. Sogar mein älterer Jessieserver kann schon NFS4.
Eine weitere Frage die ich noch hätte : Kann man ACLs mit NFS bedenkenlos einsetzen?
Da bin ich ein wenig überfragt. ACL bedingt zunächst einmal ein Dateisystem auf dem Server, das ACL unterstützt. Ausserdem holt man sich mit ACL Probleme ins Haus, die man mit einfacherer Benutzer- und Gruppenverwaltung gar nicht erst hätte.
Hmm dann muss ich das mit NFSv4 wohl nochmal testen.

Bezüglich ACL.. Der Server läuft unter Buster testing.

Die Idee der Nutzung hinter ACL ist die Steuerung über mehrere Gruppen. Welche Probleme im Bezug auf ACL meinst du konkret?

Trollkirsche
Beiträge: 497
Registriert: 08.08.2015 15:03:09
Wohnort: Schweiz Zürich

Re: Grundsatzfragen zu Samba 4

Beitrag von Trollkirsche » 14.04.2019 14:51:10

Irgendetwas klappt noch nicht.

Ich habe auf dem Server ein Pseudodateisystem erstellt und die exportfs Einträge dementsprechend angepasst.
Vorher jedoch noch den nfs Server gestoppt per systemctl und die Einträge in den Kernel neu eingelesen per exportfs -ra

Dann habe ich die Einträge der fstab im Client angepasst, wie unter dem Artikel hier beschrieben:
<nfs-server>:/ /mnt/nfsv4-test nfs nfsvers=4,rw 0 0

Das manuelle mounten hat funktioniert.

Wenn ich jedoch den PC neu starte, sehe ich in der GUI zwar die einträge für die shares, aber sie sind leer..

Weiss einer, was ich falsch gemacht habe?

edit : Das manuelle mounten zeigt mir ebenfalls nur leere Ordner auf dem Client an..

Trollkirsche
Beiträge: 497
Registriert: 08.08.2015 15:03:09
Wohnort: Schweiz Zürich

Re: Grundsatzfragen zu Samba 4

Beitrag von Trollkirsche » 14.04.2019 16:11:00

Zu meinem Post oben, ich hab die Lösung gefunden.

Bei nfsv4 muss per mount das lokale Share Verzeichnis mit dem Pseudofilesystem gebindet werden.
Das habe ich getan und nun funktioniert alles per nfsv4. Ich kann nun auf die Verzeichnisse per Client wieder zugreifen.

Bis dann!

Antworten