Samba mit user security, fehlendes PAM

  • Hallo liebe Helfende,


    Typ : DM920
    DHCP: aus
    IP: 192.168.0.12
    SubnetMask : 255.255.255.0
    Nameserver : 192.168.0.1
    Gateway : 192.168.0.1


    PC
    Betriebssystem : W10 Pro
    Firewall : aktiv


    LAN1


    IP : 192.168.0.30
    rest wie oben


    Fehlerbeschreibung: Ich versuche seit langem die dm920 so zu konfigurieren, sodass sich die entsprechenden User von Win authorisieren.
    Bei meinem Debian-Server zu W10 klappt es wunderbar.


    Auf der dm920 liegt nun wieder die Standard-Konfig der smb.conf. Damit funktioniert auch alles, aber als guest.


    folgende Pakte sind installiert:


    Wenn ich die smb.conf des Debian-Servers benutze (nur die freigaben abgeändert)



    sehen die Fehlermeldungen u.a. so aus:


    noch die samba user:

    Code
    root@dm920:~# pdbedit -L
    nobody:65534:nobody
    guest:4294967295:Linux User
    user1:1001:Linux User
    user2:1000:Linux User
    root@dm920:~#


    Wenn ihr noch mehr Infos benötigt, kann ich gern beisteuern.


    BTW: unter den Linuxen läuft alles mit NFS, ich möchte nur von W10 aus mittels CIFS auf die Linuxkisten zugreifen.


    Ich danke schon jetzte für eure Ratschläge!


    Gruß
    Jean-Luk

  • Was sollen die Fehlermeldungen (rpc.mountd ...) mit CIFS zu tun haben? Diese Meldungen kommen doch, wenn ein NFS Client sich nicht exportierte Freigaben mounten will.


    Du sagst aber, dass Du von Win10 per CIFS mounten möchtest. Das passt doch nicht zusammen. Die Logs von Samba findest Du in /var/log/samba.

  • die logs kommen halt exakt dann, wenn ich in W10 den Datei-Explorer aufmache
    Die scheinen offenbar damit in Zusammenhang zu stehen


    Ich fummel seit Stunden erneut.
    Testhalber habe ich auf beiden Linuxkisten testuser angelegt und eine Freigabe eingerichtet, da ich auf dem Debian-Server das untersuchen kann.


    Die smb.conf sieht nun so aus, ich habe verschiedene Parameter aus irgendwelchen Lösungsvorschlägen reingetan, in der Hoffnung, dass irgendetwas davon hilft:


    wenn ich folgenden mount auf dem Server starte

    Code
    root@srv:~# ls -la /home/testuser/testdir/
    insgesamt 8
    drwx------ 2 testuser users 4096 Jul  4 12:26 .
    drwxr-xr-x 3 testuser users 4096 Jul  4 12:26 ..
    root@srv:~# mount.cifs -v //dm920/test /home/testuser/testdir -o user=testuser,pass=test,vers=2.0
    mount.cifs kernel mount options: ip=192.168.0.12,unc=\\dm920\test,vers=2.0,user=testuser,pass=********
    mount error(13): Permission denied
    Refer to the mount.cifs(8) manual page (e.g. man mount.cifs)
    root@srv:~#


    Die Rechte auf der dm920

    Code
    root@dm920:~# ls -la /home/testuser/testdir/
    drwx------    2 testuser users         4096 Jul  4 12:28 .
    drwxr-sr-x    3 testuser users         4096 Jul  4 12:28 ..
    root@dm920:~#


    log auf dem Server

    Code
    journalctl -fm
    Jul 04 14:55:27 srv kernel: CIFS VFS: cifs_mount failed w/return code = -13


    log auf der dm920


    nachdem ich SMB1 unter W10 reaktiert habe, listet der Dateiexplorer nun selbstständig der erreichbaren Computer im Netzwerk auf, das war vorher nicht so


    der log nachdem ich den W10 Dateiexplorer aufmache ist im Anhang: nachdem ich eine Freigabe öffnen will, öffnet sich der Anmeldedialog. egal,was ich da eingebe, nichts funktioniert

  • Ich bin mit nicht 100% sicher - aber ich glaub, das geht nicht, weil PAM Support fehlt:


    https://dreambox.de/board/inde…ug-oe2-5-bei-guest-ok-no/


    Musst evlt. selber kompilieren.


    Such mal bei Google nach "load_auth_module can't find auth method sam" - alles Dreambox Treffer. :face_with_rolling_eyes:


    Aber wozu braucht's das im Heimnetz? Alternativ gibt's z.B. "hosts allow = 10. except 10.0.0.12"

  • Danke, das werd dann mal später recherchieren, ich melde mich wieder..


    Zitat

    Original von Bundy00Aber wozu braucht's das im Heimnetz? Alternativ gibt's z.B. "hosts allow = 10. except 10.0.0.12"


    Das tolle an Rechner ist, dass mehrere den nutzen können und dürfen. Eine Beschränkung auf die IP ist keine Benutzersteuerung :winking_face:

  • Zitat

    Original von Jean-Luk


    Das tolle an Rechner ist, dass mehrere den nutzen können und dürfen. Eine Beschränkung auf die IP ist keine Benutzersteuerung :winking_face:


    Ja, geb ich Dir recht.
    Aber eine Dreambox ist nun mal kein komplett(!) vollwertiger Linux Server. Dann mal vielleicht über ein externes NAS nachdenken. Jedem das seine...

  • ja, die dream ist kein vollwertiger server. Jedoch bin ich der Meinung, dass gerade diese Box einen vernünftigen smbd verdient hat, auch weil es nicht nur Linux Anwender gibt.
    Und PAM scheint ja erst ab oe2.5 rausgeflogen zu sein, was man so liest.


    ich habe mich noch bisschen belesen. Wollte es mit einem selbst kompilierten Samba versuchen. Scheiterte aber gleich am nicht vorhandenen Compiler. Spätestens hier enden dann auch meine Linux Kenntnisse.
    Ich schau noch ein wenig, evtl. finde ich jemanden, der mir das compiliert.


    Thema NAS: hatte ich, ist mir zu verdongelt und noch schlimmer verkrüppeltes Linux als auf der Dream.
    Weswegen ich mir den c't-Server aus 2016 zusammengeschraubt habe, der seitdem läuft wien Bienchen und u.a. als Datengrab für Win & Aufnahmen der Dream herhält. Alles was kurz- bis mittelfristig weggeschaut wird, landet aber auf der internen SSD..


    Falls jemanden noch etwas dazu einfällt, ob und wie man PAM nachrüsten kann, wäre klasse!
    Gruß
    Jean-Luk

  • Zitat

    Original von Jean-Luk


    Thema NAS: hatte ich, ist mir zu verdongelt und noch schlimmer verkrüppeltes Linux als auf der Dream.


    Jean-Luk


    Also das kann ich nun gar nicht nachvollziehen! Was soll da "verdongelt" sein? Ich hab ein Selbstbau NAS mit Openmediavault. Das läuft auf aktuellem Debian 10. Das ist mal gar nix verkrüppel oder "verdongelt". Was meinst Du damit bitte?


    Ich kann damit alles per NFS oder als CIFS auch mit Benutzerauthentifizierung mounten wie ich es für nötig erachte.


    Auch ein "fertig"-NAS (QNap, Synology, NetGear, etc. ) kann das. Die sind ja genau dafür gemacht, wenn man keine tieferen Linux Kenntnisse hat oder sich damit nicht auseinandersetzen möchte.


    Will Dich ja nicht zu einem externen NAS überreden - aber schöner ist schon. :winking_face:
    Meine unmaßgebliche Meinung...

  • ich hatte den Synology DS109j, der war nicht toll.. das Linux im Gegensatz zu einem Debian total verkrüppelt, alles war woanders und hieß anders, ganz schlimm. Ein WebIf ist mir hier nicht genug.


    Weswegen ich mir - wie du - selbst einen zusammengeschraubt habe.
    Synology ~30-35 Watt
    mein Server: 9 W im Ruhezustand, max 15 wenn er werkelt.. mit Fujitsu DS3400-b, passivkühlung
    gemessen mit Fritz!DECT200

  • Ein 10 altes NAS mit einem aktuellen Rechner/Server zu vergleichen :face_with_rolling_eyes:


    Meine Synology DS918 braucht 6W im Standby ist pfeilschnell und da werkelt ein ganz
    normales Linux als Unterbau.

  • naja, hast schon recht, Äppel und Birnen sinds aber nicht, eher alter Boskop, neuer Granny Smith.
    Ein NAS kam in 2016 nicht in Frage, zu teuer und die Kistenmaße warn ungeeignet fürn Phono-Schrank. Hab kein separate Ecke in meiner Beton-Bude, wo man son NAS hinstellen könnte.
    Hab alles in ein schickes schwarzes Desktopgehäuse geschraubt, das die gleichen Abmaße hat wie mein Receiver. alles zusammen für 486 €, incl 256 GB SSD & WD Red 4T (wie gesagt c't-Server-Bausatz aus 2016).
    Wie so vieles ist das alles Philosophie und geschmacks- und anwendungsbezogen..


    um auf das Thema des Threads zurückzukommen: hast du eine Idee, wie in PAM in die dm920 reinbekomme?