Clients können sich an jeder Workstation anmelden

Dieses Thema im Forum "Samba" wurde erstellt von toki84, 10.06.2008.

  1. toki84

    toki84 Grünschnabel

    Dabei seit:
    10.06.2008
    Beiträge:
    2
    Zustimmungen:
    0
    Hallo Zusammen,
    wir verwenden seit mehreren Jahren einen Samba Server als Domaincontroller welcher auch wunderbar funktioniert. Leider ist mir letztens ein riesen Fehler oder auch Sicherheitsfehler aufgefallen. Und zwar kann man sich mit seinem Domänenbenutzer an jeder Workstation anmelden, ohne das ich als Admin diesen Benutzer auf diesem Rechner erstellt habe, d.h. bei der Anmeldung wird automatisch ein neues Konto mit standard benuzterrechten erstellt und der User hat dann so erstmal Zugriff aufs System und am schlimmsten aufs Dateisystem.

    Gibt es eine Möglichkeit das nur vorher von mir angelegte Benuzter oder nur Benutzer welche schon auf dem Rechner existieren sich an dem Rechner anmelden dürfen, vielleicht durch Gruppenrichtlinien oder sowas. Ich hab da eher weniger Wissen, aber vielleicht wisst ihr ja bescheid, wie man das lösen kann...

    Vielen Dank im voraus.
    toki84
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. NoXqs

    NoXqs Routinier

    Dabei seit:
    07.05.2007
    Beiträge:
    420
    Zustimmungen:
    0
    Ort:
    Bremen
    smb.conf bitte, besonders die "add user script"-zeile, weil

    Code:
    add user script = Befehl
    Zulässige Werte:  Befehl
    [global]
    Default:  NULL
    Gibt einen Befehl an, der einen neuen Benutzer auf dem System anlegt,
    das den Samba-Server beherbergt. Dieser Befehl läuft als root, wenn der 
    Zugriff auf eine Samba-Freigabe von einem Windows-Benutzer versucht
    wird, der auf dem Samba-Rechner keinen Zugang besitzt, jedoch auf 
    einem anderen System einen Zugang hat, der von einem primären 
    Domänen-Controller verwaltet wird. 
    Der Befehl muss den Namen des Benutzers als einzelnes Argument akzeptieren, 
    das dem Verhalten der typischen adduser-Befehle entspricht. 
    Samba erkennt den Wert %u (Benutzername) als Argument für den Befehl an. 
    Erfordert security = server oder security = domain. Siehe auch delete user script.
    
     
  4. #3 uzumakinaruto, 11.06.2008
    uzumakinaruto

    uzumakinaruto Tripel-As

    Dabei seit:
    23.05.2008
    Beiträge:
    246
    Zustimmungen:
    0
    Ort:
    Gifhorn
    hmm ist es den nicht der sinn von domänenbenutzern die ein servergespeichertes profil haben, das sie sich an jeder workstation anmelden können OHNE auf dem client extra den benutzer anzulegen???
     
  5. #4 toki84, 16.06.2008
    Zuletzt bearbeitet: 16.06.2008
    toki84

    toki84 Grünschnabel

    Dabei seit:
    10.06.2008
    Beiträge:
    2
    Zustimmungen:
    0
    hallo zusammen,
    vielen Dank für eure hilfe. leider verstehe ich den auszug nicht wirklich, ich habe mal in meinem samba buch geschaut, und siehe da, der gleich satz (1zu1) wie von dir :-)

    kann ich mit add user script beeinflussen wie sich user am windows xp rechner anmelden dürfen? ich habe diesen parameter nicht in meiner smb.conf definiert, nur add mashine script, welches aber für was anderes verantwortlich sein dürfte.

    wie definiere ich add user script befehl so dass sich niemand mehr an windows systemen anmelden kann wo er nicht expliziet als user (bsp, administrator oder hauptbenutzer oder benutzer) eingetragen (registriert) ist?

    vielen dank.
    mfg
    toki84
    .
    .
    .
    EDIT (autom. Beitragszusammenführung) :
    .

    ach so,
    wir haben gezielt auf servergespeicherte profile verzichtet da "jeder sich nur an einem also seinem rechner" anmelden/arbeiten soll.
    .
    .
    .
    EDIT (autom. Beitragszusammenführung) :
    .

    aber sollen die ganzen clients sich auch beim chef anmelden können (selbst mit servergespeicherten profilen, was ist das den für ein sicherheits leck???!!!)

    add user script scheint mir aber etwas am server zu machen und nicht an den clients (wenn ich den auszug richtig verstehe)
     
  6. NoXqs

    NoXqs Routinier

    Dabei seit:
    07.05.2007
    Beiträge:
    420
    Zustimmungen:
    0
    Ort:
    Bremen
    Vielleicht solltest du dir (wie uzumakinaruto schon sagte) mal das Konzept einer Domäne anschauen.
    Das ist doch gerade der Sinn einer Domäne, dass User sich an mehreren (allen) Systemen mit dem selben Passwort anmelden können.
    Der user hat somit nix mit der Hardware (dem Pc) gemeinsam, weder sind sie miteinander verknüpft.
    Das Domänenlogin läuft doch folgendermaßen ab.
    MA gibt am PC seine logindaten ein (Login und passwort).
    PC hat selbst keine Login-DB (/etc/passwd o.ä), also fragt der seinen Pri-DC, der authentifiziert anhand seiner Informationen und schickt das Ergebnis dem PC.
    Ich kenne mich mit DC und Domänen zu wenig aus, aber vielleicht gibt es ja eine Option, die entsprechende Einschränkungen in Bezug auf "welcher User darf an welche Hardware", aber ich bezweifele das, denn das würde dem Sinn eines Domänenlogins widersprechen.

    Und nochmal zur Verdeutlichung:
    Chef-Pc ist nicht gleich Chef-Login.
    Wenn jetzt der Chef seine wichtigen und geheimen Daten auf der lokalen Festplatte speichert und diese durch die Windows-Mechanismen nicht ausreichend gesichert werden können, ist das nicht dem Samba-Server anzulasten, denn dieser berechtigt nur den Chef auf die Chef-Freigabe zu zugreiffen (korrekte config verausgesetzt).

    Habe ich jetzt etwas falsch verstanden?
     
  7. #6 uzumakinaruto, 16.06.2008
    Zuletzt bearbeitet: 16.06.2008
    uzumakinaruto

    uzumakinaruto Tripel-As

    Dabei seit:
    23.05.2008
    Beiträge:
    246
    Zustimmungen:
    0
    Ort:
    Gifhorn
    ich weiß das man unter windows das festlegen kann .. das sich ein benutzer nur an bestimmten pcs anmelden kann .. ob das auch samba kann .. kp.

    jedenfalls ist dein netzwerk so aufgebaut das sich jede PERSON, die über logindaten auf dem samba-server verfügen, sich an den clients anmelden können .. egal welcher pc das ist.

    entweder müssen die "wichtigen/geheimen" daten alle auf ein netzlaufwerk gespeichert werden die personengebunden sind (home lw), dann kann sicherheitstechnisch erstmal nichts passieren.

    @noxqs
    hast es richtig verstanden
    .
    .
    .
    EDIT (autom. Beitragszusammenführung) :
    .

    Windows Server 2003 - Domain Login auf ein PC beschränken
    http://www.administrator.info/index...07c123e60bc611f405582&query=benutzeranmeldung
     
  8. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
Thema:

Clients können sich an jeder Workstation anmelden

Die Seite wird geladen...

Clients können sich an jeder Workstation anmelden - Ähnliche Themen

  1. Windows clients können nicht mehr auf lange laufendes System zugreifen

    Windows clients können nicht mehr auf lange laufendes System zugreifen: Dies ist mehr oder weniger eine Panik-Mail. Ein wenig ausführlicher, da ich nicht sicher bin, wo es schief gelaufen ist. Ich arbeite derzeit in...
  2. nfsv4 und Linuxclients

    nfsv4 und Linuxclients: Hallo Kann mal einer der Freebsdler mir eine funktionierende exports vom freebsd-nfsv4-server + fstab und mountpoint auf einem Linuxclient...
  3. Client-Management-System opsi 4.0.5 verwaltet erstmals Linux-Clients

    Client-Management-System opsi 4.0.5 verwaltet erstmals Linux-Clients: Die neue Version 4.0.5 des freien Client-Management-Systems opsi der Mainzer uib GmbH kann jetzt erstmals Linux-Clients verwalten. Ursprünglich...
  4. Intranator Business Server 6.1 mit aktualisierten Groupware-Clients

    Intranator Business Server 6.1 mit aktualisierten Groupware-Clients: Der von der Tübinger Intra2net AG entwickelte Intranator Business Server ist in Version 6.1 erschienen. Mit der vom Hersteller selbst entwickelten...
  5. Samba4-clients

    Samba4-clients: Hallo zusammen, ich möchte meinen Ubuntu-Rechner in eine Windows 2003 Domäne integrieren, dazu benutze ich das Paket samba4-clients. Dies klappt...