Samba im Firmennetz

Dieses Thema im Forum "Samba" wurde erstellt von AndreasT, 27.09.2011.

  1. #1 AndreasT, 27.09.2011
    AndreasT

    AndreasT Grünschnabel

    Dabei seit:
    27.09.2011
    Beiträge:
    6
    Zustimmungen:
    0
    Hallo zusammen,

    ich habe eine Anfängerfrage ...
    Ich habe einen Laptop mit Windows7 / Ubuntu.

    In unserer Firma gibt es Windows-Netzlaufwerke, die ich nach Anmeldung an der Domäne
    mit Windows7 natürlich prima nutzen kann.
    Unter Ubuntu kann ich die Laufwerke mit mount -t cifs ..... nicht mounten, da kommt immer
    ein Authentifizierungsfehler, obwohl ich die korrekten Anmeldedaten von Windows verwende.

    Daher dachte ich mit, dass das mit den Laufwerken erst klappt, wenn ich mit winbind den
    ganzen Ubuntu-Rechner in die Domäne einbinde. In allen Dokumentationen zu winbind
    wird aber immer davon ausgegangen, dass man mit "net join" als Admin den Linux-Recher
    zur Domäne hinzufügen kann, was ich in meinem Fall aber ich darf (ich bin kein Admin der
    Windows-Domäne).

    Daher meine Fragen:

    1. Wie kann man es schaffen, das ich einen Linux-Recher an einer
    Win-Domäne anmelde, ohne dass man vorher ein "net join" machen muss?

    2. Woran könnte es noch liegen, dass beim mounten immer Fehler auftauchen? Im
    Endeffekt will ich ja nur an die blöden Laufwerke, nicht unbedingt in die Domäne...

    -Andreas
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 bytepool, 27.09.2011
    Zuletzt bearbeitet: 27.09.2011
    bytepool

    bytepool Code Monkey

    Dabei seit:
    12.07.2003
    Beiträge:
    791
    Zustimmungen:
    0
    Ort:
    /home/sweden/göteborg
    Hi,

    willkommen im Board!

    Ich wuerde das nicht unbedingt als Anfaengerfrage bezeichnen, ich halte mich fuer einen halbwegs erfahrenen Linux user, aber habe deswegen nicht unbedingt Ahnung von Samba und Windows. ;)

    Wie gesagt, ist nicht mein Gebiet, aber bist du sicher dass du den richtigen username angibst? Also auch dran gedacht die Domain voran zu stellen, z.B. username=WINDOMAIN\mustermann?

    Das waere das einzige was mir so direkt einfaellt, IMHO sollte es dann eigentlich funktionieren.

    Edit:
    Sorry, die manpage sagt dass es WINDOMAIN/mustermann sein muss. Bzw. die credentials file kennt auch den Parameter domain.

    MfG,
    bytepool
     
  4. #3 AndreasT, 27.09.2011
    Zuletzt bearbeitet: 27.09.2011
    AndreasT

    AndreasT Grünschnabel

    Dabei seit:
    27.09.2011
    Beiträge:
    6
    Zustimmungen:
    0
    Hallo bytebool,

    vielen Dank für die Antwort!
    Ich versuche folgendes:
    (Das Verzeichnis ttt existiert natürlich...)

    sudo mount -t cifs //xxx.xxx.xxx.de/austausch ttt -o user=<domain>/<user>,passwd=<passwd>
    mount error(13): Permission denied
    Refer to the mount.cifs(8) manual page (e.g. man mount.cifs)

    Der syslog zeigt:
    Sep 27 12:08:23 nb-fh-3 kernel: [ 499.805305] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
    Sep 27 12:08:23 nb-fh-3 kernel: [ 499.805314] CIFS VFS: Send error in SessSetup = -13
    Sep 27 12:08:23 nb-fh-3 kernel: [ 499.805328] CIFS VFS: cifs_mount failed w/return code = -13

    Ich habe auch schon gefühlte 1000 andere Kombinationen probiert (mit / oder \ als Trennzeichen,
    mit Angabe der Daten in einem .smbcredentials File, mit dem DNS-Namen der Domäne, ...), leider
    nie mit Erfolg. Immer der gleiche Fehler (s.o.).

    Wenn ich den obigen Befehl zu oft benutze, sagt syslog:
    Sep 27 12:14:19 nb-fh-3 kernel: [ 854.993500] Status code returned 0xc0000234 NT_STATUS_ACCOUNT_LOCKED_OUT
    Sep 27 12:14:19 nb-fh-3 kernel: [ 854.993509] CIFS VFS: Send error in SessSetup = -13
    Sep 27 12:14:19 nb-fh-3 kernel: [ 854.993523] CIFS VFS: cifs_mount failed w/return code = -13

    Das sieht also so aus, als ob er schon meinen account findet, aber offensichtlich sperrt, weil ich
    zu oft einen Fehlversuch hatte, oder?

    Passwörter werden doch immer im Klartext angegeben, richtig?

    Die Firma verwendet übrigens alles an Sicherheitskram (Kerberos, LDAP, ...) was man sich so
    vorstellen kann. Da die Logon-Daten und der Pfad des Shares ganz sicher richtig sind, vermute ich,
    dass es halt irgendwie an der Sicherheits-Infrastruktur hier liegen muss...

    Ideen?
     
  5. nighT

    nighT Guest

    Im Normalfall sollten die Netzlaufwerke auch ohne Beitritt in die Domäne verfügbar sein.
    Da ich aber in dem Thema ebenfalls nicht sehr gut eingearbeitet sind, kann ich dir nichts verbindlich garantieren.

    Ich habe aber folgende Anleitung per Google gefunden:
    https://techcommons.stanford.edu/to...irectory-windows-cifs-file-share-ubuntu-linux

    Vielleicht hilft die dieses kleine HowTo weiter.

    Halte uns aber bitte auf dem laufenden. Das Thema hört sich interessant an ;)
     
  6. #5 bytepool, 27.09.2011
    bytepool

    bytepool Code Monkey

    Dabei seit:
    12.07.2003
    Beiträge:
    791
    Zustimmungen:
    0
    Ort:
    /home/sweden/göteborg
    Hmm, was macht denn das ttt da? Hast du's ansonsten mal mit --verbose probiert, ob mount dann noch genauere Infos ausspuckt? Ansonsten wuerde ich wohl mal den Win Admin kontaktieren, ob sich in den Server logs was findet warum du nicht reinkommst. Bzw. vielleicht sieht er ja den Fehler wenn du ihm deine ganze Konfiguration schickst.

    MfG,
    bytepool
     
  7. #6 AndreasT, 27.09.2011
    AndreasT

    AndreasT Grünschnabel

    Dabei seit:
    27.09.2011
    Beiträge:
    6
    Zustimmungen:
    0
    Das ttt ist einfach ein temporäres Verzeichnis, das ich vorher im aktuellen Verzeichnis angelegt habe.
    Das sollte so eigentlich funktionieren (hat zumindest schon zig mal mit anderen mounts geklappt).

    So wie es in dem howto von nighT steht habe ich es natürlich schon 100 mal versucht - immer
    ohne Erfolg. Ich kann natürlich mal den Windows Admin fragen, aber die sind hier alle extrem
    Linux-feindlich eingestellt, und ich kann da nicht auf große Hilfe hoffen.

    Daher meine Frage in diesem Forum. Ich bin mir sicher, dass ich nicht der erste bin, der in einem
    Firmennetz mit Linux auf Windows-shares im Kontext von Kerberos, LDAP etc. zugreifen will ...
     
  8. #7 bytepool, 27.09.2011
    bytepool

    bytepool Code Monkey

    Dabei seit:
    12.07.2003
    Beiträge:
    791
    Zustimmungen:
    0
    Ort:
    /home/sweden/göteborg
    Ah, ttt ist der mount point, klar. Tjoa, ich seh nichts falsches, aber wie gesagt, kenne mich mit dem Thema auch nicht wirklich aus. Hast du's mal mit nem kerberos Ticket versucht?
     
  9. #8 AndreasT, 27.09.2011
    AndreasT

    AndreasT Grünschnabel

    Dabei seit:
    27.09.2011
    Beiträge:
    6
    Zustimmungen:
    0
    Tja, genau da fängt mein großes schwarzes Unwissen-Loch.
    Kerberos-Ticket... klingt gut, aber wie geht das z.B. unter Ubuntu?

    Ich habe da schon einiges gefunden beim 'googeln', aber das klingt immer
    alles super kompliziert mit 1000 config-Dateien, die man ändern muss
    etc etc....

    Gibt es da irgendwo ein brauchbares HOWTO?
     
  10. #9 kartoffel200, 27.09.2011
    kartoffel200

    kartoffel200 AMD Fanboy Since 2003

    Dabei seit:
    12.03.2007
    Beiträge:
    938
    Zustimmungen:
    0
    Ort:
    L wie localhost
    cifs-utils installiert ?
    Probier sonst Server IP stat Hostname.
    Benutzername durchprobieren
    username oder username@domain.net oder domain\username ( letzteres wird wohl eh nichts )

    mount -t cifs //123.123.123.123/sharename /mnt -o username=username@domain.net,password=bla
     
  11. Lord_x

    Lord_x Guest

    Folgende Pakete müssen installiert sein:

    Ab Ubuntu Maverick Meerkat 10.10:
    Code:
    cifs-utils (main)
    Bis einschließlich Ubuntu Lucid Lynx 10.04 LTS:
    Code:
    smbfs (main)
    Dann erstellst du die Datei ".smbcredentials" in deinem Homeverzeichnis.
    Code:
    "gedit ~/.smbcredentials"
    mit folgendem Inhalt:

    Code:
    username=<benutzer>
    password=<passwort>
    OHNE Domain nur der Username!

    Dann
    Code:
    "sudo chmod 600 ~/.smbcredentials"
    und jetzt sollte es damit klappt ;)
    Code:
    sudo mount -t cifs -o credentials=~/.smbcredentials //192.168.1.100/sharename /media/austausch
    Weitere Infos:
    http://wiki.ubuntuusers.de/Samba_Client_cifs
     
  12. #11 bytepool, 28.09.2011
    bytepool

    bytepool Code Monkey

    Dabei seit:
    12.07.2003
    Beiträge:
    791
    Zustimmungen:
    0
    Ort:
    /home/sweden/göteborg
    Hi,

    weil mich das Problem hier an ein eigenes kleines Kerberos Problem erinnert hat dass ich in der Uni hatte, hab ich grad ein wenig nachgeforscht. "Hatte" weil ich's grad nach 2 Stunden googlen geloest bekommen hab, auch wenn ich die Loesung nicht wirklich verstehe, aber egal, ist off-topic hier. ;)

    Also winbind hat definitiv nichts mit deinem Problem zu tun, du betreibst schliesslich keinen Unix server in eurem Firmennetz. Wenn du deinen Kollegen mit ihren Windows-Accounts Ressourcen auf deinem Laptop zur Verfuegung stellen wolltest wuerdest du das brauchen. ;)


    Kerberos als Service in einem Netz einzurichten ist ganz schoen kompliziert, ja, aber Kerberos als User zu nutzen ist dagegen eigentlich sehr einfach.

    Du brauchst das Paket krb5-user, und dann musst du dir eigentlich nur deine /etc/krb5.conf richtig einrichten und dir mit "kinit $user" ein Ticket besorgen. Deine aktuellen Tickets kannst du dir dann z.B. mit klist anzeigen lassen, oder mit kdestroy wieder zerstoeren.

    MfG,
    bytepool
     
  13. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  14. #12 AndreasT, 01.10.2011
    AndreasT

    AndreasT Grünschnabel

    Dabei seit:
    27.09.2011
    Beiträge:
    6
    Zustimmungen:
    0
    Hallo bytepool und alle anderen,

    habe das Problem mittlerweile gelöst: War tatsächlich die Kerberos-Authentifizierung, die fehlte.
    Habe die Anleitung unter

    http://wiki.ubuntuusers.de/samba_winbind

    verwendet, um Kerberos (Client) zu installieren. War in der Tat einfacher als ich dachte ....
    Danach musste ich nur noch mit den entsprechenden Optionen von "mount -t cifs" rumspielen,
    mit -o sec=krb5,uid=1000 hat es dann schließlich geklappt. Die uid ist wichtig zu setzen, da
    sonst der (als root ausgeführte) mount-Prozess das Kerberos-Ticket des aktuellen Benutzers
    nicht findet.

    Vielen Dank noch mal für die Gedanken/Zeit/Hilfe...

    -Andreas
     
  15. #13 AndreasT, 07.10.2011
    AndreasT

    AndreasT Grünschnabel

    Dabei seit:
    27.09.2011
    Beiträge:
    6
    Zustimmungen:
    0
    Hallo zusammen,

    vielen Dank nochmal für die Hilfe und Ideen - ich habe das Problem in der Zwischenzeit lösen können:
    Lag tatsächlich an Kerberos. Die Einrichtung der Client-Seite war (wie oben beschrieben) tatsächlich
    einfacher als ich dachte. Ich musste dann nur noch die entsprechenden mount.cifs - Optionen setzen
    (-o sec=krb5,uid=1000).

    Gruß und vielen Dank nochmal, AndreasT
     
Thema:

Samba im Firmennetz

Die Seite wird geladen...

Samba im Firmennetz - Ähnliche Themen

  1. Samba Konzept für 2 Subnetze fürs Firmennetzwerk

    Samba Konzept für 2 Subnetze fürs Firmennetzwerk: Hallo Leute! Ich habe mich schon durch dutzende Dokus im Netz gearbeitet und auch einige Tutorials zum Thema Samba in Subnetzen durchgelesen ,...
  2. Samba Ubuntu 7.04 Firmennetzwerk Probleme!

    Samba Ubuntu 7.04 Firmennetzwerk Probleme!: Hi, hab folgende Probleme und hoffe das ihr mir helfen könnt. Unsere Firma hat sich einen Samba Server angeschafft als reinen Fileserver. 1....
  3. Samba4 AD DC

    Samba4 AD DC: Hey Forum, das ist mein erster Post ich hoffe ich bin in der Richtigen section [IMG] Ich habe mit OpenSuSe 42.1 probiert einen Samba4 AD DC...
  4. Samba Active Directory SUBDOMAIN

    Samba Active Directory SUBDOMAIN: Hi, ich habe eine Samba Domäne ESC.LAN mit Samba 4.5 aufgebaut. Jetzt würde ich gern einen neuen Domänen AD im Tree MUNICH.ESC.LAN also eine...
  5. Wiederherstellen von überschriebenen Dokumenten auf debian samba

    Wiederherstellen von überschriebenen Dokumenten auf debian samba: Ich habe ein Problem. Vor Kurzem hat der Trojaner cryptologer einen Schaden eingerichtet. Glücklicherweise gab es eine Sicherung auf...