Samba im Firmennetz

A

AndreasT

Grünschnabel
Hallo zusammen,

ich habe eine Anfängerfrage ...
Ich habe einen Laptop mit Windows7 / Ubuntu.

In unserer Firma gibt es Windows-Netzlaufwerke, die ich nach Anmeldung an der Domäne
mit Windows7 natürlich prima nutzen kann.
Unter Ubuntu kann ich die Laufwerke mit mount -t cifs ..... nicht mounten, da kommt immer
ein Authentifizierungsfehler, obwohl ich die korrekten Anmeldedaten von Windows verwende.

Daher dachte ich mit, dass das mit den Laufwerken erst klappt, wenn ich mit winbind den
ganzen Ubuntu-Rechner in die Domäne einbinde. In allen Dokumentationen zu winbind
wird aber immer davon ausgegangen, dass man mit "net join" als Admin den Linux-Recher
zur Domäne hinzufügen kann, was ich in meinem Fall aber ich darf (ich bin kein Admin der
Windows-Domäne).

Daher meine Fragen:

1. Wie kann man es schaffen, das ich einen Linux-Recher an einer
Win-Domäne anmelde, ohne dass man vorher ein "net join" machen muss?

2. Woran könnte es noch liegen, dass beim mounten immer Fehler auftauchen? Im
Endeffekt will ich ja nur an die blöden Laufwerke, nicht unbedingt in die Domäne...

-Andreas
 
Hi,

willkommen im Board!

Ich wuerde das nicht unbedingt als Anfaengerfrage bezeichnen, ich halte mich fuer einen halbwegs erfahrenen Linux user, aber habe deswegen nicht unbedingt Ahnung von Samba und Windows. ;)

Wie gesagt, ist nicht mein Gebiet, aber bist du sicher dass du den richtigen username angibst? Also auch dran gedacht die Domain voran zu stellen, z.B. username=WINDOMAIN\mustermann?

Das waere das einzige was mir so direkt einfaellt, IMHO sollte es dann eigentlich funktionieren.

Edit:
Sorry, die manpage sagt dass es WINDOMAIN/mustermann sein muss. Bzw. die credentials file kennt auch den Parameter domain.

MfG,
bytepool
 
Zuletzt bearbeitet:
Hallo bytebool,

vielen Dank für die Antwort!
Ich versuche folgendes:
(Das Verzeichnis ttt existiert natürlich...)

sudo mount -t cifs //xxx.xxx.xxx.de/austausch ttt -o user=<domain>/<user>,passwd=<passwd>
mount error(13): Permission denied
Refer to the mount.cifs(8) manual page (e.g. man mount.cifs)

Der syslog zeigt:
Sep 27 12:08:23 nb-fh-3 kernel: [ 499.805305] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
Sep 27 12:08:23 nb-fh-3 kernel: [ 499.805314] CIFS VFS: Send error in SessSetup = -13
Sep 27 12:08:23 nb-fh-3 kernel: [ 499.805328] CIFS VFS: cifs_mount failed w/return code = -13

Ich habe auch schon gefühlte 1000 andere Kombinationen probiert (mit / oder \ als Trennzeichen,
mit Angabe der Daten in einem .smbcredentials File, mit dem DNS-Namen der Domäne, ...), leider
nie mit Erfolg. Immer der gleiche Fehler (s.o.).

Wenn ich den obigen Befehl zu oft benutze, sagt syslog:
Sep 27 12:14:19 nb-fh-3 kernel: [ 854.993500] Status code returned 0xc0000234 NT_STATUS_ACCOUNT_LOCKED_OUT
Sep 27 12:14:19 nb-fh-3 kernel: [ 854.993509] CIFS VFS: Send error in SessSetup = -13
Sep 27 12:14:19 nb-fh-3 kernel: [ 854.993523] CIFS VFS: cifs_mount failed w/return code = -13

Das sieht also so aus, als ob er schon meinen account findet, aber offensichtlich sperrt, weil ich
zu oft einen Fehlversuch hatte, oder?

Passwörter werden doch immer im Klartext angegeben, richtig?

Die Firma verwendet übrigens alles an Sicherheitskram (Kerberos, LDAP, ...) was man sich so
vorstellen kann. Da die Logon-Daten und der Pfad des Shares ganz sicher richtig sind, vermute ich,
dass es halt irgendwie an der Sicherheits-Infrastruktur hier liegen muss...

Ideen?
 
Zuletzt bearbeitet:
sudo mount -t cifs //xxx.xxx.xxx.de/austausch ttt -o user=<domain>/<user>,passwd=<passwd>
Hmm, was macht denn das ttt da? Hast du's ansonsten mal mit --verbose probiert, ob mount dann noch genauere Infos ausspuckt? Ansonsten wuerde ich wohl mal den Win Admin kontaktieren, ob sich in den Server logs was findet warum du nicht reinkommst. Bzw. vielleicht sieht er ja den Fehler wenn du ihm deine ganze Konfiguration schickst.

MfG,
bytepool
 
Das ttt ist einfach ein temporäres Verzeichnis, das ich vorher im aktuellen Verzeichnis angelegt habe.
Das sollte so eigentlich funktionieren (hat zumindest schon zig mal mit anderen mounts geklappt).

So wie es in dem howto von nighT steht habe ich es natürlich schon 100 mal versucht - immer
ohne Erfolg. Ich kann natürlich mal den Windows Admin fragen, aber die sind hier alle extrem
Linux-feindlich eingestellt, und ich kann da nicht auf große Hilfe hoffen.

Daher meine Frage in diesem Forum. Ich bin mir sicher, dass ich nicht der erste bin, der in einem
Firmennetz mit Linux auf Windows-shares im Kontext von Kerberos, LDAP etc. zugreifen will ...
 
Ah, ttt ist der mount point, klar. Tjoa, ich seh nichts falsches, aber wie gesagt, kenne mich mit dem Thema auch nicht wirklich aus. Hast du's mal mit nem kerberos Ticket versucht?
 
Tja, genau da fängt mein großes schwarzes Unwissen-Loch.
Kerberos-Ticket... klingt gut, aber wie geht das z.B. unter Ubuntu?

Ich habe da schon einiges gefunden beim 'googeln', aber das klingt immer
alles super kompliziert mit 1000 config-Dateien, die man ändern muss
etc etc....

Gibt es da irgendwo ein brauchbares HOWTO?
 
cifs-utils installiert ?
Probier sonst Server IP stat Hostname.
Benutzername durchprobieren
username oder ********** oder domain\username ( letzteres wird wohl eh nichts )

mount -t cifs //123.123.123.123/sharename /mnt -o username=username@domain.net,password=bla
 
Folgende Pakete müssen installiert sein:

Ab Ubuntu Maverick Meerkat 10.10:
Code:
cifs-utils (main)

Bis einschließlich Ubuntu Lucid Lynx 10.04 LTS:
Code:
smbfs (main)

Dann erstellst du die Datei ".smbcredentials" in deinem Homeverzeichnis.
Code:
"gedit ~/.smbcredentials"
mit folgendem Inhalt:

Code:
username=<benutzer>
password=<passwort>

OHNE Domain nur der Username!

Dann
Code:
"sudo chmod 600 ~/.smbcredentials"

und jetzt sollte es damit klappt ;)
Code:
sudo mount -t cifs -o credentials=~/.smbcredentials //192.168.1.100/sharename /media/austausch

Weitere Infos:
http://wiki.ubuntuusers.de/Samba_Client_cifs
 
Hi,

weil mich das Problem hier an ein eigenes kleines Kerberos Problem erinnert hat dass ich in der Uni hatte, hab ich grad ein wenig nachgeforscht. "Hatte" weil ich's grad nach 2 Stunden googlen geloest bekommen hab, auch wenn ich die Loesung nicht wirklich verstehe, aber egal, ist off-topic hier. ;)

Also winbind hat definitiv nichts mit deinem Problem zu tun, du betreibst schliesslich keinen Unix server in eurem Firmennetz. Wenn du deinen Kollegen mit ihren Windows-Accounts Ressourcen auf deinem Laptop zur Verfuegung stellen wolltest wuerdest du das brauchen. ;)


Kerberos als Service in einem Netz einzurichten ist ganz schoen kompliziert, ja, aber Kerberos als User zu nutzen ist dagegen eigentlich sehr einfach.

Du brauchst das Paket krb5-user, und dann musst du dir eigentlich nur deine /etc/krb5.conf richtig einrichten und dir mit "kinit $user" ein Ticket besorgen. Deine aktuellen Tickets kannst du dir dann z.B. mit klist anzeigen lassen, oder mit kdestroy wieder zerstoeren.

MfG,
bytepool
 
Hallo bytepool und alle anderen,

habe das Problem mittlerweile gelöst: War tatsächlich die Kerberos-Authentifizierung, die fehlte.
Habe die Anleitung unter

http://wiki.ubuntuusers.de/samba_winbind

verwendet, um Kerberos (Client) zu installieren. War in der Tat einfacher als ich dachte ....
Danach musste ich nur noch mit den entsprechenden Optionen von "mount -t cifs" rumspielen,
mit -o sec=krb5,uid=1000 hat es dann schließlich geklappt. Die uid ist wichtig zu setzen, da
sonst der (als root ausgeführte) mount-Prozess das Kerberos-Ticket des aktuellen Benutzers
nicht findet.

Vielen Dank noch mal für die Gedanken/Zeit/Hilfe...

-Andreas
 
Hallo zusammen,

vielen Dank nochmal für die Hilfe und Ideen - ich habe das Problem in der Zwischenzeit lösen können:
Lag tatsächlich an Kerberos. Die Einrichtung der Client-Seite war (wie oben beschrieben) tatsächlich
einfacher als ich dachte. Ich musste dann nur noch die entsprechenden mount.cifs - Optionen setzen
(-o sec=krb5,uid=1000).

Gruß und vielen Dank nochmal, AndreasT
 

Ähnliche Themen

Samba 3.6.25 - OpenLDAP Setup

Zugriff auf Samba Fileserver Freigaben verweigert(Samba 4 Active Directory Domäne)

Samba mounted Unterverzeichnisse

Ubuntu 14.4: Samba v3 => v4, Kein Zugriff

Samba Server loses AD membership

Zurück
Oben