Inhaltsverzeichnis
Die primäre Aufgabe eines Fileservers ist es nicht nur öffentliche Dateisysteme anzubieten, sondern auch userbezogene Verzeichnisse anzubieten. Linux hat ja für jeden User der dem System bekannt ist, ein Verzeichnis, in dem dieser User alle Rechte bekommt. Er kann dort Dateien und Verzeichnisse anlegen und ist alleiniger Eigentümer dieser Daten.
Samba bietet einen sehr einfachen Mechanismus, der einem Windows User erlaubt, sein Home-Verzeichnis auf dem Linux-Rechner zu nutzen, wenn sein Username unter Linux der selbe Name wie der unter Windows ist. Erweitern wir unsere /etc/smb.conf Datei doch einmal um diesen Mechanismus zum laufen zu bringen:
[global] workgroup = ARBEITSGRUPPE netbios name = MARVIN security = SHARE guest account = nobody
[homes]
comment = Heimatverzeichnis read only = No create mask = 0750 browseable = No
[public]
comment = Oeffentliches Verzeichnis path = /usr/public guest ok = Yes read only = Yes Um diese Erweiterung auch aktiv zu machen müssen wir den Samba Server neu starten, am einfachsten mit
/etc/init.d/smb restart
bzw. für ältere Versionen
/sbin/init.d/smb restart
Wenn wir uns jetzt auf unserem Windows-Rechner als – sagen wir mal – User hans anmelden – und ein User hans auf dem Linux-Rechner existiert, dann sieht die Liste der freigegebenen Shares in der Netzwerkumgebung jetzt folgendermaßen aus:
Hätten wir uns aber als otto eingeloggt (und gäbe es einen User otto unter Linux) so hätten wir statt der Angabe der Freigabe von hans jetzt eben die von otto gesehen.
Die konsequente nächste Fragestellung ist jetzt natürlich die des Passworts, das wir für diesen Zugriff benötigen. Grundsätzlich gilt:
- Wenn das Passwort unter Windows das selbe Passwort wie unter Linux ist, so gewährt Samba Zugriff.
- Wenn das Windows-Passwort nicht das selbe wie das unter Linux ist, so muß ein Passwort angegeben werden.
Windows frägt im zweiten Fall dann einfach nach dem Passwort nach und gibt auch die Möglichkeit frei, das angegebene Passwort in einer Passwortliste zu speichern. Wird das Passwort gespeichert, so muß es beim nächsten Mal nicht erneut angegeben werden.
Probleme ab Windows 98 bis Windows 11
Diese Passwort-Weitergabe funktioniert so bis Windows 95 ohne Probleme, ab Windows 98 kommt es aber nur zu der befremdlichen Fehlermeldung, das eingegebene Passwort sei falsch. Das liegt nicht daran, dass Sie es falsch eingegeben haben, sondern an einer Eigenschaft von Windows 98/NT/2000/7/10/11, die festlegt, dass Passwörter nicht unverschlüsselt über das Netz gegeben werden. Das ist ja eine eigentlich erfreuliche Eigenschaft, weil es die Sicherheit im Netz vergrößert, aber andererseits funktioniert jetzt der normale Mechanismus der Passwortüberprüfung des Unix-Passworts natürlich nicht mehr. Die Verschlüsselung von SMB Protokoll wird immer komplexer. SMB1 gilt als unsicher und wird seitens Microsoft nicht mehr per Default unterstützt. Deshalb sollten alle SMB Dienste mit mindestens SMB2 laufen.
Die Lösung besteht darin, eine eigene Passwortverwaltung für den Sambadienst zu installieren. Das geschieht durch zwei einfache Schritte:
- Die Zeile encrypt passwords = Yes wird in die [global] Sektion der /etc/smb.conf aufgenommen
- Eine spezielle Datei /etc/smbpasswd enthält die Userinformationen über die Samba-User samt ihrer verschlüsselten Passwörter. (Eine andere Möglichkeit ist es, bestehende NT-Server zu benutzen, um die Passwörter zu prüfen – darauf kommen wir aber später zu sprechen…)
Um jetzt also diese Passwort-Datei anzulegen und verschlüsselte Passwörter zu generieren benötigen wir wiederum ein kleines Programm mit Namen smbpasswd. Dieses Programm erlaubt es, sofern es der Superuser root anwendet, neue Samba-User anzulegen und ihnen Passwörter zu vergeben. Ein Normaluser kann nur sein Passwort damit ändern. Um einen neuen User anzulegen schreibt root jetzt
smbpasswd -a Username
Er wird dann gleich nach dem Passwort des neuen Users gefragt, das Passwort wird verschlüsselt und zusammen mit der UserID des Users in der Datei /etc/smbpasswd abgelegt.
Damit also alles jetzt wirklich funktioniert muß die [global]-Sektion unserer smb.conf Datei jetzt folgendermaßen aussehen:
[global] workgroup = ARBEITSGRUPPE netbios name = MARVIN security = SHARE guest account = nobody encrypt passwords = Yes
Und schon funktioniert die Freigabe der Userverzeichnisse.
Die Sektion [homes] ist also – wie die Sektion [global] eine spezielle Möglichkeit. Sie muß grundsätzlich diesen Namen tragen denn Samba übernimmt ja sehr spezielle Ersetzungsmechanismen, wenn dieser share angesprochen wird.