DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
Ik heb samba geinstalleerd en kan de home directories delen. Er word gekeken naar het windows acount + password. als deze overeenkomt met een unix acount zie je automatisch jou persoonlijke unix-map. als de gebruikersnaam en/of wachtwoord niet overeenkomen krijg je een loginscherm en kan jij je aanmelden met een acount (die dus op het UNIX systeem moet bestaan)
dit werkt allemaal prima, nu het probleem.
* niet alle pc's hebben een UNIX-acount (hebben ze ook niet nodig) maar willen wel gebruik maken van de public shares.
* eenmaal ingelogd onder een bepaald acount is het niet mogelijk weer uit te loggen...
wat wil ik dus:
verbinding maken met de server (via het netwerk) zonder dat een password nodig is (voor iedereen dus). alle shares (inclusief alle home-directories) moeten nu zichtbaar zijn. als er op een home directorie wordt geklikt moet er natuurlijk wel naar een wachtwoord gevraagd worden. als ik dan inlog en verolgens een andere home directorie wil openen moet ik niet de melding krijgen dat het wachtwoord niet klopt maar opnieuw een login box zodat ik mij onder een andere naam kan aanmelden.
indien dat laatste niet mogelijk is alleen dus alle public shares en 1 map die staat voor de home directories. na het klikken op die map moet er pas om een wachtwoord gevraagd worden en niet eerder..
wat heb ik geprobeerd?
veel gerommeld met instelling zonder het gewenste effect
als ik in [global] 'security = share' opgeef kan ik zonder password de shares zien (ipv alle home directories zie ik nu 1 map genaamd 'homes') in de public shares kan ik zonder problemen komen, ik heb er alleen geen schrijfrechten... als ik verbinding probeer te maken met die 'homes' map word er om een wachtwoord gevraagd. er staat dan bij gebruikersnaam al standaard SERVER\GAST dus kan ik geen gebruikersnaam opgeven...
wie kan mij uit de brand helpen?
dit werkt allemaal prima, nu het probleem.
* niet alle pc's hebben een UNIX-acount (hebben ze ook niet nodig) maar willen wel gebruik maken van de public shares.
* eenmaal ingelogd onder een bepaald acount is het niet mogelijk weer uit te loggen...
wat wil ik dus:
verbinding maken met de server (via het netwerk) zonder dat een password nodig is (voor iedereen dus). alle shares (inclusief alle home-directories) moeten nu zichtbaar zijn. als er op een home directorie wordt geklikt moet er natuurlijk wel naar een wachtwoord gevraagd worden. als ik dan inlog en verolgens een andere home directorie wil openen moet ik niet de melding krijgen dat het wachtwoord niet klopt maar opnieuw een login box zodat ik mij onder een andere naam kan aanmelden.
indien dat laatste niet mogelijk is alleen dus alle public shares en 1 map die staat voor de home directories. na het klikken op die map moet er pas om een wachtwoord gevraagd worden en niet eerder..
wat heb ik geprobeerd?
veel gerommeld met instelling zonder het gewenste effect
als ik in [global] 'security = share' opgeef kan ik zonder password de shares zien (ipv alle home directories zie ik nu 1 map genaamd 'homes') in de public shares kan ik zonder problemen komen, ik heb er alleen geen schrijfrechten... als ik verbinding probeer te maken met die 'homes' map word er om een wachtwoord gevraagd. er staat dan bij gebruikersnaam al standaard SERVER\GAST dus kan ik geen gebruikersnaam opgeven...
wie kan mij uit de brand helpen?
Je kunt een samba user aanmaken dmv smbpasswdquote:Op woensdag 7 september 2005 19:49 schreef danko het volgende:
* niet alle pc's hebben een UNIX-acount (hebben ze ook niet nodig) maar willen wel gebruik maken van de public shares.
Niet als je aanvinkt "Gebruikersnaam en wachtwoord onthouden" oid, je kunt handmatig met net share kijken en stoppen.quote:* eenmaal ingelogd onder een bepaald acount is het niet mogelijk weer uit te loggen...
Gewoon even de manual doorlezen als je niet weet hoe je public iets moet sharen.
Als je de config aanpast, vergeet dan niet samba te restarten.
Installeer anders SWAT, hiermee kun je webbased dit soort zaken regelen geloof ik.
/edit
zet bij je shares "guest ok = yes" als deze publiekelijk benaderbaar mogen zijn
[ Bericht 5% gewijzigd door Computeraap op 07-09-2005 20:18:51 (was tip vergeten) ]
als ik gebruikersnaam en wachtwoord onthouden niet aanvinkt blijf ik toch ingelogd (er blijft volgens mij een sessie open ofzo)
"guest ok = yes" staat bij de public shares. zodoende mag iedereen in de shares. maar dit kan alleen als ze al zijn ingelogd.
ander vraagje -> moet je altijd via een UNIX acount inloggen om verbinding te kunnen maken? als ik de security op 'user' zet is dit mogelijk maar dan kan ik geen gebruik maken van de home-directories. als ik security op 'share' zet zit ik dus met het probleem dat er altijd een wachtwoord opgegeven moet worden. ook voor users die alleen een public share nodig hebben...
"guest ok = yes" staat bij de public shares. zodoende mag iedereen in de shares. maar dit kan alleen als ze al zijn ingelogd.
ander vraagje -> moet je altijd via een UNIX acount inloggen om verbinding te kunnen maken? als ik de security op 'user' zet is dit mogelijk maar dan kan ik geen gebruik maken van de home-directories. als ik security op 'share' zet zit ik dus met het probleem dat er altijd een wachtwoord opgegeven moet worden. ook voor users die alleen een public share nodig hebben...
even een ander vraagje (nog steeds betrekken op samba home directories)
als ik ingelogd ben zie ik via een windows client de homes map. dit is mijn persoonlijke map. als ik nu achter \\ip-adres\ een andere gebruikersnaam typ kom ik gewoon in zijn/haar map. het is dan wel read only maar ik wil dat andere users helemaal niet in elkaars mappen kunnen!
dit is mijn [homes] gedeelte:
[homes]
comment = Persoonlijk map van %U
browseable = yes
writable = yes
public = no
guest ok = no
create mode = 0644
als ik ingelogd ben zie ik via een windows client de homes map. dit is mijn persoonlijke map. als ik nu achter \\ip-adres\ een andere gebruikersnaam typ kom ik gewoon in zijn/haar map. het is dan wel read only maar ik wil dat andere users helemaal niet in elkaars mappen kunnen!
dit is mijn [homes] gedeelte:
[homes]
comment = Persoonlijk map van %U
browseable = yes
writable = yes
public = no
guest ok = no
create mode = 0644
je wil wel dat iemand die niet geauthenticeerd is in een homedir mag, maar niet dat iemand anders die niet geauthenticeerd is, bij een andere homedir mag kijken....
dan raad ik je aan om, als je die hebt, samba tegen een active-directory aan te laten praten voor user-authenticatie, en bij je [home] een
valid users = user1 user2 user3
te zetten.
als je geen active-directory wil, en wel veiligheid tussen de verschillende homedirs raad ik je gewoon aan unix en samba gebruikers aan te maken voor iedereen.
(evt de unix-gebruikers in de passwd-file geen shell geven als je niet wil dat ze in kunnen loggen, of/en passwd in passwd of shadow-file een ! van maken)
en om je probleem met read-only op te lossen mik je gewoon een
force user = root
in de [homes] sectie.
dan raad ik je aan om, als je die hebt, samba tegen een active-directory aan te laten praten voor user-authenticatie, en bij je [home] een
valid users = user1 user2 user3
te zetten.
als je geen active-directory wil, en wel veiligheid tussen de verschillende homedirs raad ik je gewoon aan unix en samba gebruikers aan te maken voor iedereen.
(evt de unix-gebruikers in de passwd-file geen shell geven als je niet wil dat ze in kunnen loggen, of/en passwd in passwd of shadow-file een ! van maken)
en om je probleem met read-only op te lossen mik je gewoon een
force user = root
in de [homes] sectie.
One Unix to rule them all, One Resolver to find them, One IP to bring them all and in the zone to bind them.
@ aptenodytes-forsteri:
ik volg het niet helemaal maar volgens mij bedoel jij iets anders als ik...
ik heb UNIX en SAMBA users. Ik wil dat deze users ALLEEN in hun EIGEN home-dir kunnen en dus niet in anderen. Windows maakt verbinding met de linux-bak. het windows account wordt vergeleken met de unix-accounts indien er 1 overeenkomt (zowel gebruikersnaam als wachtwoord) kom je zonder problemen op de server. anders (als het wachwtoord van je windows account niet klopt of de gebruikersnaam van je windows account niet bestaat bij UNIX/SAMBA) wordt er naar een gebruikersnaam en wachtwoord gevraagd. Na inloggen kom je ook zonder problemen op de server. de enige 2 mappen die je ziet is de public share (volledige toegang voor iedereen) en de home dir. ook hier heb je volledige toegang. maar als je nu in (in de adresbalk) achter het ipadres van de server /gebruikersnaam van iemand anders invult kom je dus gewoon in de home-dir van die andere user. je kunt hier niet in schrijven maar kennelijk wel in lezen...
als ik kijk naar de CHMOD instellingen hebben de mappen/bestanden wel leesrechten voor iedereen. dit is ook noodzakelijk omdat de public_html map ook in de home-dirs staat. in die map staan de websites die via apache gelezen moeten kunnen worden...
beetje vaag ammaal maar komt erop neer dat de mappen wel leesrechten moeten hebben voor iedereen (anders zijn de websites niet benaderbaar) maar via samba moet alleen de eigennaar van het account in de mappen kunnen en niet iemand anders..
ik volg het niet helemaal maar volgens mij bedoel jij iets anders als ik...
ik heb UNIX en SAMBA users. Ik wil dat deze users ALLEEN in hun EIGEN home-dir kunnen en dus niet in anderen. Windows maakt verbinding met de linux-bak. het windows account wordt vergeleken met de unix-accounts indien er 1 overeenkomt (zowel gebruikersnaam als wachtwoord) kom je zonder problemen op de server. anders (als het wachwtoord van je windows account niet klopt of de gebruikersnaam van je windows account niet bestaat bij UNIX/SAMBA) wordt er naar een gebruikersnaam en wachtwoord gevraagd. Na inloggen kom je ook zonder problemen op de server. de enige 2 mappen die je ziet is de public share (volledige toegang voor iedereen) en de home dir. ook hier heb je volledige toegang. maar als je nu in (in de adresbalk) achter het ipadres van de server /gebruikersnaam van iemand anders invult kom je dus gewoon in de home-dir van die andere user. je kunt hier niet in schrijven maar kennelijk wel in lezen...
als ik kijk naar de CHMOD instellingen hebben de mappen/bestanden wel leesrechten voor iedereen. dit is ook noodzakelijk omdat de public_html map ook in de home-dirs staat. in die map staan de websites die via apache gelezen moeten kunnen worden...
beetje vaag ammaal maar komt erop neer dat de mappen wel leesrechten moeten hebben voor iedereen (anders zijn de websites niet benaderbaar) maar via samba moet alleen de eigennaar van het account in de mappen kunnen en niet iemand anders..
en als je in je huidige setting de homedirs zelfs op 711 zet
en de map public_html op 755 ?
(of 750 en er een group aan knoopt waar de webserver ook lid van is?)
ofwel;
cd /home
chmod 711 *
chmod 755 */public_html
om een directory in te komen is alleen de execute-bit van belang namelijk
niet de read.
en de map public_html op 755 ?
(of 750 en er een group aan knoopt waar de webserver ook lid van is?)
ofwel;
cd /home
chmod 711 *
chmod 755 */public_html
om een directory in te komen is alleen de execute-bit van belang namelijk
niet de read.
One Unix to rule them all, One Resolver to find them, One IP to bring them all and in the zone to bind them.
in iedere home-dir staan 2 mappen, public_html (voor de websites) en netwerk (voor bestande die je niet wilt dele via het internet)
public_html heb ik 755 gegeven
netwerk heb ik 711 gegeven
waarom public_html 755? als er een index.html in de map staat werkt 711 maar als er gebruik wordt gemaakt van automatische directorys (.htaccess) dan hebben andere users/gasten leesrechten nodig voor de mappen en bestanden. dit houdt dus ook in dat andere users via het netwerk in de betreffende map kunnen komen. ze kunnen niets aanpassen omdat er geen schrijfrechten zijn maar een wachtwoord van bijvoorbeeld een sql-database is dan snel gevonden in een php bestandje.
door de map netwerk 711 te geven heeft alleen de eigenaar alle rechten, hij kan dan dus ook als enigste er in. (ook kunnen andere gebruikers niet in de map ondag de execute bit...??)
de enigste manier om public_html te beveiligen via het netwerk is dus (zoals jij al zei) de lees rechten een een groep te hangen waar ook apache lid van is. zou je me kunnen uitleggen hoe ik dat doe?
voor zover in ieder geval al bedankt!!!
public_html heb ik 755 gegeven
netwerk heb ik 711 gegeven
waarom public_html 755? als er een index.html in de map staat werkt 711 maar als er gebruik wordt gemaakt van automatische directorys (.htaccess) dan hebben andere users/gasten leesrechten nodig voor de mappen en bestanden. dit houdt dus ook in dat andere users via het netwerk in de betreffende map kunnen komen. ze kunnen niets aanpassen omdat er geen schrijfrechten zijn maar een wachtwoord van bijvoorbeeld een sql-database is dan snel gevonden in een php bestandje.
door de map netwerk 711 te geven heeft alleen de eigenaar alle rechten, hij kan dan dus ook als enigste er in. (ook kunnen andere gebruikers niet in de map ondag de execute bit...??)
de enigste manier om public_html te beveiligen via het netwerk is dus (zoals jij al zei) de lees rechten een een groep te hangen waar ook apache lid van is. zou je me kunnen uitleggen hoe ik dat doe?
voor zover in ieder geval al bedankt!!!
ik weet niet als welke user je webserver draait..
anders zou je kunnen kijken met
groups $uservanwebserver
in welke groepen deze hangt.
stel dat je dan krijgt..
apache : www
dan zou je ervoor kunnen kiezen om alle public_html directory's in de group www te hangen.
dit doe je met:
cd /home
chown :www */public_html
(let op de : )
en dan doe je erna natuurlijk nog een:
chmod 750 */public_html
anders zou je kunnen kijken met
groups $uservanwebserver
in welke groepen deze hangt.
stel dat je dan krijgt..
apache : www
dan zou je ervoor kunnen kiezen om alle public_html directory's in de group www te hangen.
dit doe je met:
cd /home
chown :www */public_html
(let op de : )
en dan doe je erna natuurlijk nog een:
chmod 750 */public_html
One Unix to rule them all, One Resolver to find them, One IP to bring them all and in the zone to bind them.
mwa, maak maar gewoon een nieuwe groep aan dan.
(zegge.. groupadd apache)
en dan verder ff de /etc/group editen zodat je ipv apache:x:yyy:
ziet: apache:x:yyy:$webuser
of, je past de groupid aan in de /etc/passwd (2e getalreeks)
en dan vul je daar het getal in wat je in de /etc/group ziet staan
(zegge.. groupadd apache)
en dan verder ff de /etc/group editen zodat je ipv apache:x:yyy:
ziet: apache:x:yyy:$webuser
of, je past de groupid aan in de /etc/passwd (2e getalreeks)
en dan vul je daar het getal in wat je in de /etc/group ziet staan
One Unix to rule them all, One Resolver to find them, One IP to bring them all and in the zone to bind them.
hmmz net een hoop getypt kon hij de pagina nie weergeven... dus nu ff in het kort
er bestond al een groep apache, heb de public_html dus lid gemaakt van de groep apache en chmod naar 750. dit werkt, nu kan apache er gewoon bij maar via het netwerk heb je geen toegang.
hoe kan ik dit nu in een routine zette als ik een nieuwe gebruiker toevoeg zodat ik het niet iedere keer met de hand moet doen?
in /etc/skel/ staan de mappen die standaard in de home-dir komen (dus netwerk en public_html) hoe stel ik nu in dan netwerk 711 wordt en public_html 750 en dat deze map ook wordt aangemeld bij apache?
er bestond al een groep apache, heb de public_html dus lid gemaakt van de groep apache en chmod naar 750. dit werkt, nu kan apache er gewoon bij maar via het netwerk heb je geen toegang.
hoe kan ik dit nu in een routine zette als ik een nieuwe gebruiker toevoeg zodat ik het niet iedere keer met de hand moet doen?
in /etc/skel/ staan de mappen die standaard in de home-dir komen (dus netwerk en public_html) hoe stel ik nu in dan netwerk 711 wordt en public_html 750 en dat deze map ook wordt aangemeld bij apache?
euh.. daar doe ik weinig mee
misschien dat iemand anders je daar beter mee op weg kan helpen.
en anders;
creatief zijn en een mooi shell-scriptje bouwen?
(wel wat netter en beter foutcheckend dan dit)
#!/bin/sh
adduser -g apache $1
mkdir /home/$1/public_html
chmod 711 /home/$1
chmod 750 /home/$1/public_html
chown -R $1:apache /home/$1/
exit
misschien dat iemand anders je daar beter mee op weg kan helpen.
en anders;
creatief zijn en een mooi shell-scriptje bouwen?
(wel wat netter en beter foutcheckend dan dit)
#!/bin/sh
adduser -g apache $1
mkdir /home/$1/public_html
chmod 711 /home/$1
chmod 750 /home/$1/public_html
chown -R $1:apache /home/$1/
exit
One Unix to rule them all, One Resolver to find them, One IP to bring them all and in the zone to bind them.
weer een ander vraagje
in mijn logs zie ik dat er erg veel pogingen zijn gedaan om via het internet mijn samba aan te spreken. ik heb alleen lokale ip-adressen toegestaan voor samba dus ze komen er niet is. maar schijnbaar is het dus mogelijk mappen via internet te delen. kan iemand me uitleggen hoe ik dan vanauit een andere pc (via het internet) verbinding maak met samba zodat ik mijn persoonlijke mappen kan zien?
in mijn logs zie ik dat er erg veel pogingen zijn gedaan om via het internet mijn samba aan te spreken. ik heb alleen lokale ip-adressen toegestaan voor samba dus ze komen er niet is. maar schijnbaar is het dus mogelijk mappen via internet te delen. kan iemand me uitleggen hoe ik dan vanauit een andere pc (via het internet) verbinding maak met samba zodat ik mijn persoonlijke mappen kan zien?
andere ip van de machine die je toestaan wil toevoegen aan je config,
en op die andere pc het publieke ip intikken in een explorer ala: \\$ip\
en/of evt \\$ip\$sharenaam
al zou ik eerder voor scp of een vpn oplossing gaan dan samba puur over het internet te bleren
en op die andere pc het publieke ip intikken in een explorer ala: \\$ip\
en/of evt \\$ip\$sharenaam
al zou ik eerder voor scp of een vpn oplossing gaan dan samba puur over het internet te bleren
One Unix to rule them all, One Resolver to find them, One IP to bring them all and in the zone to bind them.
ja zo'n vermoeden had ik al alleen lukt het nog niet helemaal (ff de firewall settings checken). ik zal ook eens ff wat gaan opzoeken over scp en vpn
eigenlijk zoek ik iets om niet vanaf 1 pc via het internet verbinding te maken maar verschillende pc's (school, werk e.d.) dus zonder dat ik een vpn verbinding moet gaan instellen op de client pc. gewoon adres intikken, wachtwoord ingeven en in de map zitten.
eigenlijk zoek ik iets om niet vanaf 1 pc via het internet verbinding te maken maar verschillende pc's (school, werk e.d.) dus zonder dat ik een vpn verbinding moet gaan instellen op de client pc. gewoon adres intikken, wachtwoord ingeven en in de map zitten.
voor dat laatste: zet je firewall goed open en je config.
evt vanaf de externe pc iets als 'http://www.whatismyip.com/' doen, en dat ipadres, of een
reeks ervan, in je smb.conf zetten als allowed.
en verder zorgen dat je user-authenticatie goed werkt.
als je eerder al geroepen hebt dat je wel allemaal andere mensen ziet in je samba-log die geweigerd worden omdat ze niet allowed zijn, lijkt het me dat je firewall wel goed is en 't "netjes" doorlaat..
mocht je nog meer willen weten of scp/vpn,
scp zelf op unix is nogal vrij standaard, voor windows heb je evt http://winscp.sf.net
en kwa vpn zou ik aanraden: http://www.openvpn.org.
(volledige encryptie van zowel authenticatie als verkeer, keuze op basis van certificaten of user/pass, en keuze tussen enkel bepaalde ipreeksen via de vpn routeren ipv vpn als default gateway vind ik iig de voor mij meest leuke punten)
evt vanaf de externe pc iets als 'http://www.whatismyip.com/' doen, en dat ipadres, of een
reeks ervan, in je smb.conf zetten als allowed.
en verder zorgen dat je user-authenticatie goed werkt.
als je eerder al geroepen hebt dat je wel allemaal andere mensen ziet in je samba-log die geweigerd worden omdat ze niet allowed zijn, lijkt het me dat je firewall wel goed is en 't "netjes" doorlaat..
mocht je nog meer willen weten of scp/vpn,
scp zelf op unix is nogal vrij standaard, voor windows heb je evt http://winscp.sf.net
en kwa vpn zou ik aanraden: http://www.openvpn.org.
(volledige encryptie van zowel authenticatie als verkeer, keuze op basis van certificaten of user/pass, en keuze tussen enkel bepaalde ipreeksen via de vpn routeren ipv vpn als default gateway vind ik iig de voor mij meest leuke punten)
One Unix to rule them all, One Resolver to find them, One IP to bring them all and in the zone to bind them.
|
|
