Private Shares (Home) und Public Shares (usershare?)

UCS - Univention Corporate Server
#1

Hallo zusammen.

Aufgrund struktureller Veränderungen im Betrieb bin ich seit ein paar Wochen mit Samba4 konfrontiert und im Zuge dessen seit ein paar Tagen damit beschäftigt einen Univention Server einzurichten.
Bisher bin ich im großen und ganzen sehr zufrieden, allerdings bin ich jetzt auf zwei Problematiken gestoßen, wo weder bisherige Foreneinträge, noch die Dokumentation ausreichend Hilfe geben.

1: Home Freigabe mit CIFS.

Ich habe es mit Hilfe der Dokumentation hinbekommen Private Shares für jeden Nutzer einzurichten. Allerdings gefällt mir die Art der Aufteilung nicht wirklich, die wie folgt aussieht:
UCS:
[ul][li]intern[/li]
[li]public[/li]
[li]privat
[list][]member_a[/li][li]member_b[/li][li]member_c[/li][/ul][/:m]
[li]share_x[/li]
[li]share_y[/li]
[li]sysvol[/li]
[li]netlogon[/li][/list:u]

die Rechtevergabe passt, jeder User kann nur auf seinen privaten Ordner zugreifen, sieht halt aber die restlichen.
Gibt es eine Möglichkeit die Freigabe so einzurichten, das jeder User im Wurzelverzeichnis nur seinen privaten Ordner sieht?
Quasi so:

UCS:
[ul][li]intern[/li]
[li]public[/li]
[li]member_a[/li]
[li]share_x[/li]
[li]share_y[/li]
[li]sysvol[/li]
[li]netlogon[/li][/ul]

  1. Public Share

das Anlegen eines Shares auf dem Jeder Zugriff hat ist grundsätzlich kein Problem, aber:
Sobald ein Rechner außerhalb der Domäne, innerhalb des internen Netzes, auf die Shares zugreifen will, wird eine Authentifizierung verlangt. Was das einrichten eines Public Shares ziemlich unbrauchbar macht (Soll genutzt werden wenn größere Daten, mit z.B. Kunden die im Haus zu Gast sind, ausgetauscht werden sollen, die natürlich nicht in die Domäne joinen sollen)

Gibt es eine Möglichkeit den Zugriff auf den Server und die Share-Übersicht für alle im gleichen Netz (internes Firmennetz, von außen nicht erreichbar bevor jemand schreit “Sicherheitsrisiko” ;)…) zu öffnen, so dass auf den Public-Share ohne Authentifizierung zugegriffen werden kann?

Aus dem Samba4-Wiki kenne ich die Möglichkeit der globalen Variable

ist diese unter Univention realisierbar?

über
/etc/univention/templates/files/etc/samba/smb.conf.d/
bin ich auf die Univention Configuration Registry Einträge
samba/usershare/… gestoßen, v.a. allow_guests, allerdings gibt es dazu keine Dokumentation (oder ich habe sie nicht gefunden?) die mir weiterhelfen kann.

Danke für jeden Tipp und schöne Grüße,
m.s

Samba guest
#2

Hallo!

Bin nicht der Crack aber unter

https://wiki.ubuntuusers.de/Samba_server/smb.conf

findet sich was zu browseable=no

#3

Update:

  1. Home Freigaben:

ich muss den Abschnitt mit den Homes komplett überlesen haben.
Die Einrichtung hat einwandfrei funktioniert.

  1. Public Share

da bin ich noch immer nicht weiter gekommen.
(Univention Configuration Registry Einträge samba/usershare/ sind was anderes, wie ich mittlerweile gelernt habe :)…)

aus der samba-config:

[global]
map to guest = Bad User

[public]
path = /shares/public
read only = no
guest ok = yes

das von goddi erwähnte browseable beeinflusst nur ob Windows die shares im Explorer anzeigt oder nicht.
Zugriff über das Eintragen des Pfades in die Adressleiste ist ja immer möglich.

Mir fehlt weiterhin die Möglichkeit ohne Authentifizierung auf das Wurzelverzeichnis der Freigabe zuzugreifen, um damit als Gast auf den Share “Public” zu gelangen.

Gibt es innerhalb der UMC etwas, dass ich übersehe?
Oder muss ich direkt über Manipulation der univention-templates arbeiten?
(unter global die parameter create mask = 0777 und directory mask = 0777 eintragen?, kenne es so zumindest aus samba 3, und der public-share hat diese optionen auch)

#4

Moin,

meine Vermutung ist, dass Samba 4 im AD-Modus schlicht keine Gast-Anmeldung anbietet. Siehe Man-Page zu smb.conf, Parameter »auth methods«. Leider ist die Man-Page etwas vage, was den exakten Default-Wert für »auth methods« bzgl. der verschiedenen security-Modi betrifft.

Warum diese Annahme? Ein Samba verlangt bereits beim ersten Zugriff auf den Server selber (also z.B. »\server«) und nicht erst beim Zugriff auf eine Share (»\server\share«) eine Anmeldung. Ist Gast-Anmeldung in »auth methods« enthalten, so sollte zumindest dieser erste Zugriff auch ohne Passwort funktionieren.

#5

hallo! hab noch nicht ausprobiert aber u.U nutzt es

http://www.linux-praxis.de/linux3/samba1.html

#6

Nichts für Ungut, aber die meisten Seiten im Netz beschreiben nur Samba 3. Samba 4 ist doch eine Ecke anders, vor allem im AD-Modus. Dass die Webseite falsches Encoding mitschickt (und damit Umlaute nicht richtig angezeigt werden) und die Screenshots Windows 9x zeigen, lässt nicht gerade auf Aktualität schließen.

#7

Hallo!
Ich bin nur ein etwas unbedarfter Leser, der sich seit paar Jahren durch diverse Sambaprobleme quält und am Thema interessiert ist.

Ich dache eher zu “mal ausprobieren”. Eine Domäne ist natürlich keine Arbeitsgruppe.

Es stellt sich natürlich die Frage nach der Windowsversion und wie dessen Benutzerkontensteuerung überhaupt bei Netzwerkzugriff
auf Fehlen eines Passwortes bzw auf Gast reagiert.
Falls das beim Zugriff auf einen Windowsserver funktioniert, sollte es auch auf Samba funktionieren.
XP z.B war aber da auch noch anders gestrickt als z.B win10

Mastodon