Samba 4: Unterschied zwischen den Versionen
HK (Diskussion | Beiträge) |
HK (Diskussion | Beiträge) (→Geschütztes Schülerverzeichniss) |
||
(21 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
− | + | = Tests = | |
* [[AD-DC-Debian-1]] | * [[AD-DC-Debian-1]] | ||
− | + | = Samba 4 als AD DC = | |
− | + | === Kein Password === | |
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
samba-tool domain passwordsettings set --complexity=off | samba-tool domain passwordsettings set --complexity=off | ||
Zeile 31: | Zeile 23: | ||
Versucht mit | Versucht mit | ||
* RSAT | * RSAT | ||
+ | ** Scheint das leere Password anzunehmen, danach kann mensch sich aber nicht mehr einloggen. | ||
* Windows Passwort ändern | * Windows Passwort ändern | ||
* samba-tool user setpassword | * samba-tool user setpassword | ||
− | ==== Create Shares | + | == Shares und Redirects == |
− | + | === Create Shares === | |
+ | ==== smb.conf ==== | ||
* /etc/samba/smb.conf | * /etc/samba/smb.conf | ||
− | + | ==== Samba Registry ==== | |
− | * net conf | + | |
+ | * net conf | ||
+ | |||
+ | ====== Add Share ====== | ||
+ | * net conf addshare <share> <path> writeable=y guest_ok=n '<comment>' | ||
+ | Wenn ein '''comment''' mit rein soll, will der Befehl auch das '''guest_ok=N''' haben, auch wenn '''guest_ok=N''' default ist. | ||
+ | * Nutze ich nicht, da ich keinen Mehrwert für meine Setups sehe und ich nicht plötzlich mit einer Registry anfangen will. | ||
+ | * Die Config wird erst beim Zugriff eines Clients auf das Share eingelesen | ||
+ | * registry soll schneller sein als smb.conf | ||
+ | * Alles, was mit der smb.conf geht, geht auch mit der Samba registry | ||
+ | === Roaming Profiles === | ||
+ | * Share "Profiles" erstellen | ||
+ | * Rechte des Ordners anpassen | ||
+ | * Roaming Profile im Benutzerkonto einrichten | ||
+ | * Per GPO geht auch, ist allerdings Maschinenabhängig | ||
− | |||
* https://wiki.samba.org/index.php/Roaming_Windows_User_Profiles#The_Windows_Roaming_Profile_Versions | * https://wiki.samba.org/index.php/Roaming_Windows_User_Profiles#The_Windows_Roaming_Profile_Versions | ||
+ | * https://www.windowspro.de/wolfgang-sommergut/roaming-profiles-einrichten-ueber-ad-benutzer-computer-gpos | ||
* https://wiki.samba.org/index.php/User_Home_Folders | * https://wiki.samba.org/index.php/User_Home_Folders | ||
* Festlegung per GPO oder Benutzer möglich | * Festlegung per GPO oder Benutzer möglich | ||
− | ==== Group Policies | + | === Rechte === |
+ | * Rechte per Windows setzen (Rechtsklick, Eigenschaften, Reiter "Sicherheit") | ||
+ | * Auf Linux-Server können die neu gesetzten Rechte einfach auch auf andere Ordner übertragen werden | ||
+ | ** getfacl <Folder> > acl.<Folder> | ||
+ | ** setfacl --modify-file=acl.<Folder> -R <Another Folder> | ||
+ | |||
+ | |||
+ | === Geschütztes Schülerverzeichniss === | ||
+ | * Problemstellung: manchmal verschieben Schüler und Schülerinnen aus versehen oder absichtlich Verzeichnisse in andere Verzeichnisse. | ||
+ | * Ansatz: | ||
+ | ** Nur Lehrkräfte können Verzeichnisse anlegen, verschieben oder löschen | ||
+ | ** Problemstellung: Die ACLs eines neuen Verzeichnisses, dass ein Lehrer angelegt hat, sind falsch. SchülerInnen können darin keine Dokumente anlegen | ||
+ | ** Ansatz: Das tiefste Verzeichniss finden und die ACLs entsprechend setzen (ausgeführt durch cron oder inotify) | ||
+ | * Ein Verzeichniss mit Schreibrechten für den Schüler erzeugen | ||
+ | * Mit getfacl <Verzeichniss> > acl.<datei>-rwx die ACLs Verzeichnisses sichern. | ||
+ | * Mit getfacl <Verzeichniss> > acl.<datei-rw die ACLS eines Verzeichnisse ohne Schreibrechte für die Schüler sichern, | ||
+ | ** Auszuführen im Documentenverzeichniss | ||
+ | * Nimmt dem Schüler sämtliche Schreibrechte in den Verzeichnissen | ||
+ | find . -type d -links -3 -prune -exec setfacl --modify-file=/local/samba/shares/schueler-rwx {} \; | ||
+ | * Gibt ihm Schreibrechte im tiefsten Verzeichniss zurück | ||
+ | find . -type d -links -3 -prune -exec setfacl --modify-file=acl.<datei> {} \; | ||
+ | Links: https://www.unix.com/unix-for-advanced-and-expert-users/264236-tip-how-get-deepest-directories.html | ||
+ | |||
+ | == Group Policies == | ||
− | + | === Folder Redirects === | |
− | * Zuweisung User | + | * Zuweisung: User |
+ | * Zu finden unter | ||
+ | * Benutzerkonfiguration=> Richtlinien=> Windows-Einstellungen=> Ordnerumleitung | ||
* Redirects für | * Redirects für | ||
Zeile 71: | Zeile 104: | ||
[https://support.microsoft.com/en-us/help/274443/how-to-dynamically-create-security-enhanced-redirected-folders-by-usin How to dynamically create security enhanced redirected folders] | [https://support.microsoft.com/en-us/help/274443/how-to-dynamically-create-security-enhanced-redirected-folders-by-usin How to dynamically create security enhanced redirected folders] | ||
− | + | === Drop Cortana === | |
− | * Zuweisung PC | + | * Zuweisung: PC |
* Abschalten von Cortana | * Abschalten von Cortana | ||
Unter '''Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Suche''' die Einstellung '''Cortana zulassen''' aufrufen und dort '''deaktivieren''' auswählen. | Unter '''Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Suche''' die Einstellung '''Cortana zulassen''' aufrufen und dort '''deaktivieren''' auswählen. | ||
+ | |||
+ | === No Lockscreen === | ||
+ | * Zuweisung: PC | ||
+ | |||
+ | * Kein Lockscreen, wenn sich jemand ausloggt oder kein User sich automatisch einloggt. | ||
+ | * Zu finden unter | ||
+ | * Computerkonfiguration=>Richtlinien=>Administrative Vorlagen=>Systemsteuerung=>Anpassen | ||
+ | * => '''Sperrbildschirm nicht anzeigen''' | ||
+ | |||
+ | * Anmerkung: geht NUR bei Edu | ||
+ | |||
+ | == DNS == | ||
+ | === Zonen anlegen === | ||
+ | * samba-tools dns zonecreate <server> <zonename> | ||
+ | Beispiele<br> | ||
+ | |||
+ | Forward zone | ||
+ | |||
+ | samba-tools dns zonecreate localhost example.com | ||
+ | |||
+ | samba-tools dns zonecreate localhost 2.168.192.in-addr.arpa | ||
+ | === Links === | ||
+ | [https://www.xinux.net/index.php/Samba-tool_dns samba-tools dns] |
Aktuelle Version vom 13. November 2018, 14:41 Uhr
Inhaltsverzeichnis
Tests
Samba 4 als AD DC
Kein Password
samba-tool domain passwordsettings set --complexity=off samba-tool domain passwordsettings set --history-length=0 samba-tool domain passwordsettings set --min-pwd-age=0 samba-tool domain passwordsettings set --max-pwd-age=0 samba-tool domain passwordsettings set --min-pwd-length=0
systemctl restart samba-ad-dc.service
Änderung des Passwortes mit RSAT Active Directory-Benutzer und -Computer Samba: Removing password complexity requirements under Samba4
samba-tool user setpassword
lässt anscheinden kein leeres Passwort zu.
Es ist nicht möglich, ein leeres Passwort zu setzen.
Minimum ist entgegen der Konfiguration 1 Zeichen.
Versucht mit
- RSAT
- Scheint das leere Password anzunehmen, danach kann mensch sich aber nicht mehr einloggen.
- Windows Passwort ändern
- samba-tool user setpassword
smb.conf
- /etc/samba/smb.conf
Samba Registry
- net conf
- net conf addshare <share> <path> writeable=y guest_ok=n '<comment>'
Wenn ein comment mit rein soll, will der Befehl auch das guest_ok=N haben, auch wenn guest_ok=N default ist.
- Nutze ich nicht, da ich keinen Mehrwert für meine Setups sehe und ich nicht plötzlich mit einer Registry anfangen will.
- Die Config wird erst beim Zugriff eines Clients auf das Share eingelesen
- registry soll schneller sein als smb.conf
- Alles, was mit der smb.conf geht, geht auch mit der Samba registry
Roaming Profiles
- Share "Profiles" erstellen
- Rechte des Ordners anpassen
- Roaming Profile im Benutzerkonto einrichten
- Per GPO geht auch, ist allerdings Maschinenabhängig
- https://wiki.samba.org/index.php/Roaming_Windows_User_Profiles#The_Windows_Roaming_Profile_Versions
- https://www.windowspro.de/wolfgang-sommergut/roaming-profiles-einrichten-ueber-ad-benutzer-computer-gpos
- https://wiki.samba.org/index.php/User_Home_Folders
- Festlegung per GPO oder Benutzer möglich
Rechte
- Rechte per Windows setzen (Rechtsklick, Eigenschaften, Reiter "Sicherheit")
- Auf Linux-Server können die neu gesetzten Rechte einfach auch auf andere Ordner übertragen werden
- getfacl <Folder> > acl.<Folder>
- setfacl --modify-file=acl.<Folder> -R <Another Folder>
Geschütztes Schülerverzeichniss
- Problemstellung: manchmal verschieben Schüler und Schülerinnen aus versehen oder absichtlich Verzeichnisse in andere Verzeichnisse.
- Ansatz:
- Nur Lehrkräfte können Verzeichnisse anlegen, verschieben oder löschen
- Problemstellung: Die ACLs eines neuen Verzeichnisses, dass ein Lehrer angelegt hat, sind falsch. SchülerInnen können darin keine Dokumente anlegen
- Ansatz: Das tiefste Verzeichniss finden und die ACLs entsprechend setzen (ausgeführt durch cron oder inotify)
- Ein Verzeichniss mit Schreibrechten für den Schüler erzeugen
- Mit getfacl <Verzeichniss> > acl.<datei>-rwx die ACLs Verzeichnisses sichern.
- Mit getfacl <Verzeichniss> > acl.<datei-rw die ACLS eines Verzeichnisse ohne Schreibrechte für die Schüler sichern,
- Auszuführen im Documentenverzeichniss
- Nimmt dem Schüler sämtliche Schreibrechte in den Verzeichnissen
find . -type d -links -3 -prune -exec setfacl --modify-file=/local/samba/shares/schueler-rwx {} \;
- Gibt ihm Schreibrechte im tiefsten Verzeichniss zurück
find . -type d -links -3 -prune -exec setfacl --modify-file=acl.<datei> {} \;
Links: https://www.unix.com/unix-for-advanced-and-expert-users/264236-tip-how-get-deepest-directories.html
Group Policies
Folder Redirects
- Zuweisung: User
- Zu finden unter
- Benutzerkonfiguration=> Richtlinien=> Windows-Einstellungen=> Ordnerumleitung
- Redirects für
- Dokumente (hier Pfad eingeben)
- Musik (folge Dokumente)
- Video (folge Dokumente)
- Bilder (folge Dokumente)
- Downloads (hier Pfad eingeben)
- Rechte für den Folder \\<server>\redirects
- CREATOR OWNER - Full Control (Apply onto: Subfolders and Files Only)
- System - Full Control (Apply onto: This Folder, Subfolders and Files)
- Domain Admins - Full Control (Apply onto: This Folder, Subfolders and Files)
- Everyone - Create Folder/Append Data (Apply onto: This Folder Only)
- Everyone - List Folder/Read Data (Apply onto: This Folder Only)
- Everyone - Read Attributes (Apply onto: This Folder Only)
- Everyone - Traverse Folder/Execute File (Apply onto: This Folder Only)
How to dynamically create security enhanced redirected folders
Drop Cortana
- Zuweisung: PC
- Abschalten von Cortana
Unter Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Suche die Einstellung Cortana zulassen aufrufen und dort deaktivieren auswählen.
No Lockscreen
- Zuweisung: PC
- Kein Lockscreen, wenn sich jemand ausloggt oder kein User sich automatisch einloggt.
- Zu finden unter
- Computerkonfiguration=>Richtlinien=>Administrative Vorlagen=>Systemsteuerung=>Anpassen
- => Sperrbildschirm nicht anzeigen
- Anmerkung: geht NUR bei Edu
DNS
Zonen anlegen
- samba-tools dns zonecreate <server> <zonename>
Beispiele
Forward zone samba-tools dns zonecreate localhost example.com samba-tools dns zonecreate localhost 2.168.192.in-addr.arpa