Samba 4: Unterschied zwischen den Versionen

Aus Vosp.info
Wechseln zu:Navigation, Suche
(Group Policies)
(Geschütztes Schülerverzeichniss)
 
(31 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
== Tests ==
+
= Tests =
 
* [[AD-DC-Debian-1]]
 
* [[AD-DC-Debian-1]]
  
 
+
= Samba 4 als AD DC =
 
+
=== Kein Password ===
== Installation ==
 
* Sernet-Samba 4
 
* Konto bei Sernet nötig
 
== Shares und Redirects ==
 
==== Profiles Share ====
 
* https://wiki.samba.org/index.php/Roaming_Windows_User_Profiles#The_Windows_Roaming_Profile_Versions
 
* https://wiki.samba.org/index.php/User_Home_Folders
 
 
 
== SAMBA Tricks ==
 
=== Samba 4 als AD DC ===
 
==== Keine Default Domain Policy Änderung möglich ====
 
Die Gruppenrichtlienen haben augenscheinlich keinen Effekt auf den DC.<br>
 
Abhilfe schafft '''samba-tool'''
 
 
 
===== Kein Password =====
 
  
 
  samba-tool domain passwordsettings set --complexity=off
 
  samba-tool domain passwordsettings set --complexity=off
Zeile 38: Zeile 23:
 
Versucht mit  
 
Versucht mit  
 
* RSAT
 
* RSAT
 +
** Scheint das leere Password anzunehmen, danach kann mensch sich aber nicht mehr einloggen.
 
* Windows Passwort ändern
 
* Windows Passwort ändern
 
* samba-tool user setpassword
 
* samba-tool user setpassword
  
===== Group Policies =====
+
== Shares und Redirects ==
 +
=== Create Shares ===
 +
==== smb.conf ====
 +
* /etc/samba/smb.conf
 +
==== Samba Registry ====
  
====== Folder Redirects ======
+
* net conf
 +
 
 +
====== Add Share ======
 +
* net conf addshare <share> <path> writeable=y guest_ok=n '<comment>'
 +
Wenn ein '''comment''' mit rein soll, will der Befehl auch das '''guest_ok=N''' haben, auch wenn '''guest_ok=N'''  default ist.
 +
* Nutze ich nicht, da ich keinen Mehrwert für meine Setups sehe und ich nicht plötzlich mit einer Registry anfangen will.
 +
* Die Config wird erst beim Zugriff eines Clients auf das Share eingelesen
 +
* registry soll schneller sein als smb.conf
 +
* Alles, was mit der smb.conf geht, geht auch mit der Samba registry
 +
 
 +
=== Roaming Profiles ===
 +
* Share "Profiles" erstellen
 +
* Rechte des Ordners anpassen
 +
* Roaming Profile im Benutzerkonto einrichten
 +
* Per GPO geht auch, ist allerdings Maschinenabhängig
 +
 
 +
* https://wiki.samba.org/index.php/Roaming_Windows_User_Profiles#The_Windows_Roaming_Profile_Versions
 +
* https://www.windowspro.de/wolfgang-sommergut/roaming-profiles-einrichten-ueber-ad-benutzer-computer-gpos
 +
* https://wiki.samba.org/index.php/User_Home_Folders
 +
* Festlegung per GPO oder Benutzer möglich
 +
 
 +
=== Rechte ===
 +
* Rechte per Windows setzen (Rechtsklick, Eigenschaften, Reiter "Sicherheit")
 +
* Auf Linux-Server können die neu gesetzten Rechte einfach auch auf andere Ordner übertragen werden
 +
** getfacl <Folder> > acl.<Folder>
 +
** setfacl --modify-file=acl.<Folder> -R <Another Folder>
 +
 
 +
 
 +
=== Geschütztes Schülerverzeichniss ===
 +
* Problemstellung: manchmal verschieben Schüler und Schülerinnen aus versehen oder absichtlich Verzeichnisse in andere Verzeichnisse.
 +
* Ansatz:
 +
** Nur Lehrkräfte können Verzeichnisse anlegen, verschieben oder löschen
 +
** Problemstellung: Die ACLs eines neuen Verzeichnisses, dass ein Lehrer angelegt hat, sind falsch. SchülerInnen können darin keine Dokumente anlegen
 +
** Ansatz: Das tiefste Verzeichniss finden und die ACLs entsprechend setzen (ausgeführt durch cron oder inotify)
 +
* Ein Verzeichniss mit Schreibrechten für den Schüler erzeugen
 +
* Mit getfacl <Verzeichniss> > acl.<datei>-rwx die ACLs  Verzeichnisses sichern.
 +
* Mit getfacl <Verzeichniss> > acl.<datei-rw die ACLS eines Verzeichnisse ohne Schreibrechte für die Schüler sichern,
 +
** Auszuführen im Documentenverzeichniss
 +
* Nimmt dem Schüler sämtliche Schreibrechte in den Verzeichnissen
 +
find . -type d -links -3 -prune -exec setfacl --modify-file=/local/samba/shares/schueler-rwx {} \;
 +
* Gibt ihm Schreibrechte im tiefsten Verzeichniss zurück
 +
find . -type d -links -3 -prune -exec setfacl --modify-file=acl.<datei> {} \;
 +
Links: https://www.unix.com/unix-for-advanced-and-expert-users/264236-tip-how-get-deepest-directories.html
 +
 
 +
== Group Policies ==
 +
 
 +
=== Folder Redirects ===
 +
* Zuweisung: User
 +
* Zu finden unter
 +
* Benutzerkonfiguration=> Richtlinien=> Windows-Einstellungen=> Ordnerumleitung
  
 
* Redirects für
 
* Redirects für
 
** Dokumente (hier Pfad eingeben)
 
** Dokumente (hier Pfad eingeben)
** Musik (folge Dokumete)
+
** Musik (folge Dokumente)
** Video (folge Dokumete)
+
** Video (folge Dokumente)
** Bilder (folge Dokumete)
+
** Bilder (folge Dokumente)
 +
** Downloads (hier Pfad eingeben)
 +
 
 +
* Rechte für den Folder \\<server>\redirects
 +
** CREATOR OWNER - Full Control (Apply onto: Subfolders and Files Only)
 +
** System - Full Control (Apply onto: This Folder, Subfolders and Files)
 +
** Domain Admins - Full Control (Apply onto: This Folder, Subfolders and Files)
 +
** Everyone - Create Folder/Append Data (Apply onto: This Folder Only)
 +
** Everyone - List Folder/Read Data (Apply onto: This Folder Only)
 +
** Everyone - Read Attributes (Apply onto: This Folder Only)
 +
** Everyone - Traverse Folder/Execute File (Apply onto: This Folder Only)
 +
 
 +
 
 +
 
 +
[https://support.microsoft.com/en-us/help/274443/how-to-dynamically-create-security-enhanced-redirected-folders-by-usin How to dynamically create security enhanced redirected folders]
 +
 
 +
=== Drop Cortana ===
 +
* Zuweisung: PC
 +
 
 +
* Abschalten von Cortana
 +
Unter '''Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Suche''' die Einstellung '''Cortana zulassen''' aufrufen und dort '''deaktivieren''' auswählen.
 +
 
 +
=== No Lockscreen ===
 +
* Zuweisung: PC
 +
 
 +
* Kein Lockscreen, wenn sich jemand ausloggt oder kein User sich automatisch einloggt.
 +
* Zu finden unter
 +
* Computerkonfiguration=>Richtlinien=>Administrative Vorlagen=>Systemsteuerung=>Anpassen
 +
* => '''Sperrbildschirm nicht anzeigen'''
 +
 
 +
* Anmerkung: geht NUR bei Edu
 +
 
 +
== DNS ==
 +
=== Zonen anlegen ===
 +
* samba-tools dns zonecreate <server> <zonename>
 +
Beispiele<br>
 +
 
 +
Forward zone
 +
 +
samba-tools dns zonecreate localhost example.com
 +
 +
samba-tools dns zonecreate localhost 2.168.192.in-addr.arpa
 +
=== Links ===
 +
[https://www.xinux.net/index.php/Samba-tool_dns samba-tools dns]

Aktuelle Version vom 13. November 2018, 14:41 Uhr

Tests

Samba 4 als AD DC

Kein Password

samba-tool domain passwordsettings set --complexity=off
samba-tool domain passwordsettings set --history-length=0
samba-tool domain passwordsettings set --min-pwd-age=0
samba-tool domain passwordsettings set --max-pwd-age=0
samba-tool domain passwordsettings set --min-pwd-length=0
systemctl restart samba-ad-dc.service

Änderung des Passwortes mit RSAT Active Directory-Benutzer und -Computer Samba: Removing password complexity requirements under Samba4

samba-tool user setpassword

lässt anscheinden kein leeres Passwort zu.
Es ist nicht möglich, ein leeres Passwort zu setzen.
Minimum ist entgegen der Konfiguration 1 Zeichen.

Versucht mit

  • RSAT
    • Scheint das leere Password anzunehmen, danach kann mensch sich aber nicht mehr einloggen.
  • Windows Passwort ändern
  • samba-tool user setpassword

Shares und Redirects

Create Shares

smb.conf

  • /etc/samba/smb.conf

Samba Registry

  • net conf
Add Share
  • net conf addshare <share> <path> writeable=y guest_ok=n '<comment>'

Wenn ein comment mit rein soll, will der Befehl auch das guest_ok=N haben, auch wenn guest_ok=N default ist.

  • Nutze ich nicht, da ich keinen Mehrwert für meine Setups sehe und ich nicht plötzlich mit einer Registry anfangen will.
  • Die Config wird erst beim Zugriff eines Clients auf das Share eingelesen
  • registry soll schneller sein als smb.conf
  • Alles, was mit der smb.conf geht, geht auch mit der Samba registry

Roaming Profiles

  • Share "Profiles" erstellen
  • Rechte des Ordners anpassen
  • Roaming Profile im Benutzerkonto einrichten
  • Per GPO geht auch, ist allerdings Maschinenabhängig

Rechte

  • Rechte per Windows setzen (Rechtsklick, Eigenschaften, Reiter "Sicherheit")
  • Auf Linux-Server können die neu gesetzten Rechte einfach auch auf andere Ordner übertragen werden
    • getfacl <Folder> > acl.<Folder>
    • setfacl --modify-file=acl.<Folder> -R <Another Folder>


Geschütztes Schülerverzeichniss

  • Problemstellung: manchmal verschieben Schüler und Schülerinnen aus versehen oder absichtlich Verzeichnisse in andere Verzeichnisse.
  • Ansatz:
    • Nur Lehrkräfte können Verzeichnisse anlegen, verschieben oder löschen
    • Problemstellung: Die ACLs eines neuen Verzeichnisses, dass ein Lehrer angelegt hat, sind falsch. SchülerInnen können darin keine Dokumente anlegen
    • Ansatz: Das tiefste Verzeichniss finden und die ACLs entsprechend setzen (ausgeführt durch cron oder inotify)
  • Ein Verzeichniss mit Schreibrechten für den Schüler erzeugen
  • Mit getfacl <Verzeichniss> > acl.<datei>-rwx die ACLs Verzeichnisses sichern.
  • Mit getfacl <Verzeichniss> > acl.<datei-rw die ACLS eines Verzeichnisse ohne Schreibrechte für die Schüler sichern,
    • Auszuführen im Documentenverzeichniss
  • Nimmt dem Schüler sämtliche Schreibrechte in den Verzeichnissen
find . -type d -links -3 -prune -exec setfacl --modify-file=/local/samba/shares/schueler-rwx {} \;
  • Gibt ihm Schreibrechte im tiefsten Verzeichniss zurück
find . -type d -links -3 -prune -exec setfacl --modify-file=acl.<datei> {} \;

Links: https://www.unix.com/unix-for-advanced-and-expert-users/264236-tip-how-get-deepest-directories.html

Group Policies

Folder Redirects

  • Zuweisung: User
  • Zu finden unter
  • Benutzerkonfiguration=> Richtlinien=> Windows-Einstellungen=> Ordnerumleitung
  • Redirects für
    • Dokumente (hier Pfad eingeben)
    • Musik (folge Dokumente)
    • Video (folge Dokumente)
    • Bilder (folge Dokumente)
    • Downloads (hier Pfad eingeben)
  • Rechte für den Folder \\<server>\redirects
    • CREATOR OWNER - Full Control (Apply onto: Subfolders and Files Only)
    • System - Full Control (Apply onto: This Folder, Subfolders and Files)
    • Domain Admins - Full Control (Apply onto: This Folder, Subfolders and Files)
    • Everyone - Create Folder/Append Data (Apply onto: This Folder Only)
    • Everyone - List Folder/Read Data (Apply onto: This Folder Only)
    • Everyone - Read Attributes (Apply onto: This Folder Only)
    • Everyone - Traverse Folder/Execute File (Apply onto: This Folder Only)


How to dynamically create security enhanced redirected folders

Drop Cortana

  • Zuweisung: PC
  • Abschalten von Cortana

Unter Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Suche die Einstellung Cortana zulassen aufrufen und dort deaktivieren auswählen.

No Lockscreen

  • Zuweisung: PC
  • Kein Lockscreen, wenn sich jemand ausloggt oder kein User sich automatisch einloggt.
  • Zu finden unter
  • Computerkonfiguration=>Richtlinien=>Administrative Vorlagen=>Systemsteuerung=>Anpassen
  • => Sperrbildschirm nicht anzeigen
  • Anmerkung: geht NUR bei Edu

DNS

Zonen anlegen

  • samba-tools dns zonecreate <server> <zonename>

Beispiele

Forward zone

samba-tools dns zonecreate localhost example.com

samba-tools dns zonecreate localhost 2.168.192.in-addr.arpa

Links

samba-tools dns