Re: Automatisches Authentifizieren am Samba-Server
Hallo,
>> Von einer Domäne hat Alexander überhaupt nichts geschrieben.
>
>stimmt. allerdings war ich (und bin ich eigentlich auch noch) der
>Meinung, dass man nur dann die Shares so ohne Weiteres auf dem
>Samba-Server durchsuchen kann, wenn man sich an der Domäne anmeldet.
Nein, das ist unter den beschriebenen Umständen auch ohne Domäne möglich.
>ich bin davon ausgegangen, dass Netzwerkfunktionalität besteht und die
>besteht bei WinXP Home meines Wissens nicht => WinXP Prof
Netzwerkfunktionlität im Sinne eines funktionierenden TCP/IP Stack ist bei
Windows XP Home gegeben. Im Gegensatz zu Windows NT 4 Workstation ist TCP/IP
bei XP Home auch nicht künstlich eingeschränkt.
Was XP Home nicht hat, ist das Domänenmodell. Das heisst, man hat keine
zentrale Benutzerverwaltung, keine zentrale Administration, keine
Gruppenrichtlinien, keine servergestützten Profile etc. Stattdessen muss
man auf jedem Rechner die User einzeln anlegen, zudem ist die Anzahl
möglicher User pro Rechner beschränkt.
Zum Zugriff auf Samba Freigaben ist das alles aber gar nicht nötig. Username
und Passwort genügen, alles weitere regeln die Samba-Konfiguration und die
Unix-Zugriffsrechte.
>> Bei NFS kann das von Alexander beschriebene Problem nicht auftauchen, da NFS
>> seine Clients anhand der IP-Adresse autorisiert.
>
>hm. :( ich dachte, die UID spielt für den Zugriff wohl auch eine Rolle.
Für den Zugriff auf den Server nicht, aber für den Zugriff auf einzelne
Dateien natürlich schon.
Das Sicherheitsmodell von NFS setzt voraus, dass sich Server und Clients
unter der gleichen administrativen Kontrolle befinden. Es eignet sich nicht
für Umgebungen, in denen das nicht der Fall ist - z.B. wenn der Nutzer
seinen eigenen Client PC administriert. Er kann sich dann einfach weitere
Accounts mit anderen UIDs geben und dann auf dem NFS Server auf fremde
Dateien zugreifen.
>Und ohne Anmeldung (hier am LDAP) wird doch gar keine UID zugewiesen und
>was nützt da das NFS und die IP? Will sagen: NFS ist doch nicht alles.
Jeder User, der einem Unix System bekannt ist, hat eine UID. Wenn man keine
zentrale Benutzerverwaltung einsetzt, muss man die User auf dem System
einzeln anlegen -- und beim Einsatz von NFS genau darauf achten, überall
die selben UIDs zu vergeben.
Der NSS Mechanismus (wozu auch NIS und LDAP gehören) ist nichts anderes als
eine Verlagerung der Informationen über die bekannten Benutzer, Gruppen etc.
in eine externe Datenquelle. Gib' mal auf einem System, das z.B. nss_ldap
verwendet, das Kommando "getent passwd" ein. Das listet alle dem System
bekannten Benutzer auf, in genau dem Format, wie man sie auch in der lokalen
/etc/passwd eintragen könnte.
NFS und NSS sind unabhängige Dinge, die unterschiedliche Probleme lösen.
Auch wenn es häufig sinnvoll ist, beides zu kombinieren.
>Aber
>das ist gar nicht das Thema, sondern doch nur, dass er bei Linux-Clients
>ein gleiches oder zumindest ähnliches Verhalten wie bei Windows-Clients
>erreichen wollte. Und m.E. wurde mit dieser Anleitung genau das
>erreicht, wenn auch mit anderen Mitteln. Es ging mir also nur darum zu
>sagen, dass man das erreichen kann.
Da stimme ich dir völlig zu.
Gruß, Harald
Reply to: