Sambauser ohne Systemuser?

Zorki_5fb587 · 10. November 2019 um 12:07

Geht das? Ich habe bislang überall gelesen, man bräuchte auch einen
Systemuser. Wenn ja wozu? Mir erschließt sich der Sinn nicht, es
ist doch durchaus denkbar, dass die Menschen im Netzwerk nur
Drucken können sollen (personifiziert), ohne spezielle Privilegien
auf dem Server zu erhalten. Oder?

Gruß Stephan

Lorgarn_bd1220 · 10. November 2019 um 12:08

Geht das? Ich habe bislang überall gelesen, man bräuchte auch
einen
Systemuser. Wenn ja wozu? Mir erschließt sich der Sinn nicht,
es
ist doch durchaus denkbar, dass die Menschen im Netzwerk nur
Drucken können sollen (personifiziert), ohne spezielle
Privilegien
auf dem Server zu erhalten. Oder?

Ich glaube da kommst Du nicht dran vorbei. Dem SAMA will man nicht zugriffsrechte für alles geben und schon gar nicht root Rechte, damit den keiner deiner bösen Benutzer Highjacken kann. Und der individuelle Nutzer muß sich dann selber, einzeln authentifizieren und für die Regelung der Zugriffsrechte die endsprechung eines Unnix/Linux Accounts auf der Maschine haben. Wie das genau aussieht, wenn man über Samba nur auf den Drucker zugreifen möchte, weiß ich nicht genau, aber ich fürchte das verhällt sich ähnlich.

Marvin_c530f3 · 10. November 2019 um 12:08

Hallo Stephan,

Geht das? Ich habe bislang überall gelesen, man bräuchte auch
einen
Systemuser. Wenn ja wozu? Mir erschließt sich der Sinn nicht,

Ich nehme mal an, mit Systemuser meinst Du root. Natürlich brauchst Du zum z.B. zum Einrichten von Usern, zum Vergeben von Rechten usw. root-Rechte.

es
ist doch durchaus denkbar, dass die Menschen im Netzwerk nur
Drucken können sollen (personifiziert), ohne spezielle
Privilegien
auf dem Server zu erhalten.

Wenn ich dich richtig verstehe, dann verwechselst Du was. Das Spool-Verzeichnis zum Drucken /var/spool/samba muss root gehören, durch setzen des Sticky-Bits
http://de.wikipedia.org/wiki/Sticky_Bit
wird das Verzeichnis aber trotzdem für den öffentlichen Schreib-Lese-Zugriff zugänglich gemacht. Die User, die dann von root eingerichtet wurden (mittels useradd und smbpasswd) können dann durchaus drucken, auch als normale User.
Aber die Rechte usw. werden vom root vergeben, was ja auch relativ normal ist. Stell dir das Chaos vor, wenn jeder normale User nach Belieben in den Konfigurationen rumpfuschen, andere User aussperren und sonstigen Schabernack treiben könnte.
Aber ich sehe auch das Problem nicht, root existiert immer im System.

Viele Grüße
Marvin

Der_Frank_176821 · 10. November 2019 um 12:08

Geht das? Ich habe bislang überall gelesen, man bräuchte auch
einen Systemuser.

Ich hab die anderen Antworten nicht verstanden und ich hab zwar noch nie was mit Samba gemacht, aber schnelles Ueberfliegen der Konfiguration eines benachbarten Rechners, auf den das Paket irgendwie draufgewandert ist, offenbart, dass Samba PAM benutzen kann und PAM kann so ziemlich jede Datenbank abfragen, um Nutzer zu finden. Denkbar waeren da z.B. LDAP (eg. ein AD) oder MySQL. Zusammen mit Samba bietet sich vielleicht auch winbind an. Die meisten Pakete klemmen da wohl einfach pam_unix.so dahinter.

Ob das ganze so toll ist, moechte ich auch bezweifeln: offenbar laesst Samba das PAM links liegen, wenn das password verschluesselt uebermittelt wurde und Klartext-Passwoerter in einem Protokoll, was AFAIK ueberwiegend auf broadcast basiert…

HTH,
Gruss vom Frank.

Zorki_5fb587 · 10. November 2019 um 12:10

Hallo Marvin,

ich meinte nicht root als ich sagte Systemuser, war vieleicht ein bisschen undeutlich.
Was ich nicht verstehe, ist warum man einen User mit smbpasswd und useradd anlegen muss. Es müsste Samba doch reicher die User in der eigenen Datenbank / Datei zu verwalten, dann würde ein smbpasswd vollkommen ausreichen.
Aber warum auch immer müssen sämtliche User von Samba auch beim eigentlichen Betriebssystem angemeldet sein.
Das ist wie wenn ich auf einem Server für jeden FTP oder MYSQL-User erstmal mit useradd ein Konto am System anmelden müsste. Das schnall ich nicht.

Gruß Stephan

Marvin_c530f3 · 10. November 2019 um 12:10

Hallo Stephan,

ich meinte nicht root als ich sagte Systemuser, war vieleicht
ein bisschen undeutlich.

Naja, ist mir irgendwann auch eingefallen, daß Systemuser einfach bloß „User im System“ also kurz, normaler User, heissen sollte. Tut mir leid, daß ich da an deiner Anfrage vorbei geredet habe.

Was ich nicht verstehe, ist warum man einen User mit smbpasswd
und useradd anlegen muss. Es müsste Samba doch reicher die
User in der eigenen Datenbank / Datei zu verwalten, dann würde
ein smbpasswd vollkommen ausreichen.
Aber warum auch immer müssen sämtliche User von Samba auch
beim eigentlichen Betriebssystem angemeldet sein.

So genau kann ich dir das jetzt auch nicht sagen. Nur meine Überlegungen dazu, die natürlich nicht richtig sein müssen:
Zuallererst müssen die User ja irgendwie in die Samba-eigene Userverwaltung reinkommen. Natürlich könnten einfach alle vorhandenen User automatisch übernommen werden, aber wäre das immer wünschenswert?
Und dann, wie sollte Samba von der Anwesenheit eines Users erfahren, der nicht beim eigentlichen Betriebssystem angemeldet ist? Und wie sollte dieser User Samba benutzen können, wenn er sich nicht beim Betriebssystem anmelden kann? Eine anonyme Anmeldung wie bei FTP wäre ja denkbar, aber abgesehen wiederum von Sicherheitsproblemen, dies wäre ja auch wiederum nur vom Betriebssystem als Plattform aus möglich.

Das ist wie wenn ich auf einem Server für jeden FTP oder
MYSQL-User erstmal mit useradd ein Konto am System anmelden
müsste. Das schnall ich nicht.

Naja, zumindest für MySQL werkeln im Hintergrund ja auch die Tabellen (Grant-Tabellen), die die User verwalten. Nur daß die eben default-mäßig ein root-Konto ohne Passwort und, je nach Betriebssystem, ein bis zwei anonyme User anlegen, ebenfalls ohne Passwort. Es gibt dann doch noch Einschränkungen, aber aus sicherheitstechnischen Gründen ist das natürlich haarsträubend. Und so wird dann auch empfohlen, entweder Passwörter einzurichten oder die Konten zu entfernen.
Aber langer Rede kurzer Sinn, auch in MySQL gibt es sowas wie useradd. Zu FTP habe ich mich ja oben schon geäussert.
Mag sein, daß Dir das nicht einleuchtet. Aber wie schon gesagt, ich sehe auch weiterhin das Problem nicht. Das Anlegen von Usern ist eine einmalige Angelegenheit und schnell erledigt. Sicher gibt es auch graphische Oberflächen dafür, die das noch vereinfachen. Und für den Rest des Lebens wird man damit nicht mehr belästigt, um es jetzt mal etwas zu vereinfacht zu sagen.

Ich hoffe, daß ich jetzt deine Frage besser getroffen habe, wenn ich dich wahrscheinlich auch nicht von der Notwendigkeit einer Userverwaltung unter Samba überzeugen konnte.

Viele Grüße
Marvin

Lorgarn_bd1220 · 10. November 2019 um 12:10

Was ich nicht verstehe, ist warum man einen User mit smbpasswd
und useradd anlegen muss. Es müsste Samba doch reicher die
User in der eigenen Datenbank / Datei zu verwalten, dann würde
ein smbpasswd vollkommen ausreichen.

Nein, eben nicht. Unterschiedliche Benutzer müssen eigene Zugriffsrechte auf das Dateisystem haben. Die kann sich der Samba nicht einfach ausdenken. Genausowenig, möchte man dem Samba Zugiffsrechte auf alle verfügbaren shares oder sogar das gesamt Filesystem geben, weil das ganz böses FuFu ist, wenn ein Bösewicht Dir den Samba entführt.

Aber warum auch immer müssen sämtliche User von Samba auch
beim eigentlichen Betriebssystem angemeldet sein.
Das ist wie wenn ich auf einem Server für jeden FTP oder
MYSQL-User erstmal mit useradd ein Konto am System anmelden
müsste. Das schnall ich nicht.

Siehe oben. Anonymer Zugriff wie bei FTP ist über Samba mit dem gast Account ohne weiteres möglich, ohne Unix User anzulegen.