Weiter Zurück Inhalt

3. Benutzer

Linux und auch Windows ab NT unterscheidet nach Benutzer, damit wird auch ein Benutzerkennwort erforderlich. Da SAMBA unter Unix läuft, nutzt es natürlich dessen Benutzerkonzept. Leider ist dieses Konzept vom WindowsNT-Konzept völlig verschieden. Die daraus resultierenden Probleme müssen gelöst werden.

Normalerweise sollte jedem Benutzer ein Benutzerkonto eingerichtet werden. Man kann allerdings auch einrichten, daß ein Benutzer unter anderem Namen am Client als am Unix angemeldet ist. Dazu kann man eine Mapping-Datei nutzen, darauf möchte ich hier aber nicht weiter eingehen, sondern nur auf die Möglichkeit verweisen.

3.1 Verschlüsselung

Frühere Versionen des SMB übertrugen Passwörter im Klartext, mittlerweile, mit Win 9x/NT, werden Passwörter verschlüsselt übertragen. SAMBA kann mit beiden Varianten umgehen.

Falls Sie ältere Clients haben, die nicht verschlüsseln können, müssen Sie SAMBA so einstellen, daß Klartext-Passwörter akzeptiert werden. Clients, die normalerweise verschlüsselt übertragen wollen, müssen dann auf unverschlüsselt umgestellt werden. Im SAMBA-Paket finden sich dazu passende Registry-Anweisungen.

Wo immer möglich sollte dies aber nicht erfolgen, sondern mit verschlüsselten Passworten gearbeitet werden.

Da Windows eine andere Verschlüsselungsroutine als Linux benutzt, sind die Linux-Passwortdateien (passwd, shadow) oder die NIS-Datenbank so nicht nutzbar. SAMBA verwendet die smbpasswd im private-Verzeichnis.

Zur Verwaltung der verschlüsselten SMB-Passwörter dient das Programm smbpasswd.

Wer von unverschlüsselten zu verschlüsselten Passwörtern migrieren will, kann mittels folgendem Aufruf erst einmal alle Benutzer aus /etc/passwd in der /usr/local/samba/private/smbpasswd erfassen:

cat /etc/passwd | /usr/src/samba/script/mksmbpasswd.sh > /usr/local/samba/private/smbpasswd

Damit sind alle Passwörter allerdings auf leer gesetzt, weil es keinen Weg gibt, ein Passwort zu entschlüsseln.

Ich habe das vor einiger Zeit auch an einigen Firmenstandorten gemacht, anschließend mit folgenden Einträgen in der smb.cond den Umstieg mir erleichtert:

update encrypted = yes
encrypt password = no

Nach einiger Zeit, wenn sich alle wenigstens einmal angemeldet haben, disabled man das update und enabled verschlüsselte Passwörter - die User merken davon nix.

3.2 Browsing

Unter Windows hat man die 'Netzwerkumgebung'. Sicher hat der eine oder andere schon einmal bemerkt, daß es da mitunter lustige Effekte gibt. Beispiel:

  1. Rechner A ist zwar nicht zu sehen, aber wenn man seinen Namen kennt, kann man dennoch darauf zugreifen
  2. Rechner B ist zu sehen, aber ein Zugriffsversuch schlägt fehl

Nun, die Funktion, die die Netzwerkumgebung aufbaut, nennt sich Browsing und zählt nicht direkt zu den Glanzleistungen im Netzwerkbereich.

Browsing - kurz erklärt

Um alle Rechner im Netz in der Netzwerkumgebung zu sehen, muß erst einmal eine Liste der Rechner aufgebaut werden.

Für jede Arbeitsgruppe wird ein Rechner zum 'Chef' erkoren, er ist der Masterbrowser Er sammelt alle IP-Adressen und Rechnernamen, die er finden kann, und erstellt diese Liste. Außerdem registriert er für sich den Namen __MSBROWSER__.

Das größte Problem an dieser Liste ist die Aktualität. Die Rechner melden sich beim booten an, außerdem regelmäßig im Betrieb. Diese Meldungen erfolgen als UDP-Broadcasts. Da UDP keine gesicherte Verbindung darstellt, kann der Masterbrowser nicht sofort einen Client aus seiner Liste streichen, wenn mal kein Paket kommt. Dies erfolgt erst nach 36 Minuten. Wir haben Fall B.

Da der Masterbrowser bestrebt ist, seinen Job sorgfältig zu machen, versucht er, seine Liste an einen Backup-Browser zu geben. Dadurch braucht er nicht selbst alle Anfragen von Clients nach der Liste beantworten, sondern kann es an den Backup-Server delegieren. Da dieser aber nur aller 15 Minuten aktualisiert wird, kann Fall 1 eintreten.

Nun stellt sich noch die Frage: Wer wird Masterbrowser?

Dazu hat MS seinen Betriebssystemen einen festen Wert mitgegeben:

WfW                          1
W9x                          2
WinNT Workstation 3.51      16
WinNT Workstation 4.0       17
WinNT Server 3.51           32
WinNT Server 4.0            33

Und SAMBA?

Das ist bei SAMBA der OS-Level und ist frei definierbar. Mit 64 gewinnt er immer ;-)

preferred master       Browser-Wahl bei jedem Start von nmbd durchführen
local master           an der Browser-Wahl teilnehmen

Damit kann man noch steuern, ob eine Wahl erzwungen werden soll und ob SAMBA als Masterbrowser überhaupt zur Verfügung stehen soll. Es kann nur einen geben!


Weiter Zurück Inhalt