Samban salasanakyselyt ja muita ongelmia [Nyt toimii lähes moitteetta =)]

[mikk0]

Sain Samban toimimaan kahden Ubuntu-koneeni välille, mutta en ilman ongelmia.

Eli toinen koneista MASTER (hostname: Ubu) on 'pääkone', jolla on wins-palvelin ja se on myös local master (isompi os level ja preferred master = yes).
Toiseen koneeseen MINI:in (mini) on konffattu wins server -kohtaan MASTERin IP ja siihen ei noita os-leveliä tai pref. masteria ole asetettu

1. ongelma: palomuuri

Jos koneillani on palomuuri toiminnassa, niin Samba toimii muuten, mutta nmbd ja verkon selaus (browsing) eivät toimi.
Vaikka olen asettanut Firestarteriin säännöiksi Policy-välilehdeltä että palomuurin pitäisi päästää läpi kaikki liikenne verkosta 192.168.11.0/255.255.255.0 ja sen lisäksi erikseen sallinut palvelun Samba(SMB) kaikista osoitteista (kokeilun vuoksi), niin esim. nmblookup ei toimi, kun taas smbclient -S MASTER palauttaa oikean IP-osoitteet.
Jos taas valitsen Stop Firewall, niin kaikki toimii hienosti.

Osaako kukaan sanoa miksi palomuuri blokkaa (ilmeisesti broadcast) paketit tästä sisäverkosta, vaikka käsittääkseni kaikkien pitäisi päästä läpi ja _varsinkin_ näiden Samban palvelujen?

2. ongelma: salasanojen kysely

Turvallisuustaso on oletus, eli user, joten Samba kysyy aina käyttäjän salasanaa. Tosin tässä kyselyssä liioitellaan ja rajusti.
Tässä esimerkissä yritän käyttää palvelimen MASTER palveluja koneelta MINI:

1. kysely tulee kun valitsen Sijainnit -> Verkkopalvelimet: 'You must log in to access 192.168.11.2'
2. kysely tulee heti tämän jälkeen: 'You must log in to access MASTER'
3. kysely tulee vielä tämän perään: 'You must log in to access mikko@MASTER domain LAN'
Kun vihdoin pääsen siihen vaiheeseen että työryhmään liitetyt koneet tulevat näkyville ja pääsen klikkaamaan tuota MASTER-koneen ikonia, tulee varmuuden vuoksi vielä neljäs kysely:
4. 'You must log in to access master'

Eli kaikki neljä kyselyä viittaavat samaan koneeseen, mutta eri nimillä. Mistäköhän tämä johtuu? Laitoin heti ensimmäisen kyselyn kohdalla ruksin ruutuun: Muista salasana tämän istunnon ajan.

3. ongelma: MINIn tietoja ei pysty selaamaan, sillä se ei pysty rekisteröitymään työryhmään oikein

Koodia: [Valitse]

mikko@Ubu:/var/log/samba$ nmblookup MINI
querying MINI on 192.168.11.255
192.168.11.10 MINI<00>
mikko@Ubu:/var/log/samba$ smbclient //MINI/mikko
Error connecting to 192.168.11.11 (No route to host)
Connection to MINI failed
Eli miksi ihmeessä tuo yrittää yhdistää IP:hen 192.168.11.11 jos kerran nmblookup kertoo että MINI löytyy osoitteesta 192.168.11.10 

MINI näkyy tuossa browsing-listassa, mutta siihen ei pääse käsiksi. Kun klikkaan sen ikonia, niin ei tule edes salasanakyselyä, vaan hetken kuluttua seuraa ilmoitus, että kaikkia kohteita ei voitu näyttää eikä tuon MINIn alta löydy mitään.

Lisäksi minillä suoritettu nmbd-lokin tarkistus (tail /var/log/samba/log.nmbd) osoittaa, että MASTER hylkää rekisteröitymispyynnöt jostain syystä:

Koodia: [Valitse]

[2006/01/05 22:35:53, 0] nmbd/nmbd.c:main(668)
  Netbios nameserver version 3.0.14a-Ubuntu started.
  Copyright Andrew Tridgell and the Samba Team 1994-2004
[2006/01/05 22:36:14, 0] nmbd/nmbd_nameregister.c:register_name_response(130)
  register_name_response: WINS server at IP 192.168.11.2 rejected our name registration of MINI<20> IP 192.168.11.10 with error code 5.
[2006/01/05 22:36:14, 0] nmbd/nmbd_mynames.c:my_name_register_failed(36)
  my_name_register_failed: Failed to register my name MINI<20> on subnet UNICAST_SUBNET.
[2006/01/05 22:36:14, 0] nmbd/nmbd_namelistdb.c:standard_fail_register(283)
  standard_fail_register: Failed to register/refresh name MINI<20> on subnet UNICAST_SUBNET
[2006/01/05 22:36:14, 0] nmbd/nmbd_nameregister.c:register_name_response(130)
  register_name_response: WINS server at IP 192.168.11.2 rejected our name registration of MINI<03> IP 192.168.11.10 with error code 5.
[2006/01/05 22:36:14, 0] nmbd/nmbd_mynames.c:my_name_register_failed(36)
  my_name_register_failed: Failed to register my name MINI<03> on subnet UNICAST_SUBNET.
[2006/01/05 22:36:14, 0] nmbd/nmbd_namelistdb.c:standard_fail_register(283)
  standard_fail_register: Failed to register/refresh name MINI<03> on subnet UNICAST_SUBNET
[2006/01/05 22:36:14, 0] nmbd/nmbd_nameregister.c:register_name_response(130)
  register_name_response: WINS server at IP 192.168.11.2 rejected our name registration of MINI<00> IP 192.168.11.10 with error code 5.
[2006/01/05 22:36:14, 0] nmbd/nmbd_mynames.c:my_name_register_failed(36)
  my_name_register_failed: Failed to register my name MINI<00> on subnet UNICAST_SUBNET.
[2006/01/05 22:36:14, 0] nmbd/nmbd_namelistdb.c:standard_fail_register(283)
  standard_fail_register: Failed to register/refresh name MINI<00> on subnet UNICAST_SUBNET

Taustatietoja:

Kone MASTER, inet addr:192.168.11.2  Bcast:192.168.11.255  Mask:255.255.255.0
/etc/samba/smb.conf:

Koodia: [Valitse]

[global]
        workgroup = LAN
        netbios name = MASTER
        server string = %h server (Samba, Ubuntu)
        obey pam restrictions = Yes
        passdb backend = tdbsam, guest
        passwd program = /usr/bin/passwd %u
        passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n .
        syslog = 0
        log file = /var/log/samba/log.%m
        max log size = 1000
        name resolve order = wins lmhosts host bcast
        os level = 60
        preferred master = Yes
        dns proxy = No
        wins support = Yes
        panic action = /usr/share/samba/panic-action %d
        invalid users = root

[homes]
        comment = Home Directories
        valid users = %S
        read only = No
        create mask = 0740
        directory mask = 0750
        browseable = No

[printers]
        comment = All Printers
        path = /tmp
        create mask = 0700
        printable = Yes
        browseable = No

[print$]
        comment = Printer Drivers
        path = /var/lib/samba/printers

[Yhteiset]
        comment = Valokuvia yms.
        path = /home/yhteinen
        write list = @users
        guest ok = Yes
Kone MINI, inet addr:192.168.11.10  Bcast:192.168.11.255  Mask:255.255.255.0
/etc/samba/smb.conf

Koodia: [Valitse]

[global]
        workgroup = LAN
        server string = %h server (Samba, Ubuntu)
        obey pam restrictions = Yes
        passdb backend = tdbsam, guest
        syslog = 0
        log file = /var/log/samba/log.%m
        max log size = 1000
        name resolve order = wins lmhosts hosts bcast
        wins server = 192.168.11.2
        panic action = /usr/share/samba/panic-action %d
        invalid users = root

[homes]
        comment = Home Directories
        valid users = %S
        read only = No
        create mask = 0740
        directory mask = 0750
        browseable = No

[printers]
        comment = All Printers
        path = /tmp
        create mask = 0700
        printable = Yes
        browseable = No

[print$]
        comment = Printer Drivers
        path = /var/lib/samba/printers

[yhteinen]
        comment = Kaikille avoin hakemisto
        path = /srv/samba/yhteinen
        admin users = mikko
        read only = No
        create mask = 0775
        directory mask = 0775
        guest ok = Yes

Toivottavasti jotain muutakin kiinnostaa tämä Samba sen verran että jaksaa lukaista läpi tällaisen romaanin. Ainakaan tiedon puutteesta ei voi syyttää 

Kaikenlainen apu ja kommentit ovat tervetulleita...

Mikko

[mikk0]

Sellainen vinkki kaikille jotka eivät erota itse sisältöä tuolta smb.conf -tiedoston kaikkien kommenttien joukosta, että komento testparm -s näyttää sieltä vain kaiken samban kannalta oleellisen (eli kaiken muun kuin nuo kommentit). Lisäksi tuo testparm kertoo jos tiedostoon on lipsahtanut syntaksivirheitä.

Noin minäkin tein saadakseni nuo yllä olevat listat.

Mikko

[mikk0]

Palomuuriongelma ratkaistu (osittain).

Firestarterin preferences-sivulla todellakin oli 'Block broadcasts from external network'.
Otin tuosta ruksin pois, niin rupesi nmblookup toimimaan, vaikka palomuuri muuten olikin päällä.

Eli kun olen tuon eth0:n kautta yhteydessä sekä sisäverkkoon, että ulkoverkkoon reitittimen välityksellä, niin ilmeisesti kaikki sitä kautta tuleva liikenne katsotaan tulevan ulkoa riippumatta siitä mistä IP-osoitteesta se tulee? Kuitenkin tuo sama eth0 katsotaan myös sisäverkon laitteeksi, joten miten pystyn erittelemään että 192.168.11.0/24-verkosta tulevat paketit ovat peräisin sisäverkosta ja niitä ei blokata vaikka ne olisivatkin yleislähetys-tyyppisiä?

Eipä tällä kai sinänsä mitään väliä ole, sillä tuossa reitittimessä on jo palomuuri ja NAT, joten eipä tähän kai teoriassakaan voi yhteydenottoja tulla muualta kuin sisäverkosta, joten yhtä hyvin palomuurin voisi ottaa vaikka pois päältä?

Mikko

[mikk0]

3. ongelma: MINIn tietoja ei pysty selaamaan, sillä se ei pysty rekisteröitymään työryhmään oikein

Koodia: [Valitse]

mikko@Ubu:/var/log/samba$ nmblookup MINI
querying MINI on 192.168.11.255
192.168.11.10 MINI<00>
mikko@Ubu:/var/log/samba$ smbclient //MINI/mikko
Error connecting to 192.168.11.11 (No route to host)
Connection to MINI failed
Eli miksi ihmeessä tuo yrittää yhdistää IP:hen 192.168.11.11 jos kerran nmblookup kertoo että MINI löytyy osoitteesta 192.168.11.10 

MINI näkyy tuossa browsing-listassa, mutta siihen ei pääse käsiksi. Kun klikkaan sen ikonia, niin ei tule edes salasanakyselyä, vaan hetken kuluttua seuraa ilmoitus, että kaikkia kohteita ei voitu näyttää eikä tuon MINIn alta löydy mitään.

Lisäksi minillä suoritettu nmbd-lokin tarkistus (tail /var/log/samba/log.nmbd) osoittaa, että MASTER hylkää rekisteröitymispyynnöt jostain syystä:

Tämän sain toimimaan helposti, joskaan en tarkkaan ottaen tiedä miksi se käyttäytyy näin, mutta pääasia kai on että toimii.
Tein seuraavasti:

1. Asetin minin hakemaan IP-asetukset automaattisesti DHCP:ltä

Siinä se. Jostain syystä tämä mini sai nyt osoitteekseen 192.168.11.11, vaikka reitittimen asetuksissa on, että sen pitäisi antaa ensimmäiselle kysyjälle osoite 192.168.11.10 ja seuraavat siitä eteenpäin. Tämän jälkeen kaikki toimi moitteetta, tosin tuo neljään kertaan tapahtuva salasanan kysely vaivaa edelleen.

Mikko

[LittleLion]

Tämän jälkeen kaikki toimi moitteetta, tosin tuo neljään kertaan tapahtuva salasanan kysely vaivaa edelleen.

Itselläni tuo ei kyllä kysy, kuin kerran, mutta olen huomannut, että jos käyttäjätunnus ja salasana ovat samat sambaan, kuin windows koneelle ei samba kysy niitä ollenkaan.

[maskotti]

Asentelin Ubuntu serverille samban ja sain sen näkymään windowsissa verkkoympäristössä mutta nyt vaan en pääse katsomaan serverin jaettuja samba-resursseja. Täytyykö minun luoda joitakin tiettyjä unix-käyttäjiä ubuntuun? Millaiset oikeudet minun täytyy antaa jaetulle kansiolle?

[mikk0]

Asentelin Ubuntu serverille samban ja sain sen näkymään windowsissa verkkoympäristössä mutta nyt vaan en pääse katsomaan serverin jaettuja samba-resursseja. Täytyykö minun luoda joitakin tiettyjä unix-käyttäjiä ubuntuun? Millaiset oikeudet minun täytyy antaa jaetulle kansiolle?

Jos käytät security = user -optiota (mikä on oletus), niin kaikille samba-käyttäjille tulee luoda sekä unix-käyttäjätunnus, että samban käyttäjätunnus.
Jaetun kansion oikeudet tulee olla sellaiset, että kaikilla on siihen luku- ja suoritusoikeus. Kirjoitusoikeus tarvitaan jos tahdot että käyttäjät pystyvät sinne tallentamaan verkon yli tiedostoja.

Samban avulla on mahdollista rajoittaa käyttäjien oikeuksia, mutta ei lisätä niitä.

Mikko