Samba Share mit Pam Authentifizieren

[xBr0th3rs]

Hallo zusammen,

und zwar habe ich unseren Opsi Server neu aufgesetzt dieser war vorher mit Univention verknüpft.
Nun habe ich das problem den Samba Share via Pam zu authentifizieren.

Der Login selbst funktioniert das habe ich mit dem opsi-auth hinbekommen nur finde ich nirgendwo ne einstellung oder wo ich das hinterlegen kann das der Samba share sich auch gegen Pam authentifiziert.

Hat da jemand schon mal Erfahrung gemacht oder weiß was ich wo in Pam oder smb.conf eintragen muss?

Debian 12
Opsi 4.3

Gruß

[SisterOfMercy]

Why would you want to do this for the samba share? If pcpatch has the correct password it can do everything it needs to do, right?

Or is this a case of pcpatch is in AD, and not a local user? And the auth backend is Active Directory, right, not something else?

[xBr0th3rs]

Hey,

ich habe einen Lokalen pcpatch user möchte aber den vom AD nutzen.

Auch möchte ich wenn ich Opsi Pakete baue mit meinen AD user mich authentifizieren deswegen die frage wie man den samba share gegen den PAM authentifizieren kann.

Gruß

[SisterOfMercy]

I've done something similar for AD domain users on windows, to have access to samba shares with their own account.

However, I don't think I used PAM. And of course I can't find the complete configuration manual I once wrote for this stuff. I can only find the config for samba.
I'm now not sure if I was something with samba or that I also had to modify the kerberos configuration.
Of course this was a FreeBSD server, but the idmap stuff should be not that dissimilar.

Code: Alles auswählen

[global]
	netbios name = Descartes
	server string = FreeBSD
	security = ADS
	workgroup = MYDOMAIN
	realm = MYDOMAIN.LOCAL
	log level = 3

	idmap config *:backend = tdb
	idmap config *:range = 2000-9999
	# idmap config for domain MYDOMAIN
	idmap config MYDOMAIN:backend = ad
	idmap config MYDOMAIN:schema_mode = rfc2307
	idmap config MYDOMAIN:range = 100000-999999

	# Use settings from AD for login shell and home directory
	winbind nss info = rfc2307
	winbind enum groups = Yes
	winbind enum users = Yes

	# Use extended ACLs
	map acl inherit = yes
	store dos attributes = yes
	
	# Do not create 8.3 filenames
	mangled names = no
	
	# Disable client side caching (offline files)
	csc policy = disable
	
	# Do not load printers
	load printers = no
	printing = bsd
	printcap name = /dev/null
	disable spoolss = yes
	
	# Report space available correctly
	dfree command = /usr/local/bin/dfree

[xBr0th3rs]

Hey,

danke für die Antwort.

Was muss ich den in Pam noch eintragen oder sollte das so funktionieren?

Weil aktuell habe ich den Server quasi mit kerberos (krb5) via pam authentifiziert.

Gruß

[xBr0th3rs]

Was ich halt nicht so ganz verstehe ist das in der Anleitung die Authentifizierung gegen PAM funktioniert.

Der Server selbst authentifiziert sich gegen LDAP mit Kerberos und das funktioniert auch sowohl der Login um auf opsi selbst zuzugreifen funktioniert darüber nachdem ich die opsi-auth in /etc/pam.d hinterlegt habe.

Nur wieso funktioniert das nicht mit Samba oder habe ich da ein denkfehler?

Gruß