4.2: "Nicht authentifizierter Gäste" bei Freigabe

[MyKey0815]

Wir sind gerade dabei unseren OPSI komplett "frisch" zu machen. Darum ein Ubuntu 20.04 installiert und in die Domäne genommen.

Nun wollt ich (laut Anleitung) die Freigabe "opsi_depot" mit einem Laufwerksbuchstaben mappen, damit ich auf einem neuen Rechner, der schon fertig installiert war/ist, den Agent neu installieren kann ("alter" Agent ist schon runter)

Nun kommt aber der Fehler, dass ich das Laufwerk nich mappen kann, "weil der Zugriff nicht authentifizierter Gäste durch die Sicherheitsrichtlinien ... blockiert werden". (Diese Richtlinien sind bewusst so gesetzt und können nicht verändert werden)

Meine smb.conf sieht bei den Freigaben so aus:

Code: Alles auswählen

[opsiserver]
    path = /
    read only = no
    valid users = linuxadmin, "@MYCOMPANY+linux_smb"
    force user = root

[opsi_depot]
   available = yes
   comment = opsi depot share (ro)
   path = /var/lib/opsi/depot
   follow symlinks = yes
   writeable = no
   invalid users = root
   acl allow execute always = true

[opsi_depot_rw]
   available = yes
   comment = opsi depot share (rw)
   path = /var/lib/opsi/depot
   follow symlinks = yes
   writeable = yes
   invalid users = root

[opsi_images]
   available = yes
   comment = opsi ntfs images share (rw)
   path = /var/lib/opsi/ntfs-images
   writeable = yes
   invalid users = root

[opsi_workbench]
   available = yes
   comment = opsi workbench
   path = /var/lib/opsi/workbench
   writeable = yes
   invalid users = root
   create mask = 0660
   directory mask = 0770

[opsi_repository]
   available = yes
   comment = opsi repository share (ro)
   path = /var/lib/opsi/repository
   follow symlinks = yes
   writeable = no
   invalid users = root

Auf die Freigabe "opsiserver" komme ich drauf und kann mich auch auf dem Rechner bewegen, da ich in der Gruppe "MYCOMPANY\linux_smb" als AD-Benutzer drin bin.

Bisher ist alles (soweit ich das sagen kann) direkt nach der Anleitung installiert und noch keine weiteren Anpassungen gemacht

[j.schneider]

Hallo,

ich tippe darauf, dass folgendes in der smb.conf steht:

Code: Alles auswählen

map to guest = Bad User

Das würde ich testweise mal entfernen.

Um den neuen opsi-client-agent 4.2 manuell zu installieren ist übrigens kein Zugriff auf den Depot-Share notwendig.
Das geht auch über die opsi-client-agent-installer.exe
Die liegt in der Regel hier:

https://<opsiserver>:4447/public/opsi-client-agent/opsi-client-agent-installer.exe

Siehe auch:
viewtopic.php?t=12752

[MyKey0815]

OK - vielen Dank für den Link - das hat funktioniert

Aber dennoch kann ich mich nicht mit der Freigabe verbinden. MIttlerweile ist es so, das es nur nich heißt "Keine Berechtigung für den Zugriff" aber es wird gar nicht nach einen Benutername/Kennwort gefragt - kann also gar nix eingeben

Das

Code: Alles auswählen

map to guest = Bad User

habe ich gelöscht - aber leider immer noch kein Zugriff möglich

[ThomasT]

Kannst du mal einen entsprechenden Eintrag in der Anmeldeinformationsverwaltung von Windows hinterlegen?
Also für
DEIN.OPSISERVER.FQDN
einen User MYCOMPANY\User mit Passwort .

Ansonsten hilft

Code: Alles auswählen

log level = 4

in die Global Sektion der smb.conf und dann mal unter /var/log/samba/log.IP-ADRESSE schauen.

Wenn man den Windows-Quark auslassen möchte, kannst du dich auch mit smbclient direkt auf dem opsi-server mit den SMB-Freigaben verbinden.

[thomas.besser]

Wir sind gerade dabei unseren OPSI komplett "frisch" zu machen. Darum ein Ubuntu 20.04 installiert und in die Domäne genommen.

Nun wollt ich (laut Anleitung) die Freigabe "opsi_depot" mit einem Laufwerksbuchstaben mappen, damit ich auf einem neuen Rechner, der schon fertig installiert war/ist, den Agent neu installieren kann ("alter" Agent ist schon runter)

Nun kommt aber der Fehler, dass ich das Laufwerk nich mappen kann, "weil der Zugriff nicht authentifizierter Gäste durch die Sicherheitsrichtlinien ... blockiert werden". (Diese Richtlinien sind bewusst so gesetzt und können nicht verändert werden)

Nach einem Upgrade von Debian Buster (V10) nach Bullseye (V11) habe ich dieselbe Fehlermeldung kennen gelernt. Auch ich binde den Samba des OPSI-Servers in eine Domäne ein.

Das Problem hat offensichtlich mit einer Regression in Samba 4.13.13 bzgl. Kerberos-Authentifizierung zu tun. Nach einem Downgrade auf 4.13.5 funktioniert wieder alles wie gewohnt. Mit 4.13.14 dürften Fixes in nächster Zeit zur Verfügung stehen.

Gruß
Thomas

[volfo]

Wir haben einfach pcpatch in die AD aufgenommen, da opsi die Zugriffe mit pcpatch umsetzt gibt es dann keine Gastzugriffe.
zudem habe ich Gastzugriffe mit

Code: Alles auswählen

map to guest = never

unterbunden.

Läuft unter Debian11, SambaVersion 4.13.13-Debian

[thomas.besser]

da wir laut Namenskonvention keinen User 'pcpatch' ins AD aufnehmen dürfen, wird per Depot-Konfiguration "clientconfig.depot.user" auf einen Domänen-Account umgestellt.

Aber nichtsdestotrotz ist mit Samba 4.13.13 kein AD-Login auf Freigaben möglich. Hat auch nichts mit OPSI zu tun. Auch auf anderen Samba-File-Servern als AD-Member geht das nicht (die Option 'map to guest' ändert daran auch nichts). Mit 4.13.5 funktioniert es mit identischer smb.conf ohne Probleme.

Mag sein, dass die Regression bei euch bzgl. Kerberos nicht zuschlägt. Hier tut sie es. Leider...

[volfo]

mit Samba 4.13.13 kein AD-Login auf Freigaben möglich.

wenn "im windows-explorer die opsi-workbench als Netzwerklaufwerk einbinden und dabei als Anmeldedaten meinen AD-Account verwenden" als AD-Login zählt muss ich dem wiedersprechen, das machen wir bei uns.
Aber die Accounts, die das dürfen sind nur unsere opsifileadmins und diese Accs sind auch als lokale Accounts auf dem Server vorhanden. Über username map in der smb.conf werden die Accounts dann gemapt.
Also ist das wohl eher ein workaround, dass die AD-User per kerberos authentifiziert, auf locale User gemapt und dann der Zugriff lokal erfolgt. Dafür bin ich aber nicht genug in Samba drin aber ich würde es als "Netzlaufwerkfreigabe als AD-User" bezeichnen.