Samba Grundkurs: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (19 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
| − | |||
| − | |||
== Ziel == | == Ziel == | ||
*Ein einfacher Samba-Server wird schrittweise aufgebaut und getestet – von Public Share bis Home-Verzeichnis inkl. Debugging. | *Ein einfacher Samba-Server wird schrittweise aufgebaut und getestet – von Public Share bis Home-Verzeichnis inkl. Debugging. | ||
| Zeile 6: | Zeile 4: | ||
== Installation == | == Installation == | ||
=== Pakete installieren === | === Pakete installieren === | ||
| − | *apt update | + | *sudo apt update |
| − | *apt install samba smbclient cifs-utils -y | + | *sudo apt install samba smbclient cifs-utils -y |
=== Dienststatus prüfen === | === Dienststatus prüfen === | ||
| Zeile 13: | Zeile 11: | ||
== Netzwerk-Check (vorher) == | == Netzwerk-Check (vorher) == | ||
| − | *ss -tulpen | grep smb | + | *sudo ss -tulpen | grep smb |
| − | *ss -tulpen | grep 445 | + | *sudo ss -tulpen | grep 445 |
| − | *ss -tulpen | grep 139 | + | *sudo ss -tulpen | grep 139 |
;Erklärung | ;Erklärung | ||
| Zeile 22: | Zeile 20: | ||
== Einfachste Konfiguration (Public Share) == | == Einfachste Konfiguration (Public Share) == | ||
=== Konfigurationsdatei bearbeiten === | === Konfigurationsdatei bearbeiten === | ||
| − | *nano /etc/samba/smb.conf | + | *sudo nano /etc/samba/smb.conf |
<pre> | <pre> | ||
| Zeile 41: | Zeile 39: | ||
=== Verzeichnis anlegen === | === Verzeichnis anlegen === | ||
| − | *mkdir -p /srv/samba/public | + | *sudo mkdir -p /srv/samba/public |
| − | *chmod 777 /srv/samba/public | + | *sudo chmod 777 /srv/samba/public |
=== Dienst neu starten === | === Dienst neu starten === | ||
| − | *systemctl restart smbd | + | *sudo systemctl restart smbd |
== Test (Public Share) == | == Test (Public Share) == | ||
| Zeile 59: | Zeile 57: | ||
== Debug zwischendurch == | == Debug zwischendurch == | ||
=== Logs beobachten === | === Logs beobachten === | ||
| − | *journalctl -u smbd -f | + | *sudo journalctl -u smbd -f |
== Testparm == | == Testparm == | ||
| Zeile 83: | Zeile 81: | ||
== Benutzer anlegen == | == Benutzer anlegen == | ||
=== Linux-Benutzer anlegen <nowiki>(Password: 123Start$)</nowiki> === | === Linux-Benutzer anlegen <nowiki>(Password: 123Start$)</nowiki> === | ||
| − | *useradd -m -s /bin/bash -G sambashare martha | + | *sudo useradd -m -s /bin/bash -G sambashare martha |
| − | *passwd martha | + | *sudo passwd martha |
=== Samba-Benutzer hinzufügen === | === Samba-Benutzer hinzufügen === | ||
| − | *smbpasswd -a martha | + | *sudo smbpasswd -a martha |
=== Kit User hinzufügen <nowiki>(Password: kit)</nowiki> === | === Kit User hinzufügen <nowiki>(Password: kit)</nowiki> === | ||
| − | *smbpasswd -a kit | + | *sudo smbpasswd -a kit |
;Erklärung | ;Erklärung | ||
| Zeile 97: | Zeile 95: | ||
== Geschützter Share (Login erforderlich) == | == Geschützter Share (Login erforderlich) == | ||
=== Konfiguration erweitern === | === Konfiguration erweitern === | ||
| − | *nano /etc/samba/smb.conf | + | *sudo nano /etc/samba/smb.conf |
<pre> | <pre> | ||
| Zeile 105: | Zeile 103: | ||
writable = yes | writable = yes | ||
guest ok = no | guest ok = no | ||
| − | valid users = | + | valid users = martha |
</pre> | </pre> | ||
*[[Optionen Samba Grundkurs 2]] | *[[Optionen Samba Grundkurs 2]] | ||
=== Verzeichnis vorbereiten === | === Verzeichnis vorbereiten === | ||
| − | *mkdir -p /srv/samba/secure | + | *sudo mkdir -p /srv/samba/secure |
| − | *chown root:sambashare /srv/samba/secure | + | *sudo chown root:sambashare /srv/samba/secure |
| − | *chmod | + | *sudo chmod 770 /srv/samba/secure |
=== Dienst neu starten === | === Dienst neu starten === | ||
| − | *systemctl restart smbd | + | *sudo systemctl restart smbd |
== Test (Authentifiziert) == | == Test (Authentifiziert) == | ||
| Zeile 126: | Zeile 124: | ||
== Home-Verzeichnisse == | == Home-Verzeichnisse == | ||
=== Konfiguration aktivieren === | === Konfiguration aktivieren === | ||
| − | *nano /etc/samba/smb.conf | + | *sudo nano /etc/samba/smb.conf |
<pre> | <pre> | ||
| Zeile 137: | Zeile 135: | ||
=== Dienst neu starten === | === Dienst neu starten === | ||
| − | *systemctl restart smbd | + | *sudo systemctl restart smbd |
== Test Home == | == Test Home == | ||
| Zeile 144: | Zeile 142: | ||
== Sicherheitsmassnahmen == | == Sicherheitsmassnahmen == | ||
| − | *ss -tulpen | egrep "137|138|139|445" | + | *sudo ss -tulpen | egrep "137|138|139|445" |
=== Samba Ports und Dienste Erklärung === | === Samba Ports und Dienste Erklärung === | ||
| Zeile 179: | Zeile 177: | ||
==== systemctl stop nmbd ==== | ==== systemctl stop nmbd ==== | ||
| − | * | + | *sudo systemctl stop nmbd |
==== systemctl disable nmbd ==== | ==== systemctl disable nmbd ==== | ||
| − | * | + | *sudo systemctl disable nmbd |
==== ss -4tulpen | egrep "137|138|139|445" ==== | ==== ss -4tulpen | egrep "137|138|139|445" ==== | ||
| − | * | + | *sudo ss -4tulpen | egrep "137|138|139|445" |
=== Ergebnis === | === Ergebnis === | ||
| Zeile 212: | Zeile 210: | ||
=== Fazit === | === Fazit === | ||
| − | *NetBIOS ist Legacy → in modernen Netzen überflüssig und besser deaktivieren. | + | *NetBIOS ist Legacy → in modernen Netzen überflüssig und besser deaktivieren. |
| − | + | ||
== SMB auf Port 445 beschränken == | == SMB auf Port 445 beschränken == | ||
| + | === Konfiguration anpassen === | ||
| + | *sudo nano /etc/samba/smb.conf | ||
<pre> | <pre> | ||
| Zeile 222: | Zeile 222: | ||
;Neu laden | ;Neu laden | ||
| − | *systemctl restart smbd | + | *sudo systemctl restart smbd |
| + | |||
;Testen | ;Testen | ||
| − | *ss -4tulpen | egrep "137|138|139|445" | + | *sudo ss -4tulpen | egrep "137|138|139|445" |
| + | |||
;Erklärung | ;Erklärung | ||
*Samba lauscht nur noch auf Port 445 (Direct SMB). | *Samba lauscht nur noch auf Port 445 (Direct SMB). | ||
*Port 139 (NetBIOS) wird nicht mehr verwendet. | *Port 139 (NetBIOS) wird nicht mehr verwendet. | ||
*Zugriff erfolgt ausschließlich über moderne SMB-Verbindungen. | *Zugriff erfolgt ausschließlich über moderne SMB-Verbindungen. | ||
| − | |||
| − | |||
| − | |||
== Debian Client Mount (grafischer Client) == | == Debian Client Mount (grafischer Client) == | ||
=== Pakete installieren === | === Pakete installieren === | ||
| − | *apt update | + | *sudo apt update |
| − | *apt install cifs-utils -y | + | *sudo apt install cifs-utils -y |
=== Mountpunkt erstellen === | === Mountpunkt erstellen === | ||
| − | *mkdir -p /mnt/smb | + | *sudo mkdir -p /mnt/smb |
=== Temporärer Mount === | === Temporärer Mount === | ||
| − | *mount -t cifs // | + | *sudo mount -t cifs //smb/secure /mnt/smb -o username=martha |
=== Test === | === Test === | ||
| Zeile 249: | Zeile 248: | ||
=== Credentials-Datei erstellen === | === Credentials-Datei erstellen === | ||
| − | *nano /root/.smbcred | + | *sudo nano /root/.smbcred |
<pre> | <pre> | ||
| − | username= | + | username=martha |
| − | password= | + | password=123Start$ |
</pre> | </pre> | ||
=== Rechte setzen === | === Rechte setzen === | ||
| − | *chmod 600 /root/.smbcred | + | *sudo chmod 600 /root/.smbcred |
=== Mount mit Credentials === | === Mount mit Credentials === | ||
| − | *mount -t cifs // | + | *sudo mount -t cifs //smb/secure /mnt/smb -o credentials=/root/.smbcred |
=== Persistenter Mount (/etc/fstab) === | === Persistenter Mount (/etc/fstab) === | ||
| − | *nano /etc/fstab | + | *sudo nano /etc/fstab |
<pre> | <pre> | ||
| − | // | + | //smb/secure /mnt/smb cifs credentials=/root/.smbcred,iocharset=utf8,_netdev 0 0 |
</pre> | </pre> | ||
| − | === Test | + | === Erklärung der Felder === |
| − | *mount -a | + | {| class="wikitable" |
| + | ! Feld !! Bedeutung | ||
| + | |- | ||
| + | | //smb/secure || SMB-Share (Servername + Freigabe) | ||
| + | |- | ||
| + | | /mnt/smb || lokaler Mountpunkt | ||
| + | |- | ||
| + | | cifs || Dateisystemtyp für SMB | ||
| + | |- | ||
| + | | credentials=/root/.smbcred || Benutzername/Passwort aus Datei | ||
| + | |- | ||
| + | | iocharset=utf8 || korrekte Darstellung von Umlauten | ||
| + | |- | ||
| + | | _netdev || Mount erst nach Netzwerkstart | ||
| + | |- | ||
| + | | 0 || kein Dump (Backup irrelevant) | ||
| + | |- | ||
| + | | 0 || keine automatische fsck-Prüfung | ||
| + | |} | ||
| + | |||
| + | === Test ohne Reboot === | ||
| + | *sudo mount -a | ||
=== Prüfung === | === Prüfung === | ||
| + | *ls /mnt/smb | ||
| + | |||
| + | === Reboot und Test === | ||
| + | *sudo reboot | ||
*ls /mnt/smb | *ls /mnt/smb | ||
;Erklärung | ;Erklärung | ||
| − | |||
*/etc/fstab sorgt für automatisches Mounten beim Systemstart. | */etc/fstab sorgt für automatisches Mounten beim Systemstart. | ||
*Credentials-Datei verhindert Klartext-Passwörter in der fstab. | *Credentials-Datei verhindert Klartext-Passwörter in der fstab. | ||
| Zeile 282: | Zeile 305: | ||
== Typische Fehleranalyse == | == Typische Fehleranalyse == | ||
=== Verbindung testen === | === Verbindung testen === | ||
| − | *smbclient -L | + | *smbclient -L smb -U martha%123Start$ |
=== Namensauflösung prüfen === | === Namensauflösung prüfen === | ||
| Zeile 288: | Zeile 311: | ||
=== Firewall prüfen === | === Firewall prüfen === | ||
| − | *ss -tulpen | grep 445 | + | *sudo ss -tulpen | grep 445 |
=== Live-Logs === | === Live-Logs === | ||
| − | *journalctl -u smbd -f | + | *sudo journalctl -u smbd -f |
== Optional: Windows Client == | == Optional: Windows Client == | ||
| − | \\SERVER-IP\public | + | \\SERVER-IP\public |
| − | \\SERVER-IP\secure | + | |
| + | \\SERVER-IP\secure | ||
== Fazit == | == Fazit == | ||
| Zeile 306: | Zeile 330: | ||
== Gruppenbasierte Freigabe == | == Gruppenbasierte Freigabe == | ||
=== Gruppe anlegen === | === Gruppe anlegen === | ||
| − | *groupadd smbgruppe | + | *sudo groupadd smbgruppe |
=== Benutzer hinzufügen === | === Benutzer hinzufügen === | ||
| − | *usermod -aG smbgruppe | + | *sudo usermod -aG smbgruppe kit |
=== Verzeichnis vorbereiten === | === Verzeichnis vorbereiten === | ||
| − | *mkdir -p /srv/samba/group | + | *sudo mkdir -p /srv/samba/group |
| − | *chown root:smbgruppe /srv/samba/group | + | *sudo chown root:smbgruppe /srv/samba/group |
| − | *chmod 770 /srv/samba/group | + | *sudo chmod 770 /srv/samba/group |
=== Konfiguration === | === Konfiguration === | ||
| − | *nano /etc/samba/smb.conf | + | *sudo nano /etc/samba/smb.conf |
<pre> | <pre> | ||
| Zeile 329: | Zeile 353: | ||
=== Dienst neu starten === | === Dienst neu starten === | ||
| − | *systemctl restart smbd | + | *sudo systemctl restart smbd |
== Test == | == Test == | ||
| − | *smbclient //localhost/group -U | + | *smbclient //localhost/group -U kit%kit |
| + | *smbclient //localhost/group -U martha%123Start$ | ||
;Erklärung | ;Erklärung | ||
| − | + | *Zugriff erfolgt nur für Mitglieder der Gruppe smbgruppe. | |
| + | *@ vor dem Gruppennamen bedeutet Gruppenfreigabe. | ||
| + | *Linux-Rechte (770) und Samba valid users greifen gemeinsam. | ||
== ACLs == | == ACLs == | ||
=== Installation === | === Installation === | ||
| − | *apt install acl -y | + | *sudo apt install acl -y |
=== ACL setzen === | === ACL setzen === | ||
| − | *setfacl -m u: | + | *sudo setfacl -m u:kit:rwx /srv/samba/group |
=== Default ACL === | === Default ACL === | ||
| − | *setfacl -d -m u: | + | *sudo setfacl -d -m u:kit:rwx /srv/samba/group |
=== Anzeigen === | === Anzeigen === | ||
*getfacl /srv/samba/group | *getfacl /srv/samba/group | ||
| + | |||
| + | ;Erklärung | ||
| + | *ACLs erlauben zusätzliche Benutzerrechte unabhängig von Gruppen. | ||
| + | *-m setzt Rechte für einen Benutzer. | ||
| + | *-d sorgt dafür, dass neue Dateien diese Rechte automatisch erben. | ||
== Samba + ACL == | == Samba + ACL == | ||
| − | *nano /etc/samba/smb.conf | + | *sudo nano /etc/samba/smb.conf |
<pre> | <pre> | ||
| Zeile 363: | Zeile 395: | ||
directory mask = 0770 | directory mask = 0770 | ||
</pre> | </pre> | ||
| + | |||
| + | ;Erklärung | ||
| + | *create mask bestimmt Rechte neuer Dateien. | ||
| + | *directory mask bestimmt Rechte neuer Verzeichnisse. | ||
| + | *0660 = lesen/schreiben für Owner + Gruppe. | ||
| + | *0770 = volle Rechte für Owner + Gruppe. | ||
== Force Group == | == Force Group == | ||
| − | *nano /etc/samba/smb.conf | + | *sudo nano /etc/samba/smb.conf |
<pre> | <pre> | ||
| Zeile 378: | Zeile 416: | ||
directory mask = 0770 | directory mask = 0770 | ||
</pre> | </pre> | ||
| + | |||
| + | ;Erklärung | ||
| + | *Alle Dateien gehören automatisch der Gruppe smbgruppe. | ||
| + | *Verhindert Probleme bei unterschiedlichen Primärgruppen. | ||
| + | *Wichtig bei mehreren Nutzern im gleichen Share. | ||
== Setgid == | == Setgid == | ||
| − | *chmod g+s /srv/samba/group | + | *sudo chmod g+s /srv/samba/group |
| + | |||
| + | ;Erklärung | ||
| + | *Neue Dateien übernehmen automatisch die Gruppen-ID des Verzeichnisses. | ||
| + | *Ergänzt force group auf Dateisystemebene. | ||
== Fehleranalyse == | == Fehleranalyse == | ||
=== Zugriff verweigert === | === Zugriff verweigert === | ||
| − | *chmod 700 /srv/samba/group | + | *sudo chmod 700 /srv/samba/group |
| − | *chmod 770 /srv/samba/group | + | *sudo chmod 770 /srv/samba/group |
| + | |||
| + | ;Erklärung | ||
| + | *Zu restriktive Rechte blockieren den Zugriff. | ||
| + | *770 erlaubt Zugriff für Gruppe. | ||
=== Benutzer fehlt === | === Benutzer fehlt === | ||
| − | *deluser user1 smbgruppe | + | *sudo deluser user1 smbgruppe |
| − | *usermod -aG smbgruppe user1 | + | *sudo usermod -aG smbgruppe user1 |
| + | |||
| + | ;Erklärung | ||
| + | *Nur Gruppenmitglieder dürfen zugreifen. | ||
| + | *Änderungen wirken erst nach neuer Anmeldung. | ||
=== Samba User fehlt === | === Samba User fehlt === | ||
| − | *smbpasswd -x user1 | + | *sudo smbpasswd -x user1 |
| − | *smbpasswd -a user1 | + | *sudo smbpasswd -a user1 |
| + | |||
| + | ;Erklärung | ||
| + | *Samba benötigt eigene Benutzerdatenbank. | ||
| + | *Linux-User allein reicht nicht. | ||
=== Dienst gestoppt === | === Dienst gestoppt === | ||
| − | *systemctl stop smbd | + | *sudo systemctl stop smbd |
| − | *systemctl start smbd | + | *sudo systemctl start smbd |
| + | |||
| + | ;Erklärung | ||
| + | *Ohne smbd kein Zugriff möglich. | ||
== Debug == | == Debug == | ||
| Zeile 403: | Zeile 465: | ||
*smbstatus -p | *smbstatus -p | ||
*testparm | *testparm | ||
| − | *ss -tulpen | grep 445 | + | *sudo ss -tulpen | grep 445 |
| − | + | ;Erklärung | |
| − | * | + | *smbstatus zeigt aktive Verbindungen und Dateien. |
| − | + | *testparm prüft die Konfiguration. | |
| − | + | *ss zeigt offene Ports. | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | * | ||
| − | |||
| − | * | ||
== Persistenter Mount == | == Persistenter Mount == | ||
| − | *nano /etc/fstab | + | *sudo nano /etc/fstab |
<pre> | <pre> | ||
//SERVER-IP/group /mnt/smb cifs credentials=/root/.smbcred,iocharset=utf8 0 0 | //SERVER-IP/group /mnt/smb cifs credentials=/root/.smbcred,iocharset=utf8 0 0 | ||
</pre> | </pre> | ||
| + | |||
| + | ;Erklärung | ||
| + | *Eintrag sorgt für automatisches Mounten beim Systemstart. | ||
| + | *iocharset=utf8 verhindert Probleme mit Umlauten. | ||
Aktuelle Version vom 1. April 2026, 13:16 Uhr
Ziel
- Ein einfacher Samba-Server wird schrittweise aufgebaut und getestet – von Public Share bis Home-Verzeichnis inkl. Debugging.
Installation
Pakete installieren
- sudo apt update
- sudo apt install samba smbclient cifs-utils -y
Dienststatus prüfen
- systemctl status smbd
Netzwerk-Check (vorher)
- sudo ss -tulpen | grep smb
- sudo ss -tulpen | grep 445
- sudo ss -tulpen | grep 139
- Erklärung
Samba nutzt primär TCP 445 (modern). Port 139 (NetBIOS) ist Legacy und kann später deaktiviert werden.
Konfigurationsdatei bearbeiten
- sudo nano /etc/samba/smb.conf
[global] workgroup = WORKGROUP server string = Samba Server security = user map to guest = Bad User [public] path = /srv/samba/public browsable = yes writable = yes guest ok = yes read only = no
Verzeichnis anlegen
- sudo mkdir -p /srv/samba/public
- sudo chmod 777 /srv/samba/public
Dienst neu starten
- sudo systemctl restart smbd
Freigaben anzeigen
- smbclient -L localhost -N
- smbclient //localhost/public -N
Testdatei erstellen
- put /etc/hostname test.txt
Debug zwischendurch
Logs beobachten
- sudo journalctl -u smbd -f
Testparm
Alle aktiven Optionen anzeigen
- testparm
Nur effektive Konfiguration ohne Kommentare
- testparm -s
Bestimmten Parameter prüfen
- testparm -v | grep parametername
Alle verfügbaren Optionen anzeigen
- testparm -v
Nur eine Freigabe anzeigen
- testparm -s --section-name=public
Hinweis
- testparm zeigt nur die tatsächlich gesetzten bzw. wirksamen Optionen an.
- Mit -v werden zusätzlich alle Default-Werte angezeigt.
Benutzer anlegen
Linux-Benutzer anlegen (Password: 123Start$)
- sudo useradd -m -s /bin/bash -G sambashare martha
- sudo passwd martha
Samba-Benutzer hinzufügen
- sudo smbpasswd -a martha
Kit User hinzufügen (Password: kit)
- sudo smbpasswd -a kit
- Erklärung
Samba verwaltet eigene Passwörter. Linux-User + Samba-User sind getrennt → daher zwei Passwörter.
Konfiguration erweitern
- sudo nano /etc/samba/smb.conf
[secure] path = /srv/samba/secure browsable = yes writable = yes guest ok = no valid users = martha
Verzeichnis vorbereiten
- sudo mkdir -p /srv/samba/secure
- sudo chown root:sambashare /srv/samba/secure
- sudo chmod 770 /srv/samba/secure
Dienst neu starten
- sudo systemctl restart smbd
Test (Authentifiziert)
martha
- smbclient //localhost/secure -U martha%123Start$
kit
- smbclient //localhost/secure -U kit%kit
Home-Verzeichnisse
Konfiguration aktivieren
- sudo nano /etc/samba/smb.conf
[homes] comment = Home Directories browseable = no writable = yes
Dienst neu starten
- sudo systemctl restart smbd
Test Home
- smbclient //localhost/martha -U martha%123Start$
- smbclient //localhost/martha -U kit%kit
Sicherheitsmassnahmen
- sudo ss -tulpen | egrep "137|138|139|445"
Samba Ports und Dienste Erklärung
Überblick
- Die Ausgabe zeigt offene Netzwerk-Ports und die dazugehörigen Samba-Dienste (smbd und nmbd).
UDP 137
- NetBIOS Name Service (nmbd)
UDP 138
- NetBIOS Datagram Service (nmbd)
TCP 139
- NetBIOS Session Service (smbd)
TCP 445
- Direct SMB über TCP (smbd)
nmbd
- Dienst für NetBIOS
smbd
- Hauptdienst für Datei- und Druckfreigaben
Interpretation
- NetBIOS aktiv, SMB modern + legacy parallel
Fazit
- Mischbetrieb aktiv
NetBIOS deaktivieren und Ports prüfen
Schritte
systemctl stop nmbd
- sudo systemctl stop nmbd
systemctl disable nmbd
- sudo systemctl disable nmbd
ss -4tulpen | egrep "137|138|139|445"
- sudo ss -4tulpen | egrep "137|138|139|445"
Ergebnis
- NetBIOS (137/138) sollte weg sein.
- Optional auch 139, wenn sauber konfiguriert.
- Nur noch Port 445 aktiv → moderner SMB-Betrieb.
Warum NetBIOS abschalten
Gründe
Sicherheit
- NetBIOS ist alt und anfälliger für Angriffe (z. B. Spoofing, Information Leakage).
Weniger Angriffsfläche
- Ports 137/138/139 verschwinden → weniger offene Dienste im Netzwerk.
Moderne Systeme
- Aktuelle Windows/Linux nutzen direkt SMB über Port 445.
Saubere Architektur
- Namensauflösung läuft heute über DNS statt NetBIOS-Broadcasts.
Weniger Traffic
- NetBIOS erzeugt unnötige Broadcasts im Netzwerk.
Fazit
- NetBIOS ist Legacy → in modernen Netzen überflüssig und besser deaktivieren.
SMB auf Port 445 beschränken
Konfiguration anpassen
- sudo nano /etc/samba/smb.conf
[global] smb ports = 445
- Neu laden
- sudo systemctl restart smbd
- Testen
- sudo ss -4tulpen | egrep "137|138|139|445"
- Erklärung
- Samba lauscht nur noch auf Port 445 (Direct SMB).
- Port 139 (NetBIOS) wird nicht mehr verwendet.
- Zugriff erfolgt ausschließlich über moderne SMB-Verbindungen.
Debian Client Mount (grafischer Client)
Pakete installieren
- sudo apt update
- sudo apt install cifs-utils -y
Mountpunkt erstellen
- sudo mkdir -p /mnt/smb
Temporärer Mount
- sudo mount -t cifs //smb/secure /mnt/smb -o username=martha
Test
- ls /mnt/smb
Credentials-Datei erstellen
- sudo nano /root/.smbcred
username=martha password=123Start$
Rechte setzen
- sudo chmod 600 /root/.smbcred
Mount mit Credentials
- sudo mount -t cifs //smb/secure /mnt/smb -o credentials=/root/.smbcred
Persistenter Mount (/etc/fstab)
- sudo nano /etc/fstab
//smb/secure /mnt/smb cifs credentials=/root/.smbcred,iocharset=utf8,_netdev 0 0
Erklärung der Felder
| Feld | Bedeutung |
|---|---|
| //smb/secure | SMB-Share (Servername + Freigabe) |
| /mnt/smb | lokaler Mountpunkt |
| cifs | Dateisystemtyp für SMB |
| credentials=/root/.smbcred | Benutzername/Passwort aus Datei |
| iocharset=utf8 | korrekte Darstellung von Umlauten |
| _netdev | Mount erst nach Netzwerkstart |
| 0 | kein Dump (Backup irrelevant) |
| 0 | keine automatische fsck-Prüfung |
Test ohne Reboot
- sudo mount -a
Prüfung
- ls /mnt/smb
Reboot und Test
- sudo reboot
- ls /mnt/smb
- Erklärung
- /etc/fstab sorgt für automatisches Mounten beim Systemstart.
- Credentials-Datei verhindert Klartext-Passwörter in der fstab.
Typische Fehleranalyse
Verbindung testen
- smbclient -L smb -U martha%123Start$
Namensauflösung prüfen
- ping SERVER-IP
Firewall prüfen
- sudo ss -tulpen | grep 445
Live-Logs
- sudo journalctl -u smbd -f
Optional: Windows Client
\\SERVER-IP\public
\\SERVER-IP\secure
Fazit
- Public → ohne Login
- Secure → mit Benutzer
- Homes → automatisch pro User
- Port 445 → Standard
- 139/NetBIOS → abschaltbar
Gruppenbasierte Freigabe
Gruppe anlegen
- sudo groupadd smbgruppe
Benutzer hinzufügen
- sudo usermod -aG smbgruppe kit
Verzeichnis vorbereiten
- sudo mkdir -p /srv/samba/group
- sudo chown root:smbgruppe /srv/samba/group
- sudo chmod 770 /srv/samba/group
Konfiguration
- sudo nano /etc/samba/smb.conf
[group] path = /srv/samba/group browsable = yes writable = yes guest ok = no valid users = @smbgruppe
Dienst neu starten
- sudo systemctl restart smbd
Test
- smbclient //localhost/group -U kit%kit
- smbclient //localhost/group -U martha%123Start$
- Erklärung
- Zugriff erfolgt nur für Mitglieder der Gruppe smbgruppe.
- @ vor dem Gruppennamen bedeutet Gruppenfreigabe.
- Linux-Rechte (770) und Samba valid users greifen gemeinsam.
ACLs
Installation
- sudo apt install acl -y
ACL setzen
- sudo setfacl -m u:kit:rwx /srv/samba/group
Default ACL
- sudo setfacl -d -m u:kit:rwx /srv/samba/group
Anzeigen
- getfacl /srv/samba/group
- Erklärung
- ACLs erlauben zusätzliche Benutzerrechte unabhängig von Gruppen.
- -m setzt Rechte für einen Benutzer.
- -d sorgt dafür, dass neue Dateien diese Rechte automatisch erben.
Samba + ACL
- sudo nano /etc/samba/smb.conf
[group] path = /srv/samba/group browsable = yes writable = yes guest ok = no valid users = @smbgruppe create mask = 0660 directory mask = 0770
- Erklärung
- create mask bestimmt Rechte neuer Dateien.
- directory mask bestimmt Rechte neuer Verzeichnisse.
- 0660 = lesen/schreiben für Owner + Gruppe.
- 0770 = volle Rechte für Owner + Gruppe.
Force Group
- sudo nano /etc/samba/smb.conf
[group] path = /srv/samba/group browsable = yes writable = yes guest ok = no valid users = @smbgruppe force group = smbgruppe create mask = 0660 directory mask = 0770
- Erklärung
- Alle Dateien gehören automatisch der Gruppe smbgruppe.
- Verhindert Probleme bei unterschiedlichen Primärgruppen.
- Wichtig bei mehreren Nutzern im gleichen Share.
Setgid
- sudo chmod g+s /srv/samba/group
- Erklärung
- Neue Dateien übernehmen automatisch die Gruppen-ID des Verzeichnisses.
- Ergänzt force group auf Dateisystemebene.
Fehleranalyse
Zugriff verweigert
- sudo chmod 700 /srv/samba/group
- sudo chmod 770 /srv/samba/group
- Erklärung
- Zu restriktive Rechte blockieren den Zugriff.
- 770 erlaubt Zugriff für Gruppe.
Benutzer fehlt
- sudo deluser user1 smbgruppe
- sudo usermod -aG smbgruppe user1
- Erklärung
- Nur Gruppenmitglieder dürfen zugreifen.
- Änderungen wirken erst nach neuer Anmeldung.
Samba User fehlt
- sudo smbpasswd -x user1
- sudo smbpasswd -a user1
- Erklärung
- Samba benötigt eigene Benutzerdatenbank.
- Linux-User allein reicht nicht.
Dienst gestoppt
- sudo systemctl stop smbd
- sudo systemctl start smbd
- Erklärung
- Ohne smbd kein Zugriff möglich.
Debug
- smbstatus
- smbstatus -p
- testparm
- sudo ss -tulpen | grep 445
- Erklärung
- smbstatus zeigt aktive Verbindungen und Dateien.
- testparm prüft die Konfiguration.
- ss zeigt offene Ports.
Persistenter Mount
- sudo nano /etc/fstab
//SERVER-IP/group /mnt/smb cifs credentials=/root/.smbcred,iocharset=utf8 0 0
- Erklärung
- Eintrag sorgt für automatisches Mounten beim Systemstart.
- iocharset=utf8 verhindert Probleme mit Umlauten.