Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
samba:samba [2021/11/09 23:04] – [SWAT] raus st | samba:samba [2022/04/10 22:43] (aktuell) – ansible st | ||
---|---|---|---|
Zeile 115: | Zeile 115: | ||
[[https:// | [[https:// | ||
+ | |||
+ | In diesem Beispiel wird netbios und CIFS auf allen Interfaces AUSSER $IP blockiert (deswegen die Negation " | ||
''/ | ''/ | ||
Zeile 123: | Zeile 125: | ||
:FORWARD ACCEPT [0:0] | :FORWARD ACCEPT [0:0] | ||
:OUTPUT ACCEPT [0:0] | :OUTPUT ACCEPT [0:0] | ||
- | -A INPUT -d $IP/32 -p tcp -m tcp --dport 137:139 -j DROP | + | -A INPUT ! -d $IP/32 -p tcp -m tcp --dport 137:139 -j DROP |
- | -A INPUT -d $IP/32 -p udp -m udp --dport 137:139 -j DROP | + | -A INPUT ! -d $IP/32 -p udp -m udp --dport 137:139 -j DROP |
- | -A INPUT -d $IP/32 -p udp -m udp --dport 445 -j DROP | + | -A INPUT ! -d $IP/32 -p udp -m udp --dport 445 -j DROP |
- | -A INPUT -d $IP/32 -p tcp -m tcp --dport 445 -j DROP | + | -A INPUT ! -d $IP/32 -p tcp -m tcp --dport 445 -j DROP |
COMMIT | COMMIT | ||
</ | </ | ||
- | $IP durch die öffentliche IP ersetzen! | + | |
+ | Hier wird CIFS auf IPv6 gar nicht angeboten: ''/ | ||
+ | < | ||
+ | *filter | ||
+ | :INPUT ACCEPT [0:0] | ||
+ | :FORWARD ACCEPT [0:0] | ||
+ | :OUTPUT ACCEPT [0:0] | ||
+ | -A INPUT -p tcp -m tcp --dport 137:139 -j DROP | ||
+ | -A INPUT -p udp -m udp --dport 137:139 -j DROP | ||
+ | -A INPUT -p udp -m udp --dport 445 -j DROP | ||
+ | -A INPUT -p tcp -m tcp --dport 445 -j DROP | ||
+ | COMMIT | ||
+ | </ | ||
+ | |||
==== Samba an AD authentifizieren ==== | ==== Samba an AD authentifizieren ==== | ||
Zeile 135: | Zeile 151: | ||
* [[http:// | * [[http:// | ||
* [[http:// | * [[http:// | ||
+ | |||
+ | |||
+ | ==== Schattenkopien mit ZFS ==== | ||
+ | |||
+ | < | ||
+ | [global] | ||
+ | shadow: snapdir = .zfs/ | ||
+ | shadow: sort = desc | ||
+ | # Specify snapshot name: frequent, hourly, daily… as desired | ||
+ | shadow: format = zfs-auto-snap_hourly-%Y-%m-%d-%H%M" | ||
+ | </ | ||
+ | |||
+ | * https:// | ||
+ | * help.univention.com/ | ||
==== Verschlüsselung erzwingen ==== | ==== Verschlüsselung erzwingen ==== | ||
Zeile 168: | Zeile 198: | ||
+ | ===== Samba als standalone Dateiserver ===== | ||
+ | |||
+ | Komplexes Beispiel: | ||
+ | <code bash> | ||
+ | useradd meinUser | ||
+ | passwd meinUser | ||
+ | smbpasswd -a meinUser | ||
+ | # anzeigen lassen zur Kontrolle: | ||
+ | # pdbedit -w -L | ||
+ | </ | ||
+ | |||
+ | ''/ | ||
+ | < | ||
+ | # Global parameters | ||
+ | [global] | ||
+ | log file = / | ||
+ | logging = file | ||
+ | map to guest = Bad User | ||
+ | max log size = 1000 | ||
+ | obey pam restrictions = Yes | ||
+ | pam password change = Yes | ||
+ | panic action = / | ||
+ | passwd chat = *Enter\snew\s*\spassword: | ||
+ | passwd program = / | ||
+ | server role = standalone server | ||
+ | unix password sync = Yes | ||
+ | usershare allow guests = Yes | ||
+ | idmap config * : backend = tdb | ||
+ | |||
+ | store dos attributes = no | ||
+ | ea support = no | ||
+ | map archive = no | ||
+ | map hidden = no | ||
+ | map system = no | ||
+ | map readonly = no | ||
+ | |||
+ | min protocol = SMB2 | ||
+ | client max protocol = SMB3 | ||
+ | encrypt passwords = yes | ||
+ | # win7 unterstützt die folgenden beiden Einstellungen nicht: | ||
+ | # server signing = mandatory | ||
+ | # smb encrypt = mandatory | ||
+ | |||
+ | #[homes] | ||
+ | # | ||
+ | # comment = Home Directories | ||
+ | # create mask = 0700 | ||
+ | # directory mask = 0700 | ||
+ | # valid users = %S | ||
+ | |||
+ | [meineFreigabe] | ||
+ | create mask = 0700 | ||
+ | directory mask = 0700 | ||
+ | path = /srv/samba | ||
+ | read only = No | ||
+ | valid users = meinUser | ||
+ | </ | ||
+ | |||
+ | '' | ||
+ | |||
+ | Optional: | ||
+ | * siehe oben firewalling | ||
+ | * in [[linux: | ||
===== Samba als DC ===== | ===== Samba als DC ===== | ||
Zeile 338: | Zeile 431: | ||
* Neuen DNS-Record setzen: '' | * Neuen DNS-Record setzen: '' | ||
+ | |||
+ | ===== ansible ===== | ||
+ | |||
+ | * [[https:// | ||
+ | * https:// |