Automount mit SMB

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Automount mit SMB

      habe auf meinem windows rechner ein paar shares, die ich auf meinem macbook gerne an eine bestimmte, selbstdefinierte stelle mounten will. am besten gleich bei systemboot, da teile davon für mehrere nutzer verfügbar sein sollen. die acls sollen vom server übernommen werden. auf dem windows rechner existieren auch genau die gleichen benutzer mit den gleichen passwörtern wie auf dem macbook.


      weshalb ich das NICHT über den finder als volume login-item machen will:

      1. ich müsste das für jeden user einzeln konfigurieren.

      2. kann nicht direkt dahin mounten, wo ich will, sondern nur in /Volumes, müsste dann symbolische links anlegen.

      und 1. und 2. würden sich durch ein apple-script als login-item nicht ändern.

      3. beim login öffnet sich der finder automatisch, ohne dass man das verhindern kann.



      weshalb ich keine .nsmbrc verwenden will:

      die passwörter werden im klartext gespeichert.


      was mir hoffnung gemacht hat, war der netinfo manager. habe unter mounts einträge der folgenden art gemacht:


      name: MEINDESKTOPPC:/meinshare
      vstype: url
      dir: /mein/mountpunkt
      opts: url==smb://meinname:hier mein passwort@MEINDESKTOPPC/share

      habe mac os x tiger, also sollte nach dem speichern dieses eintrags spätestens nach dem reboot alles funktionieren. tuts aber nicht. mein mountpunkt bleibt leer.
      ist das ein problem, dass mein passwort leerstellen enthält, muss ich das in anführungsstriche setzen?


      wie verwaltet der netinfo manager meine passwörter, werden die irgendwie geschützt (verschlüsselt oder gehasht)?
    • Hallo,

      schau mal hier: Automount mit SMB. Dort wird jeder fündig!

      Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren

    • RE: Automount mit SMB

      Original von Merowinger
      weshalb ich keine .nsmbrc verwenden will:

      die passwörter werden im klartext gespeichert.

      was mir hoffnung gemacht hat, war der netinfo manager.


      Alles was du in die NetInfo-Datenbank schreibst kann jeder Benutzer, der sich an dem Rechner anmelden kann auch auslesen. Da wird nichts geschützt. Vom Sicherheits-Standpunkt macht es keinen Unterschied, ob du dein Passwort in eine .nsmbrc-Datei schreibst oder in die NetInfo-DB. Soweit ich weiß kann über .nsmbrc allerdings kein automatischer Mount konfiguriert werden.

      Original von Merowinger
      habe unter mounts einträge der folgenden art gemacht:

      name: MEINDESKTOPPC:/meinshare
      vstype: url
      dir: /mein/mountpunkt
      opts: url==smb://meinname:hier mein passwort@MEINDESKTOPPC/share


      Sieht eigentlich richtig aus. Bei macosxhints.com steht, dass man eventuell noch die Workgroup bzw. Windows-Domain mit angeben muss, damit es funktioniert. Das ganze sollte dann so aussehen:

      Quellcode

      1. url==smb://Username:Password@Workgroup/servername/sharepoint

    • RE: Automount mit SMB

      also das ist ja unglaublich, dass samba selbst mir absolut KEINE möglichkeit bietet, automatisch beim booten die shares mounten zu lassen, ohne dadurch mein passwort offen hinzulegen.

      einige einträge sind aber mit einem * versehen im netinfo manager. passwörter zum beispiel unter dem user-verzeichnis. wäre ja auch total blöd, wenn die jeder von anderen usern auslesen könnte.



      ich benutze keine domains oder workgroups auf dem windows-rechner, weiß nicht, was ich dann da als domain oder workgroup eingeben soll, hab keine eingerichtet. könnte mir höchstens vorstellen, dass man an der stelle dann noch mal den rechnernamen eingeben muss, bei windows-login-feldern gibt man ja auch DOMAIN\nutzername oder eben RECHNERNAME\nutzername ein.

    • RE: Automount mit SMB

      Original von Merowinger
      also das ist ja unglaublich, dass samba selbst mir absolut KEINE möglichkeit bietet, automatisch beim booten die shares mounten zu lassen, ohne dadurch mein passwort offen hinzulegen.


      Samba hat damit überhaupt nichts zu tun, es dient einzig und alleine als Server. Über Samba kann man keine Freigabe mounten. Aber egal über welches Programm das gelöst wird, es muss selbstverständlich das Passwort im Klartext abgespeichert werden, wenn es nicht jedes mal neu eingegeben werden soll. Anders kann das gar nicht funktionieren.

      Das Passwort könnte zwar auch verschlüsselt (z.B. über AES oder ähnliches) abgespeichert werden, aber dann müsste der Benutzer eben ein Passwort eingeben um das eigentliche Passwort zu entschlüsseln. Das ganze könnte man sich dann auch sparen.

      Original von Merowingereinige einträge sind aber mit einem * versehen im netinfo manager. passwörter zum beispiel unter dem user-verzeichnis. wäre ja auch total blöd, wenn die jeder von anderen usern auslesen könnte.


      Passwörter für Benutzer werden selbstverständlich nicht als Klartext gespeichert, sondern als Hash. Somit können sie auch nicht angezeigt werden. Gut möglich, dass der Hash nicht im NetInfo Manager angezeigt wird, ausgelesen werden kann er aber trotzdem.

      Original von Merowingerich benutze keine domains oder workgroups auf dem windows-rechner, weiß nicht, was ich dann da als domain oder workgroup eingeben soll, hab keine eingerichtet. könnte mir höchstens vorstellen, dass man an der stelle dann noch mal den rechnernamen eingeben muss, bei windows-login-feldern gibt man ja auch DOMAIN\nutzername oder eben RECHNERNAME\nutzername ein.


      Jeder Windows-Rechner ist einer Workgroup zugeteilt. Je nach Windows-Version ist die Standard-Einstellung "Workgroup", "Arbeitsgruppe" oder auch "MSHeimnetz". Das kann auch dort eingestellt werden, wo man unter Windows den Rechnername einstellt. Irgendwo in den Eigenschaften vom "Arbeitsplatz", wenn ich mich richtig erinnere.

    • RE: Automount mit SMB



      Samba hat damit überhaupt nichts zu tun, es dient einzig und alleine als Server. Über Samba kann man keine Freigabe mounten. Aber egal über welches Programm das gelöst wird, es muss selbstverständlich das Passwort im Klartext abgespeichert werden, wenn es nicht jedes mal neu eingegeben werden soll. Anders kann das gar nicht funktionieren.

      Das Passwort könnte zwar auch verschlüsselt (z.B. über AES oder ähnliches) abgespeichert werden, aber dann müsste der Benutzer eben ein Passwort eingeben um das eigentliche Passwort zu entschlüsseln. Das ganze könnte man sich dann auch sparen.


      mit samba meinte ich ja auch hier den client, der mit samba kommuniziert, ich nenne ihn den samba-client.

      das mit dem "passwort im klartext abspeichern müssen" ist dann ja doch nicht ganz richtig, wenn das passwort in der verschlüsselten keychain liegt und nur während der mac-session entschlüsselt vorliegt. auch die eingabe eines passworts, um das eigentliche passwort zu entschlüsseln ist ja nicht nötig, wenn das beim login verwendete passwort auch automatisch als keychain-passwort benutzt wird, wie du in dem anderen thread ja erklärt hast.
      ich glaube dann habe ich zumindest via applescript einen weg gefunden, wie man das problem lösen kann: alle shares einmal "durchmounten" und jeweils die passwörter in der keychain speichern. dann ein applescript schreiben, dass dem finder die anweisungen gibt, alles durchzumounten, ohne dabei die passwörter nochmal hinschreiben zu müssen. bin mal gespannt, ob dadurch dann der finder nach dem login jedesmal automatisch aufpoppt oder schön geschlossen bleibt. kommt ganz drauf an, wie der finder implementiert ist, also ob er auch befehle im stillen verarbeiten kann oder sich immer dabei zeigen will.

      wie kann ich im applescriptbefehl (ich mache das mit tell "finder" usw...irgendwann dann mount volume usw.) dem "mount volume" befehl auch sagen, wie die acls für die gemounteten verzeichnisse zu setzen sind? die auf dem server gesetzten acls müssten doch mitübertragen werden, kann ich die auf meine benutzer auf dem client übertragen und sagen welcher server-benutzer welchem client-benutzer entspricht?


      habe die workgroup im netinfo-manger jetzt mit angegeben, es tut aber noch nicht. scheint aber sowieso nicht die beste methode zu sein, wenn dort alles im klartext für jeden zugänglich gemacht werden kann. oder kann man bestimmte einträge "versternen" lassen?

    • RE: Automount mit SMB

      Original von Merowinger
      das mit dem "passwort im klartext abspeichern müssen" ist dann ja doch nicht ganz richtig, wenn das passwort in der verschlüsselten keychain liegt und nur während der mac-session entschlüsselt vorliegt. auch die eingabe eines passworts, um das eigentliche passwort zu entschlüsseln ist ja nicht nötig, wenn das beim login verwendete passwort auch automatisch als keychain-passwort benutzt wird, wie du in dem anderen thread ja erklärt hast.


      Das ist ja gut und schön, nur leider steht dem Automounter kein Benutzer-Schlüsselbund zur Verfügung. Schließlich muss der starten, bevor sich irgend ein Benutzer einloggen kann. Somit kann er nicht wissen, welcher Schlüsselbund verwendet werden soll oder an das entsprechende Passwort kommen.

      Theoretisch wäre es sicher möglich einen entsprechenden Automounter zu entwickeln, aber das hat bis jetzt wohl noch niemand getan.

      Original von Merowinger
      ich glaube dann habe ich zumindest via applescript einen weg gefunden, wie man das problem lösen kann: alle shares einmal "durchmounten" und jeweils die passwörter in der keychain speichern. dann ein applescript schreiben, dass dem finder die anweisungen gibt, alles durchzumounten, ohne dabei die passwörter nochmal hinschreiben zu müssen. bin mal gespannt, ob dadurch dann der finder nach dem login jedesmal automatisch aufpoppt oder schön geschlossen bleibt. kommt ganz drauf an, wie der finder implementiert ist, also ob er auch befehle im stillen verarbeiten kann oder sich immer dabei zeigen will.


      Das geht. Beim mounten über AppleScript öffnet der Finder auch kein extra Fenster. Gegenüber dem Automounter gibt es aber doch einige Einschränkungen. Wenn dir das aber ausreicht ist es sicher die beste Lösung.

      Original von Merowinger
      die auf dem server gesetzten acls müssten doch mitübertragen werden, kann ich die auf meine benutzer auf dem client übertragen und sagen welcher server-benutzer welchem client-benutzer entspricht?


      Original von Merowinger
      Also wichtig ist mir vor allem das mit den ACLs, wie kann ich die auf dem client setzen oder übernehmen lassen?

      habe schon ein chown auf einer vom samba-server gemounteten datei gemacht, leider ohne effekt.


      So funktioniert das bei SMB nicht. Die ACL werden zwar übertragen aber um die Einhaltung muss sich der Server kümmern. Wenn ein Benutzer A eine Freigabe vom Server mounted dann sieht der Server alle Zugriffe darauf so, als ob sie von Benutzer A kommen, egal welcher Benutzer auf dem Client tatsächlich darauf zugreift. Deshalb werden auf dem Client andere Eigentümer und Gruppen "simuliert", so dass nur der Benutzer der das Dateisystem gemounted hat auch darauf zugreifen kann. Dies lässt sich aber über Mount-Optionen konfigurieren.

      Es wird also zuerst auf dem Client überprüft ob der lokale Benutzer Zugriff auf das Dateisystem hat. Wenn das so ist wird die Anfrage an den Server weitergereicht. Dieser überprüft nun wieder ob der Benutzer der das Dateisystem gemounted hat entsprechende Zugriffsrechte besitzt.


      Original von Merowinger
      habe die workgroup im netinfo-manger jetzt mit angegeben, es tut aber noch nicht. scheint aber sowieso nicht die beste methode zu sein, wenn dort alles im klartext für jeden zugänglich gemacht werden kann. oder kann man bestimmte einträge "versternen" lassen?


      Soweit ich weiß nicht. Vielleicht kann man irgendwie so eine Art ACL für NetInfo-Einträge anlegen, aber ich weiß nicht wie. Für NetInfo scheint es einfach keine Dokumentation im Netz zu geben, ich hab nichts gefunden. Auf kurz oder lang wird das aber sowieso durch LDAP ersetzt.


    • Das geht. Beim mounten über AppleScript öffnet der Finder auch kein extra Fenster. Gegenüber dem Automounter gibt es aber doch einige Einschränkungen. Wenn dir das aber ausreicht ist es sicher die beste Lösung.

      ja, ich befürchte nur, zu den einschränkungen gehört eben auch, dass man keine acls setzen kann.

      oder kann man im finder-mount-volume-befehl sowas als parameter mit angeben?



      So funktioniert das bei SMB nicht. Die ACL werden zwar übertragen aber um die Einhaltung muss sich der Server kümmern. Wenn ein Benutzer A eine Freigabe vom Server mounted dann sieht der Server alle Zugriffe darauf so, als ob sie von Benutzer A kommen, egal welcher Benutzer auf dem Client tatsächlich darauf zugreift. Deshalb werden auf dem Client andere Eigentümer und Gruppen "simuliert", so dass nur der Benutzer der das Dateisystem gemounted hat auch darauf zugreifen kann. Dies lässt sich aber über Mount-Optionen konfigurieren.

      Es wird also zuerst auf dem Client überprüft ob der lokale Benutzer Zugriff auf das Dateisystem hat. Wenn das so ist wird die Anfrage an den Server weitergereicht. Dieser überprüft nun wieder ob der Benutzer der das Dateisystem gemounted hat entsprechende Zugriffsrechte besitzt.


      hmm. okay. da ein keychain-mechanismus für den automounter noch nicht implementiert ist, werde ich wohl vorerst immer bei mount-on-login bleiben müssen. das heißt also, dass dann verzeichnisse nur solange gemountet sind, wie ein benutzer über den mac os x desktop eingeloggt ist. heißt auch, dass die mounts verschwinden, sobald sich der benutzer wieder ausloggt. bedeutet, für den nächsten, der sich einloggt, sind sie nicht mehr sichtbar. sprich, der nächste, der sich einloggt, muss sie im allgemeinen selber mounten.
      ausnahme: benutzer a ist eingeloggt, und benutzer b greift über ssh auf den rechner zu. allerdings fehlen dann die zugriffsberechtigungen, falls das von benutzer a gemountete verzeichnis für den ssh-benutzer b überhaupt sichtbar ist. unter windows ist das z.b. NICHT sichtbar, teile des windows-datei-waldes sind unter windows benutzer-definiert, nämlich die netzlaufwerke. aber egal, allein aufgrund des problems der zugangsberechtigungen, die nicht übertragen werden können, profitiert auch in diesem fall (zweiter benutzer b greift über ssh zu) nur der mountende benutzer a vom samba-verzeichnis. und selbst wenn das mit den acls angepasst werden könnte, der ssh benutzer b könnte sich ja nicht darauf verlassen, dass benutzer a auch gerade eingeloggt ist und seine samba-verzeichnisse, die benutzer b ja mitbenutzen will, schon gemountet hat.

      also schlussfolgerung:
      es muss für jeden benutzer sowohl beim mac-deskop-login als auch beim ssh-login ein automatisches apple-script zum laufen gebracht werden, das die entsprechenden verzeichnisse aus dem samba-server einbindet.

      ich denke das ist so richtig alles?