automatische anmeldng mit smbfs

[gnude]

hallo,
kann ich in einem script eine smb freigabe mounten?
mount -t smbfs -o username=bla, password=blub //1.1.1.1/verzeichnis /verzeichnis
der fragt aber immer noch nach dem passwort und das verhindert natürlich den einsatz in einem script, das als cron laufen soll.
das system ist lenny, installiert ist samba und smbfs

[Colttt]

probier mal:

Code: Alles auswählen

mount -t cifs -o username=tada,password="blubb" //server/freigabe /mountpoint

dann sollte es gehn, wichtig ist, das hinter username=tada,password= ... kein leerzeichen drin ist!!

[gnude]

ok, ich möchte eine smb freigabe aushängen,
dann einen copy befehl absetzten und danach die freigabe einhängen.
es währe natürlich dumm, wenn der unmount nicht klappt und der copy trotzdem startet.
kann ich den cp abhängig machen vom erfolg von unmount???


umount /mountpoint
cp /mountpoint /irgendwas
mount -t cifs -o username=tada,password="blubb" //server/freigabe /mountpoint

[Colttt]

Code: Alles auswählen

umount /mountpoint && cp /mountpoint /irgendwas

durch && wird der befehl(cp) nur ausgeführt wenn umount erfolgreich war..

[rendegast]

Tip:
Manchmal ist ein 'umount -l ...' ("lazy") erfolgreicher als ein einfaches 'umount ...'.

Außerdem sollte nicht mit '... -o username=tada,password="blubb" ...' gemountet werden,
sondern mit '... -o credentials=credfile ...'.
Und credfile sollte Rechte 600 (rw-------) haben.

[gnude]

was sprich gegen die erste mount methode???

[Colttt]

das einzige was dagegen spricht, ist das man das passwort sieht, mehr eigentlich nicht..

[gnude]

ist unrelevant. wer physischen zugang zum rechner hat, braucht sowieso kein passwort mehr...

[ThorstenS]

Du gewöhnst dir da ein unsicheres Vorgehen an.
Wenn du später im Job sowas auf einem multiuser System machst und jeder mit einem einfachen ps-Aufruf dein Passwort siehst, bekommst du Probleme.
Nimm die sichere Variante mit dem credential-file

[gnude]

danke für den tipp!
auch mit dem risiko heftiger kritik, das läuft bereits in einem produktivsystem.
aber den tipp nehm ich dankbar zur kenntniss und werd mich damit bei zeiten befassen.

[rendegast]

Was wohl wichtiger ist,
da wohl LM / NTLM geknackt sind, sollte die Authentifizierung / Session-Security über NTLMv2 gemacht werden.

sec=
Security mode. Allowed values are:
· none attempt to connection as a null user (no name)
· krb5 Use Kerberos version 5 authentication
· krb5i Use Kerberos authentication and packet signing
· ntlm Use NTLM password hashing (default)
· ntlmi Use NTLM password hashing with signing (if /proc/fs/cifs/PacketSigningEnabled on or if server requires signing also can be the default)
· ntlmv2 Use NTLMv2 password hashing
· ntlmv2i Use NTLMv2 password hashing with packet signing

Und in smb.conf :

Code: Alles auswählen

# Auth, nur NTLMv2:
#	auth methods = 
#	lanman auth = No
#	ntlm auth = Yes
#	client NTLMv2 auth = No
#	client lanman auth = No
#	client plaintext auth = No
	ntlm auth = No
	client NTLMv2 auth = Yes

(Die kommentierten entsprechen den Compiled-in-Defaults des samba-3.4.3 aus testing/squeeze)


Entsprechend sollte bei Windows die Einstellung
'Nur NTLMv2-Antworten senden\LM & NTLM verweigern' sein,
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel, Wert=5

[gnude]

klingt sehr kompliziert.
ich sehe im moment keine veranlassung mir darüber gedanken zu machen, weil das netz von aussen nicht erreichbar ist.