Сделайте Samba на работе Ubuntu 18.04 с клиентами Windows, которые требуют снабженной цифровой подписью связи
Из-за недавнего изменения политики безопасности, где я работаю, Windows 7 PCs пользователей теперь настроен с Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network client: Digitally sign communications (always) включенный, и больше не способный получить доступ к доле Samba в моем сервере Ubuntu 18.04. Я попробовал несколько комбинаций server signing, client signing и smb encrypt в smb.conf и все еще не может заставить его работать, и я не могу найти ПРАКТИЧЕСКОЕ РУКОВОДСТВО/РУКОВОДСТВО об этом.
В настоящее время smb.conf включает
server signing = mandatory
client signing = mandatory
smb encrypt = required
С или без этих трех строк приводят к тем же результатам (sudo service smbd restart промежуточный). И сервер Samba не находится в домене AD (server role = standalone server).
Любая справка значительно ценилась бы.
(РЕДАКТИРОВАНИЕ - регистрируется и conf добавленные файлы),
Я остановил smbd сервис, удалил все существующие файлы журнала, запустил smbd сервис, попытался соединиться из Windows, снова остановил smbd сервис и затем захватил файлы журнала. Я сделал эту процедуру дважды с первым разом, когда вышеупомянутая политика Windows была установлена, и во второй раз, когда это не было (и поэтому на этот раз Windows, успешно подключенный к Samba).
Я не мог найти руководство о том, на что должен быть установлен уровень журнала значения, таким образом, я установил его на 10, который произвел огромные журналы. Они здесь, вместе с моим smb.conf, который имеет эти дополнительные строки по сравнению с Ubuntu по умолчанию smb.conf:
security = user
unix extensions = no
log level = 10
[homes]
browseable = no
read only = no
create mask = 0764
directory mask = 2775
valid users = %S
guest ok = no
wide links = yes
(Я удалил вышеупомянутый, подписываться/шифровать строки после прошлого раза, когда я отправляю, так как они не имеют справки.)
(Позже отредактированный), Если уровень 10 журнала является слишком подавляющим, журналы уровня 5 здесь.
Что касается клиентского сообщения... это проблематично, потому что мы используем Традиционную китайскую версию Windows здесь. После некоторого поиска с помощью Google я предполагаю, что эквивалентное сообщение в английской версии Windows было бы "Учетной записью, не разрешен войти в систему от этой станции". И я должен был разъяснить, что с успешными соединениями, диалоговое окно имени пользователя/пароля открывается сначала, в котором я ввел те из моего пользователя Ubuntu, и они успешно выполняются. В то время как с неудавшимися, нет никакого диалогового окна, только сообщение.
2 ответа
Точно, какие сообщения об ошибках Вы получаете? Помочь запросить мой мозг.
Зашифруйте не, конечно, то же как подписание. Зашифруйте целый блок сообщений. Столь вполне уверенный Вы не хотите что опция на.
Цифровая подпись (если я помню право) была в различное время в истории SMB - или простые идентификационные соответствия ключа сессии или хеш каждого сообщения на основе сеансового ключа (идентификатор плюс доказательство антитрамбовки) в конце вместо древней простой вещи типа CRC.
Еще более основной, удостоверяются, что Ubuntu согласовывает для протоколов до SMBv2 и SMBv3. Я не думаю, что SMBv1 знает, что сделать с Цифровыми подписями или полным шифрованием SMB.
Все же не слишком многие присваивают версию назад SMBv1, было все еще предположение по умолчанию для упрощения соединений с машинами Windows. Я предполагаю, что это было сохранено на теории, что - в абсолютных числах таких установок - большинство мест не имело экспертных знаний и в Linux и в Windows. И конечно места, которые действительно имели людей с обоими экспертными знаниями, будут автоматический понимать требуемые настройки "Expert".
Снова я не знаю то, что природу ошибочных сообщений Вы получаете - таким образом, я ничего не могу исключить вдоль строки необходимости в согласовании для использования SMBv2/SMBv3 вместо SMBv1 в этой точке.
В любом случае я - одна только вполне уверенная политика Цифровой подписи (функция SMBv2) оставляет основное сообщение в простом тексте для более быстрой обработки и контроля различными сетевыми устройствами (меньше клиента или сервера наверху также). Зашифрованный SMB как часть протокола является довольно недавним. Не легко инициировали поведение для Окна 7, хотя, вероятно, добавлено как доступная функция перед концом поддержки Windows 7. Выпущенный с SMBv3 я думаю во время релиза Windows 8.1.
Получил справку из списка рассылки Samba.
Комментирование значения по умолчанию map to guest = bad user работы строки.