Soru Samba ile SMB trafiğini şifreleme


Samba'yı Ubuntu 14.04 LTS'de gezici profillere sahip bir PDC (birincil alan denetleyicisi) olarak kullanıyoruz. Ayarlama yoluyla şifrelemeyi yapmaya çalışırsak, her şey iyi çalışır:

    server signing = mandatory
    smb encrypt = mandatory

içinde [global] /etc/samba/smb.conf bölümü. Bunu yaptıktan sonra 8.0 kazanın ve 8.1 müşteriyi kazanın (başka birini denemeyin). Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden. Bu metnin İngilizce çevirisi: The trust relationship between this workstation and the primary domain could not be established.

Eğer iki seçeneği eklersek server signing ve smb encrypt sadece [profiles] smb.conf bölümü tcpdump gerçek trafiğin şifrelenmediğini gösterir!

Tam smb.conf:

[global]
    workgroup = DOMAIN
    server string = %h PDC
    netbios name = HOSTNAME
    wins support = true
    dns proxy = no
    allow dns updates = False
    dns forwarder = IP

    deadtime = 15

    log level = 2
    log file = /var/log/samba/log.%m
    max log size = 5000
    debug pid = yes
    debug uid = yes
    syslog = yes
    utmp = yes

    security = user
    domain logons = yes
    domain master = yes
    os level = 64
    logon path = \\%N\profiles\%U
    logon home = \\%N\%U
    logon drive = H:
    logon script =

    passdb backend = ldapsam:ldap://localhost
    ldap ssl = start tls
    ldap admin dn = cn=admin,dc=DOMAIN,dc=de
    ldap delete dn = no

    encrypt passwords = yes
    server signing = mandatory
    smb encrypt = mandatory

    ## Sync UNIX password with Samba password
    ldap password sync = yes

    ldap suffix = dc=intra,dc=DOMAIN,dc=de
    ldap user suffix = ou=People
    ldap group suffix = ou=Groups
    ldap machine suffix = ou=Computers
    ldap idmap suffix = ou=Idmap

    add user script = /usr/sbin/smbldap-useradd -m '%u' -t 1
    rename user script = /usr/sbin/smbldap-usermod -r '%unew' '%uold'
    delete user script = /usr/sbin/smbldap-userdel '%u'
    set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'
    add group script = /usr/sbin/smbldap-groupadd -p '%g'
    delete group script = /usr/sbin/smbldap-groupdel '%g'
    add user to group script = /usr/sbin/smbldap-groupmod -m '%u' '%g'
    delete user from group script = /usr/sbin/smbldap-groupmod -x '%u' '%g'
    add machine script = /usr/sbin/smbldap-useradd -W '%m' -t 1

[homes]
    comment = Home Directories
    valid users = %S
    read only = No
    browseable = No

[netlogon]
    comment = Network Logon Service
    path = /var/lib/samba/netlogon
    admin users = root
    guest ok = Yes
    browseable = No

[profiles]
    comment = Roaming Profile Share
    path = /var/lib/samba/profiles
    read only = No
    profile acls = Yes
    browsable = No
    valid users = %U
    create mode = 0600
    directory mode = 0700

Herhangi bir yardım?


9
2018-01-07 18:13


Menşei


Bu sorunu çözüp çözmediğini görmek için bilgisayarı bir etki alanına katılabilir misiniz? - integratorIT
Maalesef, bir kazanana 8 katılırsanız veya 8.1 müşteriyi alan adına yönlendirirseniz, problem çözmez. Bunu birkaç kez denedik. - Kai Petzke


Cevaplar:


Smb.conf kılavuz sayfasının güncellenmesi gerekiyor! Sadece SMB1 için geçerli olan ve Unix uzantıları üzerinden yapılan eski Samba'ya özgü şifreleme mekanizmasına atıfta bulunur. Bu tarafından kullanılabilir smbclient.

Günümüzde "smb encrypt"seçenekler ayrıca SMB sürüm 3.0 ve daha yeni bir parçası olan SMB düzeyinde şifrelemeyi de denetler. Windows 8 (ve daha yeni) istemciler trafiği şifrelemelidir bu ayarlarla.

Aynı ayarları kullanmaya çalıştınız mı?smb encrypt = mandatory içinde [global] bölümü) Samba alan adı üyesi veya bağımsız bir sunucu üzerinde?

Ayarladığınızdan emin olun smb encrypt = auto içinde [global] bölüm (değil [profiles] Bölüm). Daha sonra şifrelemenin genel kullanılabilirliği hala açıklandı.



Bunun Samba'da bir böcek olması çok olasıdır. Yani bu muhtemelen samba'nın üzerinde tartışılmalıdır. samba-technial posta listesi veya samba'nın bugzilla. Samba'nın Ubuntu versiyonunu kullanıyorsanız, kontrol etmek isteyebilirsiniz. paket sayfası. Bu gerçek bir Samba akış yukarı sorun olduğundan şüpheleniyorum.


10
2018-04-22 14:46



Samba'nın çekirdek deposundaki manuel sayfayı güncelledim ve farklı anlamlarını açıkladım. smb encrypt SMB2 ve SMB3 için: (git.samba.org/...) - Michael Adam


Bu Samba 3.2 ve üstü ile tanıtılan yeni bir özellik. UNIX uzantılarının bir parçası olarak anlaşılan SMB / CIFS protokolünün bir uzantısıdır. SMB şifreleme, bir SMB protokol akışındaki her istek / yanıtı şifrelemek ve imzalamak için GSSAPI (Windows üzerinde SSPI) yeteneğini kullanır. Etkinleştirildiğinde, ssh korumalı bir oturuma benzer, SMB / CIFS iletişiminin güvenli bir yöntemini sağlar, ancak şifreleme ve imzalama anahtarları üzerinde anlaşma yapmak için SMB / CIFS kimlik doğrulaması kullanılır. Şu anda bu sadece Samba 3.2 smbclient ve yakında Linux CIFSFS ve MacOS / X istemcileri tarafından desteklenmektedir. Windows clients do not support this feature.

Bu, uzak istemcinin SMB şifrelemesini kullanmasına izin verilip verilmediğini veya gerekli olduğunu kontrol eder. Olası değerler otomatik, zorunlu ve devre dışıdır. Bu, paylaşım başına temelinde ayarlanabilir, ancak istemciler yalnızca belirli bir paylaşımın trafiğini değil, tüm oturumu şifrelemeyi seçebilir. Bu zorunlu olarak ayarlanmışsa, pay paylaşıldıktan sonra pay için tüm trafiğin şifrelenmesi gerekir. Sunucu, böyle bir paylaşımdaki şifrelenmemiş tüm isteklere "erişim reddedildi". Şifrelenmiş trafiğin seçilmesi, daha küçük paket boyutlarının kullanılması gerektiğinden (büyük UNIX tarzı okuma / yazmalara izin verilmediğinden) ve tüm verilerin şifrelenmesi ve imzalanması gerektiğinden, verimi azaltır.

SMB şifrelemesi seçilirse, GSSAPI bayraklarının kullanımı hem imzalamayı hem de sızdırmazlığı seçtiğinden, Windows stili SMB imzalama (sunucu imzalama seçeneğine bakın) artık gerekli değildir.

Otomatik olarak ayarlandığında, SMB şifreleme sunulur, ancak zorunlu değildir. Zorunlu olarak ayarlandığında, SMB şifrelemesi gerekir ve devre dışı bırakılmışsa, SMB şifreleme anlaşılamaz.

Varsayılan: smb encrypt = auto

Kaynak: https://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html


4
2018-01-15 12:04



Üzgünüm, man sayfasını okuyabilirim. Vurguladığınız alıntı hakkında: Bazı sayfalar gibi blogs.technet.com/b/filecab/archive/2012/05/03/... Win 8'in de SMB şifrelemesi yapabileceğini belirtir. Bu sayfanın en üstünde yazıldığı gibi: "Burada her şey Windows 8 için de geçerlidir." Bu bilgi kesinlikle yanlış mı? - Kai Petzke
Alternatif olarak, şifrelenmiş smb trafiğini destekleyen Windows Server 2012'yi kullanabilirsiniz. - integratorIT
Ancak tüm istemcilerde Windows Server sürümü gerektirmez mi? - Kai Petzke