Friday, March 4, 2022

Wenn Sie keine SMB-Freigabe bereitstellen können, die von einem an Open Directory gebundenen Mac gehostet wird

Wenn Sie keine SMB-Freigabe bereitstellen können, die von einem an Open Directory gebundenen Mac gehostet wird

Aufgrund der Sicherheitsanforderungen von SMB 3 können Sie SMB möglicherweise nicht zum Bereitstellen eines Netzwerkvolumes verwenden.

Überprüfen Sie Ihre Verbindungseinstellungen

Server Message Block (SMB) 3 ist die Standardmethode zum Herstellen einer Verbindung zu einem Server in macOS. Es erfordert, dass die Verbindung nach der Authentifizierung eine Überprüfungsanfrage zum Aushandeln durchführt. Alle SMB 3-Sitzungen müssen signiert werden, es sei denn, Sie verbinden sich als Gast oder anonym.

Möglicherweise haben Sie einen macOS-Dateiserver, der ein Open Directory-Client ist und anonym an einen LDAP-Server (Lightweight Directory Access Protocol) gebunden ist. Verwenden Sie in diesem Fall eine der folgenden Methoden, um eine Verbindung herzustellen:

  • Wenn Sie eine Verbindung zum LDAP-Server herstellen, verwenden Sie die authentifizierte Bindung .
  • Ändern Sie die Rolle des Dateiservers in eine Open Directory-Replik. Dadurch wird auch Kerberos auf Ihrem Server eingerichtet.
  • Deaktivieren Sie die Validierung von Verhandlungsanforderungen auf Ihrem Client.
  • Richten Sie Ihren SMB-Server oder -Client so ein, dass nur SMB 2 verwendet wird.

Erfahren Sie mehr über das Signieren von Sitzungen

Für die Sitzungssignierung in SMB 3 ist ein gebundener Computer erforderlich, um auf das md4 (Kennwort) jedes Benutzers im Verzeichnisserver zuzugreifen. Infolgedessen gewährt SMB 3 Clientverbindungen nur zu „vertrauenswürdigen" Computern. Dies sind Computer, die Anmeldeinformationen des Verzeichnisadministrators (diradmin) verwenden, um an die Authentifizierung gebunden (authbound) zu sein.

Manchmal kann diradmin Ihren Server nicht an den Verzeichnisserver authbinden, der die Konten enthält, mit denen sich Ihre Benutzer authentifizieren sollen. In diesem Fall können Sie entweder die Anfragen des Clients zur Validierung der Aushandlung deaktivieren oder den Server so anpassen, dass er nur weniger sichere SMB 2-Verbindungen akzeptiert. Ändern Sie dazu die SMB-Servereinstellungen, die Clienteinstellungen oder beides.

Deaktivieren Sie die Validierung von Verhandlungsanforderungen auf Ihrem Client

Wenn Sie „Validate Negotie" deaktivieren, erhöhen Sie die Anfälligkeit für Man-in-the-Middle-Angriffe. Sie sollten die Validierung von Aushandlungsanfragen nur deaktivieren, wenn sich sowohl der Client als auch der Server in einem gesicherten Netzwerk befinden.

Um den Wert der Einstellung validate_neg_off in der Datei nsmb.conf im Verzeichnis /etc festzulegen, verwenden Sie einen Texteditor oder Terminal. Weitere clientseitige SMB-Konfigurationsoptionen finden Sie auf der Manpage für nsmb.conf.

Wenn Sie eine nsmb.conf konfigurieren, um die Validierung von Aushandlungsanforderungen zu deaktivieren, sieht sie wie folgt aus:

[default]
validate_neg_off=yes

Stellen Sie Ihren macOS-Server so ein, dass er SMB 3-Verbindungen verweigert

Verhandlungsanfragen validieren ist eine SMB 3-Funktion, die von Clients initiiert wird. Um zu verhindern, dass Clients diese Anfragen stellen, können Sie Ihren macOS-Server so einstellen, dass er nur SMB 2-Verbindungen akzeptiert. Ein Bitfeld in den Servereinstellungen steuert den Serverdialekt. Das Schlüsselwort für dieses Bitfeld ist ProtocolVersionMap. Es verwendet nur drei Bits:

Wert Bedeutung
1 Unterstützung von SMB 1
2 Unterstützung von SMB 2
4 Unterstützung von SMB 3

Kombinieren Sie Bits, um mehrere Dialekte zu unterstützen.

In diesem Beispiel wird ProtocolVersionMap so eingestellt, dass SMB 2 zugelassen wird. Dazu wird ProtocolVersionMap auf „2" gesetzt:

sudo scutil --prefs com.apple.smb.server.plist

get /

d.add ProtocolVersionMap # 2

set /

commit

apply

quit

at

No comments:

Post a Comment