暗号化SMB Sambaでのトラフィック
Ubuntu 14.04 LTSでSambaをローミングプロファイルのPDC(プライマリドメインコントローラー))として使用しています。
_ server signing = mandatory
smb encrypt = mandatory
_/etc/samba/smb.confの_[global]_セクション。そうした後、8.0と8.1のクライアントを獲得しました(他のクライアントは試していません)が文句を言います:_Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden._このテキストの英語の翻訳:_The trust relationship between this workstation and the primary domain could not be established._
2つのオプション_server signing_および_smb encrypt_をsmb.confの_[profiles]_セクションにのみ追加すると、tcpdumpは実際のトラフィックが暗号化されていないことを示します。
完全なsmb.conf:
_[global]
workgroup = DOMAIN
server string = %h PDC
netbios name = HOSTNAME
wins support = true
dns proxy = no
allow dns updates = False
dns forwarder = IP
deadtime = 15
log level = 2
log file = /var/log/samba/log.%m
max log size = 5000
debug pid = yes
debug uid = yes
syslog = yes
utmp = yes
security = user
domain logons = yes
domain master = yes
os level = 64
logon path = \\%N\profiles\%U
logon home = \\%N\%U
logon drive = H:
logon script =
passdb backend = ldapsam:ldap://localhost
ldap ssl = start tls
ldap admin dn = cn=admin,dc=DOMAIN,dc=de
ldap delete dn = no
encrypt passwords = yes
server signing = mandatory
smb encrypt = mandatory
## Sync UNIX password with Samba password
ldap password sync = yes
ldap suffix = dc=intra,dc=DOMAIN,dc=de
ldap user suffix = ou=People
ldap group suffix = ou=Groups
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap
add user script = /usr/sbin/smbldap-useradd -m '%u' -t 1
rename user script = /usr/sbin/smbldap-usermod -r '%unew' '%uold'
delete user script = /usr/sbin/smbldap-userdel '%u'
set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'
add group script = /usr/sbin/smbldap-groupadd -p '%g'
delete group script = /usr/sbin/smbldap-groupdel '%g'
add user to group script = /usr/sbin/smbldap-groupmod -m '%u' '%g'
delete user from group script = /usr/sbin/smbldap-groupmod -x '%u' '%g'
add machine script = /usr/sbin/smbldap-useradd -W '%m' -t 1
[homes]
comment = Home Directories
valid users = %S
read only = No
browseable = No
[netlogon]
comment = Network Logon Service
path = /var/lib/samba/netlogon
admin users = root
guest ok = Yes
browseable = No
[profiles]
comment = Roaming Profile Share
path = /var/lib/samba/profiles
read only = No
profile acls = Yes
browsable = No
valid users = %U
create mode = 0600
directory mode = 0700
_何か助けは?
Smb.confマニュアルページを更新する必要があります!これは、SMB1のみに適用され、UNIX拡張機能を介して行われる古いSamba固有の暗号化メカニズムを指します。これはsmbclientで使用できます。
現在、「smb encrypt」オプションは、SMBバージョン3.0以降の一部であるSMBレベルの暗号化も制御します。 Windows 8以降のクライアントは暗号化する必要がありますトラフィック これらの設定。
Sambaドメインメンバーまたはスタンドアロンサーバーで同じ設定(smb encrypt = mandatoryセクションの[global])を使用しようとしましたか?
必ずsmb encrypt = autoを[global]セクションに設定してください([profiles]セクションではありません)。その後、暗号化の一般提供が発表されます。
これはSambaのバグである可能性が非常に高いです。したがって、これはおそらくsambaの samba-technialメーリングリスト または sambaのbugzilla で議論する必要があります。 SambaのUbuntuバージョンを使用している場合は、 パッケージページ を確認することもできます。これは本物のSambaアップストリームの問題だと思います。
これは、Samba 3.2以降で導入された新機能です。これは、UNIX拡張機能の一部としてネゴシエートされたSMB/CIFSプロトコルの拡張機能です。 SMB暗号化は、GSSAPI(WindowsではSSPI)機能を使用して、SMBプロトコルストリーム内のすべての要求/応答を暗号化および署名します。有効にすると、安全な方法が提供されますSMB/CIFS通信の例、ssh保護セッションに似ていますが、SMB/CIFS認証を使用して暗号化と署名鍵をネゴシエートします。現在、これはSamba 3.2 smbclientでのみサポートされます。まもなくLinux CIFSFSおよびMacOS/Xクライアントでサポートされる予定です。Windows clients do not support this feature.
これは、リモートクライアントがSMB暗号化を使用することを許可または要求されるかどうかを制御します。可能な値は、自動、必須、および無効です。これは共有ごとに設定できますが、クライアントは暗号化することを選択できます特定の共有へのトラフィックだけでなく、セッション全体。これが必須に設定されている場合、共有への接続が確立されたら、共有へのすべてのトラフィックを暗号化する必要があります。サーバーはすべての非共有に「アクセス拒否」を返しますそのような共有での暗号化されたリクエスト。暗号化されたトラフィックを選択すると、より小さなパケットサイズを使用する必要があるため(巨大なUNIXスタイルの読み取り/書き込みは許可されません)、すべてのデータを暗号化して署名するオーバーヘッドが増えるため、スループットが低下します。
SMB暗号化が選択されている場合、GSSAPIフラグは署名とシーリングの両方を選択するため、WindowsスタイルSMB署名(サーバー署名オプションを参照)を使用)は不要になります。データの。
自動に設定すると、SMB暗号化が提供されますが、強制されません。必須に設定すると、SMB暗号化が必要となり、無効に設定されている場合、SMB暗号化は交渉できません。
デフォルト:smb encrypt = auto
ソース: https://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html