web-dev-qa-db-ja.com

暗号化SMB Sambaでのトラフィック

Ubuntu 14.04 LTSでSambaをローミングプロファイルのPDC(プライマリドメインコントローラー))として使用しています。

_    server signing = mandatory
    smb encrypt = mandatory
_

/etc/samba/smb.confの_[global]_セクション。そうした後、8.0と8.1のクライアントを獲得しました(他のクライアントは試していません)が文句を言います:_Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden._このテキストの英語の翻訳:_The trust relationship between this workstation and the primary domain could not be established._

2つのオプション_server signing_および_smb encrypt_をsmb.confの_[profiles]_セクションにのみ追加すると、tcpdumpは実際のトラフィックが暗号化されていないことを示します。

完全なsmb.conf:

_[global]
    workgroup = DOMAIN
    server string = %h PDC
    netbios name = HOSTNAME
    wins support = true
    dns proxy = no
    allow dns updates = False
    dns forwarder = IP

    deadtime = 15

    log level = 2
    log file = /var/log/samba/log.%m
    max log size = 5000
    debug pid = yes
    debug uid = yes
    syslog = yes
    utmp = yes

    security = user
    domain logons = yes
    domain master = yes
    os level = 64
    logon path = \\%N\profiles\%U
    logon home = \\%N\%U
    logon drive = H:
    logon script =

    passdb backend = ldapsam:ldap://localhost
    ldap ssl = start tls
    ldap admin dn = cn=admin,dc=DOMAIN,dc=de
    ldap delete dn = no

    encrypt passwords = yes
    server signing = mandatory
    smb encrypt = mandatory

    ## Sync UNIX password with Samba password
    ldap password sync = yes

    ldap suffix = dc=intra,dc=DOMAIN,dc=de
    ldap user suffix = ou=People
    ldap group suffix = ou=Groups
    ldap machine suffix = ou=Computers
    ldap idmap suffix = ou=Idmap

    add user script = /usr/sbin/smbldap-useradd -m '%u' -t 1
    rename user script = /usr/sbin/smbldap-usermod -r '%unew' '%uold'
    delete user script = /usr/sbin/smbldap-userdel '%u'
    set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'
    add group script = /usr/sbin/smbldap-groupadd -p '%g'
    delete group script = /usr/sbin/smbldap-groupdel '%g'
    add user to group script = /usr/sbin/smbldap-groupmod -m '%u' '%g'
    delete user from group script = /usr/sbin/smbldap-groupmod -x '%u' '%g'
    add machine script = /usr/sbin/smbldap-useradd -W '%m' -t 1

[homes]
    comment = Home Directories
    valid users = %S
    read only = No
    browseable = No

[netlogon]
    comment = Network Logon Service
    path = /var/lib/samba/netlogon
    admin users = root
    guest ok = Yes
    browseable = No

[profiles]
    comment = Roaming Profile Share
    path = /var/lib/samba/profiles
    read only = No
    profile acls = Yes
    browsable = No
    valid users = %U
    create mode = 0600
    directory mode = 0700
_

何か助けは?

11
Kai Petzke

Smb.confマニュアルページを更新する必要があります!これは、SMB1のみに適用され、UNIX拡張機能を介して行われる古いSamba固有の暗号化メカニズムを指します。これはsmbclientで使用できます。

現在、「smb encrypt」オプションは、SMBバージョン3.0以降の一部であるSMBレベルの暗号化も制御します。 Windows 8以降のクライアントは暗号化する必要がありますトラフィック これらの設定。

Sambaドメインメンバーまたはスタンドアロンサーバーで同じ設定(smb encrypt = mandatoryセクションの[global])を使用しようとしましたか?

必ずsmb encrypt = auto[global]セクションに設定してください([profiles]セクションではありません)。その後、暗号化の一般提供が発表されます。



これはSambaのバグである可能性が非常に高いです。したがって、これはおそらくsambaの samba-technialメーリングリスト または sambaのbugzilla で議論する必要があります。 SambaのUbuntuバージョンを使用している場合は、 パッケージページ を確認することもできます。これは本物のSambaアップストリームの問題だと思います。

12
Michael Adam

これは、Samba 3.2以降で導入された新機能です。これは、UNIX拡張機能の一部としてネゴシエートされたSMB/CIFSプロトコルの拡張機能です。 SMB暗号化は、GSSAPI(WindowsではSSPI)機能を使用して、SMBプロトコルストリーム内のすべての要求/応答を暗号化および署名します。有効にすると、安全な方法が提供されますSMB/CIFS通信の例、ssh保護セッションに似ていますが、SMB/CIFS認証を使用して暗号化と署名鍵をネゴシエートします。現在、これはSamba 3.2 smbclientでのみサポートされます。まもなくLinux CIFSFSおよびMacOS/Xクライアントでサポートされる予定です。Windows clients do not support this feature.

これは、リモートクライアントがSMB暗号化を使用することを許可または要求されるかどうかを制御します。可能な値は、自動、必須、および無効です。これは共有ごとに設定できますが、クライアントは暗号化することを選択できます特定の共有へのトラフィックだけでなく、セッション全体。これが必須に設定されている場合、共有への接続が確立されたら、共有へのすべてのトラフィックを暗号化する必要があります。サーバーはすべての非共有に「アクセス拒否」を返しますそのような共有での暗号化されたリクエスト。暗号化されたトラフィックを選択すると、より小さなパケットサイズを使用する必要があるため(巨大なUNIXスタイルの読み取り/書き込みは許可されません)、すべてのデータを暗号化して署名するオーバーヘッドが増えるため、スループットが低下します。

SMB暗号化が選択されている場合、GSSAPIフラグは署名とシーリングの両方を選択するため、WindowsスタイルSMB署名(サーバー署名オプションを参照)を使用)は不要になります。データの。

自動に設定すると、SMB暗号化が提供されますが、強制されません。必須に設定すると、SMB暗号化が必要となり、無効に設定されている場合、SMB暗号化は交渉できません。

デフォルト:smb encrypt = auto

ソース: https://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

4
joe