SambaでNTLMv2認証を使用する
クライアントのセキュリティポリシーを設定して非NTLMv2認証を許可する の後でも、Windows 10クライアントを使用してLinuxホストのSamba共有に接続しようとすると、「指定されたパスワードが正しくありません。 」有効なアカウント認証情報を使用する場合。
ほとんどのシステムはNTLMv2認証をサポートできるように思えるので、Sambaホストでそれを有効にし、古いプロトコルのサポートについてはもう心配しません。 SambaはデフォルトでNTLMv2オプションを使用しているように見えますが、Windowsを満たすために設定する必要があるパラメーターは何ですか(つまり、NTLMv2のみを使用します)?
おそらく、 Sambaのデフォルトは次の値と一致します ですが、明示的に設定する必要がありました。
lanman auth = no
ntlm auth = yes
client lanman auth = no
Windowsレジストリでキーを確認します。
HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
これが0に設定されている場合、WindowsはNTLMv1のみを使用して接続しようとします。このレジストリキーがいくつかのWindows 10マシンでこのように設定されているのを見ましたが、その理由はわかりません。ただし、このレジストリキーを削除すると、WindowsはNTLMv2を使用してSamba 4に正常に接続するというデフォルトの動作に戻ります。
追加する必要がありました--allow-mschapv2ファイル/etc/freeradius/3.0/mods-enabled/mschapなので、次のようになります。
ntlm_auth = "/usr/bin/ntlm_auth --allow-mschapv2 --request-nt-key --username=%{%{Stripped-User-Name}:-%{%{User-Name}:-None}} --challenge=%{%{mschap:Challenge}:-00} --nt-response=%{%{mschap:NT-Response}:-00}"
(つまり、正しいntlm authパラメータ。私の場合はntlm auth = mschapv2-and-ntlmv2-onlysmb.conf)