У меня возникла проблема с SAMBA во время недавней сборки сервера. Ниже представлена конфигурация, которую я без проблем использовал много раз.
Конфигурация Samba - (Anonymous закомментирован, но работает нормально при включении)
[global]
workgroup = SAMBA
security = user
map to guest = Bad User
passdb backend = tdbsam
printing = cups
printcap name = cups
load printers = yes
cups options = raw
log file = /var/log/samba/%m
log level = 1
#[Anonymous]
#comment = Anonymous File Server Share
#path = /tmp
#browsable =yes
#writable = yes
#guest ok = yes
#read only = no
[hes]
comment = stuff
path = /u01/app2
valid users = hesowner, oracle
writable = yes
browsable = yes
printable = no
invalid users = None
Тестирование общих ресурсов с помощью smbclient работает нормально.
[root@test1 ~]# smbclient -U hesowner //test1/hes
Enter SAMBA\hesowner's password:
Domain=[TEST1] OS=[Windows 6.1] Server=[Samba 4.6.2]
smb: \> ls
. D 0 Tue Aug 29 14:39:32 2017
.. D 0 Tue Aug 29 14:33:15 2017
reports D 0 Tue Aug 29 14:33:15 2017
forms D 0 Tue Aug 29 14:33:53 2017
eis_ws_approvals D 0 Tue Aug 29 14:45:20 2017
52403200 blocks of size 1024. 36431144 blocks available
smb: \>
Таким образом, проблема в Windows10 Pro, когда я пытаюсь получить доступ к общему ресурсу через \\ test1 \ hes, я просто получаю подсказку для пользователя / pass несколько раз и не могу получить доступ к общему ресурсу.
Вот журналы ...
[2017/09/07 11:54:20.051608, 2] ../source3/smbd/service.c:319(create_connection_session_info)
guest user (from session setup) not permitted to access this share (hes)
[2017/09/07 11:54:20.051670, 1] ../source3/smbd/service.c:502(make_connection_snum)
create_connection_session_info failed: NT_STATUS_ACCESS_DENIED
[2017/09/07 11:54:20.125206, 2] ../source3/smbd/service.c:319(create_connection_session_info)
guest user (from session setup) not permitted to access this share (hes)
[2017/09/07 11:54:20.125265, 1] ../source3/smbd/service.c:502(make_connection_snum)
create_connection_session_info failed: NT_STATUS_ACCESS_DENIED
[2017/09/07 11:54:20.161800, 2] ../source3/smbd/service.c:319(create_connection_session_info)
guest user (from session setup) not permitted to access this share (hes)
[2017/09/07 11:54:20.161824, 1] ../source3/smbd/service.c:502(make_connection_snum)
create_connection_session_info failed: NT_STATUS_ACCESS_DENIED
[2017/09/07 11:54:20.237828, 2] ../source3/smbd/service.c:319(create_connection_session_info)
guest user (from session setup) not permitted to access this share (hes)
[2017/09/07 11:54:20.237851, 1] ../source3/smbd/service.c:502(make_connection_snum)
create_connection_session_info failed: NT_STATUS_ACCESS_DENIED
Я вижу, что здесь упоминается «гость», что странно. Ничего не работает при удалении "map to guest = Bad User"
Я в полной растерянности ...
Спасибо за помощь.
Если кто-нибудь еще столкнется с этой проблемой, я решил изменить политики безопасности на клиенте Windows.
Выполнить> Secpol.msc
затем я устанавливаю «Локальные политики»> «Параметры безопасности»> «Сетевая безопасность: уровень проверки подлинности LAN Manager» на «Отправлять только ответ NTLMv2». Отказаться от LM и NTLM '
В противном случае вы можете отредактировать SAMABA.
Добавьте следующую строку в глобальный раздел файла smb.conf.
ntlm auth = yes
Сам не рассосался. Нашел решение Вот.
Я бы не рекомендовал включать устаревшие протоколы, такие как NTLM. Это работает в среде Win7 (которая поддерживает только SMB2.10) на Ubuntu 14/samba-4.3.11 Active Directory. Это также устанавливает «естественный» барьер для более низких версий Windows, которые не могут подключиться к любому общему ресурсу.
$ grep -E "m[ai][xn] protocol" /etc/samba/smb.conf
client ipc max protocol = SMB3
client ipc min protocol = SMB2_10
client max protocol = SMB3
client min protocol = SMB2_10
server max protocol = SMB3
server min protocol = SMB2_10
Безусловно, можно провести оптимизацию конфигурации и консолидацию - убедитесь, что вы включили максимально возможную поддержку версии SMB:
$ testparm -l --show-all-parameters | grep -E "m[ai][xn] protocol|smb encrypt"
smb encrypt=P_ENUM,default|No|False|0|Off|disabled|if_required|Yes|True|1|On|enabled|auto|desired|required|mandatory|force|forced|enforced,
server max protocol=P_ENUM,default|SMB2|SMB3|SMB3_11|SMB3_10|SMB3_02|SMB3_00|SMB2_24|SMB2_22|SMB2_10|SMB2_02|NT1|LANMAN2|LANMAN1|CORE|COREPLUS|CORE+,
max protocol=P_ENUM,default|SMB2|SMB3|SMB3_11|SMB3_10|SMB3_02|SMB3_00|SMB2_24|SMB2_22|SMB2_10|SMB2_02|NT1|LANMAN2|LANMAN1|CORE|COREPLUS|CORE+,
server min protocol=P_ENUM,default|SMB2|SMB3|SMB3_11|SMB3_10|SMB3_02|SMB3_00|SMB2_24|SMB2_22|SMB2_10|SMB2_02|NT1|LANMAN2|LANMAN1|CORE|COREPLUS|CORE+,
min protocol=P_ENUM,default|SMB2|SMB3|SMB3_11|SMB3_10|SMB3_02|SMB3_00|SMB2_24|SMB2_22|SMB2_10|SMB2_02|NT1|LANMAN2|LANMAN1|CORE|COREPLUS|CORE+,
client max protocol=P_ENUM,default|SMB2|SMB3|SMB3_11|SMB3_10|SMB3_02|SMB3_00|SMB2_24|SMB2_22|SMB2_10|SMB2_02|NT1|LANMAN2|LANMAN1|CORE|COREPLUS|CORE+,
client min protocol=P_ENUM,default|SMB2|SMB3|SMB3_11|SMB3_10|SMB3_02|SMB3_00|SMB2_24|SMB2_22|SMB2_10|SMB2_02|NT1|LANMAN2|LANMAN1|CORE|COREPLUS|CORE+,
client ipc max protocol=P_ENUM,default|SMB2|SMB3|SMB3_11|SMB3_10|SMB3_02|SMB3_00|SMB2_24|SMB2_22|SMB2_10|SMB2_02|NT1|LANMAN2|LANMAN1|CORE|COREPLUS|CORE+,
client ipc min protocol=P_ENUM,default|SMB2|SMB3|SMB3_11|SMB3_10|SMB3_02|SMB3_00|SMB2_24|SMB2_22|SMB2_10|SMB2_02|NT1|LANMAN2|LANMAN1|CORE|COREPLUS|CORE+,
Некоторые связанные выходные данные из производственной среды:
$smbstatus | grep -E "SMB|NTLM|^PID|\-\-{1,}"
PID Username Group Machine Protocol Version
------------------------------------------------------------------------------
11724 AD-User-ID User-Group X.X.X.X (ipvX:X.X.X.X:51177) SMB2_10
4834 AD-User-ID User-Group X.X.X.X (ipvX:X.X.X.X:54652) SMB2_10
1512 AD-User-ID User-Group X.X.X.X (ipvX:X.X.X.X:50496) SMB2_10
21140 AD-User-ID User-Group X.X.X.X (ipvX:X.X.X.X:62753) SMB2_10
26057 AD-User-ID User-Group X.X.X.X (ipvX:X.X.X.X:54410) SMB2_10
1513 AD-User-ID User-Group X.X.X.X (ipvX:X.X.X.X:50498) SMB2_10
11351 AD-User-ID User-Group X.X.X.X (ipvX:X.X.X.X:51152) SMB2_10
11464 AD-User-ID User-Group X.X.X.X (ipvX:X.X.X.X:65059) SMB2_10
5056 AD-User-ID User-Group X.X.X.X (ipvX:X.X.X.X:54671) SMB2_10
1511 AD-User-ID User-Group X.X.X.X (ipvX:X.X.X.X:50494) SMB2_10
... и лабораторный Centos7/samba-4.4.4 Active Directlry. Вы должны иметь возможность использовать шифрование с вашей версией SAMBA и Win10, убедитесь, что параметр smb encrypt настроен соответствующим образом для смешанной среды SMB2 / 3.
PID Username Group Machine Protocol Version Encryption Signing
----------------------------------------------------------------------------------------------------------------------------------------
10884 AD-User-ID User-Group X.X.X.X (ipvX:X.X.X.X:4867) SMB2_10 - HMAC-SHA256