सांबा के साथ SMB यातायात को एन्क्रिप्ट करना


11

हम रोमिंग प्रोफाइल के साथ पीडीए (प्राथमिक डोमेन नियंत्रक) के रूप में उबंटू 14.04 एलटीएस पर सांबा का उपयोग करते हैं। सब कुछ ठीक काम करता है, सिवाय इसके अगर हम सेटिंग के माध्यम से एन्क्रिप्शन लागू करने की कोशिश करते हैं:

    server signing = mandatory
    smb encrypt = mandatory

[global]/etc/samba/smb.conf के अनुभाग में। ऐसा करने के बाद, 8.0 जीतें और 8.1 ग्राहक जीतें (किसी अन्य की कोशिश नहीं की) शिकायत करें: Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden.इस पाठ का अंग्रेजी अनुवाद:The trust relationship between this workstation and the primary domain could not be established.

यदि हम दो विकल्प जोड़ते हैं server signingऔर smb encryptकेवल [profiles]smb.conf के खंड में आते हैं, तो tcpdumpदिखाता है, कि वास्तविक ट्रैफ़िक एन्क्रिप्टेड नहीं है!

पूर्ण smb.conf:

[global]
    workgroup = DOMAIN
    server string = %h PDC
    netbios name = HOSTNAME
    wins support = true
    dns proxy = no
    allow dns updates = False
    dns forwarder = IP

    deadtime = 15

    log level = 2
    log file = /var/log/samba/log.%m
    max log size = 5000
    debug pid = yes
    debug uid = yes
    syslog = yes
    utmp = yes

    security = user
    domain logons = yes
    domain master = yes
    os level = 64
    logon path = \\%N\profiles\%U
    logon home = \\%N\%U
    logon drive = H:
    logon script =

    passdb backend = ldapsam:ldap://localhost
    ldap ssl = start tls
    ldap admin dn = cn=admin,dc=DOMAIN,dc=de
    ldap delete dn = no

    encrypt passwords = yes
    server signing = mandatory
    smb encrypt = mandatory

    ## Sync UNIX password with Samba password
    ldap password sync = yes

    ldap suffix = dc=intra,dc=DOMAIN,dc=de
    ldap user suffix = ou=People
    ldap group suffix = ou=Groups
    ldap machine suffix = ou=Computers
    ldap idmap suffix = ou=Idmap

    add user script = /usr/sbin/smbldap-useradd -m '%u' -t 1
    rename user script = /usr/sbin/smbldap-usermod -r '%unew' '%uold'
    delete user script = /usr/sbin/smbldap-userdel '%u'
    set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'
    add group script = /usr/sbin/smbldap-groupadd -p '%g'
    delete group script = /usr/sbin/smbldap-groupdel '%g'
    add user to group script = /usr/sbin/smbldap-groupmod -m '%u' '%g'
    delete user from group script = /usr/sbin/smbldap-groupmod -x '%u' '%g'
    add machine script = /usr/sbin/smbldap-useradd -W '%m' -t 1

[homes]
    comment = Home Directories
    valid users = %S
    read only = No
    browseable = No

[netlogon]
    comment = Network Logon Service
    path = /var/lib/samba/netlogon
    admin users = root
    guest ok = Yes
    browseable = No

[profiles]
    comment = Roaming Profile Share
    path = /var/lib/samba/profiles
    read only = No
    profile acls = Yes
    browsable = No
    valid users = %U
    create mode = 0600
    directory mode = 0700

कोई मदद?


क्या आप यह देखने के लिए कंप्यूटर को डोमेन में फिर से शामिल कर सकते हैं कि क्या यह इस मुद्दे को हल करता है?
इंटीग्रेटरी

क्षमा करें, एक जीत 8 या डोमेन के लिए 8.1 क्लाइंट जीत समस्या को हल नहीं करता है। हमने कई बार कोशिश की।
काई पेट्ज़के

जवाबों:


12

Smb.conf मैनुअल पेज को अपडेट करने की आवश्यकता है! यह पुराने सांबा-विशिष्ट एन्क्रिप्शन तंत्र को संदर्भित करता है जो केवल SMB1 पर लागू होता है और यह यूनिक्स एक्सटेंशन के माध्यम से किया जाता है। इसके द्वारा इस्तेमाल किया जा सकता है smbclient

आजकल, " smb encrypt" विकल्प SMB- स्तर एन्क्रिप्शन को भी नियंत्रित करता है जो SMB संस्करण 3.0 और नए का हिस्सा है। विंडोज 8 (और नए) ग्राहकों को इन सेटिंग्स के साथ ट्रैफ़िक को एन्क्रिप्ट करना चाहिए

आप (एक ही सेटिंग्स का उपयोग करने की कोशिश की है smb encrypt = mandatoryमें [global]एक सांबा डोमेन के किसी सदस्य या स्टैंडअलोन सर्वर पर अनुभाग)?

अनुभाग (अनुभाग नहीं ) smb encrypt = autoमें सेट करना सुनिश्चित करें । तब एन्क्रिप्शन की सामान्य उपलब्धता अभी भी घोषित की जाती है।[global][profiles]



यह बहुत संभव है कि यह सांबा में एक बग है। तो यह शायद सांबा के सांबा-तकनीकी मेलिंग सूची या सांबा के बगज़िला पर चर्चा की जानी चाहिए । यदि आप सांबा के उबंटू संस्करण का उपयोग कर रहे हैं तो आप पैकेज पृष्ठ को भी जांचना चाहते हैं । मुझे संदेह है कि यह एक वास्तविक सांबा अपस्ट्रीम मुद्दा है।


7
मैंने smb encryptSMB2 और SMB3: ( git.samba.org/… ) के लिए अलग-अलग अर्थ समझाने के लिए सांबा के कोर रिपॉजिटरी में मैनुअल पेज को अपडेट किया है
माइकल एडम

4

यह सांबा 3.2 और उससे ऊपर के साथ पेश किया गया एक नया फीचर है। यह SMB / CIFS प्रोटोकॉल के लिए एक एक्सटेंशन है जिसे UNIX एक्सटेंशन के हिस्से के रूप में बातचीत की जाती है। SMB एन्क्रिप्शन SSS प्रोटोकॉल स्ट्रीम में हर अनुरोध / प्रतिक्रिया को एन्क्रिप्ट करने और हस्ताक्षर करने के लिए GSSAPI (विंडोज पर SSPI) की क्षमता का उपयोग करता है। सक्षम होने पर यह SMB / CIFS संचार का एक सुरक्षित तरीका प्रदान करता है, जो ssh संरक्षित सत्र के समान होता है, लेकिन एन्क्रिप्शन और हस्ताक्षर कुंजियों पर बातचीत करने के लिए SMB / CIFS प्रमाणीकरण का उपयोग करता है। वर्तमान में यह केवल सांबा 3.2 smbclient द्वारा समर्थित है, और उम्मीद है कि जल्द ही लिनक्स CIFSFS और MacOS / X क्लाइंट।Windows clients do not support this feature.

यह नियंत्रित करता है कि SMB एन्क्रिप्शन का उपयोग करने के लिए दूरस्थ क्लाइंट की अनुमति है या आवश्यक है। संभावित मूल्य ऑटो, अनिवार्य और अक्षम हैं। इसे प्रति-शेयर के आधार पर सेट किया जा सकता है, लेकिन ग्राहकों को पूरे सत्र को एन्क्रिप्ट करने के लिए चुना जा सकता है, न कि केवल एक विशिष्ट शेयर पर ट्रैफ़िक के लिए। यदि इसे अनिवार्य कर दिया गया है तो एक बार शेयर से कनेक्शन हो जाने के बाद शेयर पर सभी ट्रैफ़िक को एन्क्रिप्ट किया जाना चाहिए। सर्वर इस तरह के एक शेयर पर सभी गैर-एन्क्रिप्टेड अनुरोधों के लिए "एक्सेस अस्वीकृत" लौटाएगा। एन्क्रिप्टेड ट्रैफ़िक का चयन करने से थ्रूपुट कम हो जाता है क्योंकि छोटे पैकेट आकार का उपयोग किया जाना चाहिए (कोई भी बड़ी UNIX शैली पढ़ने / लिखने की अनुमति नहीं है) और साथ ही सभी डेटा को एन्क्रिप्ट करने और हस्ताक्षर करने का ओवरहेड।

यदि SMB एन्क्रिप्शन का चयन किया जाता है, तो Windows शैली SMB हस्ताक्षर (सर्वर हस्ताक्षर विकल्प देखें) अब आवश्यक नहीं है, क्योंकि GSSAPI झंडे डेटा के हस्ताक्षर और सील दोनों का चयन करते हैं।

ऑटो पर सेट होने पर, SMB एन्क्रिप्शन की पेशकश की जाती है, लेकिन इसे लागू नहीं किया जाता है। जब अनिवार्य करने के लिए सेट किया जाता है, तो SMB एन्क्रिप्शन की आवश्यकता होती है और यदि अक्षम पर सेट किया जाता है, तो SMB एन्क्रिप्शन पर बातचीत नहीं की जा सकती।

डिफ़ॉल्ट: smb एनक्रिप्ट = ऑटो

स्रोत: https://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html


क्षमा करें, मैं स्वयं मैन पेज पढ़ सकता हूं। उद्धरण के बारे में, जिसे आपने हाइलाइट किया है: कुछ पृष्ठ, जैसे blogs.technet.com/b/filecab/archive/2012/05/03/… संकेत करते हैं, कि Win 8 SMB एन्क्रिप्शन भी कर सकता है। जैसा कि उस पृष्ठ के शीर्ष पर लिखा गया है: "यहां सब कुछ विंडोज 8 पर भी लागू होता है"। क्या वह जानकारी निश्चित रूप से गलत है?
काई पेट्ज़के

वैकल्पिक रूप से आप Windows Server 2012 का उपयोग कर सकते हैं जो एन्क्रिप्टेड smb ट्रैफ़िक का समर्थन करता है
इंटीग्रेटर

लेकिन क्या सभी क्लाइंट पर विंडोज सर्वर संस्करण की आवश्यकता नहीं होगी?
काई पेट्ज़के
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.