Sambaを使用したSMBトラフィックの暗号化

11

Ubuntu 14.04 LTSのSambaをローミングプロファイルのPDC（プライマリドメインコントローラー）として使用します。次の設定で暗号化を強制しようとした場合を除いて、すべてが正常に機能します。

    server signing = mandatory
    smb encrypt = mandatory

[global]/etc/samba/smb.conf のセクション。これを行った後、8.0クライアントと8.1クライアントを獲得します（他のクライアントを試したことはありません）。Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden.このテキストの英語の翻訳：The trust relationship between this workstation and the primary domain could not be established.

我々は二つのオプションを追加する場合server signingとsmb encryptだけに[profiles]はsmb.confのセクション、そしてtcpdumpショーは、実際のトラフィックは暗号化されていないこと！

完全なsmb.conf：

[global]
    workgroup = DOMAIN
    server string = %h PDC
    netbios name = HOSTNAME
    wins support = true
    dns proxy = no
    allow dns updates = False
    dns forwarder = IP

    deadtime = 15

    log level = 2
    log file = /var/log/samba/log.%m
    max log size = 5000
    debug pid = yes
    debug uid = yes
    syslog = yes
    utmp = yes

    security = user
    domain logons = yes
    domain master = yes
    os level = 64
    logon path = \\%N\profiles\%U
    logon home = \\%N\%U
    logon drive = H:
    logon script =

    passdb backend = ldapsam:ldap://localhost
    ldap ssl = start tls
    ldap admin dn = cn=admin,dc=DOMAIN,dc=de
    ldap delete dn = no

    encrypt passwords = yes
    server signing = mandatory
    smb encrypt = mandatory

    ## Sync UNIX password with Samba password
    ldap password sync = yes

    ldap suffix = dc=intra,dc=DOMAIN,dc=de
    ldap user suffix = ou=People
    ldap group suffix = ou=Groups
    ldap machine suffix = ou=Computers
    ldap idmap suffix = ou=Idmap

    add user script = /usr/sbin/smbldap-useradd -m '%u' -t 1
    rename user script = /usr/sbin/smbldap-usermod -r '%unew' '%uold'
    delete user script = /usr/sbin/smbldap-userdel '%u'
    set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'
    add group script = /usr/sbin/smbldap-groupadd -p '%g'
    delete group script = /usr/sbin/smbldap-groupdel '%g'
    add user to group script = /usr/sbin/smbldap-groupmod -m '%u' '%g'
    delete user from group script = /usr/sbin/smbldap-groupmod -x '%u' '%g'
    add machine script = /usr/sbin/smbldap-useradd -W '%m' -t 1

[homes]
    comment = Home Directories
    valid users = %S
    read only = No
    browseable = No

[netlogon]
    comment = Network Logon Service
    path = /var/lib/samba/netlogon
    admin users = root
    guest ok = Yes
    browseable = No

[profiles]
    comment = Roaming Profile Share
    path = /var/lib/samba/profiles
    read only = No
    profile acls = Yes
    browsable = No
    valid users = %U
    create mode = 0600
    directory mode = 0700

何か助けは？

— カイ・ペツケ
ソース

コンピューターをドメインに再参加させて、この問題が解決するかどうかを確認できますか？

— integratorIT

win 8またはwin 8.1クライアントをドメインに再参加させても問題は解決しません。何度か試しました。

— Kai Petzke、2015年

12

smb.confマニュアルページを更新する必要があります！これは、SMB1のみに適用され、UNIX拡張機能を介して行われる古いSamba固有の暗号化メカニズムを指します。これはで使用できますsmbclient。

現在、「smb encrypt」オプションは、SMBバージョン3.0以降の一部であるSMBレベルの暗号化も制御します。Windows 8以降のクライアントは、これらの設定でトラフィックを暗号化する必要があります。

あなたは（同じ設定使用しようとしましたsmb encrypt = mandatory中[global]のSambaドメインメンバーまたはスタンドアロンサーバー上のセクションを）？

必ずセクションで設定smb encrypt = autoしてください[global]（セクションではありません[profiles]）。その後、暗号化の一般提供が発表されます。

これはSambaのバグである可能性が非常に高いです。したがって、これはおそらくsambaのsamba-technialメーリングリストまたはsambaのbugzillaで議論されるべきです。SambaのUbuntuバージョンを使用している場合は、パッケージページも確認してください。これは本物のSambaアップストリームの問題だと思います。

— マイケル・アダム
ソース

7

smb encryptSMB2とSMB3の異なる意味を説明するためにSambaのコアリポジトリのマニュアルページを更新しました：（git.samba.org/…）

— Michael Adam

4

これは、Samba 3.2以降で導入された新機能です。これは、UNIX拡張機能の一部としてネゴシエートされたSMB / CIFSプロトコルの拡張機能です。SMB暗号化では、GSSAPI（WindowsではSSPI）機能を使用して、SMBプロトコルストリーム内のすべての要求/応答を暗号化して署名します。有効にすると、sshで保護されたセッションと同様に、SMB / CIFS通信の安全な方法が提供されますが、SMB / CIFS認証を使用して暗号化と署名鍵をネゴシエートします。現在、これはSamba 3.2 smbclientでのみサポートされており、まもなくLinux CIFSFSおよびMacOS / Xクライアントでサポートされる予定です。Windows clients do not support this feature.

これは、リモートクライアントがSMB暗号化の使用を許可または要求されるかどうかを制御します。可能な値は、自動、必須、無効です。これは共有ごとに設定できますが、クライアントは特定の共有へのトラフィックだけでなく、セッション全体を暗号化することを選択できます。これが必須に設定されている場合、共有への接続が確立されたら、共有へのすべてのトラフィックを暗号化する必要があります。サーバーは、そのような共有上のすべての暗号化されていない要求に「アクセス拒否」を返します。暗号化されたトラフィックを選択すると、より小さなパケットサイズを使用する必要があるため（巨大なUNIXスタイルの読み取り/書き込みは許可されません）、すべてのデータを暗号化して署名するオーバーヘッドが増えるため、スループットが低下します。

SMB暗号化が選択されている場合、GSSAPIフラグはデータの署名とシーリングの両方を選択するため、WindowsスタイルのSMB署名（サーバー署名オプションを参照）は不要です。

autoに設定すると、SMB暗号化が提供されますが、強制されません。必須に設定すると、SMB暗号化が必要になります。無効に設定すると、SMB暗号化をネゴシエートできません。

デフォルト：smb encrypt = auto

出典：https : //www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

— ジョー
ソース

申し訳ありませんが、manページを自分で読むことができます。あなたが強調した引用について：blogs.technet.com/b/filecab/archive/2012/05/03/…のようないくつかのページは、Win 8がSMB暗号化もできることを示しています。そのページの上部に書かれているように、「ここにあるすべてはWindows 8にも適用されます」。その情報は確かに間違っていますか？

— Kai Petzke 2015年

または、暗号化されたsmbトラフィックをサポートするWindows Server 2012を使用できます

— integratorIT

しかし、すべてのクライアントにWindows Serverエディションが必要ではないでしょうか。

— カイペツケ2015年