Jump to content


Photo

Samba: smb signing ?

Started by tc-t, 25 Apr 2021 20:35

  • Please log in to reply
13 replies to this topic

#1 tc-t

  • Senior Member
  • 28 posts

0
Neutral

Posted 25 April 2021 - 20:35

Ik heb een Mutant HD51 met de laatste versie van OpenPLI8 op. Vanmiddag nog bijgwerkt.

 

 

Sinds vorige week geraak ik niet meer op de Samba shares van mijn Mutant (root en harddisk)

 

 

Ik ben er ondertussen wel (ongeveer) achter waar het probleem zit.

 

De laptop is van mijn werk en zit daar in het Windows AD domein. Via Group Policies is een setting veranderd die SMB signing vereist.

Met die laptop geraak ik nu niet meer op de Mutant-shares en vroeger wel.

 

 

Met diezelfde laptop kan ik nog wel op de shares van mijn NAS en van mijn Webserver (ook Linux)

 

Ik heb op die laptop een Virtual Machine aangemaakt met een frise Win10 installatie en daarmee kan ik wel op de Mutant-shares.

 

het is pas als ik deze registry-key wijzig:

HKLM\Sustem\CurrentControlSet\Services\LanManWorkstation\Parameters

-> RequireSecuritySignature  en die de waarde 1 ipv 0 geef

 

dat alles stopt met werken.

Op mijn laptop zelf staat die ook met de waarde 1.

 

Ik heb ondertussen bevestigd gekregen dat dat recent gewijzigd is.

 

Als ik die waarde in mijn Virtual Machine weer op 0 zet zijn de Samba-shares op de Mutant weer bereikbaar.

 

 

 

Aangezien op mijn NAS en mijn webserver de samba share wel bereikbaar blijkven neem ik aan dat het een setting is in smb.conf of beter nog: smb-user.conf die ik in OpenPLi moet gaan wijzigen?

Weten jullie welke?

 

Ik dacht aan

server signing = required

 

maar dat lijkt het niet te zijn ...

 

Ik kom er voorlopig niet uit ...

 

 


Re: Samba: smb signing ? #2 WanWizard

  • PLi® Core member
  • 70,414 posts

+1,808
Excellent

Posted 25 April 2021 - 21:44

Je moet dit

server signing = mandatory

toevoegen aan smb-user.conf, in de [global] sectie,

 

en daarna samba herstarten met

/etc/init,d/samba.sh restart

Let op, eens dit geactiveerd is moeten ALLE clients SMB signing gebruiken.


Currently in use: VU+ Duo 4K (2xFBC S2), VU+ Solo 4K (1xFBC S2), uClan Usytm 4K Ultimate (S2+T2), Octagon SF8008 (S2+T2), Zgemma H9.2H (S2+T2)

Due to my bad health, I will not be very active at times and may be slow to respond. I will not read the forum or PM on a regular basis.

Many answers to your question can be found in our new and improved wiki.

Re: Samba: smb signing ? #3 tc-t

  • Senior Member
  • 28 posts

0
Neutral

Posted 25 April 2021 - 22:23

Hey WanWizard,

 

bedankt, maar voorlopig geen succes :(

 

Ik heb in smb-user.conf geprobeerd met achtereenvolgens deze 3 settings:

server signing = mandatory
server signing = required
server signing = disabled

Als de RegKey HKLM\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature op de win10 client op 0 staat werkt het met alle 3 de settings in smb-user.conf

Als ik die waarde op 1 zet werkt het met geen van de 3.

 

Ik heb telkens ik iets wijzigde zowel de Mutant als de Win10 VM herstart,,,

 

 

 

Is er nog iets anders dat ik moet wijzigen buiten die ene setting?


Edited by tc-t, 25 April 2021 - 22:23.

Re: Samba: smb signing ? #4 WanWizard

  • PLi® Core member
  • 70,414 posts

+1,808
Excellent

Posted 25 April 2021 - 22:43

Probeer je de connectie te maken met een gebruikersnaam en wachtwoord? Of gebruik je de unsecure config (dat is de default in OpenPLi) en de guest user (dan krijg je dus geen prompt maar verbind je direct)?

 

Wat ik er van begrijp is dat SMB signing een login (dus een user) vereist.


Edited by WanWizard, 25 April 2021 - 22:47.

Currently in use: VU+ Duo 4K (2xFBC S2), VU+ Solo 4K (1xFBC S2), uClan Usytm 4K Ultimate (S2+T2), Octagon SF8008 (S2+T2), Zgemma H9.2H (S2+T2)

Due to my bad health, I will not be very active at times and may be slow to respond. I will not read the forum or PM on a regular basis.

Many answers to your question can be found in our new and improved wiki.

Re: Samba: smb signing ? #5 WanWizard

  • PLi® Core member
  • 70,414 posts

+1,808
Excellent

Posted 25 April 2021 - 22:52

p.s. als je over wilt schakelen naar de secure config, in smb-user.conf het hekje voor deze regel

# include = /etc/samba/smb-secure.conf

weghalen en samba herstarten.

 

Daarna werkt de guest login niet meer en wordt je gevraagd voor een gebruikersnaam en wachtwoord (die moet je box wel hebben, standaard staat er geen wachtwoord op).


Currently in use: VU+ Duo 4K (2xFBC S2), VU+ Solo 4K (1xFBC S2), uClan Usytm 4K Ultimate (S2+T2), Octagon SF8008 (S2+T2), Zgemma H9.2H (S2+T2)

Due to my bad health, I will not be very active at times and may be slow to respond. I will not read the forum or PM on a regular basis.

Many answers to your question can be found in our new and improved wiki.

Re: Samba: smb signing ? #6 tc-t

  • Senior Member
  • 28 posts

0
Neutral

Posted 25 April 2021 - 23:10

Voor de rest stond de config standaard, dus inderdaad via de guest user (zonder username en password)

 

Ik heb het hekje voor de

# include = /etc/samba/smb-secure.conf

weggehaald.

 

Dat heeft als effect dat met de registry setting op 0 en verbinden naar \\hd51 er nu

* de 2 shares getoond worden

* een username/password gevraagd worden zodra ik een share wil openen

 

Als ik de registry setting op 1 zet en verbindt naar \\hd51

krijg ik meteen dezelfde foutmelding als voorheen "Windows cannot access \\HD51"

 

(Aan de DNS-config ligt dat niet, op ip heb ik exact hetzelfde)

 

 

Users zelfs heb ik voorlopig nog niet (buiten root met een niet-standaard password).

Ik verwacht dat ik hoe dan ook de shares zou moeten zien en het loginvenster zou moeten krijgen?


Edited by tc-t, 25 April 2021 - 23:19.

Re: Samba: smb signing ? #7 WanWizard

  • PLi® Core member
  • 70,414 posts

+1,808
Excellent

Posted 25 April 2021 - 23:37

Dus je krijgt die fout al voordat er om een login gevraagd wordt? Dat is wel erg apart, ja.

 

Helpt dit misschien: https://devanswers.c...hostname-samba/ ?

 

Ik heb zelf geen Windows in huis, dus ik kan zelf niks proberen...


Currently in use: VU+ Duo 4K (2xFBC S2), VU+ Solo 4K (1xFBC S2), uClan Usytm 4K Ultimate (S2+T2), Octagon SF8008 (S2+T2), Zgemma H9.2H (S2+T2)

Due to my bad health, I will not be very active at times and may be slow to respond. I will not read the forum or PM on a regular basis.

Many answers to your question can be found in our new and improved wiki.

Re: Samba: smb signing ? #8 tc-t

  • Senior Member
  • 28 posts

0
Neutral

Posted 26 April 2021 - 12:10

Dus je krijgt die fout al voordat er om een login gevraagd wordt? Dat is wel erg apart, ja.

 

Inderdaad.

Op mijn werklaptop is dat zo (sinds die GPO setting actief is) en op het Virtual Machine ook wanneer ik de regkey op 1 zet.

Wanneer die op 0 staat krijg ik eerst de shares en dan (afhankelijk of ik al dan niet smb-secure gebruik) meteen de inhoud of eerst de vraag voor gebruikersnaam/password.

Dat lijkt me hoe het zou moeten werken.

 

Ik bekijk vanavond of morgen het artikel dat je hebt doorgestuurd en kom hier op terug zodra ik resultaat heb, positief of negatief.

Bedankt voor je moeite alvast


Re: Samba: smb signing ? #9 tc-t

  • Senior Member
  • 28 posts

0
Neutral

Posted 27 April 2021 - 20:46

Bedankt voor de duw in de goede richting!

 

Toegevoegd in /etc/samba/smb-user.conf

[global]
server signing = mandatory
client signing = mandatory
client min protocol = SMB3
client max protocol = SMB3
restrict anonymous = 2
encrypt passwords = true
map to guest = never

en verder

adduser mijnnaam
smbpasswd -a mijnnaam
smbpasswd -a root

Als ik nu \\hd51 intyp in Windows Explorer wordt er wel een gebruikersnaam en password gevraagd

Als ik mijnnaam en het bijhorende password gebruik kan ik alles lezen, maar niks wijzigen.

 

Logisch, alles is owned by root en rw-r--r--

root@hd51:/media/hdd/movie# ls -l
-rw-r--r--    1 root     root     2257011440 Apr 10 21:57 20210410 2027 - Canvas HD - Line of Duty.ts

Vandaar ook smbpasswd -a root

 

Als ik inlog met root en dat password kan ik alles doen wat ik wil.

 

 

Hier ben ik al heel tevreden mee want daarmee kan ik terug alles wat ik vroeger kon.

Misschien straks nog een manier vinden waarmee ik met een gewone useraccount (mijnnaam) de opnames kan lezen én verwijderen

 

 

SMBSigning lijkt ook te werken:

root@hd51:/media/hdd/movie# smbstatus

Samba version 4.10.10
PID     Username     Group        Machine                                   Protocol Version  Encryption           Signing
----------------------------------------------------------------------------------------------------------------------------------------
2060    mijnnaam mijnnaam         172.17.34.2 (ipv4:172.17.34.2:58826)      SMB3_11           -                    AES-128-CMAC
2073    root         root         172.17.34.81 (ipv4:172.17.34.81:52130)    SMB3_11           -                    AES-128-CMAC

Service      pid     Machine       Connected at                     Encryption   Signing
---------------------------------------------------------------------------------------------
Harddisk     2073    172.17.34.81  Tue Apr 27 21:05:22 2021 CEST    -            AES-128-CMAC
IPC$         2073    172.17.34.81  Tue Apr 27 21:05:20 2021 CEST    -            AES-128-CMAC
IPC$         2060    172.17.34.2   Tue Apr 27 21:00:39 2021 CEST    -            AES-128-CMAC

Locked files:
Pid          User(ID)   DenyMode   Access      R/W        Oplock           SharePath   Name   Time
--------------------------------------------------------------------------------------------------
2073         0          DENY_NONE  0x100081    RDONLY     NONE             /media/hdd   .   Tue Apr 27 21:05:25 2021
2073         0          DENY_NONE  0x100081    RDONLY     NONE             /media/hdd   .   Tue Apr 27 21:05:27 2021

Edited by tc-t, 27 April 2021 - 20:47.

Re: Samba: smb signing ? #10 WanWizard

  • PLi® Core member
  • 70,414 posts

+1,808
Excellent

Posted 27 April 2021 - 23:49

De box is geen security device, en ook geen NAS. Er is geen concept van user separatie, alles draait als root.

 

Die smbpasswd was niet nodig geweest, de user root bestaat al, en als je daar met passwd een password op zet, wordt die netjes met samba gedeeld.


Currently in use: VU+ Duo 4K (2xFBC S2), VU+ Solo 4K (1xFBC S2), uClan Usytm 4K Ultimate (S2+T2), Octagon SF8008 (S2+T2), Zgemma H9.2H (S2+T2)

Due to my bad health, I will not be very active at times and may be slow to respond. I will not read the forum or PM on a regular basis.

Many answers to your question can be found in our new and improved wiki.

Re: Samba: smb signing ? #11 tc-t

  • Senior Member
  • 28 posts

0
Neutral

Posted 29 April 2021 - 15:14

De box is geen security device, en ook geen NAS. Er is geen concept van user separatie, alles draait als root.

 

Die smbpasswd was niet nodig geweest, de user root bestaat al, en als je daar met passwd een password op zet, wordt die netjes met samba gedeeld.

Snap ik.

Een aparte user was nice to have maar zeker niet absoluut noodzakelijk.

Ik ben al heel tevreden dat dit terug werkt :)

 

 

Ik had het eerst zonder smbpasswd gedaan maar zo geraakte ik niet op de shares.

(Ik probeerde met root en het passwd dat ik voor de ssh connectie gebruik)

 

Na smbpasswd werkte het wel.


Re: Samba: smb signing ? #12 WanWizard

  • PLi® Core member
  • 70,414 posts

+1,808
Excellent

Posted 29 April 2021 - 15:48

Apart, die twee zouden moeten synchroniseren als je met passwd de linux user van een password voorziet...


Currently in use: VU+ Duo 4K (2xFBC S2), VU+ Solo 4K (1xFBC S2), uClan Usytm 4K Ultimate (S2+T2), Octagon SF8008 (S2+T2), Zgemma H9.2H (S2+T2)

Due to my bad health, I will not be very active at times and may be slow to respond. I will not read the forum or PM on a regular basis.

Many answers to your question can be found in our new and improved wiki.

Re: Samba: smb signing ? #13 littlesat

  • PLi® Core member
  • 57,122 posts

+698
Excellent

Posted 14 July 2022 - 19:34

Thanks dit oude draadje heeft net mijn smb issue opgelost :D


WaveFrontier 28.2E | 23.5E | 19.2E | 16E | 13E | 10/9E | 7E | 5E | 1W | 4/5W | 15W

Re: Samba: smb signing ? #14 40H3X

  • Forum Moderator
    PLi® Contributor
  • 5,956 posts

+191
Excellent

Posted 15 July 2022 - 11:03

Even als extra https://wiki.openpli...ithout_password en natuurlijk ook de RN https://wiki.openpli...eleasenotes-8.2


Hardware: Vu+ Uno 4K SE - Vu+ Duo 4K  - Fuba 78 cm - Tripleblock LNB Quad 19.2/23.5/28.2 - DS918+
Software : OpenPLi - OSCam - Settings van Hans - Autotimer - EPGImport

---------------------------------------------------------------------------------------------------------------------------------------

Remember: Upvote with the rep_up.png button for any user/post you find to be helpful, informative, or deserving of recognition!

---------------------------------------------------------------------------------------------------------------------------------------

Many answers to your question can be found in our new and improved wiki

Note: I do not provide support via PM !.

Back to [NL] Gebruikersondersteuning

2 user(s) are reading this topic

0 members, 2 guests, 0 anonymous users

  1. Forums
  2. PLi® Support
  3. [NL] Gebruikersondersteuning