tc-t

De box is geen security device, en ook geen NAS. Er is geen concept van user separatie, alles draait als root.

 

Die smbpasswd was niet nodig geweest, de user root bestaat al, en als je daar met passwd een password op zet, wordt die netjes met samba gedeeld.

Snap ik.

Een aparte user was nice to have maar zeker niet absoluut noodzakelijk.

Ik ben al heel tevreden dat dit terug werkt

Ik had het eerst zonder smbpasswd gedaan maar zo geraakte ik niet op de shares.

(Ik probeerde met root en het passwd dat ik voor de ssh connectie gebruik)

Na smbpasswd werkte het wel.

Bedankt voor de duw in de goede richting!

Toegevoegd in /etc/samba/smb-user.conf

[global]
server signing = mandatory
client signing = mandatory
client min protocol = SMB3
client max protocol = SMB3
restrict anonymous = 2
encrypt passwords = true
map to guest = never

en verder

adduser mijnnaam
smbpasswd -a mijnnaam
smbpasswd -a root

Als ik nu \\hd51 intyp in Windows Explorer wordt er wel een gebruikersnaam en password gevraagd

Als ik mijnnaam en het bijhorende password gebruik kan ik alles lezen, maar niks wijzigen.

Logisch, alles is owned by root en rw-r--r--

root@hd51:/media/hdd/movie# ls -l
-rw-r--r--    1 root     root     2257011440 Apr 10 21:57 20210410 2027 - Canvas HD - Line of Duty.ts

Vandaar ook smbpasswd -a root

Als ik inlog met root en dat password kan ik alles doen wat ik wil.

Hier ben ik al heel tevreden mee want daarmee kan ik terug alles wat ik vroeger kon.

Misschien straks nog een manier vinden waarmee ik met een gewone useraccount (mijnnaam) de opnames kan lezen én verwijderen

SMBSigning lijkt ook te werken:

root@hd51:/media/hdd/movie# smbstatus

Samba version 4.10.10
PID     Username     Group        Machine                                   Protocol Version  Encryption           Signing
----------------------------------------------------------------------------------------------------------------------------------------
2060    mijnnaam mijnnaam         172.17.34.2 (ipv4:172.17.34.2:58826)      SMB3_11           -                    AES-128-CMAC
2073    root         root         172.17.34.81 (ipv4:172.17.34.81:52130)    SMB3_11           -                    AES-128-CMAC

Service      pid     Machine       Connected at                     Encryption   Signing
---------------------------------------------------------------------------------------------
Harddisk     2073    172.17.34.81  Tue Apr 27 21:05:22 2021 CEST    -            AES-128-CMAC
IPC$         2073    172.17.34.81  Tue Apr 27 21:05:20 2021 CEST    -            AES-128-CMAC
IPC$         2060    172.17.34.2   Tue Apr 27 21:00:39 2021 CEST    -            AES-128-CMAC

Locked files:
Pid          User(ID)   DenyMode   Access      R/W        Oplock           SharePath   Name   Time
--------------------------------------------------------------------------------------------------
2073         0          DENY_NONE  0x100081    RDONLY     NONE             /media/hdd   .   Tue Apr 27 21:05:25 2021
2073         0          DENY_NONE  0x100081    RDONLY     NONE             /media/hdd   .   Tue Apr 27 21:05:27 2021

Dus je krijgt die fout al voordat er om een login gevraagd wordt? Dat is wel erg apart, ja.

 

Inderdaad.

Op mijn werklaptop is dat zo (sinds die GPO setting actief is) en op het Virtual Machine ook wanneer ik de regkey op 1 zet.

Wanneer die op 0 staat krijg ik eerst de shares en dan (afhankelijk of ik al dan niet smb-secure gebruik) meteen de inhoud of eerst de vraag voor gebruikersnaam/password.

Dat lijkt me hoe het zou moeten werken.

Ik bekijk vanavond of morgen het artikel dat je hebt doorgestuurd en kom hier op terug zodra ik resultaat heb, positief of negatief.

Bedankt voor je moeite alvast

Voor de rest stond de config standaard, dus inderdaad via de guest user (zonder username en password)

Ik heb het hekje voor de

# include = /etc/samba/smb-secure.conf

weggehaald.

Dat heeft als effect dat met de registry setting op 0 en verbinden naar \\hd51 er nu

* de 2 shares getoond worden

* een username/password gevraagd worden zodra ik een share wil openen

Als ik de registry setting op 1 zet en verbindt naar \\hd51

krijg ik meteen dezelfde foutmelding als voorheen "Windows cannot access \\HD51"

(Aan de DNS-config ligt dat niet, op ip heb ik exact hetzelfde)

Users zelfs heb ik voorlopig nog niet (buiten root met een niet-standaard password).

Ik verwacht dat ik hoe dan ook de shares zou moeten zien en het loginvenster zou moeten krijgen?

Hey WanWizard,

bedankt, maar voorlopig geen succes

Ik heb in smb-user.conf geprobeerd met achtereenvolgens deze 3 settings:

server signing = mandatory
server signing = required
server signing = disabled

Als de RegKey HKLM\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature op de win10 client op 0 staat werkt het met alle 3 de settings in smb-user.conf

Als ik die waarde op 1 zet werkt het met geen van de 3.

Ik heb telkens ik iets wijzigde zowel de Mutant als de Win10 VM herstart,,,

Is er nog iets anders dat ik moet wijzigen buiten die ene setting?