С выходом самбы 4.2 поменялись настройки безопасности, которые идут по умолчанию из коробки. В частности, в дефолтной версии отключена поддержка старого протокола аутентификации для защиты от MTM-атак (человек по середине).
В результате этого старые ОС (Windows XP и похожего срока древности) не могут аутентифицироваться и работать с windows-шарами под samba
. Тем не менее, кое-где ещё используются такие динозавры, поэтому нужно включить в самбе старый протокол и не бояться MTM.
Вот что пишут в apt-listchanges к пакету:
Suggested further improvements after patching:
It is recommended that administrators set these additional options,
if compatible with their network environment:server signing = mandatory
ntlm auth = noWithout «server signing = mandatory», Man in the Middle attacks
are still possible against our file server and
classic/NT4-like/Samba3 Domain controller. (It is now enforced on
Samba’s AD DC.) Note that this has heavy impact on the file server
performance, so you need to decide between performance and
security. These Man in the Middle attacks for smb file servers are
well known for decades.Without «ntlm auth = no», there may still be clients not using
NTLMv2, and these observed passwords may be brute-forced easily using
cloud-computing resources or rainbow tables.
Из некоторого анализа новых фич и изменённых настроек становится ясно, что включается поддержка нужного протокола одной строчкой global-секции:
ntlm auth = no
которая позволяет аутентифицироваться и работать старым ОС, при этом понижая общую безопасность.
ХРюшка юзает авторизацию через NTLM или NTLMv2, которые, согласно приведённому отрывку, отключены по умолчанию во избежание MITM. Вооружившись здравой логикой, понимаем, что NTLM нам как раз таки нужен.
В итоге, «магическая строчка для вставки в конфиг»: ntlm auth = yes
Спасибо уважаемый! Ваш совет оказался кстати. Была проблема подключение одного компа под управлением win 8.1 к samba, при вводе имени пользователя и пароля доступ к шарам не предоставлялся, все остальные виндовые подключались как не странно без проблем. Дак вот после внесение «ntlm auth = yes» в конфиг samba, win 8.1 наконец таки начал принимать имя пользователя и пароль.
а у меня xp уже на
net view \\servername
выдает «дополнительные подключения к этому удаленному компьютеру в настоящее время невозможны, поскольку число подключений достигло предела». вышеописанные изменения на это не влияют.
кто-то с подобным встречался\боролся?