Necessário alterar max protocol
do padrão NT1
para o protocolo max = SMB2
.
Antecedentes:
Eu tenho um servidor samba cifs. Ele não está associado a um domínio, mas possui um keytab para um reino kerberosV do MIT.
As montagens kerberizadas (por exemplo, mount -t cifs //cifs.example.com/groups /mnt/cifs -o sec=krb5i
) funcionam em clientes Linux.
Montagens Kerberizadas do AD juntaram-se a máquinas Windows (unidas a um domínio configurado com uma confiança no Kerberos Realm). Montagens baseadas em senha não funcionam para clientes Linux (não é grande coisa).
As montagens baseadas em senha para clientes que não são do AD se uniram aos tipos de trabalho do Windows. Usar o explorer para acessar \cifs.example.com\groups
não funcionará e nenhum prompt de senha será exibido. No entanto, se \cifs.example.com\groups
for montado como uma unidade de letra, a caixa de diálogo não será concluída, mas o mapeamento da unidade será estabelecido e funcionará e a caixa de diálogo poderá ser cancelada nesse momento, mantendo a montagem.
Pergunta:
Configurações:
hostname: cifs.example.com
reino: EXAMPLE.COM
distro: CentOS release 6.5 (Final)
versão do samba: samba-3.6.9-167.el6_5.x86_64
smb.conf
syslog only = yes
syslog = 3
server string = %h server (Samba, CentOS)
workgroup = EXAMPLE.COM
security = ads
realm = EXAMPLE.COM
create krb5 conf = no
kerberos method = secrets and keytab
server signing = auto
smb encrypt = auto
smb ports = 445
use sendfile = yes
map to guest = Bad User
guest account = nobody
wins support = no
dns proxy = no
load printers = no
printing = bsd
printcap name = /dev/null
disable spoolss = yes
hide files = /Desktop.ini/$RECYCLE.BIN/Thumbs.db/~$.*/
[home]
path = /export/home/
writeable = yes
guest ok = no
browseable = no
create mask = 0600
directory mask = 0700
[groups]
path = /export/groups
writeable = yes
guest ok = no
browseable = yes
create mask = 0660
directory mask = 0770
*
klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
8 host/[email protected]
8 host/[email protected]
8 host/[email protected]
8 host/[email protected]
8 cifs/[email protected]
8 cifs/[email protected]
8 cifs/[email protected]
8 cifs/[email protected]
getsebool -a | grep -e cifs -e samba
allow_ftpd_use_cifs --> off
cobbler_use_cifs --> off
git_cgi_use_cifs --> off
git_system_use_cifs --> off
httpd_use_cifs --> off
qemu_use_cifs --> on
rsync_use_cifs --> off
samba_create_home_dirs --> off
samba_domain_controller --> off
samba_enable_home_dirs --> off
samba_export_all_ro --> off
samba_export_all_rw --> off
samba_portmapper --> off
samba_run_unconfined --> off
samba_share_fusefs --> off
samba_share_nfs --> off
sanlock_use_samba --> off
tftp_use_cifs --> off
use_samba_home_dirs --> off
virt_use_samba --> off
/etc/pam.d/samba
#%PAM-1.0
auth required pam_nologin.so
auth include password-auth
account include password-auth
session include password-auth
password include password-auth
/etc/pam.d/password-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so
account required pam_unix.so
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account [default=bad success=ok user_unknown=ignore] pam_sss.so
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=3 type=
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password sufficient pam_sss.so use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
Necessário alterar max protocol
do padrão NT1
para o protocolo max = SMB2
.
Tags samba