Невозможно получить доступ к общей папке samba в Windows 7

2

У меня есть сервер под управлением RHEL. В сети три рабочие станции: две linux (RHEL) и одна Windows 7. Я использую samba для совместного использования устройства хранения (подключенного к серверу) с рабочими станциями. Уже более года это прекрасно работает. Однако после вчерашнего обновления сервера я не могу получить доступ к общей папке на рабочей станции Windows.

В частности, Windows больше не распознает пароль. Когда я нажимаю «Подключить сетевой диск», введите путь к общей папке и введите свои учетные данные, Windows сообщает мне «Указан неверный сетевой пароль». Я могу получить доступ к общим папкам на обеих рабочих станциях Linux.

Вот что я проверил и подтвердил:

  • Убедитесь, что уровень проверки подлинности LAN Manager установлен на «Отправка LM & NTLM - используйте сеансовую безопасность NTLMv2, если согласовано». [ отсюда]
  • Гарантировано, что я могу получить доступ к общей папке на обеих рабочих станциях Linux
  • Создал новую общую папку и может обращаться к ней также на обеих рабочих станциях Linux
  • Гарантировано, что я могу пропинговать сервер с моей рабочей станции Windows
  • Убедитесь, что дата и время правильные на всех машинах
  • Пробовал перезагрузить все (и надеяться, что проблема исчезнет)

Ожидаемое поведение: я хотел бы, чтобы Windows получила доступ к общей папке

Что не происходит: Windows не может получить доступ к общей папке

Я хотел бы еще раз повторить, что папка была доступна до обновления (два дня назад). Моя текущая версия samba - 4.6.2, а RHEL - 7.4.

Вот кусочки из файла smb.conf (полный файл ниже):

#======================= Global Settings =====================================

[global]

# ----------------------- Network-Related Options -------------------------
    workgroup = MSHOME
    server string = Samba Server Version %v

# ----------------------- Standalone Server Options ------------------------
    security = user
    passdb backend = tdbsam

    [MBIAL_STORAGE]
    path = /run/media/MBIAL/MBIAL_STORAGE
    guest ok = yes
    browseable = yes
    writable = yes
    valid_users = MBIAL
    # write list = test
    # valid users = test

где MBIAL_STORAGE - это имя общей папки. Доступ к рабочим станциям Linux осуществляется с использованием smb: // IP_ADDRESS / mbial_storage с MBIAL в качестве имени пользователя и MSHOME в качестве рабочей группы. Я попытался дать Windows MSHOME \ MBIAL в качестве имени пользователя, но это не сработало.

Вот полный файл smb.conf:

# This is the main Samba configuration file. For detailed information about the
# options listed here, refer to the smb.conf(5) manual page. Samba has a huge
# number of configurable options, most of which are not shown in this example.
#
# The Official Samba 3.2.x HOWTO and Reference Guide contains step-by-step
# guides for installing, configuring, and using Samba:
# http://www.samba.org/samba/docs/Samba-HOWTO-Collection.pdf
#
# The Samba-3 by Example guide has working examples for smb.conf. This guide is
# generated daily: http://www.samba.org/samba/docs/Samba-Guide.pdf
#
# In this file, lines starting with a semicolon (;) or a hash (#) are
# comments and are ignored. This file uses hashes to denote commentary and
# semicolons for parts of the file you may wish to configure.
#
# Note: Run the "testparm" command after modifying this file to check for basic
# syntax errors.
#
#---------------
# Security-Enhanced Linux (SELinux) Notes:
#
# Turn the samba_domain_controller Boolean on to allow Samba to use the useradd
# and groupadd family of binaries. Run the following command as the root user to
# turn this Boolean on:
# setsebool -P samba_domain_controller on
#
# Turn the samba_enable_home_dirs Boolean on if you want to share home
# directories via Samba. Run the following command as the root user to turn this
# Boolean on:
# setsebool -P samba_enable_home_dirs on
#
# If you create a new directory, such as a new top-level directory, label it
# with samba_share_t so that SELinux allows Samba to read and write to it. Do
# not label system directories, such as /etc/ and /home/, with samba_share_t, as
# such directories should already have an SELinux label.
#
# Run the "ls -ldZ /path/to/directory" command to view the current SELinux
# label for a given directory.
#
# Set SELinux labels only on files and directories you have created. Use the
# chcon command to temporarily change a label:
# chcon -t samba_share_t /path/to/directory
#
# Changes made via chcon are lost when the file system is relabeled or commands
# such as restorecon are run.
#
# Use the samba_export_all_ro or samba_export_all_rw Boolean to share system
# directories. To share such directories and only allow read-only permissions:
# setsebool -P samba_export_all_ro on
# To share such directories and allow read and write permissions:
# setsebool -P samba_export_all_rw on
#
# To run scripts (preexec/root prexec/print command/...), copy them to the
# /var/lib/samba/scripts/ directory so that SELinux will allow smbd to run them.
# Note that if you move the scripts to /var/lib/samba/scripts/, they retain
# their existing SELinux labels, which may be labels that SELinux does not allow
# smbd to run. Copying the scripts will result in the correct SELinux labels.
# Run the "restorecon -R -v /var/lib/samba/scripts" command as the root user to
# apply the correct SELinux labels to these files.
#
#--------------
#
#======================= Global Settings =====================================

[global]

# ----------------------- Network-Related Options -------------------------
#
# workgroup = the Windows NT domain name or workgroup name, for example, MYGROUP.
#
# server string = the equivalent of the Windows NT Description field.
#
# netbios name = used to specify a server name that is not tied to the hostname.
#
# interfaces = used to configure Samba to listen on multiple network interfaces.
# If you have multiple interfaces, you can use the "interfaces =" option to
# configure which of those interfaces Samba listens on. Never omit the localhost
# interface (lo).
#
# hosts allow = the hosts allowed to connect. This option can also be used on a
# per-share basis.
#
# hosts deny = the hosts not allowed to connect. This option can also be used on
# a per-share basis.
#
# max protocol = used to define the supported protocol. The default is NT1. You
# can set it to SMB2 if you want experimental SMB2 support.
#
    workgroup = MSHOME
    server string = Samba Server Version %v

;   netbios name = MYSERVER

;   interfaces = lo eth0 192.168.12.2/24 192.168.13.2/24 10.11.1.152 10.11.1.151 127.0.0.1
;   hosts allow = 127. 192.168.12. 192.168.13. 10.11.1.152 10.11.1.151

;   max protocol = SMB2

# --------------------------- Logging Options -----------------------------
#
# log file = specify where log files are written to and how they are split.
#
# max log size = specify the maximum size log files are allowed to reach. Log
# files are rotated when they reach the size specified with "max log size".
#

    # log files split per-machine:
    log file = /var/log/samba/log.%m
    # maximum size of 50KB per log file, then rotate:
    max log size = 50
    debuglevel = 7
# ----------------------- Standalone Server Options ------------------------
#
# security = the mode Samba runs in. This can be set to user, share
# (deprecated), or server (deprecated).
#
# passdb backend = the backend used to store user information in. New
# installations should use either tdbsam or ldapsam. No additional configuration
# is required for tdbsam. The "smbpasswd" utility is available for backwards
# compatibility.
#

    security = user
    passdb backend = tdbsam


# ----------------------- Domain Members Options ------------------------
#
# security = must be set to domain or ads.
#
# passdb backend = the backend used to store user information in. New
# installations should use either tdbsam or ldapsam. No additional configuration
# is required for tdbsam. The "smbpasswd" utility is available for backwards
# compatibility.
#
# realm = only use the realm option when the "security = ads" option is set.
# The realm option specifies the Active Directory realm the host is a part of.
#
# password server = only use this option when the "security = server"
# option is set, or if you cannot use DNS to locate a Domain Controller. The
# argument list can include My_PDC_Name, [My_BDC_Name], and [My_Next_BDC_Name]:
#
# password server = My_PDC_Name [My_BDC_Name] [My_Next_BDC_Name]
#
# Use "password server = *" to automatically locate Domain Controllers.

;   security = domain
;   passdb backend = tdbsam
;   realm = MY_REALM

;   password server = <NT-Server-Name>

# ----------------------- Domain Controller Options ------------------------
#
# security = must be set to user for domain controllers.
#
# passdb backend = the backend used to store user information in. New
# installations should use either tdbsam or ldapsam. No additional configuration
# is required for tdbsam. The "smbpasswd" utility is available for backwards
# compatibility.
#
# domain master = specifies Samba to be the Domain Master Browser, allowing
# Samba to collate browse lists between subnets. Do not use the "domain master"
# option if you already have a Windows NT domain controller performing this task.
#
# domain logons = allows Samba to provide a network logon service for Windows
# workstations.
#
# logon script = specifies a script to run at login time on the client. These
# scripts must be provided in a share named NETLOGON.
#
# logon path = specifies (with a UNC path) where user profiles are stored.
#
#
;   security = user
;   passdb backend = tdbsam

;   domain master = yes
;   domain logons = yes

    # the following login script name is determined by the machine name
    # (%m):
;   logon script = %m.bat
    # the following login script name is determined by the UNIX user used:
;   logon script = %u.bat
;   logon path = \\%L\Profiles\%u
    # use an empty path to disable profile support:
;   logon path =

    # various scripts can be used on a domain controller or a stand-alone
    # machine to add or delete corresponding UNIX accounts:

;   add user script = /usr/sbin/useradd "%u" -n -g users
;   add group script = /usr/sbin/groupadd "%g"
;   add machine script = /usr/sbin/useradd -n -c "Workstation (%u)" -M -d /nohome -s /bin/false "%u"
;   delete user script = /usr/sbin/userdel "%u"
;   delete user from group script = /usr/sbin/userdel "%u" "%g"
;   delete group script = /usr/sbin/groupdel "%g"


# ----------------------- Browser Control Options ----------------------------
#
# local master = when set to no, Samba does not become the master browser on
# your network. When set to yes, normal election rules apply.
#
# os level = determines the precedence the server has in master browser
# elections. The default value should be reasonable.
#
# preferred master = when set to yes, Samba forces a local browser election at
# start up (and gives itself a slightly higher chance of winning the election).
#
;   local master = no
;   os level = 33
;   preferred master = yes

#----------------------------- Name Resolution -------------------------------
#
# This section details the support for the Windows Internet Name Service (WINS).
#
# Note: Samba can be either a WINS server or a WINS client, but not both.
#
# wins support = when set to yes, the NMBD component of Samba enables its WINS
# server.
#
# wins server = tells the NMBD component of Samba to be a WINS client.
#
# wins proxy = when set to yes, Samba answers name resolution queries on behalf
# of a non WINS capable client. For this to work, there must be at least one
# WINS server on the network. The default is no.
#
# dns proxy = when set to yes, Samba attempts to resolve NetBIOS names via DNS
# nslookups.

;   wins support = yes
;   wins server = w.x.y.z
;   wins proxy = yes

;   dns proxy = yes

# --------------------------- Printing Options -----------------------------
#
# The options in this section allow you to configure a non-default printing
# system.
#
# load printers = when set you yes, the list of printers is automatically
# loaded, rather than setting them up individually.
#
# cups options = allows you to pass options to the CUPS library. Setting this
# option to raw, for example, allows you to use drivers on your Windows clients.
#
# printcap name = used to specify an alternative printcap file.
#

    load printers = no
    cups options = raw

;   printcap name = /etc/printcap
    # obtain a list of printers automatically on UNIX System V systems:
;   printcap name = lpstat
;   printing = cups

# --------------------------- File System Options ---------------------------
#
# The options in this section can be un-commented if the file system supports
# extended attributes, and those attributes are enabled (usually via the
# "user_xattr" mount option). These options allow the administrator to specify
# that DOS attributes are stored in extended attributes and also make sure that
# Samba does not change the permission bits.
#
# Note: These options can be used on a per-share basis. Setting them globally
# (in the [global] section) makes them the default for all shares.

;   map archive = no
;   map hidden = no
;   map read only = no
;   map system = no
;   store dos attributes = yes


#============================ Share Definitions ==============================

[homes]
    comment = Home Directories
    browseable = no
    writable = yes
;   valid users = %S
;   valid users = MYDOMAIN\%S

[printers]
    comment = All Printers
    path = /var/spool/samba
    browseable = yes
    guest ok = no
    writable = yes
    printable = yes

# Un-comment the following and create the netlogon directory for Domain Logons:
;   [netlogon]
;   comment = Network Logon Service
;   path = /var/lib/samba/netlogon
;   guest ok = yes
;   writable = yes
;   share modes = yes


# Un-comment the following to provide a specific roving profile share.
# The default is to use the user's home directory:
;   [Profiles]
;   path = /var/lib/samba/profiles
;   browseable = yes
;   guest ok = yes

    [MBIAL_STORAGE]
    path = /run/media/MBIAL/MBIAL_STORAGE
    guest ok = yes
    browseable = yes
    writable = yes
    valid_users = MBIAL
    # write list = test
    # valid users = test

Был бы очень признателен за понимание этого вопроса. Я надеюсь, что это что-то действительно тривиальное и глупое, что я упускаю из виду!

Правеш Парех
источник
Я не думаю, что вы пытались использовать точку восстановления, или пытались удалить последние обновления на прошлой неделе, или восстанавливали образ системы? Это были бы первые вещи, которые нужно попробовать. Я предполагаю, что ваша samba не изменилась за последние несколько месяцев (или с тех пор, как вы в последний раз перезагружали Windows?) ... Кроме того, ваш общий доступ к samba в общедоступной или домашней сети с Win7? Или Win7 получает доступ к общему ресурсу через внутреннюю сеть или через Интернет? Ох ... ты тоже запускаешь selinux? Эээ ... это может осложнить то, чего я ожидал ...
Астара
@Astara Здравствуйте, на самом деле я никогда не обновлял свою рабочую станцию ​​Windows. Только сервер был обновлен. Так что нет обновлений для удаления. Действительно, конфигурация samba не изменилась с прошлого года, и Windows WS был перезагружен только после начала проблемы. Общая папка samba настроена как домашняя на рабочей станции Windows.
Правеш Парех
Здравствуйте еще раз, это абсолютно безумно, но я изменил уровень проверки подлинности LAN Manager на «Отправка только NTLMv2-ответа», и теперь я могу получить доступ к папке. Установите его обратно на «Отправить LM & NTLM - используйте сеансовую безопасность NTLMv2, если это согласовано». делает папку недоступной. Отражает ли это какое-то изменение в том, как работает самба сейчас? Или это означает, что что-то не так с моей конфигурацией самбы?
Правеш Парех
1
Я вижу похожий ответ здесь и сейчас: superuser.com/a/1129426 (пропустил его раньше).
Правеш Парех

Ответы:

2

Решением для автора было изменение уровня аутентификации LAN Manager Send NTLMv2 response onlyс Send LM & NTLM - use NTLMv2 session security if negotiated.

Очевидно, Samba неправильно управляла переговорами о безопасности сеанса с Windows, поэтому они не могли согласовать алгоритм для паролей. Как только плакат продиктовал метод безопасности, все заработало.

Что касается того, почему это произошло - лучший ответ, который я могу придумать, это то, что это было вызвано некоторой неизвестной несовместимостью между реализациями протокола SMB для Linux и Windows.


[Старый ответ]

Попробуйте это на клиенте W7:

В редакторе локальной групповой политики перейдите к:

Политика локального компьютера-> Конфигурация компьютера-> Параметры Windows-> Параметры безопасности-> Локальные политики-> Параметры безопасности

Найдите политику по имени Microsoft network client: Digitally sign communications (always).

Если это Включено, измените его на Отключено. Обязательно перезагрузите компьютер, чтобы изменения вступили в силу, так как нажатие кнопки «Применить» в редакторе политик недостаточно.

Как примечание, я использовал следующие настройки в последний раз, когда я выводил ресурс Samba на экраны. Попробуйте их, и если они решат проблему, то измените их один за другим, пока не столкнетесь с проблемой:

path = /my/share/path
available = yes
browsable = yes
public = yes
read only = no
writable = yes
harrymc
источник
Привет, спасибо за ответ. Я проверил политику, но она уже отключена. Изменение уровня проверки подлинности LAN Manager на «Отправлять только NTLMv2-ответ» с «Отправлять LM и NTLM - использовать сеансовую безопасность NTLMv2, если согласовано». кажется, чтобы решить проблему. У вас есть предложения, почему?
Правеш Парех
1
Смотрите эту ссылку . Судя по всему, ваша Samba использует устаревший метод LAN Manager со слабым алгоритмом хеширования LM для паролей. Причиной могут быть плохие настройки по умолчанию в файле smb.conf .
Harrymc
Извините за наивность, но я понял, что лучше использовать NTLMv2 и рекомендовать этот вариант. Так что это означает, что после того, как моя samba обновилась (вместе с RHEL), она перестала использовать более старый и более слабый метод хэширования LM для паролей? Это было бы правильно? Тогда мне больше не нужно ничего делать, наверное? Мне дано понять, что по умолчанию для клиента lanman auth и lanman auth установлено значение no , а для клиента NTLMv2 auth установлено значение yes . Я не вижу этих записей в моем файле conf, поэтому я предполагаю, что применяются значения по умолчанию?
Правеш Парех
1
Мой предыдущий комментарий был написан слишком поспешно. NTLMv2 лучше, но, очевидно, ваша Samba неправильно справилась с переговорами о безопасности сеанса с Windows, поэтому не смогла согласовать алгоритм для паролей. Как только вы продиктовали метод безопасности, все заработало. Почему? Лучший ответ - некоторая неизвестная несовместимость между реализациями протокола в Linux / Windows.
harrymc
Ах хорошо! Большое спасибо за помощь мне, хотя. Не могли бы вы включить это в свой ответ, чтобы я мог пойти дальше и принять это?
Еще