...
Примерно начиная с версии Samba 4.10 команда smbtree не находит никаких доступных ресурсов, не выдавая при этом никакой диагностики, при этом команда smbclient -L ресурсы конкретных машин отображает правильно. Кроме этого, команды smbtree и smbclient ещё и запрашивают пароль для текущего пользователя при каждом выполнении, чего ранее не было.
Отключение запроса пароля в командах smbtree и smbclient
Запрос пароля при исполлнении команд smbtree/smbcient отключается опцией -N:
Command |
---|
smbtree -N |
или
Command |
---|
smblient -N -L ... |
Включение обнаружения разделяемых ресурсов командой smbtree
На клиентах
Для того, чтобы КЛИЕНТЫ samba корректно запрашивали разделяемые ресурсы нужно:
в файл /etc/samba/smb.conf НА КЛИЕНТСКОМ КОМПЬЮТЕРЕ в секцию [global] добавить параметр:
Блок кода |
---|
client min protocol = NT1
|
После этого запросы к серверам samba версии 4.9 будут отправляться и отрабатываться корректно, запросы к настроенным по умолчанию серверам версии 4.11 и новее будут завершаться ошибкой вида:
Command | ||
---|---|---|
| ||
\\CE-2-13-3-1115 Samba 4.12.5-Debian |
На серверах
Для того, чтобы новые СЕРВЕРЫ samba корректно отвечали на запросы нужно:
в файл /etc/samba/smb.conf в секцию [global] НА СЕРВЕРЕ SAMBA добавить параметр:
Блок кода |
---|
server min protocol = NT1 |
После чего перезагрузить конфигурацию сервера:
Command |
---|
sudo smbcontrol smbd reload-config |
Samba и системы виртуализации
Samba (и 4.9 тоже) по умолчанию привязывается ко всем обнаруженным интерфейсам. Если на сервере samba установлена система виртуализации (проверено с Oracle VirtualBox и с KVM), то samba привязывается и к адаптерам виртуальных мостов, после чего в виртуальной подсети сама среди себя проводит выборы мастер-браузера, объявляет себя мастером и перестаёт видеть расшаренные ресурсы на физическом сетевом интерфейсе. Характерный симптом - после команды
...
Информация |
---|
Побочный эффект - команда smbtree, выполненная на сервере, при этом перестаёт показывать собственные ресурсы, хотя свой сервер показывает. |
smbtree не показывает собственные разделяемые ресурсы
При выполнении команды smbtree samba-клиент пытается разрешить NETBIOS-имя собственного сервера. Порядок разрешения имён по умолчанию:
...
В стандартном /etc/hosts имя сервера разрешается в 127.0.1.1, по этому адресу запрашивается список ресурсов, однако сервер samba привязан не к 127.0.1.1, а к 127.0.0.1, соответственно никаких ресурсов не видно.
Для того чтобы smbtree показывал собственные ресурсы имя сервера должно разрешаться в адрес внешнего сетевого интерфейса, к которому привязана samba - проще всего указать адрес в /etc/hosts.
Привязать samba к адресу 127.0.1.1 не получилось.
Отключение запроса пароля в командах smbtree и smbclient
Запрос пароля отключается опцией -N:
Command |
---|
smbtree -N |
или
Command |
---|
smblient -N -L ... |
Включение обнаружения разделяемых ресурсов командой smbtree
На клиентах
Для того, чтобы КЛИЕНТЫ samba корректно запрашивали разделяемые ресурсы нужно:
в файл /etc/samba/smb.conf НА КЛИЕНТСКОМ КОМПЬЮТЕРЕ в секцию [global] добавить параметр:
Блок кода |
---|
client min protocol = NT1
|
После этого запросы к серверам samba версии 4.9 будут отправляться и отрабатываться корректно, запросы к настроенным по умолчанию серверам версии 4.11 и новее будут завершаться ошибкой вида:
Command | ||
---|---|---|
| ||
\\CE-2-13-3-1115 Samba 4.12.5-Debian |
На серверах
Для того, чтобы новые СЕРВЕРЫ samba корректно отвечали на запросы нужно:
в файл /etc/samba/smb.conf в секцию [global] НА СЕРВЕРЕ SAMBA добавить параметр:
Блок кода |
---|
server min protocol = NT1 |
После чего перезагрузить конфигурацию сервера:
Command |
---|
sudo smbcontrol smbd reload-config |
Прочее
, видимо потому, что это адрес виртуальный.
Прочее
В настройках samba, принимаемых по умолчанию, В дефолтных настройках samba для ALD прописан параметр wide links = yes (следовать ссылкам вне экспортируемого дерева) , который, из соображений безопасности, не работает в сочетении с дефолтным сочетании с другим принятым по умолчанию параметром unix extensions = yes из соображений безопасности. Чтобы они эти параметры работали совместно работали нужно добавить пареметр allow insecure wide links = yes.
smbtree в Смоленск 1.5
Для того, чтобы команда smbtree в ОС СН Смоленск 1.5 (samba_3.6.26) начал видеть начала отображать свои и чужие разделяемые ресурсы в секцию [global] на клиенте 1.5 нужно добавить параметр:
...
Предупреждение |
---|
Отключение подписания запросов возвращает уязвимость CVE-2016-2115: Samba 3.x and 4.x before 4.2.11, 4.3.x before 4.3.8, and 4.4.x before 4.4.2 does not require SMB signing within a DCERPC session over ncacn_np, which allows man-in-the-middle attackers to spoof SMB clients by modifying the client-server data stream. |
nmblookup
Узнать кто мастер - браузер группы WORKGROUP (код - 1d) :
...
Command | ||
---|---|---|
| ||
192.168.1.1 __MSBROWSE__<01> |
Avahi
Список доступных серверов samba:
...