Wenn du keine von einem gehosteten Mac, der an Open Directory gebunden ist, SMB-Freigabe einrichten kannst
SMB 3-Sicherheitsanforderungen könnten verhindern, dass SMB zur Einrichtung eines Freigabepunkts verwendet werden kann.
Verbindungseinstellungen prüfen
Server werden in macOS standardmäßig mit Server Message Block (SMB) 3 verbunden. Nach der Authentifizierung muss die Verbindung dabei eine „Validate Negotiate“-Anfrage stellen. Alle SMB 3-Sitzungen müssen signiert sein, außer du verbindest dich als Gast oder anonym.
Möglicherweise hast du einen macOS-Dateiserver, der ein Open Directory-Client ist und anonym an einen Lightweight Directory Access Protocol (LDAP)-Server gebunden ist. Falls dem so ist, verwende eine der folgenden Methoden, um dich zu verbinden:
Wenn du dich mit einem LDAP-Server verbindest, verwende eine authentifizierte Anbindung.
Ändere die Rolle des Dateiservers zu einem Open Directory-Replikat. Dadurch wird auch Kerberos auf deinem Server eingerichtet.
Deaktiviere „Validate Negotiate“-Anfragen auf deinem Client.
Richte deinen SMB-Server oder -Client so ein, dass er nur SMB 2 verwendet.
Informationen über Sitzungssignaturen
Sitzungssignaturen in SMB 3 erfordern einen gebundenen Computer, um auf das md4 (Passwort) jedes Benutzers auf dem Directory-Server zuzugreifen. Dadurch gewährt SMB 3 nur „vertrauenswürdigen“ Computern eine Clientverbindung – also Computern, die sich mit den Accountdaten des Verzeichnisadministrators (diradmin) authentifiziert einbinden (authbound).
Manchmal kann der Verzeichnisadministrator (diradmin) deinen Server nicht zum Directory-Server authentifiziert einbinden (authbound), der die Accounts enthält, mit denen du deine Benutzer authentifizieren willst. Dann kannst du „Validate Negotiate“-Anfragen des Clients deaktivieren oder den Server so anpassen, dass er nur weniger sichere SMB 2-Verbindungen akzeptiert. Dazu ändere die SMB-Servereinstellungen, die Clienteinstellungen oder beide.
„Validate Negotiate“-Anfragen auf deinem Client deaktivieren
Wenn du „Validate Negotiate“-Anfragen deaktivierst, erhöhst du die Anfälligkeit für Man-in-the-Middle-Angriffe. Du solltest „Validate Negotiate“-Anfragen nur deaktivieren, wenn sich sowohl Client als auch Server in einem gesicherten Netzwerk befinden.
Um den Wert für die „validate_neg_off“-Einstellung in der „nsmb.conf“-Datei im „/etc“-Verzeichnis zu erstellen, verwende einen Texteditor oder Terminal. Weitere clientseitige SMB-Konfigurationsoptionen findest du auf der Hauptseite von „nsmb.conf“.
Wenn du ein „nsmb.conf“ konfigurierst, um „Validate Negotiate“-Anfragen zu deaktivieren, sieht es so aus:
[Standardwert]
validate_neg_off=yes
macOS Server zur Ablehnung von SMB 3-Verbindungen konfigurieren
„Validate Negotiate“-Anfragen sind eine SMB 3-Funktion, die Clients initiieren. Um Clients an solchen Anfragen zu hindern, kannst du deinen macOS Server so einstellen, dass er nur SMB 2-Verbindungen akzeptiert. Ein Bitfeld in den Servereinstellungen steuert den Server-Dialekt. Das Schlüsselwort für dieses Bitfeld ist „ProtocolVersionMap“. Es verwendet nur 3 Bits:
Wert | Bedeutung |
1 | SMB 1 unterstützen |
2 | SMB 2 unterstützen |
4 | SMB 3 unterstützen |
Um mehrere Dialekte zu unterstützen, kannst du Bits kombinieren.
Dieses Beispiel zeigt „ProtocolVersionMap“, um SMB 2 zu erlauben. Dazu wird „ProtocolVersionMap“ auf „2“: gesetzt:
sudo scutil --prefs com.apple.smb.server.plist
get /
d.add ProtocolVersionMap # 2
set /
commit
apply
quit
Du benötigst weitere Hilfe?
Erzähle uns mehr darüber, was passiert ist, und wir schlagen vor, was du als Nächstes tun kannst.
