Wenn Sie keine SMB-Freigabe aktivieren können, die von einem mit einem Open Directory verbundenen Mac gehostet wird
Die SMB 3-Sicherheitsvoraussetzungen verhindern möglicherweise, dass Sie ein Gruppenvolume per SMB aktivieren.
Verbindungseinstellungen prüfen
Server werden in macOS standardmäßig mit Server Message Block (SMB) 3 verbunden. Nach der Authentifizierung muss die Verbindung dabei eine "Validate Negotiate"-Anfrage stellen. Sofern Sie sich nicht als Gast oder anonym verbinden, müssen alle SMB 3-Sitzungen signiert sein.
Wenn Ihr macOS-Dateiserver ein anonym in einen Lightweight Directory Access Protocol- (LDAP-) Server eingebundener Open Directory-Client ist, verwenden Sie eine dieser Verbindungsmethoden:
Versuchen Sie, sich per authentifizierter Bindung mit dem LDAP-Server zu verbinden.
Ändern Sie die Rolle des Dateiservers in eine Open Directory-Replik. Dabei wird auf dem Server auch Kerberos eingerichtet.
Deaktivieren Sie "Validate Negotiate"-Anfragen auf Ihrem Client.
Richten Sie Ihren SMB-Server oder -Client ausschließlich für SMB 2 ein.
Informationen zur Sitzungssignatur
Um in SMB 3 eine Sitzung zu signieren, muss ein eingebundener Computer auf das MD4 (Passwort) jedes Benutzers im Verzeichnisserver zugreifen. Dadurch gewährt SMB 3 nur "vertrauenswürdigen" Computern eine Clientverbindung – also Computern, die sich mit den Accountdaten des Verzeichnisadministrators (diradmin) authentifiziert einbinden (authbound).
Unter Umständen kann diradmin Ihren Server nicht authentifiziert in dem Verzeichnisserver einbinden, der die Accounts enthält, mit denen Ihre Benutzer sich authentifizieren sollen. In diesem Fall können Sie entweder die "Validate Negotiate"-Anfragen des Clients deaktivieren oder den Server so anpassen, dass er nur weniger sichere SMB 2-Verbindungen akzeptiert. Dafür müssen Sie die SMB-Servereinstellungen, die Client-Einstellungen oder beide ändern.
"Validate Negotiate"-Anfragen auf Ihrem Client deaktivieren
Wenn Sie "Validate Negotiate" deaktivieren, erhöhen Sie die Anfälligkeit für Man-in-the-Middle-Angriffe. Sie sollten "Validate Negotiate"-Anfragen nur deaktivieren, wenn sich sowohl der Client als auch der Server in einem gesicherten Netzwerk befinden.
Legen Sie mit einem Texteditor oder Terminal die Einstellung "validate_neg_off" in der Datei "nsmb.conf" im Verzeichnis "/etc" fest. Weitere SMB-Konfigurationsoptionen auf Clientseite finden Sie auf der man-Seite für "nsmb.conf".
Wenn Sie die Datei "nsmb.conf" zum Deaktivieren von "Validate Negotiate"-Anfragen konfigurieren, sehen Sie Folgendes:
[default]
validate_neg_off=yes
macOS-Server zur Ablehnung von SMB 3-Verbindungen konfigurieren
"Validate Negotiate"-Anfragen sind eine SMB 3-Funktion, die Clients initiieren. Sie können Clients daran hindern, diese Anfragen zu stellen, indem Sie Ihren macOS-Server so einstellen, dass er nur SMB 2-Verbindungen akzeptiert. Der Serverdialekt wird über ein Bitfeld in den Servereinstellungen gesteuert, dessen Keyword "ProtocolVersionMap" lautet. Es verwendet nur drei Bits:
Wert | Bedeutung |
1 | SMB 1 unterstützen |
2 | SMB 2 unterstützen |
4 | SMB 3 unterstützen |
Wenn man die Bits kombiniert, unterstützen sie mehrere Dialekte.
In diesem Beispiel ist "ProtocolVersionMap" so konfiguriert, dass es SMB 2 akzeptiert. Dazu wird "ProtocolVersionMap" auf "2" eingestellt:
sudo scutil --prefs com.apple.smb.server.plist
get /
d.add ProtocolVersionMap # 2
set /
commit
apply
quit
