Dateiserver lässt sich per AFP aktivieren, aber nicht per SMB

Die SMB 3-Sicherheitsvoraussetzungen verhindern möglicherweise, dass Sie ein Gruppenvolume per SMB aktivieren.

Verbindungseinstellungen prüfen

Server werden in macOS standardmäßig mit Server Message Block (SMB) 3 verbunden. Nach der Authentifizierung muss die Verbindung dabei eine "Validate Negotiate"-Anfrage stellen. Sofern Sie sich nicht als Gast oder anonym verbinden, müssen alle SMB 3-Sitzungen signiert sein.

Wenn Ihr macOS-Dateiserver ein anonym in einen Lightweight Directory Access Protocol- (LDAP-) Server eingebundener Open Directory-Client ist, verwenden Sie eine dieser Verbindungsmethoden:

  • Versuchen Sie sich per authentifizierter Bindung mit dem LDAP-Server zu verbinden.
  • Ändern Sie die Rolle des Dateiservers in eine Open Directory-Replik. Dabei wird auf dem Server auch Kerberos eingerichtet.
  • Deaktivieren Sie "Validate Negotiate"-Anfragen auf Ihrem Client.
  • Richten Sie Ihren SMB-Server oder -Client ausschließlich für SMB 2 ein.

Informationen zur Sitzungssignatur

Um in SMB 3 eine Sitzung zu signieren, muss ein eingebundener Computer auf das MD4 (Passwort) jedes Benutzers im Verzeichnisserver zugreifen. Dadurch gewährt SMB 3 nur "vertrauenswürdigen" Computern eine Clientverbindung – also Computern, die sich mit den Accountdaten des Verzeichnisadministrators (diradmin) authentifiziert einbinden (authbound).

Unter Umständen kann diradmin Ihren Server nicht authentifiziert in dem Verzeichnisserver einbinden, der die Accounts enthält, mit denen Ihre Benutzer sich authentifizieren sollen. In diesem Fall können Sie entweder die "Validate Negotiate"-Anfragen des Clients deaktivieren oder den Server so anpassen, dass er nur weniger sichere SMB 2-Verbindungen akzeptiert. Dafür müssen Sie die SMB-Servereinstellungen, die Client-Einstellungen oder beide ändern.

"Validate Negotiate"-Anfragen auf Ihrem Client deaktivieren

Wenn Sie "Validate Negotiate" deaktivieren, erhöhen Sie die Anfälligkeit für Man-in-the-Middle-Angriffe. Sie sollten "Validate Negotiate"-Anfragen nur deaktivieren, wenn sich sowohl der Client als auch der Server in einem gesicherten Netzwerk befinden.

Legen Sie mit einem Texteditor oder Terminal die Einstellung "validate_neg_off" in der Datei "nsmb.conf" im Verzeichnis "/etc" fest. Weitere SMB-Konfigurationsoptionen auf Clientseite finden Sie auf der man-Seite für "nsmb.conf".

So sieht eine "nsmb.conf"-Datei aus, die zur Deaktivierung von "Validate Negotiate"-Anfragen konfiguriert ist:

[default]
validate_neg_off=yes

macOS-Server zur Ablehnung von SMB 3-Verbindungen konfigurieren

"Validate Negotiate"-Anfragen sind eine SMB 3-Funktion, die Clients initiieren. Sie können Clients daran hindern, diese Anfragen zu stellen, indem Sie Ihren macOS-Server so einstellen, dass er nur SMB 2-Verbindungen akzeptiert. Der Serverdialekt wird über ein Bitfeld in den Servereinstellungen gesteuert, dessen Keyword "ProtocolVersionMap" lautet. Es verwendet nur drei Bits:

Wert Bedeutung
1 SMB 1 unterstützen
2 SMB 2 unterstützen 
4 SMB 3 unterstützen

Wenn man die Bits kombiniert, unterstützen sie mehrere Dialekte.

In diesem Beispiel ist "ProtocolVersionMap" so konfiguriert, dass es SMB 2 akzeptiert. Dazu wird "ProtocolVersionMap" auf "2" eingestellt:

sudo scutil --prefs com.apple.smb.server.plist

get /

d.add ProtocolVersionMap # 2

set /

commit

apply

quit

Veröffentlichungsdatum: