Si puedes usar AFP pero no SMB para montar un servidor de archivos

Puede que los requisitos de seguridad de SMB 3 no te permitan usar SMB para montar un punto compartido.

Comprobar los ajustes de conexión

Bloque de mensaje de servidor (SMB) 3 es la forma de conectar a un servidor en macOS por defecto. Es necesaria la conexión para realizar una solicitud Validate Negotiate tras la autenticación. Todas las sesiones SMB 3 deben estar firmadas, excepto si te conectas como invitado o de forma anónima.

Puede que tengas un servidor macOS de archivos que sea cliente de Open Directory y que esté vinculado anónimamente a un servidor de protocolo ligero de acceso a directorios (LDAP). Si ese es el caso, usa uno de los siguientes métodos para conectarte:

  • Cuando te conectes al servidor LDAP, utiliza un enlace autenticado.
  • Cambia el rol del servidor de archivos a réplica de Open Directory. Esto también configura Kerberos en tu servidor.
  • Desactiva las solicitudes Validate Negotiate en el cliente.
  • Configura tu cliente o servidor SMB para que solo use SMB 2.

Más información sobre la firma de sesión

La firma de sesión en SMB 3 requiere un ordenador enlazado para acceder al md4 (contraseña) de cada usuario del servidor de directorios. Como resultado, SMB 3 concede conexiones cliente solo a ordenadores “de confianza”. Estos ordenadores usan credenciales de administrador de directorios (diradmin) para enlazarse por autenticación (authbound).

A veces, diradmin no puede enlazar tu servidor por autenticación al servidor de directorios que contiene las cuentas con las que quieres autenticar a tus usuarios. En ese caso, puedes desactivar las solicitudes Validate Negotiate del cliente o ajustar el servidor para que acepte solo las conexiones SMB 2 menos seguras. Para ello, modifica los ajustes del servidor SMB, los ajustes del cliente o ambos.

Desactivar las solicitudes Validate Negotiate en el cliente

Si desactivas Validate Negotiate, incrementarás la susceptibilidad a ataques de intermediario. Solamente debes desactivar las solicitudes Validate Negotiate si tanto el cliente como el servidor están en una red segura.

Para definir el valor del ajuste validate_neg_off en el archivo nsmb.conf del directorio /etc., usa un editor de texto o Terminal. Para más opciones de configuración SMB por parte del cliente, consulta la página man para obtener un archivo nsmb.conf.

Este es el aspecto que tiene un archivo nsmb.conf configurado para desactivar las solicitudes Validate Negotiate:

[default]
validate_neg_off=yes

Configurar macOS Server para que rechace las conexiones SMB 3

Las solicitudes Validate Negotiate son una función de SMB 3 que inician los clientes. Para evitar que los clientes realicen estas solicitudes, puedes configurar macOS Server para que acepte únicamente conexiones SMB 2. Un campo de bits de las preferencias del servidor controla el dialecto del servidor. La palabra clave de este campo de bits es ProtocolVersionMap. Solo usa tres bits:

Valor Significado
1 Compatible con SMB 1
2 Compatible con SMB 2 
4 Compatible con SMB 3

Para permitir la compatibilidad con varios dialectos, combina bits.

En este ejemplo ProtocolVersionMap está configurado para permitir SMB 2. Para ello, se ajusta ProtocolVersionMap en “2”:

sudo scutil --prefs com.apple.smb.server.plist

get /

d.add ProtocolVersionMap # 2

set /

commit

apply

quit

Fecha de publicación: