Si no puedes montar un recurso compartido SMB alojado en un Mac vinculado a Open Directory
Puede que los requisitos de seguridad de SMB 3 no te permitan usar SMB para montar un punto compartido.
Comprobar los ajustes de conexión
Bloque de mensaje de host (SMB) 3 es la forma de conectar a un host en macOS por defecto. Es necesaria la conexión para realizar una solicitud Validate Negotiate tras la autenticación. Todas las sesiones SMB 3 deben estar firmadas, excepto si te conectas como invitado o de forma anónima.
Puede que tengas un host macOS de archivos que sea cliente de Open Directory y que esté vinculado anónimamente a un host de protocolo ligero de acceso a directorios (LDAP). Si ese es el caso, usa uno de los siguientes métodos para conectarte:
Cuando te conectes al host LDAP, utiliza un enlace autenticado.
Cambia el rol del host de archivos a réplica de Open Directory. Esto también configura Kerberos en tu host.
Desactiva las solicitudes Validate Negotiate en el cliente.
Configura tu cliente o host SMB para que solo use SMB 2.
Más información sobre la firma de sesión
La firma de sesión en SMB 3 requiere un ordenador enlazado para acceder al md4 (contraseña) de cada usuario del host de directorios. Como resultado, SMB 3 concede conexiones cliente solo a ordenadores “de confianza”. Estos ordenadores usan credenciales de administrador de directorios (diradmin) para enlazarse por autenticación (authbound).
A veces, diradmin no puede enlazar tu host por autenticación al host de directorios que contiene las cuentas con las que quieres autenticar a tus usuarios. En ese caso, puedes desactivar las solicitudes Validate Negotiate del cliente o ajustar el host para que acepte solo las conexiones SMB 2 menos seguras. Para ello, modifica los ajustes del host SMB, los ajustes del cliente o ambos.
Desactivar las solicitudes Validate Negotiate en el cliente
Si desactivas Validate Negotiate, incrementarás la susceptibilidad a ataques de intermediario. Solamente debes desactivar las solicitudes Validate Negotiate si tanto el cliente como el host están en una red segura.
Para definir el valor del ajuste validate_neg_off en el archivo nsmb.conf del directorio /etc., usa un editor de texto o Terminal. Para más opciones de configuración SMB por parte del cliente, consulta la página man para obtener un archivo nsmb.conf.
Al configurar un archivo nsmb.conf para deshabilitar las solicitudes Validate Negotiate, este es su aspecto:
[default]
validate_neg_off=yes
Configurar macOS Server para que rechace las conexiones SMB 3
Las solicitudes Validate Negotiate son una función de SMB 3 que inician los clientes. Para evitar que los clientes realicen estas solicitudes, puedes configurar macOS Server para que acepte únicamente conexiones SMB 2. Un campo de bits de las preferencias del host controla el dialecto del host. La palabra clave de este campo de bits es ProtocolVersionMap. Solo usa tres bits:
Valor | Significado |
1 | Compatible con SMB 1 |
2 | Compatible con SMB 2 |
4 | Compatible con SMB 3 |
Para permitir la compatibilidad con varios dialectos, combina bits.
En este ejemplo ProtocolVersionMap está configurado para permitir SMB 2. Para ello, se ajusta ProtocolVersionMap en “2”:
sudo scutil --prefs com.apple.smb.server.plist
obtener /
d.add ProtocolVersionMap # 2
set /
commit
apply
quit
¿Necesitas más ayuda?
Cuéntanos más sobre lo que está pasando y te sugeriremos lo que puedes hacer a continuación.
