Si vous pouvez utiliser le protocole AFP, mais pas le protocole SMB, pour monter un serveur de fichiers

Les exigences de sécurité du protocole SMB 3 peuvent vous empêcher d’utiliser SMB pour monter un point de partage.

Vérification de vos réglages de connexion

Server Message Block (SMB) 3 est la méthode par défaut de connexion à un serveur sous macOS. Elle exige que la connexion effectue une demande de validation-négociation après l’authentification. Toutes les sessions SMB 3 doivent être signées, sauf si vous vous connectez en tant qu’invité ou de façon anonyme.

Vous pouvez avoir un serveur de fichiers macOS qui est un client Open Directory, lié de façon anonyme à un serveur LDAP. Dans ce cas, connectez-vous en procédant de l’une des façons suivantes :

  • Lorsque vous vous connectez au serveur LDAP, utilisez une liaison authentifiée.
  • Remplacez le rôle du serveur de fichiers par une réplique Open Directory. Cela permet également la configuration de Kerberos sur votre serveur.
  • Désactivez les demandes de validation-négociation sur votre client.
  • Configurez votre serveur ou client SMB de sorte qu’il utilise uniquement SMB 2.

Présentation de la signature de session

Avec le protocole SMB 3, la signature de session nécessite un ordinateur lié pour accéder au md4 (mot de passe) de chaque utilisateur figurant sur le serveur Open Directory. Par conséquent, SMB 3 n’accorde des connexions client qu’aux ordinateurs « de confiance ». Il s’agit d’ordinateurs qui utilisent les identifiants de l’administrateur d’Open Directory (diradmin) pour être liés au processus d’authentification (authbound).

Parfois, les identifiants diradmin ne permettent pas de lier (authbind) votre serveur au serveur d’Open Directory contenant les comptes que vos utilisateurs doivent utiliser pour s’authentifier. Dans ce cas, vous pouvez soit désactiver les demandes de validation-négociation du client, soit régler le serveur de manière à ce qu’il autorise uniquement des connexions SMB 2 moins sécurisées. Pour cela, modifiez les réglages du serveur SMB, les réglages du client ou l’ensemble de ces réglages.

Désactivation des demandes de validation-négociation sur votre client

Si vous désactivez les demandes de validation-négociation, vous augmentez vos chances d’être exposé à des attaques de l’homme du milieu. Vous devez désactiver les demandes de validation-négociation uniquement si le client et le serveur se trouvent sur un réseau sécurisé.

Pour définir la valeur du paramètre validate_neg_off dans le fichier nsmb.conf du répertoire /etc, utilisez un éditeur de texte ou Terminal. Pour obtenir plus d’options de configuration SMB côté client, consultez la page man pour nsmb.conf.

Voici ce à quoi ressemble un fichier nsmb.conf que vous avez configuré pour désactiver les demandes de négociation-validation :

[default]
validate_neg_off=yes

Définition de votre serveur macOS pour refuser les connexions SMB 3

Les demandes de négociation-validation sont une fonctionnalité SMB 3 initiée par les clients. Pour empêcher les clients d’effectuer ces opérations, vous pouvez configurer votre serveur macOS de manière à ce qu’il accepte uniquement les connexions SMB2. Un champ de bits dans les préférences du serveur contrôle le dialecte du serveur. Le mot-clé de ce champ de bits est ProtocolVersionMap. Il n’utilise que trois bits :

Valeur Signification
1 Prise en charge de SMB 1
2 Prise en charge de SMB 2 
4 Prise en charge de SMB 3

Pour prendre en charge plusieurs dialectes, associez les bits.

L’exemple suivant définit ProtocolVersionMap pour autoriser SMB 2. Pour cela, il définit ProtocolVersionMap sur « 2 » :

sudo scutil --prefs com.apple.smb.server.plist

get /

d.add ProtocolVersionMap # 2

set /

commit

apply

quit

Date de publication: