Se non riesci attivare la condivisione SMB ospitata da un Mac associato a Open Directory
I requisiti di sicurezza di SMB 3 potrebbero non consentirti di usare SMB per attivare un punto di condivisione.
Verifica le impostazioni di connessione
Il metodo predefinito per connettersi a un server in macOS, ossia SMB (Server Message Block) 3, richiede che la connessione esegua una richiesta di convalida della negoziazione dopo l'autenticazione. A meno che tu non ti connetta come utente ospite o in modo anonimo, tutte le sessioni di SMB 3 devono essere firmate.
Se il server macOS è un client Open Directory con binding anonimo a un server LDAP (Lightweight Directory Access Protocol), usa uno di questi metodi per eseguire la connessione:
Quando ti connetti al server LDAP, usa l'associazione autenticata.
Cambia il ruolo del file server configurandolo come replica Open Directory. In questo modo viene anche impostato Kerberos sul server in uso.
Disabilita le richieste di convalida della negoziazione sul client.
Configura il tuo client o server SMB in modo che usi solo SMB 2.
Informazioni sulla firma di una sessione
La firma di una sessione in SMB 3 richiede che un computer con binding attivo acceda all'md4 (password) di ogni utente nel server della directory. Di conseguenza, SMB 3 consente le connessioni client solo ai computer "attendibili", cioè computer che usano le credenziali di amministratore della directory (diradmin) per attivare il binding autenticato (authbound).
Talvolta diradmin non è in grado di attivare, per il server in uso, il binding autenticato al server della directory che contiene gli account da usare per l'autenticazione degli utenti. In questo caso, puoi disabilitare le richieste da parte del client di convalidare la negoziazione oppure modificare il server in modo che accetti solo le connessioni SMB 2, meno sicure, modificando le impostazioni del server SMB, del client o di entrambi.
Disabilita le richieste di convalida della negoziazione sul client
Se disabiliti la convalida della negoziazione, aumenterai la vulnerabilità agli attacchi man-in-the-middle. Dovresti disabilitare le richieste di convalida della negoziazione solo se sia il client che il server sono su reti protette.
Per configurare il valore dell'impostazione validate_neg_off nel file nsmb.conf nella directory /etc, usa un editor di testo o Terminale. Per ulteriori opzioni di configurazione SMB lato client, consulta la pagina del manuale relativa a nsmb.conf.
Quando configuri un nsmb.conf per disabilitare le richieste di convalida della negoziazione, ecco come appare:
[default]
validate_neg_off=yes
Configura il server macOS in modo da non consentire le connessioni SMB 3
Le richieste di convalida della negoziazione sono una funzione SMB 3 avviata dai client. Per impedire che i client inoltrino queste richieste, puoi impostare il server macOS in modo da accettare solo le connessioni SMB 2. Un campo di bit nelle preferenze del server controlla il sottolinguaggio del server. La parola chiave per questo campo di bit è ProtocolVersionMap e usa solo tre bit:
Valore | Significato |
1 | Supporta SMB 1 |
2 | Supporta SMB 2 |
4 | Supporta SMB 3 |
Per supportare più sottolinguaggi, combina più bit.
In questo esempio, ProtocolVersionMap viene impostato per consentire SMB 2 impostando ProtocolVersionMap su "2":
sudo scutil --prefs com.apple.smb.server.plist
get /
d.add ProtocolVersionMap # 2
set /
commit
apply
quit
