Se puoi usare AFP ma non SMB per attivare un file server

I requisiti di sicurezza di SMB 3 potrebbero non consentirti di usare SMB per attivare un punto di condivisione.

Verifica le impostazioni di connessione

Il metodo predefinito per connettersi a un server in macOS, ossia SMB (Server Message Block) 3, richiede che la connessione esegua una richiesta di convalida della negoziazione dopo l'autenticazione. A meno che tu non ti connetta come utente ospite o in modo anonimo, tutte le sessioni di SMB 3 devono essere firmate.

Potresti avere un file server macOS che è un client Open Directory con binding anonimo a un server LDAP (Lightweight Directory Access Protocol). In tal caso, usa uno di questi metodi per eseguire la connessione:

  • Quando ti connetti al server LDAP, usa il binding autenticato.
  • Cambia il ruolo del file server configurandolo come replica Open Directory. In questo modo viene anche impostato Kerberos sul server in uso.
  • Disabilita le richieste di convalida della negoziazione sul client.
  • Configura il tuo client o server SMB in modo che usi solo SMB 2.

Informazioni sulla firma di una sessione

La firma di una sessione in SMB 3 richiede che un computer con binding attivo acceda all'md4 (password) di ogni utente nel server della directory. Di conseguenza, SMB 3 consente le connessioni client solo ai computer "attendibili", cioè computer che usano le credenziali di amministratore della directory (diradmin) per attivare il binding autenticato (authbound).

Talvolta diradmin non è in grado di attivare, per il server in uso, il binding autenticato al server della directory che contiene gli account da usare per l'autenticazione degli utenti. In questo caso, puoi disabilitare le richieste da parte del client di convalidare la negoziazione oppure modificare il server in modo che accetti solo le connessioni SMB 2, meno sicure, modificando le impostazioni del server SMB, del client o di entrambi.

Disabilita le richieste di convalida della negoziazione sul client

Se disabiliti la convalida della negoziazione, aumenterai la vulnerabilità agli attacchi man-in-the-middle. Dovresti disabilitare le richieste di convalida della negoziazione solo se sia il client che il server sono su reti protette.

Per configurare il valore dell'impostazione validate_neg_off nel file nsmb.conf nella directory /etc, usa un editor di testo o Terminale. Per ulteriori opzioni di configurazione SMB lato client, consulta la pagina del manuale relativa a nsmb.conf.

Un file nsmb.conf configurato per disabilitare le richieste di convalida della negoziazione risulta come segue:

[default]
validate_neg_off=yes

Configura il server macOS in modo da non consentire le connessioni SMB 3

Le richieste di convalida della negoziazione sono una funzione SMB 3 avviata dai client. Per impedire che i client inoltrino queste richieste, puoi impostare il server macOS in modo da accettare solo le connessioni SMB 2. Un campo di bit nelle preferenze del server controlla il sottolinguaggio del server. La parola chiave per questo campo di bit è ProtocolVersionMap e usa solo tre bit:

Valore Significato
1 Supporta SMB 1
2 Supporta SMB 2 
4 Supporta SMB 3

Per supportare più sottolinguaggi, combina più bit.

In questo esempio, ProtocolVersionMap viene impostato per consentire SMB 2 impostando ProtocolVersionMap su "2":

sudo scutil --prefs com.apple.smb.server.plist

get /

d.add ProtocolVersionMap # 2

set /

commit

apply

quit

Data di pubblicazione: