파일 서버를 마운트할 때 AFP는 사용할 수 있지만 SMB를 사용할 수 없는 경우

SMB 3 보안 요구 사항에 따라 공유 포인트를 마운트하는 데 SMB를 사용하지 못할 수도 있습니다.

연결 설정 확인하기

SMB(Server Message Block) 3는 macOS에서 서버에 연결하는 기본적인 방법입니다. 인증한 후에 협상 유효성 확인 요청을 수행하려면 연결이 필요합니다. 방문자 또는 익명으로 연결하는 경우가 아니라면 모든 SMB 3 세션에 로그인해야 합니다.

Open Directory 클라이언트이면서 익명으로 LDAP(Lightweight Directory Access Protocol) 서버에 바인딩된 macOS 파일 서버가 있을 수 있습니다. 그렇다면 다음 방법 중 하나를 사용하여 연결하십시오.

  • LDAP 서버에 연결할 때 인증된 바인딩을 사용합니다.
  • 파일 서버의 역할을 Open Directory 복제본으로 변경합니다. 이렇게 하면 서버에 Kerberos도 설정됩니다.
  • 클라이언트에서 협상 유효성 확인 요청을 비활성화합니다.
  • SMB 2만 사용하도록 SMB 서버 또는 클라이언트를 설정합니다.

세션 로그인에 대해 알아보기

SMB 3에서 세션 로그인 시 바인딩 컴퓨터가 있어야 디렉토리 서버에서 모든 사용자의 md4(암호)에 접근할 수 있습니다. 따라서 SMB 3는 '신뢰할 수 있는' 컴퓨터에만 클라이언트 연결을 부여합니다. 이러한 컴퓨터에서는 디렉토리 관리자(diradmin) 자격 증명을 사용하여 인증 바인딩(authbound) 상태가 됩니다.

디렉토리 관리자(diradmin)는 사용자가 인증하게 하려는 계정이 포함된 디렉토리 서버에 해당 서버를 인증 바인딩(authbind)하지 못하는 경우도 있습니다. 이 경우 클라이언트의 협상 유효성 확인 요청을 비활성화하거나 보안성이 낮은 SMB 2 연결만 수락하도록 서버를 조정할 수 있습니다. 이렇게 하려면 SMB 서버 설정, 클라이언트 설정 또는 두 설정을 모두 수정하십시오.

클라이언트에서 협상 유효성 확인 요청 비활성화하기

협상 유효성 확인을 비활성화하면 중간자(man-in-the-middle) 공격에 취약해집니다. 클라이언트와 서버가 모두 보안 네트워크에 연결된 경우에만 협상 유효성 확인 요청을 비활성화해야 합니다.

/etc 디렉토리에서 nsmb.conf 파일의 validate_neg_off 설정값을 설정하려면 텍스트 편집기 또는 터미널을 사용합니다. 더 많은 클라이언트 측 SMB 구성 옵션은 설명서의 nsmb.conf 페이지를 참조하십시오.

협상 유효성 확인 요청을 비활성화기 위해 구성한 nsmb.conf 파일의 내용은 다음과 같습니다.

[default]
validate_neg_off=yes

SMB 3 연결을 거부하도록 macOS Server 설정하기

협상 유효성 확인 요청은 클라이언트에서 시작하는 SMB 3 기능입니다. 클라이언트에서 이러한 요청을 하지 않도록 하려면 SMB 2 연결만 수락하도록 macOS Server를 설정하면 됩니다. 서버 환경설정의 비트 필드는 서버 언어를 제어합니다. 이 비트 필드의 키워드는 ProtocolVersionMap이며 3비트만 사용합니다.

의미
1 SMB 1 지원
2 SMB 2 지원 
4 SMB 3 지원

여러 언어를 지원하려면 비트를 결합합니다.

이 예에서는 SMB 2를 허용하도록 ProtocolVersionMap을 설정합니다. 이렇게 하기 위해 ProtocolVersionMap을 '2'로 설정합니다.

sudo scutil --prefs com.apple.smb.server.plist

get /

d.add ProtocolVersionMap # 2

set /

commit

apply

quit

게시일: