Als je een SMB-share die wordt gehost met een Mac die is gekoppeld aan Open Directory, niet kunt activeren
De SMB 3-beveiligingsvereisten zorgen er mogelijk voor dat je een SMB niet kunt gebruiken om een delingspunt te activeren.
Verbindingsinstellingen controleren
SMB 3 (Server Message Block) is de standaardmethode voor serververbindingen in macOS. Hierbij moet de verbinding na de identiteitscontrole een 'validate negotiate'-verzoek doen. Alle SMB 3-sessies moeten worden ondertekend, tenzij je als gast of anoniem verbinding maakt.
Je hebt mogelijk een macOS-bestandsserver die ook een Open Directory-client is, en die anoniem is gekoppeld aan een LDAP-server (Lightweight Directory Access Protocol). Gebruik in dat geval een van de volgende verbindingsmethoden:
Wanneer je verbinding maakt met de LDAP-server, moet je geauthenticeerde koppeling gebruiken.
Wijzig de rol van de bestandsserver naar een Open Directory-replica. Hiermee wordt ook Kerberos geconfigureerd op je server.
Schakel 'validate negotiate'-verzoeken uit op de client.
Configureer je SMB-server of -client om alleen SMB 2 te gebruiken.
Meer informatie over sessieondertekening
Sessieondertekening in SMB 3 vereist een gekoppelde computer voor toegang tot de MD4 (het wachtwoord) van elke gebruiker op de adreslijstserver. Als gevolg hiervan staat SMB 3 alleen clientkoppelingen toe aan 'vertrouwde' computers. Dat zijn computers die de inloggegevens van een adreslijstbeheerder (diradmin) gebruiken voor authbind-verbindingen (verbindingen met identiteitscontrole).
Soms is het niet mogelijk via diradmin je server te authbinden aan de adreslijstserver met de accounts waarmee je wilt dat jouw gebruikers authenticeren. In dat geval kun je verzoeken voor validatie en uitwisseling van de client uitschakelen, of de server zo aanpassen dat alleen minder veilige SMB 2-verbindingen worden geaccepteerd. Als je dat wilt doen, wijzig je de SMB Server-instellingen, de clientinstellingen of beide.
'Validate negotiate'-verzoeken uitschakelen op de client
Als je validatie en uitwisseling uitschakelt, vergroot dit het risico op man-in-the-middle-aanvallen. Je moet verzoeken voor validatie en uitwisseling alleen uitschakelen als zowel de client als de server zich op een beveiligd netwerk bevinden.
Gebruik een teksteditor of de app Terminal om de waarde van de instelling 'validate_neg_off' in het bestand 'nsmb.conf' in de map '/etc directory' te wijzigen. Raadpleeg de hoofdpagina van nsmb.conf voor meer SMB-configuratieopties aan clientzijde.
Wanneer je een nsmb.conf configureert om verzoeken voor validatie en uitwisseling uit te schakelen, ziet dat er als volgt uit:
[default]
validate_neg_off=yes
Je macOS Server zo instellen dat SMB 3-verbindingen worden geweigerd
'Validate negotiate'-verzoeken zijn een functie van SMB 3 en worden geïnitieerd door de client. Als je wilt voorkomen dat clients deze verzoeken doen, kun je macOS Server zo instellen dat alleen SMB 2-verbindingen worden geaccepteerd. Een bitveld in de servervoorkeuren bepaalt het serverdialect. Het trefwoord voor dit bitveld is ProtocolVersionMap. Er worden slechts 3 bits gebruikt:
Waarde | betekenis |
1 | Ondersteuning voor SMB 1 |
2 | Ondersteuning voor SMB 2 |
4 | Ondersteuning voor SMB 3 |
Combineer bits om meerdere dialecten te ondersteunen.
In dit voorbeeld wordt ProtocolVersionMap ingesteld om SMB 2 toe te staan. Hiervoor wordt ProtocolVersionMap ingesteld op '2':
sudo scutil --prefs com.apple.smb.server.plist
Ophalen /
d.add ProtocolVersionMap # 2
set /
commit
Pas toe
quit
Meer hulp nodig?
Vertel ons meer over wat er aan de hand is, zodat wij suggesties voor vervolgstappen kunnen doen.
