新しいフォルダを作り、別のフォルダにあるファイルを複製して、それを新しいフォルダに移動すると必ずサーバーは接続したまま操作ができなくなる。

新しいフォルダを作り、別のフォルダにあるファイルを複製して、それを新しいフォルダに移動すると必ずサーバーは接続したまま操作ができなくなる。

Rocky Linux release 8.7 (Green Obsidian)
Samba Version 4.16.4

[2022/12/12 09:31:58.563734, 2] ../../source3/auth/auth.c:348(auth_check_ntlm_password)
check_ntlm_password: Authentication for user [GUEST] -> [GUEST] FAILED with error NT_STATUS_NO_SUCH_USER, authoritative=1
[2022/12/12 09:31:58.563759, 2] ../../auth/auth_log.c:665(log_authentication_event_human_readable)
Auth: [SMB2,(null)] user []\[GUEST] at [月, 12 12月 2022 09:31:58.563752 JST] with [NTLMv2] status [NT_STATUS_NO_SUCH_USER] workstation [IMACSEIJI] remote host [ipv4:192.168.24.29:49782] mapped to []\[GUEST]. local host [ipv4:192.168.24.203:445]
{“timestamp”: “2022-12-12T09:31:58.563781+0900”, “type”: “Authentication”, “Authentication”: {“version”: {“major”: 1, “minor”: 2}, “eventId”: 4625, “logonId”: “0”, “logonType”: 3, “status”: “NT_STATUS_NO_SUCH_USER”, “localAddress”: “ipv4:192.168.24.203:445”, “remoteAddress”: “ipv4:192.168.24.29:49782”, “serviceDescription”: “SMB2”, “authDescription”: null, “clientDomain”: “”, “clientAccount”: “GUEST”, “workstation”: “IMACSEIJI”, “becameAccount”: null, “becameDomain”: null, “becameSid”: null, “mappedAccount”: “GUEST”, “mappedDomain”: “”, “netlogonComputer”: null, “netlogonTrustAccount”: null, “netlogonNegotiateFlags”: “0x00000000”, “netlogonSecureChannelType”: 0, “netlogonTrustAccountSid”: null, “passwordType”: “NTLMv2”, “duration”: 3022}}
[2022/12/12 09:31:58.563970, 2] ../../source3/param/loadparm.c:2890(lp_do_section)
Processing section “[A3-Linux-SMB]”
[2022/12/12 09:31:58.564054, 2] ../../source3/param/loadparm.c:2890(lp_do_section)
Processing section “[A3-MacWin-SMB]”

/etc/samba/smb.conf

# See smb.conf.example for a more detailed config file or
# read the smb.conf manpage.
# Run ‘testparm’ to verify the config is correct after
# you modified it.

[global]
dos charset = CP932
unix charset = UTF8
security = user
wide links = yes
unix extensions = no
guest account = nobody
hide files = /.AppleDB/.AppleDouble/.AppleDesktop/Network Trash Folder/TheFindByContentFolder/TheVolumeSettingsFolder/Temporary Items/.TemporaryItems/.VolumeIcon.icns/Icon?/.FBCIndex/.FBCLockFolder/:2eES_Store/.DS_Store/.Trashes/..Trashes
veto files = /lost+found/
delete veto files = yes

oplocks = no
kernel oplocks = no
level2 oplocks = no

ea support = Yes
store dos attributes = Yes
map archive = No
map read only = No
map acl inherit = Yes

workgroup = WINWORKGROUP

server string = A3 SMB Server

interfaces = 127.0.0.1/8 192.168.24.0/24

os level = 0
local master = no
preferred master = no

log level = 2
log file = /var/log/samba/log.%m
max log size = 1000
logging = file

panic action = /usr/share/samba/panic-action %d

server role = standalone server

obey pam restrictions = no

pam password change = no

map to guest = Bad User

logon path = \%N\%U\profile

logon home = \%N\%U

usershare max shares = 100

usershare allow guests = yes

printcap cache time = 0

spotlight backend = elasticsearch

elasticsearch:index = files
elasticsearch:address = 192.168.24.203
elasticsearch:port = 9200

[A3-Linux-SMB]
path = /home2/A3-linux-doc/A3-Linux
read only = no
guest ok = yes
guest only = yes
browseable = yes
writable = yes
wide links = yes
follow symlinks = yes
spotlight = yes
printable = no
force create mode = 0777
force directory mode = 0777
ea support = yes
vfs objects = acl_xattr catia fruit streams_xattr recycle
fruit:resource = file
fruit:metadata = netatalk
fruit:locking = netatalk
fruit:encoding = native
fruit:wipe_intentionally_left_blank_rfork = yes
fruit:delete_empty_adfiles = yes
streams_xattr:prefix = user.
streams_xattr:store_stream_type = no

[A3-MacWin-SMB]
path = /home2/A3-linux-doc/A3-MacWin
read only = no
guest ok = yes
guest only = yes
browseable = yes
writable = yes
wide links = yes
follow symlinks = yes
spotlight = yes
printable = no
force create mode = 0777
force directory mode = 0777
ea support = yes
vfs objects = acl_xattr catia fruit streams_xattr recycle
fruit:resource = file
fruit:metadata = netatalk
fruit:locking = netatalk
fruit:encoding = native
fruit:wipe_intentionally_left_blank_rfork = yes
fruit:delete_empty_adfiles = yes
streams_xattr:prefix = user.
streams_xattr:store_stream_type = no

Linux、Netatalk、Samba、NFSを使用したファイルサーバーについて研究・運用しています。

fsをフォローする
課題ログ
fs

コメント

  1. fs より:
    2022-12-12 11:54

    [global]欄にて以下内容を追記すると接続できるようになった方がおられた。

    ntlm auth = yes

    試してみよう。

  2. fs より:
    2022-12-12 11:55

    https://teratail.com/questions/336823

  3. fs より:
    2022-12-12 12:05

    http://www.samba.gr.jp/project/translation/current/htmldocs/manpages/smb.conf.5.html

    ntlm auth (G)
    smbd(8) がローカル passdb(SAM すなわち アカウントデータベース)に対して、NTLM レスポンスを用いたユーザー認証を 行なうかどうかを設定する。

    このパラメーターを無効にした場合は、ローカル passdb に対しての NTLM 認証と LanMan 認証の両方が無効になる。

    この設定はあくまでローカルユーザーに対して適用されるものであって、 参加しているドメインにおける認証は、どのようなドメインであってもフォワード され NTLM 認証が行われる。信頼されるドメインであれば、このパラメーター設定 が無効であったり、NTLMv2 認証のみに設定されていても構わない。 ドメインユーザーに対する NTLM 認証を制御するには、このパラメーターを各 DC において設定する必要がある。

    lanman auth を no と設定し、 ntlm auth を ntlmv2-only と設定する のが既定値であり、この場合 NTLMv2 によるログインのみが許可される。 たいていのクライアントは NTLMv2 を既定としてサポートしているが、 古いクライアントの中には特別な設定を必要とするものもある。

    NTLMv1 は、VPN や 802.1X で用いられる MS-CHAPv2 で主に利用されている。

    利用可能な設定は以下のとおり。

    警告: Microsoft Windows と Samba の リードオンリドメインコントローラ (RODC) の両方とも、平文による LDAP の単純なバインド をNTLMv2 認証に 変換して、完全な DC に転送する。このオプションを 無効 にすると、それらの認証情報の転送は失敗 する。

    さらに、Samba が Active Directory ドメインコントローラとして 動作している場合、ユーザアカウントに対して、 nt hash store が既定の設定 autoだった場合、新規ユーザ用またはパスワード 変更後に、NT ハッシュは、 sam.ldb データベースに 格納されない。

    ntlmv1-permitted (yes の別名)- 全クライアントに対し、NTLMv1 以上の認証を許可する。

    ntlmv2-only (no の別名)- NTLMv1 の利用を許可せず NTLMv2 の利用を許可する。

    mschapv2-and-ntlmv2-only – クライアントが(ntlm_auth ツール のような)MSCHAPv2 認証を提供することが確実である場合に限って NTLMv1 認証を行う。

    disabled – NTLM(または LanMan)の どのようなレベルであっても認証を受けつけない。また NTLM パスワード の変更も受けつけない。

    Samba 4.5 において、既定値が yes から no に変更された。Samba 4.7 からはさらに ntlmv2-only に変更されたが、その動作は変わって いない。

    既定値: ntlm auth = ntlmv2-only

  4. fs より:
    2022-12-12 13:46

    https://www.osstech.co.jp/download/updates/docs/samba/OSTD-Samba-Linux-InstallGuide.pdf

    6.3 client lanman auth、client plaintext auth、lanman auth

    Samba 3.2.0 以降、セキュリティ強化のために LANMAN 認証およびクリアテキストパスワードの利用を禁止
    するため、「client lanman auth」、「client plaintext auth」、「lanman auth」の各パラメーターのデフォルト値が
    「no」に変更されました。この結果、古い Windows クライアントからのアクセス時に Samba サーバーでの認
    証に失敗することがあります。
    そのような旧式のクライアントから利用する場合は、smb.conf の [global] セクションに以下の各パラメーターを設定してください。

    [global]
    client lanman auth = yes
    lanman auth = yes
    client plaintext auth = yes

    6.4 ntlm auth

    Samba 4.5.0 以降、セキュリティ強化のために NTLMv1 認証の利用を禁止するため、「ntlm auth」のパラメー
    ターのデフォルト値が「ntlmv2-only」に変更されました。この結果、古い Windows クライアントからのアク
    セス時に Samba サーバーでの認証に失敗することがあります。
    そのような旧式のクライアントから利用する場合は、smb.conf の [global] セクションに以下の各パラメー
    ターを設定してください。

    [global]
    ntlm auth = ntlmv1-permitted