问题[samba4](server)

我们在 RedHat(RHEL7.9) 系统上使用 samba 配置，其中 SMB 身份验证基于 NTLM 密码哈希，该密码基本上是质询-响应身份验证的明文凭据，存储在单独的属性中，sambaNTPassword 在 LDAP （Oracle 统一目录）目录数据库。

因此，我们的安全团队进行了一些渗透测试，发现我们的 samba 使用的 MD4 可以被拦截，因为它携带的哈希值较弱。

除了身份验证之外，确保传输中的数据完整性和加密是 SMB 安全的重要组成部分，它再次依赖于 MD4 哈希。

以下是我的 samba 配置示例：

 cat /etc/samba/smb.conf

[global]
  log file                       = /var/log/samba/%m.log
  log level                      = 2
  max log size                   = 50
  netbios name                   = FDI0816
  server string                  = FDI0816.myorg.com
  workgroup                      = FDI

; ldap configuration
  invalid users                  = root +wheel
  encrypt passwords              = Yes
  guest account                  = nobody
  ldap admin dn                  = cn=sambaAdmin,ou=users,o=services
  ldap group suffix              = ou=Group
  ldap passwd sync               = only
  ldap ssl                       = no
  ldap suffix                    = ou=FDI,o=myorg
  ldap timeout                   = 4
  ldap user suffix               = ou=People
  map to guest                   = Bad User
  security                       = user
  passdb backend = ldapsam:"ldaps://ldap.FDI.myorg.com ldaps://ldap.rnd.myorg.com"

; client connection settings
  deadtime                       = 15
  dns proxy                      = No
  lm announce                    = No
  server min protocol            = SMB2

; shares default settings
  create mask                    = 0750
  directory mask                 = 2750
  posix locking                  = No
  strict allocate                = Yes
  unix extensions                = No
  wide links                     = Yes

; printers are disabled
  disable spoolss                = Yes
  load printers                  = No
  printcap name                  = /dev/null
  printing                       = bsd
  show add printer wizard        = No

[homes]
  browseable                     = No
  comment                        = Your Home
  create mode                    = 0640
  csc policy                     = disable
  directory mask                 = 0750
  public                         = No
  writeable                      = Yes

[proj]
  browseable                     = Yes
  comment                        = Project directories
  csc policy                     = disable
  path                           = /proj
  public                         = No
  writeable                      = Yes

[home]
  browseable                     = Yes
  comment                        = Project directories
  csc policy                     = disable
  path                           = /home
  public                         = No
  writeable                      = Yes

具有属性的 LDAP 端用户详细信息：

例子：

Attribute Description       value
sambaNTPassword             0735509A0ED9A577BD7D8GG7BC1T
uidNumber                   32222
userPassword                {RBKBD4-HMAC-SHA512)...

其他详情：

Samba Version: 4.10
Client side smb version: 2
Samba Server : RHEL7.9

如果有人遇到这个并有解决方案，那么我想寻求指导或建议来缓解这个问题。

更新后接收安全评估文件：

在阅读并通过渗透测试结果后，我了解到 pentester 为基于 LDAP 的用户提供了内部用户帐户，并发现了 LDAP（Oracle 统一目录）的弱点，他们发现“LDAP 匿名Null Bind”，因此他们发现可以通过 LDAP 服务检索关键信息，而无需提供任何身份验证凭据，因为它还支持具有 NULL 和空的基本对象的搜索请求，因此未经身份验证的攻击者甚至可以利用并获取任何先前的信息LDAP知识。

因此，获得了对 LDAP 服务器的访问权限，因为它允许 NULL/空基本连接到 LDAP 服务器，并转储了所有 LDAP 数据，很容易获得userPassword&的所有密码信息sambaNTPassword。

为了执行“pass-the-hash”攻击，使用了“Mimikatz”工具和浏览器“Internet Explorer”。

然而，有趣的是这里要强调的是，为了访问该组织，他们需要从外部访问 VPN，因此他们使用meterpreter工具绕过reverse https connectionPaylod。

我在 Ubuntu 18.04 (Samba 4.7.6) 上使用独立的 Samba 服务器。当员工离开公司时，他们的 Unix 帐户会被锁定（但不会被删除）。但是，他们的 Samba 帐户会通过 删除smbpasswd -x foo。从 Windows 查看已删除用户拥有的共享文件的属性时，所有者显示为foo (Unix User\foo)。但是，有一个已删除的用户显示为Account Unknown (S-...)。这种差异来自哪里，可以“修复”吗？此外，我注意到 SID 的最后四位数字与 Unix UID 不匹配。这正常吗？旁注：用户已全部通过smbpasswd -a foo.

众所周知，最新的 windows 10 升级已经使 samba 客户端拒绝起诉来宾帐户。一些组织甚至无法禁用此错误。这使得无法在 Linux 上为 win10 客户端创建公共 samba 共享。

You can't access this shared folder because your organization's security policies block unauthenticated guest access. These policies help protect your PC from unsafe or malicious devices on the network.

我尝试了几种解决方案，例如强制客户端使用 SMBv3 (不工作)，将 * 映射到现有的 unix 用户 (check_sam_security: Couldn't find user xxx in passdb.)。我也搜索了互联网，但没有得到任何关于 Linux 的信息。

我有这样的想法：让 smbd 服务器总是告诉 windows “登录成功”，而不是“登录失败，请使用访客帐户”。但我不知道如何配置 smbd 来做到这一点。

如果你对绕过这个win10限制有所了解，请给我一个提示。谢谢）

我使用 Samba4 创建了一个域，而 RSAT DNS 与该域完美配合，GPM 说“指定的域不存在或无法联系”。我怎样才能解决这个问题？

nslookup 返回

Server: UnKnown
Address: 192.168.0.100

Name: nexello.lan
Address: 192.168.0.100

具有 RSAT 的计算机已加入域，并且 RSAT DNS 可以编辑域 DNS，因此据我所知，该域正在工作。

我正在尝试将多个 Linux 设备加入到具有域登录和 Samba 文件共享功能的 Windows Active Directory 域。我试图避免在此处手动将 POSIX 属性添加到 AD 用户和组。虽然看起来很简单，可以使用 samba 的 autorid 后端执行，但基于 Redhat 的文档文件和打印服务器 - autorid 的缺点

与其他 Linux 设备相比，Autorid 会创建不一致的 uid 和 gid 属性。由于我希望域用户和组拥有的目录和文件的权限在所有成员之间保持一致，（从客户端到服务器，从客户端到客户端）不一致的生成属性对于我的环境是不可接受的。

表面上看，sssd 自动 id 映射（sssd.conf 中的 ldap_id_mapping = true）使用了一种算法，可以自动为跨多个 Linux 主机的域用户生成一致的 uid 和 gid 属性。我会使用它作为 samba 的后端——但是正如 Redhat 在他们的文档中所说，他们不建议这样做，因为 sssd 无法执行 NetBIOS 查找或 NTLM。 将 SMB 共享与 SSSD 和 Winbind 一起使用

因此，为了寻求一个理想的配置，允许跨多个 linux 域成员一致地自动生成 uid 和 gid 属性，但仍允许完整的域 samba 功能，有哪些选择？

我在 Windows 域中有一个 linux 服务器 (SLES12 SP5)。

>smbd -V
Version 4.10.5-git.192.26ffbcd72313.11.1-SUSE-SLE_12-x86_64

使用域用户访问 samba 共享非常有效。

不幸的是，如果处于活动状态，我无法使用本地 samba 用户访问共享valid users。

>useradd -r -g tomcat test
>smbpasswd -a test
>systemctl restart smb.service

>getent passwd test
test:x:480:1002::/home/test:/bin/bash

配置文件

[global]
    security = ADS
    realm = STL.BWL.NET
    workgroup = STL

    domain master = NO
    local master = NO
    preferred master = NO
    os level = 0

    template homedir = /home/%U
    template shell = /bin/bash
    kerberos method = secrets and keytab
    allow trusted domains = NO

    winbind enum users = YES
    winbind enum groups = YES
    winbind cache time = 10
    winbind use default domain = YES
    winbind refresh tickets = YES

    idmap config STL : backend = rid
    idmap config STL : range = 100000-400000

    idmap config * : backend = tdb
    idmap config * : range = 500000-800000

    ntlm auth = NO
    lanman auth = NO
    client use spnego = YES
    client ntlmv2 auth = YES
    encrypt passwords = YES
    restrict anonymous = 2
    usershare allow guests = NO

    printing = bsd
    printcap name = /dev/null

    map acl inherit = YES
    store dos attributes = YES
    ea support = YES

    public = NO
    browseable = YES
    writeable = YES
    guest ok = NO

    create mask = 0660
    directory mask = 0770

[web]
        path = /web
        valid users = @GRP_R13_QS STL1408

[tomcat]
        path = /web/tomcat
        valid users = test

我已经配置了功能齐全的 SAMBA AD DC 服务器。在 AD 配置过程中，我将 SAMBA_INTERNAL 设置为 DNS 后端。我无法使用“NONE DNS”，它不受支持。

我想在我的本地网络中使用外部（来自 SAMBA）DNS，这对本地网络（世界）外部也是可见的。

在我的外部 DNS 中，我为 SAMBA AD DC 设置了所有需要的 SRV 和 A 记录，并且它们也对本地网络的外部可见。此外，我已经向外部开放了所有需要的端口。

当我尝试将 Windows 计算机添加到本地域时，只能使用定义的 DNS（SAMBA AD DC 即 IP 10.0.0.9）但是如果我不想在 Windows 中指定 DNS 以将计算机添加到域怎么办？我的意思是我还想从本地网络外部添加具有自动定义的 DNS（即 8.8.8.8）的计算机。

如何配置此示例？

PS：错误：DNS名称不存在。（错误代码0x0000232B RCODE_NAME_ERROR）

我在 Fedora 服务器版上使用 samba。但我不明白为什么任何窗户都看不到它。它可以连接（直接，使用IP地址）。它基本上可以工作，但我在 linux（使用 nautilus）和 Windows 资源管理器上都看不到它们。

基本：

• 操作系统：Fedora 服务器版 32
• 主机名： bienenstock.local
• 桑巴：4.12.5-0.fc32.x64_64
• 防火墙正在运行（允许使用 samba - 我可以直接连接）
• SELinux 正在执行（在共享上读/写工作正常）

$ systemctl status nmb smb
● nmb.service - Samba NMB Daemon
     Loaded: loaded (/usr/lib/systemd/system/nmb.service; enabled; vendor preset: disabled)
     Active: active (running) since Mon 2020-07-13 11:31:32 CEST; 29min ago
       Docs: man:nmbd(8)
             man:samba(7)
             man:smb.conf(5)
   Main PID: 2577 (nmbd)
     Status: "nmbd: ready to serve connections..."
      Tasks: 2 (limit: 4516)
     Memory: 4.0M
        CPU: 568ms
     CGroup: /system.slice/nmb.service
             ├─2577 /usr/sbin/nmbd --foreground --no-process-group
             └─2586 /usr/sbin/nmbd --foreground --no-process-group

Jul 13 11:47:04 bienenstock.local nmbd[2577]: [2020/07/13 11:47:04.016820,  0] ../../source3/nmbd/nmbd_browsesync.c:354(find_domain_master_name_query_fail)
Jul 13 11:47:04 bienenstock.local nmbd[2577]:   find_domain_master_name_query_fail:
Jul 13 11:47:04 bienenstock.local nmbd[2577]:   Unable to find the Domain Master Browser name WORKGROUP<1b> for the workgroup WORKGROUP.
Jul 13 11:47:04 bienenstock.local nmbd[2577]:   Unable to sync browse lists in this workgroup.

● smb.service - Samba SMB Daemon
     Loaded: loaded (/usr/lib/systemd/system/smb.service; enabled; vendor preset: disabled)
     Active: active (running) since Mon 2020-07-13 11:31:33 CEST; 29min ago
       Docs: man:smbd(8)
             man:samba(7)
             man:smb.conf(5)
   Main PID: 2587 (smbd)
     Status: "smbd: ready to serve connections..."
      Tasks: 5 (limit: 4516)
     Memory: 9.2M
        CPU: 409ms
     CGroup: /system.slice/smb.service
             ├─2587 /usr/sbin/smbd --foreground --no-process-group
             ├─2598 /usr/sbin/smbd --foreground --no-process-group
             ├─2600 /usr/sbin/smbd --foreground --no-process-group
             ├─2602 /usr/sbin/smbd --foreground --no-process-group
             └─2669 /usr/sbin/smbd --foreground --no-process-group

Jul 13 11:31:32 bienenstock.local systemd[1]: Starting Samba SMB Daemon...
Jul 13 11:31:33 bienenstock.local systemd[1]: Started Samba SMB Daemon.
Jul 13 11:31:33 bienenstock.local smbd[2587]: [2020/07/13 11:31:33.151454,  0] ../../lib/util/become_daemon.c:135(daemon_ready)
Jul 13 11:31:33 bienenstock.local smbd[2587]:   daemon_ready: daemon 'smbd' finished starting up and ready to serve connections

testparm -s
Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
Server role: ROLE_STANDALONE

# Global parameters
[global]
    add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %m$
    domain master = No
    load printers = No
    logging = systemd
    logon drive = P:
    logon home = \\%L\%U\.9xprofile
    logon path = \\%L\profiles\.msprofile
    map to guest = Bad User
    name resolve order = bcast host
    printcap name = /dev/null
    server min protocol = SMB2
    usershare owner only = No
    wins support = Yes
    idmap config * : backend = tdb
    create mask = 0774
    directory mask = 0774
    hosts allow = localhost 192.168.25.
    include = /etc/samba/dhcp.conf
    invalid users = bin daemon ftp games lp mail man messagebus news ntp postfix root sshd statd usbmux uucp wwwrun avahi plex
    printing = bsd
    valid users = meh bine

[homenet]
    comment = Homenet
    path = /srv/homenet
    write list = meh bine

## and some others, but for sake of length of this writing I reduced the length

如您所见，两个守护程序都已启动并正在运行（您我不明白为什么“域主名称查询”失败...... - 可能是相关的？）。

可悲的是，上网只发现与 samba、SELinux 等相关的问题。但这有效，唯一不能在 windows explorer 或 nautilus 上宣布它。我错过了什么？

先感谢您！

试图运行 samba AD DC 但我被卡住了。创建域配置后，我定义了 resolv.conf：

cat /etc/resolv.conf
nameserver 10.99.0.30
search example.com

服务运行：

samba-ad-dc.service - Samba Active Directory Domain Controller
   Loaded: loaded (/etc/systemd/system/samba-ad-dc.service; enabled; vendor preset: disabled)
   Active: active (running)

DNS记录的查询似乎很好：

$ host -t SRV _ldap._tcp.example.com.
_ldap._tcp.random.example.com has SRV record 0 100 389 random.example.com.

$ host -t SRV _kerberos._udp.example.com.
_kerberos._udp.random.example.com has SRV record 0 100 88 random.example.com.

$ host -t A random.example.com.
dc1.random.example.com has address 10.99.0.30

当我做netstat时：

netstat -tulpn | grep ":53"
tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN      34599/samba: task[d
tcp6       0      0 :::53                   :::*                    LISTEN      34599/samba: task[d
udp        0      0 0.0.0.0:53              0.0.0.0:*                           34599/samba: task[d
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           745/avahi-daemon: r
udp6       0      0 :::53                   :::*                                34599/samba: task[d
udp6       0      0 :::5353                 :::*                                745/avahi-daemon: r

应该是 netstat 中 DNS(local) 10.99.0.30 的确切 IP 地址中的本地地址，例如 10.99.0.30:53 吗？

当我尝试从 WINDOWS 主机加入 AD 时，我得到了：

- The query was for the SRV record for _ldap._tcp.dc._msdcs.example.com
- The following domain controllers were identified by the query:
  (no Active Directory Domain Controllers found)
- Host (A) or (AAAA) records that map the names of the domain controllers to 
  their IP addresses are missing or contain incorrect addresses.
- Domain controllers registered in DNS are not connected to the network or are not running.

我什至无法通过 ping 解析 example.com。

注意：最初发布在 StackExchange 上。我不确定哪个位置更合适，如果重复导致问题，我深表歉意。

TL;DR：Time Machine 无法在我的共享驱动器上创建新备份，但可以添加到现有备份。

我正在运行 macOS Catalina，我的 Time Machine 使用 NetAtalk 和 Avahi 备份到 Debian 10 服务器。由于 Mavericks macOS 更喜欢 SMB，并且考虑到 SMB 稍微快一些，我决定改用 SMB 来获取 Time Machine 共享。在新的 AFP 共享上，我可以在“系统偏好设置”中启动新的 Time Machine 备份，它会创建一个新的 .sparseimage，而不会抱怨。

如果我使用完全相同的目录 (/usr/local/smb)、相同的权限等，并创建一个 samba 共享，当 Time Machine 尝试创建新备份时，它会给出错误：“Time Machine 无法完成备份到 SERVER.local。无法创建备份磁盘映像。”

如果我首先使用 AFP 连接到共享并进行初始备份，然后我可以连接 SMB 并添加后续增量备份而不会出错。我认为可能是权限问题，但出于调试目的，我将 /usr/local/smb 设置为 0777 并且仍然出现错误。

ls -la显示共享点的权限：

drwxrwxrwx  5 root smbusers 4096 Apr  3 12:35 smb

我在日志中发现以下可能有用的错误：

Failed to create '/Volumes/.timemachine/SERVER._smb._tcp.local/DDE06691-7411-41DD-8419-24FEFC21CE29/TimeMachine Set A - SMB/8E394711-7E3F-520B-800C-192D4F680177.sparsebundle', results: {
}, error: 13 Permission denied

afp.conf：

[Global]
; Global server settings
vol preset = default_for_all
log file = /var/log/netatalk.log
uam list = uams_dhx2.so,uams_clrtxt.so
save password = no

[default_for_all]
file perm = 0664
directory perm = 0774
cnid scheme = dbd

[Time Machine Set A - AFP]
path = /usr/local/smb
time machine = yes
vol size limit = 4000000

我正在使用这个 GitHub 中建议的一些 smb.conf 选项：https ://gist.github.com/ChloeTigre/4c2022c0d1a281deedba6f7539a2e3ae

smb.conf：

[global]

## Browsing/Identification ###

# Change this to the workgroup/NT-domain name your Samba server will part of
   workgroup = WORKGROUP
   wins support = yes

#### Debugging/Accounting ####

# This tells Samba to use a separate log file for each machine
# that connects
   log file = /var/log/samba/log.%m

# Cap the size of the individual log files (in KiB).
   max log size = 1000

# We want Samba to only log to /var/log/samba/log.{smbd,nmbd}.
# Append syslog@1 if you want important messages to be sent to syslog too.
   logging = file

# Do something sensible when Samba crashes: mail the admin a backtrace
   panic action = /usr/share/samba/panic-action %d

###MacOS compatability stuff
guest account = smbguest
min protocol = SMB2
map acl inherit = yes
vfs objects = catia fruit streams_xattr  
fruit:metadata = netatalk
fruit:model = MacSamba
fruit:posix_rename = yes 
fruit:veto_appledouble = yes

durable handles = yes
kernel oplocks = no
kernel share modes =no
posix locking = no
smb2 leases = yes


#Turned off for testing compatability
#fruit:wipe_intentionally_left_blank_rfork = yes 
#fruit:delete_empty_adfiles = yes 

####### Authentication #######

# Server role. Defines in which mode Samba will operate. Possible
# values are "standalone server", "member server", "classic primary
# domain controller", "classic backup domain controller", "active
# directory domain controller". 
#
# Most people will want "standalone server" or "member server".
# Running as "active directory domain controller" will require first
# running "samba-tool domain provision" to wipe databases and create a
# new domain.
   server role = standalone server

   obey pam restrictions = yes

# This boolean parameter controls whether Samba attempts to sync the Unix
# password with the SMB password when the encrypted SMB password in the
# passdb is changed.
   unix password sync = yes

# For Unix password sync to work on a Debian GNU/Linux system, the following
# parameters must be set (thanks to Ian Kahan <<[email protected]> for
# sending the correct chat script for the passwd program in Debian Sarge).
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .

# This boolean controls whether PAM will be used for password changes
# when requested by an SMB client instead of the program listed in
# 'passwd program'. The default is 'no'.
   pam password change = yes

# This option controls how unsuccessful authentication attempts are mapped
# to anonymous connections
   map to guest = bad user

######Security#######
security = user
valid users = @smbusers
username map = /etc/samba/users.map
guest ok = no

# Allow users who've been granted usershare privileges to create
# public shares, not just authenticated ones
   usershare allow guests = yes

#======================= Share Definitions =======================

[TimeMachine Set A - SMB]
path = /usr/local/smb
comment = SMB Time Machine Destination Set A
browsable = yes
writeable = yes
create mode = 0664     #tried turning this off, no fix
directory mode = 0777  #tried turning this off, no fix
vfs objects = catia fruit streams_xattr
fruit:aapl = yes
fruit:time machine = yes
#guest ok = yes
fruit:time machine max size = 3.9T  #tried turning this off, no fix
inherit acls = yes