SMBv1 per UCR deaktivieren?

Hallo,
zum aktuellen Thema…
SMBv1 kann ja normalerweise in der smb.conf durch

min protocol = SMB2

abgeschaltet werden. Ist das auch per UCR möglich und hat das keine vorhersehbaren, negativen Nebenwirkungen?
VG,
TP

Die Einstellung kann nicht per UCR gesetzt werden, Sie können sie aber selbst nach /etc/samba/local.config.d/global.local.config.conf oder /etc/samba/local.config.conf schreiben. Dies sollte nicht durch Updates überschrieben werden. Die Einstellung gehört in eine [global] Sektion.

Ob min protocol = SMB2 Auswirkungen hat, hängt von Ihren Clients ab. Wenn alle Windows Vista oder neuer sind, sollte es keine Probleme geben.

Gruß
Daniel Tröder

2 Likes

Hallo,

muss danach noch ein ucr commit erfolgen damit testparm die Änderung anzeigt?

Uch versuche das gersde auf einem UCS 4.1-4 errata410 nachzuvollziehen.

Danke
Ulf

Danke für die prompte Antwort!

da /etc/samba/local.config.d/global.local.config.conf noch nicht angelegt war, habe ich die /etc/samba/local.config.conf verwendet:

[global]
min protocol = SMB2

Anbetracht der aktuellen Umstände wäre es vielleicht ganz sinnvoll, die Möglichkeit, SMB1 per UCR abzuschalten, mit einem Update nachzurüsten bevor jetzt alle eine entsprechende local.config.conf anlegen.

1 Like

Ja, sehe ich ähnlich:

https://forge.univention.org/bugzilla/show_bug.cgi?id=44591

3 Likes

Hallo Allerseits,

vielleicht stehe ich gerade auf dem Schlauch, aber weder /etc/samba/local.config.d/global.local.config.conf noch /etc/samba/local.config.conf werden tatsächlich eingebunden, oder? Jedenfalls kann ich keinen Hinweis in der generierten smb.conf finden.

lG
Sebastian

Das ist leider korrekt. Die dafür notwendigen include-Anweisungen gibt es leider nicht. Die local.conf oder so ähnlich wird hingegen auch als Template verwaltet automatisch dann angelegt, wenn gewisse UCR-Variablen gesetzt sind. Siehe /etc/univention/templates/info/univention-samba-local-config.info.

Was man aber machen kann, ist eine eigene Vorlage dafür anzulegen:

  1. Eine neue Datei in /etc/univention/templates/files/etc/samba/smb.conf.d/ anlegen, z.B. 65mycompany, und dort die gewünschten Einstellungen ergänzen
  2. Diese Datei in einer neuen Datei in /etc/univention/templates/info/ registrieren (analog dazu, die wie anderen Dateien aus …/smb.conf.d registriert sind, siehe Inhalt von …/info/univention-samba4.info
  3. Einmal ucr commit /etc/samba/smb.conf

Gruß,
mosu

2 Likes

Ich warte dann mal auf die Lösung per UCR… :wink:

Moin,

heute wurde das Errata 19 für 4.2 herausgegeben. Dabei wurden auch neue UCR-Variablen fürs Protokoll eingeführt. Damit kann man nun SMBv1 ausschalten, ohne die Templates anpassen bzw. ergänzen zu müssen.

Gruß,
mosu

1 Like

…und Errata 422 für 4.1 tut das gleiche. Ich gehe mal davon aus, dass auch für 4.0 heute noch ein entsprechendes Errata folgen wird.

1 Like

Hallo,

4.0 ist End-of-Life, da gibt es keine Errata mehr.

Ups :slight_smile: Right. Die Wiki-Seite kannte ich sogar noch nicht mal. Vor einer Weile hatte ich mal versucht, genau das für einen Kunden herauszufinden, aber über die normale Univention-Webseite war das praktisch nicht möglich; da war nirgends die Rede davon, wie lange welche Version denn supportet wird. Auch bei Neuankündigungen wie v4.2 steht nichts davon, bis wann es supportet wird.

Hallo,

danke an Univention für den schnellen Einbau in die UCR!

Frage, wie im Bugtracker schon angekündigt, haben wir diese Anmerkung:

Please be aware that raising samba/min/protocol e.g. to SMB2 also requires raising samba/client/max/protocol to that value or higher.

Nun sollte in den letzten Samba-Versionen per default schon die maximal mögliche Protokollversion eingestellt sein: “The default was changed to ‘SMB3_11’ when 4.3.0 was released.”.

Trotzdem habe ich vorsichtshalber die Werte mal so gesetzt:

Sowohl Windows PowerShell “get-smbconnection” als auch UCS Samba “testparm” scheinen nun zu passen, trotzdem wäre etwas Hintergrundinfo nicht verkehrt - denn für weitere Versionssprünge wäre es natürlich praktisch, wenn die “max”-Werte immer automatisch auf den für UCS maximal möglichen stehen würden.

VG,
TP

Also bei mir funktioniert der SMB-Dienst danach nicht mehr:

ucr set samba/min/protocol='SMB2' samba/client/max/protocol='SMB3' samba/client/min/protocol='SMB2'

samba/max/protocol hat den Wert SMB3

Startet Samba nicht mehr nach den Änderungen? Was sagt das syslog, log. samba, log.smbd - irgendwelche Hinweise?

Ich muß mich korrigieren. Von Windows aus funktioniert der Zugriff doch. Aber nicht von UCC aus mit dolphin

Das sieht nach diesem Bug hier aus.

1 Like