SMBv1 per UCR deaktivieren?

german
samba

#1

Hallo,
zum aktuellen Thema…
SMBv1 kann ja normalerweise in der smb.conf durch

min protocol = SMB2

abgeschaltet werden. Ist das auch per UCR möglich und hat das keine vorhersehbaren, negativen Nebenwirkungen?
VG,
TP


#2

Die Einstellung kann nicht per UCR gesetzt werden, Sie können sie aber selbst nach /etc/samba/local.config.d/global.local.config.conf oder /etc/samba/local.config.conf schreiben. Dies sollte nicht durch Updates überschrieben werden. Die Einstellung gehört in eine [global] Sektion.

Ob min protocol = SMB2 Auswirkungen hat, hängt von Ihren Clients ab. Wenn alle Windows Vista oder neuer sind, sollte es keine Probleme geben.

Gruß
Daniel Tröder


#3

Hallo,

muss danach noch ein ucr commit erfolgen damit testparm die Änderung anzeigt?

Uch versuche das gersde auf einem UCS 4.1-4 errata410 nachzuvollziehen.

Danke
Ulf


#4

Danke für die prompte Antwort!

da /etc/samba/local.config.d/global.local.config.conf noch nicht angelegt war, habe ich die /etc/samba/local.config.conf verwendet:

[global]
min protocol = SMB2

#5

Anbetracht der aktuellen Umstände wäre es vielleicht ganz sinnvoll, die Möglichkeit, SMB1 per UCR abzuschalten, mit einem Update nachzurüsten bevor jetzt alle eine entsprechende local.config.conf anlegen.


#6

Ja, sehe ich ähnlich:

https://forge.univention.org/bugzilla/show_bug.cgi?id=44591


#7

Hallo Allerseits,

vielleicht stehe ich gerade auf dem Schlauch, aber weder /etc/samba/local.config.d/global.local.config.conf noch /etc/samba/local.config.conf werden tatsächlich eingebunden, oder? Jedenfalls kann ich keinen Hinweis in der generierten smb.conf finden.

lG
Sebastian


#8

Das ist leider korrekt. Die dafür notwendigen include-Anweisungen gibt es leider nicht. Die local.conf oder so ähnlich wird hingegen auch als Template verwaltet automatisch dann angelegt, wenn gewisse UCR-Variablen gesetzt sind. Siehe /etc/univention/templates/info/univention-samba-local-config.info.

Was man aber machen kann, ist eine eigene Vorlage dafür anzulegen:

  1. Eine neue Datei in /etc/univention/templates/files/etc/samba/smb.conf.d/ anlegen, z.B. 65mycompany, und dort die gewünschten Einstellungen ergänzen
  2. Diese Datei in einer neuen Datei in /etc/univention/templates/info/ registrieren (analog dazu, die wie anderen Dateien aus …/smb.conf.d registriert sind, siehe Inhalt von …/info/univention-samba4.info
  3. Einmal ucr commit /etc/samba/smb.conf

Gruß,
mosu


#9

Ich warte dann mal auf die Lösung per UCR… :wink:


#10

Moin,

heute wurde das Errata 19 für 4.2 herausgegeben. Dabei wurden auch neue UCR-Variablen fürs Protokoll eingeführt. Damit kann man nun SMBv1 ausschalten, ohne die Templates anpassen bzw. ergänzen zu müssen.

Gruß,
mosu


#11

…und Errata 422 für 4.1 tut das gleiche. Ich gehe mal davon aus, dass auch für 4.0 heute noch ein entsprechendes Errata folgen wird.


#12

Hallo,

4.0 ist End-of-Life, da gibt es keine Errata mehr.


#13

Ups :slight_smile: Right. Die Wiki-Seite kannte ich sogar noch nicht mal. Vor einer Weile hatte ich mal versucht, genau das für einen Kunden herauszufinden, aber über die normale Univention-Webseite war das praktisch nicht möglich; da war nirgends die Rede davon, wie lange welche Version denn supportet wird. Auch bei Neuankündigungen wie v4.2 steht nichts davon, bis wann es supportet wird.


#14

Hallo,

danke an Univention für den schnellen Einbau in die UCR!

Frage, wie im Bugtracker schon angekündigt, haben wir diese Anmerkung:

Please be aware that raising samba/min/protocol e.g. to SMB2 also requires raising samba/client/max/protocol to that value or higher.

Nun sollte in den letzten Samba-Versionen per default schon die maximal mögliche Protokollversion eingestellt sein: “The default was changed to ‘SMB3_11’ when 4.3.0 was released.”.

Trotzdem habe ich vorsichtshalber die Werte mal so gesetzt:

Sowohl Windows PowerShell “get-smbconnection” als auch UCS Samba “testparm” scheinen nun zu passen, trotzdem wäre etwas Hintergrundinfo nicht verkehrt - denn für weitere Versionssprünge wäre es natürlich praktisch, wenn die “max”-Werte immer automatisch auf den für UCS maximal möglichen stehen würden.

VG,
TP


#15

Also bei mir funktioniert der SMB-Dienst danach nicht mehr:

ucr set samba/min/protocol='SMB2' samba/client/max/protocol='SMB3' samba/client/min/protocol='SMB2'

samba/max/protocol hat den Wert SMB3


#16

Startet Samba nicht mehr nach den Änderungen? Was sagt das syslog, log. samba, log.smbd - irgendwelche Hinweise?


#17

Ich muß mich korrigieren. Von Windows aus funktioniert der Zugriff doch. Aber nicht von UCC aus mit dolphin


#18

Das sieht nach diesem Bug hier aus.