总括:
该mount.smb3命令是否与策略SmbServerNameHardeningLevel设置为 2 的 Windows 端点兼容?我怎样才能让它发挥作用?
错误描述:
我在 Ubuntu Desktop 22.04.1 上尝试挂载驻留在 Windows 11 计算机上的 samba 文件夹,但我不断收到错误mount error(13): Permission denied
我正在使用的命令是:
sudo mount.smb3 //IP4ADDRESS/FOLDER_NAME /mnt/target/ -o credentials=~/.smbcredentials
凭证文件包含
username=MyUser
password=TheSecr3t
workgroup=WORKGROUP
当我查看目标计算机上的事件查看器时,我可以看到由于 Windows 11 计算机管理员设置的策略,连接被拒绝:Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SmbServerNameHardeningLevel值设置为2。
Error de autenticación de sesión SMB (SMB session authentication error)
Nombre de cliente (Name of client): \\IP4ADDRESS
Dirección de cliente (Address of client): IP4ADDRESS:50302
Nombre de usuario (Username): MyUser
Id. de sesión (Session ID): 0xB80010000035
Estado (Status): {Acceso denegado} (Access Denied)
Un proceso ha solicitado acceso a un objeto, pero no se le han concedido esos derechos de acceso. (0xC0000022) / A process has requested access to an object, but it was not granted access rights (0xC0000022)
SPN:
Directiva de validación de SPN (SPN validation directive): SPN required / validate full
我尝试过的以及我所知道的:
我知道错误是不是一个明显的问题,例如 的权限/mnt/target、我正在使用的凭据或共享文件夹的设置。如何?
如果我要求Windows 11机器的管理员通过注册表暂时降级,该
SmbServerNameHardeningLevel命令完美运行!然而,这不是一个选择,因为降级每隔一段时间就会被全局安全策略覆盖。1mount.smb3如果我使用
gio作为替代安装机制,它工作正常!
echo -e "MyUser\nWORKGROUP\nTheSecre3t" | gio mount smb://IP4ADDRESS/FOLDER_NAME
我遇到的问题是,挂载仅对挂载用户可见,因为它可在$XDG_RUNTIME_DIR/gvfs- 我想让 Ubuntu 计算机的所有用户访问挂载位置。
- 考虑到我有一个有效的情况和一个无效的情况,我使用wireshark来捕获这两种情况的数据包,并且我可以看到
gio除了使用GSSAPI之外,有效的命令正在发送一个Target Name属性作为NTLMv2的一部分响应,而mount.smb3命令不是,我很确定这就是为什么当安全策略设置为 时后者不起作用2。
gio这是命令的数据包捕获的屏幕截图做工作。
这是mount.smb3那个才不是
如果我是对的,我想问题是,我怎样才能强制mount.smb3发送SPN?
更多文献:
这些链接似乎证实了我所描述的内容,但我找不到修复方法。 GSSAPI 似乎正确支持 SPN,这就是它gio起作用的原因。
https://github.com/gssapi/gss-ntlmssp/issues/67#issuecomment-1068512627
https://github.com/jborean93/smbprotocol/issues/169#issuecomment-1067860089
附:我尝试过使用 DNS 名称而不是 IP 地址,因为我多次读到这样的细节可能会影响 NTLM 的协商方式,但这似乎不起作用。
任何帮助表示赞赏。感谢您花时间阅读这篇文章。