SAMBA：共有匿名ブラウジングを無効にしますか？

2024-6-4 • tag-icon

Samba 2:4.7.6を使用したUbuntu 18.04.3 LTSベースのLubuntuディストリビューション

共有を列挙するときにSambaに有効な資格情報を要求するように強制する方法はありますか？

問題：Windows 10バージョン1903はセッション資格情報をキャッシュします。 SMBサーバーの共有を取得するときは、EnumShares2キャッシュされた匿名資格情報（）を使用して共有を列挙します。認証が必要な共有への後続の接続試行は、次のメッセージで失敗します。

同じユーザーが複数のユーザー名を使用してサーバーまたは共有リソースに複数回接続することはできません。サーバーまたは共有リソースへの以前の接続を切断して、もう一度やり直してください。

Windows 10 1903では、コンピュータを再起動する以外に、Windowsが匿名セッションを強制的に無効にする方法がないようです。

Windows 1703（Server 2016？、不明）以降、共有の匿名検索が無効になっているため、リモートWindowsシステムで共有を列挙するとこの問題は発生しません。

実際、Sambaが匿名資格情報で共有を列挙しないように説得できない限り、Windows 10はSamba共有にほとんど100％アクセスできません。これは、最初にサーバー共有を検索しないと共有に接続できないためです。

/var/log/samba ログファイルには明らかなエラーはありません。

@smbgroupには、共有アクセス用に特別に作成されたユーザー「smb」が1つだけ含まれています。

私のsmb.confは次のようになります。

[global]

## Browsing/Identification ###

# Change this to the workgroup/NT-domain name your Samba server will part of
   workgroup = WORKGROUP

# server string is the equivalent of the NT Description field
    server string = %h server (Samba, Ubuntu)

# Windows Internet Name Serving Support Section:
# WINS Support - Tells the NMBD component of Samba to enable its WINS Server
   wins support = no

# WINS Server - Tells the NMBD components of Samba to be a WINS Client
# Note: Samba can be either a WINS Server, or a WINS Client, but NOT both
;   wins server = w.x.y.z

# This will prevent nmbd to search for NetBIOS names through DNS.
   dns proxy = yes

   interfaces = 127.0.0.0/8 eth0

   log file = /var/log/samba/log.%m

   max log size = 1000

   syslog = 0
   panic action = /usr/share/samba/panic-action %d


####### Authentication #######
   server role = standalone server

   obey pam restrictions = yes
   unix password sync = yes
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .

   pam password change = yes

   map to guest = bad user


# Maximum number of usershare. 0 (default) means that usershare is disabled.
   usershare max shares = 100

# Allow users who've been granted usershare privileges to create
# public shares, not just authenticated ones
   usershare allow guests = yes

#======================= Share Definitions =======================


# Added shares

[Anonymous]
 path = /samba/anonymous
 browsable = yes
 writable = no
 read only = yes
 force user = nobody

[SECURED]
 path = /samba/shares
 valid users = @smbgrp
 browsable = yes
 writable = yes
 read only = no

答え1

グローバルセクションに以下を追加します。

restrict anonymous = 2

匿名性制限を削除してゲストを許可するように変更します。

usershare allow guests = no

答え1

関連情報