SmbServerNameHardeningLevel=2 を使用して smb3 フォルダをマウントします。

SmbServerNameHardeningLevel=2 を使用して smb3 フォルダをマウントします。

要約:

このmount.smb3コマンドは、SmbServerNameHardeningLevelポリシーが2に設定されているWindowsエンドポイントと互換性がありますか?どのように動作させることができますか?


誤った説明:

Ubuntu Desktop 22.04.1でWindows 11システム上のSambaフォルダをマウントしようとするとエラーが発生し続けます。mount error(13): Permission denied

私が使用するコマンドは次のとおりです。

sudo mount.smb3 //IP4ADDRESS/FOLDER_NAME /mnt/target/ -o credentials=~/.smbcredentials

資格情報ファイルには以下が含まれます。

username=MyUser
password=TheSecr3t
workgroup=WORKGROUP

ターゲットコンピュータでイベントビューアを表示すると、Windows 11コンピュータ管理者が設定したポリシーによって接続が拒否されたことがわかります。Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SmbServerNameHardeningLevel値がに設定されました2

Error de autenticación de sesión SMB (SMB session authentication error)

Nombre de cliente (Name of client): \\IP4ADDRESS
Dirección de cliente (Address of client): IP4ADDRESS:50302
Nombre de usuario (Username): MyUser
Id. de sesión (Session ID): 0xB80010000035
Estado (Status): {Acceso denegado} (Access Denied)
Un proceso ha solicitado acceso a un objeto, pero no se le han concedido esos derechos de acceso. (0xC0000022) / A process has requested access to an object, but it was not granted access rights (0xC0000022)
SPN: 
Directiva de validación de SPN (SPN validation directive): SPN required / validate full

私が試したことと私が知っていること:

私はエラーがありますいいえアクセス許可/mnt/target、使用している資格情報、共有フォルダの設定などの明らかな問題です。どのように?

  • Windows 11システム管理者にレジストリを介して一時的にダウングレードするように依頼すると、SmbServerNameHardeningLevelコマンドは完全に機能します。ただし、グローバルセキュリティポリシーによってダウングレードが無視されるため、これはオプションではありません。1mount.smb3

  • 代替インストールメカニズムとして使用するとgio正常に動作します!

echo -e "MyUser\nWORKGROUP\nTheSecre3t" | gio mount smb://IP4ADDRESS/FOLDER_NAME

私が経験している問題は、マウント可能なのでマウントユーザーにのみ表示されることです。$XDG_RUNTIME_DIR/gvfsUbuntuシステムのすべてのユーザーがマウント位置にアクセスできることを願っています。

  • 有効な場合と無効な場合があることを考慮して、Wiresharkを使用して両方のケースでパケットをキャプチャし、有効なコマンドがGSSAPIを使用することに加えて、NTLMv2応答の一部として属性を送信するgioことがわかります。そうでない場合は、セキュリティポリシーが 。Target Namemount.smb32

gio以下は、コマンドのパケットキャプチャスクリーンショットです。する働く

効果的なジオパケットキャプチャ

mount.smb3これである確かに

mount.smb3のパケットキャプチャが機能しません。

もし私は正しいです。問題はどのようにmount.smb3SPNを強制的に送ることができるかと思います。


より多くの文献:

このリンクは私が説明する内容を確認しているようですが、修正は見つかりませんでした。 GSSAPIはSPNを正しくサポートしているようで、これがgio機能する理由です。


添付:これらの詳細がNTLMネゴシエーションに影響を与える可能性があることを何度も読みましたが、うまくいきませんでしたので、IPアドレスの代わりにDNS名を試しました。

助けてくれてありがとう。時間をかけてこの記事を読んでくれてありがとう。

関連情報