Linux SMBクライアントは、AES-256を使用する必要があるSMBサーバーに接続できませんか?

Linux SMBクライアントは、AES-256を使用する必要があるSMBサーバーに接続できませんか?

FedoraでTrueNASのSMB共有に接続しようとしています。 SMBデータ暗号化を有効にするまではうまくいきました。 TrueNASのサービス構成(グローバル設定)に次のものを入れました。

unix extensions = yes
server signing = required
client smb encrypt = required
server smb3 encryption algorithms = -AES-128-GCM -AES-128-CCM

特定のSMB共有の次(共有あたりの設定)

server smb encrypt = required

その後、次のようにSMB共有をマウントしようとしました。

sudo mount -t smb3 -o cred=<my_cred_file>,uid=1000,gid=1000,mfsymlinks //<TrueNAS IP>/NAS /mnt/NAS

そして、ブーム、mount error(13): Permission denied

では、dmesg次のように言います。

[112496.066462] CIFS: Attempting to mount //<TrueNAS IP>/NAS
[112496.085283] CIFS: VFS: sign fail cmd 0x3 message id 0x3
[112496.085287] CIFS: VFS: \\<TrueNAS IP> SMB signature verification returned error = -13
[112496.085290] CIFS: VFS: \\<TrueNAS IP> failed to connect to IPC (rc=-13)
[112496.085294] CIFS: VFS: session 00000000639775cf has no tcon available for a dfs referral request
[112496.085480] CIFS: VFS: sign fail cmd 0x3 message id 0x4
[112496.085481] CIFS: VFS: \\<TrueNAS IP> SMB signature verification returned error = -13
[112496.085684] CIFS: VFS: sign fail cmd 0x2 message id 0x5
[112496.085687] CIFS: VFS: \\<TrueNAS IP> SMB signature verification returned error = -13
[112496.085690] CIFS: VFS: \\<TrueNAS IP> __cifs_put_smb_ses: Session Logoff failure rc=-13
[112496.085700] CIFS: VFS: cifs_mount failed w/return code = -13

AES-256を強制する行を削除した場合(AES-128は許可されていません):

server smb3 encryption algorithms = -AES-128-GCM -AES-128-CCM

コマンドはmount正しく機能します。

ただし、強制AES-256設定をそのままにしても、macOSとiOSのFinderとKDEのDolphinでSMB共有に接続できます(KDEではfedoraを使用しています)。

それでは、smbclientAES-256暗号化はcliでまったくサポートされていませんか?それともマウントを開いて完全に機能させることができますか?

ところで、smbclient --version与えられたVersion 4.19.4


mount更新:以下はコメントで提案された詳細な出力です。

$ sudo mount -t smb3 --verbose -o cred=<my_cred_file>,uid=1000,gid=1000,mfsymlinks //<TrueNAS IP>/NAS /mnt/NAS
mount.smb3 kernel mount options: ip=<TrueNAS IP>,unc=\\<TrueNAS IP>\NAS,mfsymlinks,uid=1000,gid=1000,user=<My Username>,pass=********
mount error(13): Permission denied
Refer to the mount.smb3(8) manual page (e.g. man mount.smb3) and kernel log messages (dmesg)

更新:他のsecオプションを試しました。

  • krb5/ krb5i:
    • mount詳細な出力:
      $ sudo mount -t smb3 --verbose -o cred=<my_cred_file>,uid=1000,gid=1000,mfsymlinks,sec=<krb5/krb5i> //<TrueNAS IP>/NAS /mnt/NAS
      mount.smb3 kernel mount options: ip=<TrueNAS IP>,unc=\\<TrueNAS IP>\NAS,mfsymlinks,sec=<krb5/krb5i>,uid=1000,gid=1000,user=<My Username>,pass=********
      mount.smb3 kernel mount options: ip=<TrueNAS IP>,unc=\\<TrueNAS IP>\NAS,mfsymlinks,sec=<krb5/krb5i>,uid=1000,cruid=1000,gid=1000,user=<My Username>,pass=********
      mount error(126): Required key not available
      Refer to the mount.smb3(8) manual page (e.g. man mount.smb3) and kernel log messages (dmesg)
      
    • dmesg出力:
      [190212.841620] CIFS: Attempting to mount //<TrueNAS IP>/NAS
      [190212.851741] CIFS: VFS: unknown or missing server auth type, use krb5
      [190212.861466] CIFS: VFS: Verify user has a krb5 ticket and keyutils is installed
      [190212.861472] CIFS: VFS: \\<TrueNAS IP> Send error in SessSetup = -126
      [190212.861487] CIFS: VFS: cifs_mount failed w/return code = -126
      
  • ntlm/ntlmi:
    • mount詳細な出力:
      $ sudo mount -t smb3 --verbose -o cred=<my_cred_file>,uid=1000,gid=1000,mfsymlinks,sec=<ntlm/ntlmi> //<TrueNAS IP>/NAS /mnt/NAS
      mount.smb3 kernel mount options: ip=<TrueNAS IP>,unc=\\<TrueNAS IP>\NAS,mfsymlinks,sec=ntlm,uid=1000,gid=1000,user=<My Username>,pass=********
      mount error(22): Invalid argument
      Refer to the mount.smb3(8) manual page (e.g. man mount.smb3) and kernel log messages (dmesg)
      
    • dmesg出力:
      [190683.752148] bad security option: <ntlm/ntlmi>
      
      [190683.752170] CIFS: VFS: bad security option: <ntlm/ntlmi>
      
  • ntlmv2// ntlmv2i/ ntlmsspntlmsspiこれら4つのオプションは、詳細mountな出力に違いがないか、オプションをdmesg指定しないものと比較して違いはありませんsec

更新:オプションをcifs指定してみてくださいvers

  • vers=2.0:
    • mount出力:
      mount.cifs kernel mount options: ip=<TrueNAS IP>,unc=\\<TrueNAS IP>\NAS,mfsymlinks,vers=2.0,uid=1000,gid=1000,user=<My Username>,pass=********
      mount error(13): Permission denied
      Refer to the mount.cifs(8) manual page (e.g. man mount.cifs) and kernel log messages (dmesg)
      
    • dmesg:
      [281141.068174] CIFS: Attempting to mount //<TrueNAS IP>/NAS
      [281141.085261] CIFS: VFS: \\<TrueNAS IP> smb2_calc_signature: Could not find session
      [281141.085286] CIFS: VFS: \\<TrueNAS IP> __cifs_put_smb_ses: Session Logoff failure rc=-2
      [281141.085298] CIFS: VFS: cifs_mount failed w/return code = -13
      
  • vers=1.0:
    • mount出力:

      mount.cifs kernel mount options: ip=<TrueNAS IP>,unc=\\<TrueNAS IP>\NAS,mfsymlinks,vers=1.0,uid=1000,gid=1000,user=<My Username>,pass=********
      mount error(95): Operation not supported
      Refer to the mount.cifs(8) manual page (e.g. man mount.cifs) and kernel log messages (dmesg)
      

      削除しましたがmfsymlinks(SMB1.0はサポートされていませんか?)出力は同じです。

    • demsg:

      [281295.220579] Use of the less secure dialect vers=1.0 is not recommended unless required for access to very old servers
      
      [281295.220601] CIFS: VFS: Use of the less secure dialect vers=1.0 is not recommended unless required for access to very old servers
      [281295.220609] CIFS: Attempting to mount //<TrueNAS IP>/NAS
      [281295.231815] CIFS: VFS: cifs_mount failed w/return code = -95
      

関連情報