সাম্বার সাথে এসএমবি ট্র্যাফিক এনক্রিপ্ট করা

রোমিং প্রোফাইল সহ আমরা উবুন্টু 14.04 এলটিএসে পিডিসি (প্রাথমিক ডোমেন নিয়ামক) হিসাবে সাম্বা ব্যবহার করি। আমরা সেটিংয়ের মাধ্যমে এনক্রিপশন প্রয়োগ করার চেষ্টা করা ব্যতীত সবকিছু ঠিকঠাক কাজ করে:

    server signing = mandatory
    smb encrypt = mandatory

মধ্যে [global]/etc/samba/smb.conf বিভাগে। এটি করার পরে, 8.0 জিতে নিন এবং 8.1 ক্লায়েন্টকে জয়যুক্ত করুন (অন্য কোনও চেষ্টা করেন নি) অভিযোগ করুন: Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden.এই পাঠ্যের ইংরেজি অনুবাদ:The trust relationship between this workstation and the primary domain could not be established.

যদি আমরা দুটি বিকল্প server signingএবং smb encryptশুধুমাত্র [profiles]smb.conf বিভাগে যুক্ত করি তবে tcpdumpদেখায় যে প্রকৃত ট্র্যাফিক এনক্রিপ্ট করা হয়নি!

সম্পূর্ণ এসএমবি কনফ:

[global]
    workgroup = DOMAIN
    server string = %h PDC
    netbios name = HOSTNAME
    wins support = true
    dns proxy = no
    allow dns updates = False
    dns forwarder = IP

    deadtime = 15

    log level = 2
    log file = /var/log/samba/log.%m
    max log size = 5000
    debug pid = yes
    debug uid = yes
    syslog = yes
    utmp = yes

    security = user
    domain logons = yes
    domain master = yes
    os level = 64
    logon path = \\%N\profiles\%U
    logon home = \\%N\%U
    logon drive = H:
    logon script =

    passdb backend = ldapsam:ldap://localhost
    ldap ssl = start tls
    ldap admin dn = cn=admin,dc=DOMAIN,dc=de
    ldap delete dn = no

    encrypt passwords = yes
    server signing = mandatory
    smb encrypt = mandatory

    ## Sync UNIX password with Samba password
    ldap password sync = yes

    ldap suffix = dc=intra,dc=DOMAIN,dc=de
    ldap user suffix = ou=People
    ldap group suffix = ou=Groups
    ldap machine suffix = ou=Computers
    ldap idmap suffix = ou=Idmap

    add user script = /usr/sbin/smbldap-useradd -m '%u' -t 1
    rename user script = /usr/sbin/smbldap-usermod -r '%unew' '%uold'
    delete user script = /usr/sbin/smbldap-userdel '%u'
    set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'
    add group script = /usr/sbin/smbldap-groupadd -p '%g'
    delete group script = /usr/sbin/smbldap-groupdel '%g'
    add user to group script = /usr/sbin/smbldap-groupmod -m '%u' '%g'
    delete user from group script = /usr/sbin/smbldap-groupmod -x '%u' '%g'
    add machine script = /usr/sbin/smbldap-useradd -W '%m' -t 1

[homes]
    comment = Home Directories
    valid users = %S
    read only = No
    browseable = No

[netlogon]
    comment = Network Logon Service
    path = /var/lib/samba/netlogon
    admin users = root
    guest ok = Yes
    browseable = No

[profiles]
    comment = Roaming Profile Share
    path = /var/lib/samba/profiles
    read only = No
    profile acls = Yes
    browsable = No
    valid users = %U
    create mode = 0600
    directory mode = 0700

কোন সাহায্য?

Smb.conf ম্যানুয়াল পৃষ্ঠাটি আপডেট করা দরকার! এটি পুরানো সাম্বা-নির্দিষ্ট এনক্রিপশন প্রক্রিয়াটিকে বোঝায় যা কেবল এসএমবি 1-তে প্রযোজ্য এবং ইউনিক্স এক্সটেনশনের মাধ্যমে সম্পন্ন হয়। এটি দ্বারা ব্যবহার করা যেতে পারে smbclient।

আজকাল, " smb encrypt" বিকল্পগুলি এসএমবি-স্তরের এনক্রিপশনকেও নিয়ন্ত্রণ করে যা এসএমবি সংস্করণ 3.0 এবং এর চেয়ে নতুন অংশ। উইন্ডোজ 8 (এবং আরও নতুন) ক্লায়েন্টদের এই সেটিংসের সাহায্যে ট্র্যাফিক এনক্রিপ্ট করা উচিত ।

আপনি (একই সেটিংস ব্যবহার করার চেষ্টা করে থাকেন smb encrypt = mandatoryমধ্যে [global]একটি সাম্বা ডোমেইন সদস্য বা স্বতন্ত্র সার্ভারে অধ্যায়)?

সেট করা নিশ্চিত করুন smb encrypt = autoযে [global]ধারা (না [profiles]অধ্যায়)। তারপরে এনক্রিপশনের সাধারণ প্রাপ্যতা এখনও ঘোষণা করা হয়।

এটি খুব সম্ভব যে এটি সাম্বার একটি বাগ। সুতরাং এটি সম্ভবত সাম্বার সাম্বা-প্রযুক্তিগত মেলিং তালিকা বা সাম্বার বাগজিলা নিয়ে আলোচনা করা উচিত । আপনি যদি সাম্বার উবুন্টু সংস্করণটি ব্যবহার করেন তবে আপনি প্যাকেজ পৃষ্ঠাটিও পরীক্ষা করতে চাইতে পারেন । আমি সন্দেহ করি যে এটি একটি আসল সাম্বা প্রবাহ বিষয়।

এটি সাম্বা ৩.২ এবং তারপরের সাথে প্রবর্তিত একটি নতুন বৈশিষ্ট্য। এটি ইউএনআইএক্স এক্সটেনশনের অংশ হিসাবে আলোচিত এসএমবি / সিআইএফএস প্রোটোকলের একটি এক্সটেনশন। এসএমবি এনক্রিপশনটি এসএমবি প্রোটোকল স্ট্রিমে প্রতিটি অনুরোধ / প্রতিক্রিয়া এনক্রিপ্ট করতে এবং স্বাক্ষর করতে জিএসএসপিআই (উইন্ডোজে এসএসপিআই) ক্ষমতা ব্যবহার করে। সক্ষম করা থাকলে এটি এসএমবি / সিআইএফএস যোগাযোগের একটি সুরক্ষিত পদ্ধতি সরবরাহ করে, এটি কোনও এসএসএস সুরক্ষিত সেশনের অনুরূপ, তবে এনক্রিপশন এবং স্বাক্ষরকরণ কীগুলির জন্য আলোচনার জন্য এসএমবি / সিআইএফএস প্রমাণীকরণ ব্যবহার করে। বর্তমানে এটি কেবল সাম্বা ৩.২ এসএমবিসিলেট দ্বারা সমর্থিত, এবং আশা করা যায় শীঘ্রই লিনাক্স সিআইএফএসএফএস এবং ম্যাকোএস / এক্স ক্লায়েন্টরা।Windows clients do not support this feature.

এটি নিয়ন্ত্রণ করে যে রিমোট ক্লায়েন্টকে অনুমোদিত বা এসএমবি এনক্রিপশন ব্যবহার করার প্রয়োজন রয়েছে। সম্ভাব্য মানগুলি অটো, বাধ্যতামূলক এবং অক্ষম। এটি প্রতি শেয়ারের ভিত্তিতে সেট করা যেতে পারে তবে ক্লায়েন্টরা নির্দিষ্ট অংশে ট্র্যাফিকের জন্য নয়, পুরো সেশনটিকে এনক্রিপ্ট করতে পছন্দ করতে পারে। এটি যদি বাধ্যতামূলক হিসাবে সেট করা থাকে তবে ভাগ করার সাথে সংযোগটি তৈরি হওয়ার পরে কোনও অংশে সমস্ত ট্র্যাফিক অবশ্যই এনক্রিপ্ট করতে হবে। সার্ভারটি এই জাতীয় শেয়ারের সমস্ত অ-এনক্রিপ্ট হওয়া অনুরোধগুলিতে "অ্যাক্সেস অস্বীকৃত" ফিরিয়ে দেবে। এনক্রিপ্ট করা ট্র্যাফিক নির্বাচন করার মাধ্যমে থ্রুপুট হ্রাস পায় কারণ ছোট প্যাকেটের আকার অবশ্যই ব্যবহার করা উচিত (কোনও বিশাল ইউনিক্স স্টাইল পড়ার / লেখার অনুমতি নেই) পাশাপাশি সমস্ত ডেটা এনক্রিপ্ট করার ও স্বাক্ষরের ওভারহেড।

যদি এসএমবি এনক্রিপশনটি নির্বাচিত হয় তবে উইন্ডোজ স্টাইলের এসএমবি সাইন ইন (সার্ভার স্বাক্ষর করার বিকল্পটি দেখুন) আর প্রয়োজন হয় না, কারণ জিএসএসএপিআই পতাকাগুলি ডেটা সাইন করা এবং সিলিং উভয়ই নির্বাচন করে।

যখন অটোতে সেট করা থাকে, এসএমবি এনক্রিপশন দেওয়া হয়, তবে প্রয়োগ করা হয় না। বাধ্যতামূলক হিসাবে সেট করা হলে, এসএমবি এনক্রিপশন প্রয়োজন এবং যদি অক্ষম করে সেট করা থাকে, এসএমবি এনক্রিপশন আলোচনার প্রয়োজন নেই।

ডিফল্ট: এসএমবি এনক্রিপ্ট = অটো

সূত্র: https://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html