Имеем комп с Debian и Samba: nsrv:~# uname -a Linux nsrv 2.6.22-3-686 #1 SMP Mon Nov 12 08:32:57 UTC 2007 i686 GNU/Linux nsrv:~# smbd --version Version 3.0.28 nsrv:~# mount.cifs -V mount.cifs version: 1.10-3.0.28
Хотим сделать вот что тупо примонтировать smb-шару со старого сервака (SCO OpenServer, Samba 2.x)... Авторизация на старом серваке plaintext. Делаем: nsrv:~# mount //osrv/pub /home/samba/l -t cifs -o credentials=/root/credentials/mnt_cred,rw,file_mode=0660,dir_mode=0770,iocharset=utf8,uid=1000,gid=1000 и получаем отлуп (/var/log/syslog): Jan 29 23:09:05 nsrv kernel: CIFSVFS:Serverrequestsplaintextpasswordbutclientsupportdisabled Jan 29 23:09:05 nsrv kernel: CIFSVFS:Senderror in SessSetup = -13 Jan 29 23:09:05 nsrv kernel: CIFSVFS:cifs_mount failed w/return code = -13
Что, спрашивается, не так? Особенно если учесть, что, если нагло откатить пакет smbfs до версии 3.0.27, то всё отлично работает.
The default on your system for /proc/fs/cifs/SecurityFlags is probably 0x7
which means only the following three security options are allowed: packet signing, ntlmpassword hashing, ntlmv2password hashing (but not plaintextpassword).
If your default flags were 7 then to turn on plaintextpasswordsupport you could simply do: echo 39 > /proc/fs/cifs/SecurityFlags
If the number 39 does not work, please try 37 instead.
fs/cifs/README says (about SecurityFlags):
(NTLM, NTLMv2 and packet signing allowed). Maximum allowable flags if you want to allow mounts to servers using weaker password hashes is 0x37037 (lanman, plaintext, ntlm, ntlmv2, signing allowed):
Hopefully it works this time. I found this description:
"After changing the flags to 0x37 (adding MAY_LANMAN | MAY_PLNTXT), I got "invalid password." Looking at the ethereal traces, it seemed that the password was being sent as encrypted Unicode, and the only way to make it connect was to set the flags to 0x30."
Ну... ларчик просто открывался... по непонятной для меня причине мейнтейнеры Debian'а собрали samba 3.0.28, доступный через репозитарии, без опции --with-smbmount... Если же пересобрать из сорцов, то mount -t smbfs прекрасно монтирует шары... В очередной раз убеждаюсь, что «автоматическое» обновление пакетов через apt палка о многих концах, ибо понять, по какой причине пакеты вдруг стали собираться с отличными от предыдущих версий ключами, нельзя... Соответственно вполне можно наткнуться на то, что какой-либо пакет после обновления просто перестаёт работать так, как надо
samba (3.0.27a-2) unstable; urgency=low * debian/patches/disable-weak-auth.patch: disable plaintext authentication on the client, and lanman authentication on both client and server, by default since these are only needed for Win9x or Samba with encrypted passwords disabled and are potential password attack vectors. This change is backported from Samba 3.2. LP: #163194. * Don't build the userspace tools for the deprecated smbfs kernel driver anymore; instead, use a shell wrapper around mount.cifs that translates option names between the smbfs and cifs drivers. Closes: #169624, #256637, #265468, #289179, #305210, #410075; LP: #29413
Эту сборку я как-то пропустил, получив/поставив сразу 3.0.28-1... Хреново, в общем
Группа: Admin
Сообщений: 503
Регистрация: 13.08.03 Авторитет: 21
Вне форума
Цитата(SwD @ 30 Января, 2008, 17:46)
В очередной раз убеждаюсь, что «автоматическое» обновление пакетов через apt палка о многих концах, ибо понять, по какой причине пакеты вдруг стали собираться с отличными от предыдущих версий ключами, нельзя...
В стабильный релизах Debian версия софта не меняется, на то они и стабильные. У тебя же скорее всего что-то типа lenny/sid.
SlavaD Тоже вариант, конечно. Хотя нет никаких гарантий, что в следующем стабильном релизе samba не будет нести в себе всех тех нововведений, что пошли с версии samba 3.0.27a-2, не так ли?
Группа: Admin
Сообщений: 503
Регистрация: 13.08.03 Авторитет: 21
Вне форума
Цитата(SwD @ 31 Января, 2008, 21:20)
Хотя нет никаких гарантий, что в следующем стабильном релизе samba не будет нести в себе всех тех нововведений, что пошли с версии samba 3.0.27a-2, не так ли?
Конечно гарантий нет, но версия релиза на автомате не меняется, так, что будет возможность все под контролем выполнить и проверить.