Samba SMB3

[stoffelhessen]

Hallo zusammen,

nachdem ich mich nun schon seit Stunden damit beschäftige meinen neu aufgesetzten Samba Server nur noch über SMB3 ansprechen zu können und ich hier bis jetzt keine Lösung gefunden habe, stelle ich die Frage mal hier im Forum.

Code: Alles auswählen

[global]
   workgroup = WORKGROUP

client min protocol = SMB3_11
server min protocol = SMB3_11
client ipc min protocol = SMB3_11
protocol = SMB3

Wenn ich mich nun von einer Windows 11 Maschine mit dem Samba-Server verbinde funktioniert dies auch ohne Probleme, allerdings immer nur mit SMB2, dies wir mir von Wireshark angezeigt.
Auch werden die Daten unverschlüsselt übertragen, was für mich das Hauptproblem darstellt.

Kann mir hier jemand mal bitte über die Straße helfen?

Danke

[schwedenmann]

Hallo


Anscheinend muß man smb3 unter win11 erst erzwingen

https://www.storage-insider.de/windows- ... ffa1a1b66/


mfg
schwedenmann

[stoffelhessen]

Danke für deine Unterstützung.
Warum lässt der Samba Server aber SMB2 zu, ich hätte erwartet das dieser die Verbindung mit den Einstellungen ablehnt.

[oln]

Moin,
also ich weiß nicht was Wireshark anzeigt. Aber mit smbstatus kannst du sehen, welches Protokoll genommen wird.
Ich habe bei mir nur die zwei folgenden Einträge und es wird immer SMB3 genommen.

Code: Alles auswählen

        protocol = SMB3
        min protocol = LANMAN2

[stoffelhessen]

Danke für deine Rückmeldung.
Aber woran siehst du was wirklich über die Ethernet Schnittstelle übertragen wird. Wireshark zeigt hier SMB2 an und nicht das geforderte SMB3. Auch sind die Daten alle unverschlüsselt.

[oln]

Das sehe ich natürlich mit smbstatus nicht. Aber ich vertraue dort mal der Anzeige.
Nun ist die Frage, welcher Anzeige du mehr glaubst. WS oder Samba?
Welches Projekt würde sich da so ins Bein schießen?

[oln]

Kurz mal bei Wireshark nach geschaut:

Analyzer
• Wireshark handles reassembling (large packet split, retransmission)
• Only see the good stuff
• Each filter can do more than filtering
– Dissectors
• 2 different dissectors for SMB1 and SMB2+
– SMB3 shows up as SMB2 <----------!!!!!!!!!!

Das erklärt dann wohl alles oder?

[stoffelhessen]

Ich werde mir die nochmals anschauen.
Kannst du mir sagen, wie ich die Verschlüsselung der Daten im SMB3 einschalten bzw. erzwingen kann?

Danke für deine Unterstützung

[oln]

Eigentlich ist default auto. Soll heißen, wenn der gegenpart encrypion kann, wird verschlüsselt.
Möchtest du jemanden aussperren?

Edit:
So sehen die Zugriffe bei mir aus:

Code: Alles auswählen

Samba version 4.17.12-Debian
PID     Username     Group        Machine                                   Protocol Version  Encryption           Signing
----------------------------------------------------------------------------------------------------------------------------------------
2180672 Domain\user2 users        192.168.100.11 (ipv4:192.168.100.11:57921) SMB3_11           -                    AES-128-CMAC
2174874 Domain\user1   users        192.168.100.10 (ipv4:192.168.100.10:59770) SMB3_11           -                    AES-128-GMAC
2170342 Domain\user3 users        192.168.100.13 (ipv4:192.168.100.13:62567) SMB3_11           -                    AES-128-CMAC

Am ende sieht man die Verschlüsselung welche genommen wird. Die Clients sind hier Win10 + 11.

[stoffelhessen]

Nein, ich möchte nur vermeiden die Daten unverschlüsselt übers Netz zu schieben. Auch wenn Wireshark SMB3 als SMB2 darstellt, sind die Daten in jedem Fall unverschlüsselt.
Werde mal noch diese Parameter ausprobieren.

[global]
server signing = mandatory
smb encrypt = mandatory
client signing = mandatory

[stoffelhessen]

Mit diesen Parametern

Code: Alles auswählen

[global]
server signing = mandatory
smb encrypt = mandatory
client signing = mandatory

klappt die Transportverschlüsselung.

Vielen lieben Dank an alle helfenden