smb NTLM versionen

[Herbert_Testmann]

Hallo

ich kann mich mit einem Win10 PC nicht mehr mit den smb Freigaben auf einer DS verbinden, weil per Gruppenrichtlinie älter NTLM Versionen verboten wurden.
Nun muss ich den smb Server auf der DS anpassen. Ich vermute mal, die Lösung liegt in smb.conf?

Kann ich auf der Kommandozeile erst mal abfragen
- welche smb Version benutzt wird
- welche Versionen von NTLM unterstützt werden bzw. erlaubt sind?

Ich vermute, wenn nur win10 clients zugreifen, kann ich auf NTLMv2 only umstellen. Was muss ich dazu in der smb.conf eintragen?

 

[blurrrr]

Ich vermute mal, die Lösung liegt in smb.conf?

Das wäre eher so die "normale" Lösung für anderweitige Server - bei Synology kannst Du das in der Systemsteuerung der DS unter den Dateidiensten machen.

 

[Herbert_Testmann]

Bei den Dateidiensten kann ich einstellen, obich smb1...3 benutzen möchte. Aber welcher Parameter beeinflusst die NTLM Version?

 

[blurrrr]

Nur mal so zur Klarstellung: Du hast ein Netzwerk mit "mehreren" Win10-Rechnern und nur weil "einer" jetzt nicht auf die DS zugreifen kann, willst Du an der Syno etwas umstellen? Oder geht es generell nur um "einen" Rechner? Du sprachst immerhin von Gruppenrichtlinien...

EDIT:

weil per Gruppenrichtlinie älter NTLM Versionen verboten wurden.

Du hast nicht zufällig die "Beta" (DSM7) installiert? -> "NTLMv1 ist in der DSM 7.0 Beta aus Sicherheitsgründen deaktiviert und nur NTLMv2 wird standardmäßig unterstützt."... Umstellen könnteste direkt beim Client:

 

[Herbert_Testmann]

es handelt sich im Zweifel um 1200 Rechner
Also muss ich auf Serverseite etwas ändern.
Leider weiss ich im Moment nur, dass per GP "ältere Anmeldeverfahren" verboten wurden. Und dass es um NTLM geht.
Also wäre mein Ansatz auf der DS nur NTLM v2 zu erlauben und dann zu testen, ob es geht.

PS DSM 6.x

 

[blurrrr]

Jo, das ist dann ja wie auf dem Screenshot. NTLMv2 sollte aber durchaus supported sein, ggf. haben sich die Clients das einfach anders "gemerkt" (Registry)). Was die Fummelei in der smb.conf angeht (was ich nicht machen würde, da die Änderungen vermutlich mit dem nächsten Samba-Update weg sein dürften), wäre wohl der Zusatz "client NTLMv2 = yes", sofern die GPO entsprechend dem o.g. Screenshot konfiguriert ist.

Ist aber schon hart in einem Forum voller Privatleute zu fragen, wenn man 1200 Rechner zu verwalten hat... ??

 

[Puppetmaster]

Gibt's denn auch ein von Synology supportetes Forum wo man fragen könnte?

Und für einen Privatmann hast ja doch zumindest ansatzweise Ahnung, @blurrrr.

 

[blurrrr]

Ahnung hab ich sowieso keine (will ich auch garnicht haben, ansonsten würde ich ja ständig irgendwelche Dinge gefragt werden und ich mag nicht "irgendwelche Dinge" gefragt werden) ?

Bei 1200+ Usern würde ich aber - sowieso und generell - Fragestellungen in irgendwelchen Foren sein lassen und mich einfach "direkt" an den Synology-Support wenden. Wenn die eine Lösung aussprechen, muss das auch funktionieren, ansonsten haben die halt die Beine in die Hand zu nehmen, damit es läuft, ganz einfache Kiste. Bei 1200+ Usern wird es sicherlich auch keine DS109+ (wie im Profil angegeben) sein, sondern schon eher ein Modell der XS+-Serie, womit das ganze ein Business-Case ist und damit sowieso einen ganz anderen Stellenwert beim Support hat. Das sag ich mal einfach so mit vorgehaltener Hand und einer gewissen (etwas Synology-verbundeneren) Position ?

 

[Herbert_Testmann]

Die Vermutungen und Spekulationen gehen in eine vollkommen falsche Richtung.
Ich betreue nur die DS als Fileserver und es greifen max 4 Rechner gleichzeitig zu.
Die GP ist aber natürlich in der ganzen Firma verteilt und im Zweifelsfall möchte ich mich von jedem Rechner auf die DS verbinden können.
Warum es für einen kleinen Nutzerkreis eine eigene DS als Datengrab gibt, müssen wir hier nicht weiter diskutieren.

Die Richtlinie sieht jedenfalls so aus wie oben gezeigt und ich werde den Eintrag in den smb.conf testen.

Danke für die Hilfe.

 

[blurrrr]

Die Vermutungen und Spekulationen gehen in eine vollkommen falsche Richtung.

Dann hättest Du vielleicht nicht so einen Blödsinn schreiben sollen wie jenes hier:

es handelt sich im Zweifel um 1200 Rechner

Wenn dem so ist...

Ich betreue...

Dann sollte man sich im Fall der Fälle auch nicht unbedingt an Privatleute richten, sondern a) wissen was man tut, oder b) entsprechenden Support in Anspruch nehmen (wenn Du es selbst nicht kannst). Wobei es noch ein massiver Unterschied ist, ob Du gewerblich für Kunden unterwegs bist, oder die *****-Karte gezogen hast und Chef gesagt hast "Du machst das jetzt", oder ob man sich selbst einfach etwas weit aus dem Fenster gelehnt hat, jetzt überfordert ist mit der Situation und irgendwelche Privatleute für seine geschäftlichen Anliegen um Hilfe fragt...

Warum es für einen kleinen Nutzerkreis eine eigene DS als Datengrab gibt, müssen wir hier nicht weiter diskutieren.

Da ist auch nichts zu diskutieren, keine Ahnung, wie Du auf sowas kommst ?

Die Richtlinie sieht jedenfalls so aus wie oben gezeigt und ich werde den Eintrag in den smb.conf testen.

Mach das und lass mal ein Feedback hier, wenn es funktioniert hat (wenn nicht, natürlich ebenso, dann können wir ggf. mal weiter schauen).

Viel Erfolg! ??

 

[Herbert_Testmann]

Dann sollte man sich im Fall der Fälle auch nicht unbedingt an Privatleute richten,

Es ist ja nicht so, dass ich mich hier gestern angemeldet hätte und diese Frage in meinem ersten Beitrag stelle.
Mir war es bisher egal, ob jemand hier wegen seiner privaten DS fragt, oder ein Problem im Job damit hat.
Und wenn ich denke ... "selbst schuld" muss ich ja auch keine Freizeit aufwenden, um hier zu antworten.

Ich habe jedenfalls kein schlechtes Gewissen dabei, nach der Menge an Freizeit, die ich hier für "Privatleute" getippelt habe auch mal eine eigene Frage zu stellen. Auch wenn die diesmal nicht meinen eigenen DS Park betrifft.

 

[blurrrr]

Nicht gleich auf den Schlips getreten fühlen... ?

 

[Herbert_Testmann]

der Parameter client NTLMv2 = yes wird als nicht bekannter Parameter verworfen.
Der Parameter ist laut Samba Doku ab V 4.13 zulässig.
Wenn ich das richtig sehe läuft auf meiner DS mit aktuellem DSM 6.x die smb Version 4.4.16
Das habe ich bei testparm --version gemeldet bekommen.
Oder ist das die Version des Tools und nicht des Samba Pakets?

samba -V gibt auch 4.4.16

Jedenfalls wird der Parameter in den smb.conf nicht akzepiert.

Weiss jemand, welche smb Version mit er DSM 7.x Beta ausgeliefert wird?

 

[goetz]

Hallo,
DS1517+ Version 4.10.18.

Gruß Götz

 

[Herbert_Testmann]

ja, danke. 4.10 reicht leider auch nicht.
Und obwohl synology schreibt, dass bei DSM7 und smb nur noch NTLMv2 unterstützt wird, löst das nicht mein Problemchen.
Ich hab aber heute entschieden, nicht mehr Zeit in die Lösung zu investieren.