ubuntuusers.de

BRAUCHE HILFE!!

Ich versuche seit Tagen krampfhaft von einem Windows XP/Windows 2000 System auf einen neuen Samba 4.5 Server zuzugreifen.

Installiert ist ein reiner Ubuntu Server 17.04. Da drauf wurde nur der Samba Server wie folgt eingerichtet:

1

apt-get install samba

In der /etc/samba/smb.conf sind derzeit nur zwei normale Freigaben eingerichtet.

Dem User wurden die Samba Rechte entsprechend hinzugefügt. Folgendes habe ich schon mehrfach ausgeführt:

1

smbpasswd -a MeinUsername

Der Benutzername wurde logischerweise angepasst und ein entsprechendes Passwort wurde vergeben.

Die so erstellten Freigaben lassen sich auch unter Windows 7, Windows 10 und Windows 2008 Server und neuer auch problemlos verwenden. Das Login einschließlich aller entsprechenden Schreibzugriffe funktioniert auch wie gewollt.

Nun haben wir noch wenige alte Systeme (Windows XP, Windows 2000), diese sollen hier (nur Hausintern) gesichert werden. Hier klappt aber die Authentifizierung einfach nicht! Es kommt hier immer folgender Fehler:

1
2
3
4
5

net use * \\192.168.1.77\FREIGABE /user:BENUTZERNAME PASSWORT 

Systemfehler 1326 aufgetreten.

Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort.

Was muss ich im Samba Server unter /etc/samba/smb.conf ergänzen um den Zugriff für alte Systeme zu ermöglichen?

Mir ist klar das dies die Sicherheit des Samba Servers senkt! Das ist aber eher weniger ein Problem da der Server nur Hausintern steht (kein direkter Zugang). Auch will ich nur eine Freigabe für die alten Systeme mit geringeren Rechten bereit stellen.

Die Firewall der angesprochenen Systeme blockt nicht! Zugriffe von den XP, Windows 2000 Maschninen auf andere Hausinterne Windows Freigaben klappen problemlos. Auch ein kurzzeitiges deaktivieren der Firewall brachte keine Änderung.

Ich denke das es ehr an Samba liegt. Folgendes hatte ich schon versucht (ohne Erfolg):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

client lanman auth (G)

           This parameter determines whether or not smbclient(8) and other samba client tools will attempt to authenticate itself to servers using the weaker LANMAN password hash. If disabled, only server which support NT password
           hashes (e.g. Windows NT/2000, Samba, etc... but not Windows 95/98) will be able to be connected from the Samba client.

           The LANMAN encrypted response is easily broken, due to its case-insensitive nature, and the choice of algorithm. Clients without Windows 95/98 servers are advised to disable this option.

           Disabling this option will also disable the client plaintext auth option.

           Likewise, if the client ntlmv2 auth parameter is enabled, then only NTLMv2 logins will be attempted.

           Default: client lanman auth = no

Die Uhrzeit zwischen dem Windows Client und dem Server sollte auch passen. Beide weichen nicht mal eine Minute ab. Auf den Windows 7 Systemen klappt es ja auch, diese Uhrsache kann man also ausschließen.

Es muss also ewtas mit der Art zu tun haben:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

# security = user
# encrypt passwords = yes
# guest ok=yes
# setting security=share

# client NTLMv2 auth=no
# client lanman auth=yes

# client max protocol=NT1

## All die hier genannten Parameter hatte ich schon in X-Verschiedenen Kombinationen ausprobiert.
## Das hat irgendwie alles nicht funktioniert. Welche Parameter sind hier richtig???? HILFE!!!!

Über Tipps würde ich mich sehr freuen!

Danke vorab!

Der Post von Silent-PC ist meiner Meinung nach eine Supportanfrage. Bitte verschieben.

apt-ghetto schrieb:

Der Post von Silent-PC ist meiner Meinung nach eine Supportanfrage. Bitte verschieben.

+1.

Lg X.

Meine Anfrage kann mehr oder weniger gelöscht werden. Kann sie selbst nicht mehr ändern, löschen oder editieren.

Ich habe jetzt folgende Lösung gefunden:

Ab Samba 4.5 muss man den Abschnit [global] um folgende Werte ergänzen:

1
2
3

[global]
lanman auth=yes
ntlm auth=yes

Hintergrund ist, dass ab Samba 4.5 die NTLMv1-Authentifizierung welche Windows XP und Windows 2000 benötigen aus Sicherheitsgründen deaktiviert wurde. Daraus resultieren eben die Probleme, dass die Anmeldung mit aktuellen Systemen klappt (diese nutzen die NTLMv2-Authentifizierung), eine Anmeldung mit XP oder 2000 aber eben scheitert.

Man sollte sich daher bewusst sein, sofern man diese Parameter setzt, dass diese die Sicherheit herab setzen.

Leider gibt es offenbar keine Möglichkeit, nur bei einzelnen Freigaben die Sicherheit herab zu setzen (das wäre eine bessere Lösung).

Im Wiki hatte ich alle Artikel zum Samba abgegrast und nichts dazu gefunden. Schön wäre es wenn jemand den Artikel dahingehend ergänzen könnte. Ich persönlich hab mich da nicht so eingearbeitet.

Danke und schönen Tag.

PS: Nur noch kurz eine Frage. Wo hätte ich die Anfrage eigentlich stellen sollen?

Silent-PC schrieb:

PS: Nur noch kurz eine Frage. Wo hätte ich die Anfrage eigentlich stellen sollen?

https://forum.ubuntuusers.de/forum/serverdienste/

Silent-PC schrieb:

Wo hätte ich die Anfrage eigentlich stellen sollen?

Gar nicht. Windows XP - seit über 3 Jahren EoS - Windows 2000 seit 7 Jahren EoS - diese Systeme ans Netz anzubinden, ist absolut unverantwortlich.

Wenn man aber ein MRT hat, was 1,5Millionen gekostet hat und der ans Netz muss, kannste dich als IT nicht hinstellen, nö mach ich nicht, da is XP drauf.

Bei mir geht um ein Gerät 60k€ wo zwingend XP nötig ist.... ich habs so gut wie es geht abgekappselt,

hocker schrieb:

kannste dich als IT nicht hinstellen, nö mach ich nicht, da is XP drauf.

Aber selbstverständlich kann "die IT" das, sie hat sogar die Pflicht.

Und irgendjemand glaubt auch tatsächlich, dass das Netzwerk sicherer wird, wenn man statt Windows XP zB. Windows 10 verwendet ☺ Windows ist ein Sicherheitsproblem, egal ob es supportet wird oder nicht. Windows XP wurde 13 Jahre lang repariert und ist jetzt das am wenigsten kaputte Windows das es zZ. gibt. Wenn die IT tatsächlich die Möglichkeit oder sogar die Pflicht hätte, schadhafte Systeme abzulehnen, gäbe es Windows nicht mehr.