如何在 Linux (smbd) 上為最新的 windows 10 客戶端創建一個有效的 samba PUBLIC 共享?
眾所周知,最新的 windows 10 升級已經使 samba 客戶端拒絕起訴來賓帳戶。一些組織甚至無法禁用此錯誤。這使得無法在 Linux 上為 win10 客戶端創建公共 samba 共享。
You can't access this shared folder because your organization's security policies block unauthenticated guest access. These policies help protect your PC from unsafe or malicious devices on the network.
我嘗試了幾種解決方案,例如強制客戶端使用 SMBv3 (不工作),將 * 映射到現有的 unix 使用者 (check_sam_security: Couldn’t find user xxx in passdb.)。我也搜尋了網際網路,但沒有得到任何關於 Linux 的資訊。
我有這樣的想法:讓 smbd 伺服器總是告訴 windows “登錄成功”,而不是“登錄失敗,請使用訪客帳戶”。但我不知道如何配置 smbd 來做到這一點。
如果你對繞過這個win10限制有所了解,請給我一個提示。謝謝)
問題不在於 Samba 共享,而在於 Windows 10 下的新安全設置。他們專門製作了它,以便您無法從 Samba 端繞過此行為。他們在 Cause 部分解釋了原因。
症狀
在 Windows 10、Windows Server 2019 或 Windows Server 2016 中,SMB2 客戶端不再允許以下操作:
- 來賓帳戶訪問遠端伺服器。
- 提供無效憑據後回退到訪客帳戶。
SMBv2 在這些版本的 Windows 中具有以下行為:
- 預設情況下,Windows 10 企業版和 Windows 10 教育版不再允許使用者使用來賓憑據連接到遠端共享,即使遠端伺服器請求來賓憑據也是如此。
- 預設情況下,Windows Server 2016 Datacenter 和 Standard 版本不再允許使用者使用來賓憑據連接到遠端共享,即使遠端伺服器請求來賓憑據也是如此。
- Windows 10 家庭版和專業版與其之前的預設行為保持不變。
如果您嘗試連接到請求訪客憑據而不是適當的經過身份驗證的主體的設備,您可能會收到以下錯誤消息:
> > 您無法訪問此共享文件夾,因為您組織的安全策略會阻止未經身份驗證的訪客訪問。這些策略有助於保護您的 PC 免受網路上不安全或惡意設備的侵害。 > > >
和
原因
預設行為的這種更改是設計使然,Microsoft 出於安全考慮建議這樣做。
冒充合法文件伺服器的惡意電腦可能允許使用者在不知情的情況下以訪客身份進行連接。Microsoft 建議您不要更改此預設設置。如果遠端設備配置為使用訪客憑據,管理員應禁用訪客訪問該遠端設備並配置正確的身份驗證和授權。
自 Windows 2000 以來,Windows 和 Windows Server 尚未啟用訪客訪問或允許遠端使用者以訪客或匿名使用者身份連接。預設情況下,只有第三方遠端設備可能需要訪客訪問。Microsoft 提供的作業系統沒有。
和
解析度
如果要啟用不安全的訪客訪問,可以配置以下組策略設置:
- 打開本地組策略編輯器 (gpedit.msc)。
- 在控制台樹中,選擇電腦配置 > 管理模板 > 網路 > Lanman 工作站。
- 對於設置,右鍵點擊啟用不安全的訪客登錄並選擇編輯。
- 選擇啟用並選擇確定。
來源