最小限の SMB2 を使用して Linux コマンドラインから Windows 10 Samba 共有にアクセスする

Question

状況は必要なものに応じて多少異なる可能性があるため、ハウツーへの回答には複数の部分が含まれます。

さまざまな検索を通じて見つけた（または見つけたと思われる）すべての情報を含めました。これらは直接的な問題の解決に役立ちました。

デフォルトのDebian 9 StretchカーネルはSMB3をサポートしていません

私のカーネルはSMB3を直接サポートしていないようです

https://unix.stackexchange.com/questions/202961/mounting-smb3-share-with-encryption-fails-mount-error13-permission-denied-s/376166

に基づくhttps://lists.debian.org/debian-kernel/2017/04/msg00266.html

引用:

Am 22.04.2017 um 17:21 schrieb Ben Hutchings:

On Sat, 2017-04-22 at 16:19 +0100, Ben Hutchings wrote:

    On Sat, 2017-04-22 at 14:47 +0200, [email protected] wrote:

        Hi!

        It´s not possible to mount a enrypted CIFS Share yet. is it possible
        to add the following Kernel changes to Debian 8?

    No, we don't backport big features like that.

Of course, if this feature is in Linux 4.9 (I don't know) then you have
the option to install the new kernel version from jessie-backports
(https://backports.debian.org/).

Ben.

私の調査によると、これは Stretch バックポートにも含まれていません (4.11 からのカーネル変更をサポートする cifs-utils でしょうか)

https://packages.debian.org/stretch-backports/allpackages

ただし、新しいカーネルがあるため、バックポート部分については不明ですが、私の場合は、この機能のためにバックポートカーネルにアップグレードしないので、ここで停止しました。

smbtree は SMB3 で動作するためにさらにパラメータが必要です

smbtree を SMB3 で動作させる方法がすぐにはわかりませんでした。また、上記で発見した問題により、SMB3 のアイデアを完全に断念しました。

smbtree は、以下の URL から入手できます。

smbclient はデフォルトでは SMB2 または SMB3 を使用しません。

smbclientのsmbプロトコルのデフォルトバージョンは

SM1 1 1 1

これは Windows 10 ではデフォルトではサポートされていません。

ユースケースでこれが必要な場合は、対応するレジストリキーを追加する必要があります。

HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1 (タイプ DWORD32、値 1 はオン、値 0 はオフ)

Powershell コマンド:

検出する：

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

有効にする：

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 –Force

無効にする:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

これはhttps://support.microsoft.com/en-us/help/2696547/windows で smbv1、smbv2、smbv3 の有効化と無効化を検出する方法

SMB1 を動作させるには、Windows 10 でファイル共有の暗号化レベルを変更する必要がある場合があります。

これを直接テストしていないので、実際に必要かどうかはわかりません。

たとえば、ここからこれを行う方法を参照してください:

https://www.tenforums.com/tutorials/51024-change-file-sharing-encryption-level-windows-10-a.html

引用:

ネットワークと共有センターでファイル共有の暗号化レベルを変更するには

コントロールパネルを開き、ネットワークと共有センターアイコンをクリック/タップします。
左側の「詳細な共有設定の変更」リンクをクリック/タップします。(下のスクリーンショットを参照)
[すべてのネットワーク] ネットワークプロファイルを展開します。
ファイル共有接続で、「40 ビットまたは 56 ビットの暗号化を使用するデバイスでファイル共有を有効にする」を選択します。

作業コマンド

実際に動作させるには

非管理共有:

smbclientコマンドの変更

smbclient -U WIN10Username -L //Client/

に

smbclient -m SMB2 -U WIN10Username -L //Client/

そのクライアントのシェアを表示できます。

実際にアクセスするためのコンソールのマウントパラメータとして:

mount -t cifs -o vers=2.0,username=WIN10Username,password=WIN10Password //CLIENTIP/TESTSHARE MOUNTPOINT

または /etc/fstab エントリとして (起動時に自動マウントされません)

 //CLIENTIP/TESTSHARE /MOUNTPOINT    cifs    vers=2.0,username=WIN10Username,password=WIN10Password 0 0

管理共有

管理共有の場合は、追加のレジストリ変更を 1 つ行う必要があります (ドメインに属していない場合)。

Powershell コマンド:

Set-ItemProperty HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ -Name LocalAccountTokenFilterPolicy -Value 1

ここから引用:

UbuntuでWindows共有をマウントできない

基本的に、これはリモート共有アクセスとメンテナンスの UAC を無効にするものなので、注意してください。

これは意味をよりよく理解するのに役立つ可能性があるため、実際にこれを行う場合は注意してください。

https://www.harmj0y.net/blog/redteaming/pass-the-hash-is-dead-long-live-localaccounttokenfilterpolicy/

#note the \$ is actually needed!, i did read about Qouting the whole String "//CLIENTIP/C$" but i did not test that
mount -t cifs -o vers=2.0,username=WIN10Username,password=WIN10Password //CLIENTIP/C\$ MOUNTPOINT

backuppc の問題:

共有に対する読み取り権限を持つ、backuppc 専用の別のアカウントが必要になります。

backuppcs smbclientのデフォルトオプションには-m SMB2が含まれていません

backuppc が使用するコマンドは次のとおりです。

/usr/bin/smbclient \\\\CLIENT-NAME\\SHARENAME -U Win10Username -E -N -d 1 -c tarmode\ full -Tc -

これを-m SMB2を含めるように変更します

その後も NT_STATUS_ACCESS_DENIED が返されました:

session setup failed: NT_STATUS_ACCESS_DENIED
session setup failed: NT_STATUS_ACCESS_DENIED
tarExtract: Done: 0 errors, 0 filesExist, 0 sizeExist, 0 sizeExistComp, 0 filesTotal, 0 sizeTotal

-Uの後にパスワードを追加して手動で実行する

/usr/bin/smbclient -m SMB2 \\\\CLIENT-NAME\\SHARENAME -U Win10Username WIN10Password -E -N -d 1 -c tarmode\ full -Tc -

作品

-N を削除すると、同様に機能するパスワードの入力を求められます。

私はこれをbackuppcの構成ファイル内に保存したくなかったので、最終バージョンでは資格情報方式を使用します。

backuppc コマンドと smbclient コマンドの違いを手動で調べようとしたところ、-N接続時の動作が異なることがわかりました。

-N なしのソリューションが機能しています (ユーザー名、パスワード、または資格情報ファイルの有無は関係ありません。非管理共有または管理共有でも何も変わりません)

/usr/bin/smbclient -m SMB2 \\\\CLIENTNAME\\test3 -U WIN10Username WIN10Password -E -d 5 -c tarmode\ full -Tc -
/usr/bin/smbclient -m SMB2 \\\\CLIENTNAME\\test3 -A /etc/samba/smb.cred -E -d 5 -c tarmode\ full -Tc -


cut
...
NTLMSSP Sign/Seal - Initialising with flags:
Got NTLMSSP neg_flags=0x62088215
NTLMSSP_NEGOTIATE_UNICODE
NTLMSSP_REQUEST_TARGET
NTLMSSP_NEGOTIATE_SIGN
NTLMSSP_NEGOTIATE_NTLM
NTLMSSP_NEGOTIATE_ALWAYS_SIGN
NTLMSSP_NEGOTIATE_EXTENDED_SESSIONSECURITY
NTLMSSP_NEGOTIATE_VERSION
NTLMSSP_NEGOTIATE_128
NTLMSSP_NEGOTIATE_KEY_EXCH
NTLMSSP Sign/Seal - Initialising with flags:
Got NTLMSSP neg_flags=0x62088215
NTLMSSP_NEGOTIATE_UNICODE
NTLMSSP_REQUEST_TARGET
NTLMSSP_NEGOTIATE_SIGN
NTLMSSP_NEGOTIATE_NTLM
NTLMSSP_NEGOTIATE_ALWAYS_SIGN
NTLMSSP_NEGOTIATE_EXTENDED_SESSIONSECURITY
NTLMSSP_NEGOTIATE_VERSION
NTLMSSP_NEGOTIATE_128
NTLMSSP_NEGOTIATE_KEY_EXCH

ドメイン=[CLIENTNAME] OS=[] サーバー=[] ... カット

動作しないバージョン-N:

/usr/bin/smbclient -m SMB2 \\\\CLIENTNAME\\test3 -U WIN10Username WIN10Password -N -E -d 5 -c tarmode\ full -Tc -
/usr/bin/smbclient -m SMB2 \\\\CLIENTNAME\\test3 -A /etc/samba/smb.cred -N -E -d 5 -c tarmode\ full -Tc -


cut
...
NTLMSSP Sign/Seal - Initialising with flags:
Got NTLMSSP neg_flags=0x62088215
NTLMSSP_NEGOTIATE_UNICODE
NTLMSSP_REQUEST_TARGET
NTLMSSP_NEGOTIATE_SIGN
NTLMSSP_NEGOTIATE_NTLM
NTLMSSP_NEGOTIATE_ALWAYS_SIGN
NTLMSSP_NEGOTIATE_EXTENDED_SESSIONSECURITY
NTLMSSP_NEGOTIATE_VERSION
NTLMSSP_NEGOTIATE_128
NTLMSSP_NEGOTIATE_KEY_EXCH
SPNEGO login failed: Logon failure
...
cut
...
SPNEGO login failed: Access denied
session setup failed: NT_STATUS_ACCESS_DENIED

Backuppc Win10 クライアントの動作ソリューション

上記のすべての情報を考慮すると、次の backuppc オプションを使用して Win10 管理共有をバックアップできます。

SmbClientフルコマンド:

ハードコード:

$smbClientPath -m SMB2 \\$host\$shareName $I_option -U $userName WIN10Password -E -d 5 -c tarmode\ full -Tc$X_option - $fileList

I was unable to use the Password in SmbSharePasswd, but as this wasn't the desired output i did not dig deeper if i made an possible error here.

信用ファイル:

$smbClientPath -m SMB2 \\$host\$shareName $I_option -A /PATH/samb_creditfile -E -d 5 -c tarmode\ full -Tc$X_option - $fileList


Remember you need permissions for the backuppc user on that file.

Answer 1

状況は必要なものに応じて多少異なる可能性があるため、ハウツーへの回答には複数の部分が含まれます。

さまざまな検索を通じて見つけた（または見つけたと思われる）すべての情報を含めました。これらは直接的な問題の解決に役立ちました。

デフォルトのDebian 9 StretchカーネルはSMB3をサポートしていません

私のカーネルはSMB3を直接サポートしていないようです

https://unix.stackexchange.com/questions/202961/mounting-smb3-share-with-encryption-fails-mount-error13-permission-denied-s/376166

に基づくhttps://lists.debian.org/debian-kernel/2017/04/msg00266.html

引用:

Am 22.04.2017 um 17:21 schrieb Ben Hutchings:

On Sat, 2017-04-22 at 16:19 +0100, Ben Hutchings wrote:

    On Sat, 2017-04-22 at 14:47 +0200, [email protected] wrote:

        Hi!

        It´s not possible to mount a enrypted CIFS Share yet. is it possible
        to add the following Kernel changes to Debian 8?

    No, we don't backport big features like that.

Of course, if this feature is in Linux 4.9 (I don't know) then you have
the option to install the new kernel version from jessie-backports
(https://backports.debian.org/).

Ben.

私の調査によると、これは Stretch バックポートにも含まれていません (4.11 からのカーネル変更をサポートする cifs-utils でしょうか)

https://packages.debian.org/stretch-backports/allpackages

ただし、新しいカーネルがあるため、バックポート部分については不明ですが、私の場合は、この機能のためにバックポートカーネルにアップグレードしないので、ここで停止しました。

smbtree は SMB3 で動作するためにさらにパラメータが必要です

smbtree を SMB3 で動作させる方法がすぐにはわかりませんでした。また、上記で発見した問題により、SMB3 のアイデアを完全に断念しました。

smbtree は、以下の URL から入手できます。

smbclient はデフォルトでは SMB2 または SMB3 を使用しません。

smbclientのsmbプロトコルのデフォルトバージョンは

SM1 1 1 1

これは Windows 10 ではデフォルトではサポートされていません。

ユースケースでこれが必要な場合は、対応するレジストリキーを追加する必要があります。

HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1 (タイプ DWORD32、値 1 はオン、値 0 はオフ)

Powershell コマンド:

検出する：

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

有効にする：

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 –Force

無効にする:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

これはhttps://support.microsoft.com/en-us/help/2696547/windows で smbv1、smbv2、smbv3 の有効化と無効化を検出する方法

SMB1 を動作させるには、Windows 10 でファイル共有の暗号化レベルを変更する必要がある場合があります。

これを直接テストしていないので、実際に必要かどうかはわかりません。

たとえば、ここからこれを行う方法を参照してください:

https://www.tenforums.com/tutorials/51024-change-file-sharing-encryption-level-windows-10-a.html

引用:

ネットワークと共有センターでファイル共有の暗号化レベルを変更するには

コントロールパネルを開き、ネットワークと共有センターアイコンをクリック/タップします。
左側の「詳細な共有設定の変更」リンクをクリック/タップします。(下のスクリーンショットを参照)
[すべてのネットワーク] ネットワークプロファイルを展開します。
ファイル共有接続で、「40 ビットまたは 56 ビットの暗号化を使用するデバイスでファイル共有を有効にする」を選択します。

作業コマンド

実際に動作させるには

非管理共有:

smbclientコマンドの変更

smbclient -U WIN10Username -L //Client/

に

smbclient -m SMB2 -U WIN10Username -L //Client/

そのクライアントのシェアを表示できます。

実際にアクセスするためのコンソールのマウントパラメータとして:

mount -t cifs -o vers=2.0,username=WIN10Username,password=WIN10Password //CLIENTIP/TESTSHARE MOUNTPOINT

または /etc/fstab エントリとして (起動時に自動マウントされません)

 //CLIENTIP/TESTSHARE /MOUNTPOINT    cifs    vers=2.0,username=WIN10Username,password=WIN10Password 0 0

管理共有

管理共有の場合は、追加のレジストリ変更を 1 つ行う必要があります (ドメインに属していない場合)。

Powershell コマンド:

Set-ItemProperty HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ -Name LocalAccountTokenFilterPolicy -Value 1

ここから引用:

UbuntuでWindows共有をマウントできない

基本的に、これはリモート共有アクセスとメンテナンスの UAC を無効にするものなので、注意してください。

これは意味をよりよく理解するのに役立つ可能性があるため、実際にこれを行う場合は注意してください。

https://www.harmj0y.net/blog/redteaming/pass-the-hash-is-dead-long-live-localaccounttokenfilterpolicy/

#note the \$ is actually needed!, i did read about Qouting the whole String "//CLIENTIP/C$" but i did not test that
mount -t cifs -o vers=2.0,username=WIN10Username,password=WIN10Password //CLIENTIP/C\$ MOUNTPOINT

backuppc の問題:

共有に対する読み取り権限を持つ、backuppc 専用の別のアカウントが必要になります。

backuppcs smbclientのデフォルトオプションには-m SMB2が含まれていません

backuppc が使用するコマンドは次のとおりです。

/usr/bin/smbclient \\\\CLIENT-NAME\\SHARENAME -U Win10Username -E -N -d 1 -c tarmode\ full -Tc -

これを-m SMB2を含めるように変更します

その後も NT_STATUS_ACCESS_DENIED が返されました:

session setup failed: NT_STATUS_ACCESS_DENIED
session setup failed: NT_STATUS_ACCESS_DENIED
tarExtract: Done: 0 errors, 0 filesExist, 0 sizeExist, 0 sizeExistComp, 0 filesTotal, 0 sizeTotal

-Uの後にパスワードを追加して手動で実行する

/usr/bin/smbclient -m SMB2 \\\\CLIENT-NAME\\SHARENAME -U Win10Username WIN10Password -E -N -d 1 -c tarmode\ full -Tc -

作品

-N を削除すると、同様に機能するパスワードの入力を求められます。

私はこれをbackuppcの構成ファイル内に保存したくなかったので、最終バージョンでは資格情報方式を使用します。

backuppc コマンドと smbclient コマンドの違いを手動で調べようとしたところ、-N接続時の動作が異なることがわかりました。

-N なしのソリューションが機能しています (ユーザー名、パスワード、または資格情報ファイルの有無は関係ありません。非管理共有または管理共有でも何も変わりません)

/usr/bin/smbclient -m SMB2 \\\\CLIENTNAME\\test3 -U WIN10Username WIN10Password -E -d 5 -c tarmode\ full -Tc -
/usr/bin/smbclient -m SMB2 \\\\CLIENTNAME\\test3 -A /etc/samba/smb.cred -E -d 5 -c tarmode\ full -Tc -


cut
...
NTLMSSP Sign/Seal - Initialising with flags:
Got NTLMSSP neg_flags=0x62088215
NTLMSSP_NEGOTIATE_UNICODE
NTLMSSP_REQUEST_TARGET
NTLMSSP_NEGOTIATE_SIGN
NTLMSSP_NEGOTIATE_NTLM
NTLMSSP_NEGOTIATE_ALWAYS_SIGN
NTLMSSP_NEGOTIATE_EXTENDED_SESSIONSECURITY
NTLMSSP_NEGOTIATE_VERSION
NTLMSSP_NEGOTIATE_128
NTLMSSP_NEGOTIATE_KEY_EXCH
NTLMSSP Sign/Seal - Initialising with flags:
Got NTLMSSP neg_flags=0x62088215
NTLMSSP_NEGOTIATE_UNICODE
NTLMSSP_REQUEST_TARGET
NTLMSSP_NEGOTIATE_SIGN
NTLMSSP_NEGOTIATE_NTLM
NTLMSSP_NEGOTIATE_ALWAYS_SIGN
NTLMSSP_NEGOTIATE_EXTENDED_SESSIONSECURITY
NTLMSSP_NEGOTIATE_VERSION
NTLMSSP_NEGOTIATE_128
NTLMSSP_NEGOTIATE_KEY_EXCH

ドメイン=[CLIENTNAME] OS=[] サーバー=[] ... カット

動作しないバージョン-N:

/usr/bin/smbclient -m SMB2 \\\\CLIENTNAME\\test3 -U WIN10Username WIN10Password -N -E -d 5 -c tarmode\ full -Tc -
/usr/bin/smbclient -m SMB2 \\\\CLIENTNAME\\test3 -A /etc/samba/smb.cred -N -E -d 5 -c tarmode\ full -Tc -


cut
...
NTLMSSP Sign/Seal - Initialising with flags:
Got NTLMSSP neg_flags=0x62088215
NTLMSSP_NEGOTIATE_UNICODE
NTLMSSP_REQUEST_TARGET
NTLMSSP_NEGOTIATE_SIGN
NTLMSSP_NEGOTIATE_NTLM
NTLMSSP_NEGOTIATE_ALWAYS_SIGN
NTLMSSP_NEGOTIATE_EXTENDED_SESSIONSECURITY
NTLMSSP_NEGOTIATE_VERSION
NTLMSSP_NEGOTIATE_128
NTLMSSP_NEGOTIATE_KEY_EXCH
SPNEGO login failed: Logon failure
...
cut
...
SPNEGO login failed: Access denied
session setup failed: NT_STATUS_ACCESS_DENIED

Backuppc Win10 クライアントの動作ソリューション

上記のすべての情報を考慮すると、次の backuppc オプションを使用して Win10 管理共有をバックアップできます。

SmbClientフルコマンド:

ハードコード:

$smbClientPath -m SMB2 \\$host\$shareName $I_option -U $userName WIN10Password -E -d 5 -c tarmode\ full -Tc$X_option - $fileList

I was unable to use the Password in SmbSharePasswd, but as this wasn't the desired output i did not dig deeper if i made an possible error here.

信用ファイル:

$smbClientPath -m SMB2 \\$host\$shareName $I_option -A /PATH/samb_creditfile -E -d 5 -c tarmode\ full -Tc$X_option - $fileList


Remember you need permissions for the backuppc user on that file.

最小限の SMB2 を使用して Linux コマンドラインから Windows 10 Samba 共有にアクセスする

答え1

デフォルトのDebian 9 StretchカーネルはSMB3をサポートしていません

smbtree は SMB3 で動作するためにさらにパラメータが必要です

smbclient はデフォルトでは SMB2 または SMB3 を使用しません。

作業コマンド

管理共有

backuppc の問題:

Backuppc Win10 クライアントの動作ソリューション

関連情報