SmbServerNameHardeningLevel=2를 사용하여 smb3 폴더를 마운트합니다.

요약:

이 mount.smb3명령은 SmbServerNameHardeningLevel정책이 2로 설정된 Windows 엔드포인트와 호환됩니까? 어떻게 작동하게 할 수 있나요?

---

잘못된 설명:

Ubuntu Desktop 22.04.1에서 Windows 11 시스템에 있는 Samba 폴더를 마운트하려고 하는데 계속 오류가 발생합니다.mount error(13): Permission denied

내가 사용하는 명령은 다음과 같습니다.

sudo mount.smb3 //IP4ADDRESS/FOLDER_NAME /mnt/target/ -o credentials=~/.smbcredentials

자격 증명 파일에는 다음이 포함됩니다.

username=MyUser
password=TheSecr3t
workgroup=WORKGROUP

대상 컴퓨터에서 이벤트 뷰어를 보면 Windows 11 컴퓨터 관리자가 설정한 정책으로 인해 연결이 거부된 것을 볼 수 있습니다. Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SmbServerNameHardeningLevel값이 로 설정되었습니다 2.

Error de autenticación de sesión SMB (SMB session authentication error)

Nombre de cliente (Name of client): \\IP4ADDRESS
Dirección de cliente (Address of client): IP4ADDRESS:50302
Nombre de usuario (Username): MyUser
Id. de sesión (Session ID): 0xB80010000035
Estado (Status): {Acceso denegado} (Access Denied)
Un proceso ha solicitado acceso a un objeto, pero no se le han concedido esos derechos de acceso. (0xC0000022) / A process has requested access to an object, but it was not granted access rights (0xC0000022)
SPN: 
Directiva de validación de SPN (SPN validation directive): SPN required / validate full

---

내가 시도한 것과 내가 아는 것:

나는 오류가아니요권한 /mnt/target, 사용 중인 자격 증명 또는 공유 폴더 설정과 같은 명백한 문제입니다. 어떻게?

• Windows 11 시스템 관리자에게 레지스트리를 통해 일시적으로 다운그레이드하도록 요청하면 SmbServerNameHardeningLevel명령이 완벽하게 작동합니다! 그러나 때때로 글로벌 보안 정책에 의해 다운그레이드가 무시되기 때문에 이는 선택 사항이 아닙니다.1mount.smb3

• 대체 설치 메커니즘으로 사용하면 gio제대로 작동합니다!

echo -e "MyUser\nWORKGROUP\nTheSecre3t" | gio mount smb://IP4ADDRESS/FOLDER_NAME

내가 겪고 있는 문제는 마운트가 가능하기 때문에 마운트 사용자에게만 표시된다는 것입니다. $XDG_RUNTIME_DIR/gvfsUbuntu 시스템의 모든 사용자가 마운트 위치에 액세스할 수 있기를 바랍니다.

• 유효한 경우와 유효하지 않은 경우가 있다는 점을 고려하여 Wireshark를 사용하여 두 경우 모두 패킷을 캡처했으며 유효한 명령이 GSSAPI를 사용하는 것 외에도 NTLMv2 응답의 일부로 속성을 보내는 gio것을 볼 수 있습니다. 그렇지 않은 경우 보안 정책이 .Target Namemount.smb32

---

gio다음은 명령의 패킷 캡처 스크린샷입니다.하다일하다.

mount.smb3이것 이다확실히

만약에내 말이 맞아요. 문제는 어떻게 mount.smb3SPN을 강제로 보낼 수 있느냐는 것 같아요.

---

더 많은 문헌:

이 링크는 내가 설명하는 내용을 확인하는 것 같지만 수정 사항을 찾을 수 없습니다. GSSAPI는 SPN을 올바르게 지원하는 것으로 보이며 이것이 gio작동하는 이유입니다.

• https://github.com/gssapi/gss-ntlmssp/issues/67#issuecomment-1068512627

• https://github.com/jborean93/smbprotocol/issues/169#issuecomment-1067860089

• https://serverfault.com/questions/1096156/why-does-a-ms-gpo-option-break-smb-shares-that-use-a-hosts-file-for-the-machine

• https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/dns-cname-alias-cannot-access-smb-file-server-share

---

첨부된:이러한 세부 정보가 NTLM 협상 방식에 영향을 줄 수 있다는 내용을 여러 번 읽었지만 작동하지 않는 것 같기 때문에 IP 주소 대신 DNS 이름을 사용해 보았습니다.

도움을 주시면 감사하겠습니다. 시간을 내어 이 기사를 읽어주셔서 감사합니다.