Cifrar tráfico SMB con Samba

Utilizamos Samba en Ubuntu 14.04 LTS como PDC (controlador de dominio primario) con perfiles móviles. Todo funciona bien, excepto si intentamos aplicar el cifrado mediante la configuración:

    server signing = mandatory
    smb encrypt = mandatory

en la [global]sección de /etc/samba/smb.conf. Después de hacerlo, los clientes win 8.0 y win 8.1 (no han probado ningún otro) se quejan: Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden.Traducción al inglés de este texto:The trust relationship between this workstation and the primary domain could not be established.

Si agregamos las dos opciones server signingy smb encryptsolo a la [profiles]sección de smb.conf, se tcpdumpmuestra que el tráfico real no está encriptado.

El smb.conf completo:

[global]
    workgroup = DOMAIN
    server string = %h PDC
    netbios name = HOSTNAME
    wins support = true
    dns proxy = no
    allow dns updates = False
    dns forwarder = IP

    deadtime = 15

    log level = 2
    log file = /var/log/samba/log.%m
    max log size = 5000
    debug pid = yes
    debug uid = yes
    syslog = yes
    utmp = yes

    security = user
    domain logons = yes
    domain master = yes
    os level = 64
    logon path = \\%N\profiles\%U
    logon home = \\%N\%U
    logon drive = H:
    logon script =

    passdb backend = ldapsam:ldap://localhost
    ldap ssl = start tls
    ldap admin dn = cn=admin,dc=DOMAIN,dc=de
    ldap delete dn = no

    encrypt passwords = yes
    server signing = mandatory
    smb encrypt = mandatory

    ## Sync UNIX password with Samba password
    ldap password sync = yes

    ldap suffix = dc=intra,dc=DOMAIN,dc=de
    ldap user suffix = ou=People
    ldap group suffix = ou=Groups
    ldap machine suffix = ou=Computers
    ldap idmap suffix = ou=Idmap

    add user script = /usr/sbin/smbldap-useradd -m '%u' -t 1
    rename user script = /usr/sbin/smbldap-usermod -r '%unew' '%uold'
    delete user script = /usr/sbin/smbldap-userdel '%u'
    set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'
    add group script = /usr/sbin/smbldap-groupadd -p '%g'
    delete group script = /usr/sbin/smbldap-groupdel '%g'
    add user to group script = /usr/sbin/smbldap-groupmod -m '%u' '%g'
    delete user from group script = /usr/sbin/smbldap-groupmod -x '%u' '%g'
    add machine script = /usr/sbin/smbldap-useradd -W '%m' -t 1

[homes]
    comment = Home Directories
    valid users = %S
    read only = No
    browseable = No

[netlogon]
    comment = Network Logon Service
    path = /var/lib/samba/netlogon
    admin users = root
    guest ok = Yes
    browseable = No

[profiles]
    comment = Roaming Profile Share
    path = /var/lib/samba/profiles
    read only = No
    profile acls = Yes
    browsable = No
    valid users = %U
    create mode = 0600
    directory mode = 0700

¿Alguna ayuda?

¡La página de manual de smb.conf necesita ser actualizada! Se refiere al antiguo mecanismo de cifrado específico de Samba que se aplica solo a SMB1 y se realiza a través de extensiones Unix. Esto puede ser usado por smbclient.

Hoy en día, las smb encryptopciones " " también controlan el cifrado de nivel SMB que forma parte de SMB versión 3.0 y posteriores. Los clientes de Windows 8 (y más nuevos) deben cifrar el tráfico con esta configuración.

¿Ha intentado usar la misma configuración ( smb encrypt = mandatoryen la [global]sección) en un miembro de dominio Samba o en un servidor independiente?

Asegúrese de establecer smb encrypt = autoen la [global]sección (no la [profiles]sección). Entonces la disponibilidad general de cifrado aún se anuncia.

Es muy posible que esto sea un error en Samba. Entonces, esto probablemente debería discutirse en la lista de correo de samba-technial o en el bugzilla de samba . Si está utilizando la versión de Ubuntu de Samba, es posible que también desee consultar la página del paquete . Sospecho que se trata de un verdadero problema aguas arriba de Samba.

Esta es una nueva característica introducida con Samba 3.2 y superior. Es una extensión del protocolo SMB / CIFS negociado como parte de las extensiones UNIX. El cifrado SMB utiliza la capacidad GSSAPI (SSPI en Windows) para cifrar y firmar cada solicitud / respuesta en una secuencia de protocolo SMB. Cuando está habilitado, proporciona un método seguro de comunicación SMB / CIFS, similar a una sesión protegida ssh, pero que utiliza la autenticación SMB / CIFS para negociar claves de cifrado y firma. Actualmente, esto solo es compatible con smbclient de Samba 3.2 y, con suerte, pronto los clientes Linux CIFSFS y MacOS / X.Windows clients do not support this feature.

Esto controla si el cliente remoto puede usar o no usar el cifrado SMB. Los valores posibles son automático, obligatorio y deshabilitado. Esto puede establecerse en función de cada recurso compartido, pero los clientes pueden optar por cifrar toda la sesión, no solo el tráfico a un recurso compartido específico. Si se establece como obligatorio, todo el tráfico a un recurso compartido debe cifrarse una vez que se ha realizado la conexión al recurso compartido. El servidor devolvería el "acceso denegado" a todas las solicitudes no cifradas en dicho recurso compartido. La selección del tráfico cifrado reduce el rendimiento, ya que se deben utilizar paquetes de menor tamaño (no se permiten grandes lecturas / escrituras de estilo UNIX), así como la sobrecarga de cifrar y firmar todos los datos.

Si se selecciona el cifrado SMB, la firma SMB estilo Windows (consulte la opción de firma del servidor) ya no es necesaria, ya que los indicadores GSSAPI usan la firma y el sellado selectivo de los datos.

Cuando se establece en automático, se ofrece cifrado SMB, pero no se aplica. Cuando se establece como obligatorio, se requiere el cifrado SMB y si se establece como deshabilitado, el cifrado SMB no se puede negociar.

Valor predeterminado: smb encrypt = auto

Fuente: https://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html