Když Samba neověřuje Vista klienty

Nedávno jsem řešil problém s autentizací Windows Vista klientů v lokální síti připojujících se na linuxový sdílený disk. Windows XP server v pořádku ověřoval, ale Vistu nikoliv. Na linuxovém fileserveru běžela Samba 2.27. Po několika hodinovém hledání jsem přišel na to, že Samba v této verzi neumí ověřovat klientské stanice pomoci NTLMv.2, ale zvládá jen NTLMv.1. Což nekoresponduje s výchozím nastavením Visty, kde se jako výchozí protokol používá NTLMv.2. Vista tedy pošle linux serveru požadavek na ověření credentials, ale server neodpoví pomocí NTLMv.2, jelikož mu nerozumí.

Řešení jsou v zásadě dvě. Prvním, a mnou níže rozvedeným, je nastavit autentizaci na Vista klientech, tak aby se používalo NTLMv.1. Druhou variantou je upgrade Samby na verzi 3.0 a vyšší, která by údajně měla NTLMv.2 umět, takže pak by měl problém zmizet. Nejsem linuxář, takže ruku do ohně za tuto informaci nedám.

Pojďme se podívat jak nastavit výchozí autentizaci na Vistě na NTLM v.1. Nejelegantnějším a nejlépe skriptovatelným postupem je provést následující úpravu v registry. Změňte klíč „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LMCompatibilityLevel“ z hodnoty „3“ na hodnotu „1“.

Stejného výsledku dosáhnete i graficky:

  1. Na Vista stanici otevřete Start –> Spustit, napište „secpol.msc“ a potvrďte Enterem.
  2. Přejděte do větve “Local Policies” –> “Security Options”.
  3. Otevřete si politiku “Network Security: LAN Manager authentication level” a zobrazte si její vlastnosti.
  4. Ve výchozím stavu je ověřovací politika nastavena na “NTVLM2 responses only”. Změnte ji na “LM and NTLM – use NTLMV2 session security if negotiated”. Vista pak začne ověřovat jak pomocí NTLM v.2, tak pomocí klasického NTLM a vše se bude chovat stejně jako ve Windows XP.

vista-samba.jpg

Published by

Jiri Brejcha

Jiri is passionate about mobility ranging from Wi-Fi to folding bikes;-) He is a Wi-Fi Technical Solutions Architect at Cisco UK, proud member of the Cisco Live Network Operations Center deployment team, and WLAN Pi development team. If he is not working, he is most likely riding his Brompton bike.

4 thoughts on “Když Samba neověřuje Vista klienty”

  1. Stejný problém nastává s Windows Mail pokud se má na SMTP serveru autentifikovat jménem a heslem. Klient (Windows Mail) hlásí něco jako chyba zásuvky 1054 nebo 1053 a chybu ID 800CC0F.

    SMTP server (Postfix a SASL) pak něco jako toto:
    Nov 20 11:24:19 ix postfix/smtpd[18448]: warning: SASL authentication failure: client didn’t issue valid NTLM response
    Nov 20 11:24:19 ix postfix/smtpd[18448]: warning: unknown[193.179.155.143]: SASL NTLM authentication failed: bad protocol / cancel

  2. Dobrý den,
    nevíte jak tento probmém vyřešit ve W 7 Home Premium.
    Zkousel jsem v HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ zalozit novou promenou “LMCompatibilityLevel” DWORD s hodnotou 1 ale to nefunguje.
    Dekuji.

Leave a Reply

Your email address will not be published. Required fields are marked *