mount_smbfs: permission denied

schorsch_76

FreeBSD Fanboy
Hallo zusammen,

momentan möchte ich mein NAS auf meine BSD Rechner einbinden. Nur mit mount_smbfs bekomme ich einen Fehler:

Code:
root@M4700:/home/georg # mount_smbfs -U georg //NAS-DSM/georg-home /home/georg/NAS/
Password:
mount_smbfs: unable to open connection: syserr = Permission denied

Auf dem Samba Server läuft FreeBSD 11.2_RELEASE mit Samba 4.8.5. Der Benutername, die Freigabe und das Passwort ist richtig.... Warum bekomm ich dann Permission denied? :confused:


Code:
root@NAS-DSM:/home/georg # pkg info | grep samba48
samba48-4.8.5_1                Free SMB/CIFS and AD/DC server and client for Unix

und die smb4.conf
Code:
root@NAS-DSM:/home/georg # cat /usr/local/etc/smb4.conf 
[global]
workgroup = WORKGROUP
netbios name = NAS-DSM

# this is important to join the workgroup
domain master = no

# allow to execute from the share
acl allow execute always = True

server role = standalone server
#server role = member server
realm = nas-dsm

#name resolve order = wins lmhosts bcast
name resolve order = wins bcast

# %v prints the version of Samba being used.
server string = Samba Server %v
load printers = no

## # This line enables the log file and limits its size to less than 50kb.
log file = /var/log/samba4/log.%m
log level = 2
max log size = 50

## # We are going to set some options for our interfaces...
socket options = TCP_NODELAY

## # This is a good idea, what we are doing is binding the
# samba server to our local network.
# For example, if eth0 is the local network interface:
interfaces = re0
# bind interfaces only = yes

## # Specifies which IP address range is allowed to access Samba
hosts allow = 127.0.0.1 192.168.160.0/24
hosts deny = 0.0.0.0/0

## # Other options for this are USER, DOMAIN, ADS, and SERVER
# The default is user
security = user
map to guest = Bad Password

## # No passwords will be used so a guest account should be enabled:
guest ok = yes

## # Create a new share that can read from or written to anywhere.
# This is kind of like a temp public share; anyone can do what
# they want here:

guest account = nobody

[public]
comment = Tausch
.... Freigaben
 
Code:
smbclient -L NAS-DSM -U georg
Enter WORKGROUP\georg's password:

        Sharename       Type      Comment
        ---------       ----      -------
        public          Disk      Tausch
        georgfs         Disk      foldersync for georg
        georg-office    Disk      office for georg
        georg-home      Disk      homedir for georg
        georg-images    Disk      images for georg
        georg-develop   Disk      development georg
        georg-misc      Disk      misc files for georg
        georg-media     Disk      media files for georg
        xiaofs          Disk      foldersync for xiao
        monikafs        Disk      foldersync for monika
        IPC$            IPC       IPC Service (Samba Server 4.8.5)
Reconnecting with SMB1 for workgroup listing.

        Server               Comment
        ---------            -------

        Workgroup            Master
        ---------            -------
        WORKGROUP            NAS-DSM

Ja, das geht. Die Mounts werden auch unter Linux und Windows gefunden und gemountet.

Das komische ist, das unter KDE5 die Laufwerke auch nicht in dolphin erscheinen.
 
Also das geht alles

Code:
smbclient -U georg //NAS-DSM/georg-home
Enter WORKGROUP\georg's password:
Try "help" to get a list of possible commands.
smb: \> ls
  .                                   D        0  Wed Oct 31 13:03:34 2018
  ..                                  D        0  Sat Sep  8 08:59:09 2018
  Texte.rar                           N 15345434  Fri Aug 11 06:31:27 2017
....
 
Übergehe mal NETBIOS (*schüttel*) und übergebe ihm den Host direkt mit -I. Das hilft oft.
 
Leider bringt das auch nichts ...

Code:
root@M4700:/home/georg # mount_smbfs -I 192.168.160.11 -U georg //192.168.160.11/georg-home /home/georg/NAS/georg-home
Password:
mount_smbfs: unable to open connection: syserr = Permission denied

testparm -v zeigt
Code:
        server max protocol = SMB3
        server min protocol = LANMAN1
 
Zuletzt bearbeitet:
Und wenn du statt -U georg den User mit in den Verbindungsparameter übernimmst?
Code:
mount_smbfs -I 192.168.160.11 //georg@192.168.160.11/georg-home /home/georg/NAS/georg-home
 
Dinge die mir noch einfallen:
1. mount_smbfs als nicht "root" ausführen
2. mount_smbfs mit "-W WORKGROUP"
3. Wie sehen die Berechtigungen von "georg-home" auf dem "NAS" aus?
4. smb log level auf dem Server hoch schrauben und die logs checken
 
/home/georg/NAS/ muss vor dem mountbefehl existieren und dem eingeloggten Benutzer gehören, meine ich.

Ich mounte meinen Krams aus Gewohnheit unter z.B. /mnt/freigabe1
freigabe1 gehört root und gemountet wird auch als root. Kannst ja beides mal probieren.
 
Ok, aus den logs hab ich

mount_smbfs -I 192.168.160.11 -Ugeorg //192.168.160.11/georg-home /home/georg/NAS/georg-home
...
Checking NTLMSSP password for NODOMAIN\GEORG failed: NT_STATUS_WRONG_PASSWORD, authoritative=1

und es wird wohl LANMAN1 als Protokoll verwendet. Mit smbclient wird smb2 verwendet.
 
NT_STATUS_WRONG_PASSWORD

Zeichensatz anders/falsch? UTF-8 wird nicht gefressen oder Sonderzeichen werden falsch angenommen?

Code:
-Llocale
     Use localefor lower/uppercase conversionroutines.  Set the
     locale forcase conversion.  By default, mount_smbfs triesto use
     anenvironment variable LC_* to determine it.


Edit: Da ich ewig nix mehr mit samba getrieben habe....mag jetzt Dummfug oder linuxspecial sein:

Was passiert bei 'mount -t cifs ...' statts 'mount_smbfs'?

Edit2:

I have running a Samba 4.3 server on CURRENT on which I can set "min protocol"
and "max protocol" as I like. this server does not allow connections via
139/tcp (filtered via ipfw). When setting "min protocol = SMB2" any mount
attempt with mount_smbfs(8) fail, setting the tag to NT1 I'm able to
succesfully connect via port 445/tcp. So for that reason I suspect a problem
with the SMB version negotiated with the 2012 R2 server and the inability of
mount_smbfs(8) (or its appropriate kernel backend) to handle any protocol
version higher than NT1 (or SMB1).

Quelle: https://lists.freebsd.org/pipermail/freebsd-current/2016-March/059958.html
 
Ich würde eher den "-W WORKGROUP" Parameter mal testen, in dem Log steht "password for NODOMAIN\GEORG" ... mit smbclient und "WORKGROUP\GEORG" hatte es funktioniert.

Code:
smbclient -U georg //NAS-DSM/georg-home
Enter WORKGROUP\georg's password:
Try "help" to get a list of possible commands.
smb: \> ls
  .                                   D        0  Wed Oct 31 13:03:34 2018
  ..                                  D        0  Sat Sep  8 08:59:09 2018
  Texte.rar                           N 15345434  Fri Aug 11 06:31:27 2017
....
 
Ich hab jetzt mal das erfolgreiche Log mit smbclient und das nicht erfolgreiche log mit mount_smbfs gegenübergestellt. Das scheint total anders zu laufen.
 

Anhänge

  • 2018-11-01-205217_1920x1080_scrot.png
    2018-11-01-205217_1920x1080_scrot.png
    489,6 KB · Aufrufe: 381
Ich glaube das es ein Problem mit der Protokol Version ist.

https://github.com/freebsd/freebsd/tree/master/contrib/smbfs
Code:
SMB/CIFS protocol and SMB/CIFS file system implementation
        for FreeBSD, version 1.4.
  
    This is native SMB/CIFS filesystem (smbfs for short) for FreeBSD.
It is a complete, kernel side implementation of SMB requester and filesystem.

    Supported platform        Comment
    FreeBSD 4.X        Port

    FreeBSD 4.5        Everything available in the base system.

    FreeBSD-current        Everything available in the base system.

    Darwin            maintained in the Darwin's  tree.

    I would be very grateful for any feedback, bug reports etc.

    Supported SMB servers:
    Samba
    Windows 95/98/ME/2000/NT4.0 (SPs 4, 5, 6)
    IBM LanManager
    NetApp

https://wiki.samba.org/index.php/LinuxCIFS
und CIFS unterstützt SMB3
Code:
The CIFS VFS is a virtual file system for Linux to allow access to modern SMB3 servers (Windows, NetApp, EMC, Samba, Macs and Azure) as well as older servers and storage appliances compliant with the SNIA CIFS Specification version 1.0 or later. Popular older servers such as Samba 3, Windows 2000, Windows XP and many others supported CIFS by default, but modern servers and network appliances now support SMB3 or later. The CIFS VFS supports both.

So schaut es aus wenn Win 10 und Linux verbunden sind...
Code:
root@NAS-DSM:/home/georg # smbstatus

Samba version 4.8.5
PID     Username     Group        Machine                                   Protocol Version  Encryption           Signing            
----------------------------------------------------------------------------------------------------------------------------------------
93068   georg        georg        192.168.160.84 (ipv4:192.168.160.84:50357) SMB3_11           -                    partial(AES-128-CMAC)
2280    georg        georg        192.168.160.87 (ipv4:192.168.160.87:34954) NT1               -                    -                  

Service      pid     Machine       Connected at                     Encryption   Signing    
---------------------------------------------------------------------------------------------
public       93068   192.168.160.84 Fr. Nov.  2 07:46:06 2018 CET    -            -          
georgfs      93068   192.168.160.84 Fr. Nov.  2 07:46:06 2018 CET    -            -          
georgfs      2280    192.168.160.87 Fr. Nov.  2 08:31:48 2018 CET    -            -          
georg-misc   93068   192.168.160.84 Fr. Nov.  2 07:46:06 2018 CET    -            -          
georg-misc   2280    192.168.160.87 Fr. Nov.  2 08:31:48 2018 CET    -            -          
georg-images 93068   192.168.160.84 Fr. Nov.  2 07:46:06 2018 CET    -            -          
georg-home   2280    192.168.160.87 Fr. Nov.  2 08:31:48 2018 CET    -            -          
georg-home   93068   192.168.160.84 Fr. Nov.  2 07:46:06 2018 CET    -            -          
IPC$         2280    192.168.160.87 Fr. Nov.  2 08:31:48 2018 CET    -            -          
georg-media  93068   192.168.160.84 Fr. Nov.  2 07:46:06 2018 CET    -            -          
georg-images 2280    192.168.160.87 Fr. Nov.  2 08:31:48 2018 CET    -            -          
georg-develop 93068   192.168.160.84 Fr. Nov.  2 07:46:06 2018 CET    -            -          
georg-develop 2280    192.168.160.87 Fr. Nov.  2 08:31:48 2018 CET    -            -          

Locked files:
Pid          Uid        DenyMode   Access      R/W        Oplock           SharePath   Name   Time
--------------------------------------------------------------------------------------------------
93068        1001       DENY_NONE  0x80        RDONLY     NONE             /usr/home/nas/images/georg   .   Fri Nov  2 08:10:57 2018
93068        1001       DENY_NONE  0x80        RDONLY     NONE             /usr/home/nas/develop/georg   .   Fri Nov  2 08:10:57 2018
93068        1001       DENY_NONE  0x80        RDONLY     NONE             /usr/home/nas/misc/georg   .   Fri Nov  2 08:10:57 2018
93068        1001       DENY_NONE  0x80        RDONLY     NONE             /usr/home/nas/home/georg   .   Fri Nov  2 08:10:57 2018
93068        1001       DENY_NONE  0x80        RDONLY     NONE             /mnt/media   .   Fri Nov  2 08:10:57 2018

Könnt ihr mal schauen, wenn ihr verbunden seit, mit BSD, welches Protokol verwendet wird?

Ein downgrade auf samba46 hat auch nichts geholfen.... :(
 
Zuletzt bearbeitet:
Und bald noch wichtiger: Wir reden hier anscheinend von einem Firmennetz. Dort noch SMB1 wieder aktivieren? Echt jetzt? Das SMB1 inzwischen weitgehend gestorben ist, hat gute Gründe. Vor allem ist es noch immer einer der Hauptverbreitungswege für Cryptotrojaner aller Art. SMB1 zu nutzen ist nicht mehr verantwortungslos, es ist grob Fahrlässig und wird von den meisten Versicherungen gegen Computerkriminalität inzwischen auch so eingestuft. Ich könnte mir vorstellen, dass es, sollte es hart auf hart kommen, ein Zivilgericht im Schadensersatzprozess Arbeitgeber gegen Arbeitnehmer ähnlich sieht. Zumindest, wenn es eine entsprechende Policy durch die lokale IT oder Geschäftsführung gab.

Nein, anstatt auf Krampf das FreeNAS noch mit mount_smbfs zusammenmurksen zu wollen, ist nicht die Lösung. Gehe lieber einen der anderen Wege, die wir oben genannt haben.
 
Zurück
Oben