Discussion :

[pierrot10]

Bonjour,

J'ai un problème qui retourne.

J'ai un serveur Ubuntu qui fait office de serveur de fichier. J'ai donc installé SAMBA. Et je me pose la question, si la résolution de ce problème n'est pas du côté de mon serveur....

Les workstaion Mac et Linux ne me cause pas de problème, mais par contre avec les workstations Windows, j'ai différents comportement.
Nous avons développé une petite application qui ne soit ne fait que le mappage. Ce qui vaut de fait manuellement "Map network Drive"

Toutes mes postes de travail windows ont la version 21H1 et l'OS est à jour.
Certains PCs arrive se connecter mais certains pas. Pour ceux qui n'y arrive pas j'ai ce message d'erreur qui s'affiche:

You can’t access this shared folder because your organisation’s security policies block unauthenticated guest access. These policies help protect your PC from unsafe or malicious devise on the network

Pour ces machines, j'ai regardé du côté du registre et j'ai constaté que certain ont la clé, et certain ne l'ont pas.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\AllowsecureGuestAuth

Pour ceux qui l'ont pas ou ceux qui l'ont avec la valeur 1, Ils peuvent se connecter, alors que ceux qui l'ont avec la valeur 0, il ne peuvent pas.
Il me semble que j'ai un cas d'un laptop qui a la clé avec la valeur 0, et peut se connecter.

Donc il y a vraiment des comportements différents et pour résoudre ce problème, il faudrait que je change la valeur de la clé 'AllowsecureGuestAuth' à 1, pour chaque PC. Je n'ai pas trop cette solution.

Cependant, je me demande si mon fichier /etc/smaba/smb.conf est bien configuré.

Par exemp,e je n'ai pas la aprtie guest

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
[guest]
        # This share allows anonymous (guest) access
        # without authentication!
        path = /srv/samba/guest/
        read only = no
        guest ok = yes
        guest only = yes

Je me demande si je ne devais pas ajouté cici avec les valeur no

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
[guest]
        # This share allows anonymous (guest) access
        # without authentication!
        path = /srv/samba/guest/
        read only = no
        guest ok = no
        guest only = no

Ou je me demande si au niveau du serveur, je ne devrait pas indiqué, à quelque part que kes connxion invité ne sont pas autorisée.

Voici ma config.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
[home]
        comment = home folders
        path = /home
        writeable = yes
;       browseable = yes
        valid users = toto, titi
        inherit permissions = yes

Est-ce qu'il serait juste d'avoir en plus

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
[home]
        comment = home folders
        path = /home
        writeable = yes
;       browseable = yes
        valid users = toto, titi
        inherit permissions = yes
        guest ok = no

Qu'en pensez-vous? Est-ce qu'il y auarait un truc du côté serveur à faire, ou c'est vraiment un problème local

Merci beaucoup

[gabriel21]

Je suis tout bonnement surpris que certains de tes clients Windows 10 se connectent.
En effet, par défaut, Windows refuse les partage qui ne sont pas protégé par mot de passe ou jeton Kerberos. Je ne savais même pas que l'on pouvait désactiver ce comportement.

J'aurais tendance à te conseiller de créer soit un mot de passe de groupe soit d'utiliser des comptes utilisateurs voir de domaine. Tout dépends du nombre d'utilisateur.
La solution la plus simple reste de mettre en place une GPO qui force le paramètre "AllowsecureGuestAuth " à 1 ou de passer sur tout tes PC Windows, mais n'est pas recommandée pour des raisons de sécurité.
Il me semble que ce paramètre existe plusieurs fois, mais j'avoue que je n'utilise quasiment plus Windows et que dans les infrastructures que je gère, il y a un contrôleur de domaine (Windows AD ou Samba) qui gère les autorisations d'accès au partages et que le SSO est actif, donc les connexions sécurisé et chiffré par authentification.

[pierrot10]

Bonjour Gabriel,

J'ai d'abord une petite question de compréhension.

Windows refuse les partage qui ne sont pas protégé par mot de passe ou jeton Kerberos

Qu'entends tu par lé?

Tous mes comptes SAMBA ont un mot de passe. Donc un utilisateur doit informer son nom d'utilisateur et mot de passe. Je pars dans le principe que mon partage est protégé, dans le sens qu'il n'est pas accessible, si on n'a pas de compte avec mot de passe.

La solution la plus simple reste de mettre en place une GPO qui force le paramètre "AllowsecureGuestAuth " à 1

On est d'accord qu'on parle au niveau du domaine? Je n'ai pas accès à ce nievau et il ne verront pas ces changement pour mes quelques PC.

ou de passer sur tout tes PC Windows, mais n'est pas recommandée pour des raisons de sécurité

Je ne suis en effet pas fan!!

[gabriel21]

Qu'entends tu par lé?

Le message d'erreur est explicite, Windows tente une connexion sans mots de passe ou sans jeton. S'il est sensé le demander, le script doit le fournit.

Tous mes comptes SAMBA ont un mot de passe. Donc un utilisateur doit informer son nom d'utilisateur et mot de passe. Je pars dans le principe que mon partage est protégé, dans le sens qu'il n'est pas accessible, si on n'a pas de compte avec mot de passe.

Mot de passe de session (Windows, Linux ou Mac) et non pas mot de passe de connexion.

On est d'accord qu'on parle au niveau du domaine? Je n'ai pas accès à ce nievau et il ne verront pas ces changement pour mes quelques PC.

Oui, si tu n'as pas la main sur le contrôleur de domaine, tu ne peux pas faire de GPO. Si tes changements ne sont pas validé par les administrateurs du domaine, tu t'exposes au fait qu'en cas de mise à jour des GPO, les modifications manuelles que tu auras faites soit supprimer, voir plus tôt si tes administrateur ont mis en place la vérification des GPO. En gros, chaque fois qu'une session est ouverte auprès du contrôleur de domaine, ou à intervalle régulier, le système demande les GPO et les compare avec celles qu'il a. Les GPO peuvent faire plusieurs Go et sont souvent la cause de ralentissement à l'ouverture de session. La configuration dépends généralement de la politique SSI et varie beaucoup d'une entreprise à l'autre. J'ai déjà travailler dans une entreprise, où les GPO étaient automatiquement téléchargé au démarrage du PC et le PC s'éteignait automatiquement tous les soirs.
Question : ton serveur SAMBA est il intégré à un domaine ou bien est il son propre contrôleur?