SMB-Clientdateisystem

Online bearbeiten

Das SMB-Clientdateisystem basiert auf Version 2.1 und Version 3.0.2 des SMB-Protokolls. Sie können das SMB-Clientdateisystem verwenden, um auf Dateien auf einem SMB-Server zuzugreifen.

Der SMB-Server ist ein Server, auf dem das Betriebssystem Windows Server 2012, Windows Server 2016 oder Windows Server 2019 ausgeführt wird. In beiden dieser Serverbetriebssystemtypen kann ein Verzeichnis als freigegebenes Verzeichnis exportiert werden. Diese gemeinsam genutzte Ressource kann dann über das SMB-Clientdateisystem an eine logische AIX® -Partition angehängt werden. Über das SMB-Clientdateisystem können Sie auf die freigegebenen Verzeichnisse auf SMB-Servern als lokale Dateisysteme in der logischen AIX-Partition zugreifen. Mithilfe des SMB-Clientdateisystems können Sie Dateien und Verzeichnisse auf dem SMB-Server erstellen, löschen, lesen und schreiben sowie die Dauer des Zugriffs auf diese Dateien und Verzeichnisse ändern. Sie können jedoch nicht den Eigner oder die Zugriffsberechtigung für diese Dateien und Verzeichnisse ändern.
Hinweis: Das SMB-Clientdateisystem wird in WPAR-Partitionen nicht unterstützt.
Die folgenden Funktionen des SMB-Protokolls 3.0.2 sind im SMB-Clientdateisystem verfügbar:
SMB 3.0.2 - sichere Vereinbarung unter Berücksichtigung der Version

Sie können eine gemeinsam genutzte Ressource vom SMB-Server an das AIX Virtual File System (VFS) anhängen, indem Sie die SMB-Protokollversion 3.0.2verwenden.

Der SMB 3.0.2-Versionsserver ermöglicht die sichere Vereinbarung unter Berücksichtigung der Version zum Schutz vor Sicherheitsrisiken. Wenn der SMB 3.0.2-Programmversion vereinbart wurde, muss der SMB-Client eine obligatorische signierte Anforderung senden, um die Vereinbarungsinformationen zu validieren.

SMB 3.0.2 - Signierung
Das SMB-Protokoll 3.0.2 verwendet zum Signieren einen neuen Verschlüsselungsalgorithmus. Advanced Encryption Standard (AES)-verschlüsselungsbasierter Nachrichtenauthentifizierungscode (CMAC), AES-128-CMAC, um die Integrität von Nachrichten zu gewährleisten, die zwischen dem SMB-Client und dem SMB-Server ausgetauscht werden, indem die ausgehenden Nachrichten signiert und die eingehenden Nachrichten validiert werden.
SMB 3.0.2 - Verschlüsselung

Die SMB-Verschlüsselung ermöglicht die End-to-End-Verschlüsselung schützt vor dem Ausspionieren von SMB-Daten in nicht vertrauenswürdigen Netzen. Die SMB-Verschlüsselung kann für einzelne Freigaben oder für den gesamten Dateiserver konfiguriert werden und sie kann für verschiedene Szenarios aktiviert werden, in denen Daten nicht vertrauenswürdige Netze durchqueren.

Anfang der ÄnderungSMB 3.0.2 - keine Beachtung der Groß-/Kleinschreibung bei Datei- und VerzeichnisnamenEnde der Änderung
Anfang der ÄnderungSMB 3.0.2-Client unterstützt nur case-insensitive Datei- oder Verzeichnisnamen, die mit dem Windows-basierten SMB-Server übereinstimmen. Ende der Änderung
Anfang der ÄnderungSMB 3.0.2 - Unterstützung für UTF-8 (Unicode Transformation Format oder Universal Coded Character Set mit 8 Bit)Ende der Änderung
Anfang der ÄnderungSMB 3.0.2 unterstützt den codierten Zeichensatz UTF-8 und ermöglicht die Konvertierung des UTF-16-Zeichensatzes, der für den SMB-Server erforderlich ist. Da das AIX-Betriebssystem den UTF-8-Codesatz unterstützt, werden Textdaten, die von oder zu AIX logischen Partitionen übertragen werden, im UTF-8-Format gespeichert. Der AIX-SMB 3.0.2-Client konvertiert den codierten Zeichensatz UTF-8 in den codierten Zeichensatz UTF-16, bevor Textdaten an den SMB-Server gesendet werden, und den codierten Zeichensatz UTF-16 in den codierten Zeichensatz UTF-8, nachdem Textdaten vom SMB-Server empfangen wurden.Ende der Änderung
Anfang der ÄnderungSMB 3.0.2 - Unterstützung der Operation 'Live Update'Ende der Änderung
Anfang der ÄnderungSMB 3.0.2 unterstützt die Operation 'Live Update' mit eingeschränkten Funktionen. Auf einem SMB 3.0.2-Client ist die Operation 'Live Update' nur zulässig, wenn keine SMB-Freigaben angehängt sind. Andernfalls schlägt die Operation 'Live Update' fehl. Aus diesem Grund müssen alle SMB-Freigaben widerrufen werden, bevor die Operation 'Live Update' gestartet wird, d. h. Sie müssen alle SMB-Freigaben widerrufen, bevor die Operation 'Live Update' gestartet wird, und die SMB-Freigaben anhängen, nachdem die Operation 'Live Update' abgeschlossen ist. Während der Operation 'Live Update' dürfen keine SMB-Freigaben angehängt sein. Ende der Änderung
SMB 3.0.2 -Unterstützung für das Ändern des Service-Principal-Namens
Ein Serviceprinzipalname (SPN) ist ein eindeutiger Bezeichner einer Serviceinstanz. SPNs werden von der Kerberos -Authentifizierung verwendet, um eine Serviceinstanz einem Serviceanmeldekonto zuzuordnen. Standardmäßig wird SPN automatisch vom SMB-Clientdateisystem als cifs/<smbServerHostName>erstellt. Sie können den Wert des Standard-SPN ändern, wenn Sie das SMB-Clientdateisystem anhängen.

SMB-Clientdateisystem installieren

Das SMB-Clientdateisystem im Betriebssystem AIX erfordert Kerberos-basierte GSSAPI, um die benutzerauthentifizierte Sitzung mit dem SMB-Protokoll Version 2.1 oder Version 3.0.2zu starten. Unter dem Betriebssystem AIX wird die GSSAPI von einer Userspace-Bibliothek in der Dateigruppe IBM® Network Authentication Service (NAS) Version 1.16.1.0oder höher bereitgestellt. SMB Version 3.0.2 verwendet die Bibliothek AIX OpenSSL zum Generieren von Schlüsseln für Signatur und Verschlüsselung.

Daher müssen Sie OpenSSL Version 1.0.2.2002 der Dateigruppe openssl.base für das Betriebssystem AIX installieren:
  • IBM AIX 7.2, und später bis IBM AIX 7.2 mit Technology Level 5, Service Pack 6.
  • IBM AIX 7.1

Für IBM AIX 7.3 mit Technology Level 1 und höher müssen Sie OpenSSL Version 3.0.5 des openssl.base Filesets installieren. Diese Dateigruppen sind in IBM AIX Expansion Pack und AIX Web Download Pack Programs enthalten.

Führen Sie die folgenden Schritte aus, um das SMB-Clientdateisystem auf einer logischen AIX -Partition zu installieren:

  1. Gehen Sie zur AIX Web Download Pack Programs Webseite und melden Sie sich mit Ihrem IBMid und Passwort an.
  2. Anfang der ÄnderungWählen Sie die Option SMB CLIENT für AIX 3.0.2 und klicken Sie auf Fortfahren. Ende der Änderung
  3. Anfang der ÄnderungWählen Sie SMB-Client-Dateisets für AIX Version 7.1, SMB-Client-Dateisets für AIX Versionen 7.2 bis 7.2 TL5 SP6, SMB Client-Dateisets für AIX Version 7.2 TL5 SP7 bis AIX Version 7.3 TL0, oder SMB Client filesets für AIX Version 7.3 TL1 aufwärts entsprechend Ihren Anforderungen und klicken Sie auf Download.
    Hinweis: Ihre IBM -Berechtigungsnachweise müssen berechtigt sein, das SMB-Clientdateisystempaket herunterzuladen. Andernfalls können Sie das Paket nicht herunterladen.
    Ende der Änderung
  4. Installieren Sie das Paket smbc.rte mit dem Befehl installp.

    Beim Installieren des Pakets smbc.rte wird die Einheit nsmbc0 erstellt. Mithilfe dieser Einheit kann der Befehl mount unter Verwendung der SMB-Clientprotokollversion 2.1 oder 3.0.2 eine Verbindung zwischen dem SMB-Server und dem SMB-Clientdateisystem herstellen.

SMB-Clientdateisystem als lokalen Mountpunkt anhängen

Sie können das SMB-Clientdateisystem mit dem folgenden Befehl anhängen:
mount -v smbc -n windows_server/Kerberos_username/password_for_Kerberos_user    \
-o wrkgrp=workgroup,[[port=139|445],[signing=required|enabled],[pver=2.1|3.0.2|auto],  \
[encryption=desired|required|disabled],[secure_negotiate=desired|required|disabled]   \
[spn=cifs/<smbServerHostName>] share_point_to_mount_created_on_windows local_mount_point
Beispiel:
mount -v smbc -n llm140.xyz.com/cec102usr1/Passw0rd    \
-o "wrkgrp=SMB_302.test,port=445,signing=required,encryption=required,    \
secure_negotiate=desired,pver=auto,spn=cifs/llm140.xyz.com" /some_share /mnt

Sie können die folgenden Parameter mit dem Flag -o im Befehl mount angeben. Die einzelnen Parameter dürfen nur durch ein Komma getrennt sein. Fügen Sie vor und hinter einem Komma kein Leerzeichen ein.

fmode
Setzt eine Datei oder ein Verzeichnis für Zugriffsberechtigungen auf den Oktalmodus. Der Standardwert ist 755.
uid
Weist Dateien während der Mountoperation eine Benutzer-ID zu. Der Standardwert ist root.
gid
Weist Dateien während der Mountoperation eine Gruppen-ID zu. Der Standardwert ist system.
wrkgrp
Gibt die Arbeitsgruppe an, zu der der SMB-Server gehört. Dieser Parameter ist für das Mounten des SMB-Clientsdateisystems obligatorisch.
Anschluss
Gibt die Portnummer an. Gültige Werte sind 445 und 139. Der Standardwert ist 445. Der Port 139 wird nur unterstützt, wenn die angegebene Serveradresse im IPv4-Format vorliegt.
pver
Gibt die SMB-Protokollversion an, die für die Kommunikation mit dem SMB-Server verwendet wird. Gültige Werte sind 2.1, 3.0.2 und auto. Wenn Sie den Wert auto angeben, wird je nach angegebenem SBM-Server die SMB-Protokollversion 2.1 oder 3.0.2 verwendet.
signing
Gibt an, ob das SMB-Clientdateisystem eine digitale Signatur für die Kommunikation erfordert. Gültige Werte: enabled und required. Wenn der Parameter signing auf enabled gesetzt ist, verwendet das SMB-Clientdateisystem nur dann eine digitale Signatur für die Datenpakete, wenn digitale Signaturen für die Kommunikation mit dem SMB-Serverdateisystem erforderlich sind. Wenn der Parameter signing auf required gesetzt ist, muss das SMB-Clientdateisystem die Datenpakete für die Kommunikation digital signieren. Wenn Sie den Wert des Parameters signing nicht mit dem Befehl mount angeben, wird ein Standardwert aus den Werten der optimierbaren Kernelparameter verwendet, die mit dem Befehl smbctune festgelegt werden.
secure_negotiate
Gibt an, ob das SMB-Clientdateisystem eine sichere Dialektvereinbarungsfunktion erfordert. Die gültigen Werte sind desired, required und disabled. Wenn dieser Parameter nicht im Befehl mount angeben ist, wird ein Standardwert aus den optimierbaren Kernelparameterwerten verwendet, die mit dem Befehl smbctune festgelegt werden.
encryption
Gibt an, ob für das SMB-Clientdateisystem eine Verschlüsselung erforderlich ist. Die gültigen Werte sind desired, required und disabled. Wenn dieser Parameter nicht im Befehl mount angeben ist, wird ein Standardwert aus den optimierbaren Kernelparameterwerten verwendet, die mit dem Befehl smbctune festgelegt werden.
SPN
Gibt den Service Principal Name (SPN) an, der in den SMB-Client-Einhängepunkten verwendet werden muss. Das Format des Parameters spn ist cifs/<smbServerHostName>. Dabei ist smbServerHostName der vollständig qualifizierte Domänenname (FQDN) des SMB-Servers oder der Name, den der Kerberos als SMB-Server auflöst. Standardmäßig wird SPN automatisch vom SMB-Clientdateisystem als cifs/<smbServerHostName>erstellt.

Kerberos-Authentifizierung für SMB-Clientdateisystem

Wenn Sie ein SMB-Clientdateisystem anhängen möchten, müssen Sie sich mit einem Kerberos-Benutzernamen und einem Kerberos-Kennwort beim SMB-Server authentifizieren. Dieser Benutzername und das zugehörige Kennwort werden verwendet, um alle erforderlichen Dateioperationen auf dem SMB-Server auszuführen. Wenn Sie kein Kennwort eingeben, werden Sie über die Standardeingabeaufforderung für AIX zur Eingabe eines Kennworts aufgefordert.
Anmerkung: Das Kennwort, das zum Anhängen des SMB-Clientdateisystems verwendet wird, kann bis zu 255 Zeichen lang sein. Das Kennwort darf Sonderzeichen enthalten.

Wenn Sie einen Dateisystembefehl (z. B. einen Lesebefehl) in einer Datei im Mountpunkt des SMB-Clients ausführen, wird eine Anforderung zum Lesen der Datei an den SMB-Server gesendet. In dieser Leseanforderung ist auch die authentifizierte Sitzungs-ID enthalten. Der SMB-Server ermittel anhand dieser Sitzungs-ID, ob der Benutzer beim Server und zum Lesen der Datei authentifiziert ist. Auf diese Weise autorisiert der SMB-Server den Zugriff auf die Datei und prüft, ob eine Operation an der Datei ausgeführt werden kann.

Mit der Option fmode des Befehls mount kann der Rootbenutzer auf dem SMB-Clientdateisystem den Zugriff auf Dateien auf dem SMB-Server steuern, bevor der SMB-Server abgefragt wird. Wenn Sie keinen Wert für die Option fmode angeben, verwendet die Option fmode den Standardwert 755. In der folgenden Tabelle wird die Funktionsweise der Option fmode bei verschiedenen Operationen erläutert:

Tabelle 1 Anwendungsfälle, in denen Benutzern auf der Basis der angegebenen Zugriffsberechtigungen für die Dateien oder Verzeichnisse auf dem SMB-Server der Zugriff entweder gewährt oder verweigert wird.
Fallnummer Benutzer beim SMB-Server authentifiziert Benutzer auf dem Clientsystem, der Schreibzugriff anfordert Eigner, Gruppe und Zugriffsmodus für Mountoperation Datei- oder Verzeichniseigner im SMB-Server bzw. -Gruppe und Zugriffsmodus auf dem SMB-Server Zugriffsberechtigung
Fall 1 user1 user2
user1, Mitarbeiter,
rwxr-xr-x
user1, Mitarbeiter,
rwxrwxr-x
 nein
Fall 2 user1 root
user1, Mitarbeiter,
rwxr-xr-x
user2, Mitarbeiter,
rwxr-xr-x
 nein
Fall 3 user1 user1
user1, Mitarbeiter,
rwxr-xr-x
user2, Mitarbeiter,
rwxrwxr-x
 ja
Fall 4 user1 user1
user1, Mitarbeiter,
rwxr-xr-x
Root, System,
rwx ------
 nein
Fall 5 user1 user1
user1, Mitarbeiter,
rwxr-xr-x
Stammverzeichnis, System,
rwxrwxrwx
 ja

In Fall 1 wird der Zugriff auf die Datei oder das Verzeichnis für user2 verweigert, da der Mounteigner, die Gruppe und der Modus am Mountpunkt auf dem SMB-Client keinen Schreibzugriff für user2 erteilt hat.

In Fall 2 wird dem Rootbenutzer der Zugriff auf die Datei oder das Verzeichnis verweigert, da der Benutzer root über uneingeschränkten Zugriff auf den SMB-Client verfügt, der für den SMB-Server authentifizierte Benutzer user1 jedoch keinen Zugriff auf die Datei auf dem SMB-Server hat.

In Fall 3 hat user1 Zugriff auf die Datei oder das Verzeichnis, da user1 der Mounteigner während der Mountoperation war, und user1, ein Mitglied der Gruppe staff auf dem SMB-Server, hatte Zugriff auf die Datei auf dem Server.

In Fall 4 wird user1der Zugriff auf die Datei bzw. das Verzeichnis verweigert. Obwohl user1 während der Mountoperation der Eigner war, ist der Eigner der Datei der Benutzer root auf dem SMB-Server und die Gruppenmitglieder und andere Benutzer haben keine Zugriffsberechtigungen.

In Fall 5 hat user1 Zugriff auf die Datei oder das Verzeichnis, da der angegebene Zugriffsmodus umfassende Zugriffsberechtigungen für alle Gruppenmitglieder und andere Benutzer gewährt.

Hinweis: Auf dem angehängten Dateisystem dürfen die folgenden Zeichen nicht im Namen der Datei verwendet werden: Backslash (\), Schrägstrich (/), Doppelpunkt (:), Stern (*), Fragezeichen (?), Kleiner-als-Schlüssel (<), Größer-als-Schlüssel (>) und vertikaler Strich (|).

Gespeicherte Kennwörter

Das SMB-Clientdateisystem kann Berechtigungsnachweise wie Servername, Benutzername und Kennwort in der Datei /etc/smbcred speichern, damit Kennwörter automatisch abgerufen werden können, wenn Sie das SMB-Clientdateisystem anhängen. Sie können die Berechtigungsnachweise in der Datei /etc/smbcred über die lssmbcred, mksmbcred, anzeigen, hinzufügen, ändern und entfernen. chsmbcredund rmsmbcred -Befehle, die sich im Verzeichnis /usr/sbin/ befinden. Die zur Datei /etc/smbcred hinzugefügten Kennwörter sind verschlüsselt. Wenn Sie das SMB-Clientdateisystem ohne Angabe eines Kennworts anhängen, wird die Datei /etc/smbcred nach entsprechenden Berechtigungsnachweisen durchsucht. Wenn eine Entsprechung gefunden wird, wird das gespeicherte Kennwort aus der Datei /etc/smbcred verwendet. Andernfalls werden Sie über die standardmäßige AIX -Aufforderung zur Kennworteingabe zur Eingabe eines Kennworts aufgefordert.

Beachten Sie die folgenden Einschränkungen für gespeicherte Kennwörter:
  • Damit gespeicherte Kennwörter abgerufen werden können, muss eine konsistente Namenskonvention für den Server verwendet werden. Wenn beim Hinzufügen der Berechtigungsnachweise beispielsweise eine IP-Adresse verwendet wurde und kein Hostname oder vollständig qualifizierter Domänenname (FQDN), können Kennwörter nur abgerufen werden, wenn Sie das SMB-Clientdateisystem unter Verwendung der IP-Adresse anhängen.
  • Entfernen Sie den Berechtigungsnachweiseintrag aus der Datei /etc/filesystems , bevor Sie die Dateigruppe smbc.rte deinstallieren.

/etc/filesystems -Dateiunterstützung

Das SMB-Clientdateisystem unterstützt die Datei /etc/filesystems, um automatisierte Mountoperationen für Dateisysteme während des Systemstarts zu ermöglichen. Die Datei /etc/filesystems ermöglicht beim Anhängen eines Dateisystems außerdem den Zugriff auf den Namen des gespeicherten Servers, den Benutzernamen, das Kennwort und die Konfigurationsdaten.

Anfang der ÄnderungUm das SMB-Client-Dateisystem in der Datei /etc/filesystems zu verwalten, können Sie die Befehle lssmbcmnt, mksmbcmnt, chsmbcmnt und rmsmbcmnt verwenden. Sie können die Einträge für das SMB-Clientdateisystem auch manuell hinzufügen. Wenn Sie SMB-Client-Dateisystemeinträge manuell zur /etc/filesystems-Datei hinzufügen, müssen Sie die Anmeldeinformationen für das SMB-Client-Dateisystem in der /etc/smbcred-Datei speichern.Ende der Änderung

Beispiel:
$cat /etc/filesystems
.....................
.....................
.....................

/mnt1:
dev = /fvt_share
vfs = smbc
mount = true
options = "wrkgrp=SMB_21.FVT" 
nodename = <servername>/<username>

/mnt:
dev = /fvt_share
vfs = smbc
mount = true
options = "wrkgrp=SMB_21.FVT,signing=required" 
nodename = <servername>/<username>
Anfang der Änderung

Unterstützung der SMIT-Schnittstelle

Mit der SMIT-Schnittstelle können Sie die folgenden Tasks ausführen:
  • Listet die Mountpunkte des SMB-Clients auf.
  • Die optimierbaren Parameter des SMB-Clients anzeigen.
  • Konfigurieren Sie die SMB-Clientberechtigungsnachweise.
  • Fügen Sie ein SMB-Clientdateisystem hinzu oder hängen Sie es an.
  • Entfernt ein SMB-Clientdateisystem oder hängt es ab.
  • Ändert ein SMB-Clientdateisystem.
Gehen Sie in der SMIT-Schnittstelle zu Kommunikationsanwendungen und -dienste > SMB-Client für AIX, um auf die Optionen des SMB-Client-Dateisystems zuzugreifen. Sie können auch den folgenden SMIT-Direktaufruf verwenden:
smit smbc
Ende der Änderung