Windows Vista/Windows 7 - Linux/Samba Verbindungen

Problematik

Windows Vista, Windows 7 und Windows Server 2008(R2) verwenden standardmäßig eine höhere Sicherheitseinstellung (nur NTLMv2 Antworten) für die Authentifizierung von SMB/CIFS Netzwerkverbindungen als die früheren Windows Versionen. Die NTLMv2 Authentifizierungsmethode ist für Windows Client/Server Netzwerkverbindungen seit Windows 2000 Standard und bietet einen höheren Schutz gegen Angriffe als die früher verwendeten Authentifizierungsmethoden LM (Win9X) und NTLM (Windows NT 4.0) .

Die aktuellen Samba-Versionen (SMB/CIFS Emulation unter Linux) 3.x erlauben bei entsprechender Einstellung in smb.conf die NTLMv2 Authentifizierung, nicht jedoch ältere Samba 2.x Versionen und Novell-Server. Standardmäßig kann daher von Windows Vista bzw. Windows 7 Clients aus zu Novell- oder älteren Samba-Servern keine SMB-Netzwerkverbindung hergestellt werden.

Lösung für Novell-Server und ältere Samba-Versionen

Um die für Novell-Server und ältere Samba 2.x Versionen erforderliche NTLM Authentifizierung unter Windows Vista bzw. Windows Server 2008 zu aktivieren, muss die entsprechende lokale Sicherheitsrichtlinie (Netzwerksicherheit: LAN Manager Authentifizierungsebene) geändert werden. Bitte beachten Sie, dass dadurch die Sicherheit für alle SMB/CIFS Netzwerkverbindungen global herabgesetzt wird. Besser bzw. sinnvoller ist eine Aktualisierung veralteter Samba-Versionen (Rücksprache mit dem jeweiligen Serverbetreiber). Für unsere Novell-Server ist ein solche Aktualisierung derzeit leider nicht möglich.

Starten Sie das Programm lmcomp.exe (es sind administrative Rechte erforderlich)

und wählen Sie LAN Manager Authentifizierungsebene nach Wunsch. Beim Start des Programms wird die aktuelle Einstellung angezeigt. Die Schaltfläche "Kompatibilitätsmodus Uni Regensburg" setzt den Wert auf 2 (nur NTLM senden), womit bei noch akzeptabler Sicherheit SMB-Verbindungen zu unseren Novell-Servern und älteren Linus Servern möglich sind.

Alternative

Öffnen Sie die lokalen Sicherheitsrichtlinien durch Eingabe von secpol.msc (Windows-Taste + R, Öffnen secpol.msc) und wechseln Sie zu "Lokalen Richtlinien" -> "Sicherheitsoptionen":
Doppelklicken Sie auf die im Bild selektierte Richtlinie "Netzwerksicherheit: LAN Manager Authentifizierungsebene"...
...und ändern sie die oben gezeigte Voreinstellung (nur NTLMv2) in "Nur NTML Antworten senden", wie unten gezeigt.
Nach Übernehmen dieser Einstellung (Klick auf OK, Verlassen von secpol.msc) ist diese sofort - ohne Neustart - wirksam und eine Verbindung zu alten Samba Servern sollte möglich sein.

Übersicht SMB/CIFS Kompatibilität

Authentifizierung	Win9X	WinNT 4.0	Win2000	WinXP	Win2K3	WinVista	Win7	Win2K8(R2)	Samba 2.x	Samba 3.x
LM	+	+	+	+	-	-	-	-	+	o
NTLM	--	+	+	+	+	-	-	-	+	o
NTLMv2	--	--	+	+	+	+	+	+	--	+

Legende: -- wird gar nicht unterstützt, - wird mit Standardrichtlinien, nicht unterstützt, + wird mit Standardrichtlinien unterstützt, o standardmäßige Unterstützung abhängig von der jeweiligen Version.

Wolfram Oestreicher, 17.7.2008, letzte Änderung: 14.1.2010