Авторизация ntlm_v2 при smb печати с Ubuntu на Windows принтер

[vovchok]

Пока была авторизация ntlm_v1 всё печатало. После её отключения на Windows с сетевым принтером, комп c Ubuntu при попытке печатать ругается "session setup failed: NT_STATUS_NOT_SUPPORTED" и ничего не печатает... Как smbclient заставить авторизироваться по ntlm_v2?

Пробовал вставлять в /etc/samba/smb.conf [global] ntlm auth = no не помогает...

[AnrDaemon]

Код: [Выделить]

samba-tool testparm --suppress-prompt
Вывод под спойлер.

[vovchok]

(Нажмите, чтобы показать/скрыть)

$ samba-tool testparm --suppress-prompt
INFO 2024-02-06 18:58:01,814 pid:2987 /usr/lib/python3/dist-packages/samba/netcmd/testparm.py #96: Loaded smb config files from /etc/samba/smb.conf
INFO 2024-02-06 18:58:01,814 pid:2987 /usr/lib/python3/dist-packages/samba/netcmd/testparm.py #97: Loaded services file OK.
# Global parameters
[global]
   log file = /var/log/samba/log.%m
   logging = file
   map to guest = Bad User
   max log size = 1000
   ntlm auth = ntlmv2-only
   obey pam restrictions = Yes
   pam password change = Yes
   panic action = /usr/share/samba/panic-action %d
   passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
   passwd program = /usr/bin/passwd %u
   server string = %h server (Samba, Ubuntu)
   unix password sync = Yes
   usershare allow guests = Yes
   workgroup = WORKGROUP

[printers]
   browseable = No
   comment = All Printers
   create mask = 0700
   path = /var/spool/samba
   printable = Yes

[print$]
   comment = Printer Drivers
   path = /var/lib/samba/printers

Пользователь добавил сообщение 06 Февраля 2024, 20:04:19:

(Нажмите, чтобы показать/скрыть)

/etc/samba/smb.conf                                                                                                                 
[global]
ntlm auth = no
   workgroup = WORKGROUP
   server string = %h server (Samba, Ubuntu)
   log file = /var/log/samba/log.%m
   max log size = 1000
   logging = file
   panic action = /usr/share/samba/panic-action %d
   server role = standalone server
   obey pam restrictions = yes
   unix password sync = yes
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
   pam password change = yes
   map to guest = bad user
   usershare allow guests = yes
[printers]
   comment = All Printers
   browseable = no
   path = /var/spool/samba
   printable = yes
   guest ok = no
   read only = yes
   create mask = 0700
[print$]
   comment = Printer Drivers
   path = /var/lib/samba/printers
   browseable = yes
   read only = yes
   guest ok = no

Пользователь добавил сообщение 06 Февраля 2024, 20:43:01:Также я раньше пытался подключить этот принтер по LPD, но безуспешно, задал здесь вопрос и не получил ответа... Гугление тоже не помогло...
https://forum.ubuntu.ru/index.php?topic=311856.0

[AnrDaemon]

"ntlm auth" убираете. Если без него не заработает, смотрите "*** min protocol" настройки.

[vovchok]

Без него и не работало - я его добавил в надежде исправить ситуацию, но не помогло.
Попробовал заменить на "client ipc min protocol = SMB3"
Ошибка "Session setup failed: NT_STATUS_NOT_SUPPORTED" при попытке печатать осталась.

(Нажмите, чтобы показать/скрыть)

root@xubuntu:/etc/samba# testparm -s
Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
Weak crypto is allowed

Server role: ROLE_STANDALONE

# Global parameters
[global]
   client ipc min protocol = SMB3
   log file = /var/log/samba/log.%m
   logging = file
   map to guest = Bad User
   max log size = 1000
   obey pam restrictions = Yes
   pam password change = Yes
   panic action = /usr/share/samba/panic-action %d
   passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
   passwd program = /usr/bin/passwd %u
   server role = standalone server
   server string = %h server (Samba, Ubuntu)
   unix password sync = Yes
   usershare allow guests = Yes
   idmap config * : backend = tdb


[printers]
   browseable = No
   comment = All Printers
   create mask = 0700
   path = /var/spool/samba
   printable = Yes


[print$]
   comment = Printer Drivers
   path = /var/lib/samba/printers
root@xubuntu:/etc/samba#

И кстати после изменения /etc/samba/smb.conf надо что-то делать, чтобы правки применились?
smbd в системе не установлен, только samba клиент, каких-то команд для его рестарта я не нашёл. Перезагружать комп нельзя - на нём работают другие пользователи...

[AnrDaemon]

smbd в системе не установлен

А как вы тогда собрались печатать?…

Вообще-то smbd входит в пакет samba.

[F12]

А как вы тогда собрались печатать?…

- вероятно так, как и печатал ранее (первое сообщение: всё печатало), было достаточно установленого в Ubuntuх из коробки smbclient 

Description: консольные клиенты SMB/CIFS для Unix
 Samba -- реализация протокола SMB/CIFS для систем Unix, обеспечивающая
 совместное использование принтеров и обмен файлами для сетей с
 операционными системами Microsoft Windows, OS X и Unix.
 .
 Этот пакет содержит утилиты командной строки для доступа к Microsoft
 Windows и серверам Samba, включая smbclient, smbtar и smbspool. Утилиты
 для локального монтирования общих ресурсов находятся в пакете cifs-utils.

[vovchok]

smbd не установлен, т.к. обеспечивает доступ к ресурсам linux, что не требуется.
Принтер установлен на виндовом сервере (2008r2), там есть служба доступа к локальному принтеру, а xUbuntu - это терминальный сервер (xRDP), на котором для юзеров установлены браузеры для интернет сёрфинга и печати через samba клиент. Условно тонкие клиенты подключены к обоим серверам. После отключения ntlm авторизации на виндовом сервере в связи с возросшими на него атаками, пропала ранее работавшая печать на xUbuntu с ошибкой "Session setup failed: NT_STATUS_NOT_SUPPORTED"...

Как альтернативный вариант - если кто в курсе как активировать lpd доступ на 2008r2 без домена (workgroup) - то можно было бы на xUbuntu отказаться от samba. У меня такое прекрасно работает на win7 вместо 2008r2... Но серверная Windows для lpd предполагает установку на ней принтсервера, а без доменов подключить имеющийся принтер к принтсерверу то ли невозможно, то ли я не смог... По крайней мере в документации написано, что наличие домена для этого обязательное условие, но это исключено.

[AnrDaemon]

Description: консольные клиенты SMB/CIFS для Unix

Ключевое слово - консольные. Для нормальной работы непригодные.

[vovchok]

Спасибо всем, кто помогал!
Разобрался я с проблемой - smbclient поддерживает NTLMv2 без всяких правок в /etc/samba/smb.conf
А проблема в том, что я запретил в групповых политиках на винде для всех учёток входящий трафик NTLM, а это оказывается запрещает и NTLMv2 тоже... Для авторизации только NTLMv2 нужно в тех же политиках установить соответствующий уровень проверки подлинности Lan Manager, а входящий трафик не трогать.

А на Ubuntu для проверки доступности виндовых ресурсов не надо мучить CUPS - достаточно запустить

smbclient --user=имя --password=пароль --list=айпишник_винды

и выдаст те же ошибки, что и в CUPS, или доступные ресурсы и уровень NTLM, если ошибок нет.
Также если --user и --password не указывать - то выдаст то, что доступно анонимно.
Пользователь добавил сообщение 08 Февраля 2024, 22:57:39:И попутно наткнулся ещё на одну проблему - почему в xUbuntu 20.04.6 пользователям с админ правами программа
users-admin выдаёт:
У вас нет прав на изменение параметров системы.
Сбой во время проверки авторизаций:
GDBus.Error:org.freedesktop.DBus.Error.NoReply: Message
recipient disconnected from message bus without replying
Сообщите об этой ошибке.