Inloggning till server är för enkel

Tråden skapades och har fått 15 svar. Det senaste inlägget skrevs .
1
  • Medlem
  • Neverland
  • 2016-07-14 11:49

Problem:
Klienter som loggat in på servern (via smb) behöver ej ange lösenord vid ny inloggning vid senare tillfälle. Faktum är att de inte behöver göra något alls - mer än att ansluta. Vare sig användarnamn eller lösen efterfrågas efter första tillfället.

Detta är problematiskt av två anledningar. Dels ur säkerhetssynpunkt, dels så kan jag som administratör inte testa att ansluta som någon annan användare då jag automatiskt släpps in där jag var tidigare.

Och nej, jag har inte klickat i "kom ihåg lösenordet..". (Vilket för övrigt är en funktion som jag gärna skulle vilja göra omöjlig från serverhåll.)

Fråga:
Hur böveln gör jag för att klienter inte automatiskt ska bli inlsäppta vid ny smb-anslutning?

Klienter: OS X 10.11.4 och 10.11.5
Server: OS X 10.11.5 + Server.app v 5.1.5

Det måste göras på klienterna. Att få dessa att glömma loginet (bör ligga i Keychain).

  • Medlem
  • Neverland
  • 2016-07-14 13:24
Ursprungligen av keptang:

Det måste göras på klienterna. Att få dessa att glömma loginet (bör ligga i Keychain).

Menar du att dessa uppgifter hamnar i Nyckelhanteraren per default? Jag har ju inte kryssat i att något ska sparas.

Jag satte upp en helt ny server och har bara loggat in en gång - 20 minuter innan trådstarten. Jag är inte ansluten nu - men om jag väljer att så bli - så kommer jag rakt in. Detta är idiotiskt då jag inte ens får frågan om vem jag är.

Vad för server, de jag satt upp kan man klicka i om lösenord ska anges varje gång eller nått sånt.
En del där man loggat in med gemensamt admin konto, dvs samma som på din dator och server känns igen och accepterar direkt.
Bör vara inställningar på servern för att konfigurera detta.
Alla klienter som loggat in och sparat i keychain kommer också in direkt om detta är tillåtet på serversidan.

  • Medlem
  • Neverland
  • 2016-07-14 14:51
Ursprungligen av CekariYH:

Vad för server, de jag satt upp kan man klicka i om lösenord ska anges varje gång eller nått sånt.

Server: OS X 10.11.5 + Server.app v 5.1.5

Citat:

En del där man loggat in med gemensamt admin konto, dvs samma som på din dator och server känns igen och accepterar direkt.

Hur vet servern eller klienten att det är samma konton, om kontonamnet inte ens efterfrågas?
Hursomhelst så är det inte samma namn i detta fallet.

Citat:

Bör vara inställningar på servern för att konfigurera detta.

Vet du var och hur?

Citat:

Alla klienter som loggat in och sparat i keychain kommer också in direkt om detta är tillåtet på serversidan.

Jag har inte på servern gjort att något sådant är tillåtet, vilket isåfall betyder att det är en defaultinställning som jag vill bli av med. Något nyckel är, som sagt, inte sparad med ett aktivt val.

Hmmm, jag kör en MacMini så och jag får alltid logga in oavsett, har 7 konton på den, 2 admin och fem user och om servern har loggat ut krävs alltid ett lösen för de kontona.
Det är inte så att du förhindrat utloggning på servern?
Så länge den inte loggat ut kommer jag/andra in direkt, på respektive aktivt konto alltså.
Även om jag är inloggad som admin och någon vill in som user krävs inloggning för usern.
För att använde den för tex Plex etc så behöver ju inte någon vara inloggad sas.

Senast redigerat 2016-07-14 19:43
  • Skribent
  • Sollentuna
  • 2016-07-15 00:19
Ursprungligen av filuren:

Och nej, jag har inte klickat i "kom ihåg lösenordet..". (Vilket för övrigt är en funktion som jag gärna skulle vilja göra omöjlig från serverhåll.)

Det enda sättet att på servern hindra att klienter sparar lösenord för automatisk inloggning är att använda engångslösenord. Annars finns det inget sätt för servern att avgöra om lösenordet matades in manuellt eller hämtades från en nyckelring eller dylikt.

Alternativet är att ha hårt kontrollerade klienter där användaren inte tillåts göra några ändringar i systemet.

  • Medlem
  • Neverland
  • 2016-07-15 00:48
Ursprungligen av Vassius:

Det enda sättet att på servern hindra att klienter sparar lösenord för automatisk inloggning är att använda engångslösenord. Annars finns det inget sätt för servern att avgöra om lösenordet matades in manuellt eller hämtades från en nyckelring eller dylikt.

Alternativet är att ha hårt kontrollerade klienter där användaren inte tillåts göra några ändringar i systemet.

Men, jag är inte säker på att det handlar om att klienten sparar lösenordet. Jag börjar tro att det är något annat. Antingen en ny funktion som gör mer än den borde, eller... jag vet inte.

Det enda jag är säker på är att det inte varit såhär tidigare. Före, säg.. 10.9(?) så var det inte på detta viset.

Som det är nu så är det galet. Fler personer, med olika behörigheter på servern, måste ju kunna använda exempelvis en dator som är placerad i ett konferensrum och är till för alla. Det vore ju urbota idiotiskt att det är meningen att en vaktmästare ska kunna ansluta till samma saker som VD:n gjorde ett par timmar tidigare.

  • Medlem
  • Neverland
  • 2016-07-21 08:59

Update

Jag märkte att anslutningen beter sig olika mellan följande sätt:
1. cmd-K "anslut till server".
2. vänster kolumn i Finder-fönster / Delat / Alla -> öppnar servern den vägen.

Vid alt 1 släpps jag fortfarande in utan frågor då jag valt server.
Vid alt 2 kan jag logga in på nytt som vore jag en annan kontoinnehavare.

Alt 2 hjälpte mig i det jag var ute efter - att försäkra mig att konton är rätt konfigurerade innan jag släpper på användarna. (Tur att det är semestertider och jag haft lyxen att vänta en vecka.)

Den bristande säkerheten med alt 1 får jag väl leva med. (Och nej, jag har fortfarande inte valt att spara något lösenord. Jag har loggat in en enda gång - då tråden startades.)

  • Medlem
  • Örnsköldsvik
  • 2016-07-21 10:08

Jag har haft lite funderingar på varför SMB3 inte var snabbare mot min Synology NAS, bara knappt 20MB/s vid kopiering från min MBPr.
Det visade sig att Apple tydligen skruvat upp säkerheten i SMB, och att detta dödade farten.
Lösningen var att skapa en nsmb.conf i katalogen etc, lägga in två textrader i den och starta om datorn.
Nu kopierar jag med över 50MB/s via trådlöst!

  • Medlem
  • Neverland
  • 2016-07-21 22:46

Jag vet att här på forumet finns en massa proffs.

Har aldrig ni upplevt detta - att klienter blir insläppta på OS X-servrar då de bara anger adressen, utan att ha sparat lösenordet?

Om Samba krånglar, kan det vara en lösning att använda ett annat protokoll för din nätverksdisk?

  • Medlem
  • Sollentuna
  • 2016-07-22 09:42
Ursprungligen av mattiL:

Jag har haft lite funderingar på varför SMB3 inte var snabbare mot min Synology NAS, bara knappt 20MB/s vid kopiering från min MBPr.
Det visade sig att Apple tydligen skruvat upp säkerheten i SMB, och att detta dödade farten.
Lösningen var att skapa en nsmb.conf i katalogen etc, lägga in två textrader i den och starta om datorn.
Nu kopierar jag med över 50MB/s via trådlöst!

... och dessa två textrader är?

  • Medlem
  • Örnsköldsvik
  • 2016-07-22 10:45
Ursprungligen av frazze:

... och dessa två textrader är?

Kolla på denna sida:
https://dpron.com/os-x-10-11-5-slow-smb/

  • Medlem
  • Göteborg
  • 2016-07-23 00:30
Ursprungligen av filuren:

Jag vet att här på forumet finns en massa proffs.

Har aldrig ni upplevt detta - att klienter blir insläppta på OS X-servrar då de bara anger adressen, utan att ha sparat lösenordet?

Nej. Har haft en OS X server rullande i många år nu och måste alltid logga in.
Byt klientens lösenord och se om den sparar det nya också?

  • Medlem
  • Neverland
  • 2016-07-26 00:58
Ursprungligen av kladda:

Nej. Har haft en OS X server rullande i många år nu och måste alltid logga in.
Byt klientens lösenord och se om den sparar det nya också?

Jag ska prova någon gång under semestern. Tack för input.

1
Bevaka tråden