Nach letztem Firmware-Update kein Gastzugriff (Guest Access) auf Freigaben mehr

  • Was das Zitieren angeht: Ich find hier nur Buttons für "Inhalt melden" und "gefällt mir"


    Und nochmal, was das Anmelden an die SMB-Shares des QNAP angeht, wozu hier jemand schrieb, es sei nicht notwendig:


    "Nicht notwendig" war es nur vor dem letzten Firmware-Update. Seit das drauf ist, gehen sowohl unter Linux als auch unter Windows Fenster auf, die sinngemäß behaupten, es sei ein Passwort notwendig.


    Unter Nautilus heißt das "Für qnap1a wird ein Passwort benötigt" mit der zwangsweisen Eingabe von Benutzername und Passwort. Mit den Credentials des qnap Admins geht das zwar, ist aber wohl nicht Sinn der Übung. Dieses Anmeldefenster fehlte vor dem Update im Nautilus völlig. Der Thunar bot vor dem Firmware-Upgrade die Wahl zwischen "Anonym vebinden" oder "Als Benutzer vebinden" an. Hier ein Screenshot vom Synology, wo das nachwievor geht:


    thunar-vor.png


    Am qnap geht das nach dem Firmware-Update nicht mehr, es wird zwangsweise Benutzer und Passwort angefordert:


    thunar-nach.png


    Wie bekomme ich den Zustand wieder zurück, wie er vor dem Firmeware-Update herrschte?


    Interessanterweise gibt es in der QNAP-Oberfläche nun ein Menü, in dem augenscheinlich (offensichtlich?) das Verhalten des Gastzugriffs auf Shared Folders geregelt werden kann (könnte?):


    guest-restrict.png


    Mit der Einstellung "Restrict anonymous users …" auf "disabled" sollte doch der Gast/Anonymous-Zugriff möglich sein. Wie er es vor dem Firmware-Upgrade auch war.


    Ich danke zwar euch allen für die genannten Würgarounds, die durchaus diesen Bug(?) umgehen helfen, aber dazu müssten zum Beispiel auch noch etliche fstab-Einträge mehrerer Linuxkisten von zum Beispiel


    Code
    //192.168.200.72/p4tb/driveH/music.flac /media/nas.flac cifs guest,iocharset=utf8 0 0


    von "guest" auf (vermutlich. Ich habe nicht die 1000%ige Linux-Ahnung und würde deswege beim bis dato funktionierendem "guest" bleiben)


    Code
    uuid=anmeldename, password=password


    umgestellt werden. Diese Mounts liegen seit dem Firmwareupdate auch tot

  • Was das Zitieren angeht: Ich find hier nur Buttons für "Inhalt melden" und "gefällt mir"

    So geht das:

    • Zeile im betreffendem text des Beitrages markieren, und dann "Zitat einfügen klicken"
    • Damit wird ein neuer Beitrag erstellt und (Dein) Zitat steht da ...

    2019-06-27 13_36_57-Nach letztem Firmware-Update kein Gastzugriff (Guest Access) auf Freigaben mehr .png



    Wie bekomme ich den Zustand wieder zurück, wie er vor dem Firmeware-Update herrschte?

    Indem du auf die FW VOR dem Update zurück gehst?


    (Würde ich jetzt machen, wenn ich was haben will, was vorher war und mit der neuen FW nicht mehr ist ...)

  • Habe genau das gleich Problem!


    Ich benötige den Gast-Zugriff auf ein SMB-Share und das funktioniert seit dem letzten Update nicht mehr. Lustigerweise hat auch das Downgrade der QNAP nicht zur Lösung geführt. Vielleicht doch irgendwelche Änderungen bei Microsoft?

  • Spielt ein Downgrade die alte Config wieder ein? Falls nicht fehlt dir weiterhin das richtige Setting dafür.

    Du solltest das noch einmal prüfen und über SSH die SMB.conf resetten

    mv /etc/config/smb.conf /etc/config/smb_old.conf
    cp /etc/default_config/smb.conf /etc/smb.conf

    siehe: smbd restart - Probleme mit TS-419U

  • danke für den Hinweis!


    Der dort beschriebene "Hack" hat bei mir funktioniert.


    In "/etc/config/smb.conf" bei "invalid users = guest" das "guest" löschen und danach "etc/init.d/smb.sh restart".


    Warum machen die sowas ohne Dokumentation?

  • Indem du auf die FW VOR dem Update zurück gehst?

    Danke erst mal für den Zitat-Hinweis. Da soll man drauf kommen, daß der Button erst nach Textmarkierung auftaucht #-)


    Frage dazu: Wie komme ich auf eine ältere Firmware zurück?

  • Frage dazu: Wie komme ich auf eine ältere Firmware zurück?

    die eine Änderung in "/etc/config/smb.conf" sollte dein Problem auch so lösen.

  • SMB.conf


    Soweit war ich inzwischen auch und fand dort den Eintrag "guest account = guest". So viel (eher wenig) ich von SMB verstehe, sollte für einen funktionierenden Gastzugriff dort aber "guest account = nobody" stehen. Das überschreibt mir das NAS aber bei jedem wohl nach smb.conf-Änderung notwendigem Restart wieder zurück auf

    "guest account = guest". Ein ebenfalls testweise eingefügtes "usershare allow guests = yes" bleibt zwar heile, nutzt aber wohl nichts.


    Oder müssen die Änderungen in /etc/default_config/smb.conf erfolgen?

  • Oder müssen die Änderungen in /etc/default_config/smb.conf erfolgen?

    schau dir mal das init-Script an: /etc/init.d/smb.sh


    da wird in Zeile 672 z.B. auch das guest-Login wieder umgesetzt, egal was in der Config steht. Und in Zeile 657 wird dein Guest-Account wieder erzeugt ;) Wer programmiert sowas?


    Leute, Leute, Leute! Es lebe das Config-File!

  • https://support.microsoft.com/…indows-10-and-windows-ser


    1) Windows 10 erlaubt per default keinen annonymen Gastzugang mehr.


    2) Wenn im Windows 10 das SMB1 Protokoll wieder aktiviert und genutzt wird, steht auch ein GAST-Zugang via SMB1 zur Verfügung


    3) In der QNAP wurde das Abschalten des Gast-Zuganges noch nicht umgesetzt, zumindest sind alle erforderlichen Einträge in der SMB.CONF noch vorhanden:


    guest account = guest

    map to guest = Bad User


    und der "guest" account ist auch da.


    Edit:

    Leute, Leute, Leute! Es lebe das Config-File!


    Vergiss bitte nicht dass das System die Dienste dynamisch aktivieren und abschalten kann. dann sollten "technische" Accounts wie "guest" nicht einfach erhalten bleiben, nur weil jemand mal SMB aktiviert hatte. Anders kann ich mir dieses umfangreiche Startscript nicht deuten.

    M.

    Einmal editiert, zuletzt von MatthiasJ ()

  • Unable to access NAS as guest following firmware update to v4.3.6.0979


    BTST.


    Erstmal irgendwie beruhigend, daß ich nicht der Einzige bin, der nicht nur das "Vernageln" des Gast-Zugriffs durch den letzten Firmware-Update bemerkt hat, sondern ihn auch benötigte :)


    Jetzt war ich mal so mutig, den dort vorgeschlagenen Patch bezüglich der smb.sh gaaaanz vorsichtig durchzuführen. Es scheint gehilft zu haben.


    Danke auch an die hiesigen User, die nicht nur mit dem "Gastzugang ist böse™"-Knüppel auf mich eindreschten, sondern Konstruktivität an den Tag legten.


    Bleibt jetzt abzuwarten, ob QNAP drauf reagiert. Auch ich habe derweil den dortigen Support dementsprchend kontaktiert.

  • So viel (eher wenig) ich von SMB verstehe, sollte für einen funktionierenden Gastzugriff dort aber "guest account = nobody" stehen.

    Nur für das Verständnis:
    das "nobody" ist keine Funktion sondern ein echter Account, der unter Linux angelegt sein muss,
    Ob der verwendete Account "nobody", "guest" oder "otto" heißt ist egal.
    QNAP hat halt Guest genommen, weil es im Windows-Umfeld "üblicher" ist.

    gib einfach mal "cat /etc/passwd"...

  • 1) Windows 10 erlaubt per default keinen annonymen Gastzugang mehr.


    Das ist .... falsch. :)


    Weil in deinem Link steht :


    Windows 10 Home and Professional editions are unchanged from their previous default behavior.

  • Hab ich jlatt überlesen, aber dass gerade Pro unverändert bleibz wundert mich.

    Also haben wir weiterhin für das Verhalten des SMB-Dienst keine Erklärung.

  • Bleibt jetzt abzuwarten, ob QNAP drauf reagiert. Auch ich habe derweil den dortigen Support dementsprchend kontaktiert.

    Gibt es schon eine Rückmeldung von QNAP?

  • Gibt es schon eine Rückmeldung von QNAP?

    Zuerst kam eine Rückfrage, mit welchem Benutzernamen ich mich denn als Gast anmelden wolle: Mit "gast" oder mit "guest" #-)


    Im zweiten Anlauf, nachdem meine Antwort "Mit gar keinem Benutzernamen! Genau dafür dient doch der Gastzugang" lautete, wollte der Supporter ein "Dumplog von der NAS" von mir haben, auf daß er ihn zur Behebung des Bugs den Entwicklern in Taiwan weiterleite.

  • Ich habe aus Sicherheitsgründen Anfang des Jahres den Gast User auskommentiert.


    Denn das ist ein Sicherheitsproblem.


    Auch wenn ich nur über VPN auf mein Heimnetz zugreife, lege ich wert auf gehärtete Systeme.


    Da ich dieses Sicherheitsproblem auch vor einer weile per Ticket gemeldet habe, kann die Änderung daher erfolgt sein.

    Habe die CVE leider gerade nicht zur Hand, muss dafür später mal die VM anwerfen und in den alten Scans nachsehen.


    Aber was ist so schwer daran eine Gruppe zu erstellen, die auf eine Freigabe zu berechtigen und dann User zu erstellen.


    Benötigt eine IOT Kiste Zugriff, gibts für jedes Gerät einen Funktionsuser und gut ist.

    Hat der Hersteller dann ein Problem und wird zum Risiko im Netzwerk, muss ich nur den einen User sperren ohne das mit wie hier alles um die Ohren fliegt.


    Sicherheit ist halt ein wenig Aufwand aber ohne geht es bei dem ganzen IOT Schrott gar nicht mehr.