Fallo acceso carpetas samba cifs -- se monta pero da permission denied


#1

1. Introducción

A continuación se explican distintos pasos de comprobación y elementos a revisar en caso de producirse errores NT_STATUS_INVALID_NETWORK_RESPONSE o NT_STATUS_ACCESS_DENIED para recursos que se montan aparentemente sin problemas, pero que luego dan permiso denegado.

2. Pasos

  1. Si al conectar con un samba cifs (smbclient) a un servidor funcionando, obtenemos un error similar al siguiente:

    >> smbclient //192.168.XX.XX/user_uploads -U user
    Enter user’s password:
    protocol negotiation failed: NT_STATUS_INVALID_NETWORK_RESPONSE

  2. Y aunque cambiemos las versiones de conexión en el /etc/fstab a vers=2.0 o vers=3.0, o los flags -m SMB2 y -m SMB3, obteniendo:

    >> smbclient //192.168.XX.XX/user_uploads -U user -m SMB3
    Enter user’s password:
    Domain=[SERVER] OS=[] Server=[]
    smb: > ls
    NT_STATUS_ACCESS_DENIED listing *
    smb: > ls -la -tr
    NT_STATUS_ACCESS_DENIED listing -la

  3. Montando la carpeta directamente desde el /etc/fstab funciona el montado sin errores, pero no permite listar los archivos:

    root@node01-user:~# ls -la -tr /mnt/user-folder/
    ls: leyendo el directorio ‘/mnt/user-folder/’: Permiso denegado
    total 0

  4. En tal caso, revisar las siguientes posibilidades:

    • Que estén actualizados los paquetes y no sea uno afectado por bugs conocidos ( referencia: https://bugs.launchpad.net/ubuntu/+source/samba/+bug/2009858 )
    • Que la declaración “force user =” en el lado servidor, o similares, apunte a un usuario que existe y que tiene acceso al /proc (por ejemplo, con core-admin, debe de estar dentro del grupo procaccess)
  5. Se ha verificado esta solución añadiendo el usuario asociado al share utilizando “force user =” al grupo procaccess de Core-Admin para que pueda entrar en /proc. Se ha comprobado esta solución con las siguientes versiones de samba:

    # Servidor
    ii samba 2:4.17.12+dfsg-0+deb12u1 amd64 SMB/CIFS file, print, and login server for Unix
    ii samba-ad-provision 2:4.17.12+dfsg-0+deb12u1 all Samba files needed for AD domain provision
    ii samba-common 2:4.17.12+dfsg-0+deb12u1 all common files used by both the Samba server and client
    ii samba-common-bin 2:4.17.12+dfsg-0+deb12u1 amd64 Samba common files used by both the server and the client
    ii samba-dsdb-modules:amd64 2:4.17.12+dfsg-0+deb12u1 amd64 Samba Directory Services Database
    ii samba-libs:amd64 2:4.17.12+dfsg-0+deb12u1 amd64 Samba core libraries
    ii samba-vfs-modules:amd64 2:4.17.12+dfsg-0+deb12u1 amd64 Samba Virtual FileSystem plugins

    # Cliente
    ii cifs-utils 2:6.7-1+deb9u1 amd64 Common Internet File System utilities
    ii python-samba 2:4.5.16+dfsg-1+deb9u5 amd64 Python bindings for Samba
    ii samba-common 2:4.5.16+dfsg-1+deb9u5 all common files used by both the Samba server and client
    ii samba-common-bin 2:4.5.16+dfsg-1+deb9u5 amd64 Samba common files used by both the server and the client
    ii samba-libs:amd64 2:4.5.16+dfsg-1+deb9u5 amd64 Samba core libraries