Samba Badlock frissítés után :-(

Linux-haladó

Debian 7 szerveren tegnap délután frissítettem a Samba-t (3.6.6-os verzió), azóta sajnos nem lehet belépni Windows 7 kliensekről a hálózatra.
A bejelentkezési kísérlet során a következő hibaüzenetet kapom: "A munkaállomás és az elsődleges tartomány között nem jött létre megbízhatósági kapcsolat."
A hibaüzenet angol megfelelője: "The trust relationship between this workstation and the primary domain failed"

Google-n keresgélve, úgy látom, hogy nem vagyok egyedül a problémámmal, a teljesség igénye nélkül pl: itt, itt, itt

Környezet:

  • Debian 7 szerver
  • a Samba 3.6.6. PDC-ként működik a hálózatban
  • a felhasználói adatok OpenLDAP 2.4.31-ban vannak tárolva
  • a felhasználói adatok az smbldap-tools segédprogramjaival lettek létrehozva, és vannak "kezelve"
  • Windows 7 Enterprise kliensek a Samba tartományba léptetve

Amit próbáltam és működik:

  • Helyi fiókkal be tudok lépni a Windowsra
  • Helyi fiókkal belépve fel tudom csatolni a hálózati megosztásokat, tehát a felhasználói hitelesítés működik

Amit próbáltam és nem működött:

  • Kiléptettem a Windowst a tartományból, majd újraindítottam a PC-t
  • A szerveren kitöröltem a kiléptetett PC adatait az LDAP-ból
  • Újra beléptettem a Windowst a tartományba, majd újraindítottam PC-t
  • Az LDAP-ban megnéztem létrejött a tartományba léptetett PC-hez tartozó bejegyzés (új jelszóval)

Mindezek után a hibajelenség marad!

Nézegettem a Badlock-kal kapcsolatos CVE-ket, próbálgattam a bevezetett új opciókat különféle értékekkel, de nem jutottam előbbre.

Aki esetleg még samba 3.6.x-et használ és frissítés után jelentkezett a hiba, hogyan orvosoltátok?

  • 3212 megtekintés

( sibike | 2016. 04. 30., szo – 21:47 )

Bocs a triviális kérdésért: a szerver órája jól jár?

( mrceeka v | 2016. 04. 30., szo – 21:55 )

Offtopic: Minek köszönhető/hogyan alakult ki ez a ritka konstelláció: Windows Enterprise-ok Windows Server nélkül?

Üdv,
Marci

Általában, de nem mindig. Lásd a fentebb már emlegetett felsőoktatást :) [egyébként szvsz. nem a Win szerver ára a veszélyes, hanem utána az összes CAL - ami mondjuk részben szintén megoldott a tisztaszoftverrel]

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Biztos te is bal lábbal keltél ma reggel (mint én), mert nem tudom eldönteni, hogy most kötözködsz, viccelődsz, vagy kioktatsz.
Ha bántja a szemedet a "Linux-al", akkor iratkozz le a HUP-ról, és iratkozz fel a https://magyartanarok.wordpress.com/ oldalra.

A belinkelt log fájlokban is találtál esetleg értékelhető hibát, amivel szakmailag is előbbre jutnánk, mert helyesírásilag már toppon vagyok.

( NevemTeve | 2016. 05. 01., v – 08:54 )

(Egy teszt-szerveren jó magas debug-szinttel kellene futtatni az smbd-t, és annak a logját olvasgatni.)

A "log level = 3" szint már elég beszédes (megcsillagoztam "*** " a hibás sorokat), magasabb szintet eddig nem néztem.

De a témaindítóban linkelt redhat-es linken vannak mások által feltöltött logok (talán 10-es szintű), 99%, hogy ugyanarról a regressziós hibáról van szó az én esetemben is.
A redhat-es hibajegy hozzászólásai között azt írja (szerintem redhat-es fejlesztő), hogy sikerült azonosítaniuk a hibás és már van rá egy hibajavításuk: itt

( SzBlackY | 2016. 05. 01., v – 09:01 )

Elsőként a szerveren és a kliensen is dobd fel a loggolást maximumra (log level 5-ről indulj felfelé 10-ig, kliensen ugye semmi...), és nézd meg, látsz-e ott valamit.

Másodikként, nem tudom, hogy backportolták-e a Debian-osok a BadLock patchet, Jessie-n nemes egyszerűsséggel csináltak egy 4.1 -> 4.2 frissítést, mivel a 4.2 még secu fix szinten támogatott. (off-topic: lehet, hogy érdemes lenne középhosszú távon egy 4-es AD-re frissítésen/migráláson elgondolkodnod)

Ha a bug reportokban írt client signing = auto -t bekapcsolod, akkor sem lép be?

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

A probléma az, hogy nincs túl sok idő próbálgatni :-(, vagy a jelenlegi verziót kellene gyorsan működésre bírni, vagy visszaállok a korábbi verzióra.

A /usr/share/doc/samba/changelog.Debian.gz szerint backportolták a BadLock patchet: link

Amikor a jelenlegi rendszert telepítettem már akkor gondolkodtam a 4-es sabma-ra való átállásra, de a 7-es Debianban a 4.0.0 verzió volt, és abban még nem bíztam. Vagy nyáron lesz átállás Ubuntu 16.04 LTS-en, vagy várok még egy évet és Debian 9.

Holnap reggel kipróbálom a "client signing = auto" paraméterrel.

Ezek szerint nálatok a winbind telepítése megoldotta a problémát!?
A alábbi oldalon is a winbind telepítését javasolja a samba-s fejlesztő: link
Azonban ketten is írják, hogy náluk fut a winbind, de ez a problémát nem oldja meg.

Teszek vele egy próbát, telepítem a winbind-et. smb.conf-ban gondolom, hogy nem kell semmit módosítanom?!

Az mondjuk a két verzió közül pont egyiknek se volt a hibája :) A 4.2-ben vezették vissza az AD-re is a winbindd daemon-t (azelőtt egy DC-specifikus winbind-ot használtak, a 4.2-ben még visszakapcsolható, afölött passz). Ill. a Debian csomag maintainerek hibája, én a helyükben csináltam volna egy ad-dc csomagot, ami behúzza a sima sambát és a néhány függőséget, amit az nem ad meg (mert csak DC-hez kell), pl. winbind, dns-utils, ntp stb.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

de a 7-es Debianban a 4.0.0 verzió volt, és abban még nem bíztam. Vagy nyáron lesz átállás Ubuntu 16.04 LTS-en, vagy várok még egy évet és Debian 9.

Ha ráadásul a 4.0.0 lett volna, de 4.0 beta 2, ha jól emlékszem. Valamelyik samba dev (talán Tridgell) tartott is egy előadást, hogy mennyire benézték a Debian csomagolást, és gyakorlatilag a Squeeze teljes pályafutása alatt maradt egy bugos, használhatatlan, pre-release verzió benne.
Viszont a 8-asban (Jessie) most már 4.2 van.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

( Oops | 2016. 05. 01., v – 17:01 )

A megoldás a downgrade. Ubuntu 12.04-en is ilyen volt.

Megtörtént a downgrade, most működik.

Érdekességként "log level = 1"-es szinten (ezt használom alapesetben) a korábbi 3 hibából 2 továbbra is jelen van:

A downgrade előtt a samba opciók különböző próbálkozásai során volt, hogy az eredeti hibaüzenettől eltérő hibaüzenetet dobott: "Pillanatnyilag nincsenek olyan kiszolgálók, amelyek teljesíthetnék a belépési kérelmet."