Как я могу исправить ошибку Samba 3.6.25 «сбой доверительных отношений между этой рабочей станцией и основным доменом»?
Сегодня я обновил наш сервер Ubuntu, который также является основным (и единственным) контроллером домена, до последних пакетов Samba, которые исправили несколько уязвимостей безопасности. Были обновлены следующие пакеты:
- libpam-winbind: amd64 (3.6.3-2ubuntu2.17, 3.6.25-0ubuntu0.12.04.2)
- smbclient: amd64 (3.6.3-2ubuntu2.17, 3.6.25-0ubuntu0.12.04. 2)
- libwbclient0: amd64 (3.6.3-2ubuntu2.17, 3.6.25-0ubuntu0.12.04.2)
- libpam-smbpass: amd64 (3.6.3-2ubuntu2.17, 3.6.25-0ubuntu0. 12.04.2)
- samba-common: amd64 (3.6.3-2ubuntu2.17, 3.6.25-0ubuntu0.12.04.2)
- samba: amd64 (3.6.3-2ubuntu2.17, 3.6.25- 0ubuntu0.12.04.2)
winbind: amd64 (3.6.3-2ubuntu2.17, 3.6.25-0ubuntu0.12.04.2)
samba-common-bin: amd64 (3.6.3-2ubuntu2.17, 3.6.25-0ubuntu0.12.04.2)
(из /var/log/apt/history.log)
После обновления все, кто перезагружал свой компьютер с Windows 7 или 8.1, больше не могли войти в домен. Отображаемое сообщение об ошибке: «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом».
Первым делом я попытался удалить зараженный компьютер из домена и добавить его снова. Раньше это решало подобные проблемы, но не в этот раз. Во время этого процесса ошибок не было, но это тоже не помогло: вход в систему с учетной записью домена по-прежнему не выполняется.
Вход в систему с локальной учетной записью, а затем доступ к общим ресурсам работает нормально.
Записывается следующая ошибка несколько раз в /var/log/samba/log.
[2016/04/19 11: 49: 09.975677, 0] rpc_server / netlogon / srv_netlog_nt.c: 976 (_netr_ServerAuthenticate3) _netr_ServerAuthenticate3: ошибка netlogon_creds_server_check. Отклонение запроса аутентификации от учетной записи клиентского компьютера $
Googling и Binging (с использованием Bing) пока обнаружили только два совпадения без решения.
Мне срочно нужно решение, потому что количество затронутых рабочих станций, вероятно, будет быстро расти.
Есть подсказки?
Редактировать:
Я не одинок: https://askubuntu.com/questions/759123/samba-23-6-25-0ubuntu0-12-04-2-as-pdc-samba3-nt4-domain-windows-machines-lost
Но на данный момент там тоже нет ответов.
Ubuntu, похоже, устранил эту проблему с помощью следующего обновления:
http://www.ubuntu.com/usn/usn-2950-3/
выпущено в 2016- 05-04.
USN-2950-1 исправлены уязвимости в Samba. Исправления, внесенные в Samba 4.3.8 вызвала определенные регрессии и проблемы совместимости.
Это обновление решает некоторые из этих проблем путем обновления Samba до 4.3.9 в Ubuntu 14.04 LTS, Ubuntu 15.10 и Ubuntu 16.04 LTS. Обратный регресс исправления были добавлены в Samba 3.6.25 в Ubuntu 12.04 LTS. "
Я установил его сегодня, и проблема исчезла.
В качестве временного решения помогло повторная установка старых пакетов. Я выбрал метод загрузки файлов по соответствующим ссылкам из https://launchpad.net/ubuntu/+source/samba/2:3.6.3-2ubuntu2 , а затем их установка с помощью
dpkg -i libpam-smbpass_3.6.3-2ubuntu2.17_amd64.deb libpam-winbind_3.6.3-2ubuntu2.17_amd64.deb libwbclient0_3.6.3-2ubuntu2.17_amd64.deb samba-common_3.6.3-2ubuntu2.17_all.deb samba_3.6.3-2ubuntu2.17_amd64.deb winbind_3.6.3-2ubuntu2.17_amd64.deb samba-common-bin_3.6.3-2ubuntu2.17_amd64.deb
Это восстановил предыдущее состояние, все рабочие станции могли снова аутентифицировать пользователей.
Как я уже сказал: это временный обходной путь. Поскольку это обновление было обновлением безопасности, мне все еще нужно решение, работающее с этим обновлением.
, возможно, связаны и посмотрите мой ответ там: Ошибка пользователя / пароля Samba Share после обновления
Я обновлю этот ответ, если это действительно решение.
Это регрессия, представленная в последних обновлениях Samba (тех, которые также устранили уязвимость Badlock).
Временное решение (кроме перехода на более раннюю версию) может заключаться в установке
server signing = auto
в ваш smb.conf (после этого не забудьте перезапустить службу samba). К сожалению, для меня это только исправило логины для существующих пользователей. Это не помогло новым пользователям, которые никогда раньше не входили в домен (если я правильно помню, для них я получил сообщение «Нет доступных серверов входа ...»).
Один парень, занимающийся Samba, работает в RedHat говорит, что у них есть исправление для этой проблемы. Я думаю, что RedHat скоро выпустит это исправление, и я ожидаю, что оно будет распространено и для других дистрибутивов.
Есть еще один обходной путь, который я получил от redhat :
Если вы используете Win 7 или Win 10, просто отключите сетевой кабель (или отключите WiFi), а затем войдите в систему. Это похоже на локальный логин (в отличие от сетевого). После того, как вы вошли в систему, вы можете снова подключиться к сетевому кабелю и использовать ваши ресурсы как обычно. Также, выключите спящий режим с требуемым паролем, чтобы вы не были вынуждены входить в систему каждый раз, когда она переходит в спящий режим.
Я не пробовал, но, возможно, это просто сработает. (Вероятно, это также работает для Windows 8(.1).)
.