Hoje atualizei nosso servidor Ubuntu, que também é o principal (e único) controlador de domínio para os pacotes Samba mais recentes, que corrigiram algumas vulnerabilidades de segurança. Os seguintes pacotes foram atualizados:
winbind: amd64 (3.6.3-2ubuntu2.17, 3.6.25-0ubuntu0.12.04.2)
samba-common-bin: amd64 (3.6.3-2ubuntu2.17, 3.6.25-0ubuntu0.12.04.2)
(de /var/log/apt/history.log)
Após a atualização, todos que reiniciaram seu PC com Windows 7 ou 8.1 não puderam mais efetuar login no domínio. A mensagem de erro exibida é "a relação de confiança entre esta estação de trabalho e o domínio primário com falha".
A primeira coisa que tentei foi remover o computador afetado do domínio e adicioná-lo novamente. Isso costumava resolver esse tipo de problema, mas não dessa vez. Não houve erro durante esse processo, mas também não ajudou: O login com uma conta de domínio ainda falha.
Fazer login com uma conta local e depois acessar os compartilhamentos funciona bem.
O seguinte erro é gravado repetidamente em / var / log / samba / log.
[2016/04/19 11: 49: 09.975677, 0] rpc_server / netlogon / srv_netlog_nt.c: 976 (_netr_ServerAuthenticate3) _netr_ServerAuthenticate3: netlogon_creds_server_check falhou. Rejeitando a solicitação de autenticação da conta da máquina cliente $
Pesquisando e Bingando (usando o Bing) até agora só encontrou dois acessos sem uma solução.
Preciso urgentemente de uma solução, porque o número de estações de trabalho afetadas provavelmente aumentará rapidamente.
Alguma dica?
Editar:
Eu não estou sozinho: link
Mas a partir de agora, também não há respostas.
O Ubuntu parece ter corrigido esse problema com a seguinte atualização:
lançado em 2016-05-04.
USN-2950-1 fixed vulnerabilities in Samba. The fixes introduced in Samba 4.3.8 caused certain regressions and interoperability issues.
This update resolves some of these issues by updating to Samba 4.3.9 in Ubuntu 14.04 LTS, Ubuntu 15.10 and Ubuntu 16.04 LTS. Backported regression fixes were added to Samba 3.6.25 in Ubuntu 12.04 LTS."
Eu o instalei hoje e o problema acabou.
O que ajudou na solução temporária foi a instalação dos pacotes antigos novamente. O método que escolhi foi baixar os arquivos dos links apropriados do link e, em seguida, instalar eles usando
dpkg -i libpam-smbpass_3.6.3-2ubuntu2.17_amd64.deb libpam-winbind_3.6.3-2ubuntu2.17_amd64.deb libwbclient0_3.6.3-2ubuntu2.17_amd64.deb samba-common_3.6.3-2ubuntu2.17_all.deb samba_3.6.3-2ubuntu2.17_amd64.deb winbind_3.6.3-2ubuntu2.17_amd64.deb samba-common-bin_3.6.3-2ubuntu2.17_amd64.deb
Isso restaurou o estado anterior, todas as estações de trabalho puderam autenticar os usuários novamente.
Como eu disse: esta é uma solução temporária. Como a atualização foi uma atualização de segurança, ainda preciso de uma solução que funcione com a atualização.
Esta é uma regressão introduzida com as atualizações mais recentes do Samba (aquelas que também corrigiram a vulnerabilidade do Badlock).
Uma solução temporária (diferente do downgrade) pode ser definir
server signing = auto
no seu smb.conf (não esqueça de reiniciar o serviço samba depois disso). Infelizmente isso apenas logins fixos para usuários existentes para mim. Não ajudou em nada para novos usuários que nunca haviam se logado no domínio antes (se eu me lembro bem, eu tenho um "Nenhum servidor de logon disponível ..." para isso).
Um cara do Samba que trabalha no RedHat diz que eles têm uma solução de trabalho para esse problema. Eu acho que o RedHat vai liberar essa correção em breve e eu esperaria que ela fosse distribuída para outras distribuições também.
possivelmente relacionado e veja minha resposta lá: Erro de usuário / senha do Samba Share após a atualização
Eu atualizarei esta resposta, se esta for realmente a solução.
Há outra solução alternativa que recebi do redhat :
Se você estiver usando o Win 7 ou Win 10, desconecte o cabo de rede (ou desative o WiFi) e faça o login. É semelhante a um login local (versus um login de rede). Uma vez logado, você pode reconectar o cabo de rede e usar seus recursos normalmente. Além disso, desligue o modo de suspensão com a senha necessária para que você não seja forçado a fazer login novamente sempre que o sistema entrar em suspensão.
Eu não tentei, mas pode funcionar. (Provavelmente também funciona para o Windows 8 (.1).)
Tags windows-7 samba windows-8.1