Ubuntu14.04+PDC(SerSamba4)+Windows7/8/XP=NT_STATUS_OBJECT

[Николай1984]

Первая ссылка не работает, отправляет в оглавление поддержки- но явно не в топик
Пользователь добавил сообщение 21 Апреля 2016, 18:35:43:Думаем дальше: http://www.nixp.ru/news/13708.html
(не сочтите за рекламу, не до нее сейчас...)

В Samba 4.4.2, 4.3.8 и 4.2.11 исправили критическую Windows-уязвимость Badlock
Уязвимость Badlock в Windows и Samba   
Уязвимость Badlock в Windows и Samba
Иллюстрация с сайта Badlock

На уходящей неделе в Windows и свободном продукте Samba обнаружена и исправлена критическая уязвимость, получившая названия Badlock.

Проблема Badlock описана в CVE-2016-2118 для Samba (или CVE-2016-0128 / MS16-047 для Windows) и заключается в возможности проведении атаки посредника (Man in the middle, MITM) для перехвата любого трафика системы удаленного вызова процедур DCE/RPC между клиентом и сервером и получения привилегий аутентифицированного пользовательского аккаунта. Исследователи отмечают, что Badlock представляет особую опасность в контроллерах доменов Active Directory, а также эта проблема стала источником для возможности проведения атак типа DoS (Denial-of-Service) и появления множества дополнительных уязвимостей (CVE-2015-5370, CVE-2016-2110, CVE-2016-2111, CVE-2016-2112, CVE-2016-2113, CVE-2016-2114, CVE-2016-2115).

Уязвимости Badlock подвержены все последние ветви релизов Samba: 3.6.x, 4.0.x, 4.1.x, 4.2.0-4.2.9, 4.3.0-4.3.6, 4.4.0. Актуальные патчи, исправляющие все проблемы, содержатся в релизах Samba 4.2.11, 4.3.8, 4.4.2, которые рекомендуются всем системным администраторам для срочной установки. Основные сведения об уязвимости собраны на сайте badlock.org.

https://www.samba.org/samba/history/security.html

Apr 2016    patch for Samba 4.4.0
patch for Samba 4.3.6
patch for Samba 4.2.9
patch for Samba 4.0.26 (fileserver only! no client! no domain controller!)
patch for Samba 3.6.25 (only related CVEs)
   
Numerous CVEs. Please see the announcements for details. Please refer to the advisories    CVE-2015-5370, CVE-2016-2110, CVE-2016-2111, CVE-2016-2112, CVE-2016-2113, CVE-2016-2114, CVE-2016-2115, CVE-2016-2118    

Что думаете по поводу этого всего?

p.s. В 4.3.8 они походу исправили косяк в безопасности, после этого у самбы полностью съехала крыша. Теперь вопрос, либо, как уехать с этой версии на 4.3.6 обратно, либо как поднять отдельно самбу на 4.4.2?

[mihasЬ]

https://www.samba.org/samba/history/samba-4.3.8.html

[Николай1984]

Не знаю, будет без регистрации видно, или нет..
https://bugzilla.samba.org/show_bug.cgi?id=11869

[e900]

я из за этой проблемы даже зарегистрировался на форуме. Думал, я чего поломал, новичек в линухах, систему переустановил.

Никуда в сетевом окружении не пускает без пароля после обновления, кроме как к самой себе и на машину с windows 2003 server

[Николай1984]

e900, посмотри версию samba у себя (sudo samba-tool -V), 4.3.8 или 4.4.2?

[e900]

e900, посмотри версию samba у себя (sudo samba-tool -V), 4.3.8 или 4.4.2?

4.3.8

Как раз помню, что вчера в обновлениях были пакеты самба 4.3.8

http://joxi.net/p27oMaaU0bY0N2

[Николай1984]

кто сможет попробовать обновиться до 4.4.2 и посмотреть, будут шары работать на этом релизе? Он у них заяален как последний стабильный. 4.3.8 почему-то быстро перескочили.

Второй вопрос, может быть нубский - как ообновить отдельно список пакетов, без обновления системы?
типа apt-get update samba - может быть такой вариант?

[e900]

просто apt-get update обновит список пакетов, а apt-get upgrade обновит сами пакеты

[Николай1984]

дальше - больше.
http://www.linux.org.ru/forum/general/12519833

Здаров, господа.
Не знаю, в каком направлении уже смотреть. wbinfo показывает мне все, кроме списка пользователей. Просто после попытки обновиться до samba4 из стандартных репозиториев centos 6.7 он перестал это делать. Гугл рассказал про заговор с 4й самбой и libnss_winbind.so,который мне неоткуда было взять. Снес пакеты samba-*, взял оф. мануал и в результате.. так никуда и не продвинулся.

В 4.4.2 похоже они не очень его передружили с debian, дальше будет веселее.
Пользователь добавил сообщение 22 Апреля 2016, 19:14:01:Список пакетов кеша и история изменений самбы.

P.s. попробовал ввести второй контроллер домена (в качестве экспериментального мышонка, без прав FSMO вообще) и сделал на нем dist-upgrade;

Печально, но не помогло. Точно также шары пропали, и выше 4.3.8 оно не обновляется. Т.ч. WTF детектед...
Пользователь добавил сообщение 23 Апреля 2016, 13:42:14:do-release-upgrade [-m server в моем случае] не помог. Имейте это в виду. Хотя nameserver не свалился.

[Николай1984]

Попробуйте кто-нить из исходов поставить 4.4.2 и отпишитесь заработают шары на ней или нет, у меня не получается ни через checkinstall, ни как..

[Николай1984]

https://www.linux.org.ru/forum/general/12519833
client ldap sasl wrapping = plain спасет отца русской демократии
anonymous (26.04.2016 9:29:18)

и как эту хреньнастройку воткнуть в уже существующий конфиг самбы - хотя бы куда?

[e900]

ну наверное в /etc/samba/smb.conf

Я туда уже разно пробовал пихать, как-то нет эффекта.

[Extremal1981]

Как временное решение, тут в соседней веточке добрый человек накопал как откатить samba до версии 4.1.6

sudo aptitude install samba-libs=2:4.1.6+dfsg-1ubuntu2 libsmbclient=2:4.1.6+dfsg-1ubuntu2 libwbclient0=2:4.1.6+dfsg-1ubuntu2 python-samba=2:4.1.6+dfsg-1ubuntu2 samba=2:4.1.6+dfsg-1ubuntu2 samba-common=2:4.1.6+dfsg-1ubuntu2 samba-common-bin=2:4.1.6+dfsg-1ubuntu2 samba-dsdb-modules=2:4.1.6+dfsg-1ubuntu2 samba-vfs-modules=2:4.1.6+dfsg-1ubuntu2 smbclient=2:4.1.6+dfsg-1ubuntu2 libldb1=1:1.1.16-1 python-ldb=1:1.1.16-1

[Николай1984]

вариант конечно хороший...
а дальше samba-tool domain provision

как сохранить настройки PDC и DNS при переезде на старую систему?

samba-tool vampire mydomain.dc -Uпривет-я-вася не катит - переносится только схема, без пользователей и DNS имен.

[allex7]

Почитал я эти бодрые мануалы и видео, как все легко ставилось. Взялся и я поднять AD DC на Ubuntu 14.4. Как только ни корячился, и с bind9 пробовал, и без оного, но через это перейти никак не мог еще на стадии тестирования (остальное все работало):

root@uallex-pc:/home/uallex# smbclient -L localhost -U%

NT_STATUS_OBJECT_NAME_NOT_FOUND.

Потом здесь
https://bugs.launchpad.net/ubuntu/+source/samba4/+bug/1055075
нашел это:
I used to solved the problem by adding the following, in the smb.conf

        server services = +smb -s3fs
        dcerpc endpoint servers = +winreg +srvsvc

Воткнул в конфиг первую строчку пока, и получил что надо:
root@uallex-pc:/home/uallex# smbclient -L localhost -U%Domain=[МойДомен] OS=[Unix] Server=[Samba 4.3.8-Ubuntu]

   Sharename       Type      Comment
   ---------       ----      -------
   netlogon        Disk     
   sysvol          Disk     
   IPC$            IPC       IPC Service
Но все ж не до конца получается пока:
root@uallex-pc:/home/uallex# smbclient //localhost/netlogon -UAdministrator -c 'ls'
Enter Administrator's password:
Domain=[МойДомен] OS=[Unix] Server=[Samba 4.3.8-Ubuntu]
NT_STATUS_OBJECT_NAME_NOT_FOUND listing \*

Похоже, SAMBA еще не скоро будет AD DC....