апдейт сломал самбу

0

2

система debian 7.9, samba 3.6.6, update 3.6.6-6+deb7u9 (предыдущий 3.6.6-6+deb7u7), PDC, LDAP.

после апдейта клиенты (Windows 7, Windows XP) перестали заходить в домен с ошибкой авторизации (домен недоступен или с учеткой машины непорядок бла-бла). подключения клиент-клиен также отвалились.

локально на сервере подключение через smbclient происходит нормально.

в логах сервера

srv_pipe_check_verification_trailer: failed

нагуглилось что-то похожее bug

опция

allow dcerpc auth level connect

не влияет, или я не правильно понял, как ее нужно использовать. у меня в дефолте стоит «No».

насколько я понял, самбу недавно патчили в связи с вновь обнаруженной уязвимостью. возможно чего-то там поломалось после патчей?

вопрос извечен, как сама жизнь - что делать?

пока разрешил проблему подменой самбовских бинарников из бэкапа.

Ссылка

←	Восстановление базы mysql

Не могу записать файл по ftp (vsftpd)

→

If the windows machine is not up-to-date, the configuration «allow dcerpc auth level connect = yes» does not permit to connect.

Перевести?

~~zgen~~ ★★★★★
(21.04.16 13:29:03 MSK)

Ответ на: комментарий от zgen 21.04.16 13:29:03 MSK

нет, спасибо. это первое, на что я обратил внимание.

в то же время (чуть ниже в пруфе), описывается проблема с командой

net rpc group -S localhost -U user

так вот на сервере с бинарями из update 3.6.6-6+deb7u7 оно работает. и не работает на сервере где накачено update 3.6.6-6+deb7u9.

каким боком тут «If the windows machine is not up-to-date»?

к тому же, у меня упомянутая опция везде выставлена в «No», как я указал выше.

вот вот буквально дословное описание моей проблемы в том же пруфе:

I should mention that all the servers effected where using the LDAP backend setup via smbldap-tools. Some server were running winbind but not all. Machines were mix of 32-bit and 64-bit installs.
Clients with login problems were both Windows 7 and XP joined to a domain. Sometimes a user could login to a machine using a recently used user account (info probably cached on locally on Windows machine). File access to server was fine. Leaving and rejoining the domain produced no error, but users could still not login.

у меня половина машин на xp, например. патч от badlock на них есть?

conalex ★★★
(21.04.16 14:20:29 MSK) автор топика
Последнее исправление: conalex 21.04.16 14:28:57 MSK (всего исправлений: 1)

Ответ на: комментарий от conalex 21.04.16 14:20:29 MSK

Мы рассматриваем проблему с двух сторон.

1. Как _решить_ проблему.

что делать?

2. Что все это значит и почему так, а не иначе.

Если вы спрашиваете, как решить проблему, то я совет процитировал.
Почему вы обратили на это внимание, но не сделали - мне непонятно.

Если второе, то давайте и об этом поговорим, но к вашей проблеме это уже не будет иметь отношения.

каким боком тут «If the windows machine is not up-to-date»?

Вы программист? Вы посмотрели код? К чему этот вопрос вообще?
Вам сказали - хотите починить, сделайте это. В ответ вы задаетесь риторическими вопросами «причем тут „это“?»

Поговорить за жизнь - это в другом разделе, в talks.
Если вы посмотрите в relnotes, вы увидите, что разные интерфейсы по-умолчанию работают с разными значениями этого параметра, значит где-то в коде поправили, а где-то забыли. У вас есть возможность сказать всем явно использовать новые параметры и таким образом привести ситуацию к единому виду.
Выхода у вас ровно три:
1. Откатиться назад и ждать обновления с исправлением ошибки.
2. Воспользоваться предложенным workaround'ом
3. Ничего не делать.

у меня половина машин на xp, например. патч от badlock на них есть?

Понятия не имею. Если на них патча нет, можете их обновить до поддерживаемых ОС, а можете воспользоваться п.1

~~zgen~~ ★★★★★
(21.04.16 15:08:27 MSK)

Ответ на: комментарий от zgen 21.04.16 15:08:27 MSK

Почему вы обратили на это внимание, но не сделали - мне непонятно.

обратил и проверил.

потом еще раз проверил.

«up-to-date» win7 sp1 pro в домен не логинится ни при каком из возможных значений опции «allow dcerpc auth level connect" (хр - аналогично, но хр заведомо «not up-to-date»).

локальный коннект (smbclient -L localhost) проходит нормально.

команды семейства net rpc не работают.

удаление samba и установка версий пакетов из update 3.6.6-6+deb7u7 (http://snapshot.debian.org/) проблему решили, да. точнее, убрали кривой патч, оставив другую - уязвимость badlock.

собственно, говорю все это я не только и не столько для тебя, сколько для людей, имеющих аналогичную проблему, с целью привлечь их внимание и, возможно, обсудить варианты решений.

у тебя проблем нет, я понял.

conalex ★★★
(21.04.16 22:03:47 MSK) автор топика

Ответ на: комментарий от conalex 21.04.16 22:03:47 MSK

«up-to-date» win7 sp1 pro в домен не логинится ни при каком из возможных значений опции «allow dcerpc auth level connect"

Ну вот и дело. С этого надо было начинать.

У меня не debian и не убунта, у меня freebsd.
И я бы на вашем месте обратил внимание на то, что 3.x больше не поддерживается и не будет поддерживаться авторами:
https://wiki.samba.org/index.php/Samba_Release_Planning#Samba_Release_Plannin...

Я не знаю, кто клепал патчи и почему они делали это так криво.

~~zgen~~ ★★★★★
(21.04.16 23:06:54 MSK)

Ответ на: комментарий от conalex 21.04.16 14:20:29 MSK

у меня половина машин на xp, например. патч от badlock на них есть?

Вот как раз на них есть. Гуглим как из нее сделать embedded, ставим обнову и возвращаем к обычному режиму (главное не ребутать, а то говорят она embedded пожизни останется)

anc ★★★★★
(22.04.16 01:00:48 MSK)

Ответ на: комментарий от anc 22.04.16 01:00:48 MSK

да, нагуглил, спс.

conalex ★★★
(22.04.16 07:31:04 MSK) автор топика

Ссылка

Ответ на: комментарий от zgen 21.04.16 23:06:54 MSK

да, буду апгрейдить системы на debian 8, за одно и самбу на четверку. до сего дня сдерживало только «работает - не трогай».

conalex ★★★
(22.04.16 08:43:53 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Восстановление базы mysql

Admin

Не могу записать файл по ftp (vsftpd)

→

Похожие темы