LINUX.ORG.RU
ФорумAdmin

Samba TrustRelationships

 ,


0

1

Добрый вечер, подскажите пожалуйста с следующим вопросом.

Стоит задача установить доверительные отношения домена Samba Active Directory и Microsoft Active Directory.

Проблема в том, что в продуктивном MS AD выставлены повышенные настройки безопасности NTLM, а именно запрещено использование NTLMv1. Для создания траста и его проверки эти настройки были временно отключены. Через samba-tool успешно создается both траст. Если проходить валидацию, то она так же успешна (из под windows проверка тоже успешна):

samba-tool domain trust validate ASU.PROD -U admin@ASU.PROD
...
OK: LocalValidation: DC[\\MSK-DC-01.ASU.PROD] CONNECTION[WERR_OK] TRUST[WERR_OK] VERIFY_STATUS_RETURNED
OK: LocalRediscover: DC[\\MSK-DC-01.ASU.PROD] CONNECTION[WERR_OK]

Когда начинаю возвращать параметры безопасности, то траст перестает работать:

OK: LocalValidation: DC[\\MSK-DC-01.ASU.PROD] CONNECTION[WERR_OK] TRUST[WERR_OK] VERIFY_STATUS_RETURNED
ERROR: LOCAL_DC[MSK-DC-02]: NETLOGON_CONTROL_REDISCOVER failed - ERROR(0x00000032) - WERR_NOT_SUPPORTED

Влияет конкретно следующая настройка в GPO (политика для DC):

Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC) Включено
Требовать сеансовую безопасность NTLMv2 Включено

Если смотреть по логам Windows, то Samba пытается обратиться к контролеру по протоколу NTLMv1. Следующие настройки в smb.conf не помогли решить проблему:

[global]
ntlm auth = ntlmv2-only
client NTLMv2 auth = yes

Тестирование проводилось на версии 4.14.12 (Альт Сервер 10) и на 4.16.1 (Fedora Server 36), результат одинаковый. Подскажите пожалуйста, как можно переключить работу Samba на NTLMv2? Может кто сталкивался? Понижение настроек безопасности и открытие NTLMv1 в Windows среде не планируется.



Последнее исправление: Seafoes (всего исправлений: 3)

Стоит повысить уровень отладки в конфиге и глянуть более подробнее в логах на происходящее. Возможно это даст предпосылки для поиска опций в man smb.conf

VKraft ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.