История изменений
Исправление Kiborg, (текущая версия) :
Решил задачу, может кому-то пригодится.
The second response sent by NTLMv2 uses a variable length client challenge which includes the domain name
Если на пальцах, то отсюда следует, что поле домена, пришедшее от клиента из недоверенного домена (BOGUS\user), защищено от изменений (наподобие эл. подписи) и samba не может заменить его на DOMAIN для авторизации у AD DC: в этом случае у DC не сойдется подпись и произойдет ошибка «пароль неверен». Поэтому контроллеру домена приходит имя пользователя «BOGUS\user», которое он не может авторизовать, т. к. BOGUS - недоверенный домен. Поэтому и происходит ошибка NO_SUCH_USER.
Однако патч, который исправлял такое поведение, одновременно сломал старое поведение при авторизации по NTLM (см. последние сообщения в обсуждении бага), поэтому я откатился на версию без этого патча (<= 3.6.13). Тем не менее, клиенты, использующие NTLMv2, все равно авторизоваться таким образом не смогут.
Исходная версия Kiborg, :
Решил задачу, может кому-то пригодится.
The second response sent by NTLMv2 uses a variable length client challenge
which includes the domain name
Если на пальцах, то отсюда следует, что поле домена, пришедшее от клиента из недоверенного домена (BOGUS\user), защищено от изменений (наподобие эл. подписи) и samba не может заменить его на DOMAIN для авторизации у AD DC: в этом случае у DC не сойдется подпись и произойдет ошибка «пароль неверен». Поэтому контроллеру домена приходит имя пользователя «BOGUS\user», которое он не может авторизовать, т. к. BOGUS - недоверенный домен. Поэтому и происходит ошибка NO_SUCH_USER.
Однако патч, который исправлял такое поведение, одновременно сломал старое поведение при авторизации по NTLM (см. последние сообщения в обсуждении бага), поэтому я откатился на версию без этого патча (<= 3.6.13). Тем не менее, клиенты, использующие NTLMv2, все равно авторизоваться таким образом не смогут.