Tâche #15937
Distribution EOLE - Scénario #15853: Traitement express (16-18)
Horus 2.4.2 : problème ouverture session samba suite à la maj 3.6.25.
Description
Bonjour,
Suite à la mis à jour de sécurité samba 3.6.25. Les utilisateur ne peuvent plus ouvrir de session depuis leur poste de travail.
Message d'erreur sur la station : "la relation d'approbation entre cette station de travail et le domaine principal a échoué"
Solution temporaire du Raip de Caen : downgrader la version de samba à la version du dépôt principal d'ubuntu, samba 3.6.3.
1) Créer le fichier /etc/apt/preferences.d/samba
Package: samba Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main Pin-Priority: 1001 Package: winbind Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main Pin-Priority: 1001 Package: *-winbind Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main Pin-Priority: 1001 Package: smbclient Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main Pin-Priority: 1001 Package: libwbclient0 Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main Pin-Priority: 1001 Package: samba-* Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main Pin-Priority: 1001
2) apt-get -c /etc/apt/apt-eole.conf dist-upgrade --force-yes
3) reconfigure.
Cordialement,
Yoni
Demandes liées
Historique
#1 Mis à jour par Daniel Dehennin il y a environ 8 ans
- Assigné à mis à Daniel Dehennin
#2 Mis à jour par Daniel Dehennin il y a environ 8 ans
- Description mis à jour (diff)
#3 Mis à jour par Daniel Dehennin il y a environ 8 ans
Cela est dû à la diffusion de patch de sécurité Samba par Ubuntu (http://www.ubuntu.com/usn/usn-2950-1/).
Notamment le correctif CVE-2016-2118 qui nécessite l’application d’un correctif sur le poste client aussi CVE-2016-0128 corrigé chez Microsoft par MS16-047.
Christophe Dezé signale que l’ajout du paramètre allow dcerpc auth level connect = yes
permet aux postes clients non corrigés de se connecter, information du CVE-2016-2118 :
=================== New smb.conf option =================== allow dcerpc auth level connect (G) This option controls whether DCERPC services are allowed to be used with DCERPC_AUTH_LEVEL_CONNECT, which provides authentication, but no per message integrity nor privacy protection. Some interfaces like samr, lsarpc and netlogon have a hard-coded default of no and epmapper, mgmt and rpcecho have a hard-coded default of yes. The behavior can be overwritten per interface name (e.g. lsarpc, netlogon, samr, srvsvc, winreg, wkssvc ...) by using 'allow dcerpc auth level connect:interface = yes' as option. This option yields precedence to the implementation specific restrictions. E.g. the drsuapi and backupkey protocols require DCERPC_AUTH_LEVEL_PRIVACY. The dnsserver protocol requires DCERPC_AUTH_LEVEL_INTEGRITY. Default: allow dcerpc auth level connect = no Example: allow dcerpc auth level connect = yes
#4 Mis à jour par Daniel Dehennin il y a environ 8 ans
- Fichier smb.conf.patch ajouté
Ajout du patch temporaire smb.conf.patch afin d’abaisser la sécurité des services DCERPC.
#5 Mis à jour par Daniel Dehennin il y a environ 8 ans
- Temps estimé mis à 2.00 h
- Tâche parente mis à #15853
#6 Mis à jour par Scrum Master il y a environ 8 ans
- Statut changé de Nouveau à En cours
- Restant à faire (heures) mis à 2.0
#7 Mis à jour par Scrum Master il y a environ 8 ans
- Statut changé de En cours à Résolu
#8 Mis à jour par Daniel Dehennin il y a environ 8 ans
- Fichier smb.conf.patch ajouté
Suppression des caractères non ASCII dans le patch
#9 Mis à jour par Daniel Dehennin il y a environ 8 ans
- Fichier
smb.conf.patchsupprimé
#10 Mis à jour par Daniel Dehennin il y a environ 8 ans
- Fichier smb.conf.patch Voir ajouté
Suppression de tous
les caractères non ASCII
#11 Mis à jour par Daniel Dehennin il y a environ 8 ans
- Fichier
smb.conf.patchsupprimé
#12 Mis à jour par Daniel Dehennin il y a environ 8 ans
Des problèmes de connexion ont été remonté malgré la modification du paramètre allow dcerpc auth level connect = yes
.
Des signalements ont été remontés pour différentes distributions
#13 Mis à jour par Daniel Dehennin il y a environ 8 ans
Environnement:
- Scribe 2.5.2 avec samba 2:4.3.8+dfsg-0ubuntu0.14.04.2 sans modifier le paramètre
allow dcerpc auth level connect
- Poste windows10 version 1511 sans la mise à jour 3140768
- Poste windows7 sans la mise à jour 3101246
Test effectué :
- Application du fichier de base de registre (\\scribe\admin\perso\Win_Samba3DomainMember.reg) sur les postes clients
- Intégration manuelle des postes windows au domaine => OK
- Connexion d’un utilisateur => OK
#14 Mis à jour par Daniel Dehennin il y a environ 8 ans
Environnement :
- Scribe 2.4.2 avec samba à jour 2:3.6.25-0ubuntu0.12.04.2 sans modifier le paramètre
allow dcerpc auth level connect
- Poste windows10 version 1511 sans la mise à jour 3140768
- Poste windows7 sans la mise à jour 3101246
Test effectué :
- Application du fichier de base de registre (\\scribe\admin\perso\esu\Console\Win_Samba3DomainMember.reg) sur les postes clients
- Intégration manuelle des postes windows au domaine => OK
- Connexion d’un utilisateur => NOK
La relation d’approbation entre cette station de travail et le domaine principal a échoué
- Application du patch pour ajouter
allow dcerpc auth level connect = yes
- reconfigure
- redémarrage du poste
- Connexion d’un utilisateur => NOK
La relation d’approbation entre cette station de travail et le domaine principal a échoué
#15 Mis à jour par Yoni Baude il y a environ 8 ans
Complément d'information :
Après le downgrade de la version de samba de 3.6.25 vers 3.6.3, le test diagnose sur Partage SMB/TCP ne fonctionne plus avec une connexion anonyme.
La commande utilisée pour le test ne passe plus : smbclient -L localhost -U=admin%.
#16 Mis à jour par Daniel Dehennin il y a environ 8 ans
Après le test précédent (#15937#note-14) :
- Mise à jour du poste windows10 version 1511 (utilisation d’une connexion locale)
- Connexion d’un utilisateur OK.
Comme rapporté dans la demande Ubuntu :
La modification de la configuration par le patch smb.conf.patch ne permet pas de se connecter depuis des stations windows non corrigées.
Il faut donc intégrer le correctif windows.
#17 Mis à jour par Klaas TJEBBES il y a environ 8 ans
- Description mis à jour (diff)
#18 Mis à jour par Klaas TJEBBES il y a environ 8 ans
- Fichier downgrade-samba.sh ajouté
#19 Mis à jour par Klaas TJEBBES il y a environ 8 ans
EOLE 2.4:
Windows 7 32 bits PAS à jour.
Installation de Windows6.1-KB3149090-x86.msu
https://www.microsoft.com/en-us/download/confirmation.aspx?id=51829
=> Impossible d'ouvrir une session
Installation de Windows6.1-KB3149090-x86.msu + Internet Explorer 11 pour Windows 7
https://www.microsoft.com/fr-fr/download/internet-explorer-11-for-windows-7-details.aspx
=> Ouverture de session OK
#20 Mis à jour par Klaas TJEBBES il y a environ 8 ans
Dans l'urgence, on peut downgrader la version de Samba depuis Zéphir en exécutant le fichier
https://dev-eole.ac-dijon.fr/attachments/download/1630/downgrade-samba.sh
(Attention, cette commande exécute un 'reconfigure')
$ cat downgrade-samba.sh #!/bin/bash cat > /etc/apt/preferences.d/samba <<EOF Package: samba Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main Pin-Priority: 1001 Package: winbind Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main Pin-Priority: 1001 Package: *-winbind Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main Pin-Priority: 1001 Package: smbclient Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main Pin-Priority: 1001 Package: libwbclient0 Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main Pin-Priority: 1001 Package: samba-* Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main Pin-Priority: 1001 EOF apt-get -c /etc/apt/apt-eole.conf dist-upgrade --force-yes reconfigure
#21 Mis à jour par Klaas TJEBBES il y a presque 8 ans
- Fichier
downgrade-samba.shsupprimé
#22 Mis à jour par Klaas TJEBBES il y a presque 8 ans
- Fichier downgrade-samba.sh Voir ajouté
#23 Mis à jour par Gaetan Mottier il y a presque 8 ans
- Fichier 02eoleapt.patch Voir ajouté
Pour ne pas bloquer le Maj-Auto avec le fichier preferences samba, on peut utiliser ce patch.
C'est pour les serveurs qui n'ont pas encore était mise à jour (bloqué par zéphir) dont on a ajouté le fichier préférence samba, voici l'erreur :
root@horus:~# Maj-Auto Mise à jour le mardi 19 avril 2016 17:09:50 *** horus 2.4.2 (0140096D) *** Configuration du dépôt Ubuntu avec la source eole.ac-dijon.fr Configuration du dépôt EOLE avec la source eole.ac-dijon.fr Action update pour root Action list-upgrade pour root Installation de 48 paquets : 0 nouveau, 48 mis à jour Liste des paquets à mettre à jour : creole (2.4.2-27) (root) creole-common (2.4.2-27) (root) eole-common-pkg (2.4.2~1-23) (root) eole-ead (2.4.2~1-6) (root) eole-ead-common (2.4.2~1-6) (root) eole-ead-server (2.4.2~1-6) (root) eole-ead-web (2.4.2~1-6) (root) eole-exim (2.4.2~1-8) (root) eole-exim-pkg (2.4.2~1-8) (root) eole-exim4-config (2.4.2~1-8) (root) eole-fichier-common (2.4.2~1-9) (root) eole-fichier-common-pkg (2.4.2~1-9) (root) eole-fichier-primaire (2.4.2~1-9) (root) eole-fichier-primaire-pkg (2.4.2~1-9) (root) eole-resolvconf (2.4.2~1-23) (root) eole-server (2.4.2~1-23) (root) eole-userpassword (2.4.2~1-9) (root) libapache2-mod-php5 (5.3.10-1ubuntu3.22) (root) libmysqlclient18 (5.5.49-0ubuntu0.12.04.1) (root) libpam-winbind (2:3.6.3-2ubuntu2) (root) libpq5 (9.1.21-0ubuntu0.12.04) (root) libwbclient0 (2:3.6.3-2ubuntu2) (root) mysql-client (5.5.49-0ubuntu0.12.04.1) (root) mysql-client-5.5 (5.5.49-0ubuntu0.12.04.1) (root) mysql-client-core-5.5 (5.5.49-0ubuntu0.12.04.1) (root) mysql-common (5.5.49-0ubuntu0.12.04.1) (root) mysql-server (5.5.49-0ubuntu0.12.04.1) (root) mysql-server-5.5 (5.5.49-0ubuntu0.12.04.1) (root) mysql-server-core-5.5 (5.5.49-0ubuntu0.12.04.1) (root) php-pear (5.3.10-1ubuntu3.22) (root) php5 (5.3.10-1ubuntu3.22) (root) php5-cli (5.3.10-1ubuntu3.22) (root) php5-common (5.3.10-1ubuntu3.22) (root) php5-curl (5.3.10-1ubuntu3.22) (root) php5-gd (5.3.10-1ubuntu3.22) (root) php5-intl (5.3.10-1ubuntu3.22) (root) php5-ldap (5.3.10-1ubuntu3.22) (root) php5-mysql (5.3.10-1ubuntu3.22) (root) php5-sqlite (5.3.10-1ubuntu3.22) (root) python-creole (2.4.2-27) (root) samba (2:3.6.3-2ubuntu2) (root) samba-common (2:3.6.3-2ubuntu2) (root) samba-common-bin (2:3.6.3-2ubuntu2) (root) smbclient (2:3.6.3-2ubuntu2) (root) tzdata (2016d-0ubuntu0.12.04) (root) winbind (2:3.6.3-2ubuntu2) (root) zephir-client (2.4.2-14) (root) zephir-stats (2.4.2-14) (root) Action download-upgrade pour root Lecture des listes de paquets... Construction de l'arbre des dépendances... Lecture des informations d'état... Les paquets suivants seront mis à jour : creole creole-common eole-common-pkg eole-ead eole-ead-common eole-ead-server eole-ead-web eole-exim eole-exim-pkg eole-exim4-config eole-fichier-common eole-fichier-common-pkg eole-fichier-primaire eole-fichier-primaire-pkg eole-resolvconf eole-server eole-userpassword libapache2-mod-php5 libmysqlclient18 libpq5 mysql-client mysql-client-5.5 mysql-client-core-5.5 mysql-common mysql-server mysql-server-5.5 mysql-server-core-5.5 php-pear php5 php5-cli php5-common php5-curl php5-gd php5-intl php5-ldap php5-mysql php5-sqlite python-creole tzdata zephir-client zephir-stats Les paquets suivants seront mis à une VERSION INFÉRIEURE : libpam-winbind libwbclient0 samba samba-common samba-common-bin smbclient winbind 41 mis à jour, 0 nouvellement installés, 7 remis à une version inférieure, 0 à enlever et 0 non mis à jour. Il est nécessaire de prendre 71,1 Mo dans les archives. Après cette opération, 494 ko d'espace disque supplémentaires seront utilisés. E: Il y a des problèmes et -y a été employé sans --force-yes Maj-Auto - l'appel à apt-get (-c /etc/apt/apt-eole.conf -d dist-upgrade) a retourné une erreur (code 100). Voir /var/log/apt/term.log
#24 Mis à jour par Klaas TJEBBES il y a presque 8 ans
Dans la note #23 on voit que Maj-Auto essaye d'installer samba (2:3.6.3-2ubuntu2), normal car le serveur n'était pas à jour.
Seul le fichier /etc/apt/preferences.d/samba a été créé et Maj-Auto a été exécuté tout de suite après.
Il aurait fallu faire :- Maj-Auto (installe la dernière version de Samba ET tous les autres paquets à mettre à jour)
- downgrade-samba.sh (revient en arrière sur Samba 3.6.3)
#25 Mis à jour par Daniel Dehennin il y a presque 8 ans
Il semblerait que la régression ait été corrigé :
- Precise Pangolin : samba version 2:3.6.25-0ubuntu0.12.04.3
- Trusty Tahr : samba version 2:4.3.9+dfsg-0ubuntu0.14.04.1
#26 Mis à jour par Daniel Dehennin il y a presque 8 ans
- Restant à faire (heures) changé de 2.0 à 0.0
Environnement :
- Scribe 2.4.2 avec samba à jour 2:3.6.25-0ubuntu0.12.04.3
- Poste windows7 sans la mise à jour 3101246
Test effectué :
- Application du fichier de base de registre (\\scribe\admin\perso\esu\Console\Win_Samba3DomainMember.reg) sur les postes clients
- Intégration manuelle des postes windows au domaine => OK
- Connexion d’un utilisateur => OK
#27 Mis à jour par Daniel Dehennin il y a presque 8 ans
Après le test précédent (#15937#note-26):
- Installation de la mise à jour Windows7 3101246
- Connexion d’un utilisateur => OK
#28 Mis à jour par Daniel Dehennin il y a presque 8 ans
- Statut changé de Résolu à Fermé
#29 Mis à jour par Joël Cuissinat il y a presque 8 ans
- % réalisé changé de 0 à 100