Project

General

Profile

Tâche #15937

Distribution EOLE - Scénario #15853: Traitement express (16-18)

Horus 2.4.2 : problème ouverture session samba suite à la maj 3.6.25.

Added by Yoni Baude over 5 years ago. Updated over 5 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
04/19/2016
Due date:
% Done:

100%

Estimated time:
2.00 h
Spent time:
Remaining (hours):
0.0

Description

Bonjour,

Suite à la mis à jour de sécurité samba 3.6.25. Les utilisateur ne peuvent plus ouvrir de session depuis leur poste de travail.
Message d'erreur sur la station : "la relation d'approbation entre cette station de travail et le domaine principal a échoué"

Solution temporaire du Raip de Caen : downgrader la version de samba à la version du dépôt principal d'ubuntu, samba 3.6.3.

1) Créer le fichier /etc/apt/preferences.d/samba

Package: samba
Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main
Pin-Priority: 1001

Package: winbind
Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main
Pin-Priority: 1001

Package: *-winbind
Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main
Pin-Priority: 1001

Package: smbclient
Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main
Pin-Priority: 1001

Package: libwbclient0
Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main
Pin-Priority: 1001

Package: samba-*
Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main
Pin-Priority: 1001


2) apt-get -c /etc/apt/apt-eole.conf dist-upgrade --force-yes
3) reconfigure.

Cordialement,
Yoni

smb.conf.patch View (442 Bytes) Daniel Dehennin, 04/20/2016 10:02 AM

downgrade-samba.sh View - Remettre la version 3.6.3-2ubuntu2 de Samba (840 Bytes) Klaas TJEBBES, 04/21/2016 03:48 PM

02eoleapt.patch View - Patch pour ajouter --force-yes dans la conf d'apt (247 Bytes) Gaetan Mottier, 04/22/2016 10:06 AM


Related issues

Related to Distribution EOLE - Scénario #16093: Validation du nouveau paquet SAMBA Terminé (Sprint) 05/09/2016 05/26/2016

History

#1 Updated by Daniel Dehennin over 5 years ago

  • Assigned To set to Daniel Dehennin

#2 Updated by Daniel Dehennin over 5 years ago

  • Description updated (diff)

#3 Updated by Daniel Dehennin over 5 years ago

Cela est dû à la diffusion de patch de sécurité Samba par Ubuntu (http://www.ubuntu.com/usn/usn-2950-1/).

Notamment le correctif CVE-2016-2118 qui nécessite l’application d’un correctif sur le poste client aussi CVE-2016-0128 corrigé chez Microsoft par MS16-047.

Christophe Dezé signale que l’ajout du paramètre allow dcerpc auth level connect = yes permet aux postes clients non corrigés de se connecter, information du CVE-2016-2118 :

===================
New smb.conf option
===================

  allow dcerpc auth level connect (G)

    This option controls whether DCERPC services are allowed to be used with
    DCERPC_AUTH_LEVEL_CONNECT, which provides authentication, but no per
    message integrity nor privacy protection.

    Some interfaces like samr, lsarpc and netlogon have a hard-coded default
    of no and epmapper, mgmt and rpcecho have a hard-coded default of yes.

    The behavior can be overwritten per interface name (e.g. lsarpc,
    netlogon, samr, srvsvc, winreg, wkssvc ...) by using
    'allow dcerpc auth level connect:interface = yes' as option.

    This option yields precedence to the implementation specific restrictions.
    E.g. the drsuapi and backupkey protocols require DCERPC_AUTH_LEVEL_PRIVACY.
    The dnsserver protocol requires DCERPC_AUTH_LEVEL_INTEGRITY.

    Default: allow dcerpc auth level connect = no

    Example: allow dcerpc auth level connect = yes

#4 Updated by Daniel Dehennin over 5 years ago

  • File smb.conf.patch added

Ajout du patch temporaire smb.conf.patch afin d’abaisser la sécurité des services DCERPC.

#5 Updated by Daniel Dehennin over 5 years ago

  • Estimated time set to 2.00 h
  • Parent task set to #15853

#6 Updated by Scrum Master over 5 years ago

  • Status changed from Nouveau to En cours
  • Remaining (hours) set to 2.0

#7 Updated by Scrum Master over 5 years ago

  • Status changed from En cours to Résolu

#8 Updated by Daniel Dehennin over 5 years ago

  • File smb.conf.patch added

Suppression des caractères non ASCII dans le patch

#9 Updated by Daniel Dehennin over 5 years ago

  • File deleted (smb.conf.patch)

#10 Updated by Daniel Dehennin over 5 years ago

Suppression de tous les caractères non ASCII

#11 Updated by Daniel Dehennin over 5 years ago

  • File deleted (smb.conf.patch)

#12 Updated by Daniel Dehennin over 5 years ago

Des problèmes de connexion ont été remonté malgré la modification du paramètre allow dcerpc auth level connect = yes.

Des signalements ont été remontés pour différentes distributions

#13 Updated by Daniel Dehennin over 5 years ago

Environnement:

  • Scribe 2.5.2 avec samba 2:4.3.8+dfsg-0ubuntu0.14.04.2 sans modifier le paramètre allow dcerpc auth level connect
  • Poste windows10 version 1511 sans la mise à jour 3140768
  • Poste windows7 sans la mise à jour 3101246

Test effectué :

  1. Application du fichier de base de registre (\\scribe\admin\perso\Win_Samba3DomainMember.reg) sur les postes clients
  2. Intégration manuelle des postes windows au domaine => OK
  3. Connexion d’un utilisateur => OK

#14 Updated by Daniel Dehennin over 5 years ago

Environnement :

  • Scribe 2.4.2 avec samba à jour 2:3.6.25-0ubuntu0.12.04.2 sans modifier le paramètre allow dcerpc auth level connect
  • Poste windows10 version 1511 sans la mise à jour 3140768
  • Poste windows7 sans la mise à jour 3101246

Test effectué :

  1. Application du fichier de base de registre (\\scribe\admin\perso\esu\Console\Win_Samba3DomainMember.reg) sur les postes clients
  2. Intégration manuelle des postes windows au domaine => OK
  3. Connexion d’un utilisateur => NOK La relation d’approbation entre cette station de travail et le domaine principal a échoué
Test d’abaissement temporaire de la sécurité :
  1. Application du patch pour ajouter allow dcerpc auth level connect = yes
  2. reconfigure
  3. redémarrage du poste
  4. Connexion d’un utilisateur => NOK La relation d’approbation entre cette station de travail et le domaine principal a échoué

#15 Updated by Yoni Baude over 5 years ago

Complément d'information :

Après le downgrade de la version de samba de 3.6.25 vers 3.6.3, le test diagnose sur Partage SMB/TCP ne fonctionne plus avec une connexion anonyme.
La commande utilisée pour le test ne passe plus : smbclient -L localhost -U=admin%.

#16 Updated by Daniel Dehennin over 5 years ago

Après le test précédent (#15937#note-14) :

  1. Mise à jour du poste windows10 version 1511 (utilisation d’une connexion locale)
  2. Connexion d’un utilisateur OK.

Comme rapporté dans la demande Ubuntu :

La modification de la configuration par le patch smb.conf.patch ne permet pas de se connecter depuis des stations windows non corrigées.

Il faut donc intégrer le correctif windows.

#17 Updated by Klaas TJEBBES over 5 years ago

  • Description updated (diff)

#18 Updated by Klaas TJEBBES over 5 years ago

  • File downgrade-samba.sh added

#19 Updated by Klaas TJEBBES over 5 years ago

EOLE 2.4:

Windows 7 32 bits PAS à jour.

Installation de Windows6.1-KB3149090-x86.msu
https://www.microsoft.com/en-us/download/confirmation.aspx?id=51829

=> Impossible d'ouvrir une session

Installation de Windows6.1-KB3149090-x86.msu + Internet Explorer 11 pour Windows 7
https://www.microsoft.com/fr-fr/download/internet-explorer-11-for-windows-7-details.aspx

=> Ouverture de session OK

#20 Updated by Klaas TJEBBES over 5 years ago

Dans l'urgence, on peut downgrader la version de Samba depuis Zéphir en exécutant le fichier

https://dev-eole.ac-dijon.fr/attachments/download/1630/downgrade-samba.sh

(Attention, cette commande exécute un 'reconfigure')

$ cat downgrade-samba.sh 
#!/bin/bash
cat > /etc/apt/preferences.d/samba <<EOF
Package: samba
Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main
Pin-Priority: 1001

Package: winbind
Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main
Pin-Priority: 1001

Package: *-winbind
Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main
Pin-Priority: 1001

Package: smbclient
Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main
Pin-Priority: 1001

Package: libwbclient0
Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main
Pin-Priority: 1001

Package: samba-*
Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main
Pin-Priority: 1001
EOF

apt-get -c /etc/apt/apt-eole.conf dist-upgrade --force-yes
reconfigure

#21 Updated by Klaas TJEBBES over 5 years ago

  • File deleted (downgrade-samba.sh)

#23 Updated by Gaetan Mottier over 5 years ago

Pour ne pas bloquer le Maj-Auto avec le fichier preferences samba, on peut utiliser ce patch.

C'est pour les serveurs qui n'ont pas encore était mise à jour (bloqué par zéphir) dont on a ajouté le fichier préférence samba, voici l'erreur :

root@horus:~# Maj-Auto
Mise à jour le mardi 19 avril 2016 17:09:50
*** horus 2.4.2 (0140096D) ***

Configuration du dépôt Ubuntu avec la source eole.ac-dijon.fr
Configuration du dépôt EOLE avec la source eole.ac-dijon.fr
Action update pour root
Action list-upgrade pour root
Installation de 48 paquets : 0 nouveau, 48 mis à jour
Liste des paquets à mettre à jour :
    creole (2.4.2-27) (root)
    creole-common (2.4.2-27) (root)
    eole-common-pkg (2.4.2~1-23) (root)
    eole-ead (2.4.2~1-6) (root)
    eole-ead-common (2.4.2~1-6) (root)
    eole-ead-server (2.4.2~1-6) (root)
    eole-ead-web (2.4.2~1-6) (root)
    eole-exim (2.4.2~1-8) (root)
    eole-exim-pkg (2.4.2~1-8) (root)
    eole-exim4-config (2.4.2~1-8) (root)
    eole-fichier-common (2.4.2~1-9) (root)
    eole-fichier-common-pkg (2.4.2~1-9) (root)
    eole-fichier-primaire (2.4.2~1-9) (root)
    eole-fichier-primaire-pkg (2.4.2~1-9) (root)
    eole-resolvconf (2.4.2~1-23) (root)
    eole-server (2.4.2~1-23) (root)
    eole-userpassword (2.4.2~1-9) (root)
    libapache2-mod-php5 (5.3.10-1ubuntu3.22) (root)
    libmysqlclient18 (5.5.49-0ubuntu0.12.04.1) (root)
    libpam-winbind (2:3.6.3-2ubuntu2) (root)
    libpq5 (9.1.21-0ubuntu0.12.04) (root)
    libwbclient0 (2:3.6.3-2ubuntu2) (root)
    mysql-client (5.5.49-0ubuntu0.12.04.1) (root)
    mysql-client-5.5 (5.5.49-0ubuntu0.12.04.1) (root)
    mysql-client-core-5.5 (5.5.49-0ubuntu0.12.04.1) (root)
    mysql-common (5.5.49-0ubuntu0.12.04.1) (root)
    mysql-server (5.5.49-0ubuntu0.12.04.1) (root)
    mysql-server-5.5 (5.5.49-0ubuntu0.12.04.1) (root)
    mysql-server-core-5.5 (5.5.49-0ubuntu0.12.04.1) (root)
    php-pear (5.3.10-1ubuntu3.22) (root)
    php5 (5.3.10-1ubuntu3.22) (root)
    php5-cli (5.3.10-1ubuntu3.22) (root)
    php5-common (5.3.10-1ubuntu3.22) (root)
    php5-curl (5.3.10-1ubuntu3.22) (root)
    php5-gd (5.3.10-1ubuntu3.22) (root)
    php5-intl (5.3.10-1ubuntu3.22) (root)
    php5-ldap (5.3.10-1ubuntu3.22) (root)
    php5-mysql (5.3.10-1ubuntu3.22) (root)
    php5-sqlite (5.3.10-1ubuntu3.22) (root)
    python-creole (2.4.2-27) (root)
    samba (2:3.6.3-2ubuntu2) (root)
    samba-common (2:3.6.3-2ubuntu2) (root)
    samba-common-bin (2:3.6.3-2ubuntu2) (root)
    smbclient (2:3.6.3-2ubuntu2) (root)
    tzdata (2016d-0ubuntu0.12.04) (root)
    winbind (2:3.6.3-2ubuntu2) (root)
    zephir-client (2.4.2-14) (root)
    zephir-stats (2.4.2-14) (root)
Action download-upgrade pour root
Lecture des listes de paquets...
Construction de l'arbre des dépendances...
Lecture des informations d'état...
Les paquets suivants seront mis à jour :
  creole creole-common eole-common-pkg eole-ead eole-ead-common eole-ead-server eole-ead-web
  eole-exim eole-exim-pkg eole-exim4-config eole-fichier-common eole-fichier-common-pkg
  eole-fichier-primaire eole-fichier-primaire-pkg eole-resolvconf eole-server eole-userpassword
  libapache2-mod-php5 libmysqlclient18 libpq5 mysql-client mysql-client-5.5 mysql-client-core-5.5
  mysql-common mysql-server mysql-server-5.5 mysql-server-core-5.5 php-pear php5 php5-cli
  php5-common php5-curl php5-gd php5-intl php5-ldap php5-mysql php5-sqlite python-creole tzdata
  zephir-client zephir-stats
Les paquets suivants seront mis à une VERSION INFÉRIEURE :
  libpam-winbind libwbclient0 samba samba-common samba-common-bin smbclient winbind
41 mis à jour, 0 nouvellement installés, 7 remis à une version inférieure, 0 à enlever et 0 non mis à jour.
Il est nécessaire de prendre 71,1 Mo dans les archives.
Après cette opération, 494 ko d'espace disque supplémentaires seront utilisés.
E: Il y a des problèmes et -y a été employé sans --force-yes
Maj-Auto - l'appel à apt-get (-c /etc/apt/apt-eole.conf -d dist-upgrade) a retourné une erreur (code 100). Voir /var/log/apt/term.log

#24 Updated by Klaas TJEBBES over 5 years ago

Dans la note #23 on voit que Maj-Auto essaye d'installer samba (2:3.6.3-2ubuntu2), normal car le serveur n'était pas à jour.

Seul le fichier /etc/apt/preferences.d/samba a été créé et Maj-Auto a été exécuté tout de suite après.

Il aurait fallu faire :
  • Maj-Auto (installe la dernière version de Samba ET tous les autres paquets à mettre à jour)
  • downgrade-samba.sh (revient en arrière sur Samba 3.6.3)

#25 Updated by Daniel Dehennin over 5 years ago

Il semblerait que la régression ait été corrigé :

- Precise Pangolin : samba version 2:3.6.25-0ubuntu0.12.04.3
- Trusty Tahr : samba version 2:4.3.9+dfsg-0ubuntu0.14.04.1

#26 Updated by Daniel Dehennin over 5 years ago

  • Remaining (hours) changed from 2.0 to 0.0

Environnement :

  • Scribe 2.4.2 avec samba à jour 2:3.6.25-0ubuntu0.12.04.3
  • Poste windows7 sans la mise à jour 3101246

Test effectué :

  1. Application du fichier de base de registre (\\scribe\admin\perso\esu\Console\Win_Samba3DomainMember.reg) sur les postes clients
  2. Intégration manuelle des postes windows au domaine => OK
  3. Connexion d’un utilisateur => OK

#27 Updated by Daniel Dehennin over 5 years ago

Après le test précédent (#15937#note-26):

  1. Installation de la mise à jour Windows7 3101246
  2. Connexion d’un utilisateur => OK

#28 Updated by Daniel Dehennin over 5 years ago

  • Status changed from Résolu to Fermé

#29 Updated by Joël Cuissinat over 5 years ago

  • % Done changed from 0 to 100

Also available in: Atom PDF