Re: attenzione agli aggiornamenti samba in wheezy
Mandi! Piviul In chel di` si favelave... >> come ho scritto: >>> imposta il parametro global "client ipc signing = >> disabled" > grazie mille Andrea, in effetti ha funzionato. Era anche citato nei > change log... Ecco, come passare una brutta giornata. Alla fine ho fatto un bel revert al precedente pacchetto con: apt-get install samba=2:3.6.6-6+deb7u7 samba-common=2:3.6.6-6+deb7u7 winbind=2:3.6.6-6+deb7u7 libwbclient0=2:3.6.6-6+deb7u7 smbclient=2:3.6.6-6+deb7u7 libnss-winbind=2:3.6.6-6+deb7u7 libpam-winbind=2:3.6.6-6+deb7u7 samba-common-bin=2:3.6.6-6+deb7u7 samba-doc=2:3.6.6-6+deb7u7 ma prima aveo provato ogni combinazione possibile di: ntlm auth = server signing = client signing = client ipc signing = senza alcuna modifica apparente. Il problema è che i cient windows (7pro 64bit) dicevano, a random, che il join al dominio era invalido e/o che il PDC non esisteva. Questo circa una settimana dopo l'aggiornamento, e in questa settimana tutto sostanzialmente andava. Un altro dominio invece sembra andare, con la stessa configurazone. Inizio a pensare sia colpa di winbind, questo dominio malfunzionante è infati un dominio fidato del principale, e quindi utilizza pesantemente winbind. Mah... -- Io chiedo quando sara` che l'uomo potra` imparare a vivere senza ammazzare e il vento si posera`(F. Guccini)
Re: attenzione agli aggiornamenti samba in wheezy
Piviul ha scritto il 18/04/2016 alle 11:33: > Andrea Zagli ha scritto il 18/04/2016 alle 11:29: >> [...] >> come ho scritto: >>> imposta il parametro global "client ipc signing = >> disabled" > grazie mille Andrea, in effetti ha funzionato. Era anche citato nei > change log... nei change log però raccomandano anche di aggiungere le righe: server signing = mandatory ntlm auth = no per evitare i problema del MITM attack Piviul
Re: attenzione agli aggiornamenti samba in wheezy
Andrea Zagli ha scritto il 18/04/2016 alle 11:29: > [...] > come ho scritto: >>> imposta il parametro global "client ipc signing = > disabled" grazie mille Andrea, in effetti ha funzionato. Era anche citato nei change log... Piviul
Re: attenzione agli aggiornamenti samba in wheezy
Il giorno lun 18 apr 2016 09:36:13 CEST, Piviul ha scritto: Marco Gaiarin ha scritto il 16/04/2016 alle 23:08: Mandi! Andrea Zagli In chel di` si favelave... imposta il parametro global "client ipc signing = disabled" ...ma non è 'client signing = disabled'? Ad ogni modo per risolvere badlock è necessario anche impostare: ntlm auth = no server signing = mandatory quindi io per ora ho impostato: server signing = auto e sto verificando eventuali problemi di connessione dei client... Ciao Marco, mille grazie ma a me non funziona... sul server membro wheezy ho provato ad inserire come ho scritto: >>> imposta il parametro global "client ipc signing = disabled"
Re: [MASSMAIL]Re: attenzione agli aggiornamenti samba in wheezy
Il 18/04/2016 11:06, Piviul ha scritto: Luca De Andreis ha scritto il 18/04/2016 alle 09:45: [...] Su 4 domini ho avuto gli stessi problemi, risolti come da mia prima mail in lista, ma non ho toccato minimamente le configurazioni rispetto a Samba 4.1 (solo aggiunto winbind sul DC). Ciao Luca, non so se il problema da te avuto sull'aggiornamento dalla 4.1 alla 4.2 sia collegato al problema che abbiamo noi di aggiornamento dalla 3.6.6-6+deb7u5 alla 3.6.6-6+deb7u9. In ogni caso io sono rimasto con samba 3.6.6-6+deb7u5 e ho inserito in smb.conf server signing = mandatory ntlm auth = no in modo da mitigare il Badlock Bug. Ti ringrazio e ti saluto Piviul A quanto ho constatato su 4 server in funzionalità di DC (medesimo comportamento), Samba 4.2 non ha richiesto alcuna modifica rispetto alla mia configurazione del 4.1. Su Jessie Samba ha fatto un salto di versione, a quanto ho capito non era possibile mantenere la 4.1 con aggiunta di backport fix. L'unica cosa è che, sui file server (configurati in Join con un'altra macchina Samba 4.2), winbind, krb5, ecc. Tutto ha funzionato alla perfezione. Aggiornando i DC (che ripeto, fanno solo quello, null'altro) l'upgrade non ha funzionato, anzi, il comportamento è diventato strano. Samba 4.2 va correttamente in run, MA non funziona, riempie i LOG di errori relativamente a winbind e non funziona più il DNS forwarding. Come soluzione che ho trovato è stata quella di installare PRIMA dell'upgrade di Samba dalla 4.1 alla 4.2 winbind, quindi ho fatto l'aggiornamento. Tutto liscio da Giovedì scorso. Luca smime.p7s Description: Firma crittografica S/MIME
Re: attenzione agli aggiornamenti samba in wheezy
Luca De Andreis ha scritto il 18/04/2016 alle 09:45: > [...] > Su 4 domini ho avuto gli stessi problemi, risolti come da mia prima mail > in lista, ma non ho toccato minimamente le configurazioni rispetto a > Samba 4.1 (solo aggiunto winbind sul DC). Ciao Luca, non so se il problema da te avuto sull'aggiornamento dalla 4.1 alla 4.2 sia collegato al problema che abbiamo noi di aggiornamento dalla 3.6.6-6+deb7u5 alla 3.6.6-6+deb7u9. In ogni caso io sono rimasto con samba 3.6.6-6+deb7u5 e ho inserito in smb.conf server signing = mandatory ntlm auth = no in modo da mitigare il Badlock Bug. Ti ringrazio e ti saluto Piviul
Re: attenzione agli aggiornamenti samba in wheezy
Nicola Ferrari (#554252) ha scritto il 18/04/2016 alle 09:40: > Voi per curiosità usate krb5/ads o la vecchia sicurezza "stile NT"? > forse la variabile è quella :) vecchia sicurezza stile NT... Piviul
Re: attenzione agli aggiornamenti samba in wheezy
Buongiorno lista ! Mi aggiungo alla discussione con un SEMI OT. Anche io ho avuto qualche problemino con l'aggiornamento di Samba, ma su Jessie (ormai ho abbandonato su tutti i server Wheezy). Il passaggio dalla 4.1 alla 4.2 non è stato totalmente indolore, ma sembra molto ma molto meno problematico che sulla 3.x. Possibile ? Premetto che io uso DC Samba (ora 4.2) con server sempre Samba (4.2) in join con i primi con funzionalità di file server, client Win 7 e Win 10 in join con il DC. Su 4 domini ho avuto gli stessi problemi, risolti come da mia prima mail in lista, ma non ho toccato minimamente le configurazioni rispetto a Samba 4.1 (solo aggiunto winbind sul DC). Luca smime.p7s Description: Firma crittografica S/MIME
Re: attenzione agli aggiornamenti samba in wheezy
Il 18/04/2016 08:49, Piviul ha scritto: strano... io l'ho provato su due wheezy membro differenti (uno 32bit e l'altro 64bit) e in entrambi net rpc testjoin mi rispondeva accesso negato e diceva successivamente che il join non era valido... Un attimo... voi dice net rpc testjoin Nella mia configurazione sto usando kerberos / AD, pertanto in smb.conf ho security = ads e successivamente uso i comandi "net ads" e non "net rpc" E net ads testjoin mi risponde join is OK Voi per curiosità usate krb5/ads o la vecchia sicurezza "stile NT"? forse la variabile è quella :) Ciao, N -- +-+ | Linux User #554252 | +-+
Re: attenzione agli aggiornamenti samba in wheezy
Marco Gaiarin ha scritto il 16/04/2016 alle 23:08: > Mandi! Andrea Zagli > In chel di` si favelave... > >> imposta il parametro global "client ipc signing = disabled" > > ...ma non è 'client signing = disabled'? > > Ad ogni modo per risolvere badlock è necessario anche impostare: > > ntlm auth = no > server signing = mandatory > > quindi io per ora ho impostato: > > server signing = auto > > e sto verificando eventuali problemi di connessione dei client... Ciao Marco, mille grazie ma a me non funziona... sul server membro wheezy ho provato ad inserire client signing = disabled ntlm auth = no server signing = mandatory riavviato samba e winbind ma net rpc testjoin, mi dice sempre Connection failed: NT_STATUS_ACCESS_DENIED Join to domain 'DOMINIOCSA' is not valid: NT_STATUS_ACCESS_DENIED ho provato anche client signing = disabled ntlm auth = no server signing = auto ma non è cambiato nulla. Però io utilizzo winbind per autenticarmi al DC. ...mille grazie comunque Piviul
Re: attenzione agli aggiornamenti samba in wheezy
Il 18/04/2016 08:49, Piviul ha scritto: > Nicola Ferrari (#554252) ha scritto il 15/04/2016 alle 13:10: >> Non saprei, ho uno squid3 in dominio sotto wheezy, ho fatto gli >> aggiornamenti di Samba ma non ho avuto problemi.. >> Chiaramente sto parlando di un server membro e non di un DC > strano... io l'ho provato su due wheezy membro differenti (uno 32bit e > l'altro 64bit) e in entrambi net rpc testjoin mi rispondeva accesso > negato e diceva successivamente che il join non era valido... > > server membro anche il mio... non so cosa pensare. Questo messaggio [0], credo possa essere utile; io non ho ancora aggiornato perché non ho avuto il tempo di documentarmi abbastanza e di fare dei test, ma comunque mi sembra di aver capito che ora samba usa delle impostazioni di sicurezza più stringenti abilitando TLS di default. Mi sembra strano che Nicola non abbia incontrato problemi con un server membro, a meno che non abbia forzato la modalità old a mano. > Piviul > > [0] http://www.freelists.org/post/linuxtrent/Badlock-bug,4 Daniele
Re: attenzione agli aggiornamenti samba in wheezy
Nicola Ferrari (#554252) ha scritto il 15/04/2016 alle 13:10: > Non saprei, ho uno squid3 in dominio sotto wheezy, ho fatto gli > aggiornamenti di Samba ma non ho avuto problemi.. > Chiaramente sto parlando di un server membro e non di un DC strano... io l'ho provato su due wheezy membro differenti (uno 32bit e l'altro 64bit) e in entrambi net rpc testjoin mi rispondeva accesso negato e diceva successivamente che il join non era valido... server membro anche il mio... non so cosa pensare. Piviul
Re: attenzione agli aggiornamenti samba in wheezy
Il giorno sab 16 apr 2016 23:08:59 CEST, Marco Gaiarin ha scritto: Mandi! Andrea Zagli In chel di` si favelave... imposta il parametro global "client ipc signing = disabled" ...ma non è 'client signing = disabled'? in wheezy no; secondo me hanno fatto un po' di casino nel backport della patch
Re: attenzione agli aggiornamenti samba in wheezy
Mandi! Andrea Zagli In chel di` si favelave... > imposta il parametro global "client ipc signing = disabled" ...ma non è 'client signing = disabled'? Ad ogni modo per risolvere badlock è necessario anche impostare: ntlm auth = no server signing = mandatory quindi io per ora ho impostato: server signing = auto e sto verificando eventuali problemi di connessione dei client... -- Ragazzi, lavoriamo per il Signore: la paga non è un granchè, ma la pensione è roba dell'altro Mondo!!! (letta su una maglietta, da Stefy)
Re: attenzione agli aggiornamenti samba in wheezy
Mandi! Piviul In chel di` si favelave... > [¹] http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=821069 Ho aggiunto un commento al baco. Sembra per fortuna che sia solo una opzione che ha cambiato default. ma anche io sto aggiornando con le mutand... ahem, i piedi di piombo. ;-) -- Software is like sex: it's better when it's free. (Linus Torvalds)
Re: attenzione agli aggiornamenti samba in wheezy
Il giorno ven 15 apr 2016 08:17:13 CEST, Piviul ha scritto: Ciao a tutti, volevo avvisare di fare attenzione agli aggiornamenti di samba che vengono proposti in wheezy. Io ho riscontrato che viene invalidato il join al dominio e successivamente non è più possibile a reinserire in join al dominio. Ho dovuto fare il downgrade (per fortuna avevo ancora i pacchetti di samba precedente in cache!) Piviul imposta il parametro global "client ipc signing = disabled"
Re: attenzione agli aggiornamenti samba in wheezy
Il 15/04/2016 13:10, Nicola Ferrari (#554252) ha scritto: Il 15/04/2016 09:14, Piviul ha scritto: Piviul ha scritto il 15/04/2016 alle 08:17: Ciao a tutti, volevo avvisare di fare attenzione agli aggiornamenti di samba che vengono proposti in wheezy. Io ho riscontrato che viene invalidato il join al dominio e successivamente non è più possibile a reinserire in join al dominio. Ho dovuto fare il downgrade (per fortuna avevo ancora i pacchetti di samba precedente in cache!) Ho aperto un bug report[¹]. Piviul [¹] http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=821069 Non saprei, ho uno squid3 in dominio sotto wheezy, ho fatto gli aggiornamenti di Samba ma non ho avuto problemi.. Chiaramente sto parlando di un server membro e non di un DC N I problemi che ho avuto io (su n.3 DC con Jessie) li ho avuti solo su Samba 4.1 in modalità DC, su server membro no. Ma con un po di smadonnamenti tutto si è risolto (probabilmente basterebbe aggiungere winbind come dipendenza a Samba 4.2). Luca smime.p7s Description: Firma crittografica S/MIME
Re: attenzione agli aggiornamenti samba in wheezy
Il 15/04/2016 09:14, Piviul ha scritto: Piviul ha scritto il 15/04/2016 alle 08:17: Ciao a tutti, volevo avvisare di fare attenzione agli aggiornamenti di samba che vengono proposti in wheezy. Io ho riscontrato che viene invalidato il join al dominio e successivamente non è più possibile a reinserire in join al dominio. Ho dovuto fare il downgrade (per fortuna avevo ancora i pacchetti di samba precedente in cache!) Ho aperto un bug report[¹]. Piviul [¹] http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=821069 Non saprei, ho uno squid3 in dominio sotto wheezy, ho fatto gli aggiornamenti di Samba ma non ho avuto problemi.. Chiaramente sto parlando di un server membro e non di un DC N -- +-+ | Linux User #554252 | +-+
Re: attenzione agli aggiornamenti samba in wheezy
Piviul ha scritto il 15/04/2016 alle 08:17: > Ciao a tutti, volevo avvisare di fare attenzione agli aggiornamenti di > samba che vengono proposti in wheezy. Io ho riscontrato che viene > invalidato il join al dominio e successivamente non è più possibile a > reinserire in join al dominio. Ho dovuto fare il downgrade (per fortuna > avevo ancora i pacchetti di samba precedente in cache!) Ho aperto un bug report[¹]. Piviul [¹] http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=821069