今天,我将我们的 Ubuntu 服务器(也是主(也是唯一的)域控制器)更新到最新的 Samba 软件包,修复了一些安全漏洞。更新了以下软件包:
- libpam-winbind:amd64(3.6.3-2ubuntu2.17,3.6.25-0ubuntu0.12.04.2)
- smbclient:amd64(3.6.3-2ubuntu2.17、3.6.25-0ubuntu0.12.04.2)
- libwbclient0:amd64(3.6.3-2ubuntu2.17,3.6.25-0ubuntu0.12.04.2)
- libpam-smbpass:amd64(3.6.3-2ubuntu2.17,3.6.25-0ubuntu0.12.04.2)
- samba-common:amd64(3.6.3-2ubuntu2.17,3.6.25-0ubuntu0.12.04.2)
- samba:amd64(3.6.3-2ubuntu2.17,3.6.25-0ubuntu0.12.04.2)
winbind:amd64(3.6.3-2ubuntu2.17,3.6.25-0ubuntu0.12.04.2)
samba-common-bin:amd64(3.6.3-2ubuntu2.17,3.6.25-0ubuntu0.12.04.2)
(来自/var/log/apt/history.log)
更新后,所有重新启动 Windows 7 或 8.1 PC 的人都无法再登录域。显示的错误消息是“此工作站与主域之间的信任关系失败”。
我尝试的第一件事是从域中删除受影响的计算机,然后再次添加它。这曾经解决过此类问题,但这次不行。此过程中没有出现任何错误,但也没有帮助:使用域帐户登录仍然失败。
使用本地帐户登录然后访问共享即可。
以下错误重复写入 /var/log/samba/log。
[2016/04/19 11:49:09.975677, 0] rpc_server/netlogon/srv_netlog_nt.c:976(_netr_ServerAuthenticate3) _netr_ServerAuthenticate3: netlogon_creds_server_check 失败。拒绝来自客户端计算机帐户 $ 的身份验证请求
到目前为止,Google 和 Bing(使用 Bing)仅找到两个结果,但没有解决方案。
我迫切需要一个解决方案,因为受影响的工作站的数量可能会快速增长。
有什么提示吗?
编辑:
但截至目前,还没有答案。
答案1
目前为止,暂时的解决办法是重新安装旧软件包。我选择的方法是从以下链接下载文件:https://launchpad.net/ubuntu/+source/samba/2:3.6.3-2ubuntu2然后使用安装它们
dpkg -i libpam-smbpass_3.6.3-2ubuntu2.17_amd64.deb libpam-winbind_3.6.3-2ubuntu2.17_amd64.deb libwbclient0_3.6.3-2ubuntu2.17_amd64.deb samba-common_3.6.3-2ubuntu2.17_all.deb samba_3.6.3-2ubuntu2.17_amd64.deb winbind_3.6.3-2ubuntu2.17_amd64.deb samba-common-bin_3.6.3-2ubuntu2.17_amd64.deb
这恢复了以前的状态,所有工作站都可以再次验证用户。
正如我所说:这只是一个临时解决办法。由于此更新是安全更新,我仍然需要一个适用于此更新的解决方案。
答案2
这是在最新的 Samba 更新(也修复了 Badlock 漏洞)中引入的回归。
一个临时的解决方案(除了降级)可能是设置
server signing = auto
在您的 smb.conf 中(之后不要忘记重新启动 samba 服务)。不幸的是,这只能为我修复现有用户的登录问题。对于以前从未登录过域的新用户,它没有帮助(如果我没记错的话,我得到了“没有可用的登录服务器...”)。
一位在 RedHat 工作的 Samba 员工说他们有一个可行的解决方案针对该问题。我猜 RedHat 很快就会发布该修复程序,并且我希望它也会分发给其他发行版。
答案3
Ubuntu 似乎已通过以下更新修复了此问题:
http://www.ubuntu.com/usn/usn-2950-3/
于 2016-05-04 发布。
USN-2950-1 修复了 Samba 中的漏洞。Samba 4.3.8 中引入的修复程序导致了某些回归和互操作性问题。
此更新通过更新至 Ubuntu 14.04 LTS、Ubuntu 15.10 和 Ubuntu 16.04 LTS 中的 Samba 4.3.9 解决了其中的一些问题。Ubuntu 12.04 LTS 中的 Samba 3.6.25 添加了反向移植的回归修复。
我今天安装了它,问题消失了。
答案4
我从中得到了另一个解决方法红帽:
如果您使用的是 Win 7 或 Win 10,只需拔下网线(或禁用 WiFi)然后登录即可。它类似于本地登录(与网络登录不同)。登录后,您可以重新插入网线并正常使用资源。此外,关闭需要密码的睡眠模式,这样您就不必在系统每次进入睡眠状态时重新登录。
我还没有尝试过,但它可能有效。(它可能也适用于 Windows 8(.1)。)