Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 9 replies
  • Subscribers 0 subscribers
  • Views 2210 views
  • Users 0 members are here
Options
Suggested

[8.910][BUG] Samba v3.6.3 not join to Domen Novell OES DSFW

ratnik
Hello.
If you do not specify in the configuration file smb.conf "client ntlmv2 auth = no" Samba v 3.6.x does not join to the domain deployed on Novell OES DSFW.
If I add to the smb.conf file value "client ntlmv2 auth = no" in console and run "net ads join-U administrator" then the UTM 9 join to domain.

But everything changes smb.conf disappear if I try to UTM 9 in the domain through the webadmin and.
Will the release of the support Novell OES DSFW?
  • 0
    Hi ratnik,

    do you have more information about your issue? E.g. how did you find out that adding that line in smb.conf would fix your problem?

    If you want your changes to survive WebAdmin changes, please add it to the file smb.conf-default too, which is used as a template when the smb.conf file is written.

    Regards,
    mlenk
  • 0
    Hi mlenk,

    With default config smb.comf


    [global]
            realm = DOMEN.LOCAL
            netbios name = asgv9
            security = ADS
            idmap uid = 15000-20000
            idmap gid = 15000-20000
            winbind separator = +
            winbind use default domain = yes
            private dir = /etc/samba/private
            kerberos method = dedicated keytab
            dedicated keytab file = /etc/krb5.keytab
            client use spnego = yes


    asgv9:/ # net ads join -U administrator
    Failed to join domain: failed to lookup DC info for domain 'DOMEN.LOCAL' over rpc: Logon failure

    If I add in smb.conf 'client ntlmv2 auth = no' and 'workgroup = DOMEN'


     cat /etc/samba/smb.conf
    [global]
            realm = DOMEN.LOCAL
            netbios name = asgv9
            security = ADS
            idmap uid = 15000-20000
            idmap gid = 15000-20000
            winbind separator = +
            winbind use default domain = yes
            private dir = /etc/samba/private
            kerberos method = dedicated keytab
            dedicated keytab file = /etc/krb5.keytab
            client use spnego = yes
            client ntlmv2 auth = no
            workgroup = DOMEN


    asgv9:/ # net ads join -U administrator
    Using short domain name -- DOMEN
    Joined 'ASGV9' to realm 'domen.local'

    I add in smb.conf-default 'client ntlmv2 auth = no' and 'workgroup = DOMEN'
    asgv9:/ # cat /etc/samba/smb.conf-default
    [global]
    workgroup = []
    netbios name = []
    security = DOMAIN
    idmap uid = 15000-20000
    idmap gid = 15000-20000
    winbind separator = +
    winbind use default domain = Yes
    private dir = /etc/samba/private
    client ntlmv2 auth = no
    client use spnego = yes
    workgroup = DOMEN


    But if I make changes to the WebAdmin changes in smb.conf-default is not transferred in smb.conf. And smb.conf is overwritten default settings.

    asgv9:/ # cat /etc/samba/smb.conf
    [global]
            realm = DOMEN.LOCAL
            netbios name = asgv9
            security = ADS
            idmap uid = 15000-20000
            idmap gid = 15000-20000
            winbind separator = +
            winbind use default domain = yes
            private dir = /etc/samba/private
            kerberos method = dedicated keytab
            dedicated keytab file = /etc/krb5.keytab
            client use spnego = yes
    asgv9:/ # cat /etc/samba/joinresult
    Failed to join domain: failed to lookup DC info for domain 'DOMEN.LOCAL' over rpc: Logon failure


    It appears from the release of Samba v3.5.9 changed default security settings
    Here is the site samba wiki

    Changed security defaults
    Samba 3.6 has adopted a number of improved security defaults that will impact on existing users of Samba.
    client ntlmv2 auth = yes
    client use spnego principal = no
    send spnego principal = no
    The impact of 'client ntlmv2 auth = yes' is that by default we will not use NTLM authentication as a client. This applies to the Samba client tools such as smbclient and winbind, but does not change the separately released in-kernel CIFS client. To re-enable the poorer NTLM encryption set '--option=clientusentlmv2auth=no' on your smbclient command line, or set 'client ntlmv2 auth = no' in your smb.conf
    The impact of 'client use spnego principal = no' is that Samba will use CIFS/hostname to obtain a kerberos ticket, acting more like Windows when using Kerberos against a CIFS server in smbclient, winbind and other Samba client tools. This will change which servers we will successfully negotiate kerberos connections to. This is due to Samba no longer trusting a server-provided hint which is not available from Windows 2008 or later. For correct operation with all clients, all aliases for a server should be recorded as a as a servicePrincipalName on the server's record in AD. (For this reason, this behavior change and parameter was also made in Samba 3.5.9)
  • 0
    Ratnik,

    Okay, my fault. The template mechanism isn't supported for smb.conf at the moment. We should fix that.

    We should also add the suggested line to the generated smb.conf.

    Thanks a lot for reporting this issue!

    Regards,
    mlenk
  • 0
    Thanks for reporting. We are now tracking this as Mantis ID #20921
  • 0
    The Mantis ID #20921 is now under investigation. We are planning to release a fix for this issue in Version 9.000.
  • 0
    The Mantis ID #20921 is now being worked on. We are planning to release a fix for this issue in Version 8.930.
Unfiltered HTML