Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 9 replies
  • Subscribers 0 subscribers
  • Views 2212 views
  • Users 0 members are here
Options
Suggested

[8.910][BUG] Samba v3.6.3 not join to Domen Novell OES DSFW

ratnik
Hello.
If you do not specify in the configuration file smb.conf "client ntlmv2 auth = no" Samba v 3.6.x does not join to the domain deployed on Novell OES DSFW.
If I add to the smb.conf file value "client ntlmv2 auth = no" in console and run "net ads join-U administrator" then the UTM 9 join to domain.

But everything changes smb.conf disappear if I try to UTM 9 in the domain through the webadmin and.
Will the release of the support Novell OES DSFW?
Parents
  • 0
    Hi mlenk,

    With default config smb.comf


    [global]
            realm = DOMEN.LOCAL
            netbios name = asgv9
            security = ADS
            idmap uid = 15000-20000
            idmap gid = 15000-20000
            winbind separator = +
            winbind use default domain = yes
            private dir = /etc/samba/private
            kerberos method = dedicated keytab
            dedicated keytab file = /etc/krb5.keytab
            client use spnego = yes


    asgv9:/ # net ads join -U administrator
    Failed to join domain: failed to lookup DC info for domain 'DOMEN.LOCAL' over rpc: Logon failure

    If I add in smb.conf 'client ntlmv2 auth = no' and 'workgroup = DOMEN'


     cat /etc/samba/smb.conf
    [global]
            realm = DOMEN.LOCAL
            netbios name = asgv9
            security = ADS
            idmap uid = 15000-20000
            idmap gid = 15000-20000
            winbind separator = +
            winbind use default domain = yes
            private dir = /etc/samba/private
            kerberos method = dedicated keytab
            dedicated keytab file = /etc/krb5.keytab
            client use spnego = yes
            client ntlmv2 auth = no
            workgroup = DOMEN


    asgv9:/ # net ads join -U administrator
    Using short domain name -- DOMEN
    Joined 'ASGV9' to realm 'domen.local'

    I add in smb.conf-default 'client ntlmv2 auth = no' and 'workgroup = DOMEN'
    asgv9:/ # cat /etc/samba/smb.conf-default
    [global]
    workgroup = []
    netbios name = []
    security = DOMAIN
    idmap uid = 15000-20000
    idmap gid = 15000-20000
    winbind separator = +
    winbind use default domain = Yes
    private dir = /etc/samba/private
    client ntlmv2 auth = no
    client use spnego = yes
    workgroup = DOMEN


    But if I make changes to the WebAdmin changes in smb.conf-default is not transferred in smb.conf. And smb.conf is overwritten default settings.

    asgv9:/ # cat /etc/samba/smb.conf
    [global]
            realm = DOMEN.LOCAL
            netbios name = asgv9
            security = ADS
            idmap uid = 15000-20000
            idmap gid = 15000-20000
            winbind separator = +
            winbind use default domain = yes
            private dir = /etc/samba/private
            kerberos method = dedicated keytab
            dedicated keytab file = /etc/krb5.keytab
            client use spnego = yes
    asgv9:/ # cat /etc/samba/joinresult
    Failed to join domain: failed to lookup DC info for domain 'DOMEN.LOCAL' over rpc: Logon failure


    It appears from the release of Samba v3.5.9 changed default security settings
    Here is the site samba wiki

    Changed security defaults
    Samba 3.6 has adopted a number of improved security defaults that will impact on existing users of Samba.
    client ntlmv2 auth = yes
    client use spnego principal = no
    send spnego principal = no
    The impact of 'client ntlmv2 auth = yes' is that by default we will not use NTLM authentication as a client. This applies to the Samba client tools such as smbclient and winbind, but does not change the separately released in-kernel CIFS client. To re-enable the poorer NTLM encryption set '--option=clientusentlmv2auth=no' on your smbclient command line, or set 'client ntlmv2 auth = no' in your smb.conf
    The impact of 'client use spnego principal = no' is that Samba will use CIFS/hostname to obtain a kerberos ticket, acting more like Windows when using Kerberos against a CIFS server in smbclient, winbind and other Samba client tools. This will change which servers we will successfully negotiate kerberos connections to. This is due to Samba no longer trusting a server-provided hint which is not available from Windows 2008 or later. For correct operation with all clients, all aliases for a server should be recorded as a as a servicePrincipalName on the server's record in AD. (For this reason, this behavior change and parameter was also made in Samba 3.5.9)
Reply
  • 0
    Hi mlenk,

    With default config smb.comf


    [global]
            realm = DOMEN.LOCAL
            netbios name = asgv9
            security = ADS
            idmap uid = 15000-20000
            idmap gid = 15000-20000
            winbind separator = +
            winbind use default domain = yes
            private dir = /etc/samba/private
            kerberos method = dedicated keytab
            dedicated keytab file = /etc/krb5.keytab
            client use spnego = yes


    asgv9:/ # net ads join -U administrator
    Failed to join domain: failed to lookup DC info for domain 'DOMEN.LOCAL' over rpc: Logon failure

    If I add in smb.conf 'client ntlmv2 auth = no' and 'workgroup = DOMEN'


     cat /etc/samba/smb.conf
    [global]
            realm = DOMEN.LOCAL
            netbios name = asgv9
            security = ADS
            idmap uid = 15000-20000
            idmap gid = 15000-20000
            winbind separator = +
            winbind use default domain = yes
            private dir = /etc/samba/private
            kerberos method = dedicated keytab
            dedicated keytab file = /etc/krb5.keytab
            client use spnego = yes
            client ntlmv2 auth = no
            workgroup = DOMEN


    asgv9:/ # net ads join -U administrator
    Using short domain name -- DOMEN
    Joined 'ASGV9' to realm 'domen.local'

    I add in smb.conf-default 'client ntlmv2 auth = no' and 'workgroup = DOMEN'
    asgv9:/ # cat /etc/samba/smb.conf-default
    [global]
    workgroup = []
    netbios name = []
    security = DOMAIN
    idmap uid = 15000-20000
    idmap gid = 15000-20000
    winbind separator = +
    winbind use default domain = Yes
    private dir = /etc/samba/private
    client ntlmv2 auth = no
    client use spnego = yes
    workgroup = DOMEN


    But if I make changes to the WebAdmin changes in smb.conf-default is not transferred in smb.conf. And smb.conf is overwritten default settings.

    asgv9:/ # cat /etc/samba/smb.conf
    [global]
            realm = DOMEN.LOCAL
            netbios name = asgv9
            security = ADS
            idmap uid = 15000-20000
            idmap gid = 15000-20000
            winbind separator = +
            winbind use default domain = yes
            private dir = /etc/samba/private
            kerberos method = dedicated keytab
            dedicated keytab file = /etc/krb5.keytab
            client use spnego = yes
    asgv9:/ # cat /etc/samba/joinresult
    Failed to join domain: failed to lookup DC info for domain 'DOMEN.LOCAL' over rpc: Logon failure


    It appears from the release of Samba v3.5.9 changed default security settings
    Here is the site samba wiki

    Changed security defaults
    Samba 3.6 has adopted a number of improved security defaults that will impact on existing users of Samba.
    client ntlmv2 auth = yes
    client use spnego principal = no
    send spnego principal = no
    The impact of 'client ntlmv2 auth = yes' is that by default we will not use NTLM authentication as a client. This applies to the Samba client tools such as smbclient and winbind, but does not change the separately released in-kernel CIFS client. To re-enable the poorer NTLM encryption set '--option=clientusentlmv2auth=no' on your smbclient command line, or set 'client ntlmv2 auth = no' in your smb.conf
    The impact of 'client use spnego principal = no' is that Samba will use CIFS/hostname to obtain a kerberos ticket, acting more like Windows when using Kerberos against a CIFS server in smbclient, winbind and other Samba client tools. This will change which servers we will successfully negotiate kerberos connections to. This is due to Samba no longer trusting a server-provided hint which is not available from Windows 2008 or later. For correct operation with all clients, all aliases for a server should be recorded as a as a servicePrincipalName on the server's record in AD. (For this reason, this behavior change and parameter was also made in Samba 3.5.9)
Children
No Data
Unfiltered HTML