[Samba-it] samba 3.3.8 e ipcop

Tue Jul 20 06:32:52 MDT 2010

On Sat, 2010-07-17 at 08:55 +0200, Maurizio Marini wrote:
> On Fri, 16 Jul 2010 09:49:24 -0400
> simo <simo.sorce at xsec.it> wrote:
> 
> > Potrebbe essere un problema con ntlm_auth.
> > I log che dicono ?
> quando io starto il browser con una default page su google, advproxy gli manda
> il 407, il browser manda i dati di autenticazione e il modulo di ntlm_auth
> presente in advproxy (che mi pare di capire e' ben diverso da quello di samba
> non usando winbibd) li passa a samba 3.3.8
> 
>  [2010/07/16 10:21:43,  3] libsmb/ntlm_check.c:ntlm_password_check(370)
>   ntlm_password_check: Lanman passwords NOT PERMITTED for user cost
> [2010/07/16 10:21:43,  4] libsmb/ntlm_check.c:ntlm_password_check(401)
>   ntlm_password_check: Checking LMv2 password with domain DOMAIN
> [2010/07/16 10:21:43,  4] libsmb/ntlm_check.c:ntlm_password_check(411)
>   ntlm_password_check: Checking LMv2 password with upper-cased version of
>  domain DOMAIN [2010/07/16 10:21:43,  4]
>  libsmb/ntlm_check.c:ntlm_password_check(421) ntlm_password_check: Checking
>  LMv2 password without a domain [2010/07/16 10:21:43,  4]
>  libsmb/ntlm_check.c:ntlm_password_check(434) ntlm_password_check: Checking NT
>  MD4 password in LM field [2010/07/16 10:21:43,  3]
>  libsmb/ntlm_check.c:ntlm_password_check(457) ntlm_password_check: LM password,
>  NT MD4 password in LM field and LMv2 failed for user cost
> 
> ntlm_check.c non riesce ad autenticare la terna dominio/user/password e
> restituisce errore ad advproxy
> 
> advproxy a questo punto apre un popup sul browser (o gli restituisce  un codice
> di errore tale che il browser apre il popup di autenticazione)
> 
> io inserisco dominio\cost con la password (la stessa usata per autenticarmi al
> dominio), ntlm_auth la passa a samba ed ecco il log:
> 
>  ntlm_password_check: Lanman passwords NOT PERMITTED for user cost
> [2010/07/16 10:23:05,  4] libsmb/ntlm_check.c:ntlm_password_check(401)
>   ntlm_password_check: Checking LMv2 password with domain domain
> [2010/07/16 10:23:05,  4] libsmb/ntlm_check.c:ntlm_password_check(411)
>   ntlm_password_check: Checking LMv2 password with upper-cased version of
> domain domain [2010/07/16 10:23:05,  4]
> libsmb/ntlm_check.c:ntlm_password_check(421) ntlm_password_check: Checking LMv2
> password without a domain [2010/07/16 10:23:05,  4]
> libsmb/ntlm_check.c:ntlm_password_check(434) ntlm_password_check: Checking NT
> MD4 password in LM field [2010/07/16 10:23:05,  4]
> auth/auth_sam.c:sam_account_ok(137) sam_account_ok: Checking SMB password for
> user cost [2010/07/16 10:23:05,  5] auth/auth_sam.c:logon_hours_ok(119)
> 
> questa volta ntlm_check.c non ha problemi.
> 
> per essere certo che non vi sia un problema di accesso a windows con
> credenziali in cache, ogni volta accedo con user diverso (alterno prova e cost).
> 
> ho aumentato al massimo il livello di debug di samba ma quella parte di log
> resta sempre la stessa.
> 
> Riassumendo, con i dati inseriti a mano, ntlm_auth di advproxy riesce a parlare
> correttamente con samba; i dati che riceve dal browser per sso, con il vecchio
> samba erano autenticati, con questo samba 3.3.8 no

Ok, sembra un baco in ntlm_auth. Hai la possibilitá di provare a cedere
se é risolto in 3.5.4 ?
Hai controllato se il baco é giá stato riportato nel bugzilla ?
Puoi verificare se questo:
https://bugzilla.samba.org/show_bug.cgi?id=6563
é similae a quello che vedi tu per esempio ?

Simo.