[Samba-it] Post Badlock patch su Samba3, mi sto perdendo... AIUTO!

Marco Gaiarin gaio at sv.lnf.it
Mon Apr 18 15:15:22 UTC 2016 

Sto aggiornando con i piedi di piombo i miei server (mostly
wheezy/samba3, qualcuno jessie/samba4.1, *TUTTI* i domini sono in
''modo NT'', NON-AD, insomma).


Al di la della patch in se, che su samba 3 fa un o' di casino con il
''signing'' (abilitandolo lato client e non lato server, con il risultato
che il server non parla con se stesso ;), capisco che per una efficacia
della patch è necessario anche inserire:

	server signing = mandatory
	ntlm auth = no

di modo da disabilitare NTLMv1 e abilitare in modo ''stretto'' la
firma.


Ho aggiornato venerdì un dominio secondario, e onde evitare di far
casino ho messo da subito:

	server signing = auto
	client signing = auto

tutto ha funzionato senza problemi.


Oggi nel primo pomeriggio ho impostato:

	server signing = mandatory
	ntlm auth = no

e il dominio fidante di questo (ancora non aggiornato, sempre debian
wheezy e samba 3) ha iniziato ad avere problemi; ragionando, la cosa è
del tutto normale: ho imposto la cifratura sul server ma non sul
client. Ho quindi impostato sul fidante:

	server signing = auto
	client signing = auto

(client signing = auto non bastava, ma la cosa è ragionevole perchè una
relazione d trust è comunque in parte biunivoca...) e tutto ha ripreso a
funzionare perfettamente nel fidante, come c'era da aspettarsi.


Peccato che il fidato ha iniziato a dare problemi ''random'' con i
client, che hanno inziato ad avere difficoltà ad accedere sui server.
Ho fatto solo reload del servizio, non potevo fare restart.
I client sono tutti win7 pro.


A questo punto mi è venuto un dubbio, ma io non ho toccato la chiave
di registro di windows relativa (che dovrebbe essere:
	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanWorkStation\Parameters\
	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\
le chiavi sono RequireSecuritySignature e EnableSecuritySignature)
mentre ho ovviamente impostato, E SOLO quelle:

	DomainCompatibilityMode = 1
	DNSNameResolutionRequired = 0

Mi chiedo: l'impostazione di 'DomainCompatibilityMode = 1' cambia in
qualche modo i default relativi a RequireSecuritySignature e
EnableSecuritySignature?

Attualmente per LanmanServer i due valori li sopra sono a zero (firme
non richieste e disabilitate), mentre per LanmanWorkStation le firme
sono abilitate ma non richieste (ovvero l'equivalente di 'auto' di
samba).


Mi sta venendo un enorme mal di testa. Qualcuno riesce a dipanare la
matassa?


Grazie.

-- 
dott. Marco Gaiarin				        GNUPG Key ID: 240A3D66
  Associazione ``La Nostra Famiglia''          http://www.lanostrafamiglia.it/
  Polo FVG   -   Via della Bontà, 7 - 33078   -   San Vito al Tagliamento (PN)
  marco.gaiarin(at)lanostrafamiglia.it   t +39-0434-842711   f +39-0434-842797

		Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
    http://www.lanostrafamiglia.it/25/index.php/component/k2/item/123
	(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)

More information about the samba-it mailing list