[Samba-it] Post Badlock patch su Samba3, mi sto perdendo... AIUTO!

Luigina Bertero lbertero4 at gmail.com
Mon Apr 18 15:25:13 UTC 2016 

Non so aiutarti mi dispiace ma non ho capito la metà delle cose che hai chiesto
Saluti
Luigina

> Il giorno 18 apr 2016, alle ore 17:15, Marco Gaiarin <gaio a sv.lnf.it> ha scritto:
> 
> 
> Sto aggiornando con i piedi di piombo i miei server (mostly
> wheezy/samba3, qualcuno jessie/samba4.1, *TUTTI* i domini sono in
> ''modo NT'', NON-AD, insomma).
> 
> 
> Al di la della patch in se, che su samba 3 fa un o' di casino con il
> ''signing'' (abilitandolo lato client e non lato server, con il risultato
> che il server non parla con se stesso ;), capisco che per una efficacia
> della patch è necessario anche inserire:
> 
>    server signing = mandatory
>    ntlm auth = no
> 
> di modo da disabilitare NTLMv1 e abilitare in modo ''stretto'' la
> firma.
> 
> 
> Ho aggiornato venerdì un dominio secondario, e onde evitare di far
> casino ho messo da subito:
> 
>    server signing = auto
>    client signing = auto
> 
> tutto ha funzionato senza problemi.
> 
> 
> Oggi nel primo pomeriggio ho impostato:
> 
>    server signing = mandatory
>    ntlm auth = no
> 
> e il dominio fidante di questo (ancora non aggiornato, sempre debian
> wheezy e samba 3) ha iniziato ad avere problemi; ragionando, la cosa è
> del tutto normale: ho imposto la cifratura sul server ma non sul
> client. Ho quindi impostato sul fidante:
> 
>    server signing = auto
>    client signing = auto
> 
> (client signing = auto non bastava, ma la cosa è ragionevole perchè una
> relazione d trust è comunque in parte biunivoca...) e tutto ha ripreso a
> funzionare perfettamente nel fidante, come c'era da aspettarsi.
> 
> 
> Peccato che il fidato ha iniziato a dare problemi ''random'' con i
> client, che hanno inziato ad avere difficoltà ad accedere sui server.
> Ho fatto solo reload del servizio, non potevo fare restart.
> I client sono tutti win7 pro.
> 
> 
> A questo punto mi è venuto un dubbio, ma io non ho toccato la chiave
> di registro di windows relativa (che dovrebbe essere:
>    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanWorkStation\Parameters\
>    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\
> le chiavi sono RequireSecuritySignature e EnableSecuritySignature)
> mentre ho ovviamente impostato, E SOLO quelle:
> 
>    DomainCompatibilityMode = 1
>    DNSNameResolutionRequired = 0
> 
> Mi chiedo: l'impostazione di 'DomainCompatibilityMode = 1' cambia in
> qualche modo i default relativi a RequireSecuritySignature e
> EnableSecuritySignature?
> 
> Attualmente per LanmanServer i due valori li sopra sono a zero (firme
> non richieste e disabilitate), mentre per LanmanWorkStation le firme
> sono abilitate ma non richieste (ovvero l'equivalente di 'auto' di
> samba).
> 
> 
> Mi sta venendo un enorme mal di testa. Qualcuno riesce a dipanare la
> matassa?
> 
> 
> Grazie.
> 
> -- 
> dott. Marco Gaiarin                        GNUPG Key ID: 240A3D66
>  Associazione ``La Nostra Famiglia''          http://www.lanostrafamiglia.it/
>  Polo FVG   -   Via della Bontà, 7 - 33078   -   San Vito al Tagliamento (PN)
>  marco.gaiarin(at)lanostrafamiglia.it   t +39-0434-842711   f +39-0434-842797
> 
>        Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
>    http://www.lanostrafamiglia.it/25/index.php/component/k2/item/123
>    (cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
> 
> _______________________________________________
> samba-it mailing list
> samba-it a lists.samba.org
> http://lists.samba.org/cgi-bin/mailman/listinfo/samba-it

More information about the samba-it mailing list