Samba не пускает на Windows-шары.

Автор CoolAller, 20 апреля 2016, 13:03:54

« назад - далее »

0 Пользователи и 4 гостей просматривают эту тему.

CoolAller

После обновления Samba перестала пускать на Windows-шары, отвалились подключенные принтеры, при попытке доступа к шарам или принтерам запрашивает пароль, которого нет. В Windows настроен беcпарольный доступ и до обновления все работало. Если поставить абсолютно чистую систему и установить самбу из реп, то получаю точно такой же результат.

Выяснилось, что это происходит после обновления (установки) пакета libsmbclient 2:4.2.10+dfsg-0+deb8u2 или того, то с ним прилетает.
Открыть содержимое (спойлер)
aptitude install libsmbclient
The following packages will be upgraded:
  libldb1 libsmbclient samba-libs
[свернуть]

C пакетом libsmbclient_4.1.17+dfsg-2_amd64 все шары работали нормально. Проблема еще в том, что старую версию уже не установишь, там много зависимостей обновилось.

Cообщение объединено 20 апреля 2016, 15:11:59

У кого-нибудь есть какие-то мысли как заставить работать самбу, сейчас фактически не работает вся сеть, так как в сетевом окружении невозможно зайти ни на одну машину. Как вообще можно юзать то, что постоянно ломают...

Yrii

#1
гм, ну у меня сейчас, без парольный доступ к одной шаре, работает без проблем.
dpkg -l | grep smb
ii  libsmbclient:amd64                   2:4.2.10+dfsg-0+deb8u2               amd64        shared library for communication with SMB/CIFS servers

dpkg -l | grep libldb1
ii  libldb1:amd64                        2:1.1.20-0+deb8u1                    amd64        LDAP-like embedded database - shared library

dpkg -l | grep samba
ii  python-samba                         2:4.2.10+dfsg-0+deb8u2               amd64        Python bindings for Samba
ii  samba                                2:4.2.10+dfsg-0+deb8u2               amd64        SMB/CIFS file, print, and login server for Unix
ii  samba-common                         2:4.2.10+dfsg-0+deb8u2               all          common files used by both the Samba server and client
ii  samba-common-bin                     2:4.2.10+dfsg-0+deb8u2               amd64        Samba common files used by both the server and the client
ii  samba-dsdb-modules                   2:4.2.10+dfsg-0+deb8u2               amd64        Samba Directory Services Database
ii  samba-libs:amd64                     2:4.2.10+dfsg-0+deb8u2               amd64        Samba core libraries

Но у меня тут "тупая" файло-помойка. хз, что там у тебя... может авторизация ad :-)
там же письмо было, может там есть твой специфический случай :-\  :
Открыть содержимое (спойлер)
ЦитироватьThis Samba security release moves Samba from Samba 4.1 to 4.2 in
    Debian jessie.  This addresses both Denial of Service and Man in
    the Middle vulnerabilities.

    This change was required as the scale of the patches did not
    permit a backport to Samba 4.1.

    Both of these changes implement a number of stricter behaviours
    to prevent Man in the Middle attacks on our network services, as a
    client and as a server.

    Between these changes, compatibility with a large number of older
    software versions has been lost in the default configuration.

    As an AD DC server, only Windows 2000 and Samba 3.6 and above as a
    domain member is supported out-of-the box.

    Specifically compatibility with the sssd client depends on the
    options selected (the ad or krb5 identity providers should work).

    Also as an AD DC, use of ldaps:// from ldbsearch or OpenLDAP's
    ldapsearch is not compatible with NTLMSSP or Kerberos, it is now
    only useful for simple binds.  This applies unless the 'ldap
    server require strong auth' option is modified to a less secure
    setting of 'allow_sasl_over_tls'.  Instead, use ldap:// and allow
    NTLMSSP/Kerberos to provide the sign/seal protection (on by
    default for Samba clients, and required by the server in this release).
   
    As a File Server, compatibility with the Linux Kernel cifs client
    depends on which configuration options are selected, please use
    sec=krb5(i) or sec=ntlmssp(i), not sec=ntlmv2.

    As a file or printer client and as a domain member, out of the box
    compatibility with Samba less than 4.0 and other SMB/CIFS servers,
    depends on support for SMB signing or SMB2 on the server, which is
    often disabled or absent.

    Additionally, as a domain member, out the the box compatibility
    for Samba 3.x domain controllers requires NETLOGON features only
    in Samba 3.2 and above.

    However, all of these can be worked around by setting smb.conf
    options in Samba, see WHATSNEW.txt the 4.2.0 release notes at
    https://www.samba.org/samba/history/samba-4.2.0.html and the Samba
    wiki for details, workarounds and suggested security-improving
    changes to these and other software packages.

    Finally, two important configuration options should be considered,
    that we were unable to silently change defaults for:
    - smb signing = required
    - ntlm auth = no

    Without smb signing = required, Man in the Middle attacks are
    still possible against our file server and classic/NT4-like/Samba3
    Domain controller.  (It is now enforced on our AD DC.)

    Without 'ntlm auth = no', there may still be clients not using
    NTLMv2, and these observed passwords may be brute-forced easily
    using cloud-computing resources or rainbow tables.
[свернуть]

CoolAller

#2
Yrii, AD нет, шару создаю на Win-машине, там же расшариваю принтеры, сейчас пробовал даже с виртуальной машиной с Win 7, просит пароль. На Win отключен парольный доступ, стоят разрешения для "всех", другие машины с Windows заходят на шару без проблем. А у вас точно стоит пакет libsmbclient 2:4.2.10+dfsg-0+deb8u2 ? Потому что c libsmbclient 2:4.1.17+dfsg-2+deb8u2 у меня тоже проблем нет.

PS. Хм, в вашем сообщении выше libsmbclient 2:4.2.10+dfsg-0+deb8u2, в чем же тогда может быть дело? Уже перебрал кучу всего, ничего не помогает и самое интересное, что с предыдущими версиями самба все работало.

Cообщение объединено 20 апреля 2016, 22:56:26

Сейчас решил на еще одной машине обновить самбу до версии 2:4.2.10+dfsg-0+deb8u2, после чего все шары точно так же отвалились, сами Win-машины отображаются в сетевом окружении, но когда пытаюсь на них зайти сразу выкидывает запрос авторизации.

Cообщение объединено 20 апреля 2016, 23:18:37

Может что-то в smb.conf нужно добавить?

Yrii

#3
Сэмулировал с нуля, чтоб с моими другими настройками не пересекалось... (у меня чутка по другому было настроено... "без пароля", короче не важно)
Цитата: CoolAller от 20 апреля 2016, 13:03:54Как вообще можно юзать то, что постоянно ломают...
вот тут спорно :-)
может самба теперь более правильно работает :-)
на шару debian (без всяких паролей), ЭВМ с Windows заходили норм...

собственно, настраивать надо windows
gpedit.msc - Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Параметры безопасности.
Там есть 2 параметра:
Надо отключить "Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам"
И включить "Сетевой доступ: разрешать применение разрешений "Для всех" к анонимным пользователям"

после этого Debian jessie без проблем/паролей заходит на шары windows 7 (без обновлений)

CoolAller

#4
Цитата: Yrii от 21 апреля 2016, 00:35:45может самба теперь более правильно работает :-)
Однозначно нет, так как проблема не касается политики безопасности Debian и доступа к linux-шарам, а с предыдущей версией самбы на абсолютно идентичных настройках Windows все прекрасно работает. Все машины с Win с полностью дефолтными настройками локальной политики (за исключением беcпарольного доступа) видят друг друга, заходят на шары и без проблем используют принтеры. Проблема однозначно с самбой. Есть вопрос, когда вы выше писали, что у вас работает, вы случайно не имели в виду доступ к машинам с Windows XP? Если так, то там другой SMB протокол. Безпарольную авторизацию раньше уже ломали в протоколе самбы SMB2, которая использовалась совместно с Windows 7, тогда как костыль люди удаляли в Windows "Помощник по входу Windows Live ID", но это не значило, что самба вдруг стала от этого "правильнее" работать.

PS. Сейчас около 40 компьютеров в сети на Windows, из-за того, что в самбе что-то поломали все они теперь недоступны, оставшиеся linux-машины с libsmbclient_4.1.17+dfsg-2_amd64 пока работают нормально. Вносить изменения на каждой Win-машине каждый раз после того, как в самбе опять что-то поломают это не выход.


Cообщение объединено 21 апреля 2016, 01:26:58

Цитата: Yrii от 21 апреля 2016, 00:35:45на шару debian (без всяких паролей), ЭВМ с Windows заходили норм...
У меня на шару debian тоже заходит без всяких паролей без каких-либо шаманств, проблема с доступом к Windows-шарам из Debian с libsmbclient 2:4.2.10+dfsg-0+deb8u2 )


Cообщение объединено 21 апреля 2016, 01:32:28

Кстати сейчас ради интереса попробовал изменить локальную политику безопасности Windows, как вы писали выше, точно так же при попытке доступа к win-машине из Debian запрашивает авторизацию, причем тоже самое при попытке зайти по ip-адресу.

Cообщение объединено 21 апреля 2016, 01:50:07

Меня тут посетила одна мысль, может в самбе отключили пустого пользователя и она теперь по умолчанию стучиться с авторизацией по имени текущего пользователя? В общем в любом случае хз что теперь делать.

Cообщение объединено 21 апреля 2016, 08:17:12

Yrii, я так и не понял работает у вас или нет, но судя по всему у вас точно так же нет доступа к машинам с Windows7.

ihammers

При обновлении Samba конфиги переписывались или оставлялись прежними, может в этом проблема?
Debian GNU/Linux Bookworm, LXQt/OpenBox: AMD Ryzen 5 5600G / 64Gb RAM
_______________________________
Debian GNU/Linux Bookworm, без графики: AMD Phenon X4 / 16Gb RAM
_______________________________
Debian GNU/Linux Bookworm, LXQt/OpenBox: Acer Aspire One 722 AMD C60 / 8Gb RAM / ATI HD6290

CoolAller

#6
ihammers, это я первым делом смотрел, причем пробовал создавать новый конфиг(/etc/samba/smb.conf) с новой версией samba (сравнивал, ничего нового не увидел), все безрезультатно. Очень похоже, что самбу просто поломали и добавили эту сломанную версию в стейбл. Раньше такое могло быть в тестинге, теперь похоже Debian что стейбл, что тестинг все едино, ничего не тестируют, а сливают прямо так как есть, фиг с ними с пользователями пусть сами там голову ломают.

endru

не думаю что проблема в samba.
DE и WM какое используется?

CoolAller

#8
endru, DE MATE, Caja, Double Commander. Не думаю, что проблема не в samba)

ZanO

#9
Та же проблема... сеть комп с виндлй, нотик с виндой, комп с Debian и Arch + роутер, неделю назад с под Linux на обе машины с виндой заходил без проблем.... потом после обнов, незнаю чего ..сначала с Дебиана отпал доступ потом и с Арча ....требует пароль
:'( :'( Debaan testing+Mate, Arch Linux+ Openbox и Arch Linux+Xfce4


Во наткнулся .... http://www.opennet.ru/opennews/art.shtml?num=44229 и какое решение ?
Единственный интуитивно понятный интерфейс - это соска!!!

Yrii

Да, окинув взором интернет, можно понять, что "проблема" есть. Почему в кавычках? хз, баг это или нет... имхо ибо есть локальная политика, которая запрещает вход анонимных пользователей...
у меня с англ. не очень и в тему не вникал, кто хорошо его знает, пускай почитает на баг-трекере samba, там есть пару тем по этому вопросу...
как я выше писал, в тестовой среде, решилось так:
Цитата: Yrii от 21 апреля 2016, 00:35:45gpedit.msc - Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Параметры безопасности.
Там есть 2 параметра:
Надо отключить "Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам"
И включить "Сетевой доступ: разрешать применение разрешений "Для всех" к анонимным пользователям"
windows7 (без обновлений) и да, после установки этих значений, надо перезагрузить windows7
все, доступ с debian jessie снова есть


CoolAller

#11
Обнаружил еще один косяк с новой версией самбы, она время от времени перестает отображать вообще все сетевое окружение, словно его и нет, потом если раз 5 рефрешить снова показывает)) В таком виде ее юзать вообще нереально. В любом случае из-за обновления самбы править политики на 40 ПК руками это жесть и больше напоминает мазохизм)) Я одному поражаюсь, неужели нельзя было не торопиться, закрыть дыры, тем более не такие уж они и критичные, уж больно специфичные условия для их эксплуатации, а потом выложить в стейбл нормальную не глючную версию с дополненным мануалом.

PS. Если кому нужно могу выложить пакеты для даунгрейда самбы для Debian Jessie x64, вчера пока их собирал в голове все матюки перебрал)

Yrii

Цитата: CoolAller от 22 апреля 2016, 20:11:45править политики на 40 ПК руками
для этого есть групповые политики :-P
или можно использовать secpol.msc там их можно импортировать/экспортировать... ну и из "консоли" windows это тоже можно сделать... :-D

Цитата: CoolAller от 22 апреля 2016, 20:11:45PS. Если кому нужно могу выложить пакеты для даунгрейда самбы для Debian Jessie x64, вчера пока их собирал в голове все матюки перебрал)
зачем так мучиться? есть же http://snapshot.debian.org/ :-D


CoolAller

#13
Цитата: Yrii от 22 апреля 2016, 20:36:28зачем так мучиться?
Так я оттуда их и брал, там помимо самой самбы еще и зависимости нужны определенных версий.


Cообщение объединено 22 апреля 2016, 21:50:44

Цитата: Yrii от 22 апреля 2016, 20:36:28для этого есть групповые политики
Ага, сейчас домен подниму ради самбы, делов-то))

alsoijw

Цитата: CoolAller от 22 апреля 2016, 21:50:08Так я оттуда их и брал, там помимо самой самбы еще и зависимости нужны определенных версий.
Не в обиду сказано, но лучше брать с офсайта, чем у не понятно у кого. И да, скачать несколько пакетов руками не так то уж и сложно. А как только счёт переваливает за несколько десятков, то можно написать скрипт, который сделает это за нас.
Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?