Samba 4.13.17 прерывает вход в домен из-за ошибок Kerberos

У меня есть два сервера Ubuntu 20.04 LTS, которые прошлой ночью обновили Samba до версии 4.13.17. Сегодня утром пользователи не смогли войти в систему с некоторых компьютеров с Windows 10. Тот же пользователь может войти с другого ПК с Windows10.

В журнале событий на пораженных ПК выдается ошибка Kerberos (переведено с помощью Google Translate).

The Kerberos client received a KRB_AP_ERR_MODIFIED error from server "dd-02a$". The target name used was DD-02A$. This indicates that the target server was unable to decrypt the token provided by the client. This can occur when the target server principal name (SPN) is not registered with the account that the target service is using. Make sure the target SPN is only registered with the account used by the server. This error can also occur if the password for the target service account does not match the password that is configured in the Kerberos KDC (Key Distribution Center) for the target service. Ensure that the service on the server and the KDC are both configured to use the same password. If the server name is not fully qualified and the target domain (DD.LAN) is different from the client domain (DD.LAN), check if there are server accounts with the same name in these two domains, or use the fully qualified name to identify the server to identify.

На рабочем ПК должны быть какие-то настройки, которые мне нужно применить к другим, но что это может быть? Я гуглил часами сегодня утром уже безуспешно.

Я попытался со свежей установкой Windows 10 на виртуальной машине, и она работала, пока я не применил последние обновления Windows. Затем он выдал ту же ошибку Kerberos.

Обновлено: просто добавить содержимое /et/krb5.conf

[libdefaults]
;       default_realm = ATHENA.MIT.EDU
        default_realm = DD.LAN

; for Windows 2008 with AES
        default_tgs_enctypes =  aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
        default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
        permitted_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5

Edit2: вчера вечером было еще несколько обновлений

libkrb5-3:amd64 (1.17-6ubuntu4.1, 1.17-6ubuntu4.2), libgssapi-krb5-2:amd64 (1.17-6ubuntu4.1, 1.17-6ubuntu4.2), bind9-dnsutils:amd64 (1:9.16.1-0ubuntu2.11, 1:9.16.1-0ubuntu2.12), bind9-host:amd64 (1:9.16.1-0ubuntu2.11, 1:9.16.1-0ubuntu2.12), dnsutils:amd64 (1:9.16.1-0ubuntu2.11, 1:9.16.1-0ubuntu2.12), libkdb5-9:amd64 (1.17-6ubuntu4.1, 1.17-6ubuntu4.2), libk5crypto3:amd64 (1.17-6ubuntu4.1, 1.17-6ubuntu4.2), krb5-locales:amd64 (1.17-6ubuntu4.1, 1.17-6ubuntu4.2), krb5-user:amd64 (1.17-6ubuntu4.1, 1.17-6ubuntu4.2), libkadm5srv-mit11:amd64 (1.17-6ubuntu4.1, 1.17-6ubuntu4.2), libkrb5support0:amd64 (1.17-6ubuntu4.1, 1.17-6ubuntu4.2), libgssrpc4:amd64 (1.17-6ubuntu4.1, 1.17-6ubuntu4.2), bind9-utils:amd64 (1:9.16.1-0ubuntu2.11, 1:9.16.1-0ubuntu2.12), bind9:amd64 (1:9.16.1-0ubuntu2.11, 1:9.16.1-0ubuntu2.12), libkadm5clnt-mit11:amd64 (1.17-6ubuntu4.1, 1.17-6ubuntu4.2), bind9-libs:amd64 (1:9.16.1-0ubuntu2.11, 1:9.16.1-0ubuntu2.12)

Сначала 2 тестовые виртуальные машины работали после их удаления из домена, удаления учетных записей машин и повторного присоединения их к домену. Заработало даже после перезагрузки. Но через несколько минут у меня снова возникла та же проблема.

Чтобы ответить на другой ответ, который сейчас исчез, да, у меня все еще есть эта проблема. У меня есть ПК, на которых установлены и работают все обновления Windows, и другие ПК с такими же установленными обновлениями, которые не работают.

Soused 25.01.2023 18:09

Ваше обновление /et/krb5.conf исправило эту проблему для вас или это была просто попытка?

Jan Slabon 26.01.2023 09:01

Вчера вечером было несколько обновлений Kerberos, но они не решили проблему. Смотрите мой Edit2.

Soused 26.01.2023 10:48
Стоит ли изучать PHP в 2023-2024 годах?
Стоит ли изучать PHP в 2023-2024 годах?
Привет всем, сегодня я хочу высказать свои соображения по поводу вопроса, который я уже много раз получал в своем сообществе: "Стоит ли изучать PHP в...
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
В JavaScript одним из самых запутанных понятий является поведение ключевого слова "this" в стрелочной и обычной функциях.
Приемы CSS-макетирования - floats и Flexbox
Приемы CSS-макетирования - floats и Flexbox
Здравствуйте, друзья-студенты! Готовы совершенствовать свои навыки веб-дизайна? Сегодня в нашем путешествии мы рассмотрим приемы CSS-верстки - в...
Тестирование функциональных ngrx-эффектов в Angular 16 с помощью Jest
В системе управления состояниями ngrx, совместимой с Angular 16, появились функциональные эффекты. Это здорово и делает код определенно легче для...
Концепция локализации и ее применение в приложениях React ⚡️
Концепция локализации и ее применение в приложениях React ⚡️
Локализация - это процесс адаптации приложения к различным языкам и культурным требованиям. Это позволяет пользователям получить опыт, соответствующий...
Пользовательский скаляр GraphQL
Пользовательский скаляр GraphQL
Листовые узлы системы типов GraphQL называются скалярами. Достигнув скалярного типа, невозможно спуститься дальше по иерархии типов. Скалярный тип...
0
3
363
4
Перейти к ответу Данный вопрос помечен как решенный

Ответы 4

Понизьте samba до предыдущей версии (4.11.6), как обходной путь без каких-либо изменений конфигурации, работает. Теперь клиенты могут войти в домен.

Ответ принят как подходящий

У нас такая же проблема.

Обновление 20230127: Сегодня Ubuntu опубликовал исходный пакет samba 2:4.13.17~dfsg-0ubuntu1.20.04.5 в Ubuntu, который возвращает все исправления ошибок безопасности из samba 2:4.13.17~dfsg-0ubuntu1.20.04.4. С этим обновлением вход в систему работает без обходного пути, описанного ниже.

Для Ubuntu 20.04 с Samba 4.13.17, кажется, есть только обходной путь для решения проблемы входа в систему:

Изменение локальной политики безопасности -> Локальные политики -> Параметры безопасности -> Сетевая безопасность: «Настроить типы шифрования, разрешенные для Kerberos». Отметьте только DES_CBC_CRC, DES_CBC_MD5 и RC4_HMAC_MD5.

Это помогло нам снова войти в систему.

Вы можете настроить это через объект групповой политики, но объект групповой политики будет применяться только в том случае, если соединение с AD снова работает. Поэтому вам нужно сначала создать локальную учетную запись на пораженном компьютере, изменить параметры безопасности и перезагрузить систему.

Вы также можете применить следующую запись реестра:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters]
"SupportedEncryptionTypes"=dword:00000007

Вот еще информация:

https://bugs.launchpad.net/ubuntu/+source/samba/+bug/1993934

https://bugzilla.samba.org/show_bug.cgi?id=15197

https://launchpad.net/ubuntu/+source/samba/2:4.13.17~dfsg-0ubuntu1.20.04.5

Спасибо, этот обходной путь сработал, но включил более старые слабые шифры. Тем временем Ubuntu выпустила еще одно обновление Samba 4.13.17~dfsg-0ubuntu1.20.04.5, которое отменило предыдущие исправления безопасности ubuntu.com/security/notices/USN-5822-2

Soused 27.01.2023 13:22

Новое обновление Samba устранило проблему, отменив предыдущие исправления безопасности.

https://ubuntu.com/security/notices/USN-5822-2

Мы также столкнулись с той же проблемой на виртуальной машине с контроллером домена. Мы снова перешли на бэкап с ноября 2022 года. После выхода и повторного присоединения к домену клиенты снова работали.

Другие вопросы по теме