У меня есть два сервера Ubuntu 20.04 LTS, которые прошлой ночью обновили Samba до версии 4.13.17. Сегодня утром пользователи не смогли войти в систему с некоторых компьютеров с Windows 10. Тот же пользователь может войти с другого ПК с Windows10.
В журнале событий на пораженных ПК выдается ошибка Kerberos (переведено с помощью Google Translate).
The Kerberos client received a KRB_AP_ERR_MODIFIED error from server "dd-02a$". The target name used was DD-02A$. This indicates that the target server was unable to decrypt the token provided by the client. This can occur when the target server principal name (SPN) is not registered with the account that the target service is using. Make sure the target SPN is only registered with the account used by the server. This error can also occur if the password for the target service account does not match the password that is configured in the Kerberos KDC (Key Distribution Center) for the target service. Ensure that the service on the server and the KDC are both configured to use the same password. If the server name is not fully qualified and the target domain (DD.LAN) is different from the client domain (DD.LAN), check if there are server accounts with the same name in these two domains, or use the fully qualified name to identify the server to identify.
На рабочем ПК должны быть какие-то настройки, которые мне нужно применить к другим, но что это может быть? Я гуглил часами сегодня утром уже безуспешно.
Я попытался со свежей установкой Windows 10 на виртуальной машине, и она работала, пока я не применил последние обновления Windows. Затем он выдал ту же ошибку Kerberos.
Обновлено: просто добавить содержимое /et/krb5.conf
[libdefaults]
; default_realm = ATHENA.MIT.EDU
default_realm = DD.LAN
; for Windows 2008 with AES
default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
permitted_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
Edit2: вчера вечером было еще несколько обновлений
libkrb5-3:amd64 (1.17-6ubuntu4.1, 1.17-6ubuntu4.2), libgssapi-krb5-2:amd64 (1.17-6ubuntu4.1, 1.17-6ubuntu4.2), bind9-dnsutils:amd64 (1:9.16.1-0ubuntu2.11, 1:9.16.1-0ubuntu2.12), bind9-host:amd64 (1:9.16.1-0ubuntu2.11, 1:9.16.1-0ubuntu2.12), dnsutils:amd64 (1:9.16.1-0ubuntu2.11, 1:9.16.1-0ubuntu2.12), libkdb5-9:amd64 (1.17-6ubuntu4.1, 1.17-6ubuntu4.2), libk5crypto3:amd64 (1.17-6ubuntu4.1, 1.17-6ubuntu4.2), krb5-locales:amd64 (1.17-6ubuntu4.1, 1.17-6ubuntu4.2), krb5-user:amd64 (1.17-6ubuntu4.1, 1.17-6ubuntu4.2), libkadm5srv-mit11:amd64 (1.17-6ubuntu4.1, 1.17-6ubuntu4.2), libkrb5support0:amd64 (1.17-6ubuntu4.1, 1.17-6ubuntu4.2), libgssrpc4:amd64 (1.17-6ubuntu4.1, 1.17-6ubuntu4.2), bind9-utils:amd64 (1:9.16.1-0ubuntu2.11, 1:9.16.1-0ubuntu2.12), bind9:amd64 (1:9.16.1-0ubuntu2.11, 1:9.16.1-0ubuntu2.12), libkadm5clnt-mit11:amd64 (1.17-6ubuntu4.1, 1.17-6ubuntu4.2), bind9-libs:amd64 (1:9.16.1-0ubuntu2.11, 1:9.16.1-0ubuntu2.12)
Сначала 2 тестовые виртуальные машины работали после их удаления из домена, удаления учетных записей машин и повторного присоединения их к домену. Заработало даже после перезагрузки. Но через несколько минут у меня снова возникла та же проблема.
Ваше обновление /et/krb5.conf исправило эту проблему для вас или это была просто попытка?
Вчера вечером было несколько обновлений Kerberos, но они не решили проблему. Смотрите мой Edit2.
Понизьте samba до предыдущей версии (4.11.6), как обходной путь без каких-либо изменений конфигурации, работает. Теперь клиенты могут войти в домен.
Ваш ответ может быть улучшен с помощью дополнительной вспомогательной информации. Пожалуйста, отредактируйте , чтобы добавить дополнительные сведения, такие как цитаты или документация, чтобы другие могли подтвердить правильность вашего ответа. Вы можете найти больше информации о том, как писать хорошие ответы в справочном центре.
У нас такая же проблема.
Обновление 20230127: Сегодня Ubuntu опубликовал исходный пакет samba 2:4.13.17~dfsg-0ubuntu1.20.04.5 в Ubuntu, который возвращает все исправления ошибок безопасности из samba 2:4.13.17~dfsg-0ubuntu1.20.04.4. С этим обновлением вход в систему работает без обходного пути, описанного ниже.
Для Ubuntu 20.04 с Samba 4.13.17, кажется, есть только обходной путь для решения проблемы входа в систему:
Изменение локальной политики безопасности -> Локальные политики -> Параметры безопасности -> Сетевая безопасность: «Настроить типы шифрования, разрешенные для Kerberos». Отметьте только DES_CBC_CRC, DES_CBC_MD5 и RC4_HMAC_MD5.
Это помогло нам снова войти в систему.
Вы можете настроить это через объект групповой политики, но объект групповой политики будет применяться только в том случае, если соединение с AD снова работает. Поэтому вам нужно сначала создать локальную учетную запись на пораженном компьютере, изменить параметры безопасности и перезагрузить систему.
Вы также можете применить следующую запись реестра:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters]
"SupportedEncryptionTypes"=dword:00000007
Вот еще информация:
https://bugs.launchpad.net/ubuntu/+source/samba/+bug/1993934
https://bugzilla.samba.org/show_bug.cgi?id=15197
https://launchpad.net/ubuntu/+source/samba/2:4.13.17~dfsg-0ubuntu1.20.04.5
Спасибо, этот обходной путь сработал, но включил более старые слабые шифры. Тем временем Ubuntu выпустила еще одно обновление Samba 4.13.17~dfsg-0ubuntu1.20.04.5, которое отменило предыдущие исправления безопасности ubuntu.com/security/notices/USN-5822-2
Новое обновление Samba устранило проблему, отменив предыдущие исправления безопасности.
Мы также столкнулись с той же проблемой на виртуальной машине с контроллером домена. Мы снова перешли на бэкап с ноября 2022 года. После выхода и повторного присоединения к домену клиенты снова работали.
Ваш ответ может быть улучшен с помощью дополнительной вспомогательной информации. Пожалуйста, отредактируйте , чтобы добавить дополнительные сведения, такие как цитаты или документация, чтобы другие могли подтвердить правильность вашего ответа. Вы можете найти больше информации о том, как писать хорошие ответы в справочном центре.
Чтобы ответить на другой ответ, который сейчас исчез, да, у меня все еще есть эта проблема. У меня есть ПК, на которых установлены и работают все обновления Windows, и другие ПК с такими же установленными обновлениями, которые не работают.