Início / server / Perguntas / 771388
Accepted
dummzeuch
Asked: 2016-04-20 02:17:36 +0800 CST

Como posso corrigir o erro "falha na relação de confiança entre esta estação de trabalho e o domínio primário" do Samba 3.6.25?

  • 772

Hoje atualizei nosso servidor Ubuntu, que também é o principal (e único) controlador de domínio para os pacotes Samba mais recentes, que corrigiram algumas vulnerabilidades de segurança. Os seguintes pacotes foram atualizados:

  • libpam-winbind:amd64 (3.6.3-2ubuntu2.17, 3.6.25-0ubuntu0.12.04.2)
  • smbclient:amd64 (3.6.3-2ubuntu2.17, 3.6.25-0ubuntu0.12.04.2)
  • libwbclient0:amd64 (3.6.3-2ubuntu2.17, 3.6.25-0ubuntu0.12.04.2)
  • libpam-smbpass:amd64 (3.6.3-2ubuntu2.17, 3.6.25-0ubuntu0.12.04.2)
  • samba-common:amd64 (3.6.3-2ubuntu2.17, 3.6.25-0ubuntu0.12.04.2)
  • samba:amd64 (3.6.3-2ubuntu2.17, 3.6.25-0ubuntu0.12.04.2)

  • winbind:amd64 (3.6.3-2ubuntu2.17, 3.6.25-0ubuntu0.12.04.2)

  • samba-common-bin:amd64 (3.6.3-2ubuntu2.17, 3.6.25-0ubuntu0.12.04.2)

(de /var/log/apt/history.log)

Após a atualização, todos que reiniciaram seu PC com Windows 7 ou 8.1 não puderam mais fazer login no domínio. A mensagem de erro exibida é "falha na relação de confiança entre esta estação de trabalho e o domínio primário".

A primeira coisa que tentei foi remover o computador afetado do domínio e adicioná-lo novamente. Isso costumava resolver esse tipo de problema, mas não desta vez. Não houve nenhum erro durante esse processo, mas também não ajudou: o login com uma conta de domínio ainda falha.

Fazer login com uma conta local e acessar os compartilhamentos funciona bem.

O erro a seguir é gravado repetidamente em /var/log/samba/log.

[2016/04/19 11:49:09.975677, 0] rpc_server/netlogon/srv_netlog_nt.c:976(_netr_ServerAuthenticate3) _netr_ServerAuthenticate3: netlogon_creds_server_check falhou. Rejeitando solicitação de autenticação da conta da máquina cliente $

O Google e o Binging (usando o Bing) até agora só encontraram dois resultados sem solução.

Preciso urgentemente de uma solução, porque o número de estações de trabalho afetadas provavelmente aumentará rapidamente.

Alguma dica?

Editar:

Não estou sozinho: https://askubuntu.com/questions/759123/samba-23-6-25-0ubuntu0-12-04-2-as-pdc-samba3-nt4-domain-windows-machines-lost

Mas, a partir de agora, também não há respostas.

samba windows-7 windows-8.1

5 respostas

  1. O que ajudou até agora como uma solução temporária foi instalar os pacotes antigos novamente. O método que escolhi foi baixar os arquivos dos links apropriados em https://launchpad.net/ubuntu/+source/samba/2:3.6.3-2ubuntu2 e instalá-los usando

    dpkg -i libpam-smbpass_3.6.3-2ubuntu2.17_amd64.deb libpam-winbind_3.6.3-2ubuntu2.17_amd64.deb libwbclient0_3.6.3-2ubuntu2.17_amd64.deb samba-common_3.6.3-2ubuntu2.17_all.deb samba_3.6.3-2ubuntu2.17_amd64.deb winbind_3.6.3-2ubuntu2.17_amd64.deb samba-common-bin_3.6.3-2ubuntu2.17_amd64.deb

    Isso restaurou o estado anterior, todas as estações de trabalho puderam autenticar os usuários novamente.

    Como eu disse: Esta é uma solução temporária. Como a atualização foi uma atualização de segurança, ainda preciso de uma solução que funcione com a atualização.

    • 3

  2. Esta é uma regressão introduzida com as atualizações mais recentes do Samba (aquelas que também corrigiram a vulnerabilidade do Badlock).

    Uma solução temporária (além do downgrade) pode ser definir

    server signing = auto

    em seu smb.conf (não se esqueça de reiniciar o serviço samba depois disso). Infelizmente, isso corrigiu apenas logins para usuários existentes para mim. Não ajudou para novos usuários que nunca haviam feito login no domínio antes (se bem me lembro, recebi um "Nenhum servidor de logon disponível ..." para eles).

    Um cara do Samba que trabalha na RedHat diz que eles têm uma solução para esse problema. Acho que a RedHat lançará essa correção em breve e espero que seja distribuída para outras distribuições também.

    • 1
  3. Best Answer

    O Ubuntu parece ter corrigido esse problema com a seguinte atualização:

    http://www.ubuntu.com/usn/usn-2950-3/

    lançado em 2016-05-04.

    USN-2950-1 corrigiu vulnerabilidades no Samba. As correções introduzidas no Samba 4.3.8 causaram certas regressões e problemas de interoperabilidade.

    Esta atualização resolve alguns desses problemas ao atualizar para o Samba 4.3.9 no Ubuntu 14.04 LTS, Ubuntu 15.10 e Ubuntu 16.04 LTS. Correções de regressão com backport foram adicionadas ao Samba 3.6.25 no Ubuntu 12.04 LTS."

    Instalei hoje e o problema acabou.

    • 1

  4. possivelmente relacionado e veja minha resposta lá: Erro de usuário/senha do Samba Share após atualização

    Vou atualizar esta resposta, se esta for realmente a solução.

    • 0

  5. Há outra solução alternativa que recebi do redhat :

    Se você estiver usando o Win 7 ou o Win 10, basta desconectar o cabo de rede (ou desativar o WiFi) e fazer o login. É semelhante a um login local (versus um login de rede). Depois de fazer login, você pode reconectar o cabo de rede e usar seus recursos normalmente. Além disso, desligue o modo de hibernação com a senha necessária para que você não seja forçado a fazer logon novamente sempre que o sistema entrar em hibernação.

    Eu não tentei, mas pode funcionar. (Provavelmente também funciona para o Windows 8(.1).)

    • 0

relate perguntas