Kein Samba-Zugriff mit Domain Guest

german

#1

Hallo,

ich habe einen Gast-User mit primärer Gruppe “Domain Guest”. Heute ist mir aufgefallen, daß er sich nicht am Samba-Fileserver authentifizieren kann.

Der Login unter Windows klappt aber. Er bekommt auch ein Kerberos-Ticket. Allerdings bekommt er anders als andere User nur einen Sitzungsschlüssel mit dem Typ RSADSI-RC4-HMAC (also keins mit AES).

Das Kennwort habe ich auch schon über Windows gemäß den Kennwortrichtlinien angepaßt. Dies hat aber auch nichts gebracht.

Viele Grüße,
SIrTux


Loginprobleme an Univention Member/Fileserver
#2

Zum Thema Kerberos habe ich ein paar Links gefunden:
lists.samba.org/archive/samba/2 … 93313.html
forge.univention.org/bugzilla/s … i?id=38105

Allerdings scheint das Problem nicht am Kerberos zu liegen. Ich habe noch mal ein neues Paßwort über die UMC gesetzt. Jetzt gibt es zwar alle Kerberos-Keys (sogar die für CIFS), aber der Zugriff klappt dennoch nicht.

Das Problem kann übrigens ab frühestens Ende April bestehen.


#3

Moin,

im April wurden diverse neue Upstream-Versionen von Samba herausgegeben, die die weithin publizierten, grundlegenden Probleme mit dem SMB-Protokoll und diversen alten Authentifizierungsmethoden behoben haben. Diese wurden von Univention auch kurzfristig nach UCS zurückportiert. Leider sind bei diesen Updates diverse Probleme mit Samba entstanden – übrigens nicht nur un UCS, sondern auf allen Linux-Distros (ich hatte einen Kunden, der just einen Tag nach diesen Updates seinen Ubuntu-PDC aktualisiert hatte, woraufhin sich die ganzen User plötzlich nicht mehr anmelden konnten!). Es gab daher seitdem mehrere Samba-Upgrades auch in UCS, die die hervorgerufenen Regressionen wieder fixen sollten.

Daher als allererstes: sind alle UCS-Updates installiert (bitte wirklich prüfen, indem »univention-upgrade« ausgeführt wird)? Falls nein: nachinstallierenm, Reboot, erneut testen.

Falls die Probleme auch mit allen UCS-Updates auftreten, kann es sein, dass es sich um eine noch nicht behobene Regression handelt. Hier können Sie mal versuchen einzugrenzen, woran es liegt (diese Infos sind auch für Bugreports ausgesprochen wertvoll):

[ol][li]Tritt das Problem immer noch auf, wenn Sie diesen User aus der Gruppe »Domain Guests« entfernen?[/li]
[li]Tritt das Problem auch bei anderen Usern auf, wenn Sie diese in die Gruppe »Domain Guests« aufnehmen?[/li]
[li]Tritt das Problem auch auf, wenn Sie einen komplett neuen Benutzer anlegen und diesen in die Gruppe »Domain Guests« aufnehmen?[/li][/ol]

Gruß,
mosu


#4

Hallo,

ich hab den Thread übrigens nicht vergessen. Doch momentan ist nicht so der rechte Zeitpunkt für solche Experimente.

Danke und viele Grüße,
SirTux


#5

Hallo,

die Tests habe ich immer noch nicht durchgeführt. Aber vielleicht helfen diese Logs schon weiter:

[2016/08/10 22:16:58.262008,  1, pid=8678] ../source3/smbd/service.c:552(make_connection_snum)
  create_connection_session_info failed: NT_STATUS_ACCESS_DENIED

Danke und viele Grüße,
SirTux


#6

Leider hilft ein Samba-Log praktisch nie. NT_STATUS_ACCESS_DENIED ist Sambas generische »nein, du darfst nicht«-Meldung. Sie kann viele Ursachen haben: Benutzeraccount existiert nicht, Passwort ist falsch, User hat keinen Zugriff auf die angefragte Ressource…