Samba4 Kerberos: badpwdcount erhöht sich um zwei

german

#1

Hallo liebes Forum,

wir setzen aktuell UCS 4.0-4 ein.

Über samba-tool haben wir einen Account-Lockout nach 3 Fehlversuchen eingerichtet.

Gibt man nun an einem Windows-Client 1x das Passwort falsch ein, erhöht sich im Samba4-AD-LDAP das Attribut “badpwdcount” um 2.

Offensichtlich geschieht dies lediglich bei einer Kerberos-Authentifizierung. Versucht man es über smbclient oder über eine externe Software die den Samba4-LDAP nutzt wird badpwdcount korrekterweise um 1 hochgezählt.

Führt man lokal auf der Shell ein “kinit benutzer” mit falschem Passwort durch, wird “badpwdcount” um 2 erhöht.

In unserer Produktiv-Umgebung haben wir behelfsweise den Threshold für den Account-Lockout nun auf 6 eingestellt.

Im Samba4-Log ist ebenfalls eine zweimalige Kerberos-Prüfung zu finden:

[2015/12/21 19:29:29.249291,  3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: AS-REQ benutzer@MYDOMAIN from ipv4:192.168.10.6:51160 for krbtgt/MYDOMAIN@MYDOMAIN
[2015/12/21 19:29:29.256474,  3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Client sent patypes: 128
[2015/12/21 19:29:29.256514,  3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Looking for PKINIT pa-data -- benutzer@MYDOMAIN
[2015/12/21 19:29:29.256537,  3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Looking for ENC-TS pa-data -- benutzer@MYDOMAIN
[2015/12/21 19:29:29.256588,  3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: No preauth found, returning PREAUTH-REQUIRED -- benutzer@MYDOMAIN
[2015/12/21 19:29:29.257016,  3, pid=3682] ../source4/smbd/service_stream.c:66(stream_terminate_connection)
  Terminating connection - 'kdc_tcp_call_loop: tstream_read_pdu_blob_recv() - NT_STATUS_CONNECTION_DISCONNECTED'
[2015/12/21 19:29:29.257084,  3, pid=3682] ../source4/smbd/process_single.c:114(single_terminate)
  single_terminate: reason[kdc_tcp_call_loop: tstream_read_pdu_blob_recv() - NT_STATUS_CONNECTION_DISCONNECTED]
[2015/12/21 19:29:29.268009,  3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: AS-REQ benutzer@MYDOMAIN from ipv4:192.168.10.6:51161 for krbtgt/MYDOMAIN@MYDOMAIN
[2015/12/21 19:29:29.273416,  3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Client sent patypes: encrypted-timestamp, 128
[2015/12/21 19:29:29.273456,  3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Looking for PKINIT pa-data -- benutzer@MYDOMAIN
[2015/12/21 19:29:29.273479,  3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Looking for ENC-TS pa-data -- benutzer@MYDOMAIN
[2015/12/21 19:29:29.273606,  3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Failed to decrypt PA-DATA -- benutzer@MYDOMAIN (enctype aes256-cts-hmac-sha1-96) error Decrypt integrity check failed for checksum type hmac-sha1-96-aes256, key type aes256-cts-hmac-sha1-96
[2015/12/21 19:29:29.282139,  3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Failed to decrypt PA-DATA -- benutzer@MYDOMAIN

[2015/12/21 19:29:29.282516,  3, pid=3682] ../source4/smbd/service_stream.c:66(stream_terminate_connection)
  Terminating connection - 'kdc_tcp_call_loop: tstream_read_pdu_blob_recv() - NT_STATUS_CONNECTION_DISCONNECTED'
[2015/12/21 19:29:29.282542,  3, pid=3682] ../source4/smbd/process_single.c:114(single_terminate)
  single_terminate: reason[kdc_tcp_call_loop: tstream_read_pdu_blob_recv() - NT_STATUS_CONNECTION_DISCONNECTED]
[2015/12/21 19:29:29.283019,  3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: AS-REQ benutzer@MYDOMAIN from ipv4:192.168.10.6:51162 for krbtgt/MYDOMAIN@MYDOMAIN
[2015/12/21 19:29:29.285712,  3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Client sent patypes: encrypted-timestamp, 128
[2015/12/21 19:29:29.285737,  3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Looking for PKINIT pa-data -- benutzer@MYDOMAIN
[2015/12/21 19:29:29.285752,  3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Looking for ENC-TS pa-data -- benutzer@MYDOMAIN
[2015/12/21 19:29:29.285802,  3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Failed to decrypt PA-DATA -- benutzer@MYDOMAIN (enctype aes256-cts-hmac-sha1-96) error Decrypt integrity check failed for checksum type hmac-sha1-96-aes256, key type aes256-cts-hmac-sha1-96
[2015/12/21 19:29:29.293238,  3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Failed to decrypt PA-DATA -- benutzer@MYDOMAIN
[2015/12/21 19:29:29.293595,  3, pid=3682] ../source4/smbd/service_stream.c:66(stream_terminate_connection)
  Terminating connection - 'kdc_tcp_call_loop: tstream_read_pdu_blob_recv() - NT_STATUS_CONNECTION_DISCONNECTED'
[2015/12/21 19:29:29.293677,  3, pid=3682] ../source4/smbd/process_single.c:114(single_terminate)
  single_terminate: reason[kdc_tcp_call_loop: tstream_read_pdu_blob_recv() - NT_STATUS_CONNECTION_DISCONNECTED]

Ich hoffe uns kann jemand weiterhelfen.

Vielen Dank und beste Grüße
ckorn