Hallo liebes Forum,
wir setzen aktuell UCS 4.0-4 ein.
Über samba-tool haben wir einen Account-Lockout nach 3 Fehlversuchen eingerichtet.
Gibt man nun an einem Windows-Client 1x das Passwort falsch ein, erhöht sich im Samba4-AD-LDAP das Attribut “badpwdcount” um 2.
Offensichtlich geschieht dies lediglich bei einer Kerberos-Authentifizierung. Versucht man es über smbclient oder über eine externe Software die den Samba4-LDAP nutzt wird badpwdcount korrekterweise um 1 hochgezählt.
Führt man lokal auf der Shell ein “kinit benutzer” mit falschem Passwort durch, wird “badpwdcount” um 2 erhöht.
In unserer Produktiv-Umgebung haben wir behelfsweise den Threshold für den Account-Lockout nun auf 6 eingestellt.
Im Samba4-Log ist ebenfalls eine zweimalige Kerberos-Prüfung zu finden:
[2015/12/21 19:29:29.249291, 3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
Kerberos: AS-REQ benutzer@MYDOMAIN from ipv4:192.168.10.6:51160 for krbtgt/MYDOMAIN@MYDOMAIN
[2015/12/21 19:29:29.256474, 3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
Kerberos: Client sent patypes: 128
[2015/12/21 19:29:29.256514, 3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
Kerberos: Looking for PKINIT pa-data -- benutzer@MYDOMAIN
[2015/12/21 19:29:29.256537, 3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
Kerberos: Looking for ENC-TS pa-data -- benutzer@MYDOMAIN
[2015/12/21 19:29:29.256588, 3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
Kerberos: No preauth found, returning PREAUTH-REQUIRED -- benutzer@MYDOMAIN
[2015/12/21 19:29:29.257016, 3, pid=3682] ../source4/smbd/service_stream.c:66(stream_terminate_connection)
Terminating connection - 'kdc_tcp_call_loop: tstream_read_pdu_blob_recv() - NT_STATUS_CONNECTION_DISCONNECTED'
[2015/12/21 19:29:29.257084, 3, pid=3682] ../source4/smbd/process_single.c:114(single_terminate)
single_terminate: reason[kdc_tcp_call_loop: tstream_read_pdu_blob_recv() - NT_STATUS_CONNECTION_DISCONNECTED]
[2015/12/21 19:29:29.268009, 3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
Kerberos: AS-REQ benutzer@MYDOMAIN from ipv4:192.168.10.6:51161 for krbtgt/MYDOMAIN@MYDOMAIN
[2015/12/21 19:29:29.273416, 3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
Kerberos: Client sent patypes: encrypted-timestamp, 128
[2015/12/21 19:29:29.273456, 3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
Kerberos: Looking for PKINIT pa-data -- benutzer@MYDOMAIN
[2015/12/21 19:29:29.273479, 3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
Kerberos: Looking for ENC-TS pa-data -- benutzer@MYDOMAIN
[2015/12/21 19:29:29.273606, 3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
Kerberos: Failed to decrypt PA-DATA -- benutzer@MYDOMAIN (enctype aes256-cts-hmac-sha1-96) error Decrypt integrity check failed for checksum type hmac-sha1-96-aes256, key type aes256-cts-hmac-sha1-96
[2015/12/21 19:29:29.282139, 3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
Kerberos: Failed to decrypt PA-DATA -- benutzer@MYDOMAIN
[2015/12/21 19:29:29.282516, 3, pid=3682] ../source4/smbd/service_stream.c:66(stream_terminate_connection)
Terminating connection - 'kdc_tcp_call_loop: tstream_read_pdu_blob_recv() - NT_STATUS_CONNECTION_DISCONNECTED'
[2015/12/21 19:29:29.282542, 3, pid=3682] ../source4/smbd/process_single.c:114(single_terminate)
single_terminate: reason[kdc_tcp_call_loop: tstream_read_pdu_blob_recv() - NT_STATUS_CONNECTION_DISCONNECTED]
[2015/12/21 19:29:29.283019, 3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
Kerberos: AS-REQ benutzer@MYDOMAIN from ipv4:192.168.10.6:51162 for krbtgt/MYDOMAIN@MYDOMAIN
[2015/12/21 19:29:29.285712, 3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
Kerberos: Client sent patypes: encrypted-timestamp, 128
[2015/12/21 19:29:29.285737, 3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
Kerberos: Looking for PKINIT pa-data -- benutzer@MYDOMAIN
[2015/12/21 19:29:29.285752, 3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
Kerberos: Looking for ENC-TS pa-data -- benutzer@MYDOMAIN
[2015/12/21 19:29:29.285802, 3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
Kerberos: Failed to decrypt PA-DATA -- benutzer@MYDOMAIN (enctype aes256-cts-hmac-sha1-96) error Decrypt integrity check failed for checksum type hmac-sha1-96-aes256, key type aes256-cts-hmac-sha1-96
[2015/12/21 19:29:29.293238, 3, pid=3682] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
Kerberos: Failed to decrypt PA-DATA -- benutzer@MYDOMAIN
[2015/12/21 19:29:29.293595, 3, pid=3682] ../source4/smbd/service_stream.c:66(stream_terminate_connection)
Terminating connection - 'kdc_tcp_call_loop: tstream_read_pdu_blob_recv() - NT_STATUS_CONNECTION_DISCONNECTED'
[2015/12/21 19:29:29.293677, 3, pid=3682] ../source4/smbd/process_single.c:114(single_terminate)
single_terminate: reason[kdc_tcp_call_loop: tstream_read_pdu_blob_recv() - NT_STATUS_CONNECTION_DISCONNECTED]Ich hoffe uns kann jemand weiterhelfen.
Vielen Dank und beste Grüße
ckorn