logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 18-04-2016 14:04:32

Kusajika
Membre
Inscription : 08-04-2015

[Résolu] Pb connection au domaine suite Mise à jour Samba

Bonjour,
Sur un serveur Wheezy , ce matin j'ai fait un

aptitude safe-upgrade


Et ça m'a mis à jour le serveur , mais depuis je ne peux plus connecter mes postes sous Win7 pro qui sont intégrés dans le domaine, j'ai le message d'erreur suivant:

La relation d'approbation entre cette station de travail et le domaine principal a échoué



Voici ce que je peux dire actuellement:
- J'ai testé de sortir une machine et de l'intégrer à nouveau mais ça me fait toujours la même chose.
- Le service redémarre bien sans générer d'erreur.
- Mon fichier smb.conf est resté intact..

apt-cache policy samba


samba:
  Installé : 2:3.6.6-6+deb7u9
  Candidat : 2:3.6.6-6+deb7u9



Merci à ceux qui pourront m'aider.

Dernière modification par Kusajika (20-04-2016 21:31:56)

Hors ligne

#2 18-04-2016 14:44:19

anonyme
Invité

Re : [Résolu] Pb connection au domaine suite Mise à jour Samba

peut etre récupérer les log des paquets mit a jour (a la date de ce matin )

#3 18-04-2016 15:14:00

Kusajika
Membre
Inscription : 08-04-2015

Re : [Résolu] Pb connection au domaine suite Mise à jour Samba

Start-Date: 2016-04-18  11:45:55
Upgrade: openssh-server:amd64 (6.0p1-4+deb7u3, 6.0p1-4+deb7u4), libpam-winbind:amd64 (3.6.6-6+deb7u7, 3.6.6-6+deb7u9), smbclient:amd64 (3.6.6-6+deb7u7, 3.6.6-6+deb7u9), libwbclient0:amd64 (3.6.6-6+deb7u7, 3.6.6-6+deb7u9), libpam-smbpass:amd64 (3.6.6-6+deb7u7, 3.6.6-6+deb7u9), samba-common:amd64 (3.6.6-6+deb7u7, 3.6.6-6+deb7u9), openssh-client:amd64 (6.0p1-4+deb7u3, 6.0p1-4+deb7u4), samba:amd64 (3.6.6-6+deb7u7, 3.6.6-6+deb7u9), ssh:amd64 (6.0p1-4+deb7u3, 6.0p1-4+deb7u4), samba-common-bin:amd64 (3.6.6-6+deb7u7, 3.6.6-6+deb7u9), winbind:amd64 (3.6.6-6+deb7u7, 3.6.6-6+deb7u9), libnss-winbind:amd64 (3.6.6-6+deb7u7, 3.6.6-6+deb7u9)
End-Date: 2016-04-18  11:46:36

Hors ligne

#4 19-04-2016 00:00:48

anonyme
Invité

Re : [Résolu] Pb connection au domaine suite Mise à jour Samba

peut etre https://packages.debian.org/fr/wheezy/libpam-smbpass

c'est une mise a jour de sécutité .

a priori ceci n'a pas suffit (je te cite ) : => "J'ai testé de sortir une machine et de l'intégrer à nouveau mais ça me fait toujours la même chose."
pour refuser les clients surement un probleme d'identification
je suis pas un utilisateur de samba , pas trop d experience.
sauvegarder les fichiers de configuration , purger et refaire une installation de samba (en controleur de domaine ) .
voir les notas du coté des mises a jour de sécurité  , peut etre des infos utiles sur ce qui a été modifié dans la méthode pour accepter les clients windows .
ps: ou quelqu un qui a rencontré le meme probleme que toi  hmm

=> http://www.linux-france.org/prj/edu/arc … 25s11.html

Dernière modification par anonyme (19-04-2016 00:05:33)

#5 19-04-2016 08:29:22

Kusajika
Membre
Inscription : 08-04-2015

Re : [Résolu] Pb connection au domaine suite Mise à jour Samba

Bonjour , merci pour l'aide , j'avoue que je sèche un peu. Voici le log d'installation si ça peu aider...

 

Hors ligne

#6 19-04-2016 08:45:37

anonyme
Invité

Re : [Résolu] Pb connection au domaine suite Mise à jour Samba

Pour info j'ai purgé samba sur Mate (menu partage de fichier ) sur mes machines en debian stretch il y a quelques jours , ça ressemble a la liste que tu donne. (suite a une grosse mise a jour)
je n utilise plus samba .

a mon avis , wheezy , jessie et stretch ont reçu une grosse mise a jour de sécurité .
il doit y avoir des traces de ce probleme.

voici un extrait (d archiver les emails systemes utile wink  )


 samba (2:4.3.7+dfsg-1) unstable; urgency=high

   This Samba security addresses both Denial of Service and Man in
   the Middle vulnerabilities.

   Both of these changes implement new smb.conf options and a number
   of stricter behaviours to prevent Man in the Middle attacks on our
   network services, as a client and as a server.

   Between these changes, compatibility with a large number of older
   software versions has been lost in the default configuration.

   See the release notes in WHATNEW.txt for more information.


   Here are some additional hints how to work around the new stricter default behaviors:

   * As an AD DC server, only Windows 2000 and Samba 3.6 and above as
     a domain member are supported out of the box. Other smb file
     servers as domain members are also fine out of the box.

   * As an AD DC server, with default setting of "ldap server require
     strong auth", LDAP clients connecting over ldaps:// or START_TLS
     will be allowed to perform simple LDAP bind only.

     The preferred configuration for LDAP clients is to use SASL
     GSSAPI directly over ldap:// without using ldaps:// or
     START_TLS.

     To use LDAP with START_TLS and SASL GSSAPI (either Kerberos or
     NTLMSSP) sign/seal protection must be used by the client and
     server should be configured with "ldap server require strong
     auth = allow_sasl_over_tls".

     Consult OpenLDAP documentation how to set sign/seal protection
     in ldap.conf.

     For SSSD client configured with "id_provider = ad" or
     "id_provider = ldap" with "auth_provider = krb5", see
     sssd-ldap(5) manual for details on TLS session handling.

   * As a File Server, compatibility with the Linux Kernel cifs
     client depends on which configuration options are selected, please
     use "sec=krb5(i)" or "sec=ntlmssp(i)", not "sec=ntlmv2".

   * As a file or printer client and as a domain member, out of the
     box compatibility with Samba less than 4.0 and other SMB/CIFS
     servers, depends on support for SMB signing or SMB2 on the
     server, which is often disabled or absent. You may need to
     adjust the "client ipc signing" to "no" in these cases.

   * In case of an upgrade from versions before 4.2.0, you might run
     into problems as a domain member. The out of the box compatibility
     with Samba 3.x domain controllers requires NETLOGON features only
     available in Samba 3.2 and above.
   
   However, all of these can be worked around by setting smb.conf
   options in Samba, see WHATSNEW.txt the 4.2.0 release notes at
   https://www.samba.org/samba/history/samba-4.2.0.html and the Samba
   wiki for details, workarounds and suggested security-improving
   changes to these and other software packages.


   Suggested further improvements after patching:

   It is recommended that administrators set these additional options,
   if compatible with their network environment:

       server signing = mandatory
       ntlm auth = no

   Without "server signing = mandatory", Man in the Middle attacks
   are still possible against our file server and
   classic/NT4-like/Samba3 Domain controller. (It is now enforced on
   Samba's AD DC.) Note that this has heavy impact on the file server
   performance, so you need to decide between performance and
   security. These Man in the Middle attacks for smb file servers are
   well known for decades.

   Without "ntlm auth = no", there may still be clients not using
   NTLMv2, and these observed passwords may be brute-forced easily using
   cloud-computing resources or rainbow tables.

-- Andrew Bartlett <abartlet+debian@catalyst.net.nz>  Tue, 12 Apr 2016 16:18:57 +1200

 



si ça peut t'aider

Dernière modification par anonyme (19-04-2016 08:48:44)

#7 19-04-2016 09:07:19

anonyme
Invité

Re : [Résolu] Pb connection au domaine suite Mise à jour Samba

le bultin de sécurité (en FR) pour samba :

=> https://www.debian.org/security/2016/dsa-3548.fr.html

https://www.samba.org/samba/latest_news.html#4.4.2

https://www.samba.org/samba/history/samba-4.2.10.html

Dernière modification par anonyme (19-04-2016 09:12:18)

#8 19-04-2016 09:28:14

Kusajika
Membre
Inscription : 08-04-2015

Re : [Résolu] Pb connection au domaine suite Mise à jour Samba

Je suis en train de travailler dessus mais ça fonctionne pas , je lis tes liens actuellement smile merci .

Hors ligne

#9 19-04-2016 09:45:05

Kusajika
Membre
Inscription : 08-04-2015

Re : [Résolu] Pb connection au domaine suite Mise à jour Samba

Le problème viendrait du paquet libnss-winbind:amd64 2:3.6.6-6+deb7u9
https://packages.debian.org/fr/sid/libnss-winbind

Tenter de passer à Samba 4 serait-il une bonne idée?..

Dernière modification par Kusajika (19-04-2016 10:04:50)

Hors ligne

#10 19-04-2016 10:45:53

anonyme
Invité

Re : [Résolu] Pb connection au domaine suite Mise à jour Samba

tu a la version des backports pour wheezy => https://packages.debian.org/wheezy-backports/samba

normalement c est un dérivé de jessie et adapter a wheezy donc normalement pas de souci (fait une simulation avant avec -s )
aucune idée de la version de samba (3 ou 4 tongue )

aprés piocher ailleurs je pense pas que ce soit la bonne méthode .( dépendances et risque de sécurité )
samba est un gros morceau avec beaucoup de dépendances tongue
a mon avis tu a juste des lignes qui manque dans ta configuration pour palier au bug (voir les avertissements de sécurité )

#11 19-04-2016 11:02:30

Kusajika
Membre
Inscription : 08-04-2015

Re : [Résolu] Pb connection au domaine suite Mise à jour Samba

oui j'ai testé pas mal de choses dans le fichier de configuration et alors que sur la machine sur laquelle j'ai testé ça n'a pas fonctionné, quelques personnes ont pu se connecter... étrange tout ça....

Hors ligne

#12 19-04-2016 13:19:20

Kusajika
Membre
Inscription : 08-04-2015

Re : [Résolu] Pb connection au domaine suite Mise à jour Samba

aptitude install -s samba
Les NOUVEAUX paquets suivants vont être installés :
  attr{a} libasn1-8-heimdal{a} libdcerpc0{a} libgensec0{a} libgssapi3-heimdal{a} libhcrypto4-heimdal{a} libhdb9-heimdal{a} libheimbase1-heimdal{a} libheimntlm0-heimdal{a} libhx509-5-heimdal{a}
  libkdc2-heimdal{a} libkrb5-26-heimdal{a} libldb1{a} libndr-standard0{a} libndr0{a} libntdb1{a} libpython2.7{a} libregistry0{a} libroken18-heimdal{a} libsamba-credentials0{a}
  libsamba-hostconfig0{a} libsamba-policy0{a} libsamba-util0{a} libsamdb0{a} libsmbclient-raw0{a} libtevent0{a} libwind0-heimdal{a} python-dnspython{a} python-ldb{a} python-ntdb{a}
  python-samba{a} python-talloc{a} python-tdb{a} samba-dsdb-modules{a} samba-libs{ab} samba-vfs-modules{a}
Les paquets suivants seront mis à jour :
  libwbclient0 samba{b} samba-common samba-common-bin
4 paquets mis à jour, 36 nouvellement installés, 0 à enlever et 10 non mis à jour.
Il est nécessaire de télécharger 19,8 Mo d'archives. Après dépaquetage, 21,0 Mo seront utilisés.
Les paquets suivants ont des dépendances non satisfaites :
 libpam-winbind : Dépend: libwbclient0 (= 2:3.6.6-6+deb7u9) mais 2:4.1.17+dfsg-1~bpo70+1 doit être installé.
                  Dépend: samba-common (= 2:3.6.6-6+deb7u9) mais 2:4.1.17+dfsg-1~bpo70+1 doit être installé.
 smbclient : Dépend: samba-common (= 2:3.6.6-6+deb7u9) mais 2:4.1.17+dfsg-1~bpo70+1 doit être installé.
 libpam-smbpass : Dépend: samba-common (= 2:3.6.6-6+deb7u9) mais 2:4.1.17+dfsg-1~bpo70+1 doit être installé.
 samba : Est en conflit avec: libldb1 (< 1:1.1.15) mais 1:1.1.6-1 doit être installé.
 winbind : Dépend: libwbclient0 (= 2:3.6.6-6+deb7u9) mais 2:4.1.17+dfsg-1~bpo70+1 doit être installé.
           Dépend: samba-common (= 2:3.6.6-6+deb7u9) mais 2:4.1.17+dfsg-1~bpo70+1 doit être installé.
 libnss-winbind : Dépend: libwbclient0 (= 2:3.6.6-6+deb7u9) mais 2:4.1.17+dfsg-1~bpo70+1 doit être installé.
                  Dépend: samba-common (= 2:3.6.6-6+deb7u9) mais 2:4.1.17+dfsg-1~bpo70+1 doit être installé.
 samba-libs : Dépend: libldb1 (> 1:1.1.17~) mais 1:1.1.6-1 doit être installé.
              Est en conflit avec: libpam-smbpass (< 2:4) mais 2:3.6.6-6+deb7u9 est installé et a été conservé
              Est en conflit avec: samba-dsdb-modules (< 2:4.1.9+dfsg-2) mais 4.0.0~beta2+dfsg1-3.2+deb7u2 doit être installé.
              Est en conflit avec: winbind (< 2:4) mais 2:3.6.6-6+deb7u9 est installé et a été conservé
              Casse: libdcerpc0 (< 2:4.0.9) mais 4.0.0~beta2+dfsg1-3.2+deb7u2 doit être installé.
              Casse: libgensec0 (< 2:4.0.9) mais 4.0.0~beta2+dfsg1-3.2+deb7u2 doit être installé.
              Casse: libndr-standard0 (< 2:4.0.9) mais 4.0.0~beta2+dfsg1-3.2+deb7u2 doit être installé.
              Casse: libndr0 (< 2:4.0.9) mais 4.0.0~beta2+dfsg1-3.2+deb7u2 doit être installé.
              Casse: libregistry0 (< 2:4.0.9) mais 4.0.0~beta2+dfsg1-3.2+deb7u2 doit être installé.
              Casse: libsamba-credentials0 (< 2:4.0.9) mais 4.0.0~beta2+dfsg1-3.2+deb7u2 doit être installé.
              Casse: libsamba-hostconfig0 (< 2:4.0.9) mais 4.0.0~beta2+dfsg1-3.2+deb7u2 doit être installé.
              Casse: libsamba-policy0 (< 2:4.0.9) mais 4.0.0~beta2+dfsg1-3.2+deb7u2 doit être installé.
              Casse: libsamba-util0 (< 2:4.0.9) mais 4.0.0~beta2+dfsg1-3.2+deb7u2 doit être installé.
              Casse: libsamdb0 (< 2:4.0.9) mais 4.0.0~beta2+dfsg1-3.2+deb7u2 doit être installé.
              Casse: libsmbclient-raw0 (< 2:4.0.9) mais 4.0.0~beta2+dfsg1-3.2+deb7u2 doit être installé.
Les actions suivantes permettront de résoudre ces dépendances :

      Supprimer les paquets suivants :                          
1)      libnss-winbind                                          
2)      libpam-smbpass                                          
3)      libpam-winbind                                          
4)      samba                                                    
5)      samba-common-bin                                        
6)      smbclient                                                
7)      winbind                                                  

      Conserver les paquets suivants dans leur version actuelle :
8)      samba-libs [Non installé]                                
9)      samba-vfs-modules [Non installé]                        

      Laisser les dépendances suivantes non satisfaites :        
10)     cifs-utils recommande winbind                            
11)     cups-client recommande smbclient                        
12)     samba recommande samba-vfs-modules                      
13)     samba-common recommande samba-common-bin                
14)     winbind recommande libpam-winbind

Dernière modification par Kusajika (19-04-2016 13:20:00)

Hors ligne

#13 19-04-2016 13:41:47

anonyme
Invité

Re : [Résolu] Pb connection au domaine suite Mise à jour Samba

ce que tu veut installer c'est avec un sources.list de wheezy ?

ps: tu teste la version 4 ?

la premiere solution a l 'air pas mal (sans purge )


Supprimer les paquets suivants :                          
1)      libnss-winbind                                          
2)      libpam-smbpass                                          
3)      libpam-winbind                                          
4)      samba                                                    
5)      samba-common-bin                                        
6)      smbclient                                                
7)      winbind    
 



et refaire une simulation

pour un controleur de domaine tu a de la doc dans :

/usr/share/doc/samba-doc/htmldocs/Samba3-HOWTO/windind.html (pour la version 3 )  => serveur d'authentification (intégration dans PAM et NSS )
et
/usr/share/doc/samba-doc/htmldocs/Samba3-ByExample/index.html

Dernière modification par anonyme (19-04-2016 13:58:05)

#14 19-04-2016 14:02:30

Kusajika
Membre
Inscription : 08-04-2015

Re : [Résolu] Pb connection au domaine suite Mise à jour Samba

je n'ai pas encore test de passer sur la version 4 ... j'aimerai bien comprendre ce qui se passe, alors des personnes arrivent à se connecter et pas d'autres , je tente de me co à une machine ça me met le message d'erreur cité précédemment , un personne le fait juste derrière moi et se co sans problème ... c'est dingue...

Hors ligne

#15 19-04-2016 14:18:57

anonyme
Invité

Re : [Résolu] Pb connection au domaine suite Mise à jour Samba

j'ai tapé ceci dans google => "samba La relation d'approbation entre cette station de travail et le domaine principal a échoué"
pas mal de réponses (mais qui date souvent )

https://forum.ubuntu-fr.org/viewtopic.php?id=402425
https://support.microsoft.com/fr-fr/kb/2771040
https://www.debian-fr.org/t/samba-pdc-e … n/26420/12

je pense que tu a testé de sortir le poste win du domaine (workgroup) redémarrer et de le réinscrire dans le domaine ?

Dernière modification par anonyme (19-04-2016 14:20:36)

#16 19-04-2016 14:48:25

Kusajika
Membre
Inscription : 08-04-2015

Re : [Résolu] Pb connection au domaine suite Mise à jour Samba

oui je l'ai testé comme indiqué dans le premier post , et ce qui est fou c'est que ça le fait bien et que du coup je suis certain que ça communique bien avec le DC , mais quand je tente de me co ça me met le message d'erreur cité précédemment
Sinon oui ce qui est dans les liens que tu as linké ont déjà été fait , notamment les changements dans le registre , sans quoi Win7 ne se connectait pas au domaine.

Hors ligne

#17 20-04-2016 21:31:08

Kusajika
Membre
Inscription : 08-04-2015

Re : [Résolu] Pb connection au domaine suite Mise à jour Samba

Bonsoir , Merci anonyme , le problème est résolu , même si il reste une grande partie de flou mais le principal c'est que ça fonctionne.
Alors toujours un mystère mais en prenant les versions de backport ça à corrigé le problème et je n'ai pas eu à changer mon smb.conf

Hors ligne

#18 21-04-2016 06:12:51

anonyme
Invité

Re : [Résolu] Pb connection au domaine suite Mise à jour Samba

Peut etre juste un bug de samba sur wheezy non résolu hmm
la prochaine étape ce sera le passage a jessie wink
tu a des clients win10 sur le controleur de domaine ?

#19 21-04-2016 07:36:22

Kusajika
Membre
Inscription : 08-04-2015

Re : [Résolu] Pb connection au domaine suite Mise à jour Samba

Non, dans le domaine je n'ai que des Win7 pro, ceux qui viennent avec leurs pc perso (dont des W10 sad ) je leur ai connecté un lecteur réseau sur leur dossier perso.
Ensuite j'ai quelques Linux, et la je fais le pressing pour tout passer en linux mais c'est pas encore gagné (ça y est presque big_smile) mais sur une partie du parc lorsque c'est possible j'installe des raspberry et du coup je met raspbian jessie big_smile.
Il faut réussir à faire changer les mentalités pour passer en tout Linux mais hors-mis certains endroits fonctionnant avec des logiciels propriétaires je pense que d'ici 2-3 on sera en tout Linux cool

Hors ligne

#20 06-06-2016 14:20:06

inittab
Membre
Inscription : 06-06-2016

Re : [Résolu] Pb connection au domaine suite Mise à jour Samba

Kusajika a écrit :

Bonsoir , Merci anonyme , le problème est résolu , même si il reste une grande partie de flou mais le principal c'est que ça fonctionne.
Alors toujours un mystère mais en prenant les versions de backport ça à corrigé le problème et je n'ai pas eu à changer mon smb.conf



Bonjour,

Je rencontre exactement le même problème suite à la mise à jour de Samba, j'ai +/- la même configuration que vous, des postes de travail en win 7 pro et une Debian comme pdc, pouvez-vous m'indiquez plus précieusement ce que vous avez fait pour régler le problème?

Edit : J'ai effectivement fait la mise à jour via les backports, ce qui m'a installé la version 4 de samba mais à résolu le problème d'identification des utilisateurs, néanmoins cela à généré sont lots d'autres erreurs qui sont moins bloquantes dans un premier temps.

Dernière modification par inittab (06-06-2016 15:50:42)

Hors ligne

Pied de page des forums