Samba 4.19 и Windows Server 2008 (Как включить устаревший алгоритм шифрования?)

[ivul]

Приветствую!
Понимаю, что Win2008 давно устарела. Но в некой организации в качестве контроллера AD стоит именно она, замены в ближайшее время не предвидится.

Нужно на Linux-машине расшарить папку для пользователей домена. Для этого Linux нужно ввести в домен. И вот тут засада.

Linux - Ubuntu 24.04.3; Samba - 4.19.5.
На ADC включено шифрование. Опытным путём установил алгоритм шифрования. В /etc/krb5.conf добавил:

default_tgs_enctypes = arcfour-hmac-md5
default_tkt_enctypes = arcfour-hmac-md5

При выполнении kinit получил предупреждение: "Warning: encryption type arcfour-hmac used for authentication is deprecated and will be disabled", но тикет создался. klist его выводит.

А дальше затык. Samba 4.19 считает алгоритм arcfour-hmac-md5 устаревшим и, тут я не совсем понял, его не использует (отключен) или не поддерживает.
В общем, при выполнении "net ads join -U мой_пользователь" получаю ошибку:

connect_to_domain_password_server: unable to open the domain client session to machine мой_сервер. Flags[0x00000000] Error was : NT_STATUS_ACCESS_DENIED.
Failed to join domain: failed to verify domain membership after joining: {Access Denied} A process has requested access to an object but has not been granted those access rights.

Пользователь, что мне дали, входит в группу Администраторов домена, т.е. добавлять компьютер в домен право имеет. Подозреваю, что проблема в устаревшем протоколе шифрования, который Samba не поддерживает.

Есть способ включить в Samba 4.19 поддержку arcfour-hmac-md5? Как ещё можно эту проблему обойти без обновления винды?

[SwapON]

На самом деле Windows server 2008 выполняет функции домена на ура, не смотря на свой возраст.
Например в одной из моих контор КД на Samba. Не вижу оснований для повышения уровня схемы.

root@dc1:~# samba -V Version 4.17.12-Debian

root@dc1:~# samba-tool domain level show Domain and forest function level for domain 'DC=имя,DC=компании' Forest function level: (Windows) 2008 R2 Domain function level: (Windows) 2008 R2 Lowest function level of a DC: (Windows) 2008 R2

Касаемо шифрования, надо посмотреть.

[ivul]

На Ubuntu 18.04 (Samba 4.7) проблем нет.
А на следующих версиях Samba к домену не подключается.

[ormorph]

Shell

$ man smb.conf

Spoiler

Shell

The value of the parameter (a string) is the highest protocol level that will be supported by the client.

Possible values are :

• CORE: Earliest version. No concept of user names.

• COREPLUS: Slight improvements on CORE for efficiency.

• LANMAN1: First modern version of the protocol. Long filename support.

• LANMAN2: Updates to Lanman1 protocol.

• NT1: Current up to date version of the protocol. Used by Windows NT. Known as CIFS.

• SMB2: Re-implementation of the SMB protocol. Used by Windows Vista and later versions of Windows. SMB2 has
sub protocols available.

• SMB2_02: The earliest SMB2 version.

• SMB2_10: Windows 7 SMB2 version.

By default SMB2 selects the SMB2_10 variant.

• SMB3: The same as SMB2. Used by Windows 8. SMB3 has sub protocols available.

• SMB3_00: Windows 8 SMB3 version.

• SMB3_02: Windows 8.1 SMB3 version.

• SMB3_11: Windows 10 SMB3 version.

By default SMB3 selects the SMB3_11 variant.

Spoiler

Shell

Normally this option should not be set as the automatic negotiation phase in the SMB protocol takes care of choosing
the appropriate protocol unless you connect to a legacy SMB1-only server.

/etc/samba/smb.conf:

Код: Выделить всё

[global]
   server min protocol = NT1
   client min protocol = NT1

[ivul]

Не, не помогает. Та же ошибка.

[ivul]

После некоторого перерыва вернулся к своей проблеме. Собрал стенд: Windows 2008 Standard - контроллер AD; Ubuntu 26.04 (Samba 4.23) - член домена.
Чтобы Samba вошла в домен на устаревшей винде, достаточно включить старый протокол шифрования в Kerberos. В итоге мои конфиги выглядят следующим образом.

/etc/krb5.conf

Код: Выделить всё

[libdefaults]
    default_realm = DOMAIN-TEST.LOCAL
    dns_lookup_realm = false
    dns_lookup_kdc = true

default_tgs_enctypes = arcfour-hmac-md5
default_tkt_enctypes = arcfour-hmac-md5

[realms]
    DOMAIN-TEST.LOCAL = {
        kdc = svr13.domain-test.local
        admin_server = svr13.domain-test.local
    }

[domain_realm]
    .svr13.domain-test.local = SVR13.DOMAIN-TEST.LOCAL

/etc/samba/smb.conf

Код: Выделить всё

### Domain Member ###
[global]
        workgroup = DOMAIN-TEST
        realm = DOMAIN-TEST.LOCAL
        security = ads
        dos charset = CP866

        winbind use default domain = Yes
        winbind nss info = rfc2307
        winbind enum users = yes
        winbind enum groups = yes
        winbind refresh tickets = Yes
        winbind offline logon = Yes

        idmap config * : backend = tdb
        idmap config * : range = 1024-2047

        idmap config DOMAIN-TEST : backend = ad
        idmap config DOMAIN-TEST : schema_mode = rfc2307
        idmap config DOMAIN-TEST : range = 2048-100000
        idmap config DOMAIN-TEST : unix_nss_info = yes

На стенде "kinit" выдал предупреждение об устаревшем шифровании, но тикет создал, Samba командой "ntp ads join" в домен вошла, wbinfo список пользователей выдаёт. На этом этапе всё работает нормально.

Переношу эту конфигурацию на сервер в действующей сети. "kinit" отрабатывает, но "net ads join" выдаёт ошибку:

Код: Выделить всё

libnet_join_ok: failed to open schannel session on netlogon pipe to server srv1.company.local for domain COMPANY. Error was NT_STATUS_ACCESS_DENIED
Failed to join domain: failed to verify domain membership after joining: {Access Denied} A process has requested access to an object but has not been granted those access rights.

В действующей сети оаботают два контроллера. Решив, что проблема может быть связана с этим, изменил krb5.conf:

Код: Выделить всё

[libdefaults]
    default_realm = COMPANY.LOCAL
    dns_lookup_realm = false
    dns_lookup_kdc = true

default_tgs_enctypes = arcfour-hmac-md5
default_tkt_enctypes = arcfour-hmac-md5

[realms]
    COMPANY.LOCAL = {
        kdc = srv1.company.local
        kdc = srv3.company.local
        admin_server = srv1.company.local
        default_domain = company.local
    }

[domain_realm]
    .srv1.company.local = SRV1.COMPANY.LOCAL
    srv1.company.local = SRV1.COMPANY.LOCAL
    .srv3.company.local = SRV3.COMPANY.LOCAL
    srv3.company.local = SRV3.COMPANY.LOCAL

Ошибка не ушла. Хоть компьютер в домене создался, Samba в домен не вошла.
Время синхронизировано, у пользователя админские права есть, другие службы аутентифицируются нормально. Только Samba цепляться к действующему домену не хочет. Чего ей ещё не хватает?

[ivul]

Похоже, дохлый номер.
Современная Samba успешно входит в домен Windows Server 2008 R2 или новее. От Server 2008 надо избавляться.
Так руководству и доложу.

[SwapON]

Современная Samba успешно входит в домен Windows Server 2008 R2 или новее.

Самба уже давно выросла и обросла необходимым функционалом, чтобы быть не только файлопомойкой, но и полноценным КД с плюшками в средней компании