[samba-jp:22736] Re: Samba3x YUM Update後にドメイン参加PCがドメインの信頼関係に失敗する

Yuji Fujihara y_fujihara @ sky-inet.ne.jp
2016年 5月 16日 (月) 09:29:51 JST 

矢野様

有用な情報をありがとうございました。
Badlock Bugに関していろいろと調べてみましたが、
なるほど認証機構に関する問題なのですね。

サーバがSambaのダウングレードにて運用中となっておりますので、
現時点ではいろいろとテストすることはできないのですが、
またメンテの折を見て確認してみたいと思います。

藤原 祐二

2016年5月14日 9:50 <takasi.yano @ nifty.com>:

> 矢野です。
>
> badlockのパッチを当てられないなら
>
> server signing = mandatory
> ntlm auth = no
>
> にしろとなっていたので、このあたりの設定を明示的に変えてみると何かかわる
> かもしれません。
>
> 大河雄一 <kuri @ tohoku.ac.jp>さん:
> > 藤原さま
> >
> > 大河と申します。
> >
> > [samba-jp:22704]で報告させていただきましたが,同じ症状が出ています。
> > 現時点では,セキュリティ上の問題があるのを承知の上で,
> > yum downgrade samba3x samba3x-common samba3x-client samba3x-swat
> samba3x-winbind
> > 等で,古いバージョンに戻す以外に対処法はないかと思います。
> >
> > RHELのバグ報告
> > https://bugzilla.redhat.com/show_bug.cgi?id=1326918
> > を見ると,対応パッチが作られているとの情報はありますが,
> > 今のところリリースはされていません。
> >
> > > 2016/05/14 5:17、Yuji Fujihara <y_fujihara @ sky-inet.ne.jp> のメール:
> > >
> > > 藤原と申します。
> > >
> > > 少し古いサーバなのですが、CentOS5.x 上の Samba3xでNTドメイン運用にて
> > > Windowsクライアントの認証等を行っておりました。
> > >
> > > 昨日、yum update により 以下のアップデートが行われた直後に、Windowsロ
> グインを
> > > 行おうとすると以下のエラーが出てログインすることができなくなりました。
> > > 「このワークステーションとプライマリドメインとの信頼関係に失敗しまし
> た。」
> > >
> > > クライアントPCは Windows7を中心に、8.1 や10 などWindowsPC全てとなりま
> す。
> > > ただ、クライアントPCのローカルアカウントでログイン後、同NTドメインの
> > > ユーザーアカウント認証を使ってファイルサーバにアクセスすると、正常に
> > > アクセスはできています。
> > > Windowsへのログイン部分でのみ、このエラーとなっているようです。
> > >
> > > 今回のアップデートで更新されたのは以下のバージョンのはずです。(yum.
> log より)
> > > 従来) samba3x.x86_64 3.6.23-11.el5_11
> > > 今回) samba3x.x86_64 3.6.23-12.el5_11
> > >
> > > 過去のアップデートでは特に問題は発生していなかったようですが、
> > > ログを見ておりましたところ、以下のログがずっと出ていたことが分かりま
> した。
> > >
> > > May 11 11:10:10 pdc smbd[19589]: [2016/05/11 11:10:10.750053,  0]
> > > rpc_server/netlogon/srv_netlog_nt.c:976(_netr_ServerAuthenticate3)
> > > May 11 11:10:10 pdc smbd[19589]:   _netr_ServerAuthenticate3:
> > > netlogon_creds_server_check failed. Rejecting auth request from
> client
> > > CR-0009 machine account CR-0009$
> > >
> > > ドメインユーザー情報等のデータベースは、OpenLDAPによる運用となってい
> ます。
> > >
> > > サイト検索するとドメインに再度参加しなおせばよいという情報が多くあっ
> たため、
> > > 一旦ドメイン参加から抜けて再度参加させていますが、ドメイン参加はでき
> るものの、
> > > 再起動後のログイン仕様とすると、同様のメッセージが表示されてしまう状
> 況です。
> > >
> > > いろいろと設定を見てみましたが、原因がつかめず手詰まりとなってしまい
> ました。
> > > どこをチェックすればよいか、手がかりの情報をいただけるとありがたく存
> じます。
> > >
> > > Yuji Fujihara
> >
>

samba-jp メーリングリストの案内