Summary: | Не меняет пароль через Winbind для Windows AD | ||
---|---|---|---|
Product: | Sisyphus | Reporter: | Evgeny Shesteperov <alimektor> |
Component: | samba | Assignee: | Andrey Limachko <liannnix> |
Status: | CLOSED NOTABUG | QA Contact: | qa-sisyphus |
Severity: | normal | ||
Priority: | P5 | CC: | aen, amakeenk, max.gordeef, sin |
Version: | unstable | ||
Hardware: | x86_64 | ||
OS: | Linux |
Description
Evgeny Shesteperov
2023-11-14 21:41:13 MSK
Давайте проверим на 4.19 #333680 TESTED #5 [test-only] sisyphus libtalloc.git=2.4.1-alt1 libtdb.git=1.4.9-alt1 libtevent.git=0.15.0-alt1 libldb.git=2.8.0-alt1 samba.git=4.19.2-alt1 sssd.git=2.9.2-alt1 admc.git=0.14.0-alt1 gpui.git=0.2.37-alt1 freeipa.git=4.9.12-alt1 (Ответ для Evgeny Sinelnikov на комментарий #1) > #333680 TESTED #5 [test-only] sisyphus libtalloc.git=2.4.1-alt1 > libtdb.git=1.4.9-alt1 libtevent.git=0.15.0-alt1 libldb.git=2.8.0-alt1 > samba.git=4.19.2-alt1 sssd.git=2.9.2-alt1 admc.git=0.14.0-alt1 > gpui.git=0.2.37-alt1 freeipa.git=4.9.12-alt1 Воспроизводится согласно описанию. Данная проблема связана отсутствием апдейтов на Windows сервере. Ключевая точка - в samba-4.17 появилась новая функция в для смены пароля: * https://gitlab.com/samba-team/samba/-/commit/3469895aca624cf3fcf56c612fe4469bb03a8b5d В WHATSNEW.txt релиза 4.17.3 для этого фикса есть исправление: * https://bugzilla.samba.org/show_bug.cgi?id=15206 ... * BUG 15206: libnet: change_password() doesn't work with dcerpc_samr_ChangePasswordUser4(). ... Старая версия Windows Server 2012R2 отбрасывает этот запрос и закрывает соединение. Данная функция описана в спецификации MS-SAMR: [MS-SAMR]: Security Account Manager (SAM) Remote Protocol (Client-to-Server) * https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-samr/4df07fab-1bbc-452f-8e92-7853a3c7e380 3.1.5.10.4 SamrUnicodeChangePasswordUser4 (Opnum 73) * https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-samr/bbc1c5e5-9b81-4038-b2b9-c87d3569ed38 Исправление по безопасности вышло 13 июля 2021г.: KB5004605: обновление добавляет защиту шифрования AES к протоколу MS-SAMR для CVE-2021-33757 * https://support.microsoft.com/ru-ru/topic/kb5004605-обновление-добавляет-защиту-шифрования-aes-к-протоколу-ms-samr-для-cve-2021-33757-e4daa133-54aa-4a5d-a921-04bb50868fc2 * https://support.microsoft.com/en-us/topic/kb5004605-update-adds-aes-encryption-protections-to-the-ms-samr-protocol-for-cve-2021-33757-e4daa133-54aa-4a5d-a921-04bb50868fc2 * https://msrc.microsoft.com/update-guide/advisory/CVE-2021-33757 Старый метод с RC4 - SamrUnicodeChangePasswordUser2 (OpNum 55) Новый метод с AES - SamrUnicodeChangePasswordUser4 (OpNum 73) Новости: * https://msreview.net/windows-10/4364-microsoft-vypustila-windows-10-build-190411110-190421110-i-190431110.html * https://msreview.net/windows-7/4367-stali-dostupny-ijulskie-nakopitelnye-obnovlenija-dlja-windows-7-i-windows-81.html * https://www.blumira.com/sam-database-vulnerability/ Качается в паках, один из них: July 13, 2021—KB5004285 (Security-only update) * https://support.microsoft.com/en-us/topic/july-13-2021-kb5004285-security-only-update-76461c8b-4aef-4a94-acb1-78b6d9bdd220 Скачивание: Обновление качества (только система безопасности) для систем Windows Server 2012 R2 на базе процессоров x64 (KB5004285), 07 2021г. * https://www.catalog.update.microsoft.com/Search.aspx?q=KB5004285 (Ответ для Evgeny Sinelnikov на комментарий #3) > Обновление качества (только система безопасности) для систем Windows Server > 2012 R2 на базе процессоров x64 (KB5004285), 07 2021г. > * https://www.catalog.update.microsoft.com/Search.aspx?q=KB5004285 Подтверждаю, установка этого обновления решает проблему. |