Автор Тема: samba-dc setpassword  (Прочитано 1387 раз)

Оффлайн KALIBR-10

  • Давно тут
  • **
  • Сообщений: 391
samba-dc setpassword
« : 17.08.2021 12:30:50 »
ALT SP c9
Роль контроллера домена samba-dc

Обнаружил интересную проблему:
Провел такой эксперимент:

Есть две учетки user1 и user2
user1 - пароль задан в RSAT
user2 - пароль задан в samba-tool

В krb5.conf:
Код:   
default_tkt_enctypes = arcfour-hmac-md5
default_tgs_enctypes = arcfour-hmac-md5

Билет удается получить на обе учетки
Смотрю тип шифрования (klist -e)
У обоих Etype (skey, tkt): arcfour-hmac, aes256-cts-hmac-sha1-96

Правлю krb5.conf:
Код:   
default_tkt_enctypes = aes256-cts-hmac-sha1-96
default_tgs_enctypes = aes256-cts-hmac-sha1-96
user1 билет получает
user2 Password incorrect while getting initial credentials
« Последнее редактирование: 17.08.2021 12:32:43 от KALIBR-10 »

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 18 639
    • Домашняя страница
    • Email
Re: samba-dc setpassword
« Ответ #1 : 17.08.2021 13:12:06 »
ALT SP c9
Роль контроллера домена samba-dc

Обнаружил интересную проблему:
Провел такой эксперимент:

Есть две учетки user1 и user2
user1 - пароль задан в RSAT
user2 - пароль задан в samba-tool

В krb5.conf:
Код:   
default_tkt_enctypes = arcfour-hmac-md5
default_tgs_enctypes = arcfour-hmac-md5

Билет удается получить на обе учетки
Смотрю тип шифрования (klist -e)
У обоих Etype (skey, tkt): arcfour-hmac, aes256-cts-hmac-sha1-96

Правлю krb5.conf:
Код:   
default_tkt_enctypes = aes256-cts-hmac-sha1-96
default_tgs_enctypes = aes256-cts-hmac-sha1-96
user1 билет получает
user2 Password incorrect while getting initial credentials
А оба прописать?
Андрей Черепанов (cas@)

Оффлайн KALIBR-10

  • Давно тут
  • **
  • Сообщений: 391
Re: samba-dc setpassword
« Ответ #2 : 17.08.2021 13:43:15 »
А оба прописать?

Всё будет работать, но мне так не надо. Дело в том что я всё это обнаружил когда ТП базальта никак не смогла помочь, пришлось искать всё самому. Дело в том что если пароль установить/сменить в samba-tool виндовые клиенты не могут пройти регистрацию в системе, так как хотят шифрование aes256-cts-hmac-sha1-96, которое как бы и есть, но его как бы и нет. Не нормальная фигня, исправить бы. Мною была создана заявка по данной теме 40272, если она ещё не закрыта Андрей напряги там этого товарища который за неё отвечает, я ему ещё инфы подкину для размышления

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 18 639
    • Домашняя страница
    • Email
Re: samba-dc setpassword
« Ответ #3 : 17.08.2021 14:44:39 »
А оба прописать?

Всё будет работать, но мне так не надо. Дело в том что я всё это обнаружил когда ТП базальта никак не смогла помочь, пришлось искать всё самому. Дело в том что если пароль установить/сменить в samba-tool виндовые клиенты не могут пройти регистрацию в системе, так как хотят шифрование aes256-cts-hmac-sha1-96, которое как бы и есть, но его как бы и нет. Не нормальная фигня, исправить бы. Мною была создана заявка по данной теме 40272, если она ещё не закрыта Андрей напряги там этого товарища который за неё отвечает, я ему ещё инфы подкину для размышления
Я не отвечаю за техподдержку первого уровня. А в мою поддержку такое не приходило.
Андрей Черепанов (cas@)

Оффлайн KALIBR-10

  • Давно тут
  • **
  • Сообщений: 391
Re: samba-dc setpassword
« Ответ #4 : 17.08.2021 15:02:14 »
Я не отвечаю за техподдержку первого уровня. А в мою поддержку такое не приходило.

А как сделать чтоб пришло?)))
Или в багзиллу сразу? Я полагаю здесь ошибка в шифровании при установке пароля для учетки средствами samba-tool, так как отображаемый метод шифрования билета не соответствует действительному.

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 18 639
    • Домашняя страница
    • Email
Re: samba-dc setpassword
« Ответ #5 : 18.08.2021 13:21:17 »
Я не отвечаю за техподдержку первого уровня. А в мою поддержку такое не приходило.

А как сделать чтоб пришло?)))
Или в багзиллу сразу? Я полагаю здесь ошибка в шифровании при установке пароля для учетки средствами samba-tool, так как отображаемый метод шифрования билета не соответствует действительному.
Лучше сразу в bugzilla на Sisyphus.
Андрей Черепанов (cas@)

Оффлайн KALIBR-10

  • Давно тут
  • **
  • Сообщений: 391
Re: samba-dc setpassword
« Ответ #6 : 25.08.2021 17:51:21 »
Повесил багу https://bugzilla.altlinux.org/40812