Jump to content

BlackTrack

  • entries
    93
  • comments
    279
  • views
    22573

Windows Vista, Windows 2008 και SAMBA (interoperability issues, how to)


Blackman

354 views

Σε προηγούμενο άρθρο μου είχα αναφέρει για το SAMBA (& το Winbind) και τον τρόπο που γίνεται authenticate ένα linux σύστημα σε ένα windows domain.

Πρόσφατα ανακάλυψα ότι αυτό το στήσιμο δουλεύει χωρίς πρόβλημα σε όλες τις εκδόσεις Windows, εκτός από τις τελευταίες Vista & 2008 server (για τα 7 δεν ξέρω ακόμα).

 

Τι συμβαίνει

Τα Windows Vista και ο Server 2008 έχουν ένα default version requirement του MS-LAN Manager communication που απαγορεύει την επικοινωνία με παλαιότερες Limux-based εγκαταστάσεις του SAMBA. Ψάχνοντας βαθύτερα το θέμα βρήκα ότι είναι γενικότερο και αφορά τα συστήματα που χρησιμοποιούν την πρώτη έκδοση του MS-Lan Manager (NTLM) πρωτοκόλλου και εκτός από τις παλαιότερες εκδόσεις Samba, επηρεάζει και άλλα όπως κάποιες συσκευές NAS ή όποια άλλη συσκευή που χρησιμοποιεί την συγκεκριμένη έκδοση του προαναφερθέντος πρωτοκόλλου.

Λύση

Αν έχετε εγκατεστημένο κάποιο NAS (Network Attached Storage) device, Linux servers που τρέχουν Samba πιθανόν να εντιμετωπίσουν πρόβλημα με τα Vista ή τον WS2K8. Πέραν του συνδυασμού Linux & NAS, ένα ακόμα πράγμα που μπορεί να έχει πρόβλημα από το συγκεκριμένο requirement των Vista & του WS2K8 να επικοινωνούν με NTLMv2 (ή πιο καινούριο), είναι τα print server shares ή τα shares άλλων συσκευών. Οι εκδόσεις του Samba από την 3.0.21c και πίσω, πιθανόν να θέτουν υποψηφιότητα για interoperability issues με τα Vista και τον WS2K8. Αυτό μπορεί να είναι εκνευριστικό καθώς οι TCP/IP διευθύνσεις του Linux ή του NAS θα κάνουν resolve με όνομα και θα γίνετε και το ping, αλλά η πρόσβαση στα αρχεία ΔΕΝ θα δουλεύει στις περισσότερες των περιπτώσεων. Αυτό το 'πρόβλημα' δεν θα πρέπει να σας κάνει να κατηγορήσετε τα Vista ή τον WS2K8. Για να λυθεί το συγκεκριμένο θέμα υπάρχουν κάποιοι τρόποι. Για Domains, μία λύση είναι να δημιουργηθεί ένα group policy που θα γίνει link με το domain και το πρόβλημα θα αποτελεί παρελθόν. Η άλλη λύση είναι να γίνουν κάποιες αλλαγές στις τοπικές πολιτικές για συγκεκριμένα συστήματα τα οποία χρησιμοποιούν το NTLMNv1.

Τοπική Παραμετροποίηση

Ανοίξτε το Security Policy Editor (secpol.msc) στα Vista ή σε WS2K8 και πηγαίνετε στο Security Settings->Local Policies->Security Options->Network security: Lan Manager authentication level. Η επιλογή “Send LM & NTLM responses” μας δίνει το interoperability που χρειαζόμαστε. Εάν δεν μπορείτε να το επιλέξετε σημαίνει ότι υπάρχει κάποιο domain GPO που αποτρέπει την τοπική παραμετροποίηση. Στην φωτογραφία που ακολουθεί φαίνεται το Local security policy που έχει οριστεί μέσω GPO.

scratchtrblog2008630mslhw7.jpg

Πολιτική Δικτύου

Σε ένα domain controller (ή από όπου αλλού έχουμε πρόσβαση) τρέχουμε το Group Policy Management snap-in (gpmc.ini) και επιλέγουμε το Computer Configuration->Policies->Windows Settings->Local Policies->Security Options->Nework security:LAN Manager authentication level. Στην φωτογραφία που ακολουθεί μπορείτε να δείτε ακριβώς αυτό.

scratchtrblog2008630msluz5.jpg

Σε αυτό το σημείο επιλέγουμε πάλι την επιλογή “Send LM &NTLM responses” η οποιά θα προσφέρει την λειτουργικότητα που θέλουμε και θα επιτρέψει στις τελευταίες εκδόσεις των Windows να επικοινωνήσουν με παλαιότερες εκδόσεις του Samba.

Αξίζει όμως να γνωρίζετε ότι Domain Controllers WS2K8 που τρέχουν ΔΕΝ μπορούν να 'κατέβουν' σε NTLMv1.

Νομίζω ότι είναι κάτι πολύ ενδιαφέρον να έχουμε στο νου μας σε περίπτωση που κάποιος από εμάς αντιμετωπίσει κάποιο πρόβλημα επικοινωνίας σχετικό με αυτά τα συστήματα και δεν ξέρει τι φταίει.

3 Comments


Recommended Comments

Έχω την εξής ερώτηση: Γενικά δεν είναι "κακή ιδέα" να χαλαρώνουμε το επίπεδο του NTLM ? Έχει ούτως η άλλως προβλήματα ασφαλείας απο τις εκδόσεις κάτω της 2 σωστά;

Link to comment

σίγουρα μία καινούρια έκδοση είναι (ή θα έπρεπε να είναι) καλύτερη από μία προηγούμενη. όμως αν αυτό είναι αναγκαίο τι κάνεις; στην περίπτωση μας υπάρχει η λύση του βάζω νεότερη έκδοση του Samba που υποστηρίζει αυτές τις εκδόσεις του NTLM, αλλά στις περιπτώσεις που μιλάμε για NAS; δεν ξέρω να σου απαντήσω.μάλλον απλά το κατεβάζεις στο NTLMv1

Link to comment
Guest Anonymous

Posted

Συνολική Λίστα και πληροφορίες Παρακάτω μπορείτε να δείτε την κάθε διανομή με μία σχετική περιγραφή που

Link to comment
Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...