Windows Vista, Windows 2008 και SAMBA (interoperability issues, how to)
Σε προηγούμενο άρθρο μου είχα αναφέρει για το SAMBA (& το Winbind) και τον τρόπο που γίνεται authenticate ένα linux σύστημα σε ένα windows domain.
Πρόσφατα ανακάλυψα ότι αυτό το στήσιμο δουλεύει χωρίς πρόβλημα σε όλες τις εκδόσεις Windows, εκτός από τις τελευταίες Vista & 2008 server (για τα 7 δεν ξέρω ακόμα).
Τι συμβαίνει
Τα Windows Vista και ο Server 2008 έχουν ένα default version requirement του MS-LAN Manager communication που απαγορεύει την επικοινωνία με παλαιότερες Limux-based εγκαταστάσεις του SAMBA. Ψάχνοντας βαθύτερα το θέμα βρήκα ότι είναι γενικότερο και αφορά τα συστήματα που χρησιμοποιούν την πρώτη έκδοση του MS-Lan Manager (NTLM) πρωτοκόλλου και εκτός από τις παλαιότερες εκδόσεις Samba, επηρεάζει και άλλα όπως κάποιες συσκευές NAS ή όποια άλλη συσκευή που χρησιμοποιεί την συγκεκριμένη έκδοση του προαναφερθέντος πρωτοκόλλου.
Λύση
Αν έχετε εγκατεστημένο κάποιο NAS (Network Attached Storage) device, Linux servers που τρέχουν Samba πιθανόν να εντιμετωπίσουν πρόβλημα με τα Vista ή τον WS2K8. Πέραν του συνδυασμού Linux & NAS, ένα ακόμα πράγμα που μπορεί να έχει πρόβλημα από το συγκεκριμένο requirement των Vista & του WS2K8 να επικοινωνούν με NTLMv2 (ή πιο καινούριο), είναι τα print server shares ή τα shares άλλων συσκευών. Οι εκδόσεις του Samba από την 3.0.21c και πίσω, πιθανόν να θέτουν υποψηφιότητα για interoperability issues με τα Vista και τον WS2K8. Αυτό μπορεί να είναι εκνευριστικό καθώς οι TCP/IP διευθύνσεις του Linux ή του NAS θα κάνουν resolve με όνομα και θα γίνετε και το ping, αλλά η πρόσβαση στα αρχεία ΔΕΝ θα δουλεύει στις περισσότερες των περιπτώσεων. Αυτό το 'πρόβλημα' δεν θα πρέπει να σας κάνει να κατηγορήσετε τα Vista ή τον WS2K8. Για να λυθεί το συγκεκριμένο θέμα υπάρχουν κάποιοι τρόποι. Για Domains, μία λύση είναι να δημιουργηθεί ένα group policy που θα γίνει link με το domain και το πρόβλημα θα αποτελεί παρελθόν. Η άλλη λύση είναι να γίνουν κάποιες αλλαγές στις τοπικές πολιτικές για συγκεκριμένα συστήματα τα οποία χρησιμοποιούν το NTLMNv1.
Τοπική Παραμετροποίηση
Ανοίξτε το Security Policy Editor (secpol.msc) στα Vista ή σε WS2K8 και πηγαίνετε στο Security Settings->Local Policies->Security Options->Network security: Lan Manager authentication level. Η επιλογή “Send LM & NTLM responses” μας δίνει το interoperability που χρειαζόμαστε. Εάν δεν μπορείτε να το επιλέξετε σημαίνει ότι υπάρχει κάποιο domain GPO που αποτρέπει την τοπική παραμετροποίηση. Στην φωτογραφία που ακολουθεί φαίνεται το Local security policy που έχει οριστεί μέσω GPO.
Πολιτική Δικτύου
Σε ένα domain controller (ή από όπου αλλού έχουμε πρόσβαση) τρέχουμε το Group Policy Management snap-in (gpmc.ini) και επιλέγουμε το Computer Configuration->Policies->Windows Settings->Local Policies->Security Options->Nework security:LAN Manager authentication level. Στην φωτογραφία που ακολουθεί μπορείτε να δείτε ακριβώς αυτό.
Σε αυτό το σημείο επιλέγουμε πάλι την επιλογή “Send LM &NTLM responses” η οποιά θα προσφέρει την λειτουργικότητα που θέλουμε και θα επιτρέψει στις τελευταίες εκδόσεις των Windows να επικοινωνήσουν με παλαιότερες εκδόσεις του Samba.
Αξίζει όμως να γνωρίζετε ότι Domain Controllers WS2K8 που τρέχουν ΔΕΝ μπορούν να 'κατέβουν' σε NTLMv1.
Νομίζω ότι είναι κάτι πολύ ενδιαφέρον να έχουμε στο νου μας σε περίπτωση που κάποιος από εμάς αντιμετωπίσει κάποιο πρόβλημα επικοινωνίας σχετικό με αυτά τα συστήματα και δεν ξέρει τι φταίει.
3 Comments
Recommended Comments