Samba Backports Update 2:4.17.3 zu 2:4.17.4 [doch nicht gelöst]

Probleme mit Samba, NFS, FTP und Co.
Antworten
Benutzeravatar
oln
Beiträge: 483
Registriert: 05.01.2021 09:41:24

Samba Backports Update 2:4.17.3 zu 2:4.17.4 [doch nicht gelöst]

Beitrag von oln » 06.01.2023 07:39:35

Hallo Forum,
ich habe Samba aus den Backports installiert. Der Grund ergab sich aus diesem Thread.
Nun habe ich einen Client(Firewall Zyxel) der seit dem Update nicht mehr der Domain beitreten kann.
Der Sambalog spuckt folgendes aus:

Code: Alles auswählen

 CVE-2022-38023: client_account[GATEWAY$] computer_name[GATEWAY] schannel_type[2] client_negotiate_flags[0x600fffff] real_account[gateway$] NT_STATUS_DOWNGRADE_DETECTED reject_des[0] reject_md5[1]
[2023/01/06 07:11:11.185426,  0] ../../source4/rpc_server/netlogon/dcerpc_netlogon.c:286(dcesrv_netr_ServerAuthenticate3_check_downgrade)
  CVE-2022-38023: Check if option 'server reject md5 schannel:gateway$ = no' might be needed for a legacy client.
[2023/01/06 07:11:11.185529,  2] ../../auth/auth_log.c:647(log_authentication_event_human_readable)
  Auth: [NETLOGON,ServerAuthenticate] user [DEVSRV]\[GATEWAY$] at [Fri, 06 Jan 2023 07:11:11.185502 CET] with [HMAC-MD5] status [NT_STATUS_DOWNGRADE_DETECTED] workstation [(null)] remote host [ipv4:192.168.1.1:59135] mapped to [(null)]\[GATEWAY$]. local host [ipv4:192.168.1.225:445]  NETLOGON computer [GATEWAY] trust account [gateway$]
Der Status "NT_STATUS_DOWNGRADE_DETECTED" is auch das was ich auf der Firewall zurück bekomme.
In den Changelogs habe ich einen Hinweis zu diesem Workaround gefunden.
Leider verstehe ich den überhaupt nicht. Was soll man da tun?
Kann mir einer sagen, wie ich das zusammen bringe?
An den Hersteller bin ich auch schon heran getreten. So schnell gibt es dort keine neue Firmware. Aufgenommen habe Sie diesen Fall erst einmal.
Nur leider benötigt die Firewall die Domain um die Authentifizierung für das VPN bereit zu stellen. Deshalb würde ich den Würgaround :oops: erst einmal anwenden wollen.
Zuletzt geändert von oln am 09.01.2023 09:55:31, insgesamt 2-mal geändert.
Gruß Ole
AbuseIPDB

slu
Beiträge: 2137
Registriert: 23.02.2005 23:58:47

Re: Samba Backports Update 2:4.17.3 zu 2:4.17.4

Beitrag von slu » 06.01.2023 18:36:27

So wie ich das verstehe musst Du in der smb.conf die Optione setzen:
server reject md5 schannel:gateway$ = no

Wobei gateway$ deine Maschine/Firewall ist.
Gruß
slu

Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.

Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER

Benutzeravatar
oln
Beiträge: 483
Registriert: 05.01.2021 09:41:24

Re: Samba Backports Update 2:4.17.3 zu 2:4.17.4

Beitrag von oln » 09.01.2023 08:03:44

Moin,
slu hat geschrieben: ↑ zum Beitrag ↑
06.01.2023 18:36:27
So wie ich das verstehe musst Du in der smb.conf die Optione setzen:
server reject md5 schannel:gateway$ = no

Wobei gateway$ deine Maschine/Firewall ist.
das hatte ich auch schon probiert. Somit klappt der Join erst einmal wieder. Um die Userabfrage auch noch zu erlauben, bedarf es nin meinem Fall nich diesen Parameter:

Code: Alles auswählen

 server schannel require seal:gateway$ = no
Welchen Crypto der Client(in meinem Fall der Gatway) benutzt, findet man dann im Log.
Danke noch einmal für den Schups in die richtige Richtung.
Gruß Ole
AbuseIPDB

Benutzeravatar
oln
Beiträge: 483
Registriert: 05.01.2021 09:41:24

Re: Samba Backports Update 2:4.17.3 zu 2:4.17.4 [doch nicht gelöst]

Beitrag von oln » 09.01.2023 09:59:31

Ich hatte die Tests nur mit einem Mobile erledigt. Dieses scheint immer User+PW als Plaintext zu senden.
Die Windowskisten sollten aber MS-Chap v2 benutzen. Das schlägt fehl oder kommt er garnicht in die Logs vom SAMBA.
Hat noch jemand eine Idee?
Klar könnte ich die VPNs ändern auf den Win-Kisten. Aber es muss doch eine Möglichkeit geben die Logins verschlüsselt zu senden.
Gruß Ole
AbuseIPDB

Antworten