Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2014-09-17 13:50:33

  dalmork - Użytkownik

dalmork
Użytkownik
Zarejestrowany: 2014-09-17

SAMBA4 AD - certyfikaty i klucze prywatne w Windows 7

Witam serdecznie,
mam na Debianie Sambę 4 skonfigurowaną jako AD.
Wszystko działało do tej pory bezbłędnie. Dopiero teraz przy wymianie sprzętu na Windows7 okazało się
użytkownicy którzy posiadają certyfikaty potrzebne do szyfrowania, w przypadku zmiany hasła użytkownika tracą klucze prywatne do tych certyfikatów. Sytuacja ta nie występuje w Windows XP.
Czy ktoś się spotkał z podobną systuacją?

Offline

 

#2  2014-09-17 14:48:42

  chmuri - [=Centos=]

chmuri
[=Centos=]
Skąd: Wrocław
Zarejestrowany: 2005-11-25
Serwis

Re: SAMBA4 AD - certyfikaty i klucze prywatne w Windows 7

Tak jest jazda z AD w wersji 4 i windows 7 co zapewne blokuje użytkownika zasobów sieciowych do niej.


[img]http://wiki.centos.org/ArtWork/Brand?action=AttachFile&do=get&target=centos-logo-light.png[/img]

Offline

 

#3  2014-10-03 07:26:56

  dalmork - Użytkownik

dalmork
Użytkownik
Zarejestrowany: 2014-09-17

Re: SAMBA4 AD - certyfikaty i klucze prywatne w Windows 7

Przetestowałem to na najnowszym debianie i najnowszej sambie(4.1.12) niestety znów to samo :( Czy ktoś ma jakiś pomysł?
Przecież uwierzytelnianie odbywa się na AD a nie na PC więc czemu gubią te certyfikaty klucze? Przeszukałem całego googla i nie widać podobnych problemów.
Może mam coś źle ustawione bo wierzyć mi się nie chce, że nikt jeszcze tym problemem się nie zajął?

Offline

 

#4  2014-10-09 22:09:20

  dalmork - Użytkownik

dalmork
Użytkownik
Zarejestrowany: 2014-09-17

Re: SAMBA4 AD - certyfikaty i klucze prywatne w Windows 7

Przetestowałem również Sambę 4.2 i znów nic :(
Dowiedziałem się za to, że problem leży po stronie Windows DPAPI.
znalazłem też taką stronkę gdzie ponoć ten problem rozwiązali za pomocą jakiegoś patcha.
http://forge.univention.org/bugzilla/show_bug.cgi?id=35287
niestety nie wiem jak się zabrać do tego by tego patcha wgrać :(
ma ktoś jakiś pomysł ?

Offline

 

#5  2014-11-04 16:02:17

  dalmork - Użytkownik

dalmork
Użytkownik
Zarejestrowany: 2014-09-17

Re: SAMBA4 AD - certyfikaty i klucze prywatne w Windows 7

Przetestowałem sambę 4.1.12 SERNET i niestety znów to samo :(
Przetestowałem to również na domenie z Windows serwerem 2008 R2 i tam ten problem nie występuje. Te same certyfikaty. Restart hasła usera i klucze w certyfikacie pozostają.
I jak tu poważnie traktować sambę?
Przetestuję jeszcze płatną wersję właśnie od univetion. Dam znać jakie są wyniki.
Zastanawia mnie tylko to, że przy takiej ilości użytkowników samby nadal nie zostało to naprawione :(

Offline

 

#6  2014-11-04 22:47:22

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: SAMBA4 AD - certyfikaty i klucze prywatne w Windows 7

Zastanawia mnie tylko to, że przy takiej ilości użytkowników samby nadal nie zostało to naprawione :([/quote]
A mnie nie zastanawia. ;P

W interesie producenta Windows 7 i Windows 2008 serwer jest, aby do każdej grupy komputerów z Win7 każdy klient zakupił licencję Win 2008 serwer i za nią zaplacił.
Dlatego często po "aktualizacji bezpieczeństwa" specyfikacja protokołu SMB w Windows zmienia się w takim stopniu, aby alternatywne wobec Win8 serwer rozwiązania nie potrafiły działać w nowej wersji "poprawionego" SMB.

Dlatego albo  kupuj licencje Win2008 serwer, albo przygotuj się na takie niespodzianki, względnie spróbuj, czy Windows 7 da się włączyć w infrastrukturę http://technet.microsoft.com/pl-pl/library/cc754350.aspx, najlepiej,  (o ile to możliwe) przy pomocy narzędzi i sterowników, których nie produkował Microsoft.

Identyczna sytuacja jest z Outlookiem Express, Outlookiem Pro, i protokołem IMAPv4 (serwery Dovecot, Courier-Imap).

Serwer NFS bez problemu postawisz na każdym Linuxie czy BSD,
a w Win 7 zamontujesz jako napęd (nie wiem tylko, czy we wszystkich wersjach, czy tylko Pro* i Ultimate*).

Sznurki:
https://wiki.debian.org/NFSServerSetup
http://technet.microsoft.com/pl-pl/library/cc754350.aspx
http://technet.microsoft.com/pl-pl/library/cc732891.aspx
http://www.multigesture.net/articles/how-to-mount-nfs-on-windows-7-and-mac-os-x/
http://pl.wikipedia.org/wiki/Network_File_System_%28protok%C3%B3%C5%82%29

Do Samby radzę przeczytać ten wątek:
http://wasil.org/samba-i-windows-7
i to:
http://wiki.samba.org/index.php/Windows7

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2014-11-14 12:43:11)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#7  2014-11-13 17:12:46

  dalmork - Użytkownik

dalmork
Użytkownik
Zarejestrowany: 2014-09-17

Re: SAMBA4 AD - certyfikaty i klucze prywatne w Windows 7

Dzięki Jacekalex za odpowiedź, jestem w trakcie analizowania twoich sugestii.
Ustawienia na NT4-style przetestowałem na samym początku i nie pomogły ;)
W między czasie przetestowałem UCS firmy Univention i oczywiście wszystko DZIAŁA OK :D nie ma problemów z kluczami w univention-samba 4.
Wniosek: jak nie chcesz płacić to cię do tego zmuszą :(
Muszę przyznać, że cena nie jest zbyt wygórowana bo licencje CAL nie są wymagane, ale nie do końca zgadzam się z tym, że za coś co jest na licencji  GNU AGPL trzeba płacić.
Szkoda tylko, że darmowa samba nie posiada takiej poprawki :(

Offline

 

#8  2014-11-14 09:11:06

  qluk - Pan inż. Cyc

qluk
Pan inż. Cyc
Skąd: Katowice
Zarejestrowany: 2006-05-22

Re: SAMBA4 AD - certyfikaty i klucze prywatne w Windows 7

[quote=dalmork]Dzięki Jacekalex za odpowiedź, jestem w trakcie analizowania twoich sugestii.
Ustawienia na NT4-style przetestowałem na samym początku i nie pomogły ;)
W między czasie przetestowałem UCS firmy Univention i oczywiście wszystko DZIAŁA OK :D nie ma problemów z kluczami w univention-samba 4.
Wniosek: jak nie chcesz płacić to cię do tego zmuszą :(
Muszę przyznać, że cena nie jest zbyt wygórowana bo licencje CAL nie są wymagane, ale nie do końca zgadzam się z tym, że za coś co jest na licencji  GNU AGPL trzeba płacić.
Szkoda tylko, że darmowa samba nie posiada takiej poprawki :([/quote]
Ktoś poświęcił swój czas na dodanie takiej funkcjonalności i płacisz własnie za to. Mimo wszystko wszystkie rodzaje licencji OS dają jedną znaczącą przewagę. Zawsze możesz komuś zlecić poprawki czy napisanie dodatków, jeśli sam nie możesz tego zrobić. W zamkniętym oprogramowaniu możesz liczyć na dobrą wolę twórcy.
Swoją drogą jednak twoja logika myślenia ma jeden haczyk. Domyślam się że to rozwiązanie stosujesz w pracy to parafrazując, czemu pracodawca ma płacić informatykowi za stosowanie rozwiązań OS do których jest masa bezpłatnych tutoriali? :)

Offline

 

#9  2014-11-14 12:52:01

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: SAMBA4 AD - certyfikaty i klucze prywatne w Windows 7

Płacić trzeba zawsze wtedy, jak pacjent sam sobie poradzić nie potrafi.

M$ majstruje przy specyfikacji Samby jak tyko może, żeby nowe Windowsy nie gadały z konkurencyjnymi systemami.
Dlatego poradziłem, żeby się zaprzyjaźnić z NFS-4, że  jego specyfikacja jest opisana w RFC, i nie tworzy jej M$, dlatego nie ma wielkiej możliwości utrudniania ludziom korzystania z NFS, jeśli spieprzy celowo klienta NFS, to ma zaraz bugzillę i musi ten błąd łatać, albo patrzeć na komentarze, że w MacOS działa, w Linuxie działa, a tylko w Windows nie działa i M$  nie chce poprawić. :D

Wtedy działa to tak samo, jak przy protokole http czy SMTP, M$ w takich przypadkach nie może zrobić swoich własnych wersji tych protokołów, więc musi się tak czy inaczej trzymać standardów, i nawet Outlook Express musi obsługiwać SMTP i POP3, bo jak nie działa, to M$ traci udział w rynku.

Reasumując, lepiej używać tych rozwiązań, których taka czy inna korpo nie może celowo psuć albo zawłaszczać do umocnienia swojej pozycji rynkowej.

Pozdro
;-)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#10  2014-11-19 17:02:52

  dalmork - Użytkownik

dalmork
Użytkownik
Zarejestrowany: 2014-09-17

Re: SAMBA4 AD - certyfikaty i klucze prywatne w Windows 7

DZIAŁA :)
pobrałem najnowszą wersję samby 4.1.13 rozpakowałem i wprowadziłem poprawki w pliku "source4/rpc_server/backupkey/dcesrv_backupkey.c"
zgodne z plikiem patcha http://forge.univention.org/bugzilla/attachment.cgi?id=5986
czyli dodałem w linii 759 int RSA_returned_bits;
w linii 776 usunąłem:
ret = RSA_generate_key_ex(rsa, bits, pub_expo, NULL);
-    if(ret != 1) {
-        RSA_free(rsa);
-        BN_free(pub_expo);
-        return WERR_INTERNAL_ERROR;
i dodałem
+    while (RSA_returned_bits != bits) {
+        ret = RSA_generate_key_ex(rsa, bits, pub_expo, NULL);
+        if(ret != 1) {
+            RSA_free(rsa);
+            BN_free(pub_expo);
+            return WERR_INTERNAL_ERROR;
+        }
+        RSA_returned_bits = BN_num_bits(rsa->n);
+        DEBUG(6, ("RSA_generate_key_ex returned %d Bits\n", RSA_returned_bits));

zapisałem ;) skompilowałem i zainstalowałem zgodnie z super instrukcją
http://www.samba.org.pl/2013/09/active-directory-na-linuxie-kompletny.html

Wielkie Dzięki wszystkim za dyskusję i sugestie :) miło że forum takie aktywne :)
POZDRAWIAM

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.010 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00011 SET CHARSET latin2
0.00005 SET NAMES latin2
0.00097 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.144.106.207' WHERE u.id=1
0.00096 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.144.106.207', 1732812629)
0.00043 SELECT * FROM punbb_online WHERE logged<1732812329
0.00067 SELECT topic_id FROM punbb_posts WHERE id=278822
0.00006 SELECT id FROM punbb_posts WHERE topic_id=26428 ORDER BY posted
0.00077 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=26428 AND t.moved_to IS NULL
0.00005 SELECT search_for, replace_with FROM punbb_censoring
0.00267 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=26428 ORDER BY p.id LIMIT 0,25
0.00106 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=26428
Total query time: 0.0078 s