ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] samba3 as PDC & Win2K
@ 2002-09-19 12:30 Anton
  2002-09-19 18:20 ` "Алексей Любимов"
  2002-09-19 20:29 ` Andrew Grechko
  0 siblings, 2 replies; 20+ messages in thread
From: Anton @ 2002-09-19 12:30 UTC (permalink / raw)
  To: community

Подскажите пожалуйста, никак не пойму в чем дело.
Win2k не хочет вступать в домен
добавил акаунт в систему для компьютера oksana$, добавил в самбу
smbpasswd -a -m oksana

в smb.conf указано
domain master = yes
domain logons = yes
local master = yes
preffered master = yes

каталог netlogon есть и доступен для чтения всем. себя замапил на рута

Когда пытаюсь присоеденить Win2k к домену то после того как Win2k спрашивает 
логин:пароль пользователя который может добавлять к домену выдает сообщение
дословно:
"Для задданного сеанса входа в систему отсутствует раздел сеанса пользователя"
Что бы это могло значить? И как же лечить это? два дня уже бьюсь и все 
бестолку.
Может кто сталкивался.


^ permalink raw reply	[flat|nested] 20+ messages in thread

* Re: [Comm] samba3 as PDC & Win2K
  2002-09-19 12:30 [Comm] samba3 as PDC & Win2K Anton
@ 2002-09-19 18:20 ` "Алексей Любимов"
  2002-09-19 18:33   ` aen
                     ` (2 more replies)
  2002-09-19 20:29 ` Andrew Grechko
  1 sibling, 3 replies; 20+ messages in thread
From: "Алексей Любимов" @ 2002-09-19 18:20 UTC (permalink / raw)
  To: community; +Cc: Anton

On Thu, 19 Sep 2002 16:30:32 +0400
Anton <grimnir@park-net.ru> wrote:

> Подскажите пожалуйста, никак не пойму в чем дело.
> Win2k не хочет вступать в домен
> добавил акаунт в систему для компьютера oksana$, добавил в самбу
> smbpasswd -a -m oksana
> 
> в smb.conf указано
> domain master = yes
> domain logons = yes
> local master = yes
> preffered master = yes
> 
> каталог netlogon есть и доступен для чтения всем. себя замапил на рута
> 
> Когда пытаюсь присоеденить Win2k к домену то после того как Win2k спрашивает 
> логин:пароль пользователя который может добавлять к домену выдает сообщение
> дословно:
> "Для задданного сеанса входа в систему отсутствует раздел сеанса пользователя"
> Что бы это могло значить? И как же лечить это? два дня уже бьюсь и все 
> бестолку.
> Может кто сталкивался.

столкнулся. пока не решил.
советую поставить log level = 9 и смотреть логи.
я таким образом обнаружил, что в какой то момент win2k лезет под аккаунтом guest за каким то списком и получает отлуп.
дальше пока не продвинулся. надеюсь Александр Боковой прояснит ситуацию больше.
Кстати, интересно было бы поднять AD.

ЗЫ по моему мои письма в рассылку не идут.
-- 
Любимов Алексей
avl@l14.ru


^ permalink raw reply	[flat|nested] 20+ messages in thread

* Re: [Comm] samba3 as PDC & Win2K
  2002-09-19 18:20 ` "Алексей Любимов"
@ 2002-09-19 18:33   ` aen
  2002-09-19 18:37     ` "Алексей Любимов"
  2002-09-19 18:52   ` Re[2]: " grimnir
  2002-09-20  5:58   ` Mike
  2 siblings, 1 reply; 20+ messages in thread
From: aen @ 2002-09-19 18:33 UTC (permalink / raw)
  To: community

Алексей Любимов wrote:

>>Может кто сталкивался.
>>    
>>
>
>столкнулся. пока не решил.
>советую поставить log level = 9 и смотреть логи.
>я таким образом обнаружил, что в какой то момент win2k лезет под аккаунтом guest за каким то списком и получает отлуп.
>дальше пока не продвинулся. надеюсь Александр Боковой прояснит ситуацию больше.
>Кстати, интересно было бы поднять AD.
>
>ЗЫ по моему мои письма в рассылку не идут.
>  
>
Идут.

Rgrds, AEN




^ permalink raw reply	[flat|nested] 20+ messages in thread

* Re: [Comm] samba3 as PDC & Win2K
  2002-09-19 18:33   ` aen
@ 2002-09-19 18:37     ` "Алексей Любимов"
  2002-09-19 18:42       ` aen
  2002-09-19 18:44       ` Alexander Bokovoy
  0 siblings, 2 replies; 20+ messages in thread
From: "Алексей Любимов" @ 2002-09-19 18:37 UTC (permalink / raw)
  To: community

> >ЗЫ по моему мои письма в рассылку не идут.
> >  
> >
> Идут.

Это, как назло, дошло :)
а до несколько дней подряд слал в сизиф и сюда письма в том числе с логом от самбы и никакого эффекта...

-- 
Любимов Алексей
avl@l14.ru


^ permalink raw reply	[flat|nested] 20+ messages in thread

* Re: [Comm] samba3 as PDC & Win2K
  2002-09-19 18:37     ` "Алексей Любимов"
@ 2002-09-19 18:42       ` aen
  2002-09-19 18:44       ` Alexander Bokovoy
  1 sibling, 0 replies; 20+ messages in thread
From: aen @ 2002-09-19 18:42 UTC (permalink / raw)
  To: community

Алексей Любимов wrote:

>>>ЗЫ по моему мои письма в рассылку не идут.
>>> 
>>>
>>>      
>>>
>>Идут.
>>    
>>
>
>Это, как назло, дошло :)
>а до несколько дней подряд слал в сизиф и сюда письма в том числе с логом от самбы и никакого эффекта...
>
>  
>
Пошлите еще раз, чтобы Александр увидел логи :-)

Rgrds, AEN




^ permalink raw reply	[flat|nested] 20+ messages in thread

* Re: [Comm] samba3 as PDC & Win2K
  2002-09-19 18:37     ` "Алексей Любимов"
  2002-09-19 18:42       ` aen
@ 2002-09-19 18:44       ` Alexander Bokovoy
  1 sibling, 0 replies; 20+ messages in thread
From: Alexander Bokovoy @ 2002-09-19 18:44 UTC (permalink / raw)
  To: community

On Thu, Sep 19, 2002 at 10:37:10PM +0400, "Алексей Любимов" wrote:
> 
> > >ЗЫ по моему мои письма в рассылку не идут.
> > >  
> > >
> > Идут.
> 
> Это, как назло, дошло :)
> а до несколько дней подряд слал в сизиф и сюда письма в том числе с
> логом от самбы и никакого эффекта...
Лог Самбы я получал, мы его исследуем. Просто на все не хватает времени, в
том числе и на ответы. :(
-- 
/ Alexander Bokovoy
---
You know how to win a victory, Hannibal, but not how to use it.
		-- Maharbal


^ permalink raw reply	[flat|nested] 20+ messages in thread

* Re[2]: [Comm] samba3 as PDC & Win2K
  2002-09-19 18:20 ` "Алексей Любимов"
  2002-09-19 18:33   ` aen
@ 2002-09-19 18:52   ` grimnir
  2002-09-19 18:55     ` aen
  2002-09-20  7:01     ` Alexander Bokovoy
  2002-09-20  5:58   ` Mike
  2 siblings, 2 replies; 20+ messages in thread
From: grimnir @ 2002-09-19 18:52 UTC (permalink / raw)
  To: "Алексей
	Любимов"

Hello Алексей,

Thursday, September 19, 2002, 10:20:35 PM, you wrote:

АЛ> On Thu, 19 Sep 2002 16:30:32 +0400
АЛ> Anton <grimnir@park-net.ru> wrote:

>> Подскажите пожалуйста, никак не пойму в чем дело.
>> Win2k не хочет вступать в домен
>> добавил акаунт в систему для компьютера oksana$, добавил в самбу
>> smbpasswd -a -m oksana
>> 
>> в smb.conf указано
>> domain master = yes
>> domain logons = yes
>> local master = yes
>> preffered master = yes
>> 
>> каталог netlogon есть и доступен для чтения всем. себя замапил на рута
>> 
>> Когда пытаюсь присоеденить Win2k к домену то после того как Win2k спрашивает 
>> логин:пароль пользователя который может добавлять к домену выдает сообщение
>> дословно:
>> "Для задданного сеанса входа в систему отсутствует раздел сеанса пользователя"
>> Что бы это могло значить? И как же лечить это? два дня уже бьюсь и все 
>> бестолку.
>> Может кто сталкивался.

АЛ> столкнулся. пока не решил.
АЛ> советую поставить log level = 9 и смотреть логи.
АЛ> я таким образом обнаружил, что в какой то момент win2k лезет под аккаунтом guest за каким то списком и получает отлуп.
АЛ> дальше пока не продвинулся. надеюсь Александр Боковой прояснит ситуацию больше.
АЛ> Кстати, интересно было бы поднять AD.

АЛ> ЗЫ по моему мои письма в рассылку не идут.

Спасибо и за это:)
а письма очень идут даже:)
если Win2k лезет "гостем" подозрение в домен то скорее всего для
получения списка пользователей с уровнем логов-4 я заметил что
вызывается какая то команда получения инфы пользователя, хотя
пользователь еще не авторизован. может как вариант разрешить гостевой
доступ с нулевыми паролями, а потом уже ресурсы резать? Хотя сам еще
не пробовал, но вряд ли.
Как работает как AD на Win2k-сервер понятно и опробовано, очень
здорово:) сила, мощь, власть и удобство. Одно только управление всем
доменом с любого Win2k компа чего стоит.
А в самбе мне не удалось почему то. Может читал плохо. сразу вопрос по
теме в ADS-HowTo напрямую не указано, что самба теперь может выступать
как AD server, но и не сказано, то  что не может. Так только клиент
или  и сервер тоже?
Устанавил керберос внес pricipal керберос через kinit авторизует. В
smb.conf прописывал что есть АД сервер (сам себе сервер) и остальные
параметры как в ADS-HowTo. Пробую smbclient -k -L my_server, а дальше
нечто:  connecting 192.168.0.1:445 (connect refused)
ля-ля-ля не удалось получить доступ с указанным типом шифрования
и отлуп хотя порт есть и соединение к нему есть и керберос
через него выдает талоны. В логах кербероса от этой попытки нуль,
значит это не керберос не пустил, до него даже не дошло.
в керберос по умолчанию, как я понял используется Triple-DES, какое
шифрование используется в SMB не в курсе, хотя может в /etc/krb.conf
надо прописывать и для самбы как для рлогин всяких отдельные секции с
параметрами
[rlogin]
[rsh] и т.д.

Да и багрепорт к kerberos, правда он к месту если AltLinux Team компилят
бинарники сами.
Бага в том, что файл профиля записывается в /etc/krb.conf по дефолту как
profile=/var/lib/kerberos/krb5*/*.conf (где звездочки я прост сейчас
не помню точное написание в этих местах), хм записываться то он
конечно пишется, а вот только реально именование файла конфига профиля
жестко зашито в бинарник  и есть оно /var/kerberos/* в общем то же
самое что и по  дефолту в конфиге но без /lib/.
Очень я долго гадал по чему же все что в профиле я пишу пропадает в
никуда, однако вот оно.
-- 
Best regards,
 grimnir                            mailto:grimnir@park-net.ru



^ permalink raw reply	[flat|nested] 20+ messages in thread

* Re: [Comm] samba3 as PDC & Win2K
  2002-09-19 18:52   ` Re[2]: " grimnir
@ 2002-09-19 18:55     ` aen
  2002-09-19 19:00       ` Re[2]: " grimnir
  2002-09-20  7:01     ` Alexander Bokovoy
  1 sibling, 1 reply; 20+ messages in thread
From: aen @ 2002-09-19 18:55 UTC (permalink / raw)
  To: community

grimnir wrote:

>
>Да и багрепорт к kerberos, правда он к месту если AltLinux Team компилят
>бинарники сами.
>
А кто же это за нас делает :-)

>Бага в том, что файл профиля записывается в /etc/krb.conf по дефолту как
>profile=/var/lib/kerberos/krb5*/*.conf (где звездочки я прост сейчас
>не помню точное написание в этих местах), хм записываться то он
>конечно пишется, а вот только реально именование файла конфига профиля
>жестко зашито в бинарник  и есть оно /var/kerberos/* в общем то же
>самое что и по  дефолту в конфиге но без /lib/.
>Очень я долго гадал по чему же все что в профиле я пишу пропадает в
>никуда, однако вот оно.
>
Занесите в BTS, пожалуйста.

Rgrds, AEN

>  
>





^ permalink raw reply	[flat|nested] 20+ messages in thread

* Re[2]: [Comm] samba3 as PDC & Win2K
  2002-09-19 18:55     ` aen
@ 2002-09-19 19:00       ` grimnir
  2002-09-20  5:51         ` Artem Pastuchov
  0 siblings, 1 reply; 20+ messages in thread
From: grimnir @ 2002-09-19 19:00 UTC (permalink / raw)
  To: aen

Hello aen,

Thursday, September 19, 2002, 10:55:04 PM, you wrote:

<skip>
>>Бага в том, что файл профиля записывается в /etc/krb.conf по дефолту как
>>profile=/var/lib/kerberos/krb5*/*.conf (где звездочки я прост сейчас
>>не помню точное написание в этих местах), хм записываться то он
>>конечно пишется, а вот только реально именование файла конфига профиля
>>жестко зашито в бинарник  и есть оно /var/kerberos/* в общем то же
>>самое что и по  дефолту в конфиге но без /lib/.
<skip>
a> Занесите в BTS, пожалуйста.
сори, но я не грамотный:) где это?
a> Rgrds, AEN

>>  
>>

a> _______________________________________________
a> Community mailing list
a> Community@altlinux.ru
a> http://www.altlinux.ru/mailman/listinfo/community



-- 
Best regards,
 grimnir                            mailto:grimnir@park-net.ru



^ permalink raw reply	[flat|nested] 20+ messages in thread

* Re: [Comm] samba3 as PDC & Win2K
  2002-09-19 12:30 [Comm] samba3 as PDC & Win2K Anton
  2002-09-19 18:20 ` "Алексей Любимов"
@ 2002-09-19 20:29 ` Andrew Grechko
  2002-09-19 20:41   ` Re[2]: " grimnir
  1 sibling, 1 reply; 20+ messages in thread
From: Andrew Grechko @ 2002-09-19 20:29 UTC (permalink / raw)
  To: community

19 Сентябрь 2002 16:30, Anton wrote:
<skip>
> Когда пытаюсь присоеденить Win2k к домену то после того как
> Win2k спрашивает логин:пароль пользователя который может
> добавлять к домену выдает сообщение дословно:
> "Для задданного сеанса входа в систему отсутствует раздел
> сеанса пользователя" Что бы это могло значить? И как же лечить
> это? два дня уже бьюсь и все бестолку.
> Может кто сталкивался.
Чисто эмпирически: попробуйте присоединиться к домену именно как 
root, добавив его в smbpasswd. Мне только так удалось. Понимаю, 
что не здорово, но пока руки не доходили выяснить как 
идеологически правильно.
<skip>
-- 

With best regards,
Andrew Grechko



^ permalink raw reply	[flat|nested] 20+ messages in thread

* Re[2]: [Comm] samba3 as PDC & Win2K
  2002-09-19 20:29 ` Andrew Grechko
@ 2002-09-19 20:41   ` grimnir
  2002-12-06 14:49     ` Vyacheslav Garonin
  0 siblings, 1 reply; 20+ messages in thread
From: grimnir @ 2002-09-19 20:41 UTC (permalink / raw)
  To: Andrew Grechko

Hello Andrew,

Friday, September 20, 2002, 12:29:13 AM, you wrote:

AG> 19 Сентябрь 2002 16:30, Anton wrote:
AG> <skip>
>> Когда пытаюсь присоеденить Win2k к домену то после того как
>> Win2k спрашивает логин:пароль пользователя который может
>> добавлять к домену выдает сообщение дословно:
>> "Для задданного сеанса входа в систему отсутствует раздел
>> сеанса пользователя" Что бы это могло значить? И как же лечить
>> это? два дня уже бьюсь и все бестолку.
>> Может кто сталкивался.
AG> Чисто эмпирически: попробуйте присоединиться к домену именно как 
AG> root, добавив его в smbpasswd. Мне только так удалось. Понимаю, 
AG> что не здорово, но пока руки не доходили выяснить как 
AG> идеологически правильно.
AG> <skip>

В исходном сообщении было указано что пользователь от имени которого я
пытаюсь добавить в домен замапен на рута. Хотя и напрямую рутом
пробовал тоже, не помогает.
Самое интересное,  что я даже не могу проникнуть в смысл этого
сообщения - "Для заданного сеанса входа в систему отсутствует раздел
сеанса пользователя"

-- 
Best regards,
 grimnir                            mailto:grimnir@park-net.ru



^ permalink raw reply	[flat|nested] 20+ messages in thread

* Re: Re[2]: [Comm] samba3 as PDC & Win2K
  2002-09-19 19:00       ` Re[2]: " grimnir
@ 2002-09-20  5:51         ` Artem Pastuchov
  0 siblings, 0 replies; 20+ messages in thread
From: Artem Pastuchov @ 2002-09-20  5:51 UTC (permalink / raw)
  To: community

19 Сентябрь 2002 23:00, grimnir написал:
> Hello aen,
>
> Thursday, September 19, 2002, 10:55:04 PM, you wrote:
>
> <skip>
>
> >>Бага в том, что файл профиля записывается в /etc/krb.conf по
> >> дефолту как profile=/var/lib/kerberos/krb5*/*.conf (где
> >> звездочки я прост сейчас не помню точное написание в этих
> >> местах), хм записываться то он конечно пишется, а вот
> >> только реально именование файла конфига профиля жестко
> >> зашито в бинарник  и есть оно /var/kerberos/* в общем то же
> >> самое что и по  дефолту в конфиге но без /lib/.
>
> <skip>
> a> Занесите в BTS, пожалуйста.
> сори, но я не грамотный:) где это?
bugs.altlinux.ru

-- 
 С уважением,
Артем Пастухов          past@yam.ru
 ЯМ Интернешнл         http://www.yam.ru




^ permalink raw reply	[flat|nested] 20+ messages in thread

* Re: [Comm] samba3 as PDC & Win2K
  2002-09-19 18:20 ` "Алексей Любимов"
  2002-09-19 18:33   ` aen
  2002-09-19 18:52   ` Re[2]: " grimnir
@ 2002-09-20  5:58   ` Mike
  2 siblings, 0 replies; 20+ messages in thread
From: Mike @ 2002-09-20  5:58 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 2185 bytes --]

On Thu, 19 Sep 2002 22:20:35 +0400
"Алексей Любимов" <avl@l14.ru> wrote:

> On Thu, 19 Sep 2002 16:30:32 +0400
> Anton <grimnir@park-net.ru> wrote:
> 
> > Подскажите пожалуйста, никак не пойму в чем дело.
> > Win2k не хочет вступать в домен
> > добавил акаунт в систему для компьютера oksana$, добавил в самбу
> > smbpasswd -a -m oksana
> > 
> > в smb.conf указано
> > domain master = yes
> > domain logons = yes
> > local master = yes
> > preffered master = yes
> > 
> > каталог netlogon есть и доступен для чтения всем. себя замапил на
> > рута
> > 
> > Когда пытаюсь присоеденить Win2k к домену то после того как Win2k
> > спрашивает логин:пароль пользователя который может добавлять к
> > домену выдает сообщение дословно:
> > "Для задданного сеанса входа в систему отсутствует раздел сеанса
> > пользователя" Что бы это могло значить? И как же лечить это? два дня
> > уже бьюсь и все бестолку.
> > Может кто сталкивался.

Столкнулся. 

> столкнулся. пока не решил.
> советую поставить log level = 9 и смотреть логи.
Ну Вы маньяк.

> я таким образом обнаружил, что в какой то момент win2k лезет под
> аккаунтом guest за каким то списком и получает отлуп. дальше пока не
> продвинулся. надеюсь Александр Боковой прояснит ситуацию больше.
> Кстати, интересно было бы поднять AD.
На сайте samba.org лежит таблица, показывающая какой код закончен в
samba3. Судя по ней, пока samba может выступать как клиент к ADS.
> 
> ЗЫ по моему мои письма в рассылку не идут.

Несколько дней назад оправил в рассылку письмо с совершенно такой же
ошибкой, только на английском, с приложенным логом на уровне 5. К
сожелению, я надеялся что мне ответят, никто не ответил.
В логе расскопал есть ошибка:

[2002/09/17 11:42:15, 5]
rpc_server/srv_samr_nt.c:access_check_samr_function(105)
  _samr_create_user: access check ((granted: 0000000000;  required:
0x00000010)
[2002/09/17 11:42:15, 4]
rpc_server/srv_samr_nt.c:access_check_samr_function(109)
  _samr_create_user: ACCESS should be DENIED (granted: 0000000000; 
required: 0x00000010)
  but overwritten by euid == 0
[2002/09/17 11:42:15, 3] smbd/sec_ctx.c:push_sec_ctx(255)
  push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 1

Может это прояснит ситуацию.

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 20+ messages in thread

* Re: [Comm] samba3 as PDC & Win2K
  2002-09-19 18:52   ` Re[2]: " grimnir
  2002-09-19 18:55     ` aen
@ 2002-09-20  7:01     ` Alexander Bokovoy
  2002-09-20  7:25       ` Anton
  2002-09-23 23:18       ` Re[2]: " Alexey Borovskoy
  1 sibling, 2 replies; 20+ messages in thread
From: Alexander Bokovoy @ 2002-09-20  7:01 UTC (permalink / raw)
  To: community

On Thu, Sep 19, 2002 at 10:52:30PM +0400, grimnir wrote:
> Как работает как AD на Win2k-сервер понятно и опробовано, очень
> здорово:) сила, мощь, власть и удобство. Одно только управление всем
> доменом с любого Win2k компа чего стоит.
Ничего на самом деле здорового в этом нет. Сама реализация имеет очень
отвратительные свойства. Одно из них, например, позволяет, пользуясь
только привилегиями машинной учетной записи, устроить Denial of Service
любой Windows 2000/XP с любым сервис-паком.

> А в самбе мне не удалось почему то. Может читал плохо. сразу вопрос по
> теме в ADS-HowTo напрямую не указано, что самба теперь может выступать
> как AD server, но и не сказано, то  что не может. Так только клиент
> или  и сервер тоже?
Только клиент. Работа на серверной функциональностью сейчас идет
совместными усилиями IBM, Quantum, PADL Software и еще целого ряда
организаций. Кое-какие наработки уже есть.

> в керберос по умолчанию, как я понял используется Triple-DES, какое
> шифрование используется в SMB не в курсе, хотя может в /etc/krb.conf
> надо прописывать и для самбы как для рлогин всяких отдельные секции с
> параметрами [rlogin] [rsh] и т.д.
Самба сама указывает в GSSAPI, какие TGT требуются. Фактически, из
krb5.conf нужен только один или два параметра, а скоро для клиента вообще
ничего не надо будет.


> Да и багрепорт к kerberos, правда он к месту если AltLinux Team компилят
> бинарники сами.  Бага в том, что файл профиля записывается в
Естественно, сами.

> /etc/krb.conf по дефолту как profile=/var/lib/kerberos/krb5*/*.conf (где
> звездочки я прост сейчас не помню точное написание в этих местах), хм
> записываться то он конечно пишется, а вот только реально именование
> файла конфига профиля жестко зашито в бинарник  и есть оно
> /var/kerberos/* в общем то же самое что и по  дефолту в конфиге но без
> /lib/.  Очень я долго гадал по чему же все что в профиле я пишу
> пропадает в никуда, однако вот оно.
Это касается KDC? Исправлю. 
-- 
/ Alexander Bokovoy
---
Th' MIND is the Pizza Palace of th' SOUL


^ permalink raw reply	[flat|nested] 20+ messages in thread

* Re: [Comm] samba3 as PDC & Win2K
  2002-09-20  7:01     ` Alexander Bokovoy
@ 2002-09-20  7:25       ` Anton
  2002-09-20  7:34         ` Alexander Bokovoy
  2002-09-20  8:28         ` aen
  2002-09-23 23:18       ` Re[2]: " Alexey Borovskoy
  1 sibling, 2 replies; 20+ messages in thread
From: Anton @ 2002-09-20  7:25 UTC (permalink / raw)
  To: community

On Friday 20 September 2002 11:01, you wrote:
> On Thu, Sep 19, 2002 at 10:52:30PM +0400, grimnir wrote:
> > Как работает как AD на Win2k-сервер понятно и опробовано, очень
> > здорово:) сила, мощь, власть и удобство. Одно только управление всем
> > доменом с любого Win2k компа чего стоит.
>
> Ничего на самом деле здорового в этом нет. Сама реализация имеет очень
> отвратительные свойства. Одно из них, например, позволяет, пользуясь
> только привилегиями машинной учетной записи, устроить Denial of Service
> любой Windows 2000/XP с любым сервис-паком.
Да, конечно, может реализация и страдает, но открывающиеся возможности:)
<skip>


^ permalink raw reply	[flat|nested] 20+ messages in thread

* Re: [Comm] samba3 as PDC & Win2K
  2002-09-20  7:25       ` Anton
@ 2002-09-20  7:34         ` Alexander Bokovoy
  2002-09-20  8:28         ` aen
  1 sibling, 0 replies; 20+ messages in thread
From: Alexander Bokovoy @ 2002-09-20  7:34 UTC (permalink / raw)
  To: community

On Fri, Sep 20, 2002 at 11:25:39AM +0400, Anton wrote:
> On Friday 20 September 2002 11:01, you wrote:
> > On Thu, Sep 19, 2002 at 10:52:30PM +0400, grimnir wrote:
> > > Как работает как AD на Win2k-сервер понятно и опробовано, очень
> > > здорово:) сила, мощь, власть и удобство. Одно только управление всем
> > > доменом с любого Win2k компа чего стоит.
> >
> > Ничего на самом деле здорового в этом нет. Сама реализация имеет очень
> > отвратительные свойства. Одно из них, например, позволяет, пользуясь
> > только привилегиями машинной учетной записи, устроить Denial of Service
> > любой Windows 2000/XP с любым сервис-паком.
> Да, конечно, может реализация и страдает, но открывающиеся возможности:)
Да уж. Администратору очень понравятся возможность с любой машины в домене
положить любую другую в этом и других доверительных доменах. Особенно ему
понравится "укладывание" его собственного сервера с изведением на нет
дискового пространства на этой машине или чтение конфидециальной
информации.

А так это, конечно, технологический прорыв.

-- 
/ Alexander Bokovoy
---
"The wages of sin are death; but after they're done taking out taxes,
it's just a tired feeling:"


^ permalink raw reply	[flat|nested] 20+ messages in thread

* Re: [Comm] samba3 as PDC & Win2K
  2002-09-20  7:25       ` Anton
  2002-09-20  7:34         ` Alexander Bokovoy
@ 2002-09-20  8:28         ` aen
  1 sibling, 0 replies; 20+ messages in thread
From: aen @ 2002-09-20  8:28 UTC (permalink / raw)
  To: community

Anton wrote:

>On Friday 20 September 2002 11:01, you wrote:
>  
>
>>On Thu, Sep 19, 2002 at 10:52:30PM +0400, grimnir wrote:
>>    
>>
>>>Как работает как AD на Win2k-сервер понятно и опробовано, очень
>>>здорово:) сила, мощь, власть и удобство. Одно только управление всем
>>>доменом с любого Win2k компа чего стоит.
>>>      
>>>
>>Ничего на самом деле здорового в этом нет. Сама реализация имеет очень
>>отвратительные свойства. Одно из них, например, позволяет, пользуясь
>>только привилегиями машинной учетной записи, устроить Denial of Service
>>любой Windows 2000/XP с любым сервис-паком.
>>    
>>
>Да, конечно, может реализация и страдает, но открывающиеся возможности:)
><skip>
>  
>
Главная из открывающихся возможностей -- возможность устроить DoS.
Нужна ли новая функциональность, если ее реализация содержит дыру в защите?
Ответ MS -- всегда утвердительный.
Rgrds, AEN

>  
>





^ permalink raw reply	[flat|nested] 20+ messages in thread

* Re[2]: [Comm] samba3 as PDC & Win2K
  2002-09-20  7:01     ` Alexander Bokovoy
  2002-09-20  7:25       ` Anton
@ 2002-09-23 23:18       ` Alexey Borovskoy
  2002-09-24 18:00         ` Alexander Bokovoy
  1 sibling, 1 reply; 20+ messages in thread
From: Alexey Borovskoy @ 2002-09-23 23:18 UTC (permalink / raw)
  To: Alexander Bokovoy

Добрый день.

Вы писали 20 сентября 2002 г., 19:01:46:

AB> On Thu, Sep 19, 2002 at 10:52:30PM +0400, grimnir wrote:

AB> Ничего на самом деле здорового в этом нет. Сама реализация имеет очень
AB> отвратительные свойства. Одно из них, например, позволяет, пользуясь
AB> только привилегиями машинной учетной записи, устроить Denial of Service
AB> любой Windows 2000/XP с любым сервис-паком.

А каким образом?

>> А в самбе мне не удалось почему то. Может читал плохо. сразу вопрос по
>> теме в ADS-HowTo напрямую не указано, что самба теперь может выступать
>> как AD server, но и не сказано, то  что не может. Так только клиент
>> или  и сервер тоже?
AB> Только клиент. Работа на серверной функциональностью сейчас идет
AB> совместными усилиями IBM, Quantum, PADL Software и еще целого ряда
AB> организаций. Кое-какие наработки уже есть.

А где можно посмотреть?

AB> Самба сама указывает в GSSAPI, какие TGT требуются. Фактически, из
AB> krb5.conf нужен только один или два параметра, а скоро для клиента вообще
AB> ничего не надо будет.

А можно по-подробнее?

----
SY,
Алексей.

^ permalink raw reply	[flat|nested] 20+ messages in thread

* Re: [Comm] samba3 as PDC & Win2K
  2002-09-23 23:18       ` Re[2]: " Alexey Borovskoy
@ 2002-09-24 18:00         ` Alexander Bokovoy
  0 siblings, 0 replies; 20+ messages in thread
From: Alexander Bokovoy @ 2002-09-24 18:00 UTC (permalink / raw)
  To: community

On Tue, Sep 24, 2002 at 11:18:24AM +1200, Alexey Borovskoy wrote:
> Добрый день.
> 
> Вы писали 20 сентября 2002 г., 19:01:46:
> 
> AB> On Thu, Sep 19, 2002 at 10:52:30PM +0400, grimnir wrote:
> 
> AB> Ничего на самом деле здорового в этом нет. Сама реализация имеет очень
> AB> отвратительные свойства. Одно из них, например, позволяет, пользуясь
> AB> только привилегиями машинной учетной записи, устроить Denial of Service
> AB> любой Windows 2000/XP с любым сервис-паком.
> А каким образом?
Подробности пока рассказать не могу. Дыра маленькая, окно ее существования
в природе тоже мало -- время присоединения в домен -- но есть способ
эксплуатации, не требующий наличия этого окна.

 
> >> А в самбе мне не удалось почему то. Может читал плохо. сразу вопрос по
> >> теме в ADS-HowTo напрямую не указано, что самба теперь может выступать
> >> как AD server, но и не сказано, то  что не может. Так только клиент
> >> или  и сервер тоже?
> AB> Только клиент. Работа на серверной функциональностью сейчас идет
> AB> совместными усилиями IBM, Quantum, PADL Software и еще целого ряда
> AB> организаций. Кое-какие наработки уже есть.
> 
> А где можно посмотреть?
На CIFS2002 IBM обещала отдать имеющийся код как только получится. У них
есть определенный процесс, включающий в том числе и итерации с участием
юристов. Но это еще не полноценный сервер, а прототип.

> 
> AB> Самба сама указывает в GSSAPI, какие TGT требуются. Фактически, из
> AB> krb5.conf нужен только один или два параметра, а скоро для клиента вообще
> AB> ничего не надо будет.
> 
> А можно по-подробнее?
Могу только отправить в исходники Samba 3.0, source/libads/*

-- 
/ Alexander Bokovoy
---
It just doesn't seem right to go over the river and through the woods
to Grandmother's condo.


^ permalink raw reply	[flat|nested] 20+ messages in thread

* Re: [Comm] samba3 as PDC & Win2K
  2002-09-19 20:41   ` Re[2]: " grimnir
@ 2002-12-06 14:49     ` Vyacheslav Garonin
  0 siblings, 0 replies; 20+ messages in thread
From: Vyacheslav Garonin @ 2002-12-06 14:49 UTC (permalink / raw)
  To: community

grimnir пишет:

>Hello Andrew,
>
>Friday, September 20, 2002, 12:29:13 AM, you wrote:
>
>AG> 19 Сентябрь 2002 16:30, Anton wrote:
>AG> <skip>
>  
>
>>>Когда пытаюсь присоеденить Win2k к домену то после того как
>>>Win2k спрашивает логин:пароль пользователя который может
>>>добавлять к домену выдает сообщение дословно:
>>>"Для задданного сеанса входа в систему отсутствует раздел
>>>сеанса пользователя" Что бы это могло значить? И как же лечить
>>>это? два дня уже бьюсь и все бестолку.
>>>Может кто сталкивался.
>>>      
>>>
>AG> Чисто эмпирически: попробуйте присоединиться к домену именно как 
>AG> root, добавив его в smbpasswd. Мне только так удалось. Понимаю, 
>AG> что не здорово, но пока руки не доходили выяснить как 
>AG> идеологически правильно.
>AG> <skip>
>
>В исходном сообщении было указано что пользователь от имени которого я
>пытаюсь добавить в домен замапен на рута. Хотя и напрямую рутом
>пробовал тоже, не помогает.
>Самое интересное,  что я даже не могу проникнуть в смысл этого
>сообщения - "Для заданного сеанса входа в систему отсутствует раздел
>сеанса пользователя"
>
>  
>
Страная мысль : проверьте куда указывает путь к каталогу, где винда 
любит держать пользовательский Профиль и достаточно ли там места и прав. 
На 2.х самбе я как-то наехал на подобное. По идее (М$) в разделе сеанса 
хранятся текущие данные сеанса ( иногда даже ключи от ssh :)) )

-- 
== В действительности все обстоит совершенно иначе чем на самом деле. ==
С уважением, Вячеслав.
System administrator Itos Ltd.
VVG-RIPE
UIN 36456442





^ permalink raw reply	[flat|nested] 20+ messages in thread

end of thread, other threads:[~2002-12-06 14:49 UTC | newest]

Thread overview: 20+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2002-09-19 12:30 [Comm] samba3 as PDC & Win2K Anton
2002-09-19 18:20 ` "Алексей Любимов"
2002-09-19 18:33   ` aen
2002-09-19 18:37     ` "Алексей Любимов"
2002-09-19 18:42       ` aen
2002-09-19 18:44       ` Alexander Bokovoy
2002-09-19 18:52   ` Re[2]: " grimnir
2002-09-19 18:55     ` aen
2002-09-19 19:00       ` Re[2]: " grimnir
2002-09-20  5:51         ` Artem Pastuchov
2002-09-20  7:01     ` Alexander Bokovoy
2002-09-20  7:25       ` Anton
2002-09-20  7:34         ` Alexander Bokovoy
2002-09-20  8:28         ` aen
2002-09-23 23:18       ` Re[2]: " Alexey Borovskoy
2002-09-24 18:00         ` Alexander Bokovoy
2002-09-20  5:58   ` Mike
2002-09-19 20:29 ` Andrew Grechko
2002-09-19 20:41   ` Re[2]: " grimnir
2002-12-06 14:49     ` Vyacheslav Garonin

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git