Problema de relacion de confianza al migrar un PDC de Samba3 a Samba4 en modo clasico

Discussion:

OddieX

2018-09-17 18:12:04 UTC

Estimados, ando con un problema al migrar un PDC en Samba3 con
OpenLDAP a un Samba4 (en modo clasico) con OpenLDAP.

El problema es que, cuando uno equipos al dominio me funciona todo
bien, pero al querer loguearme con los equipos viejos me tira error de
relacion de confianza y en los logs me tira lo siguiente:

[2018/09/17 15:05:44.248957, 2]
../source3/rpc_server/samr/srv_samr_nt.c:3998(_samr_LookupDomain)
Returning domain sid for domain DOMAINX ->
S-1-5-21-1166963140-1883575917-1232828436
[2018/09/17 15:05:44.249785, 2]
../source3/passdb/pdb_ldap.c:530(init_sam_from_ldap)
init_sam_from_ldap: Entry found for user: notebook1$
[2018/09/17 15:05:44.251133, 2]
../source3/passdb/pdb_ldap.c:2386(init_group_from_ldap)
init_group_from_ldap: Entry found for group: 514
[2018/09/17 15:05:44.252376, 2]
../libcli/auth/credentials.c:403(netlogon_creds_server_check_internal)
credentials check failed
[2018/09/17 15:05:44.252417, 0]
../source3/rpc_server/netlogon/srv_netlog_nt.c:1010(_netr_ServerAuthenticate3)
_netr_ServerAuthenticate3: netlogon_creds_server_check failed.
Rejecting auth request from client NOTEBOOK1 machine account
NOTEBOOK1$

Migre el localsid y el domainsid, migre el arbol de LDAP y puedo unir
maquinas al nuevo dominio, pero al querer loguearme con las maquinas
viejas me tira este error...

Alguien sabe que puede ser? Ya me estoy volviendo loco y no encuentro
la causa! Y el tema es que tengo 1000 maquinas, no puedo sacarlas del
dominio y volverlas a unir, deberia ser transparente el cambio del
PDC!

Saludos y gracias de antemano!

Galvatorix Torixgalva

2018-09-17 21:35:24 UTC

Permalink

Hola,

ains, los PDC.... con lo que gusta tenerlos y lo puÃ±eteros que pueden ser xD

y encima una red con 1000 maquinas, nada menos. Eso no se tiene asi como
asi :)

Bueno, asumo que estas migrando con el metodo recomendado oficialmente, ya
que si no.... vete a saber.

Por lo que pones.... Â¿podria ser que estes intentando optimizar demasiado?.
Ten en cuenta que habitualmente existen varios niveles de optimizacion y
cuando nos pasamos de la raya pueden salir errores para volverse loco.

En debian podemos optimizar hasta cierto punto, pero tenemos que recordar
que debian llega hasta donde llega. Cuando compilas en debian te arriesgas
a lo que te arriesgas. A veces puede ser mejor optimizar menos, pero que
funcione.

Un saludo.

OddieX

2018-09-17 22:14:42 UTC

Permalink

El lun., 17 sept. 2018 a las 18:36, Galvatorix Torixgalva

Hola,
ains, los PDC.... con lo que gusta tenerlos y lo puñeteros que pueden ser xD
y encima una red con 1000 maquinas, nada menos. Eso no se tiene asi como asi :)
Bueno, asumo que estas migrando con el metodo recomendado oficialmente, ya que si no.... vete a saber.
Por lo que pones.... ¿podria ser que estes intentando optimizar demasiado?. Ten en cuenta que habitualmente existen varios niveles de optimizacion y cuando nos pasamos de la raya pueden salir errores para volverse loco.
En debian podemos optimizar hasta cierto punto, pero tenemos que recordar que debian llega hasta donde llega. Cuando compilas en debian te arriesgas a lo que te arriesgas. A veces puede ser mejor optimizar menos, pero que funcione.
Un saludo.

Gracas por responder, realmente no optimize, lo que hice fue migrar el
localsid y el dominsid, la db de ldap y el smb.conf como estaba en el
server viejo...

El tema es que agrego maquinas y funciona todo bien, pero si quiero
loguearme con equipos que ya estaban unidos no me deja y me tira esos
errores!

Ya no se que mas probar realmente!

Galvatorix Torixgalva

2018-09-18 06:18:37 UTC

Permalink

Hola,

hicistes la migracion tal y como estaba en el servidor antiguo. Â¿Hicistes
la migracion como se indicaba en el manual de samba 4?.

Lo que dices de que no puedes loguearte en equipos que ya estaban unidos me
suena a eso, algo ha ido mal en la migracion. Creo que lo mejor es que
empieces por mirarte el manual de samba 4.

Ten en cuenta que no es lo mismo una migracion "menor" (como por ejemplo de
3.0 a 3.1) que una migracion mayor (como por ejemplo de 3.0 a 4.0). Una
migracion mayor habitualmente indica cambios de cierta importancia, a veces
incluso cambios drasticos que pueden originar errores complicados (como por
ejemplo en tu caso) si no se hace todo bien.

Saludos.

Post by OddieX
El lun., 17 sept. 2018 a las 18:36, Galvatorix Torixgalva

Post by Galvatorix Torixgalva
Hola,
ains, los PDC.... con lo que gusta tenerlos y lo puÃ±eteros que pueden

ser xD

Post by Galvatorix Torixgalva
y encima una red con 1000 maquinas, nada menos. Eso no se tiene asi como

asi :)

Post by Galvatorix Torixgalva
Bueno, asumo que estas migrando con el metodo recomendado oficialmente,

ya que si no.... vete a saber.

Post by Galvatorix Torixgalva
Por lo que pones.... Â¿podria ser que estes intentando optimizar

demasiado?. Ten en cuenta que habitualmente existen varios niveles de
optimizacion y cuando nos pasamos de la raya pueden salir errores para
volverse loco.

Post by Galvatorix Torixgalva
En debian podemos optimizar hasta cierto punto, pero tenemos que

recordar que debian llega hasta donde llega. Cuando compilas en debian te
arriesgas a lo que te arriesgas. A veces puede ser mejor optimizar menos,
pero que funcione.

Post by Galvatorix Torixgalva
Un saludo.

Gracas por responder, realmente no optimize, lo que hice fue migrar el
localsid y el dominsid, la db de ldap y el smb.conf como estaba en el
server viejo...
El tema es que agrego maquinas y funciona todo bien, pero si quiero
loguearme con equipos que ya estaban unidos no me deja y me tira esos
errores!
Ya no se que mas probar realmente!

--
Profesor de informÃ¡tica en Tutellus

Tutellus https://www.tutellus.com/perfil/230494/rafael-navarro
Twitter @Galvatorix2017

OddieX

2018-09-18 14:04:55 UTC

Permalink

El mar., 18 sept. 2018 a las 3:19, Galvatorix Torixgalva

Hola,
hicistes la migracion tal y como estaba en el servidor antiguo. ¿Hicistes la migracion como se indicaba en el manual de samba 4?.
Lo que dices de que no puedes loguearte en equipos que ya estaban unidos me suena a eso, algo ha ido mal en la migracion. Creo que lo mejor es que empieces por mirarte el manual de samba 4.
Ten en cuenta que no es lo mismo una migracion "menor" (como por ejemplo de 3.0 a 3.1) que una migracion mayor (como por ejemplo de 3.0 a 4.0). Una migracion mayor habitualmente indica cambios de cierta importancia, a veces incluso cambios drasticos que pueden originar errores complicados (como por ejemplo en tu caso) si no se hace todo bien.
Saludos.

Post by OddieX
El lun., 17 sept. 2018 a las 18:36, Galvatorix Torixgalva

Gracas por responder, realmente no optimize, lo que hice fue migrar el
localsid y el dominsid, la db de ldap y el smb.conf como estaba en el
server viejo...
El tema es que agrego maquinas y funciona todo bien, pero si quiero
loguearme con equipos que ya estaban unidos no me deja y me tira esos
errores!
Ya no se que mas probar realmente!

--
Profesor de informática en Tutellus
Tutellus https://www.tutellus.com/perfil/230494/rafael-navarro

Humm, el problema que mas alla de los cambios de sentencia de samba3 a
samba4, no tiene mayor ciencia la migracion!

Voy a empezar a migrar todo de 0, pero realmente no puedo encontrar
cual es el probelma...

Saludos

Matias Mucciolo

2018-09-18 14:27:23 UTC

Permalink

Post by OddieX
El mar., 18 sept. 2018 a las 3:19, Galvatorix Torixgalva

Hola,
hicistes la migracion tal y como estaba en el servidor antiguo. ¿Hicistes
la migracion como se indicaba en el manual de samba 4?.
Lo que dices de que no puedes loguearte en equipos que ya estaban unidos
me suena a eso, algo ha ido mal en la migracion. Creo que lo mejor es que
empieces por mirarte el manual de samba 4.
Ten en cuenta que no es lo mismo una migracion "menor" (como por ejemplo
de 3.0 a 3.1) que una migracion mayor (como por ejemplo de 3.0 a 4.0).
Una migracion mayor habitualmente indica cambios de cierta importancia, a
veces incluso cambios drasticos que pueden originar errores complicados
(como por ejemplo en tu caso) si no se hace todo bien.
Saludos.

Post by OddieX
El lun., 17 sept. 2018 a las 18:36, Galvatorix Torixgalva

Hola,
ains, los PDC.... con lo que gusta tenerlos y lo puñeteros que pueden ser xD
y encima una red con 1000 maquinas, nada menos. Eso no se tiene asi como asi :)
Bueno, asumo que estas migrando con el metodo recomendado oficialmente,
ya que si no.... vete a saber.
Por lo que pones.... ¿podria ser que estes intentando optimizar
demasiado?. Ten en cuenta que habitualmente existen varios niveles de
optimizacion y cuando nos pasamos de la raya pueden salir errores para
volverse loco.
En debian podemos optimizar hasta cierto punto, pero tenemos que
recordar que debian llega hasta donde llega. Cuando compilas en debian
te arriesgas a lo que te arriesgas. A veces puede ser mejor optimizar
menos, pero que funcione.
Un saludo.

Gracas por responder, realmente no optimize, lo que hice fue migrar el
localsid y el dominsid, la db de ldap y el smb.conf como estaba en el
server viejo...
El tema es que agrego maquinas y funciona todo bien, pero si quiero
loguearme con equipos que ya estaban unidos no me deja y me tira esos
errores!
Ya no se que mas probar realmente!

--
Profesor de informática en Tutellus
Tutellus https://www.tutellus.com/perfil/230494/rafael-navarro

Humm, el problema que mas alla de los cambios de sentencia de samba3 a
samba4, no tiene mayor ciencia la migracion!
Voy a empezar a migrar todo de 0, pero realmente no puedo encontrar
cual es el probelma...
Saludos

hola

ok veo que otro que recibe respuestas sin sentido...
Te recomiendo que veas el tema del parche de seguridad que aplicaron en el
samba y sea la vers 3 y/o 4 para arreglar un tema importante de seguridad
el parche como nombre tiene "badlock"

que version de samba tenes ? andando ? y a que version estas migrando ?
seguro que estas migrando a una version 4.x con el parche aplicado y la
version que esta andando no tiene es parche aplicado..

https://security-tracker.debian.org/tracker/CVE-2016-2118

y aca esta alguien reportando que se rompe la "confianza"
al usar el parche

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=821811

espero que te sirva.
saludos
Matias

OddieX

2018-09-18 14:37:34 UTC

Permalink

El mar., 18 sept. 2018 a las 11:28, Matias Mucciolo