Сломался логин в домен после обновления samba в debian wheezy

Не спешите обновлять samba до 2:3.6.6-6+deb7u9 в Debian Wheezy. Эта версия содержит портированное исправление уязвимости badlock, но после обновления перестает работать логин в домен: "The trust relationship between this workstation and the primary domain failed". В интернете можно найти несколько упоминаний этой проблемы (раз, два), но рабочего решения я пока не видел.

Попытки вывести станцию из домена и ввести заново проходят без ошибок, но проблему не решают. При этом сетевые шары с samba сервера открываются без проблем.

В лог samba пишутся ошибки вида:

rpc_server/netlogon/srv_netlog_nt.c:976(_netr_ServerAuthenticate3)
  _netr_ServerAuthenticate3: netlogon_creds_server_check failed. Rejecting auth request from client WORKSTATION machine account WORKSTATION$

Меня смущает тот факт, что подобные ошибки были задолго до обновления samba, но логиниться в домен не мешали.

В качестве временного решения откатил samba до 2:3.6.6-6+deb7u7.

Получение списка master browsers и logon servers для домена

Имеется NT4-style домен SAMDOM под управлением Samba 3.6.x. Чтобы посмотреть список master browsers и logon servers для этого домена подойдет команда:

$ nmblookup 'SAMDOM#1B' 'SAMDOM#1C'
192.168.0.23 SAMDOM<1b>
192.168.0.23 SAMDOM<1c>
192.168.0.111 SAMDOM<1c>

Это помогло мне найти причину внезапно отвалившегося входа в домен под Windows 7 (грузился сохраненный профиль).

Вражеским девайсом (192.168.0.111) оказался QNAP NAS который будучи подключенным к LDAP авторизации внезапно решил, что он заодно и logon server для домена SAMDOM. Найти способа оторвать этот интеллект, оставив авторизацию пользователей через LDAP, в настройках мне не удалось.

В качестве костыля пришлось подредактировать скрипт /etc/init.d/smb.sh и запретить настраивать "domain logons = yes" при старте сервиса. Но это поможет только до первой перезагрузки NAS.

Критическая уязвимость в SAMBA 3.0.x - 3.6.3 (включительно)

Наткнулся в новостях на анонс CVE-2012-1182 - наверное самой критической уязвимости в SAMBA, найденной за всю историю существования проекта. Эта уязвимость связана с неверной обработкой запросов RPC и позволяет любому не авторизованному злоумышленнику удаленно выполнить код с привилегиями "root".

В качестве частичного решения проблемы предлагается настроить опцию "hosts allow", но это не поможет в случае подмены ip адреса. Для всех версий SAMBA уже выпущены патчи, но многие дистрибутивы еще не подготовили обновления.

На данный момент обновления готовы только у RHEL (судя по закрытому репорту в багзилле). Надеюсь, что обновления от CentOS и Debian не заставят себя ждать.

Stay tuned так сказать!

UPDATE : Выпущены обновления для RHEL/CentOS (в этот раз centos радует своей оперативностью)