[résolu] pb authentification Linux sur AD

Message par **dsebire** » ven. 13 mars 2015 14:15

Mademoiselle, Messieurs Bonjour.

j'ai un souci d'authentification de tous mes postes linux sur mon AD
donc certainement lié a une MAJ sur les DC ou sur la couche samba sur les postes.

ce qui est très bizarre, c'est que sous certaine conditions, ça marche !

exemple: login a partir de ssh sur une machine:

Mar 13 12:27:24 interco12 sshd[3120]: pam_winbind(sshd:account): user 'projet' granted access
Mar 13 12:27:24 interco12 sshd[3120]: Accepted password for projet from 192.168.1.60 port 56876 ssh2
Mar 13 12:27:24 interco12 sshd[3120]: pam_unix(sshd:session): session opened for user projet by (uid=0)
Mar 13 12:27:24 interco12 sshd[3120]: pam_unix(sshd:session): session opened for user projet by (uid=0)
Mar 13 12:27:33 interco12 sshd[3120]: pam_unix(sshd:session): session closed for user projet
Mar 13 12:27:33 interco12 sshd[3120]: pam_unix(sshd:session): session closed for user projet

ça marche !!!
donc on met de coté tout ce qui est parametrage du lien AD linux

exemple: login a partir de la console de la même machine:

Mar 13 14:03:07 interco12 login[3135]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=projet
Mar 13 14:03:10 interco12 login[3135]: FAILED LOGIN (1) on '/dev/tty1' FOR 'projet', Authentication failure

il n'interroge pas la samba (windbind) pour l'authentification

exemple: login a partir de gnome:

Mar 13 14:05:45 interco12 gdm3][3264]: pam_winbind(gdm3:auth): getting password (0x00000000)
Mar 13 14:05:48 interco12 gdm3][3264]: pam_winbind(gdm3:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_AUTH_ERR (7), NTSTATUS: NT_STATUS_LOGON_FAILURE, Error message was: Logon failure
Mar 13 14:05:48 interco12 gdm3][3264]: pam_winbind(gdm3:auth): user 'projet' denied access (incorrect password or invalid membership)
Mar 13 14:05:48 interco12 gdm3][3264]: pam_unix(gdm3:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost= user=projet

il interroge bien winbind, mais il a une erreur (pas de bad password ou un truc du genre, juste logon failure, je suis vachement avancé)

un wbinfo -u ou wbinfo -g me retourne bien les users/groupes de l'AD,

ça fonctionnait parfaitement jusqu'à il y a quelques jours.
du coup, je sais pas par ou commencer.....

Merci

Message par **dsebire** » ven. 13 mars 2015 14:52

pour le tuto suivi l'année dernière pour la mise en place:
https://wiki.debian.org/AuthenticatingL ... eDirectory

ya jute la couche samba qui est en 4.X (package sernet)

Message par **dsebire** » ven. 13 mars 2015 14:57

pt'ain je suis sur que ça viens des patch de crosoft de mardi, pour boucher FREAKS.
mes DC ont rebooté cette nuit, et j'ai eu les remontées ce matin.

PB: je peux pas dépatcher les DC, donc faut trouver comment contourner le pb

Message par **gizmo78** » ven. 13 mars 2015 15:04

tu peux pas patcher les DC? le patch freak?

Message par **dsebire** » ven. 13 mars 2015 15:16

justement, ils sont patchés depuis cette nuit.
et je suis quasi certain que c'est ça qui me fait chier

Message par **gizmo78** » ven. 13 mars 2015 15:19

à tu peux pas dépatcher! j'ai lu l'inverse

ce patch il règle pas juste les cipher et la descente de version TLS?

Message par **dsebire** » ven. 13 mars 2015 15:28

oui.
j'ai peur que le niveau de cypher actuel soit au dessus de ce que sait gerer les couches samba

root@host12:/etc/samba# wbinfo -a projet
Enter projet's password:
plaintext password authentication failed
Could not authenticate user projet with plaintext password
Enter projet's password:
challenge/response password authentication succeeded

tous les exemples que je vois, le plaintext login fonctionne et pas moi.
par contre challenge/response passe.
vais essayer de forcer challenge response plutôt que le plaintext qui a l'air par défaut.

Message par **gizmo78** » ven. 13 mars 2015 15:29

tu peux lister les cipher utilisé par samba? et ceux du dc?

Message par **dsebire** » ven. 13 mars 2015 15:54

Message par **gizmo78** » ven. 13 mars 2015 16:02

tain :/

tu peux pas forcer un cipher un peu sympa?

Message par **merlin2000fr** » ven. 13 mars 2015 16:09

heu que dit kerberos ? si je me souviens d'un soucis qu'un collègue a eu par le passé cela tournait autour de cela. (une piste comme une autre)

Message par **dsebire** » ven. 13 mars 2015 16:11

kerberos marche bien

root@host12:/etc/samba# kinit projet
Password for projet@XXXX.LOCAL:
root@interco12:/etc/samba# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: projet@XXXX.LOCAL

Valid starting Expires Service principal
13/03/2015 16:10:56 14/03/2015 02:10:58 krbtgt/XXXX.LOCAL@XXXX.LOCAL
renew until 14/03/2015 16:10:56

Message par **dsebire** » ven. 13 mars 2015 16:11

tain :/

tu peux pas forcer un cipher un peu sympa?

j'ai rien trouvé encore.

Message par **gizmo78** » ven. 13 mars 2015 16:47

peut être une connerie mais t'as testé avec s_client pour voir si ton auth peut passer en non plain?

http://www.math.ucla.edu/~jimc/document ... -1401.html
http://www.oreilly.com/openbook/samba/book/appa_05.html (regarde le 5.12)
https://technet.microsoft.com/en-us/lib ... 5-031.aspx
https://msdn.microsoft.com/en-us/librar ... 85%29.aspx

Message par **dsebire** » ven. 13 mars 2015 17:13

rien a voir avec du SSL

Message par **dsebire** » lun. 16 mars 2015 11:46

trouvé.
mais pas résolu

http://support.microsoft.com/en-us/kb/3002657

SMB/SMB2/SMB3 clients may experience logon failures to an EMC Isilon cluster when they authenticate by using the NTLMSSP (NT LAN Manager Security Support Provider) provider. Data that resides on EMC Isilon clusters is unavailable to SMB/SMB2/SMB3 clients. This results in data unavailable (DU) failures. Authentication failures may also affect clients that try to access data through HTTP-based protocols such as RAN… To work around this issue, use the Kerberos protocol to authenticate Active Directory domain users.

Suite à la mise à jour effective de MS KB3002657 de Windows server délivrée par Microsoft lors du dernier Tuesday Patch, les authentifications NTLM ou utilisant le portail captif protégé par NTLM ne pourront plus être pratiquées. Ce problème a été référencé ce jour sur le site support de Microsoft.

Microsoft préconise d’utiliser le mode d’authentification Kerberos

http://forum.synology.com/enu/viewtopic ... 25&t=98125

hors de question que je désinstalle le patch sur les DC.

du coup, je cherche a passer par un autre moyen pour l'authentification (kerberos, c'est pas gagné)....

Message par **dsebire** » lun. 16 mars 2015 12:20

bon, en fait, ça va finir par une désinstalle du patch quand même.
ya aussi un souci d'accès a l'annuaire a partir des copieurs

comme j'ai mis du SSO un peu partout, je pense qu'on va avoir d'autres surprises.

Message par **dsebire** » mar. 17 mars 2015 08:07

c'était bien ce put@in de patch.
desinstall hier soir, reboot dans la nuit, ce matin le copieur revoit l'annuaire, et les machines linux se connectent du premier coup.

font chier crosoft

Message par **kalistyan** » mar. 17 mars 2015 08:42

Finalement pas de dommage collatéral ?

Message par **dsebire** » mar. 17 mars 2015 09:30

bah non, mais une faille béante sur les DC, qui était corrigée par ce patch.

This security update resolves a privately reported vulnerability in Windows. The vulnerability could allow spoofing if an attacker who is logged on to a domain-joined system runs a specially crafted application that could establish a connection with other domain-joined systems as the impersonated user or system. The attacker must be logged on to a domain-joined system and be able to monitor network traffic.

bon, ça peut se passer qu'en interne mais comme j'ai des postes en accès libre (justement ceux sous linux qui ne pouvaient plus se connecter), ça reste assez sensible.
pour vous donner le niveau, j'ai déjà retrouvé des nœuds TOR ou des clients torrent/emule sur ces machines

Message par **c0bw3b** » mar. 17 mars 2015 11:32

Joli! Les "services" que les users s'installent au boulot.

Et moche de MS de péter l'authent' NTLM pour arriver à corriger des failles.
C'est que NTLMv1 j'imagine ? Pas moyen de faire du NTLMv2 pour ton copieur et tes machines libre-service ?
Au pire à l'aide d'un proxy qui fera l'authent' NTLMv2. En software sur tes Linux : http://cntlm.sourceforge.net/
Et le copieur tu lui colle un Raspi au cul.

Sinon, la faille Windows qui reste non corrigée elle est restée privée ou elle est un minimum documentée ? Genre ça serait bien d'avoir un IDS/IPS en frontal de tes DC pour alerter voire bloquer une tentative d'exploit.

Message par **dsebire** » mar. 17 mars 2015 12:08

c'est bien du V1, le V2 n'est pas supporté encore sur linux.

le pb, c'est que le V1 est simple et est facilement implémenté, donc c'est utilisé sur plein de trucs.

bref.... crosoft a de toute façon annoncé la mort du V1 sous peu (mais pas de date), mais la ils l'ont carrément bloqué, sans prévenir.

pour l'attaque, c'est Man In the Middle, il faut que le "pirate" soit logué, écoute le trafic pour récupérer des tickets d'authentification pour ensuite spoofer l'identité de l'autre et acquérir ses habilitations

les machines en accès libre sont sur un LAN dédié, ou seul un user avec habilitations limitées peut se connecter.

risque limité mais présent.

Message par **dsebire** » mar. 17 mars 2015 16:22

c'est bizarre, je cherche entre 2 autres soucis sur les forums samba, j'ai rien trouvé de similaire a mon pb.
soit les autres n'ont pas encore déployé le patch de crosoft, soit ils utilisent samba en serveur AD (donc pas la même conf que moi)

Message par **gizmo78** » mar. 17 mars 2015 16:23

t'as fais une remontée de bug?

Message par **dsebire** » mar. 17 mars 2015 16:30

chez crosoft ????

pour info, le patch a été republié cette nuit, sans changement de version, et sans aucune doc.
du coup, je sais pas si ça corrige ou non l'authentification par des clients tierce.
http://www.infoworld.com/article/289781 ... 02657.html
https://technet.microsoft.com/en-us/lib ... 5-027.aspx