Chúng tôi đang sử dụng Ubuntu 20.04 LTS trên một số máy chủ, bao gồm Samba Active Directory DC và Máy chủ tệp Samba sử dụng xác thực winbind.
Vào ngày 12 tháng 11, một bản nâng cấp không giám sát (liên quan đến USN-5142-1) đã nâng cấp Samba 4.11.6 của chúng tôi lên 4.13.14 trên các máy chủ này và điều đó đã khiến chúng tôi gặp rất nhiều rắc rối.
1/ tùy chọn vfs_full_audit đã thay đổi ( https://bugs.launchpad.net/ubuntu/+source/samba/+orms/1950803 )
Một số tùy chọn kiểm tra không còn hợp lệ nữa và quá trình kiểm tra bắt đầu ghi lại mọi thứ .. /var của chúng tôi bùng nổ ngay lập tức.
Điều này đã được khắc phục bằng cách thay đổi tùy chọn vfs_audit trong smb.conf
2/ Người dùng AD có Unix Attribute uidnumber < 1000 không thể truy cập chia sẻ tệp Samba nữa.
Vấn đề lớn vì hầu hết người dùng của chúng tôi đã nghỉ làm gần một ngày.. có thể liên quan đến tham số chung "min domain uid" được đặt thành 1000 theo mặc định.
Trong lúc gấp rút, chúng tôi đã khắc phục sự cố bằng cách thay đổi uidnumber của tất cả người dùng thành các giá trị trên 1000.
Thật kỳ lạ, người dùng AD vẫn có thể SSH trên máy chủ bằng cách sử dụng xác thực winbind và unix uid <1000.
3/ Các vấn đề với cấu hình SMB gắn kết CIFS và Máy in
trước khi nâng cấp, máy in và giá treo CIFS đã sử dụng tên người dùng của chúng để xác thực trên Máy chủ tệp Samba.
Kể từ khi nâng cấp, dường như bắt buộc phải chỉ ra tên miền (thêm tùy chọn domain=MYDOMAIN cho mount.cifs và đặt tên người dùng thành MYDOMAIN\user cho máy in)
Tiền tố tên miền này từng được ẩn nhờ tùy chọn "winbind sử dụng tên miền mặc định = có".
Nếu có ai biết cách khắc phục điều này, chúng tôi sẽ thực sự quan tâm!
4/ Tài khoản "Quản trị viên" tích hợp sẵn của AD không còn có thể truy cập vào máy chủ tệp Samba.Tài khoản này được ánh xạ tới "root" trên Máy chủ tệp.
Thông báo lỗi liên quan đến một số mã thông báo dữ liệu không hợp lệ, giống như người dùng đã bị từ chối trong 2/.
Tài khoản này không có Thuộc tính Unix nhưng nó luôn hoạt động theo cách đó. tôi không chắc mình có nên thêm nó vào không. Tôi không thích thay đổi tài khoản cài sẵn.
Tại thời điểm này, chúng tôi vẫn đang điều tra và rất hoan nghênh sự giúp đỡ của bạn!
Nói chung, tôi phải nói rằng đây là một trải nghiệm khá đau buồn từ các bản nâng cấp không được giám sát, chúng tôi hiện đang cố gắng hết sức để quay lại đúng hướng với thiết lập của mình.
Cảm ơn vì đã đọc.
Người giới thiệu
https://ubuntu.com/security/notices/USN-5142-1