Am 09.11.2021 wurde für alle aktuellen Samba-Versionen (4.13, 4.14, 4.15) ein Sicherheitsupdate bereitgestellt. Bei dem Update geht es, unter anderem, um die Sicherheit der Kerberos-Tickets. Wenn ein Domänenbenutzer auf einen lokalen Benutzer gemapped wird, kann das dazu führen, dass ein Angreifer zusätzliche Rechte bekommt. Mehr zu der Sicherheitslücke finden sie HIER. Einem gemapptem Domänenbenutzer wird durch das Update diese Möglichkeit genommen sich auf einen lokalen Benutzer zu mappen.
Jetzt ist es aber so, dass der Administrator der Domäne immer auf den root (also UID=0 und GID=0) gemapped wird. Durch das Update verliert der Administrator dadurch sein Rechte. Wenn Sie jetzt z.B. einen Windows-Client in die Domäne aufnehmen, mit dem Administrator, dann wird der join funktionieren, aber der DNS-Eintrag für den Client wird nicht erstellt und mit einer entsprechenden Fehlermeldung quittiert.
Der beste Weg diese Problem zu umgehen ist es, eine AD-Benutzer in die Gruppe „domain admins“ aufzunehmen und das Join nur noch mit diesem Benutzer durchzuführen.
Sollte das aus irgend einem Grund nicht möglich sein, haben Sie immer noch die Möglichkeit den neuen smb.conf Parameter „min domain uid = 0“ zu setzen. Der Standardwert ist hier „1000“. Dann klappt es auch wieder mit dem Administrator. Besser ist aber auf jeden Fall der Weg über den Benutzer in der Gruppe „domain admins“ zu gehen.
Neueste Kommentare