thr3ads.net - samba - [Samba] access is denied to the Windows share folder because of the ticket kerberos [Mar 2018]

If this information is useful, please help other people find it:
Share via:
denis.shigapov
2018-Mar-22 12:12 UTC
[Samba] access is denied to the Windows share folder because of the ticket kerberos

The client can not access the Windows Share after authorization on samba DC

samba_dc_server: samba 4.7.6 krb5-libs 1.15.2-7
windows client: windows7 
windows_file_server: windows server 2008


/var/log/samba/mit_kdc.log

мар 22 15:43:49 samba_dc_server krb5kdc[17891](info): commencing operation
мар 22 15:43:56 samba_dc_server krb5kdc[17891](info): AS_REQ (6 etypes {18 17 23
24 -135 3}) 10.2.1.12: NEEDED_PREAUTH: vas.lah at example.ru for krbtgt/example
.ru at example.ru, Additional pre-authentication required
мар 22 15:43:56 samba_dc_server krb5kdc[17891](info): closing down fd 20
мар 22 15:43:56 samba_dc_server krb5kdc[17891](info): AS_REQ (6 etypes {18 17 23
24 -135 3}) 10.2.1.12: ISSUE: authtime 1521715436, etypes {rep=18 tkt=18
ses=18}, vas.lah at example.ru for krbtgt/example.ru at example.ru
мар 22 15:43:56 samba_dc_server krb5kdc[17891](info): closing down fd 20
мар 22 15:43:56 samba_dc_server krb5kdc[17891](info): TGS_REQ (5 etypes {18 17
23 24 -135}) 10.2.1.12: ISSUE: authtime 1521715436, etypes {rep=18 tkt=18
ses=18}, vas.lah at EXAMPLE.RU for host/windows_workstation.example.ru at
EXAMPLE.RU
мар 22 15:43:56 samba_dc_server krb5kdc[17891](info): closing down fd 20
мар 22 15:43:56 samba_dc_server krb5kdc[17891](info): TGS_REQ (5 etypes {18 17
23 24 -135}) 10.2.1.12: ISSUE: authtime 1521715436, etypes {rep=18 tkt=18
ses=18}, vas.lah at EXAMPLE.RU for cifs/windows_file_server.example.ru at
EXAMPLE.RU
мар 22 15:43:56 samba_dc_server krb5kdc[17891](info): closing down fd 20
мар 22 15:43:56 samba_dc_server krb5kdc[17891](info): TGS_REQ (1 etypes {18})
10.2.1.12: ISSUE: authtime 1521715436, etypes {rep=18 tkt=18 ses=18}, vas.lah at
E
XAMPLE.RU for krbtgt/EXAMPLE.RU at EXAMPLE.RU
мар 22 15:43:56 samba_dc_server krb5kdc[17891](info): closing down fd 20


klist
kerberos tiket from samba_dc_server 


#0>     Клиент: vas.lah @ EXAMPLE.RU
        Сервер: krbtgt/EXAMPLE.RU @ EXAMPLE.RU
        Тип шифрования KerbTicket: AES-256-CTS-HMAC-SHA1-96
        флаги билета 0x60ad0000 -> forwardable forwarded renewable
pre_authent ok_as_delegate name_canonicalize 0x80000
        Время начала: 3/22/2018 15:49:58 (локально)
        Время окончания:   3/23/2018 1:49:58 (локально)
        Время продления: 3/29/2018 15:49:58 (локально)
        Тип ключа сеанса: AES-256-CTS-HMAC-SHA1-96


#1>     Клиент: vas.lah @ EXAMPLE.RU
        Сервер: krbtgt/EXAMPLE.RU @ EXAMPLE.RU
        Тип шифрования KerbTicket: AES-256-CTS-HMAC-SHA1-96
        флаги билета 0x40e10000 -> forwardable renewable initial pre_authent
name_canonicalize
        Время начала: 3/22/2018 15:49:58 (локально)
        Время окончания:   3/23/2018 1:49:58 (локально)
        Время продления: 3/29/2018 15:49:58 (локально)
        Тип ключа сеанса: AES-256-CTS-HMAC-SHA1-96


#2>     Клиент: vas.lah @ EXAMPLE.RU
        Сервер: cifs/samba_dc_server.example.ru @ EXAMPLE.RU
        Тип шифрования KerbTicket: AES-256-CTS-HMAC-SHA1-96
        флаги билета 0x40ad0000 -> forwardable renewable pre_authent
ok_as_delegate name_canonicalize 0x80000
        Время начала: 3/22/2018 15:49:58 (локально)
        Время окончания:   3/23/2018 1:49:58 (локально)
        Время продления: 3/29/2018 15:49:58 (локально)
        Тип ключа сеанса: AES-256-CTS-HMAC-SHA1-96

kerberos tiket from windows_dc_server 


#0>     Клиент: vas.lah @ EXAMPLE.RU
        Сервер: krbtgt/EXAMPLE.RU @ EXAMPLE.RU
        Тип шифрования KerbTicket: AES-256-CTS-HMAC-SHA1-96
        флаги билета 0x60a00000 -> forwardable forwarded renewable
pre_authent
        Время начала: 3/22/2018 16:57:01 (локально)
        Время окончания:   3/23/2018 2:18:31 (локально)
        Время продления: 3/29/2018 16:18:31 (локально)
        Тип ключа сеанса: AES-256-CTS-HMAC-SHA1-96


#1>     Клиент: vas.lah @ EXAMPLE.RU
        Сервер: krbtgt/EXAMPLE.RU @ EXAMPLE.RU
        Тип шифрования KerbTicket: AES-256-CTS-HMAC-SHA1-96
        флаги билета 0x40e00000 -> forwardable renewable initial pre_authent
        Время начала: 3/22/2018 16:18:31 (локально)
        Время окончания:   3/23/2018 2:18:31 (локально)
        Время продления: 3/29/2018 16:18:31 (локально)
        Тип ключа сеанса: AES-256-CTS-HMAC-SHA1-96


#2>     Клиент: vas.lah @ EXAMPLE.RU
        Сервер: cifs/windows_file_server.example.ru @ EXAMPLE.RU
        Тип шифрования KerbTicket: AES-256-CTS-HMAC-SHA1-96
        флаги билета 0x40a40000 -> forwardable renewable pre_authent
ok_as_delegate
        Время начала: 3/22/2018 16:57:01 (локально)
        Время окончания:   3/23/2018 2:18:31 (локально)
        Время продления: 3/29/2018 16:18:31 (локально)
        Тип ключа сеанса: AES-256-CTS-HMAC-SHA1-96


What tiket flags:  name_canonicalize 0x80000 ???
samba - Mar 2018 - access is denied to the Windows share folder because of the ticket kerberos

[Samba] access is denied to the Windows share folder because of the ticket kerberos
