Die Samba 4.17.0-vrystelling word aangebied, wat die ontwikkeling van die Samba 4-tak voortsit met 'n volwaardige implementering van 'n domeinbeheerder en 'n Active Directory-diens wat versoenbaar is met die implementering van Windows 2008 en in staat is om alle weergawes van Windows-kliënte wat deur Microsoft ondersteun word, insluitend Windows 11. Samba 4 is 'n multifunksionele bedienerproduk, wat ook 'n implementering van die lêerbediener, drukdiens en identiteitsbediener (winbind) verskaf.
Sleutelveranderinge in Samba 4.17:
- Werk is gedoen om regressies in die werkverrigting van besige SMB-bedieners uit te skakel wat verskyn het as gevolg van die byvoeging van beskerming teen simskakel-manipulasie-kwesbaarhede. Onder die optimaliserings wat uitgevoer is, word melding gemaak van die vermindering van stelseloproepe wanneer die gidsnaam nagegaan word en nie die gebruik van wekgebeurtenisse tydens die verwerking van mededingende bedrywighede wat tot vertragings lei nie.
- Die vermoë om Samba te bou sonder ondersteuning vir die SMB1-protokol in smbd is voorsien. Om SMB1 te deaktiveer, word die "--sonder-smb1-bediener"-opsie geïmplementeer in die konfigurasiebou-skrip (affekteer slegs smbd; ondersteuning vir SMB1 word in kliëntbiblioteke behou).
- Wanneer MIT Kerberos 1.20 gebruik word, word die vermoë om die Brons Bit-aanval (CVE-2020-17049) teë te werk geïmplementeer deur bykomende inligting tussen die KDC- en KDB-komponente oor te dra. In die verstek Heimdal Kerberos-gebaseerde KDC, is die probleem in 2021 opgelos.
- Wanneer gebou met MIT Kerberos 1.20, ondersteun die Samba-gebaseerde domeinbeheerder nou die Kerberos-uitbreidings S4U2Self en S4U2Proxy, en voeg ook die vermoë by vir Resource Based Constrained Delegation (RBCD). Om RBCD te bestuur, is die 'add-principal' en 'del-principal' subopdragte by die "samba-tool delegation"-opdrag gevoeg. Die verstek Heimdal Kerberos-gebaseerde KDC ondersteun nog nie RBCD-modus nie.
- Die ingeboude DNS-diens bied die vermoë om die netwerkpoort wat versoeke ontvang, te verander (byvoorbeeld om 'n ander DNS-bediener op dieselfde stelsel te laat loop wat sekere versoeke na Samba herlei).
- In die CTDB-komponent, wat verantwoordelik is vir die werking van groepkonfigurasies, is die vereistes vir die sintaksis van die ctdb.tunables-lêer verminder. Wanneer Samba gebou word met die “--with-cluster-support” en “--systemd-install-services” opsies, word die installering van die systemd diens vir CTDB verseker. Die ctdbd_wrapper-skrip is gestaak - die ctdbd-proses word nou direk vanaf die systemd-diens of vanaf 'n init-skrip geloods.
- Die 'nt hash store = never' instelling is geïmplementeer, wat die berging van "naakte" (sonder sout) hashes van Active Directory-gebruikerwagwoorde verbied. In die volgende weergawe sal die verstek 'nt hash store' instelling op "outo" gestel word, waarin die "nooit" modus toegepas sal word as die 'ntlm auth = disabled' instelling teenwoordig is.
- 'n Binding is voorgestel vir toegang tot die smbconf-biblioteek-API vanaf Python-kode.
- Die smbstatus-program implementeer die vermoë om inligting in JSON-formaat uit te voer (geaktiveer met die "-json" opsie).
- Die domeinbeheerder ondersteun die "Beskermde gebruikers"-sekuriteitsgroep, wat in Windows Server 2012 R2 verskyn het en laat nie die gebruik van swak enkripsietipes toe nie (vir gebruikers in die groep, ondersteuning vir NTLM-verifikasie, Kerberos TGT's gebaseer op RC4, beperk en onbeperk delegasie is gedeaktiveer).
- Ondersteuning vir die LanMan-gebaseerde wagwoordstoor en stawingmetode is gestaak (die "lanman auth=yes"-instelling het nou geen effek nie).
Bron: opennet.ru