ProHoster > ጦማር > የኢንተርኔት ዜና > የሳምባ መለቀቅ 4.24.0

የሳምባ መለቀቅ 4.24.0

ከስድስት ወራት ልማት በኋላ፣ ሳምባ 4.24.0 ተለቋል። ሙሉ በሙሉ ተግባራዊ የሆነ የጎራ መቆጣጠሪያ እና አክቲቭ ማውጫ አገልግሎት ያለው የሳምባ 4 ልማትን ቀጥሏል፣ ከዊንዶውስ ሰርቨር ጋር ተኳሃኝ እና ዊንዶውስ 11ን ጨምሮ ሁሉንም የሚደገፉ የዊንዶውስ ደንበኞች የማይክሮሶፍት ስሪቶችን ማገልገል የሚችል። ሳምባ 4 የፋይል አገልጋይ፣ የህትመት አገልግሎት እና የማንነት አገልጋይ (ዊንቢንድ) የሚያቀርብ ባለብዙ ተግባር አገልጋይ ምርት ነው። የፕሮጀክቱ ኮድ በC የተጻፈ እና በGPLv3 ፈቃድ ስር የተከፋፈለ ነው።

በሳምባ 4.24 ውስጥ ቁልፍ ለውጦች፡-

  • አዲስ የVFS ሞጁል፣ vfs_aio_ratelimit፣ ያልተመሳሰለ ግብዓት/ውጤት (AIO) ስራዎችን ፍጥነት ለመገደብ ታክሏል። ገደቦች በሰከንድ በባይት ወይም በሰከንድ ስራዎች ሊገለጹ ይችላሉ። የተገለጸው ገደብ ሲያልፍ፣ ሞጁሉ የተገለጸውን የላይኛው ገደብ ለመጠበቅ አርቲፊሻል መዘግየቶችን ወደ ያልተመሳሰለ ስራዎች ማስተዋወቅ ይጀምራል።
  • የvfs_ceph_new VFS ሞጁል አሁን በCephFS የፋይል ስርዓት ውስጥ የውሂብ እና የፋይል ስሞችን ለመመስጠር የKeybridge RPC ፕሮቶኮል እና የFSCrypt ሁነታን ይደግፋል። ምስጠራ በእያንዳንዱ ማውጫ መሰረት ሊነቃ ይችላል።
  • የvfs_streams_xattr VFS ሞጁል፣ በሊኑክስ ላይ በተራዘሙ የፋይል ባህሪያት (xattr) ውስጥ የNTFS ተለዋጭ የውሂብ ዥረቶችን ለማከማቸት የሚያስችል፣ በ"streams_xattr:max xattrs per stream" ቅንብር ተዘምኗል። ይህ ቅንብር ለውሂብ ማከማቻ ጥቅም ላይ የሚውሉትን ከፍተኛውን የxattr ፋይሎች ብዛት ይወስናል። በሊኑክስ ላይ፣ የxattr መጠን በ65536 ባይት የተገደበ ነው፣ ነገር ግን XFS ከአንድ በላይ xattr ከአንድ ፋይል ጋር እንዲገናኝ ያስችለዋል፣ ይህም በርካታ xattrs እስከ 1 ሜባ የሚደርስ ተለዋጭ ውሂብ እንዲያከማች ያስችለዋል።
  • ከማረጋገጫ ጋር የተያያዘ መረጃን ለኦዲት ለማድረግ የሚደረግ ድጋፍ ተተግብሯል። በሎግ ውስጥ ባለው የActive Directory ባህሪያት altSecurityIdentities፣ dNSHostName፣ msDS-AdditionalDnsHostName፣ msDS-KeyCredentialLink እና servicePrincipalName ላይ የተደረጉ ለውጦችን ለማንፀባረቅ የ"dsdb_password_audit" እና "dsdb_password_json_audit" የስህተት ማስተካከያ ክፍሎች ታክለዋል።
  • ለውጫዊ የይለፍ ቃል አስተዳደር ስርዓቶች ማይክሮሶፍት ኢንትራ አይዲ እና ኪክሎክ ድጋፍ ታክሏል፣ ይህም የይለፍ ቃልን ወደ መቆጣጠሪያው ሳያስተላልፍ የይለፍ ቃል ሲቀይሩ የይለፍ ቃል ዳግም ማስጀመር ኦፕሬሽን (SSPR፣ የይለፍ ቃል ዳግም ማስጀመር) የሚጠቀሙ ናቸው ጎራየይለፍ ቃል ማብቂያ ጊዜን የሚቆጣጠሩ ፖሊሲዎችን ለማስፈጸም፣ ተጨማሪ መለኪያዎች ("የይለፍ ቃል መመሪያ ፍንጮች") በይለፍ ቃል ዳግም ማስጀመሪያዎች ወቅት ይተላለፋሉ፣ ይህም ክዋኔው እንደ መደበኛ የይለፍ ቃል ለውጥ እንዲታይ ያስችለዋል። ሳምባ አሁን ከይለፍ ቃል ጋር የተያያዙ የአካባቢ ፖሊሲዎችን ሲተገብሩ እነዚህን መለኪያዎች ግምት ውስጥ ያስገባል።
  • የKerberos PKINIT KeyTrust ማረጋገጫ ዘዴ ድጋፍ ታክሏል። ይህም "Windows Hello for Business Key-Trust logon" ዘዴን በSamba- እና Heimdal-based KDC የጎራ መቆጣጠሪያዎች ላይ በራስ የተፈረሙ ቁልፎችን በመጠቀም ከPKINIT ማረጋገጫ ጋር ጥቅም ላይ እንዲውል ያስችለዋል። "user|computer keytrust" የሚለው ትዕዛዝ የህዝብ ቁልፍን ለመጨመር እና ለማየት በsamba-tool መገልገያ ላይ ታክሏል። የህዝብ ቁልፍ መረጃ በመለያው ውስጥ የmsDS-KeyCredentialLink ባህሪን በመጠቀም ይቀመጣል።
  • በሳምባ ላይ የተመሰረቱ የጎራ መቆጣጠሪያዎች እና የሄይምዳል KDCዎች አሁን ለቁልፍ ካርታ ስራ ("ዊንዶውስ ጠንካራ እና ተለዋዋጭ የቁልፍ ካርታዎች") የKerberos PKINIT ፕሮቶኮል ቅጥያ ይደግፋሉ፣ ይህም ለሕዝብ ቁልፍ ማረጋገጫ ጥቅም ላይ ይውላል። በነባሪነት፣ ትክክለኛ የምስክር ወረቀት ማሰሪያ ማስፈጸሚያ ("ጠንካራ የምስክር ወረቀት ማሰሪያ ማስፈጸሚያ = ሙሉ") ብቻ ይፈቀዳል፣ ነገር ግን ተለዋዋጭ ካርታ ስራ ("ጠንካራ የምስክር ወረቀት ማሰሪያ ማስፈጸሚያ = ተኳሃኝነት") እንዲሁ ይደገፋል፣ ይህም ከተጠቃሚ መለያ የበለጠ አዲስ የምስክር ወረቀቶችን ያስችላል። የአንድ መለያ የምስክር ወረቀት ማሰሪያ መረጃ በ altSecurityIdentities ባህሪ ውስጥ ይቀመጣል።
  • የ"Kerberos PKINIT SID" ፕሮቶኮል ቅጥያ ድጋፍ ታክሏል፣ ይህም የObject SID ያላቸው የምስክር ወረቀቶችን ለማረጋገጫ መጠቀም ያስችላል። የ"user|computer generate-csr" ትዕዛዝ የምስክር ወረቀቶችን ለመፈረም ወደ samba-tool መገልገያ ታክሏል።
  • ነባሪው የKDC (የቁልፍ ስርጭት ማዕከል) ትግበራ የተጠቃሚ መብት ውሂብ የያዘ የPAC (የልዩ መብት ባህሪ ሰርተፊኬት) መዋቅር ይመልሳል፣ የPA-PAC-REQUEST መስክ በደንበኛው ጥያቄ ውስጥ የተገለጸ ቢሆንም። ወደ ቀዳሚው ባህሪ ለመመለስ፣ "kdc ሁልጊዜ pac = no" የሚለውን ቅንብር ማግኘት ይቻላል።
  • KDC "kdc canonicalization require" የሚባል አዲስ ቅንብር አለው፣ ይህም ወደ "yes" ሲዋቀር ደንበኛው የተጠቃሚ ስሙን ሲደርሱበት canonicalization እንዲጠይቅ ይጠይቃል። አገልጋይ ማረጋገጫ (AS_REQ)። ቀኖኒካልላይዜሽን ካልተጠየቀ፣ አገልጋዩ "ተጠቃሚ ያልታወቀ" ስህተት ይመልሳል። የዊንዶውስ ተጠቃሚዎች ባሉባቸው አውታረ መረቦች ውስጥ፣ የዊንዶውስ ደንበኞች ሁልጊዜ ቀኖኒካልላይዜሽንን በነባሪነት ስለሚጠይቁ አዲሱን ቅንብር ማንቃት ምንም አይነት ችግር ሊያስከትል አይገባም።

    አስገዳጅ የሆነ ቀኖናዊነት ከ"ዶላር ቲኬት" ጥቃቶች ይጠብቃል፣ ይህም የተጠቃሚ ስሞች በተለየ መንገድ ("ተጠቃሚ" እና "ተጠቃሚ$") ሊገለጹ እና በቀኖናዊ እና ባልሆኑ ውክልናዎች በተለየ መንገድ ሊሰሩ የሚችሉበትን እውነታ ይጠቀማል። የጥቃቱ ዋና ነገር አንድ አጥቂ ለምሳሌ በAD ውስጥ "root$" የሚባል የኮምፒውተር መለያ መፍጠር እና በጥያቄው ውስጥ "root$" ከማለት ይልቅ "root" የሚለውን የተጠቃሚ ስም በመላክ ከKDC ትኬት ለማግኘት ሊጠቀምበት ይችላል። KDC የተጠቃሚውን "root$" ማግኘት ባለመቻሉ ጥያቄውን በተጠቃሚው "root$" አውድ ውስጥ ያስኬዳል እና እንደ ስርወ ተጠቃሚ በSSH ወይም NFS በኩል ወደ SSSD የሚያሄድ የሊኑክስ አገልጋይ ለማገናኘት የሚያገለግል ትኬት ያወጣል።

  • "የዶላር ቲኬት" ጥቃቶችን ለማሰናከል በKDC ላይ አስገዳጅ የስም ቀኖኒካላይዜሽን ጥያቄዎች ተሰናክለዋል ("kdc require canonicalization = no" በነባሪነት ነቅቷል)። በነባሪነት፣ ደንበኛው ቀኖኒካላይዜሽን ካልጠየቀ እና የሚፈተሸው ስም ካልተገኘ፣ አገልጋዩ "$" የሚለውን ቁምፊ ከስሙ ጋር በማያያዝ ተጨማሪ ፍተሻ ያካሂዳል። አዲሱ ቅንብር "kdc name match insiptive dollar without canonicalization = no" ይህንን ባህሪ እንዲያሰናክሉ እና ግልጽ የሆኑ ቼኮችን ብቻ እንዲያከናውኑ ያስችልዎታል (ከላይ በተጠቀሰው ጥቃት አውድ ውስጥ፣ አገልጋዩ "root" ሲጠይቅ "root$" የሚለውን ስም አያረጋግጥም)።
  • በነባሪነት፣ የሄይምዳል KDC የመጀመሪያውን የስም እሴት ከመጠቀም ይልቅ ወደ Kerberos አገልግሎቶች የተቀዱ ስሞችን (sAMaccountName) ብቻ ይልካል። ወደ አሮጌው ባህሪ ለመመለስ፣ "krb5 acceptor report canonical client name = no" የሚለውን ቅንብር ይጠቀሙ።
  • ከዶላር ትኬት ጥቃቶች ሙሉ በሙሉ ለመከላከል፣ የሚከተሉትን ቅንብሮች እንዲያዋቅሩ እንመክራለን፡ ጠንካራ የምስክር ወረቀት ማሰሪያ ማስፈጸሚያ፣ ሙሉ kdc፣ ሁልጊዜም pacን ያካትቱ፣ አዎ፣ kdc፣ ቀኖናዊነትን ይፈልጋሉ፣ አዎ።
  • ተጋላጭነትን ለማገድ፣ በነባሪው የKDC ቅንብሮች ውስጥ ያለው የጎራ ምስጠራ ዘዴ ወደ AES ተቀይሯል (የ"kdc ነባሪ ጎራ የሚደገፉ ኢንክታይፖች" ቅንብር ወደ "aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96" ተቀናብሯል።

ምንጭ: opennet.ru

አስተያየት ያክሉ