Прадстаўлены рэліз Samba 4.17.0, які працягнуў развіццё галінкі Samba 4 з паўнавартаснай рэалізацыяй кантролера дамена і сэрвісу Active Directory, сумяшчальнага з рэалізацыяй Windows 2008 і здольнага абслугоўваць усе падтрымоўваныя Microsoft версіі Windows-кліентаў, у тым ліку Windows 11. Samba 4 з'яўляецца шматфункцыянальным серверным прадукт , якія прадстаўляюць таксама рэалізацыю файлавага сервера, сэрвісу друку і сервера ідэнтыфікацыі (winbind).
Ключавыя змены ў Samba 4.17:
- Праведзена праца па ўхіленні рэгрэсій у прадукцыйнасці нагружаных SMB-сервераў, якія з'явіліся ў выніку дадання абароны ад уразлівасцяў, якія маніпулююць сімвалічнымі спасылкамі. З праведзеных аптымізацый згадваецца скарачэнне сістэмных выклікаў пры праверцы імя каталога і не выкарыстанне wakeup-падзей пры апрацоўцы канкуруючых аперацый, якія прыводзяць да затрымак.
- Прадастаўлена магчымасць зборкі Samba без падтрымкі пратакола SMB1 у smbd. Для адключэння SMB1 у зборачным скрыпце configure рэалізавана опцыя "-without-smb1-server" (уплывае толькі на smbd, у кліенцкіх бібліятэках падтрымка SMB1 захоўваецца).
- Пры выкарыстанні MIT Kerberos 1.20 рэалізавана магчымасць процідзеяння нападу "Bronze Bit" (CVE-2020-17049), дзякуючы перадачы дадатковай інфармацыі паміж кампанентамі KDC і KDB. У выкарыстоўваным па змаўчанні KDC на базе Heimdal Kerberos праблема была ўхіленая ў 2021 году.
- Пры зборцы з MIT Kerberos 1.20 у кантролеры дамена на базе Samba рэалізаваная падтрымка Kerberos-пашырэнняў S4U2Self і S4U2Proxy, а таксама дададзена магчымасць абмежаванага дэлегавання, заснаванага на рэсурсах (RBCD, Resource Based Constrained Delegation). Для кіравання RBCDВ у каманду "samba-tool delegation" дададзены падкаманды 'add-principal' і 'del-principal'. У ужывальным па змаўчанні KDC на базе Heimdal Kerberos рэжым RBCD пакуль не падтрымліваецца.
- Ва ўбудаваным DNS-сэрвісе прадстаўлена магчымасць змены сеткавага порта, які прымае запыты (напрыклад, для запуску на той жа сістэме іншага DNS-сервера, які перанакіроўвае пэўныя запыты да Samba).
- У кампаненце CTDB, які адказвае за працу кластарных канфігурацый, паніжаныя патрабаванні да сінтаксісу файла ctdb.tunables. Пры зборцы Samba з опцыямі "-with-cluster-support" і "-systemd-install-services" забяспечана ўстаноўка сэрвісу systemd для CTDB. Спыненая пастаўка скрыпту ctdbd_wrapper - працэс ctdbd зараз запускаецца напроста з сэрвісу systemd або са скрыпту ініцыялізацыі.
- Рэалізавана настройка 'nt hash store = never' забараняльная захоўванне "голых" (без солі) хэшаў пароляў карыстачоў Active Directory. У наступнай версіі налада 'nt hash store' па змаўчанні будзе выстаўлена ў значэнне "auto", пры якім рэжым "never" будзе прымяняцца ў выпадку наяўнасці налады 'ntlm auth = disabled'.
- Прапанавана абвязка для звароту да API бібліятэкі smbconf з кода на мове Python.
- У праграме smbstatus рэалізаваная магчымасць вываду інфармацыі ў фармаце JSON (уключаецца опцыяй "-json").
- У кантролеры дамена рэалізаваная падтрымка групы бяспекі "Абаронленыя карыстачы", якая з'явілася ў Windows Server 2012 R2 і не дапускалай выкарыстанне ненадзейных тыпаў шыфравання (для карыстачоў у групе адключаецца падтрымка аўтэнтыфікацыі NTLM, Kerberos TGTs на базе RC4, абмежаванага і неабмежаванага).
- Спынена падтрымка сховішчы пароляў і метаду аўтэнтыфікацыі на базе LanMan (налада "lanman auth = yes" зараз не мае значэння).
Крыніца: opennet.ru