Представена е версията Samba 4.17.0, която продължава развитието на клона Samba 4 с пълноценно внедряване на домейн контролер и услуга Active Directory, която е съвместима с внедряването на Windows 2008 и може да обслужва всички версии на Клиенти на Windows, поддържани от Microsoft, включително Windows 11. Samba 4 е многофункционален сървърен продукт, който също така осигурява внедряване на файлов сървър, услуга за печат и сървър за самоличност (winbind).
Ключови промени в Samba 4.17:
- Извършена е работа за елиминиране на регресии в производителността на натоварени SMB сървъри, които се появяват в резултат на добавяне на защита срещу уязвимости при манипулиране на символни връзки. Сред извършените оптимизации се споменава намаляването на системните повиквания при проверка на името на директорията и неизползване на събития за събуждане при обработка на конкуриращи се операции, които водят до забавяния.
- Предоставена е възможност за изграждане на Samba без поддръжка за протокола SMB1 в smbd. За да деактивирате SMB1, опцията „--without-smb1-server“ е внедрена в скрипта за конфигуриране на компилация (засяга само smbd; поддръжката за SMB1 се запазва в клиентските библиотеки).
- Когато се използва MIT Kerberos 1.20, възможността за противодействие на атаката Bronze Bit (CVE-2020-17049) се реализира чрез прехвърляне на допълнителна информация между компонентите KDC и KDB. В KDC по подразбиране, базиран на Heimdal Kerberos, проблемът беше коригиран през 2021 г.
- Когато е изграден с MIT Kerberos 1.20, базираният на Samba домейн контролер вече поддържа Kerberos разширенията S4U2Self и S4U2Proxy и също така добавя възможност за ограничено делегиране на базата на ресурси (RBCD). За да управлявате RBCD, подкомандите 'add-principal' и 'del-principal' са добавени към командата "samba-tool delegation". Базираният на Heimdal Kerberos KDC по подразбиране все още не поддържа режим RBCD.
- Вградената DNS услуга предоставя възможност за промяна на мрежовия порт, който получава заявки (например за стартиране на друг DNS сървър на същата система, който пренасочва определени заявки към Samba).
- В компонента CTDB, който отговаря за работата на клъстерните конфигурации, изискванията за синтаксиса на файла ctdb.tunables са намалени. Когато изграждате Samba с опциите „--with-cluster-support“ и „--systemd-install-services“, се инсталира услугата systemd за CTDB. Скриптът ctdbd_wrapper е преустановен - процесът ctdbd вече се стартира директно от услугата systemd или от начален скрипт.
- Въведена е настройката 'nt hash store = never', която забранява съхраняването на "голи" (без сол) хешове на потребителските пароли на Active Directory. В следващата версия настройката по подразбиране „nt hash store“ ще бъде зададена на „auto“, в която режимът „never“ ще бъде приложен, ако е налице настройката „ntlm auth = disabled“.
- Предложено е обвързване за достъп до API на библиотеката smbconf от код на Python.
- Програмата smbstatus реализира възможността за извеждане на информация във формат JSON (активиран с опцията „-json“).
- Домейн контролерът поддържа групата за защита „Защитени потребители“, която се появи в Windows Server 2012 R2 и не позволява използването на слаби типове криптиране (за потребители в групата, поддръжка за NTLM удостоверяване, Kerberos TGT на базата на RC4, ограничено и неограничено делегирането е деактивирано).
- Поддръжката за базирано на LanMan съхраняване на пароли и метод за удостоверяване е преустановено (настройката "lanman auth=yes" вече няма ефект).
Източник: opennet.ru