Выпуск Samba 4.24.0

После 6 месяцев разработки представлен релиз Samba 4.24.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows Server и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 11. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind). Код проекта написан на языке Си и распространяется под лицензией GPLv3.

Ключевые изменения в Samba 4.24:

• Добавлен новый VFS-модуль vfs_aio_ratelimit для ограничения интенсивности (rate-limit) операций асинхронного ввода/вывода (AIO). Ограничения могут задаваться в байтах в секунду или в операциях в секунду. При превышении заданного лимита модуль начинает подставлять искусственные задержки в асинхронные операции для поддержания заданного верхнего порога.
• В VFS-модуль vfs_ceph_new добавлена поддержка RPC-протокола Keybridge и режима FSCrypt для шифрования данных и имён файлов в файловой системе CephFS. Возможно включение шифрования на уровне отдельных каталогов.
• В VFS-модуль vfs_streams_xattr, позволяющий сохранять альтернативные наборы данных NTFS (NTFS alternate data stream) в расширенных атрибутах файлов (xattr) в Linux, добавлена настройка «streams_xattr:max xattrs per stream», определяющая допустимое число xattr, применяемых для хранения данных. В Linux размер xattr ограничен 65536 байтами, но ФС XFS даёт возможность привязывать к одному файлу более одного xattr, что позволяет использовать несколько xattr для хранения до 1 МБ альтернативных данных.
• Реализована поддержка аудита информации, связанной с аутентификацией. Добавлены отладочные классы «dsdb_password_audit» и «dsdb_password_json_audit» для отражения в логе изменений атрибутов Active Directory: altSecurityIdentities, dNSHostName, msDS-AdditionalDnsHostName, msDS-KeyCredentialLink и servicePrincipalName.
• Добавлена поддержка внешних систем управления паролями Microsoft Entra ID и Keycloak, использующих при изменении пароля операцию сброса пароля (SSPR, password reset) без передачи старого пароля в контроллер домена. Для соблюдения политик, контролирующих время действия паролей, при сбросе пароля передаются дополнительные параметры («password policy hints»), позволяющие обрабатывать операцию как обычную смену пароля. Теперь Samba учитывает подобные параметры при применении связанных с паролями, локальных политик.
• Добавлена поддержка механизма аутентификации Kerberos PKINIT KeyTrust, дающего возможность в контроллерах домена на базе Samba и Heimdal KDC, использовать метод «Windows Hello for Business Key-Trust logons» для применения механизма аутентификации PKINIT с самоподписанными ключами. Для добавления и просмотра открытого ключа в утилиту samba-tool добавлена команда «user|computer keytrust». Сведения об открытом ключе сохраняются в учётной записи при помощи атрибута msDS-KeyCredentialLink.
• В контроллеры домена на базе Samba и Heimdal KDC добавлена поддержка расширения протокола Kerberos PKINIT для маппинга ключей («Windows Strong and Flexible key mappings»), применяемого при аутентификации по открытым ключам. По умолчанию допускается только точное сопоставление сертификатов («strong certificate binding enforcement = full»), но возможно и гибкое сопоставление («strong certificate binding enforcement = compatibility»), допускающее сертификаты новее учётной записи пользователя. Данные о маппинге сертификатов для учётной записи сохраняются в атрибуте altSecurityIdentities
• Добавлена поддержка расширения протокола «Kerberos PKINIT SID», позволяющего использовать при аутентификации сертификаты с идентификатором Object SID. Для подписи сертификатов в утилиту samba-tool добавлена команда «user|computer generate-csr».
• В реализации KDC (Key Distribution Center) по умолчанию обеспечено возвращение структуры PAC (Privilege Attribute Certificate), содержащей данные о полномочиях пользователя, независимо от того, указано ли поле PA-PAC-REQUEST в запросе клиента. Для возвращения старого поведения предусмотрена настройка «kdc always generate pac = no».
• В KDC добавлена настройка «kdc require canonicalization», при выставлении которой в значение «yes» клиент обязан запрашивать выполнение канонизации имени пользователя при обращении к серверу аутентификации (AS_REQ). Если канонизация не запрошена, сервер вернёт ошибку «пользователь неизвестен». В сетях с пользователями, использующими ОС Windows, активация новой настройки не должно вызвать проблем, так как Windows-клиенты по умолчанию всегда запрашивают канонизацию.

  Обязательная канонизация позволяет защититься от атак класса «dollar ticket», манипулирующих тем, что имена пользователей могут задаваться по разному («user» и «user$») и по разному обрабатываться в канонизированном и обычном представлении. Суть атаки в том, что злоумышленник, например, мог создать в AD учётную запись компьютера с именем «root$» и использовать её для получения у KDC мандата (ticket), отравив в запросе имя пользователя «root» вместо «root$». KDC не найдя пользователя «root», обработал бы запрос в контексте пользователя «root$» и выдал мандат, который можно использовать для подключения под пользователем root через SSH или NFS к Linux-серверу с SSSD.

• В KDC добавлен обходной вариант защиты от атак «dollar ticket» для конфигураций с отключёнными обязательными запросами канонизации имён («kdc require canonicalization = no», применяется по умолчанию). По умолчанию, если клиент не запросил выполнение канонизации и проверяемое имя не найдено, сервер выполняет дополнительную проверку, прикрепив символ «$» к имени. При помощи новой настройки «kdc name match implicit dollar without canonicalization = no» можно отключит данное поведение и выполнять только точные проверки (в контексте вышеупомянутой атаки, сервер не станет проверять имя «root$» при запросе «root»).
• В Heimdal KDC по умолчанию включена отправка сервисам Kerberos только канонизированных имён (sAMAccountName из PAC) вместо исходного значения cname. Для возвращения старого поведения предусмотрена настройка «krb5 acceptor report canonical client name = no».
• Для полноценной защиты от атак «dollar ticket» рекомендуется выставить настройки: strong certificate binding enforcement full kdc always include pac yes kdc require canonicalization yes
• Для блокирования уязвимости CVE-2026-20833 метод шифрования домена в настройках KDC по умолчанию изменён на AES (настройка «kdc default domain supported enctypes» выставлена в «aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96»).

Источник: opennet.ru