Predstavljeno je izdanje Samba 4.17.0, koje nastavlja razvoj grane Samba 4 sa potpunom implementacijom kontrolera domena i usluge Active Directory koja je kompatibilna sa implementacijom Windows 2008 i koja može poslužiti svim verzijama Windows klijenti koje podržava Microsoft, uključujući Windows 11. Samba 4 je multifunkcionalni serverski proizvod, koji takođe obezbeđuje implementaciju servera datoteka, usluge štampanja i servera identiteta (winbind).
Ključne promjene u Sambi 4.17:
- Radilo se na uklanjanju regresije u performansama zauzetih SMB servera koje su se pojavile kao rezultat dodavanja zaštite od ranjivosti manipulacije simboličkim vezama. Među izvršenim optimizacijama spominje se smanjenje sistemskih poziva prilikom provjere imena direktorija i ne korištenje događaja buđenja prilikom obrade konkurentskih operacija koje dovode do kašnjenja.
- Mogućnost izrade Sambe bez podrške za SMB1 protokol u smbd je omogućena. Da biste onemogućili SMB1, opcija “--without-smb1-server” implementirana je u skriptu za konfigurisanje (utječe samo na smbd; podrška za SMB1 je zadržana u klijentskim bibliotekama).
- Kada se koristi MIT Kerberos 1.20, mogućnost suprotstavljanja Bronze Bit napadu (CVE-2020-17049) se implementira prijenosom dodatnih informacija između KDC i KDB komponenti. U zadanom KDC-u baziranom na Heimdal Kerberos-u, problem je riješen 2021. godine.
- Kada je napravljen sa MIT Kerberos 1.20, kontroler domene zasnovan na Sambi sada podržava Kerberos ekstenzije S4U2Self i S4U2Proxy, a takođe dodaje mogućnost za ograničeno delegiranje zasnovano na resursima (RBCD). Za upravljanje RBCD-om, podnaredbe 'add-principal' i 'del-principal' su dodane naredbi "samba-tool delegation". Zadani KDC zasnovan na Heimdal Kerberos-u još ne podržava RBCD način rada.
- Ugrađeni DNS servis pruža mogućnost promjene mrežnog porta koji prima zahtjeve (na primjer, za pokretanje drugog DNS servera na istom sistemu koji preusmjerava određene zahtjeve na Sambu).
- U CTDB komponenti, koja je odgovorna za rad konfiguracija klastera, smanjeni su zahtjevi za sintaksom datoteke ctdb.tunables. Prilikom izrade Sambe sa opcijama “--with-cluster-support” i “--systemd-install-services”, instalacija systemd usluge za CTDB je osigurana. Skripta ctdbd_wrapper je ukinuta - ctdbd proces se sada pokreće direktno iz systemd servisa ili iz init skripte.
- Implementirana je postavka 'nt hash store = never', koja zabranjuje pohranjivanje "golih" (bez soli) heševa korisničkih lozinki za Active Directory. U sljedećoj verziji, zadana postavka 'nt hash store' će biti postavljena na "auto", u kojoj će se režim "nikad" primijeniti ako je prisutna postavka 'ntlm auth = disabled'.
- Predloženo je vezivanje za pristup API-ju biblioteke smbconf iz Python koda.
- Program smbstatus implementira mogućnost izlaza informacija u JSON formatu (omogućeno opcijom “-json”).
- Kontroler domene podržava sigurnosnu grupu “Protected Users” koja se pojavila u Windows Server 2012 R2 i ne dozvoljava korištenje slabih tipova šifriranja (za korisnike u grupi podrška za NTLM autentifikaciju, Kerberos TGT-ove zasnovane na RC4, ograničeno i neograničeno delegiranje je onemogućeno).
- Podrška za skladištenje lozinki zasnovano na LanMan-u i metodu provjere autentičnosti je ukinuta (postavka "lanman auth=yes" sada nema efekta).
izvor: opennet.ru