Es presenta la versió Samba 4.17.0, que continua el desenvolupament de la branca Samba 4 amb una implementació completa d'un controlador de domini i un servei de Directori Active que és compatible amb la implementació de Windows 2008 i és capaç de servir totes les versions de Clients Windows compatibles amb Microsoft, inclòs Windows 11. Samba 4 és un producte de servidor multifuncional, que també proporciona una implementació del servidor de fitxers, el servei d'impressió i el servidor d'identitats (winbind).
Canvis clau a Samba 4.17:
- S'ha treballat per eliminar les regressions en el rendiment dels servidors SMB ocupats que van aparèixer com a resultat d'afegir protecció contra les vulnerabilitats de manipulació d'enllaços simbòlics. Entre les optimitzacions realitzades, s'esmenta la reducció de les trucades al sistema a l'hora de comprovar el nom del directori i no utilitzar esdeveniments de despertador en el processament d'operacions competidores que provoquen retards.
- S'ha proporcionat la possibilitat de crear Samba sense suport per al protocol SMB1 a smbd. Per desactivar SMB1, s'implementa l'opció "--without-smb1-server" a l'script de compilació de configuració (només afecta smbd; el suport per a SMB1 es manté a les biblioteques del client).
- Quan s'utilitza MIT Kerberos 1.20, la capacitat de contrarestar l'atac de Bronze Bit (CVE-2020-17049) s'implementa transferint informació addicional entre els components KDC i KDB. Al KDC predeterminat basat en Heimdal Kerberos, el problema es va solucionar el 2021.
- Quan es construeix amb MIT Kerberos 1.20, el controlador de domini basat en Samba ara admet les extensions Kerberos S4U2Self i S4U2Proxy, i també afegeix la capacitat per a la delegació restringida basada en recursos (RBCD). Per gestionar RBCD, s'han afegit les subordres "add-principal" i "del-principal" a l'ordre "samba-tool delegation". El KDC predeterminat basat en Heimdal Kerberos encara no admet el mode RBCD.
- El servei DNS integrat ofereix la possibilitat de canviar el port de xarxa que rep les sol·licituds (per exemple, per executar un altre servidor DNS al mateix sistema que redirigeix determinades peticions a Samba).
- En el component CTDB, que s'encarrega del funcionament de les configuracions de clúster, s'han reduït els requisits per a la sintaxi del fitxer ctdb.tunables. Quan es construeix Samba amb les opcions "--with-cluster-support" i "--systemd-install-services", s'assegura la instal·lació del servei systemd per a CTDB. L'script ctdbd_wrapper s'ha interromput; ara el procés ctdbd s'inicia directament des del servei systemd o des d'un script d'inici.
- S'ha implementat la configuració 'nt hash store = never', que prohibeix l'emmagatzematge de hashes "naked" (sense sal) de contrasenyes d'usuari d'Active Directory. A la següent versió, la configuració predeterminada "nt hash store" s'establirà a "auto", en la qual s'aplicarà el mode "mai" si la configuració "ntlm auth = disabled" està present.
- S'ha proposat una vinculació per accedir a l'API de la biblioteca smbconf des del codi Python.
- El programa smbstatus implementa la capacitat de generar informació en format JSON (habilitat amb l'opció "-json").
- El controlador de domini admet el grup de seguretat "Usuaris protegits", que va aparèixer a Windows Server 2012 R2 i no permet l'ús de tipus de xifratge febles (per als usuaris del grup, suport per a l'autenticació NTLM, TGT Kerberos basats en RC4, restringits i sense restriccions). la delegació està desactivada).
- El suport per a l'emmagatzematge de contrasenyes i el mètode d'autenticació basat en LanMan s'ha interromput (la configuració "lanman auth=yes" ara no té cap efecte).
Font: opennet.ru