Samba 4.17.0-udgivelsen præsenteres, som fortsætter udviklingen af Samba 4-grenen med en fuldgyldig implementering af en domænecontroller og en Active Directory-tjeneste, der er kompatibel med implementeringen af Windows 2008 og er i stand til at betjene alle versioner af Windows-klienter understøttet af Microsoft, herunder Windows 11. Samba 4 er et multifunktionelt serverprodukt, som også giver en implementering af filserveren, printtjenesten og identitetsserveren (winbind).
Vigtigste ændringer i Samba 4.17:
- Der er blevet arbejdet på at eliminere regressioner i ydeevnen af travle SMB-servere, der dukkede op som et resultat af tilføjelse af beskyttelse mod symlink-manipulationssårbarheder. Blandt de udførte optimeringer nævnes reduktion af systemopkald ved kontrol af katalognavnet og ikke brug af wakeup-hændelser ved behandling af konkurrerende operationer, der fører til forsinkelser.
- Muligheden for at bygge Samba uden understøttelse af SMB1-protokollen i smbd er blevet leveret. For at deaktivere SMB1 er "--without-smb1-server" muligheden implementeret i configure build-scriptet (påvirker kun smbd; understøttelse af SMB1 bevares i klientbiblioteker).
- Når du bruger MIT Kerberos 1.20, implementeres evnen til at modvirke Bronze Bit-angrebet (CVE-2020-17049) ved at overføre yderligere information mellem KDC- og KDB-komponenterne. I den standard Heimdal Kerberos-baserede KDC blev problemet rettet i 2021.
- Når den er bygget med MIT Kerberos 1.20, understøtter den Samba-baserede domænecontroller nu Kerberos-udvidelserne S4U2Self og S4U2Proxy og tilføjer også muligheden for Resource Based Constrained Delegation (RBCD). For at administrere RBCD er 'add-principal' og 'del-principal' underkommandoerne blevet tilføjet til kommandoen "samba-tool delegation". Den standard Heimdal Kerberos-baserede KDC understøtter endnu ikke RBCD-tilstand.
- Den indbyggede DNS-tjeneste giver mulighed for at ændre netværksporten, der modtager anmodninger (for eksempel at køre en anden DNS-server på det samme system, der omdirigerer bestemte anmodninger til Samba).
- I CTDB-komponenten, som er ansvarlig for driften af klyngekonfigurationer, er kravene til syntaksen for filen ctdb.tunables blevet reduceret. Når man bygger Samba med “--with-cluster-support” og “--systemd-install-services” mulighederne, er systemd servicen til CTDB installeret. ctdbd_wrapper-scriptet er blevet afbrudt - ctdbd-processen startes nu direkte fra systemd-tjenesten eller fra et init-script.
- Indstillingen 'nt hash store = aldrig' er blevet implementeret, som forbyder lagring af "nøgne" (uden salt) hashes af Active Directory brugeradgangskoder. I den næste version vil standardindstillingen 'nt hash store' blive sat til "auto", hvor "aldrig"-tilstanden vil blive anvendt, hvis indstillingen 'ntlm auth = disabled' er til stede.
- En binding er blevet foreslået for at få adgang til smbconf-bibliotekets API fra Python-kode.
- smbstatus-programmet implementerer muligheden for at udlæse information i JSON-format (aktiveret med "-json"-indstillingen).
- Domænecontrolleren understøtter sikkerhedsgruppen "Beskyttede brugere", som dukkede op i Windows Server 2012 R2 og tillader ikke brug af svage krypteringstyper (for brugere i gruppen, understøttelse af NTLM-godkendelse, Kerberos TGT'er baseret på RC4, begrænset og ubegrænset delegering er deaktiveret).
- Understøttelse af det LanMan-baserede adgangskodelager og godkendelsesmetode er afbrudt (indstillingen "lanman auth=yes" har nu ingen effekt).
Kilde: opennet.ru