Veröffentlichung von Samba 4.17.0

Die Version Samba 4.17.0 wurde veröffentlicht und setzt die Entwicklung der Samba 4-Reihe mit einer vollstĂ€ndigen Implementierung des DomĂ€nencontrollers und des Active Directory-Dienstes fort, die mit der Windows 2008-Implementierung kompatibel sind und alle unterstĂŒtzten Microsoft Windows-Clientversionen, einschließlich Windows 11, bedienen können. Samba 4 ist ein multifunktionales Serverprodukt, das auch die Implementierung eines Datei-Servers, eines Druckdienstes und eines IdentitĂ€tsservers (winbind) bietet.

Wesentliche Änderungen in Samba 4.17:

  • Es wurden Maßnahmen ergriffen, um Performance-Regressiionen auf stark ausgelasteten SMB-Servern zu beheben, die durch die EinfĂŒhrung von Schutzmaßnahmen gegen Schwachstellen, die symbolische Links manipulieren, verursacht wurden. Zu den durchgefĂŒhrten Optimierungen gehört eine Reduzierung der Systemaufrufe zur ÜberprĂŒfung von Verzeichnisnamen sowie die Nichtverwendung von Wakeup-Ereignissen bei der Verarbeitung konkurrierender Operationen, die zu Verzögerungen fĂŒhren.
  • Es besteht die Möglichkeit, Samba ohne UnterstĂŒtzung fĂŒr das SMB1-Protokoll in smbd zu kompilieren. Um SMB1 in dem Konfiguration-Skript zu deaktivieren, wurde die Option „—without-smb1-server“ implementiert (betrifft nur smbd, die UnterstĂŒtzung von SMB1 bleibt in den Clientbibliotheken erhalten).
  • Mit der Verwendung von MIT Kerberos 1.20 wurde eine Funktion zur BekĂ€mpfung des „Bronze Bit“-Angriffs (CVE-2020-17049) implementiert. Dies erfolgt durch die Übertragung zusĂ€tzlicher Informationen zwischen den Komponenten KDC und KDB. Das standardmĂ€ĂŸig verwendete KDC auf Basis von Heimdal Kerberos hat das Problem im Jahr 2021 behoben.
  • Beim Zusammenbau mit MIT Kerberos 1.20 im Controller Nach Abschluss des Transfers kann die Domain auf unser Hosting gerichtet werden. auf Basis von Samba wurde die UnterstĂŒtzung fĂŒr die Kerberos-Erweiterungen S4U2Self und S4U2Proxy eingefĂŒhrt. Außerdem wurde die Möglichkeit der ressourcenspezifischen eingeschrĂ€nkten Delegierung (RBCD, Resource Based Constrained Delegation) hinzugefĂŒgt. Zur Verwaltung von RBCD wurden in das Kommando „samba-tool delegation“ die Unterkommandos ‚add-principal‘ und ‚del-principal‘ integriert. Im standardmĂ€ĂŸig verwendeten KDC auf Basis von Heimdal Kerberos wird der RBCD-Modus derzeit noch nicht unterstĂŒtzt.
  • Im integrierten DNS-Service wurde die Möglichkeit zur Änderung des Netzwerkports, der Anfragen entgegennimmt, bereitgestellt (zum Beispiel, um auf demselben System einen anderen DNS-Server zu starten, der bestimmte Anfragen an Samba weiterleitet).
  • Im CTDB-Komponent, welcher fĂŒr die Clusterkonfigurationen zustĂ€ndig ist, wurden die Syntaxanforderungen fĂŒr die Datei ctdb.tunables verringert. Bei der Erstellung von Samba mit den Optionen „—with-cluster-support“ und „—systemd-install-services“ wird der systemd-Service fĂŒr CTDB installiert. Das Bereitstellen des Skripts ctdbd_wrapper wurde eingestellt — der ctdbd-Prozess wird nun direkt ĂŒber den systemd-Service oder aus dem Initialisierungsskript gestartet.
  • Die Einstellung ‚nt hash store = never‘ wurde implementiert, die das Speichern von „rohen“ (ohne Salt) Hashes der Passwörter von Active Directory-Nutzern verbietet. In der nĂ€chsten Version wird die Einstellung ‚nt hash store‘ standardmĂ€ĂŸig auf „auto“ gesetzt, wobei der Modus „never“ angewendet wird, wenn die Einstellung ‚ntlm auth = disabled‘ vorhanden ist.
  • Eine Wrapper-Lösung zur Ansprache der API der Bibliothek smbconf aus Python-Code wurde vorgeschlagen.
  • Im Programm smbstatus wurde die Möglichkeit implementiert, Informationen im JSON-Format auszugeben (aktiviert durch die Option „—json“).
  • Im Domaincontroller wurde die UnterstĂŒtzung der Sicherheitsgruppe „GeschĂŒtzte Benutzer“ implementiert, die in Windows Server 2012 R2 eingefĂŒhrt wurde und unsichere VerschlĂŒsselungstypen nicht zulĂ€sst (fĂŒr Benutzer in der Gruppe wird die UnterstĂŒtzung der NTLM-Authentifizierung und Kerberos TGTs basierend auf RC4 sowie eingeschrĂ€nktes und uneingeschrĂ€nktes Delegieren deaktiviert).
  • Die UnterstĂŒtzung fĂŒr das Passwortspeicher und die Authentifizierungsmethode auf Basis von LanMan wurde eingestellt (die Einstellung „lanman auth = yes“ hat jetzt keine Bedeutung mehr).

    Quelle: opennet.ru
Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server đŸ”„ Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster