Die Version Samba 4.17.0 wurde veröffentlicht und setzt die Entwicklung der Samba 4-Reihe mit einer vollstĂ€ndigen Implementierung des DomĂ€nencontrollers und des Active Directory-Dienstes fort, die mit der Windows 2008-Implementierung kompatibel sind und alle unterstĂŒtzten Microsoft Windows-Clientversionen, einschlieĂlich Windows 11, bedienen können. Samba 4 ist ein multifunktionales Serverprodukt, das auch die Implementierung eines Datei-Servers, eines Druckdienstes und eines IdentitĂ€tsservers (winbind) bietet.
Wesentliche Ănderungen in Samba 4.17:
- Es wurden MaĂnahmen ergriffen, um Performance-Regressiionen auf stark ausgelasteten SMB-Servern zu beheben, die durch die EinfĂŒhrung von SchutzmaĂnahmen gegen Schwachstellen, die symbolische Links manipulieren, verursacht wurden. Zu den durchgefĂŒhrten Optimierungen gehört eine Reduzierung der Systemaufrufe zur ĂberprĂŒfung von Verzeichnisnamen sowie die Nichtverwendung von Wakeup-Ereignissen bei der Verarbeitung konkurrierender Operationen, die zu Verzögerungen fĂŒhren.
- Es besteht die Möglichkeit, Samba ohne UnterstĂŒtzung fĂŒr das SMB1-Protokoll in smbd zu kompilieren. Um SMB1 in dem Konfiguration-Skript zu deaktivieren, wurde die Option ââwithout-smb1-serverâ implementiert (betrifft nur smbd, die UnterstĂŒtzung von SMB1 bleibt in den Clientbibliotheken erhalten).
- Mit der Verwendung von MIT Kerberos 1.20 wurde eine Funktion zur BekĂ€mpfung des âBronze Bitâ-Angriffs (CVE-2020-17049) implementiert. Dies erfolgt durch die Ăbertragung zusĂ€tzlicher Informationen zwischen den Komponenten KDC und KDB. Das standardmĂ€Ăig verwendete KDC auf Basis von Heimdal Kerberos hat das Problem im Jahr 2021 behoben.
- Beim Zusammenbau mit MIT Kerberos 1.20 im Controller Nach Abschluss des Transfers kann die Domain auf unser Hosting gerichtet werden. auf Basis von Samba wurde die UnterstĂŒtzung fĂŒr die Kerberos-Erweiterungen S4U2Self und S4U2Proxy eingefĂŒhrt. AuĂerdem wurde die Möglichkeit der ressourcenspezifischen eingeschrĂ€nkten Delegierung (RBCD, Resource Based Constrained Delegation) hinzugefĂŒgt. Zur Verwaltung von RBCD wurden in das Kommando âsamba-tool delegationâ die Unterkommandos âadd-principalâ und âdel-principalâ integriert. Im standardmĂ€Ăig verwendeten KDC auf Basis von Heimdal Kerberos wird der RBCD-Modus derzeit noch nicht unterstĂŒtzt.
- Im integrierten DNS-Service wurde die Möglichkeit zur Ănderung des Netzwerkports, der Anfragen entgegennimmt, bereitgestellt (zum Beispiel, um auf demselben System einen anderen DNS-Server zu starten, der bestimmte Anfragen an Samba weiterleitet).
- Im CTDB-Komponent, welcher fĂŒr die Clusterkonfigurationen zustĂ€ndig ist, wurden die Syntaxanforderungen fĂŒr die Datei ctdb.tunables verringert. Bei der Erstellung von Samba mit den Optionen ââwith-cluster-supportâ und ââsystemd-install-servicesâ wird der systemd-Service fĂŒr CTDB installiert. Das Bereitstellen des Skripts ctdbd_wrapper wurde eingestellt â der ctdbd-Prozess wird nun direkt ĂŒber den systemd-Service oder aus dem Initialisierungsskript gestartet.
- Die Einstellung ânt hash store = neverâ wurde implementiert, die das Speichern von ârohenâ (ohne Salt) Hashes der Passwörter von Active Directory-Nutzern verbietet. In der nĂ€chsten Version wird die Einstellung ânt hash storeâ standardmĂ€Ăig auf âautoâ gesetzt, wobei der Modus âneverâ angewendet wird, wenn die Einstellung ântlm auth = disabledâ vorhanden ist.
- Eine Wrapper-Lösung zur Ansprache der API der Bibliothek smbconf aus Python-Code wurde vorgeschlagen.
- Im Programm smbstatus wurde die Möglichkeit implementiert, Informationen im JSON-Format auszugeben (aktiviert durch die Option ââjsonâ).
- Im Domaincontroller wurde die UnterstĂŒtzung der Sicherheitsgruppe âGeschĂŒtzte Benutzerâ implementiert, die in Windows Server 2012 R2 eingefĂŒhrt wurde und unsichere VerschlĂŒsselungstypen nicht zulĂ€sst (fĂŒr Benutzer in der Gruppe wird die UnterstĂŒtzung der NTLM-Authentifizierung und Kerberos TGTs basierend auf RC4 sowie eingeschrĂ€nktes und uneingeschrĂ€nktes Delegieren deaktiviert).
- Die UnterstĂŒtzung fĂŒr das Passwortspeicher und die Authentifizierungsmethode auf Basis von LanMan wurde eingestellt (die Einstellung âlanman auth = yesâ hat jetzt keine Bedeutung mehr).
Quelle: opennet.ru
