Es wurde die Veröffentlichung von Samba 4.17.0 vorgestellt, die die Entwicklung des Samba 4-Zweigs mit einer vollständigen Implementierung eines Domänencontrollers und eines Active Directory-Dienstes fortsetzte, kompatibel mit der Implementierung von Windows 2008 und in der Lage ist, alle von Windows unterstützten Versionen von Windows-Clients zu bedienen Microsoft, einschließlich Windows 11. Samba 4 ist ein multifunktionales Serverprodukt, das auch eine Implementierung eines Dateiservers, eines Druckdienstes und eines Identitätsservers (winbind) bereitstellt.
Wichtige Änderungen in Samba 4.17:
- Es wurde daran gearbeitet, Rückgänge in der Leistung ausgelasteter SMB-Server zu beseitigen, die als Folge des zusätzlichen Schutzes gegen Schwachstellen bei der Manipulation von Symlinks auftraten. Zu den durchgeführten Optimierungen zählen die Reduzierung von Systemaufrufen bei der Prüfung des Verzeichnisnamens und der Verzicht auf Wakeup-Events bei der Verarbeitung konkurrierender Vorgänge, die zu Verzögerungen führen.
- Die Möglichkeit, Samba ohne Unterstützung für das SMB1-Protokoll in smbd zu erstellen, wurde bereitgestellt. Um SMB1 zu deaktivieren, wird die Option „--without-smb1-server“ im Build-Konfigurationsskript implementiert (betrifft nur smbd; die Unterstützung für SMB1 bleibt in Client-Bibliotheken erhalten).
- Bei Verwendung von MIT Kerberos 1.20 wird die Fähigkeit zur Abwehr des Bronze-Bit-Angriffs (CVE-2020-17049) durch die Übertragung zusätzlicher Informationen zwischen den KDC- und KDB-Komponenten implementiert. Im Standard-KDC auf Heimdal-Kerberos-Basis wurde das Problem im Jahr 2021 behoben.
- Bei der Erstellung mit MIT Kerberos 1.20 unterstützt der Samba-basierte Domänencontroller jetzt die Kerberos-Erweiterungen S4U2Self und S4U2Proxy und bietet außerdem die Möglichkeit für Resource Based Constrained Delegation (RBCD). Zur Verwaltung von RBCD wurden dem Befehl „samba-tool delegation“ die Unterbefehle „add-principal“ und „del-principal“ hinzugefügt. Das standardmäßige Heimdal Kerberos-basierte KDC unterstützt den RBCD-Modus noch nicht.
- Der integrierte DNS-Dienst bietet die Möglichkeit, den Netzwerkport zu ändern, der Anfragen empfängt (z. B. um einen anderen DNS-Server auf demselben System auszuführen, der bestimmte Anfragen an Samba umleitet).
- In der CTDB-Komponente, die für den Betrieb von Cluster-Konfigurationen zuständig ist, wurden die Anforderungen an die Syntax der Datei ctdb.tunables reduziert. Beim Erstellen von Samba mit den Optionen „--with-cluster-support“ und „--systemd-install-services“ wird die Installation des systemd-Dienstes für CTDB sichergestellt. Das ctdbd_wrapper-Skript wurde eingestellt – der ctdbd-Prozess wird jetzt direkt vom Systemd-Dienst oder von einem Init-Skript aus gestartet.
- Die Einstellung „nt hash store = never“ wurde implementiert, die die Speicherung von „nackten“ (ohne Salt) Hashes von Active Directory-Benutzerkennwörtern verbietet. In der nächsten Version wird die Standardeinstellung „nt hash store“ auf „auto“ gesetzt, wobei der Modus „nie“ angewendet wird, wenn die Einstellung „ntlm auth = deaktiviert“ vorhanden ist.
- Für den Zugriff auf die SMBCONF-Bibliotheks-API über Python-Code wurde eine Bindung vorgeschlagen.
- Das Programm smbstatus implementiert die Möglichkeit, Informationen im JSON-Format auszugeben (aktiviert mit der Option „-json“).
- Der Domänencontroller unterstützt die Sicherheitsgruppe „Geschützte Benutzer“, die in Windows Server 2012 R2 erschien und die Verwendung schwacher Verschlüsselungstypen nicht zulässt (für Benutzer in der Gruppe Unterstützung für NTLM-Authentifizierung, Kerberos TGTs basierend auf RC4, eingeschränkt und uneingeschränkt). Delegation ist deaktiviert).
- Die Unterstützung für die LanMan-basierte Passwortspeicher- und Authentifizierungsmethode wurde eingestellt (die Einstellung „lanman auth=yes“ hat jetzt keine Auswirkung).
Source: opennet.ru