Παρουσιάζεται η έκδοση Samba 4.17.0, η οποία συνεχίζει την ανάπτυξη του κλάδου Samba 4 με μια πλήρη εφαρμογή ενός ελεγκτή τομέα και μια υπηρεσία Active Directory που είναι συμβατή με την υλοποίηση των Windows 2008 και είναι σε θέση να εξυπηρετήσει όλες τις εκδόσεις του Πελάτες Windows που υποστηρίζονται από τη Microsoft, συμπεριλαμβανομένων των Windows 11. Το Samba 4 είναι ένα πολυλειτουργικό προϊόν διακομιστή , το οποίο παρέχει επίσης μια υλοποίηση του διακομιστή αρχείων, της υπηρεσίας εκτύπωσης και του διακομιστή ταυτότητας (winbind).
Βασικές αλλαγές στο Samba 4.17:
- Έγινε εργασία για την εξάλειψη των παλινδρομήσεων στην απόδοση των απασχολημένων διακομιστών SMB που εμφανίστηκαν ως αποτέλεσμα της προσθήκης προστασίας από ευπάθειες χειρισμού συμβολικών συνδέσμων. Μεταξύ των βελτιστοποιήσεων που πραγματοποιήθηκαν, αναφέρεται η μείωση των κλήσεων συστήματος κατά τον έλεγχο του ονόματος καταλόγου και η μη χρήση συμβάντων αφύπνισης κατά την επεξεργασία ανταγωνιστικών λειτουργιών που οδηγούν σε καθυστερήσεις.
- Παρέχεται η δυνατότητα δημιουργίας Samba χωρίς υποστήριξη για το πρωτόκολλο SMB1 στο smbd. Για να απενεργοποιήσετε το SMB1, η επιλογή "--without-smb1-server" εφαρμόζεται στο σενάριο διαμόρφωσης build (επηρεάζει μόνο το smbd, η υποστήριξη για SMB1 διατηρείται στις βιβλιοθήκες πελατών).
- Όταν χρησιμοποιείτε το MIT Kerberos 1.20, η δυνατότητα αντιμετώπισης της επίθεσης Bronze Bit (CVE-2020-17049) υλοποιείται με τη μεταφορά πρόσθετων πληροφοριών μεταξύ των στοιχείων KDC και KDB. Στο προεπιλεγμένο KDC που βασίζεται στο Heimdal Kerberos, το πρόβλημα διορθώθηκε το 2021.
- Όταν κατασκευάζεται με το MIT Kerberos 1.20, ο ελεγκτής τομέα που βασίζεται σε Samba υποστηρίζει τώρα τις επεκτάσεις Kerberos S4U2Self και S4U2Proxy, και προσθέτει επίσης τη δυνατότητα για Ανάθεση με περιορισμούς βάσει πόρων (RBCD). Για τη διαχείριση του RBCD, οι υποεντολές "add-principal" και "del-principal" έχουν προστεθεί στην εντολή "samba-tool delegation". Το προεπιλεγμένο KDC που βασίζεται στο Heimdal Kerberos δεν υποστηρίζει ακόμη τη λειτουργία RBCD.
- Η ενσωματωμένη υπηρεσία DNS παρέχει τη δυνατότητα αλλαγής της θύρας δικτύου που λαμβάνει αιτήματα (για παράδειγμα, για την εκτέλεση άλλου διακομιστή DNS στο ίδιο σύστημα που ανακατευθύνει ορισμένα αιτήματα στο Samba).
- Στο στοιχείο CTDB, το οποίο είναι υπεύθυνο για τη λειτουργία των διαμορφώσεων συμπλέγματος, οι απαιτήσεις για τη σύνταξη του αρχείου ctdb.tunables έχουν μειωθεί. Κατά την κατασκευή του Samba με τις επιλογές «--με-συστάδα-υποστήριξη» και «--σύστημα-εγκατάσταση-υπηρεσίες», διασφαλίζεται η εγκατάσταση της υπηρεσίας systemd για το CTDB. Το σενάριο ctdbd_wrapper έχει διακοπεί - η διαδικασία ctdbd εκκινείται τώρα απευθείας από την υπηρεσία systemd ή από ένα σενάριο init.
- Έχει εφαρμοστεί η ρύθμιση 'nt hash store = ποτέ', η οποία απαγορεύει την αποθήκευση "γυμνών" (χωρίς αλάτι) κατακερματισμών των κωδικών πρόσβασης χρήστη Active Directory. Στην επόμενη έκδοση, η προεπιλεγμένη ρύθμιση 'nt hash store' θα οριστεί σε "auto", στην οποία θα εφαρμοστεί η λειτουργία "never" εάν υπάρχει η ρύθμιση "ntlm auth = disabled".
- Έχει προταθεί μια σύνδεση για την πρόσβαση στο API της βιβλιοθήκης smbconf από κώδικα Python.
- Το πρόγραμμα smbstatus υλοποιεί τη δυνατότητα εξαγωγής πληροφοριών σε μορφή JSON (ενεργοποιημένη με την επιλογή «-json»).
- Ο ελεγκτής τομέα υποστηρίζει την ομάδα ασφαλείας "Προστατευμένοι χρήστες", η οποία εμφανίστηκε στον Windows Server 2012 R2 και δεν επιτρέπει τη χρήση αδύναμων τύπων κρυπτογράφησης (για χρήστες στην ομάδα, υποστήριξη για έλεγχο ταυτότητας NTLM, Kerberos TGT με βάση RC4, περιορισμένες και μη περιορισμένες η ανάθεση είναι απενεργοποιημένη).
- Η υποστήριξη για τον χώρο αποθήκευσης κωδικών πρόσβασης και τη μέθοδο ελέγχου ταυτότητας που βασίζεται στο LanMan έχει διακοπεί (η ρύθμιση "lanman auth=yes" δεν έχει πλέον καμία επίδραση).
Πηγή: opennet.ru