Estas prezentita la eldono de Samba 4.17.0, kiu daŭrigas la disvolviĝon de la branĉo Samba 4 kun plena efektivigo de domajna regilo kaj servo de Active Directory kongrua kun la efektivigo de Windows 2008 kaj kapabla servi ĉiujn versiojn de Vindozaj klientoj subtenataj de Mikrosofto, inkluzive de Vindozo 11. Samba 4 estas multfunkcia servila produkto, kiu ankaŭ disponigas efektivigon de la dosierservilo, presaĵservon kaj identecservilon (winbind).
Ŝlosilaj ŝanĝoj en Samba 4.17:
- Laboro estis farita por elimini regresojn en la agado de okupataj SMB-serviloj, kiuj aperis kiel rezulto de aldonado de protekto kontraŭ simboloj de manipulado de vundeblecoj. Inter la optimumigoj realigitaj, oni mencias redukti sistemajn vokojn kiam oni kontrolas la dosierujan nomon kaj ne uzi vekajn eventojn kiam oni prilaboras konkurantajn operaciojn, kiuj kondukas al prokrastoj.
- La kapablo konstrui Samba sen subteno por la SMB1-protokolo en smbd estis provizita. Por malŝalti SMB1, la opcio "--without-smb1-server" estas efektivigita en la agorda konstrua skripto (tuŝas nur smbd; subteno por SMB1 estas konservita en klientbibliotekoj).
- Kiam vi uzas MIT Kerberos 1.20, la kapablo kontraŭbatali la Bronze Bit-atakon (CVE-2020-17049) estas efektivigita per transdono de pliaj informoj inter la KDC kaj KDB-komponentoj. En la defaŭlta Heimdal Kerberos-bazita KDC, la problemo estis riparita en 2021.
- Konstruite kun MIT Kerberos 1.20, la domajna regilo bazita en Samba nun subtenas la Kerberos-etendaĵojn S4U2Self kaj S4U2Proxy, kaj ankaŭ aldonas la kapablon por Resource Based Constrained Delegation (RBCD). Por administri RBCD, la subkomandoj 'add-principal' kaj 'del-principal' estis aldonitaj al la komando "samba-tool delegation". La defaŭlta Heimdal Kerberos-bazita KDC ankoraŭ ne subtenas RBCD-reĝimon.
- La enkonstruita DNS-servo disponigas la kapablon ŝanĝi la retan havenon, kiu ricevas petojn (ekzemple, ruli alian DNS-servilon sur la sama sistemo, kiu redirektas certajn petojn al Samba).
- En la CTDB-komponento, kiu respondecas pri la funkciado de cluster-agordoj, la postuloj por la sintakso de la ctdb.tunables dosiero estis reduktitaj. Konstruante Samba kun la opcioj "--with-cluster-support" kaj "--systemd-install-services", la instalado de la systemd-servo por CTDB estas certigita. La ctdbd_wrapper-skripto estas ĉesigita - la ctdbd-procezo nun estas lanĉita rekte de la systemd-servo aŭ de init-skripto.
- La agordo 'nt hash store = never' estis efektivigita, kiu malpermesas la stokadon de "nudaj" (sen salo) hashes de Active Directory uzantpasvortoj. En la sekva versio, la defaŭlta 'nt hash store' estos agordita al "aŭtomata", en kiu la "neniam" reĝimo estos aplikata se la agordo 'ntlm auth = malŝaltita' ĉeestas.
- Ligado estis proponita por aliri la smbconf-bibliotekan API de Python-kodo.
- La programo smbstatus efektivigas la kapablon eligi informojn en formato JSON (ebligita per la opcio "-json").
- La domajna regilo subtenas la sekurecan grupon "Protektitaj Uzantoj", kiu aperis en Windows Server 2012 R2 kaj ne permesas la uzon de malfortaj ĉifradtipoj (por uzantoj en la grupo, subteno por NTLM-aŭtentikigo, Kerberos TGT-oj bazitaj sur RC4, limigitaj kaj nelimigitaj). delegacio estas malŝaltita).
- Subteno por la pasvorta vendejo kaj aŭtentikigmetodo bazita en LanMan estas nuligita (la agordo "lanman auth=yes" nun havas neniun efikon).
fonto: opennet.ru