Se presenta el lanzamiento de Samba 4.17.0, que continúa el desarrollo de la rama Samba 4 con una implementación completa de un controlador de dominio y un servicio de Active Directory que es compatible con la implementación de Windows 2008 y puede servir a todas las versiones de Clientes de Windows compatibles con Microsoft, incluido Windows 11. Samba 4 es un producto de servidor multifuncional, que también proporciona una implementación del servidor de archivos, el servicio de impresión y el servidor de identidad (winbind).
Cambios clave en Samba 4.17:
- Se ha trabajado para eliminar las regresiones en el rendimiento de servidores SMB ocupados que aparecieron como resultado de agregar protección contra vulnerabilidades de manipulación de enlaces simbólicos. Entre las optimizaciones realizadas se menciona la reducción de las llamadas al sistema al comprobar el nombre del directorio y la no utilización de eventos de activación al procesar operaciones competidoras que provocan retrasos.
- Se ha proporcionado la capacidad de construir Samba sin soporte para el protocolo SMB1 en smbd. Para deshabilitar SMB1, la opción “-- without-smb1-server” se implementa en el script de configuración de configuración (afecta solo a smbd; la compatibilidad con SMB1 se conserva en las bibliotecas del cliente).
- Cuando se utiliza MIT Kerberos 1.20, la capacidad de contrarrestar el ataque Bronze Bit (CVE-2020-17049) se implementa transfiriendo información adicional entre los componentes KDC y KDB. En el KDC predeterminado basado en Heimdal Kerberos, el problema se solucionó en 2021.
- Cuando se construye con MIT Kerberos 1.20, el controlador de dominio basado en Samba ahora admite las extensiones Kerberos S4U2Self y S4U2Proxy, y también agrega la capacidad de delegación restringida basada en recursos (RBCD). Para administrar RBCD, los subcomandos 'add-principal' y 'del-principal' se han agregado al comando "samba-tool delegation". El KDC predeterminado basado en Heimdal Kerberos aún no admite el modo RBCD.
- El servicio DNS incorporado brinda la capacidad de cambiar el puerto de red que recibe solicitudes (por ejemplo, para ejecutar otro servidor DNS en el mismo sistema que redirige ciertas solicitudes a Samba).
- En el componente CTDB, que es responsable del funcionamiento de las configuraciones del clúster, se han reducido los requisitos de sintaxis del archivo ctdb.tunables. Al compilar Samba con las opciones “--with-cluster-support” y “--systemd-install-services”, se garantiza la instalación del servicio systemd para CTDB. El script ctdbd_wrapper ha sido descontinuado; el proceso ctdbd ahora se inicia directamente desde el servicio systemd o desde un script de inicio.
- Se ha implementado la configuración 'nt hash store = never', que prohíbe el almacenamiento de hashes "desnudos" (sin sal) de contraseñas de usuarios de Active Directory. En la próxima versión, la configuración predeterminada 'nt hash store' se establecerá en "auto", en la que se aplicará el modo "nunca" si la configuración 'ntlm auth = deshabilitado' está presente.
- Se ha propuesto un enlace para acceder a la API de la biblioteca smbconf desde el código Python.
- El programa smbstatus implementa la capacidad de generar información en formato JSON (habilitado con la opción "-json").
- El controlador de dominio admite el grupo de seguridad "Usuarios protegidos", que apareció en Windows Server 2012 R2 y no permite el uso de tipos de cifrado débiles (para los usuarios del grupo, soporte para autenticación NTLM, Kerberos TGT basado en RC4, restringido y sin restricciones). la delegación está deshabilitada).
- Se ha descontinuado el soporte para el método de autenticación y almacenamiento de contraseñas basado en LanMan (la configuración "lanman auth=yes" ahora no tiene ningún efecto).
Fuente: opennet.ru