Tras seis meses de desarrollo, se ha lanzado Samba 4.24.0. Esta versión continúa el desarrollo de Samba 4 con un controlador de dominio y un servicio de Active Directory completamente funcionales, compatible con Windows Server y capaz de dar servicio a todas las versiones de clientes Windows compatibles con Microsoft, incluyendo Windows 11. Samba 4 es un producto de servidor multifuncional que también proporciona servidor de archivos, servicio de impresión y servidor de identidad (winbind). El código del proyecto está escrito en C y se distribuye bajo la licencia GPLv3.
Cambios clave en Samba 4.24:
- Se ha añadido un nuevo módulo VFS, vfs_aio_ratelimit, para limitar la velocidad de las operaciones de entrada/salida asíncronas (AIO). Los límites se pueden especificar en bytes por segundo u operaciones por segundo. Cuando se supera el límite especificado, el módulo introduce retardos artificiales en las operaciones asíncronas para mantener el límite superior establecido.
- El módulo VFS vfs_ceph_new ahora admite el protocolo RPC Keybridge y el modo FSCrypt para cifrar datos y nombres de archivo en el sistema de archivos CephFS. El cifrado se puede habilitar para cada directorio individualmente.
- El módulo VFS vfs_streams_xattr, que permite almacenar flujos de datos alternativos NTFS en atributos de archivo extendidos (xattr) en Linux, se ha actualizado con la configuración "streams_xattr:max xattrs per stream". Esta configuración determina el número máximo de archivos xattr utilizados para el almacenamiento de datos. En Linux, el tamaño de un xattr está limitado a 65 536 bytes, pero XFS permite asociar más de un xattr a un solo archivo, lo que permite que varios xattr almacenen hasta 1 MB de datos alternativos.
- Se ha implementado la compatibilidad con la auditoría de información relacionada con la autenticación. Se han añadido las clases de depuración "dsdb_password_audit" y "dsdb_password_json_audit" para reflejar los cambios en los atributos de Active Directory altSecurityIdentities, dNSHostName, msDS-AdditionalDnsHostName, msDS-KeyCredentialLink y servicePrincipalName en el registro.
- Se agregó compatibilidad con los sistemas externos de administración de contraseñas Microsoft Entra ID y Keycloak, que utilizan la operación de restablecimiento de contraseña (SSPR, restablecimiento de contraseña) al cambiar una contraseña sin transmitir la contraseña anterior al controlador. dominioPara aplicar políticas que controlan la caducidad de las contraseñas, se pasan parámetros adicionales ("sugerencias de política de contraseñas") durante los restablecimientos de contraseña, lo que permite que la operación se trate como un cambio de contraseña normal. Samba ahora tiene en cuenta estos parámetros al aplicar políticas locales relacionadas con las contraseñas.
- Se ha añadido compatibilidad con el mecanismo de autenticación Kerberos PKINIT KeyTrust. Esto permite utilizar el método de inicio de sesión "Windows Hello for Business Key-Trust" con autenticación PKINIT mediante claves autofirmadas en controladores de dominio KDC basados en Samba y Heimdal. Se ha añadido el comando "user|computer keytrust" a la utilidad samba-tool para añadir y visualizar una clave pública. La información de la clave pública se almacena en la cuenta mediante el atributo msDS-KeyCredentialLink.
- Los controladores de dominio basados en Samba y los KDC de Heimdal ahora admiten la extensión del protocolo Kerberos PKINIT para la asignación de claves ("Asignaciones de claves fuertes y flexibles de Windows"), utilizada para la autenticación de clave pública. De forma predeterminada, solo se permite la aplicación exacta de la vinculación de certificados ("aplicación de vinculación de certificados fuerte = completa"), pero también se admite la asignación flexible ("aplicación de vinculación de certificados fuerte = compatibilidad"), lo que permite certificados más recientes que la cuenta de usuario. La información de asignación de certificados para una cuenta se almacena en el atributo altSecurityIdentities.
- Se ha añadido compatibilidad con la extensión de protocolo "Kerberos PKINIT SID", lo que permite el uso de certificados con un Object SID para la autenticación. Se ha añadido el comando "user|computer generate-csr" a la utilidad samba-tool para la firma de certificados.
- La implementación predeterminada del KDC (Centro de Distribución de Claves) devuelve una estructura PAC (Certificado de Atributos de Privilegio) que contiene datos de privilegios de usuario, independientemente de si el campo PA-PAC-REQUEST se especifica en la solicitud del cliente. Para volver al comportamiento anterior, está disponible la configuración "kdc always generate pac = no".
- El KDC tiene una nueva configuración llamada "kdc require canonicalization", que cuando se establece en "yes" requiere que el cliente solicite la canonicalización del nombre de usuario al acceder al servidor Autenticación (AS_REQ). Si no se solicita la canonicalización, el servidor devolverá un error de "usuario desconocido". En redes con usuarios de Windows, activar esta nueva configuración no debería causar problemas, ya que los clientes de Windows siempre solicitan la canonicalización de forma predeterminada.
La canonicalización obligatoria protege contra los ataques de "ticket de dólar", que explotan el hecho de que los nombres de usuario pueden especificarse de forma diferente ("user" y "user$") y procesarse de forma distinta en representaciones canonizadas y no canonizadas. La esencia del ataque radica en que un atacante podría, por ejemplo, crear una cuenta de equipo llamada "root$" en Active Directory y usarla para obtener un ticket del KDC enviando el nombre de usuario "root" en lugar de "root$" en la solicitud. El KDC, al no encontrar al usuario "root", procesaría la solicitud en el contexto del usuario "root$" y emitiría un ticket que podría usarse para conectarse como usuario root a través de SSH o NFS a un servidor Linux con SSSD.
- Se ha añadido una solución alternativa para los ataques de "ticket de dólar" al KDC para configuraciones con solicitudes de canonicalización de nombres obligatorias deshabilitadas ("kdc require canonicalization = no" está habilitado por defecto). Por defecto, si el cliente no ha solicitado la canonicalización y no se encuentra el nombre que se está comprobando, el servidor realiza una comprobación adicional añadiendo el carácter "$" al nombre. La nueva configuración "kdc name match implicit dollar without canonicalization = no" permite deshabilitar este comportamiento y realizar solo comprobaciones explícitas (en el contexto del ataque mencionado, el servidor no comprobará el nombre "root$" al solicitar "root").
- De forma predeterminada, el KDC de Heimdal envía únicamente nombres canónicos (sAMAccountName del PAC) a los servicios Kerberos en lugar del valor CNAME original. Para volver al comportamiento anterior, utilice la configuración "krb5 acceptor report canonical client name = no".
- Para una protección completa contra ataques de billetes de dólar, recomendamos configurar los siguientes ajustes: aplicación de enlace de certificado fuerte, kdc completo, incluir siempre pac, sí, kdc, requerir canonicalización, sí.
- Para bloquear la vulnerabilidad CVE-2026-20833, el método de cifrado de dominio en la configuración predeterminada del KDC se ha cambiado a AES (la configuración "kdc default domain supported enctypes" se ha establecido en "aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96").
Fuente: opennet.ru
