Esitleti Samba 4.17.0 väljalaset, mis jätkas Samba 4 haru arendamist domeenikontrolleri ja Active Directory teenuse täisväärtusliku juurutamisega, mis ühildub Windows 2008 juurutamisega ja suudab teenindada kõiki Windowsi klientide versioone toetab Microsoft, sealhulgas Windows 11. Samba 4 on multifunktsionaalne serveritoode , mis pakub ka failiserveri, prinditeenuse ja identiteediserveri (winbind) juurutamist.
Peamised muudatused versioonis Samba 4.17:
- Töö on tehtud selleks, et kõrvaldada hõivatud SMB-serverite jõudluses esinevad regressioonid, mis ilmnesid sümbolilinkide manipuleerimise haavatavuste vastase kaitse lisamise tulemusena. Läbiviidud optimeerimiste hulgas mainitakse süsteemikutsete vähendamist katalooginime kontrollimisel ja äratussündmuste mittekasutamist konkureerivate toimingute töötlemisel, mis põhjustavad viivitusi.
- Pakutakse võimalust ehitada Sambat ilma SMB1 protokolli toetamata smbd-s. SMB1 keelamiseks rakendatakse konfigureerimisskriptis suvand "--ilma-smb1-server" (mõjutab ainult smbd-d; klienditeekides säilib SMB1 tugi).
- MIT Kerberos 1.20 kasutamisel rakendatakse pronksbittide rünnaku (CVE-2020-17049) vastu võitlemise võimalust lisateabe edastamisega KDC ja KDB komponentide vahel. Vaikimisi Heimdal Kerberosel põhinevas KDC-s lahendati probleem 2021. aastal.
- MIT Kerberos 1.20-ga ehitatud Samba-põhine domeenikontroller toetab nüüd Kerberose laiendusi S4U2Self ja S4U2Proxy ning lisab ka RBCD (Resource Based Constrained Delegation) võimaluse. RBCD haldamiseks on käsule "samba-tool delegation" lisatud alamkäsud "add-principal" ja "del-principal". Vaikimisi Heimdal Kerberosel põhinev KDC ei toeta veel RBCD-režiimi.
- Sisseehitatud DNS-teenus annab võimaluse muuta päringuid vastuvõtvat võrguporti (näiteks käitada samas süsteemis teist DNS-serverit, mis suunab teatud päringud Sambasse).
- CTDB komponendis, mis vastutab klastri konfiguratsioonide toimimise eest, on faili ctdb.tunables süntaksi nõudeid vähendatud. Samba ehitamisel valikutega “--with-cluster-support” ja “--systemd-install-services” on tagatud CTDB süsteemse teenuse installimine. Skript ctdbd_wrapper on lõpetatud – ctdbd protsess käivitatakse nüüd otse systemd-teenusest või init-skriptist.
- Rakendatud on säte "nt hash store = never", mis keelab Active Directory kasutajaparoolide "palja" (ilma soola) räsi salvestamise. Järgmises versioonis määratakse vaikesäte „nt räsipood” väärtusele „auto”, mille puhul rakendatakse režiimi „mitte kunagi”, kui säte „ntlm auth = keelatud” on olemas.
- Pythoni koodist smbconf teegi API-le juurdepääsuks on pakutud sidumist.
- Programm smbstatus rakendab võimalust väljastada teavet JSON-vormingus (lubatud suvandiga „-json”).
- Domeenikontroller toetab Windows Server 2012 R2-s ilmunud turvarühma "Protected Users" ja ei luba kasutada nõrku krüptimise tüüpe (rühma kasutajate jaoks NTLM-autentimise tugi, RC4-l põhinevad Kerberose TGT-d, piiratud ja piiranguteta delegeerimine on keelatud).
- LanMan-põhise paroolisalve ja autentimismeetodi tugi on lõpetatud (säte "lanman auth=yes" ei mõjuta nüüd).
Allikas: opennet.ru