Samba 4.17.0 bertsioa aurkezten da, Samba 4 adarra garatzen jarraitzen duena, domeinu-kontrolatzaile baten inplementazio osoa eta Active Directory zerbitzu batekin, Windows 2008ren inplementazioarekin bateragarria dena eta bertsio guztiak zerbitzatzeko gai dena. Microsoft-ek onartzen dituen Windows bezeroak, Windows 11 barne. Samba 4 zerbitzari funtzio anitzeko produktua da, eta fitxategi-zerbitzariaren, inprimatze-zerbitzuaren eta identitate-zerbitzariaren (winbind) inplementazioa ere eskaintzen du.
Samba 4.17-n funtsezko aldaketak:
- Lanpetuta dauden SMB zerbitzarien errendimenduan erregresioak ezabatzeko lana egin da, esteken manipulazioaren ahultasunen aurkako babesa gehitzearen ondorioz agertu zirenak. Egindako optimizazioen artean, sistema-deiak murriztea aipatzen da direktorioaren izena egiaztatzean eta esnatze-gertaerak ez erabiltzea atzerapenak eragiten dituzten operazio lehiakideak prozesatzeko orduan.
- Samba smbd-en SMB1 protokoloaren laguntzarik gabe eraikitzeko gaitasuna eman da. SMB1 desgaitzeko, "--without-smb1-server" aukera inplementatzen da konfigurazio eraikitze scriptean (smbd bakarrik eragiten du; SMB1-en euskarria bezeroen liburutegietan mantentzen da).
- MIT Kerberos 1.20 erabiltzean, Bronze Bit erasoari aurre egiteko gaitasuna (CVE-2020-17049) inplementatzen da informazio gehigarria KDC eta KDB osagaien artean transferituz. Heimdal Kerberos-en oinarritutako KDC lehenetsian, arazoa 2021ean konpondu zen.
- MIT Kerberos 1.20-rekin eraikitzen denean, Samba-n oinarritutako domeinu-kontrolatzaileak S4U2Self eta S4U2Proxy Kerberos luzapenak onartzen ditu eta Baliabideetan Oinarritutako Constrained Delegation (RBCD) gaitasuna ere gehitzen du. RBCD kudeatzeko, 'add-principal' eta 'del-principal' azpikomandoak gehitu dira "samba-tool delegation" komandoan. Heimdal Kerberos-en oinarritutako KDC lehenetsiak oraindik ez du onartzen RBCD modua.
- DNS barneko zerbitzuak eskaerak jasotzen dituen sareko ataka aldatzeko aukera eskaintzen du (adibidez, eskaera batzuk Sambara birbideratzen dituen sistema berean beste DNS zerbitzari bat exekutatzeko).
- Kluster-konfigurazioen funtzionamenduaz arduratzen den CTDB osagaian, ctdb.tunables fitxategiaren sintaxiaren eskakizunak murriztu dira. Samba β--with-cluster-supportβ eta β--systemd-install-servicesβ aukerekin eraikitzean, CTDBrako systemd zerbitzuaren instalazioa ziurtatzen da. ctdbd_wrapper script-a eten egin da - ctdbd prozesua zuzenean abiarazten da systemd zerbitzutik edo hasierako script batetik.
- 'nt hash store = never' ezarpena ezarri da, Active Directory erabiltzaileen pasahitzen "biluzirik" (gatzirik gabe) hashak biltegiratzea debekatzen duena. Hurrengo bertsioan, 'nt hash store' ezarpen lehenetsia "auto" gisa ezarriko da, eta bertan "inoiz" modua aplikatuko da "ntlm auth = disabled" ezarpena badago.
- Lotura bat proposatu da Python kodetik smbconf liburutegiko APIra sartzeko.
- smbstatus programak informazioa JSON formatuan ateratzeko gaitasuna ezartzen du ("-json" aukerarekin gaituta).
- Domeinu-kontrolatzaileak "Protected Users" segurtasun taldea onartzen du, Windows Server 2012 R2-n agertu zena eta ez du onartzen enkriptazio mota ahulak (taldeko erabiltzaileentzat, NTLM autentifikaziorako laguntza, RC4n oinarritutako Kerberos TGTak, mugatuak eta mugarik gabekoak). ordezkaritza desgaituta dago).
- LanMan oinarritutako pasahitz biltegirako eta autentifikazio metodorako laguntza eten egin da (orain "lanman auth=yes" ezarpenak ez du eraginik).
Iturria: opennet.ru