ProHoster > وبلاگ > اخبار اینترنتی > انتشار Samba 4.17.0

انتشار Samba 4.17.0

انتشار سامبا 4.17.0 ارائه شد که توسعه شعبه سامبا 4 را با پیاده سازی کامل دامنه کنترلر و سرویس اکتیو دایرکتوری، سازگار با پیاده سازی ویندوز 2008 و قابلیت سرویس دهی به تمامی نسخه های کلاینت های ویندوز پشتیبانی شده ادامه داد. مایکروسافت، از جمله ویندوز 11. Samba 4 یک محصول سرور چند منظوره است که اجرای یک سرور فایل، یک سرویس چاپ و یک سرور هویت (winbind) را نیز ارائه می دهد.

تغییرات کلیدی در Samba 4.17:

  • کار برای از بین بردن رگرسیون در عملکرد سرورهای SMB شلوغ که در نتیجه افزودن محافظت در برابر آسیب‌پذیری‌های دستکاری پیوند نماد ظاهر می‌شوند، انجام شده است. در میان بهینه‌سازی‌های انجام‌شده، به کاهش تماس‌های سیستمی هنگام بررسی نام دایرکتوری و عدم استفاده از رویدادهای wakeup هنگام پردازش عملیات رقابتی که منجر به تاخیر می‌شود، اشاره شده است.
  • امکان ساخت سامبا بدون پشتیبانی از پروتکل SMB1 در smbd فراهم شده است. برای غیرفعال کردن SMB1، گزینه "--without-smb1-server" در اسکریپت ساخت پیکربندی پیاده سازی می شود (فقط بر smbd تأثیر می گذارد؛ پشتیبانی از SMB1 در کتابخانه های مشتری حفظ می شود).
  • هنگام استفاده از MIT Kerberos 1.20، توانایی مقابله با حمله برنز بیت (CVE-2020-17049) با انتقال اطلاعات اضافی بین اجزای KDC و KDB اجرا می شود. در KDC پیش‌فرض مبتنی بر Heimdal Kerberos، این مشکل در سال 2021 برطرف شد.
  • هنگامی که با MIT Kerberos 1.20 ساخته می شود، کنترل کننده دامنه مبتنی بر Samba اکنون از افزونه های Kerberos S4U2Self و S4U2Proxy پشتیبانی می کند و همچنین توانایی تفویض اختیار مبتنی بر منابع (RBCD) را اضافه می کند. برای مدیریت RBCD، دستورات فرعی «add-principal» و «del-principal» به دستور «samba-tool delegation» اضافه شده است. KDC پیش‌فرض مبتنی بر Heimdal Kerberos هنوز از حالت RBCD پشتیبانی نمی‌کند.
  • سرویس DNS داخلی امکان تغییر پورت شبکه ای که درخواست ها را دریافت می کند را فراهم می کند (به عنوان مثال، برای اجرای سرور DNS دیگری در همان سیستم که درخواست های خاصی را به Samba هدایت می کند).
  • در کامپوننت CTDB که وظیفه عملیات پیکربندی های خوشه ای را بر عهده دارد، الزامات سینتکس فایل ctdb.tunables کاهش یافته است. هنگام ساختن سامبا با گزینه‌های «--with-cluster-support» و «--systemd-install-services»، نصب سرویس systemd برای CTDB تضمین می‌شود. اسکریپت ctdbd_wrapper متوقف شده است - فرآیند ctdbd اکنون مستقیماً از سرویس systemd یا از یک اسکریپت init راه اندازی می شود.
  • تنظیم 'nt hash store = never' پیاده‌سازی شده است که ذخیره هش‌های «برهنه» (بدون نمک) گذرواژه‌های کاربر Active Directory را ممنوع می‌کند. در نسخه بعدی، تنظیمات پیش‌فرض «nt hash store» روی «auto» تنظیم می‌شود، که در صورت وجود تنظیمات «ntlm auth = disabled» حالت «هرگز» اعمال می‌شود.
  • یک اتصال برای دسترسی به API کتابخانه smbconf از کد پایتون پیشنهاد شده است.
  • برنامه smbstatus توانایی خروجی اطلاعات را در قالب JSON (فعال شده با گزینه "-json") پیاده سازی می کند.
  • کنترل کننده دامنه از گروه امنیتی «کاربران محافظت شده» که در Windows Server 2012 R2 ظاهر شد، پشتیبانی می کند و اجازه استفاده از انواع رمزگذاری ضعیف را نمی دهد (برای کاربران در گروه، پشتیبانی از احراز هویت NTLM، Kerberos TGT بر اساس RC4، محدود و بدون محدودیت تفویض غیرفعال است).
  • پشتیبانی از ذخیره رمز عبور مبتنی بر LanMan و روش احراز هویت قطع شده است (تنظیم "lanman auth=yes" اکنون هیچ تاثیری ندارد).

    منبع: opennet.ru

اضافه کردن نظر