La version Samba 4.17.0 a été présentée, qui poursuit le développement de la branche Samba 4 avec une implémentation à part entière d'un contrôleur de domaine et d'un service Active Directory, compatible avec l'implémentation de Windows 2008 et capable de desservir toutes les versions de clients Windows. pris en charge par Microsoft, y compris Windows 11. Samba 4 est un produit serveur multifonctionnel, qui fournit également une implémentation d'un serveur de fichiers, d'un service d'impression et d'un serveur d'identité (winbind).
Principaux changements dans Samba 4.17 :
- Des travaux ont été effectués pour éliminer les régressions dans les performances des serveurs SMB occupés qui sont apparues suite à l'ajout d'une protection contre les vulnérabilités de manipulation de liens symboliques. Parmi les optimisations réalisées, on mentionne la réduction des appels système lors de la vérification du nom du répertoire et la non-utilisation d'événements de réveil lors du traitement d'opérations concurrentes entraînant des retards.
- La possibilité de construire Samba sans prendre en charge le protocole SMB1 dans smbd a été fournie. Pour désactiver SMB1, l'option « --without-smb1-server » est implémentée dans le script de build configure (affecte uniquement smbd ; la prise en charge de SMB1 est conservée dans les bibliothèques clientes).
- Lors de l'utilisation de MIT Kerberos 1.20, la capacité de contrer l'attaque Bronze Bit (CVE-2020-17049) est implémentée en transférant des informations supplémentaires entre les composants KDC et KDB. Dans le KDC par défaut basé sur Heimdal Kerberos, le problème a été résolu en 2021.
- Lorsqu'il est construit avec MIT Kerberos 1.20, le contrôleur de domaine basé sur Samba prend désormais en charge les extensions Kerberos S4U2Self et S4U2Proxy, et ajoute également la possibilité de délégation contrainte basée sur les ressources (RBCD). Pour gérer RBCD, les sous-commandes 'add-principal' et 'del-principal' ont été ajoutées à la commande "samba-tool délégation". Le KDC par défaut basé sur Heimdal Kerberos ne prend pas encore en charge le mode RBCD.
- Le service DNS intégré offre la possibilité de modifier le port réseau qui reçoit les requêtes (par exemple, pour exécuter un autre serveur DNS sur le même système qui redirige certaines requêtes vers Samba).
- Dans le composant CTDB, responsable du fonctionnement des configurations de cluster, les exigences relatives à la syntaxe du fichier ctdb.tunables ont été réduites. Lors de la construction de Samba avec les options « --with-cluster-support » et « --systemd-install-services », l'installation du service systemd pour CTDB est assurée. Le script ctdbd_wrapper a été abandonné - le processus ctdbd est désormais lancé directement depuis le service systemd ou depuis un script d'initialisation.
- Le paramètre « nt hash store = never » a été implémenté, qui interdit le stockage de hachages « nus » (sans sel) des mots de passe des utilisateurs Active Directory. Dans la prochaine version, le paramètre par défaut « nt hash store » sera défini sur « auto », dans lequel le mode « jamais » sera appliqué si le paramètre « ntlm auth = désactivé » est présent.
- Une liaison a été proposée pour accéder à l'API de la bibliothèque smbconf à partir du code Python.
- Le programme smbstatus implémente la possibilité de générer des informations au format JSON (activé avec l'option « -json »).
- Le contrôleur de domaine prend en charge le groupe de sécurité « Utilisateurs protégés », apparu dans Windows Server 2012 R2 et ne permet pas l'utilisation de types de chiffrement faibles (pour les utilisateurs du groupe, prise en charge de l'authentification NTLM, Kerberos TGT basés sur RC4, contraints et non contraints). la délégation est désactivée).
- La prise en charge du stockage de mots de passe et de la méthode d'authentification basés sur LanMan a été interrompue (le paramètre « lanman auth=yes » n'a désormais aucun effet).
Source: opennet.ru