Preséntase a versión Samba 4.17.0, que continúa o desenvolvemento da rama Samba 4 cunha implementación completa dun controlador de dominio e un servizo de Active Directory compatible coa implementación de Windows 2008 e que é capaz de servir todas as versións de Clientes Windows compatibles con Microsoft, incluído Windows 11. Samba 4 é un produto de servidor multifuncional, que tamén ofrece unha implementación do servidor de ficheiros, o servizo de impresión e o servidor de identidade (winbind).
Cambios clave en Samba 4.17:
- Traballouse para eliminar as regresións no rendemento dos servidores SMB ocupados que apareceron como resultado de engadir protección contra vulnerabilidades de manipulación de ligazóns simbólicas. Entre as optimizacións realizadas, menciónase a redución de chamadas ao sistema ao comprobar o nome do directorio e non utilizar eventos de espertar ao procesar operacións competidoras que provocan atrasos.
- Proporcionouse a posibilidade de construír Samba sen soporte para o protocolo SMB1 en smbd. Para desactivar SMB1, implícase a opción "--without-smb1-server" no script de compilación de configuración (afecta só a smbd; o soporte para SMB1 mantense nas bibliotecas do cliente).
- Cando se usa MIT Kerberos 1.20, a capacidade de contrarrestar o ataque Bronze Bit (CVE-2020-17049) implérase transferindo información adicional entre os compoñentes KDC e KDB. No KDC predeterminado baseado en Heimdal Kerberos, o problema solucionouse en 2021.
- Cando se crea con MIT Kerberos 1.20, o controlador de dominio baseado en Samba agora admite as extensións Kerberos S4U2Self e S4U2Proxy, e tamén engade a capacidade de delegación restrinxida baseada en recursos (RBCD). Para xestionar RBCD, engadíronse os subcomandos 'add-principal' e 'del-principal' ao comando "samba-tool delegation". O KDC predeterminado baseado en Heimdal Kerberos aínda non admite o modo RBCD.
- O servizo DNS integrado ofrece a posibilidade de cambiar o porto de rede que recibe as solicitudes (por exemplo, para executar outro servidor DNS no mesmo sistema que redirixe determinadas solicitudes a Samba).
- No compoñente CTDB, que se encarga do funcionamento das configuracións do clúster, reducíronse os requisitos para a sintaxe do ficheiro ctdb.tunables. Ao crear Samba coas opcións "--with-cluster-support" e "--systemd-install-services", a instalación do servizo systemd para CTDB está garantida. O script ctdbd_wrapper descontinuouse; agora o proceso ctdbd lánzase directamente desde o servizo systemd ou desde un script de inicio.
- Implementouse a configuración 'nt hash store = never', que prohibe o almacenamento de hash "naked" (sen sal) dos contrasinais dos usuarios de Active Directory. Na seguinte versión, a configuración predeterminada 'nt hash store' establecerase en "auto", na que se aplicará o modo "nunca" se está presente a configuración "ntlm auth = disabled".
- Propúxose unha ligazón para acceder á API da biblioteca smbconf desde o código Python.
- O programa smbstatus implementa a capacidade de emitir información en formato JSON (activado coa opción "-json").
- O controlador de dominio admite o grupo de seguridade "Usuarios protexidos", que apareceu en Windows Server 2012 R2 e non permite o uso de tipos de cifrado débiles (para usuarios do grupo, compatibilidade con autenticación NTLM, TGT Kerberos baseados en RC4, restrinxidos e sen restricións). delegación está desactivada).
- O soporte para o método de autenticación e almacenamento de contrasinais baseado en LanMan foi descontinuado (a configuración "lanman auth=yes" agora non ten ningún efecto).
Fonte: opennet.ru