ProHoster > Blog > internetske vijesti > Izdanje Sambe 4.17.0

Izdanje Sambe 4.17.0

Predstavljeno je izdanje Sambe 4.17.0, koje je nastavilo razvoj ogranka Samba 4 s potpunom implementacijom kontrolera domene i usluge Active Directory, kompatibilne s implementacijom Windows 2008 i sposobne servisirati sve verzije Windows klijenata koje podržava Microsoft, uključujući Windows 11. Samba 4 višenamjenski je poslužiteljski proizvod koji također pruža implementaciju poslužitelja datoteka, usluge ispisa i poslužitelja identiteta (winbind).

Ključne promjene u Sambi 4.17:

  • Radilo se na uklanjanju regresija u performansama zauzetih SMB poslužitelja koji su se pojavili kao rezultat dodavanja zaštite od ranjivosti manipulacije simboličkim vezama. Među provedenim optimizacijama spominje se smanjenje poziva sustava prilikom provjere naziva direktorija i nekorištenje događaja buđenja prilikom obrade konkurentskih operacija koje dovode do kašnjenja.
  • Omogućena je mogućnost izgradnje Sambe bez podrške za SMB1 protokol u smbd-u. Za onemogućavanje SMB1, opcija “--without-smb1-server” implementirana je u konfiguracijskoj skripti za izgradnju (utječe samo na smbd; podrška za SMB1 zadržana je u klijentskim bibliotekama).
  • Kada koristite MIT Kerberos 1.20, mogućnost suprotstavljanja napadu Bronze Bit (CVE-2020-17049) implementirana je prijenosom dodatnih informacija između KDC i KDB komponenti. U zadanom KDC-u temeljenom na Heimdal Kerberosu problem je riješen 2021.
  • Kada je izrađen s MIT Kerberos 1.20, kontroler domene temeljen na Sambi sada podržava Kerberos ekstenzije S4U2Self i S4U2Proxy, a također dodaje mogućnost za ograničeno delegiranje temeljeno na resursima (RBCD). Za upravljanje RBCD-om, podnaredbe 'add-principal' i 'del-principal' dodane su naredbi "samba-tool delegation". Zadani KDC temeljen na Heimdal Kerberosu još ne podržava RBCD način.
  • Ugrađeni DNS servis pruža mogućnost promjene mrežnog priključka koji prima zahtjeve (na primjer, za pokretanje drugog DNS poslužitelja na istom sustavu koji preusmjerava određene zahtjeve na Sambu).
  • U komponenti CTDB, koja je odgovorna za rad konfiguracija klastera, smanjeni su zahtjevi za sintaksu datoteke ctdb.tunables. Prilikom izgradnje Sambe s opcijama “--with-cluster-support” i “--systemd-install-services”, osigurana je instalacija usluge systemd za CTDB. Skripta ctdbd_wrapper je ukinuta - proces ctdbd sada se pokreće izravno iz usluge systemd ili iz init skripte.
  • Implementirana je postavka 'nt hash store = never', koja zabranjuje pohranjivanje "golih" (bez soli) hashova korisničkih lozinki Active Directoryja. U sljedećoj verziji, zadana postavka 'nt hash store' bit će postavljena na "auto", u kojoj će se primjenjivati ​​način "never" ako je prisutna postavka 'ntlm auth = disabled'.
  • Predloženo je vezanje za pristup API-ju knjižnice smbconf iz Python koda.
  • Program smbstatus implementira mogućnost ispisa informacija u JSON formatu (omogućeno s opcijom “-json”).
  • Kontroler domene podržava sigurnosnu grupu “Protected Users” koja se pojavila u Windows Serveru 2012 R2 i ne dopušta korištenje slabih tipova enkripcije (za korisnike u grupi, podrška za NTLM autentifikaciju, Kerberos TGT na temelju RC4, ograničeni i neograničeni delegiranje je onemogućeno).
  • Podrška za pohranu lozinki temeljenu na LanManu i metodu provjere autentičnosti je prekinuta (postavka "lanman auth=yes" sada nema učinka).

    Izvor: opennet.ru

Dodajte komentar