ProHoster > Blog > nouvèl sou entènèt > Samba 4.17.0 lage

Samba 4.17.0 lage

Yo prezante Samba 4.17.0, ki kontinye devlopman branch Samba 4 la ak yon aplikasyon konplè yon kontwolè domèn ak yon sèvis Active Directory ki konpatib ak aplikasyon Windows 2008 epi ki kapab sèvi tout vèsyon. Kliyan Windows sipòte pa Microsoft, ki gen ladan Windows 11. Samba 4 se yon pwodwi sèvè multifonksyonèl, ki bay tou yon aplikasyon sèvè fichye a, sèvis enprime, ak sèvè idantite (winbind).

Chanjman kle nan Samba 4.17:

  • Travay yo te fèt pou elimine regressions nan pèfòmans nan sèvè SMB okipe ki te parèt kòm yon rezilta nan ajoute pwoteksyon kont vilnerabilite manipilasyon symlink. Pami optimize yo te pote soti, yo mansyone diminye apèl sistèm lè w tcheke non anyè a epi yo pa itilize evènman reveye lè w ap trete operasyon konpetisyon ki mennen nan reta.
  • Yo bay kapasite pou konstwi Samba san sipò pou pwotokòl SMB1 nan smbd. Pou enfim SMB1, opsyon "--without-smb1-server" aplike nan konfigirasyon script build (afekte sèlman smbd; sipò pou SMB1 kenbe nan bibliyotèk kliyan).
  • Lè w ap itilize MIT Kerberos 1.20, kapasite pou kontrekare atak Bronze Bit (CVE-2020-17049) aplike lè w transfere plis enfòmasyon ant eleman KDC ak KDB. Nan default KDC ki baze sou Heimdal Kerberos, pwoblèm nan te fikse nan 2021.
  • Lè yo bati ak MIT Kerberos 1.20, kontwolè domèn ki baze sou Samba kounye a sipòte ekstansyon Kerberos S4U2Self ak S4U2Proxy, epi tou li ajoute kapasite pou delegasyon ki baze sou resous (RBCD). Pou jere RBCD, yo te ajoute soukòmand 'add-principal' ak 'del-principal' nan kòmandman "delegasyon samba-tool". KDC ki baze sou Heimdal Kerberos defo a poko sipòte mòd RBCD.
  • Sèvis DNS entegre a bay kapasite pou chanje pò rezo a ki resevwa demann (pa egzanp, pou kouri yon lòt sèvè DNS sou menm sistèm nan ki redireksyon sèten demann bay Samba).
  • Nan eleman CTDB a, ki responsab operasyon konfigirasyon grap yo, kondisyon pou sentaks dosye ctdb.tunables la redwi. Lè w ap bati Samba ak opsyon "--with-cluster-support" ak "--systemd-install-services", enstalasyon sèvis systemd pou CTDB asire. Script ctdbd_wrapper la sispann - kounye a pwosesis ctdbd lanse dirèkteman nan sèvis systemd la oswa nan yon script init.
  • Anviwònman 'nt hash store = never' yo te aplike, ki entèdi depo "naked" (san sèl) hash nan modpas itilizatè Active Directory. Nan pwochen vèsyon an, paramèt 'nt hash store' defo a pral mete sou "oto", nan ki mòd "pa janm" yo pral aplike si anviwònman an 'ntlm auth = enfim' prezan.
  • Yo te pwopoze yon obligatwa pou jwenn aksè nan API bibliyotèk smbconf nan kòd Python.
  • Pwogram smbstatus aplike kapasite pou bay enfòmasyon nan fòma JSON (pèmèt ak opsyon "-json").
  • Kontwolè domèn sipòte gwoup sekirite "Itilizatè ki Pwoteje", ki te parèt nan Windows Server 2012 R2 epi ki pa pèmèt itilizasyon kalite chifreman fèb (pou itilizatè yo nan gwoup la, sipò pou otantifikasyon NTLM, Kerberos TGT ki baze sou RC4, kontrent ak san kontrent). delegasyon an andikape).
  • Sipò pou magazen modpas ki baze sou LanMan ak metòd otantifikasyon yo sispann (anviwònman "lanman auth = wi" kounye a pa gen okenn efè).

    Sous: opennet.ru

Add nouvo kòmantè