Bemutatják a Samba 4.17.0 kiadást, amely a Samba 4 ág fejlesztését folytatja egy teljes értékű tartományvezérlő megvalósításával és egy Active Directory szolgáltatással, amely kompatibilis a Windows 2008 implementációjával, és képes kiszolgálni a Windows 11 minden verzióját. A Microsoft által támogatott Windows-kliensek, beleértve a Windows 4-et is. A Samba XNUMX egy többfunkciós kiszolgálótermék, amely a fájlszerver, a nyomtatási szolgáltatás és az identitásszerver (winbind) megvalósítását is biztosítja.
Főbb változások a Samba 4.17-ban:
- Dolgoztak a forgalmas SMB-szerverek teljesítményében bekövetkezett regressziók kiküszöbölése érdekében, amelyek a szimbolikus hivatkozások manipulációjával szembeni védelem növelésének eredményeként jelentek meg. Az elvégzett optimalizálások között megemlítik a rendszerhívások csökkentését a címtárnév ellenőrzésekor, és az ébresztési események használatának mellőzését a késleltetéshez vezető versengő műveletek feldolgozásakor.
- Lehetőség van a Samba felépítésére az SMB1 protokoll támogatása nélkül az smbd-ben. Az SMB1 letiltásához a „--without-smb1-server” opció a configure build scriptben van megvalósítva (csak az smbd-t érinti; az SMB1 támogatása megmarad a klienskönyvtárakban).
- Az MIT Kerberos 1.20 használatakor a Bronze Bit támadás (CVE-2020-17049) elleni küzdelem a KDC és a KDB összetevők közötti további információk átvitelével valósul meg. Az alapértelmezett Heimdal Kerberos-alapú KDC-ben a problémát 2021-ben javították.
- Az MIT Kerberos 1.20-as verziójával készült Samba-alapú tartományvezérlő mostantól támogatja az S4U2Self és S4U2Proxy Kerberos-bővítményeket, valamint az erőforrás-alapú korlátozott delegálás (RBCD) képességét is hozzáadja. Az RBCD kezeléséhez az 'add-principal' és 'del-principal' alparancsok hozzáadásra kerültek a "samba-tool delegation" parancshoz. Az alapértelmezett Heimdal Kerberos-alapú KDC még nem támogatja az RBCD módot.
- A beépített DNS-szolgáltatás lehetővé teszi a kéréseket fogadó hálózati port megváltoztatását (például egy másik DNS-kiszolgáló futtatását ugyanazon a rendszeren, amely bizonyos kéréseket átirányít a Sambára).
- A fürtkonfigurációk működéséért felelős CTDB komponensben a ctdb.tunables fájl szintaxisára vonatkozó követelmények csökkentek. Amikor a Samba-t a „--with-cluster-support” és „--systemd-install-services” opciókkal építi, a CTDB rendszerszolgáltatásának telepítése biztosított. A ctdbd_wrapper szkript megszűnt – a ctdbd folyamat most közvetlenül a systemd szolgáltatásból vagy egy indító parancsfájlból indul el.
- Az 'nt hash store = never' beállítás bevezetésre került, amely megtiltja az Active Directory felhasználói jelszavak „csupasz” (só nélküli) kivonatainak tárolását. A következő verzióban az alapértelmezett „nt hash store” beállítás „automatikus” lesz, amelyben a „soha” mód kerül alkalmazásra, ha az „ntlm auth = tiltott” beállítás megvan.
- Összerendelés javasolt az smbconf könyvtár API Python kódból való eléréséhez.
- Az smbstatus program lehetővé teszi az információk JSON formátumban történő kiadását (a „-json” opcióval engedélyezve).
- A tartományvezérlő támogatja a „Protected Users” biztonsági csoportot, amely a Windows Server 2012 R2-ben jelent meg, és nem teszi lehetővé a gyenge titkosítási típusok használatát (a csoportban lévő felhasználók számára NTLM hitelesítés támogatása, RC4 alapú Kerberos TGT-k, korlátozott és korlátlan delegálás le van tiltva).
- A LanMan alapú jelszótároló és hitelesítési módszer támogatása megszűnt (a "lanman auth=yes" beállításnak nincs hatása).
Forrás: opennet.ru