Ներկայացվեց Samba 4.17.0-ի թողարկումը, որը շարունակեց Samba 4 մասնաճյուղի զարգացումը տիրույթի վերահսկիչի և Active Directory ծառայության լիարժեք ներդրմամբ, որը համատեղելի է Windows 2008-ի ներդրման հետ և կարող է սպասարկել Windows-ի հաճախորդների բոլոր տարբերակները: աջակցվում է Microsoft-ի կողմից, ներառյալ Windows 11-ը: Samba 4-ը բազմաֆունկցիոնալ սերվերային արտադրանք է, որը նաև ապահովում է ֆայլերի սերվերի, տպագիր ծառայության և ինքնության սերվերի (winbind) ներդրում:
Հիմնական փոփոխությունները Samba 4.17-ում.
- Աշխատանքներ են տարվել զբաղված SMB սերվերների աշխատանքի մեջ ռեգրեսիաները վերացնելու ուղղությամբ, որոնք առաջացել են սիմհղակի մանիպուլյացիայի խոցելիությունից պաշտպանություն ավելացնելու արդյունքում: Կատարված օպտիմալացումների թվում նշվում է համակարգային զանգերի կրճատումը գրացուցակի անվանումը ստուգելիս և չօգտագործել արթնացման իրադարձություններ մրցակցային գործողություններ մշակելիս, որոնք հանգեցնում են ուշացումների:
- Ապահովված է Samba-ի ստեղծման հնարավորությունը՝ առանց SMB1 արձանագրության smbd-ում աջակցության: SMB1-ն անջատելու համար «--առանց smb1-սերվերի» տարբերակը ներդրվում է կազմաձևման սկրիպտում (ազդում է միայն smbd-ի վրա, SMB1-ի աջակցությունը պահպանվում է հաճախորդի գրադարաններում):
- MIT Kerberos 1.20-ն օգտագործելիս բրոնզե բիթային հարձակմանը (CVE-2020-17049) հակազդելու հնարավորությունն իրականացվում է KDC և KDB բաղադրիչների միջև լրացուցիչ տեղեկություններ փոխանցելու միջոցով: Heimdal Kerberos-ի վրա հիմնված լռելյայն KDC-ում խնդիրը շտկվել է 2021 թվականին:
- Երբ կառուցված է MIT Kerberos 1.20-ով, Samba-ի վրա հիմնված տիրույթի վերահսկիչն այժմ աջակցում է Kerberos ընդլայնումները S4U2Self և S4U2Proxy, ինչպես նաև ավելացնում է ռեսուրսների վրա հիմնված սահմանափակված պատվիրակության (RBCD) հնարավորություն: RBCD-ն կառավարելու համար «samba-tool delegation» հրամանին ավելացվել են «add-principal» և «del-principal» ենթահրամանները: Heimdal Kerberos-ի վրա հիմնված լռելյայն KDC-ն դեռ չի աջակցում RBCD ռեժիմին:
- Ներկառուցված DNS ծառայությունը հնարավորություն է տալիս փոխել ցանցի պորտը, որը ստանում է հարցումներ (օրինակ՝ գործարկել մեկ այլ DNS սերվեր նույն համակարգում, որը վերահղում է որոշակի հարցումներ Samba-ին):
- CTDB բաղադրիչում, որը պատասխանատու է կլաստերի կոնֆիգուրացիաների աշխատանքի համար, ctdb.tunables ֆայլի շարահյուսության պահանջները կրճատվել են։ Samba-ի կառուցման ժամանակ «--with-cluster-support» և «--systemd-install-services» տարբերակներով, ապահովված է CTDB-ի համար systemd ծառայության տեղադրումը: ctdbd_wrapper սկրիպտը դադարեցվել է. ctdbd գործընթացն այժմ գործարկվում է անմիջապես systemd ծառայությունից կամ init սկրիպտից:
- Գործարկվել է «nt hash store = երբեք» պարամետրը, որն արգելում է Active Directory օգտվողի գաղտնաբառերի «մերկ» (առանց աղի) հեշերի պահպանումը: Հաջորդ տարբերակում լռելյայն «nt hash store» պարամետրը կդրվի «auto»-ի, որում «երբեք» ռեժիմը կկիրառվի, եթե առկա է «ntlm auth = disabled» պարամետրը:
- Առաջարկվել է պարտադիր կապ՝ Python կոդից smbconf գրադարանի API մուտք գործելու համար:
- Smbstatus ծրագիրն իրականացնում է JSON ձևաչափով տեղեկատվություն դուրս բերելու հնարավորություն (միացված է «-json» տարբերակով):
- Դոմեյնի վերահսկիչն աջակցում է «Պաշտպանված օգտատերեր» անվտանգության խմբին, որը հայտնվել է Windows Server 2012 R2-ում և թույլ չի տալիս օգտագործել թույլ գաղտնագրման տեսակներ (խմբում գտնվող օգտատերերի համար, NTLM վավերացման աջակցություն, RC4-ի վրա հիմնված Kerberos TGTs, կաշկանդված և անսահմանափակ պատվիրակությունն անջատված է):
- LanMan-ի վրա հիմնված գաղտնաբառերի պահպանման և նույնականացման մեթոդի աջակցությունը դադարեցվել է («lanman auth=yes» կարգավորումն այժմ որևէ ազդեցություն չունի):
Source: opennet.ru