Rilis Samba 4.17.0 disajikan, yang melanjutkan pengembangan cabang Samba 4 dengan implementasi lengkap pengontrol domain dan layanan Direktori Aktif yang kompatibel dengan implementasi Windows 2008 dan mampu melayani semua versi Klien Windows didukung oleh Microsoft, termasuk Windows 11. Samba 4 adalah produk server multifungsi, yang juga menyediakan implementasi server file, layanan cetak, dan server identitas (winbind).
Perubahan utama di Samba 4.17:
- Pekerjaan telah dilakukan untuk menghilangkan regresi dalam kinerja server SMB sibuk yang muncul sebagai akibat dari penambahan perlindungan terhadap kerentanan manipulasi symlink. Di antara optimalisasi yang dilakukan, disebutkan pengurangan panggilan sistem saat memeriksa nama direktori dan tidak menggunakan peristiwa bangun saat memproses operasi bersaing yang menyebabkan penundaan.
- Kemampuan untuk membangun Samba tanpa dukungan protokol SMB1 di smbd telah disediakan. Untuk menonaktifkan SMB1, opsi β--without-smb1-serverβ diterapkan dalam skrip build konfigurasi (hanya memengaruhi seseorang; dukungan untuk SMB1 dipertahankan di perpustakaan klien).
- Saat menggunakan MIT Kerberos 1.20, kemampuan untuk melawan serangan Bronze Bit (CVE-2020-17049) diterapkan dengan mentransfer informasi tambahan antara komponen KDC dan KDB. Di KDC default berbasis Heimdal Kerberos, masalah telah diperbaiki pada tahun 2021.
- Ketika dibangun dengan MIT Kerberos 1.20, pengontrol domain berbasis Samba sekarang mendukung ekstensi Kerberos S4U2Self dan S4U2Proxy, dan juga menambahkan kemampuan untuk Resource Based Constrained Delegation (RBCD). Untuk mengelola RBCD, sub-perintah 'add-principal' dan 'del-principal' telah ditambahkan ke perintah "delegasi alat samba". KDC default berbasis Heimdal Kerberos belum mendukung mode RBCD.
- Layanan DNS bawaan menyediakan kemampuan untuk mengubah port jaringan yang menerima permintaan (misalnya, untuk menjalankan server DNS lain pada sistem yang sama yang mengalihkan permintaan tertentu ke Samba).
- Dalam komponen CTDB, yang bertanggung jawab atas pengoperasian konfigurasi cluster, persyaratan sintaksis file ctdb.tunables telah dikurangi. Saat membangun Samba dengan opsi β--with-cluster-supportβ dan β--systemd-install-servicesβ, layanan systemd untuk CTDB diinstal. Skrip ctdbd_wrapper telah dihentikan - proses ctdbd sekarang diluncurkan langsung dari layanan systemd atau dari skrip init.
- Pengaturan 'nt hash store = never' telah diterapkan, yang melarang penyimpanan hash βtelanjangβ (tanpa garam) dari kata sandi pengguna Direktori Aktif. Pada versi berikutnya, pengaturan default 'nt hash store' akan diatur ke "auto", di mana mode "never" akan diterapkan jika pengaturan 'ntlm auth = nonaktif' ada.
- Pengikatan telah diusulkan untuk mengakses API perpustakaan smbconf dari kode Python.
- Program smbstatus mengimplementasikan kemampuan untuk mengeluarkan informasi dalam format JSON (diaktifkan dengan opsi β-jsonβ).
- Pengontrol domain mendukung grup keamanan "Pengguna yang Dilindungi", yang muncul di Windows Server 2012 R2 dan tidak mengizinkan penggunaan jenis enkripsi yang lemah (untuk pengguna dalam grup, dukungan untuk otentikasi NTLM, Kerberos TGT berdasarkan RC4, dibatasi dan tidak dibatasi delegasi dinonaktifkan).
- Dukungan untuk penyimpanan kata sandi dan metode autentikasi berbasis LanMan telah dihentikan (pengaturan "lanman auth=yes" sekarang tidak berpengaruh).
Sumber: opennet.ru