Kynnt var útgáfa Samba 4.17.0, sem hélt áfram þróun Samba 4 útibúsins með fullri útfærslu á lénsstýringu og Active Directory þjónustu, samhæft við innleiðingu Windows 2008 og getur þjónustað allar útgáfur af Windows viðskiptavinum sem studdar eru af Microsoft, þar á meðal Windows 11. Samba 4 er margnota miðlaravara sem býður einnig upp á útfærslu á skráarþjóni, prentþjónustu og auðkennisþjóni (winbind).
Helstu breytingar á Samba 4.17:
- Unnið hefur verið að því að koma í veg fyrir afturhvarf í afköstum upptekinna SMB netþjóna sem birtust vegna þess að bætt var við vörn gegn veikleikum með stjórnun tákntengla. Meðal hagræðinga sem gerðar hafa verið er minnst á að fækka kerfissímtölum við athugun á nafni skráarsafns og að nota ekki vökuviðburði við vinnslu samkeppnisaðgerða sem leiða til tafa.
- Möguleikinn á að byggja Samba án stuðnings fyrir SMB1 samskiptareglur í smbd hefur verið veittur. Til að slökkva á SMB1 er valmöguleikinn „--án-smb1-þjónn“ útfærður í uppstillingarforritinu (hefur aðeins áhrif á smbd; stuðningi við SMB1 er haldið í biðlarasöfnum).
- Þegar MIT Kerberos 1.20 er notað er hæfileikinn til að vinna gegn bronsbitaárásinni (CVE-2020-17049) útfærður með því að flytja viðbótarupplýsingar á milli KDC og KDB íhlutanna. Í sjálfgefna Heimdal Kerberos-undirstaða KDC var málið lagað árið 2021.
- Þegar Samba-undirstaða lénsstýringin er byggð með MIT Kerberos 1.20 styður hann nú Kerberos viðbæturnar S4U2Self og S4U2Proxy og bætir einnig við möguleikanum fyrir Resource Based Constrained Delegation (RBCD). Til að stjórna RBCD hefur „add-principal“ og „del-principal“ undirskipanirnar verið bætt við „samba-tool delegation“ skipunina. Sjálfgefið Heimdal Kerberos byggt KDC styður ekki enn RBCD ham.
- Innbyggða DNS-þjónustan veitir möguleika á að breyta netgáttinni sem tekur á móti beiðnum (til dæmis til að keyra annan DNS-þjón á sama kerfi sem vísar ákveðnum beiðnum til Samba).
- Í CTDB hlutanum, sem ber ábyrgð á rekstri klasastillinga, hefur verið dregið úr kröfum um setningafræði ctdb.tunables skráarinnar. Þegar Samba er byggt með „--með-klasa-stuðningi“ og „--systemd-install-services“ valmöguleikunum er uppsetning kerfisþjónustunnar fyrir CTDB tryggð. Ctdbd_wrapper handritið hefur verið hætt - ctdbd ferlið er nú ræst beint úr systemd þjónustunni eða frá init handriti.
- Stillingin 'nt hash store = never' hefur verið innleidd, sem bannar geymslu á „nöktum“ (án salts) kjötkássa af Active Directory notendalykilorðum. Í næstu útgáfu verður sjálfgefin 'nt hash store' stillingin stillt á "auto", þar sem "aldrei" stillingin verður notuð ef 'ntlm auth = disabled' stillingin er til staðar.
- Lagt hefur verið til bindingu til að fá aðgang að smbconf bókasafns API frá Python kóða.
- Smbstatus forritið útfærir getu til að gefa út upplýsingar á JSON sniði (virkjað með „-json“ valkostinum).
- Lénsstýringin styður öryggishópinn „Verndaða notendur“, sem birtist í Windows Server 2012 R2 og leyfir ekki notkun á veikum dulkóðunargerðum (fyrir notendur í hópnum, stuðningur við NTLM auðkenningu, Kerberos TGT byggt á RC4, bundnar og óþvingaðar sendinefnd er óvirk).
- Stuðningur við LanMan-undirstaða lykilorðageymslu og auðkenningaraðferð hefur verið hætt („lanman auth=yes“ stillingin hefur nú engin áhrif).
Heimild: opennet.ru