Samba 4.17.0 hefur verið gefin út, sem heldur áfram þróun Samba 4 greinarinnar með fullri útfærslu á lénsstýringu og Active Directory þjónustu sem er samhæf útfærslunni. Windows 2008 og getur meðhöndlað allar útgáfur sem Microsoft styður Windows-viðskiptavinir, þar á meðal Windows 11. Samba 4 er fjölnota netþjónsvara sem býður einnig upp á skráþjón, prentþjónustu og auðkenningarþjón (winbind).
Helstu breytingar á Samba 4.17:
- Unnið var að því að útrýma afkastabreytingum á annasömum SMB-þjónum sem orsakast af viðbót varnar gegn veikleikum sem stjórna táknrænum tenglum. Meðal hagræðinga var að fækka kerfisköllum við athugun á nöfnum möppna og að útrýma notkun vekjaratilvika við vinnslu samtímis aðgerða sem valda töfum.
- Möguleikinn á að smíða Samba án stuðnings við SMB1 samskiptareglur í smbd er nú tiltækur. Til að slökkva á SMB1 hefur valmöguleikinn "--without-smb1-server" verið útfærður í byggingarhandritinu „configure“ (þetta hefur aðeins áhrif á smbd; SMB1 stuðningur er enn til staðar í biðlarasöfnum).
- Þegar MIT Kerberos 1.20 var notað var aðgerð til að draga úr „Bronze Bit“ árásinni (CVE-2020-17049) innleidd með því að senda viðbótarupplýsingar á milli KDC og KDB íhluta. Þetta vandamál var lagað í sjálfgefna Heimdal Kerberos-byggða KDC árið 2021.
- Þegar smíðað er með MIT Kerberos 1.20 í stjórntækinu lén Stuðningur við S4U2Self og S4U2Proxy Kerberos viðbæturnar hefur verið innleiddur með Samba, sem og auðlindabundinni takmörkuðu úthlutun (RBCD). Til að stjórna RBCD hafa undirskipanirnar 'add-principal' og 'del-principal' verið bætt við skipunina "samba-tool delegation". RBCD er ekki ennþá stutt í sjálfgefna Heimdal Kerberos-byggða KDC.
- Innbyggða DNS þjónustan býður upp á möguleikann á að breyta netgáttinni sem tekur við beiðnum (til dæmis til að keyra annan DNS þjón á sama kerfi sem áframsendir ákveðnar beiðnir til Samba).
- CTDB íhluturinn sem ber ábyrgð á stillingum klasa hefur slakað á kröfum um málfræði fyrir ctdb.tunables skrána. Þegar Samba er smíðað með valkostunum "--with-cluster-support" og "--systemd-install-services" er systemd þjónustan fyrir CTDB nú sett upp. Forskriftin ctdbd_wrapper hefur verið hætt — ctdbd ferlið er nú ræst beint frá systemd þjónustunni eða frá init forskrift.
- Stillingin „nt hash store = never“ hefur verið innleidd, sem kemur í veg fyrir geymslu á ósöltuðum lykilorðs-kvittunum fyrir notendur Active Directory. Í næstu útgáfu verður stillingin „nt hash store“ sjálfgefin stillt á „auto“, sem neyðir til að nota stillinguna „never“ ef stillingin „ntlm auth = disabled“ er til staðar.
- Lögð er til binding til að fá aðgang að smbconf bókasafns-API-inu úr Python kóða.
- Forritið smbstatus getur birt upplýsingar á JSON-sniði (virkjað með valkostinum "--json").
- Lénsstjórinn styður nú öryggishópinn Verndaða notendur, sem var kynntur til sögunnar árið Windows Server 2012 R2 og leyfir ekki notkun veikra dulkóðunartegunda (stuðningur við NTLM-auðkenningu, RC4-byggða Kerberos TGTs, takmarkaða og ótakmarkaða úthlutun er óvirkur fyrir notendur í hópnum).
- Stuðningur við geymslu lykilorða og auðkenningaraðferð byggða á LanMan hefur verið hættur (stillingin "lanman auth = yes" á ekki lengur við).
Heimild: opennet.ru
