גרסה של Samba 4.17.0

הוצגה המהדורה של Samba 4.17.0, שהמשיכה בפיתוח סניף Samba 4 עם הטמעה מלאה של בקר תחום ושירות Active Directory, התואם להטמעת Windows 2008 ומסוגל לתת שירות לכל הגרסאות של לקוחות Windows הנתמכות על ידי Microsoft, כולל Windows 11. Samba 4 הוא מוצר שרת רב תכליתי, המספק גם יישום של שרת קבצים, שירות הדפסה ושרת זהות (winbind).

שינויים מרכזיים בסמבה 4.17:

• נעשתה עבודה לביטול רגרסיות בביצועים של שרתי SMB עמוסים שהופיעו כתוצאה מהוספת הגנה מפני פגיעויות של מניפולציות סימלינקים. בין האופטימיזציות שבוצעו מוזכר צמצום קריאות המערכת בעת בדיקת שם הספרייה ואי שימוש באירועי השכמה בעת עיבוד פעולות מתחרות המובילות לעיכובים.
• ניתנה היכולת לבנות Samba ללא תמיכה בפרוטוקול SMB1 ב-smbd. כדי להשבית את SMB1, האפשרות "--without-smb1-server" מיושמת בסקריפט ה-configuration build (משפיע רק על smbd; התמיכה ב-SMB1 נשמרת בספריות הלקוח).
• בעת שימוש ב-MIT Kerberos 1.20, היכולת להתמודד עם מתקפת ה-Bronze Bit (CVE-2020-17049) מיושמת על ידי העברת מידע נוסף בין רכיבי KDC ו-KDB. ברירת המחדל של KDC מבוססת Heimdal Kerberos, הבעיה תוקנה ב-2021.
• כאשר נבנה עם MIT Kerberos 1.20, בקר התחום מבוסס Samba תומך כעת בהרחבות Kerberos S4U2Self ו-S4U2Proxy, ומוסיף גם את היכולת של Resource Based Constrained Delegation (RBCD). לניהול RBCD, נוספו פקודות המשנה 'הוסף-מנהל' ו'דל-עיקרי' לפקודה "משלחת כלי סמבה". ברירת המחדל של KDC מבוסס Heimdal Kerberos אינה תומך עדיין במצב RBCD.
• שירות ה-DNS המובנה מספק את היכולת לשנות את יציאת הרשת שמקבלת בקשות (לדוגמה, להפעיל שרת DNS אחר על אותה מערכת שמפנה בקשות מסוימות לסמבה).
• ברכיב CTDB, האחראי על תפעול תצורות האשכולות, צומצמו הדרישות לתחביר של קובץ ctdb.tunables. בעת בניית Samba עם האפשרויות "--with-cluster-support" ו-"--systemd-install-services", מובטחת התקנת שירות systemd עבור CTDB. הסקריפט ctdbd_wrapper הופסק - תהליך ctdbd מופעל כעת ישירות משירות systemd או מסקריפט init.
• ההגדרה 'nt hash store = never' יושמה, האוסרת אחסון של hashes "עירום" (ללא מלח) של סיסמאות משתמש של Active Directory. בגרסה הבאה, הגדרת ברירת המחדל 'nt hash store' תוגדר ל"אוטומטי", שבה מצב "לעולם לא" יוחל אם קיימת ההגדרה 'ntlm auth = disabled'.
• הוצעה קישור לגישה ל-API של ספריית smbconf מקוד Python.
• תוכנית smbstatus מיישמת את היכולת להוציא מידע בפורמט JSON (מופעל עם אפשרות "-json").
• בקר התחום תומך בקבוצת האבטחה "משתמשים מוגנים", שהופיעה ב-Windows Server 2012 R2 ואינו מאפשר שימוש בסוגי הצפנה חלשים (למשתמשים בקבוצה, תמיכה באימות NTLM, Kerberos TGTs מבוסס RC4, מוגבל ובלתי מוגבל האצלה מושבתת).
• התמיכה במאגר הסיסמאות ושיטת האימות מבוסס LanMan הופסקה (להגדרת "lanman auth=yes" אין כעת השפעה).
  
  מקור: OpenNet.ru