Samba 4.17.0 リリースが発表されました。これは、Windows 4 の実装と互換性があり、すべてのバージョンのMicrosoft がサポートする Windows クライアント (Windows 2008 など)。Samba 11 は多機能サーバー製品であり、ファイル サーバー、印刷サービス、およびアイデンティティ サーバー (winbind) の実装も提供します。
Samba 4.17 の主な変更点:
- シンボリックリンク操作の脆弱性に対する保護を追加した結果として発生した、ビジー状態の SMB サーバーのパフォーマンスの低下を排除するための作業が行われました。 実行された最適化の中には、ディレクトリ名をチェックする際のシステムコールを削減することや、遅延につながる競合する操作を処理する際にウェイクアップイベントを使用しないことが挙げられます。
- smbd で SMB1 プロトコルをサポートせずに Samba を構築する機能が提供されています。 SMB1 を無効にするには、configure ビルド スクリプトに「--without-smb1-server」オプションを実装します (smbd のみに影響します。SMB1 のサポートはクライアント ライブラリで保持されます)。
- MIT Kerberos 1.20 を使用する場合、Bronze Bit 攻撃 (CVE-2020-17049) に対抗する機能は、KDC コンポーネントと KDB コンポーネントの間で追加情報を転送することによって実装されます。 デフォルトの Heimdal Kerberos ベースの KDC では、この問題は 2021 年に修正されました。
- MIT Kerberos 1.20 で構築された場合、Samba ベースのドメイン コントローラーは Kerberos 拡張機能 S4U2Self および S4U2Proxy をサポートするようになり、Resource Based Constrained Delegation (RBCD) の機能も追加されます。 RBCD を管理するために、「add-principal」および「del-principal」サブコマンドが「samba-tool delegation」コマンドに追加されました。 デフォルトの Heimdal Kerberos ベースの KDC は、RBCD モードをまだサポートしていません。
- 組み込みの DNS サービスは、リクエストを受信するネットワーク ポートを変更する機能を提供します (たとえば、特定のリクエストを Samba にリダイレクトする別の DNS サーバーを同じシステム上で実行する)。
- クラスター構成の操作を担当する CTDB コンポーネントでは、ctdb.tunables ファイルの構文の要件が軽減されました。 「--with-cluster-support」および「--systemd-install-services」オプションを使用して Samba を構築すると、CTDB の systemd サービスが確実にインストールされます。 ctdbd_wrapper スクリプトは廃止されました。ctdbd プロセスは、systemd サービスまたは init スクリプトから直接起動されるようになりました。
- 「nt hash store = none」設定が実装され、Active Directory ユーザー パスワードの「裸の」 (ソルトなし) ハッシュの保存が禁止されています。 次のバージョンでは、デフォルトの「nt hash store」設定は「auto」に設定され、「ntlm auth = disabled」設定が存在する場合は「never」モードが適用されます。
- Python コードから smbconf ライブラリ API にアクセスするためのバインディングが提案されています。
- smbstatus プログラムは、JSON 形式で情報を出力する機能を実装します (「-json」オプションで有効になります)。
- ドメイン コントローラーは、Windows Server 2012 R2 で登場した「保護されたユーザー」セキュリティ グループをサポートしており、弱い暗号化タイプ (グループ内のユーザーに対して、NTLM 認証、RC4 に基づく Kerberos TGT、制約付きおよび制約なしのサポート) の使用を許可しません。委任は無効になっています)。
- LanMan ベースのパスワード ストアと認証方法のサポートは廃止されました (「lanman auth=yes」設定は無効になりました)。
出所: オープンネット.ru