Samba 4.24.0 გამოშვება

6-თვიანი შემუშავების შემდეგ გამოვიდა Samba 4.24.0 ვერსია, რომლითაც გაგრძელდა Samba 4 ფილიალის შემუშავება დომენური კონტროლერის სრული იმპლემენტაციით და იმპლემენტაციასთან თავსებადი Active Directory სერვისით. Windows Server და შეუძლია მხარი დაუჭიროს Microsoft-ის ყველა მხარდაჭერილ ვერსიას Windows- კლიენტები, მათ შორის Windows Samba 4 არის მრავალფუნქციური სერვერული პროდუქტი, რომელიც ასევე უზრუნველყოფს ფაილების სერვერს, ბეჭდვის სერვისს და ავტორიზაციის სერვერს (winbind). პროექტის კოდი დაწერილია C ენაზე და გავრცელებულია GPLv3 ლიცენზიით.

ძირითადი ცვლილებები Samba 4.24-ში:

• ასინქრონული შეყვანა/გამოყვანის (AIO) ოპერაციების სიჩქარის შესაზღუდად დაემატა ახალი VFS მოდული, vfs_aio_ratelimit. ლიმიტების მითითება შესაძლებელია წამში ბაიტებში ან წამში ოპერაციებში. როდესაც მითითებული ლიმიტი გადაჭარბებულია, მოდული იწყებს ასინქრონულ ოპერაციებში ხელოვნური შეფერხებების შემოტანას მითითებული ზედა ზღვრის შესანარჩუნებლად.
• vfs_ceph_new VFS მოდული ამჟამად მხარს უჭერს Keybridge RPC პროტოკოლს და FSCrypt რეჟიმს CephFS ფაილურ სისტემაში მონაცემებისა და ფაილების სახელების დაშიფვრისთვის. დაშიფვრის ჩართვა შესაძლებელია თითოეული დირექტორიის მიხედვით.
• VFS მოდულში vfs_streams_xattr, რომელიც საშუალებას გაძლევთ შეინახოთ NTFS ალტერნატიული მონაცემთა ნაკადები გაფართოებული ფაილის ატრიბუტებით (xattr) Linux, დაემატა პარამეტრი „streams_xattr:max xattrs თითო ნაკადზე“, რომელიც განსაზღვრავს მონაცემების შესანახად გამოყენებული xattrs-ების დაშვებულ რაოდენობას. Linux xattr-ის ზომა შემოიფარგლება 65536 ბაიტით, მაგრამ XFS საშუალებას იძლევა ერთ ფაილთან ერთზე მეტი xattr იყოს დაკავშირებული, რაც საშუალებას იძლევა მრავალი xattr-ის გამოყენებით შეინახოთ 1 მბ-მდე ალტერნატიული მონაცემები.
• დანერგილია ავტორიზაციასთან დაკავშირებული ინფორმაციის აუდიტის მხარდაჭერა. დაემატა „dsdb_password_audit“ და „dsdb_password_json_audit“ გამართვის კლასები, რათა ასახოს Active Directory-ის ატრიბუტების altSecurityIdentities, dNSHostName, msDS-AdditionalDnsHostName, msDS-KeyCredentialLink და servicePrincipalName ცვლილებები ჟურნალში.
• დაემატა მხარდაჭერა გარე პაროლის მართვის სისტემებისთვის, როგორიცაა Microsoft Entra ID და Keycloak, რომლებიც იყენებენ პაროლის გადატვირთვის ოპერაციას (SSPR) პაროლის შეცვლისას ძველი პაროლის კონტროლერზე გადაცემის გარეშე. დომენიპაროლის ვადის გასვლის კონტროლის პოლიტიკის აღსასრულებლად, პაროლის გადატვირთვის დროს გადაეცემა დამატებითი პარამეტრები („პაროლის პოლიტიკის მინიშნებები“), რაც საშუალებას იძლევა ოპერაცია ჩაითვალოს პაროლის ჩვეულებრივ ცვლილებად. Samba ახლა ამ პარამეტრებს ითვალისწინებს პაროლთან დაკავშირებული ლოკალური პოლიტიკის გამოყენებისას.
• დაემატა Kerberos PKINIT KeyTrust ავტორიზაციის მექანიზმის მხარდაჭერა, რომელიც საშუალებას იძლევა გამოყენებულ იქნას "მეთოდი Samba-ზე დაფუძნებულ და Heimdal KDC-ზე დაფუძნებულ დომენურ კონტროლერებში.Windows „გამარჯობა ბიზნესისთვის Key-Trust logons“ თვითხელმოწერილი გასაღებებით PKINIT ავტორიზაციის მექანიზმის გამოსაყენებლად. საჯარო გასაღების დასამატებლად და სანახავად samba-tool-ის პროგრამას დაემატა ბრძანება „user|computer keytrust“. საჯარო გასაღების ინფორმაცია ანგარიშში ინახება msDS-KeyCredentialLink ატრიბუტის გამოყენებით.
• Samba-ზე დაფუძნებულ და Heimdal KDC დომენის კონტროლერებს დაემატა Kerberos PKINIT პროტოკოლის გაფართოების მხარდაჭერა გასაღებების შესაბამისობისთვის.Windows საჯარო გასაღების ავტორიზაციისთვის გამოიყენება ძლიერი და მოქნილი გასაღებების შესაბამისობები. ნაგულისხმევად, დაშვებულია მხოლოდ ზუსტი სერტიფიკატის შესაბამისობა („ძლიერი სერტიფიკატის სავალდებულოობის აღსრულება = სრული“), მაგრამ ასევე შესაძლებელია მოქნილი შესაბამისობა („ძლიერი სერტიფიკატის სავალდებულოობის აღსრულება = თავსებადობა“), რაც მომხმარებლის ანგარიშზე უფრო ახალი სერტიფიკატების გამოყენების საშუალებას იძლევა. ანგარიშის სერტიფიკატის შესაბამისობის მონაცემები ინახება altSecurityIdentities ატრიბუტში.
• დაემატა მხარდაჭერა „Kerberos PKINIT SID“ პროტოკოლის გაფართოებისთვის, რომელიც საშუალებას იძლევა ავთენტიფიკაციისთვის გამოყენებულ იქნას Object SID-ის მქონე სერტიფიკატები. სერტიფიკატების ხელმოწერისთვის განკუთვნილ Samba-tool-ის პროგრამას დაემატა ბრძანება „user|computer generate-csr“.
• ნაგულისხმევი KDC (გასაღების განაწილების ცენტრი) იმპლემენტაცია აბრუნებს PAC (პრივილეგიის ატრიბუტის სერტიფიკატის) სტრუქტურას, რომელიც შეიცავს მომხმარებლის პრივილეგიების მონაცემებს, მიუხედავად იმისა, მითითებულია თუ არა PA-PAC-REQUEST ველი კლიენტის მოთხოვნაში. წინა ქცევაზე დასაბრუნებლად ხელმისაწვდომია პარამეტრი „kdc always generate pac = no“.
• KDC-ს აქვს ახალი პარამეტრი სახელწოდებით „kdc require canonicalization“, რომელიც „დიახ“-ზე დაყენების შემთხვევაში მოითხოვს, რომ კლიენტმა მოითხოვოს მომხმარებლის სახელის კანონიზაცია წვდომისას. სერვერი ავთენტიფიკაცია (AS_REQ). თუ კანონიზაცია არ არის მოთხოვნილი, სერვერი დააბრუნებს შეცდომას „უცნობი მომხმარებელი“. ქსელებში, სადაც მომხმარებლები იყენებენ ოპერაციულ სისტემას Windowsახალი პარამეტრის გააქტიურებამ პრობლემები არ უნდა გამოიწვიოს, რადგან Windows-კლიენტები ყოველთვის ითხოვენ კანონიკიზაციას სტანდარტულად.

  სავალდებულო კანონიზაცია იცავს მომხმარებელს „დოლარის ბილეთის“ შეტევებისგან, რომლებიც იყენებენ იმ ფაქტს, რომ მომხმარებლის სახელები შეიძლება განსხვავებულად იყოს მითითებული („მომხმარებელი“ და „მომხმარებელი$“) და განსხვავებულად დამუშავდეს კანონიკურ და არაკანონიკურ წარმოდგენებში. შეტევის არსი იმაში მდგომარეობს, რომ თავდამსხმელს შეუძლია, მაგალითად, შექმნას კომპიუტერული ანგარიში სახელწოდებით „root$“ AD-ში და გამოიყენოს იგი KDC-დან ბილეთის მისაღებად მოთხოვნაში „root$“-ის ნაცვლად მომხმარებლის სახელის გაგზავნით. KDC, რომელიც ვერ პოულობს მომხმარებელს „root“, დაამუშავებს მოთხოვნას მომხმარებლის „root$“ კონტექსტში და გასცემს ბილეთს, რომლის გამოყენებაც შესაძლებელია root მომხმარებლის სახით SSH ან NFS-ის საშუალებით დასაკავშირებლად. Linux- სერვერი SSSD-ით.
• KDC-ს დაემატა „დოლარის ბილეთის“ შეტევების ალტერნატიული გადაწყვეტა იმ კონფიგურაციებისთვის, რომლებშიც გამორთულია სახელის სავალდებულო კანონიზაციის მოთხოვნები („kdc require canonicalization = no“ ნაგულისხმევად ჩართულია). ნაგულისხმევად, თუ კლიენტმა არ მოითხოვა კანონიზაცია და შემოწმებული სახელი ვერ მოიძებნა, სერვერი ასრულებს დამატებით შემოწმებას სახელზე „$“ სიმბოლოს დამატებით. ახალი პარამეტრი „kdc name match implicit dollar without canonicalization = no“ საშუალებას გაძლევთ გამორთოთ ეს ქცევა და შეასრულოთ მხოლოდ ექსპლიციტური შემოწმებები (ზემოაღნიშნული შეტევის კონტექსტში, სერვერი არ შეამოწმებს სახელს „root$“ „root“-ის მოთხოვნისას).
• ნაგულისხმევად, Heimdal KDC Kerberos სერვისებს მხოლოდ კანონიზებულ სახელებს (sAMAccountName PAC-დან) უგზავნის ორიგინალური cname მნიშვნელობის ნაცვლად. ძველ ქცევაზე დასაბრუნებლად გამოიყენეთ პარამეტრი „krb5 acceptor report canonical client name = no“.
• დოლარის ბილეთების შეტევებისგან სრული დაცვისთვის, გირჩევთ, დააყენოთ შემდეგი პარამეტრები: სერტიფიკატის შეკავშირების ძლიერი აღსრულება, სრული kdc, ყოველთვის ჩართოთ pac, კი, kdc, მოითხოვოს კანონიზაცია, კი.
• CVE-2026-20833 დაუცველობის დასაბლოკად, KDC-ის ნაგულისხმევ პარამეტრებში დომენის დაშიფვრის მეთოდი შეიცვალა AES-ით („kdc default domain supported enctypes“ პარამეტრი დაყენებულია „aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96“).

წყარო: opennet.ru