Samba 4.17.0 шығарылды, ол Samba 4 тармағының дамуын домен контроллерінің толық іске асырылуымен және іске асырумен үйлесімді Active Directory қызметімен жалғастырады. Windows 2008 және Microsoft қолдайтын барлық нұсқаларын өңдей алады Windows- клиенттер, соның ішінде Windows 11. Samba 4 - файл серверін, басып шығару қызметін және аутентификация серверін (winbind) ұсынатын көпфункционалды сервер өнімі.
Samba 4.17 жүйесіндегі негізгі өзгерістер:
- Symlink манипуляциясының осалдықтарынан қорғауды қосу нәтижесінде пайда болған бос емес SMB серверлерінің жұмысындағы регрессияларды жою бойынша жұмыс жүргізілді. Жүргізілген оңтайландырулардың ішінде каталог атын тексеру кезінде жүйелік қоңырауларды азайту және кідірістерге әкелетін бәсекелес операцияларды өңдеу кезінде ояту оқиғаларын пайдаланбау туралы айтылады.
- smbd ішіндегі SMB1 протоколын қолдаусыз Samba құру мүмкіндігі қамтамасыз етілді. SMB1 өшіру үшін "--without-smb1-server" опциясы конфигурация құрастыру сценарийінде жүзеге асырылады (тек smbd-ге әсер етеді; SMB1 қолдауы клиент кітапханаларында сақталады).
- MIT Kerberos 1.20 нұсқасын пайдаланған кезде қола биттік шабуылға қарсы тұру мүмкіндігі (CVE-2020-17049) KDC және KDB құрамдастары арасында қосымша ақпаратты тасымалдау арқылы жүзеге асырылады. Әдепкі Heimdal Kerberos негізіндегі KDC-де мәселе 2021 жылы түзетілді.
- Контроллерде MIT Kerberos 1.20 көмегімен құрастырған кезде домен S4U2Self және S4U2Proxy Kerberos кеңейтімдерін қолдау Samba, сондай-ақ ресурстарға негізделген шектеулі делегация (RBCD) арқылы жүзеге асырылды. RBCD басқару үшін «samba-tool delegation» командасына «add-principal» және «del-principal» қосалқы командалары қосылды. RBCD әлі Heimdal Kerberos негізіндегі әдепкі KDC-де қолдау таппайды.
- Кірістірілген DNS қызметі сұрауларды қабылдайтын желілік портты өзгерту мүмкіндігін береді (мысалы, белгілі бір сұрауларды Samba-ға қайта бағыттайтын сол жүйеде басқа DNS серверін іске қосу).
- Кластер конфигурацияларының жұмысына жауап беретін CTDB құрамдас бөлігінде ctdb.tunables файлының синтаксисіне қойылатын талаптар төмендетілді. Samba-ны “--with-cluster-support” және “--systemd-install-services” опцияларымен құру кезінде CTDB үшін жүйелік қызметті орнату қамтамасыз етіледі. ctdbd_wrapper сценарийі тоқтатылды - ctdbd процесі енді тікелей systemd қызметінен немесе init сценарийінен іске қосылады.
- Active Directory пайдаланушы құпия сөздерінің «жалаңаш» (тұзсыз) хэштерін сақтауға тыйым салатын «nt хэш қоймасы = ешқашан» параметрі енгізілді. Келесі нұсқада әдепкі «nt хэш қоймасы» параметрі «авто» күйіне орнатылады, онда «ntlm auth = өшірілген» параметрі бар болса, «ешқашан» режимі қолданылады.
- Python кодынан smbconf кітапханасының API интерфейсіне қатынасу үшін байланыстыру ұсынылды.
- Smbstatus бағдарламасы ақпаратты JSON пішімінде шығару мүмкіндігін жүзеге асырады («-json» опциясымен қосылған).
- Домен контроллері енді 2001 жылы енгізілген Қорғалған пайдаланушылар қауіпсіздік тобын қолдайды Windows Server 2012 R2 және әлсіз шифрлау түрлерін пайдалануға рұқсат бермейді (NTLM аутентификациясын қолдау, RC4 негізіндегі Kerberos TGT, топтағы пайдаланушылар үшін шектеулі және шектеусіз делегация өшірілген).
- LanMan негізіндегі құпия сөз қоймасы мен аутентификация әдісін қолдау тоқтатылды («lanman auth=yes» параметрі енді әсер етпейді).
Ақпарат көзі: opennet.ru
