삼바 4.17.0 릴리스

Samba 4.17.0이 출시되었습니다. 이 버전은 도메인 컨트롤러와 해당 구현과 호환되는 Active Directory 서비스를 완벽하게 구현하여 Samba 4 브랜치의 개발을 지속하고 있습니다. Windows 2008년 버전부터 Microsoft에서 지원하는 모든 버전을 처리할 수 있습니다. Windows-고객사(다음 포함) Windows 11. Samba 4는 파일 서버, 인쇄 서비스 및 인증 서버(winbind)를 제공하는 다기능 서버 제품입니다.

Samba 4.17의 주요 변경 사항:

• 심볼릭 링크 조작 취약점에 대한 보호 기능을 추가한 결과 사용량이 많은 SMB 서버의 성능 저하를 제거하기 위한 작업이 수행되었습니다. 수행된 최적화 중에는 디렉터리 이름을 확인할 때 시스템 호출을 줄이고 지연을 초래하는 경쟁 작업을 처리할 때 웨이크업 이벤트를 사용하지 않는 것이 언급되어 있습니다.
• smbd에서 SMB1 프로토콜을 지원하지 않고 Samba를 구축하는 기능이 제공되었습니다. SMB1을 비활성화하려면 구성 빌드 스크립트에서 "--without-smb1-server" 옵션이 구현됩니다(smbd에만 영향을 미치며 SMB1에 대한 지원은 클라이언트 라이브러리에서 유지됩니다).
• MIT Kerberos 1.20을 사용할 때 Bronze Bit 공격(CVE-2020-17049)에 대응하는 기능은 KDC와 KDB 구성 요소 간에 추가 정보를 전송하여 구현됩니다. 기본 Heimdal Kerberos 기반 KDC에서는 이 문제가 2021년에 수정되었습니다.
• 컨트롤러에서 MIT Kerberos 1.20을 사용하여 빌드할 때 도메인 Samba를 사용하여 S4U2Self 및 S4U2Proxy Kerberos 확장 기능과 리소스 기반 제약 위임(RBCD)을 지원합니다. RBCD 관리를 위해 "samba-tool delegation" 명령에 'add-principal' 및 'del-principal' 하위 명령이 추가되었습니다. 기본 Heimdal Kerberos 기반 KDC에서는 아직 RBCD가 지원되지 않습니다.
• 내장된 DNS 서비스는 요청을 수신하는 네트워크 포트를 변경하는 기능을 제공합니다(예: 특정 요청을 Samba로 리디렉션하는 동일한 시스템에서 다른 DNS 서버 실행).
• 클러스터 구성 작업을 담당하는 CTDB 구성 요소에서 ctdb.tunables 파일 구문에 대한 요구 사항이 감소되었습니다. "--with-cluster-support" 및 "--systemd-install-services" 옵션을 사용하여 Samba를 구축하면 CTDB용 systemd 서비스가 설치됩니다. ctdbd_wrapper 스크립트는 중단되었습니다. 이제 ctdbd 프로세스는 systemd 서비스 또는 init 스크립트에서 직접 시작됩니다.
• Active Directory 사용자 비밀번호의 "네이키드"(솔트 없음) 해시 저장을 금지하는 'nt hash store = never' 설정이 구현되었습니다. 다음 버전에서는 기본 'nt hash store' 설정이 "auto"로 설정되며, 'ntlm auth = 비활성화됨' 설정이 있는 경우 "never" 모드가 적용됩니다.
• Python 코드에서 smbconf 라이브러리 API에 액세스하기 위한 바인딩이 제안되었습니다.
• smbstatus 프로그램은 정보를 JSON 형식("-json" 옵션으로 활성화)으로 출력하는 기능을 구현합니다.
• 도메인 컨트롤러는 이제 2023년에 도입된 Protected Users 보안 그룹을 지원합니다. Windows Server 2012 R2 또한 취약한 암호화 유형(NTLM 인증, RC4 기반 Kerberos TGT, 제한된 위임 및 제한되지 않은 위임 지원)의 사용을 허용하지 않으며, 해당 그룹의 사용자는 이러한 기능이 비활성화됩니다.
• LanMan 기반 비밀번호 저장소 및 인증 방법에 대한 지원이 중단되었습니다(이제 "lanman auth=yes" 설정은 효과가 없습니다).
  
  출처 : opennet.ru