ProHoster > Blog > интернет жаңылыктары > Samba 4.20.0 чыгарылышы

Samba 4.20.0 чыгарылышы

6 айлык иштеп чыгуудан кийин, Samba 4.20.0 чыгарылды, ал Samba 4 бутагын өнүктүрүүнү домен контроллеринин толук ишке ашырылышы жана ишке ашырууга шайкеш келген Active Directory кызматы менен улантты. Windows 2008 жана Microsoft тарабынан колдоого алынган бардык версияларды иштете алат Windows- кардарлар, анын ичинде Windows 11. Samba 4 – бул файл серверин, басып чыгаруу кызматын жана аутентификация серверин (winbind) да камсыз кылган көп функциялуу сервер продуктусу.

Samba 4.20деги негизги өзгөрүүлөр:

  • Демейки шартта, WSP протоколу үчүн эксперименталдык кардарды ишке ашыруу менен жаңы "wspsearch" утилитасын куруу иштетилген (Windows Издөө протоколу). Утилита сизге издөө сурамдарын жөнөтүүгө мүмкүндүк берет Windows- WSP кызматы иштеп жаткан сервер.
  • "smbcacls" буйругу эми DACLдерди файлга жазууну жана файлдан DACLдерди калыбына келтирүүнү колдойт. Маалыматтар төмөнкү тарабынан колдоого алынган форматта сакталат Windows- сакталган DACL (Дискрециялык кирүүнү башкаруу тизмеси) менен файлдарды көчүрүүнү камсыз кылган 'icacls.exe' утилитасы.
  • Борборлоштурулган Active Directory кирүү саясаттары үчүн кеңейтүүлөр (Дооматтар), аутентификация саясаттары (Ауттентификация саясаттары) жана саясат контейнерлери (Аутентификация силосу) “samba-tool” утилитасына кошулду. Samba куралы эми колдонуучунун аныктыгын текшерүү саясатына кире алаар-албасын аныктаган эрежелерде кийинчерээк колдонуу үчүн дооматтарга байланыштыруу үчүн колдонулушу мүмкүн.

    Кошумчалай кетсек, samba куралы эми аныктыгын текшерүү саясаттарын түзүү жана башкаруу, ошондой эле саясат контейнерлерин түзүү жана башкаруу үчүн колдонулушу мүмкүн. Мисалы, samba куралын колдонуу менен колдонуучу кайдан жана кайдан туташа аларын, NTLM иштетилген болсо жана кайсы кызматтарда колдонуучу аныктыгын текшере аларын аныктай аласыз.

  • Samba негизиндеги контроллерде домен Active Directory эми samba-tool утилитасын колдонуп түзүлгөн же Microsoft AD конфигурацияларынан импорттолгон аутентификация саясаттарын (Authentication Policies) жана саясат контейнерлерин (Authentication Silos) колдойт. Бул функция Active Directory функционалдык деңгээли кеминде 2012_R2 болгон системаларда гана жеткиликтүү (smb.conf файлында "ad dc функционалдык деңгээли = 2016").
  • samba-tool утилитасы автоматтык түрдө жаңыртылган сырсөздөрдү колдонгон gMSA (Топтук Башкарылуучу Кызмат Аккаунту) аккаунттары үчүн кардар тарабындагы колдоо менен жаңыртылды. samba-toolдо берилген, мурда жергиликтүү sam.ldb маалымат базасы менен гана колдонулуучу сырсөздү башкаруу буйруктарын эми тышкы маалымат базасына колдонсо болот. сервер аутентификацияланган кирүү үчүн -H ldap://$DCNAME опциясын колдонуңуз. Колдоого алынган операцияларга төмөнкүлөр кирет: учурдагы жана мурунку gMSA сырсөзүн окуу үчүн samba-tool user getpassword; Kerberos TGT (Билет берүү билети) файлын жергиликтүү аккаунт кэшине жазуу үчүн samba-tool user get-kerberos-ticket.
  • Кошумча шарттарга жараша кирүүгө уруксат берүүгө же бөгөт коюуга мүмкүндүк берүүчү шарттуу кирүүнү башкаруу жазуулары үчүн кошумча колдоо (шарттуу ACEs) - шарттуу туюнтма иштебесе, ACE этибарга алынбайт, антпесе ал кадимки ACE катары колдонулат. Шарттуу текшерүүлөр система ресурсунун атрибуттары (Ресурс атрибуту ACEs) тарабынан сүрөттөлгөн корголгон объектинин атрибуттарына да колдонулушу мүмкүн.
  • ctdb кластерин ишке ашыруу MS-SWN (Кызматтын күбөсү протоколу) кызматын көрсөтүү мүмкүнчүлүгүн кошту, анын жардамы менен кардарлар кластердик түйүндөргө SMB байланыштарын көзөмөлдөй алышат. Мисалы, "A" түйүнүнө туташкан кардар, "А" түйүнүнө жетүүгө мүмкүн болбосо, "В" түйүнүнө билдирме жөнөтүүнү суранышы мүмкүн. Кызматты башкаруу үчүн кластердин администраторуна катталган кардарларды көрүүгө жана туташууну өткөрүп берүүнү суранууга мүмкүндүк берүүчү "net witness [list|client-move|share-move|force-unregister|force-response]" буйруктарынын сериясы сунушталат. башка кластердик түйүндөргө.
  • Active Directory домен контроллери катары иштеп жаткан MIT Kerberos5 конфигурациялары азыр жок дегенде MIT Krb5 1.21 версиясын талап кылат, ал CVE-2022-37967 аялуулугунан кошумча коргоону кошот.
  • Импорттолгон Heimdal Kerberos менен курууда, Perl JSON модулун мындан ары орнотуу талап кылынбайт, анын ордуна Perl5 орнотулган JSON::PP модулу колдонулат.
  • Сырсөздү аныктоо жана синхрондоштуруу үчүн колдонулган "samba-tool user getpassword" жана "samba-tool user syncpasswords" буйруктары ";rounds=" параметрин virtualCryptSHA256 жана virtualCryptSHA512 атрибуттары менен (мисалы, '—атрибуттары) колдонууда өз натыйжаларын өзгөрттү. ="virtualCryptSHA256; rounds=50000″'). Болду: virtualCryptSHA256: {CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF Азыр: virtualCryptSHA256;rounds=2561:{CRYPT}$5$rounds=2561$hXem.M9onhM9VixF
  • MS-WKST (Workstation Service Remote Protocol) ишке ашыруусу учурда системада иштеп жаткан колдонуучулар тууралуу маалыматтарды сактаган /var/run/utmp файлынын мазмунуна негизделген туташкан колдонуучулардын тизмесин көрсөтүүнү колдобойт. utmp колдоосу форматтын 2038-жылдагы чыгарылышына ылайыктуулугунан улам токтотулган.

Source: opennet.ru

DDoS коргоосу, VPS VDS серверлери бар сайттар үчүн ишенимдүү хостинг сатып алыңыз 🔥 DDoS коргоосу, VPS VDS серверлери бар ишенимдүү веб-сайт хостингин сатып алыңыз | ProHoster