D'Samba 4.17.0 Verëffentlechung gëtt presentéiert, déi d'Entwécklung vun der Samba 4 Branche weiderfuere mat enger vollwäerter Implementatioun vun engem Domain Controller an engem Active Directory Service dee kompatibel ass mat der Implementatioun vu Windows 2008 a fäeg ass all Versioune vun Windows Clienten ënnerstëtzt vu Microsoft, dorënner Windows 11. Samba 4 ass e multifunktionnelle Serverprodukt, deen och eng Implementatioun vum Dateiserver, Drockservice an Identitéitsserver (winbind) ubitt.
Schlëssel Ännerungen am Samba 4.17:
- D'Aarbecht gouf gemaach fir Regressiounen an der Leeschtung vu beschäftegten SMB-Server ze eliminéieren, déi als Resultat erschéngen, Schutz géint Symlink-Manipulatiounsschwieregkeeten ze addéieren. Ënnert den duerchgefouerten Optimisatiounen gëtt ernimmt d'Reduktioun vun de Systemanrufe beim Iwwerpréiwen vum Verzeechnesnumm an d'Benotzung vun Wakeup-Evenementer net beim Veraarbechtung vun kompetitiven Operatiounen, déi zu Verspéidungen féieren.
- D'Kapazitéit fir Samba ze bauen ouni Ënnerstëtzung fir de SMB1 Protokoll am smbd gouf zur Verfügung gestallt. Fir SMB1 auszeschalten, gëtt d'Optioun "--ouni-smb1-Server" am Konfiguratiouns-Build-Skript implementéiert (betraff nëmmen smbd; Ënnerstëtzung fir SMB1 gëtt a Clientbibliothéike behalen).
- Wann Dir MIT Kerberos 1.20 benotzt, gëtt d'Fäegkeet fir de Bronze Bit Attack (CVE-2020-17049) ze entgéintwierken andeems Dir zousätzlech Informatioun tëscht de KDC a KDB Komponenten transferéiert. Am Standard Heimdal Kerberos-baséiert KDC gouf de Problem am Joer 2021 fixéiert.
- Wann gebaut mat MIT Kerberos 1.20, ënnerstëtzt de Samba-baséiert Domain Controller elo d'Kerberos Extensiounen S4U2Self an S4U2Proxy, a füügt och d'Fäegkeet fir Resource Based Constrained Delegation (RBCD). Fir RBCD ze managen, sinn d''add-principal' an 'del-principal' Ënnerbefehle fir de Kommando "samba-tool delegation" bäigefüügt. De Standard Heimdal Kerberos-baséiert KDC ënnerstëtzt nach net de RBCD Modus.
- Den agebauten DNS-Service bitt d'Fäegkeet den Netzhafen z'änneren, deen Ufroe kritt (zum Beispill fir en aneren DNS-Server op deemselwechte System ze lafen, dee bestëmmte Ufroen op Samba ëmgeleet).
- An der CTDB Komponent, déi fir d'Operatioun vu Clusterkonfiguratiounen verantwortlech ass, sinn d'Ufuerderunge fir d'Syntax vun der ctdb.tunables Datei reduzéiert ginn. Wann Dir Samba mat den Optiounen "--mat-Cluster-Support" an "--systemd-install-services" baut, ass d'Installatioun vum systemd Service fir CTDB gesuergt. De ctdbd_wrapper Skript gouf gestoppt - de ctdbd Prozess gëtt elo direkt vum Systemd Service oder vun engem Init Skript gestart.
- D'Astellung 'nt Hash store = ni' gouf ëmgesat, wat d'Späichere vun "plakeg" (ouni Salz) Hashes vun Active Directory Benotzerpasswierder verbitt. An der nächster Versioun gëtt d'Standard 'nt hash store' Astellung op "auto" gesat, an deem den "ni" Modus applizéiert gëtt wann d'ntlm auth = behënnert Astellung präsent ass.
- Eng Bindung gouf proposéiert fir Zougang zu der smbconf Bibliothéik API vum Python Code.
- De smbstatus Programm implementéiert d'Fäegkeet fir Informatioun am JSON Format auszeginn (aktivéiert mat der "-json" Optioun).
- Den Domain Controller ënnerstëtzt d'Sécherheetsgrupp "Protected Users", déi am Windows Server 2012 R2 erschéngt an net d'Benotzung vu schwaache Verschlësselungstypen erlaabt (fir Benotzer an der Grupp, Ënnerstëtzung fir NTLM Authentifikatioun, Kerberos TGTs baséiert op RC4, ageschränkt an onbeschränkt Delegatioun ass behënnert).
- Ënnerstëtzung fir de LanMan-baséierte Passwuertgeschäft an d'Authentifikatiounsmethod gouf gestoppt (d'Astellung "lanman auth=yes" huet elo keen Effekt).
Source: opennet.ru