Tiek prezentēts Samba 4.17.0 laidiens, kas turpina Samba 4 filiāles attīstību ar pilnvērtīgu domēna kontrollera ieviešanu un Active Directory pakalpojumu, kas ir savietojams ar Windows 2008 ieviešanu un spēj apkalpot visas versijas Microsoft atbalstītie Windows klienti, tostarp Windows 11. Samba 4 ir daudzfunkcionāls servera produkts , kas nodrošina arī failu servera, drukas pakalpojuma un identitātes servera (winbind) ieviešanu.
Galvenās Samba 4.17 izmaiņas:
- Ir veikts darbs, lai novērstu noslogotu SMB serveru veiktspējas regresijas, kas parādījās, pievienojot aizsardzību pret simlinku manipulācijas ievainojamībām. Starp veiktajām optimizācijām ir minēts sistēmas izsaukumu samazināšana, pārbaudot direktorija nosaukumu, un modināšanas notikumu neizmantošana, apstrādājot konkurējošas darbības, kas izraisa aizkavi.
- Ir nodrošināta iespēja izveidot Samba bez SMB1 protokola atbalsta smbd. Lai atspējotu SMB1, konfigurēšanas veidošanas skriptā ir ieviesta opcija “--without-smb1-server” (ietekmē tikai smbd; SMB1 atbalsts tiek saglabāts klientu bibliotēkās).
- Izmantojot MIT Kerberos 1.20, iespēja cīnīties pret bronzas bitu uzbrukumu (CVE-2020-17049) tiek īstenota, pārsūtot papildu informāciju starp KDC un KDB komponentiem. Noklusējuma Heimdal Kerberos balstītajā KDC problēma tika novērsta 2021. gadā.
- Izstrādājot ar MIT Kerberos 1.20, uz Samba balstītais domēna kontrolleris tagad atbalsta Kerberos paplašinājumus S4U2Self un S4U2Proxy, kā arī pievieno iespēju izmantot resursiem balstītu ierobežotu deleģēšanu (RBCD). Lai pārvaldītu RBCD, komandai "samba-tool delegation" ir pievienotas apakškomandas "add-principal" un "del-principal". Noklusējuma KDC uz Heimdal Kerberos bāzes vēl neatbalsta RBCD režīmu.
- Iebūvētais DNS pakalpojums nodrošina iespēju mainīt tīkla portu, kas saņem pieprasījumus (piemēram, tajā pašā sistēmā palaist citu DNS serveri, kas novirza noteiktus pieprasījumus uz Samba).
- CTDB komponentā, kas ir atbildīgs par klasteru konfigurāciju darbību, ir samazinātas prasības faila ctdb.tunables sintaksei. Veidojot Samba ar opcijām “--with-cluster-support” un “--systemd-install-services”, tiek nodrošināta CTDB systemd pakalpojuma instalēšana. Skripts ctdbd_wrapper ir pārtraukts — ctdbd process tagad tiek palaists tieši no systemd pakalpojuma vai no sākuma skripta.
- Ir ieviests iestatījums “nt hash store = never”, kas aizliedz glabāt Active Directory lietotāju paroļu jaucējus (bez sāls). Nākamajā versijā noklusējuma iestatījums “nt hash store” tiks iestatīts uz “auto”, kurā tiks lietots režīms “nekad”, ja ir pieejams iestatījums “ntlm auth = atspējots”.
- Ir ierosināta saistīšana, lai piekļūtu smbconf bibliotēkas API no Python koda.
- Programma smbstatus ievieš iespēju izvadīt informāciju JSON formātā (iespējota ar opciju “-json”).
- Domēna kontrolleris atbalsta drošības grupu “Protected Users”, kas parādījās operētājsistēmā Windows Server 2012 R2 un neļauj izmantot vājus šifrēšanas veidus (grupas lietotājiem atbalsts NTLM autentifikācijai, Kerberos TGT, pamatojoties uz RC4, ierobežoti un neierobežoti deleģēšana ir atspējota).
- Uz LanMan balstītā paroļu krātuves un autentifikācijas metodes atbalsts ir pārtraukts (iestatījumam "lanman auth=yes" tagad nav nekādas ietekmes).
Avots: opennet.ru