ProHoster > Blog > vaovao amin'ny Internet > Famoahana Samba 4.24.0

Famoahana Samba 4.24.0

Rehefa afaka 6 volana namolavolana azy, dia navoaka ny Samba 4.24.0, izay nanohy ny fampandrosoana ny sampana Samba 4 miaraka amin'ny fampiharana feno ny mpanara-maso domaine sy ny serivisy Active Directory mifanaraka amin'ny fampiharana. Windows Server ary afaka manohana ny dikan-teny rehetra tohanan'ny Microsoft Windows- mpanjifa, anisan'izany Windows Samba 4 dia vokatra mpizara maro samihafa izay manome mpizara rakitra, serivisy fanontana ary mpizara fanamarinana (winbind). Ny kaodin'ny tetikasa dia nosoratana tamin'ny C ary zaraina eo ambanin'ny lisansa GPLv3.

Fanovana lehibe ao amin'ny Samba 4.24:

  • Nampiana môdioly VFS vaovao, vfs_aio_ratelimit, mba hamerana ny tahan'ny asa fampidirana/fivoahana tsy mifanindry (AIO). Azo faritana amin'ny bytes isan-tsegondra na asa isan-tsegondra ny fetra. Rehefa mihoatra ny fetra voafaritra, dia manomboka mampiditra fahatarana artifisialy amin'ny asa tsy mifanindry ny môdioly mba hihazonana ny fetra ambony voafaritra.
  • Ny môdioly VFS vfs_ceph_new dia manohana ny protokol Keybridge RPC sy ny fomba FSCrypt ho an'ny fanafenana angona sy anaran-drakitra ao amin'ny rafitra rakitra CephFS. Azo alefa isaky ny lahatahiry ny fanafenana.
  • Ao amin'ny môdioly VFS vfs_streams_xattr, izay ahafahanao mitahiry reniranon-drakitra hafa NTFS ao anaty toetra rakitra mivelatra (xattr) ao amin'ny Linux, nampiana ny fikirana "streams_xattr:max xattrs isaky ny stream", izay mamaritra ny isan'ny xattrs azo ampiasaina hitehirizana angona. Linux Voafetra ho 65536 bytes ny haben'ny xattr, saingy ny XFS dia mamela ny fampifandraisana xattr mihoatra ny iray amin'ny rakitra tokana, ka mamela ny xattr maromaro hampiasaina hitehirizana hatramin'ny 1 MB amin'ny angona hafa.
  • Nampiharina ny fanohanana ny fanaraha-maso ny fampahalalana mifandraika amin'ny fanamarinana. Nampiana ny kilasy debug "dsdb_password_audit" sy "dsdb_password_json_audit" mba hanehoana ny fiovana amin'ny toetran'ny Active Directory altSecurityIdentities, dNSHostName, msDS-AdditionalDnsHostName, msDS-KeyCredentialLink, ary servicePrincipalName ao amin'ny log.
  • Nampiana fanohanana ho an'ny rafitra fitantanana tenimiafina ivelany Microsoft Entra ID sy Keycloak, izay mampiasa ny asa famerenana tenimiafina (SSPR, famerenana tenimiafina) rehefa manova tenimiafina tsy mila mandefa ny tenimiafina taloha any amin'ny mpanara-maso domainMba hampiharana ireo politika mifehy ny fahataperan'ny tenimiafina, dia misy masontsivana fanampiny ("fanoroana momba ny politikan'ny tenimiafina") ampiasaina mandritra ny famerenana ny tenimiafina, izay ahafahana mihevitra ny fandidiana ho toy ny fanovana tenimiafina mahazatra. Raisin'ny Samba an-tsaina ireo masontsivana ireo rehefa mampihatra politika eo an-toerana mifandraika amin'ny tenimiafina.
  • Nampiana fanohanana ny rafitra fanamarinana Kerberos PKINIT KeyTrust, izay ahafahana mampiasa ny fomba " amin'ny mpanara-maso sehatra mifototra amin'ny Samba sy Heimdal KDC.Windows "Manahoana ho an'ny Business Key-Trust logins" mba hampiasana ny rafitra fanamarinana PKINIT miaraka amin'ny fanalahidy nosoniavina ho azy. Nampiana tao amin'ny utility samba-tool ny baiko "user|computer keytrust" mba hanampiana sy hijerena ny fanalahidy ho an'ny daholobe. Ny fampahalalana momba ny fanalahidy ho an'ny daholobe dia voatahiry ao amin'ny kaonty amin'ny alàlan'ny toetra msDS-KeyCredentialLink.
  • Nampiana fanohanana ny fanitarana ny protocole Kerberos PKINIT ho an'ny fanaovana sarintany fanalahidy amin'ny mpanara-maso sehatra Samba sy Heimdal KDC.Windows Sarintanin'ny lakile matanjaka sy azo ovaina, ampiasaina amin'ny fanamarinana lakile ampahibemaso. Amin'ny ankapobeny, ny sarintany mari-pahaizana marina ihany no azo atao ("fampiharana matanjaka amin'ny fametahana taratasy fanamarinana = feno"), fa azo atao ihany koa ny sarintany azo ovaina ("fampiharana matanjaka amin'ny fametahana taratasy fanamarinana = mifanaraka"), izay mamela ny taratasy fanamarinana vaovao kokoa noho ny kaontin'ny mpampiasa. Ny angon-drakitra momba ny sarintany taratasy fanamarinana ho an'ny kaonty dia voatahiry ao amin'ny toetra altSecurityIdentities.
  • Nampiana fanohanana ny fanitarana ny protocole "Kerberos PKINIT SID", ahafahana mampiasa mari-pankasitrahana misy Object SID ho an'ny fanamarinana. Nampiana tao amin'ny fitaovana samba-tool ho an'ny fanasoniavana mari-pankasitrahana ny baiko "user|computer generate-csr".
  • Ny fampiharana KDC (Key Distribution Center) mahazatra dia mamerina rafitra PAC (Privilege Attribute Certificate) misy angon-drakitra momba ny tombontsoan'ny mpampiasa, na voafaritra ao amin'ny fangatahan'ny mpanjifa na tsia ny saha PA-PAC-REQUEST. Mba hiverenana amin'ny fihetsika teo aloha, dia azo ampiasaina ny fikirana "kdc always generate pac = no".
  • Manana fikirana vaovao antsoina hoe "kdc require canonicalization" ny KDC, izay rehefa apetraka amin'ny "yes" dia mitaky ny mpanjifa hangataka ny fananganan-anarana ho canonical rehefa miditra amin'ny mpizara fanamarinana (AS_REQ). Raha tsy angatahina ny fanamarinana ho canonical, dia hamerina ny hadisoana "user unknown" ny mpizara. Ao amin'ny tambajotra misy mpampiasa mampiasa OS Windows, ny fampandehanana ny fikirana vaovao dia tsy tokony hiteraka olana, satria Windows-Ny mpanjifa dia mangataka ny fanovana ho canonical foana amin'ny alàlan'ny default.

    Ny fanovana tsy maintsy atao ho kanonika dia manampy amin'ny fiarovana amin'ny fanafihana "dolar ticket", izay manararaotra ny zava-misy fa ny anarana mpampiasa dia azo faritana amin'ny fomba samihafa ("user" sy "user$") ary azo karakaraina amin'ny fomba samihafa amin'ny fanehoana kanonika sy tsy kanonika. Ny votoatin'ny fanafihana dia ny hoe ny mpanafika dia afaka, ohatra, mamorona kaonty solosaina antsoina hoe "root$" ao amin'ny AD ary mampiasa izany mba hahazoana tapakila avy amin'ny KDC amin'ny fandefasana ny anarana mpampiasa "root" fa tsy "root$" ao amin'ny fangatahana. Ny KDC, raha tsy mahita ny mpampiasa "root", dia hikarakara ny fangatahana ao anatin'ny teny manodidina ny mpampiasa "root$" ary hamoaka tapakila izay azo ampiasaina hifandraisana amin'ny maha-mpampiasa root amin'ny alàlan'ny SSH na NFS. Linux-mpizara miaraka amin'ny SSSD.

  • Nampiana vahaolana ho an'ny fanafihana "dollar ticket" tao amin'ny KDC ho an'ny fikirakirana izay tsy maintsy anaovana fangatahana canonicalization anarana ("kdc require canonicalization = no" dia alefa amin'ny alàlan'ny default). Amin'ny alàlan'ny default, raha tsy nangataka canonicalization ny mpanjifa ary tsy hita ny anarana hojerena, dia manao fanamarinana fanampiny ny mpizara amin'ny alàlan'ny fanampiana ny endri-tsoratra "$" amin'ny anarana. Ny fikirana vaovao "kdc name match implicit dollar without canonicalization = no" dia ahafahanao manafoana io fihetsika io ary manao fanamarinana mazava ihany (ao anatin'ny fanafihana voalaza etsy ambony, ny mpizara dia tsy hanamarina ny anarana "root$" rehefa mangataka "root").
  • Amin'ny ankapobeny, ny Heimdal KDC dia mandefa anarana efa voatokana (sAMAccountName avy amin'ny PAC) any amin'ny serivisy Kerberos fa tsy ny sandan'ny cname tany am-boalohany. Raha te hiverina amin'ny fomba fiasa taloha, ampiasao ny fikirana "krb5 acceptor report canonical client name = no".
  • Ho fiarovana tanteraka amin'ny fanafihana amin'ny alalan'ny "doubles ticket", dia manoro hevitra izahay ny hametraka ireto fikirana manaraka ireto: fampiharana matanjaka ny "certificate binding", "full kdc", "always include pac", "yes", "kdc", "require canonicalization", "yes".
  • Mba hanakanana ny fahalemena CVE-2026-20833, dia novaina ho AES ny fomba fanafenana sehatra ao amin'ny fikirana KDC mahazatra (ny fikirana "kdc default domain supported enctypes" dia napetraka ho "aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96").

Source: opennet.ru

Mividiana fampiantranoana azo antoka ho an'ny tranokala misy fiarovana DDoS, mpizara VPS VDS 🔥 Mividiana fampiantranoana tranonkala azo antoka miaraka amin'ny fiarovana DDoS, mpizara VPS VDS | ProHoster