Презентирано е изданието Samba 4.17.0, кое го продолжува развојот на гранката Samba 4 со полноправна имплементација на контролер на домен и услуга Active Directory која е компатибилна со имплементацијата на Windows 2008 и е во состојба да ги опслужува сите верзии на Клиенти на Windows поддржани од Microsoft, вклучувајќи го и Windows 11. Samba 4 е мултифункционален серверски производ, кој исто така обезбедува имплементација на серверот за датотеки, услугата за печатење и серверот за идентитет (winbind).
Клучни промени во Samba 4.17:
- Направена е работа за елиминирање на регресиите во работата на зафатените SMB сервери кои се појавија како резултат на додавање заштита од пропусти за манипулација со симболичка врска. Меѓу извршените оптимизации, се споменува намалување на системските повици при проверка на името на директориумот и некористење на настани за будење при обработка на конкурентни операции што доведуваат до одложувања.
- Обезбедена е можност да се изгради Samba без поддршка за протоколот SMB1 во smbd. За да се оневозможи SMB1, опцијата „--without-smb1-server“ се имплементира во скриптата за конфигурирање на градбата (влијае само на smbd; поддршката за SMB1 се задржува во библиотеките на клиентите).
- Кога се користи MIT Kerberos 1.20, способноста да се спротивстави на нападот на бронзениот бит (CVE-2020-17049) се имплементира со пренос на дополнителни информации помеѓу компонентите KDC и KDB. Во стандардниот KDC со седиште во Heimdal Kerberos, проблемот беше поправен во 2021 година.
- Кога е изграден со MIT Kerberos 1.20, контролерот на домен базиран на Samba сега ги поддржува екстензиите Kerberos S4U2Self и S4U2Proxy, а исто така ја додава способноста за Delegation со ограничени ресурси (RBCD). За управување со RBCD, подкомандите „add-principal“ и „del-principal“ се додадени во командата „samba-tool delegation“. Стандардниот KDC базиран на Heimdal Kerberos сè уште не поддржува РБЦД режим.
- Вградената DNS услуга обезбедува можност за промена на мрежната порта што прима барања (на пример, да се стартува друг DNS сервер на истиот систем кој пренасочува одредени барања кон Samba).
- Во компонентата CTDB, која е одговорна за работата на конфигурациите на кластерите, барањата за синтаксата на датотеката ctdb.tunables се намалени. Кога се гради Samba со опциите „--with-cluster-support“ и „--systemd-install-services“, се инсталира системската услуга за CTDB. Скриптата ctdbd_wrapper е прекината - процесот ctdbd сега се стартува директно од услугата systemd или од почетната скрипта.
- Имплементирана е поставката „nt hash store = никогаш“, која забранува складирање на „голи“ (без сол) хаш на корисничките лозинки на Active Directory. Во следната верзија, стандардната поставка „nt hash store“ ќе биде поставена на „auto“, во која ќе се применува режимот „never“ доколку е присутна поставката „ntlm auth = disabled“.
- Предложено е врзување за пристап до API на библиотеката smbconf од кодот на Python.
- Програмата smbstatus ја имплементира можноста за излез на информации во JSON формат (овозможено со опцијата „-json“).
- Контролерот на доменот ја поддржува безбедносната група „Заштитени корисници“, која се појави во Windows Server 2012 R2 и не дозволува употреба на слаби типови на шифрирање (за корисниците во групата, поддршка за NTLM автентикација, Kerberos TGT базирани на RC4, ограничени и неограничени делегирањето е оневозможено).
- Поддршката за складирањето лозинки и методот за автентикација базирана на LanMan е прекината (поставката „lanman auth=yes“ сега нема ефект).
Извор: opennet.ru