Објавена е верзијата 4.17.0 на Samba, со која се продолжува развојот на гранката 4 на Samba со целосна имплементација на доменски контролер и услуга на Active Directory компатибилна со имплементацијата. Windows 2008 и способен за ракување со сите поддржани верзии од Microsoft Windows- клиенти, вклучувајќи Windows 11. Samba 4 е мултифункционален серверски производ кој исто така обезбедува датотечен сервер, услуга за печатење и сервер за автентикација (winbind).
Клучни промени во Samba 4.17:
- Направена е работа за елиминирање на регресиите во работата на зафатените SMB сервери кои се појавија како резултат на додавање заштита од пропусти за манипулација со симболичка врска. Меѓу извршените оптимизации, се споменува намалување на системските повици при проверка на името на директориумот и некористење на настани за будење при обработка на конкурентни операции што доведуваат до одложувања.
- Обезбедена е можност да се изгради Samba без поддршка за протоколот SMB1 во smbd. За да се оневозможи SMB1, опцијата „--without-smb1-server“ се имплементира во скриптата за конфигурирање на градбата (влијае само на smbd; поддршката за SMB1 се задржува во библиотеките на клиентите).
- Кога се користи MIT Kerberos 1.20, способноста да се спротивстави на нападот на бронзениот бит (CVE-2020-17049) се имплементира со пренос на дополнителни информации помеѓу компонентите KDC и KDB. Во стандардниот KDC со седиште во Heimdal Kerberos, проблемот беше поправен во 2021 година.
- При градење со MIT Kerberos 1.20 во контролерот домен Поддршката за екстензиите S4U2Self и S4U2Proxy Kerberos е имплементирана со користење на Samba, како и ограничено делегирање базирано на ресурси (RBCD). За управување со RBCD, подкомандите „add-principal“ и „del-principal“ се додадени на командата „samba-tool delegation“. RBCD сè уште не е поддржан во стандардниот KDC базиран на Heimdal Kerberos.
- Вградената DNS услуга обезбедува можност за промена на мрежната порта што прима барања (на пример, да се стартува друг DNS сервер на истиот систем кој пренасочува одредени барања кон Samba).
- Во компонентата CTDB, која е одговорна за работата на конфигурациите на кластерите, барањата за синтаксата на датотеката ctdb.tunables се намалени. Кога се гради Samba со опциите „--with-cluster-support“ и „--systemd-install-services“, се инсталира системската услуга за CTDB. Скриптата ctdbd_wrapper е прекината - процесот ctdbd сега се стартува директно од услугата systemd или од почетната скрипта.
- Имплементирана е поставката „nt hash store = никогаш“, која забранува складирање на „голи“ (без сол) хаш на корисничките лозинки на Active Directory. Во следната верзија, стандардната поставка „nt hash store“ ќе биде поставена на „auto“, во која ќе се применува режимот „never“ доколку е присутна поставката „ntlm auth = disabled“.
- Предложено е врзување за пристап до API на библиотеката smbconf од кодот на Python.
- Програмата smbstatus ја имплементира можноста за излез на информации во JSON формат (овозможено со опцијата „-json“).
- Контролерот на доменот сега ја поддржува безбедносната група Заштитени корисници, која беше воведена во Windows Server 2012 R2 и не дозволува употреба на слаби типови на енкрипција (поддршката за NTLM автентикација, Kerberos TGT базирани на RC4, ограничено и неограничено делегирање е оневозможена за корисниците во групата).
- Поддршката за складирањето лозинки и методот за автентикација базирана на LanMan е прекината (поставката „lanman auth=yes“ сега нема ефект).
Извор: opennet.ru
