Samba 4.17.0 хувилбарыг танилцуулж байгаа бөгөөд энэ нь Windows 4-ийн хэрэгжилттэй нийцтэй, бүх хувилбарт үйлчлэх боломжтой домэйн хянагч болон Active Directory үйлчилгээг бүрэн хэрэгжүүлсэн Samba 2008 салбарын хөгжлийг үргэлжлүүлж байна. Microsoft-ын дэмждэг Windows клиентүүд, түүний дотор Windows 11. Samba 4 нь олон үйлдэлт серверийн бүтээгдэхүүн бөгөөд файлын сервер, хэвлэх үйлчилгээ, таних сервер (winbind)-ийн хэрэгжилтийг хангадаг.
Samba 4.17 дээрх гол өөрчлөлтүүд:
- Symlink manipulation-ийн эмзэг байдлаас хамгаалалт нэмсний үр дүнд гарч ирсэн завгүй SMB серверүүдийн гүйцэтгэлийн регрессийг арилгах ажил хийгдсэн. Гүйцэтгэсэн оновчлолын дунд лавлах нэрийг шалгахдаа системийн дуудлагыг багасгах, саатал гарахад хүргэдэг өрсөлдөгч үйлдлүүдийг боловсруулахдаа сэрээх үйл явдлуудыг ашиглахгүй байхыг дурьдаж болно.
- smbd дахь SMB1 протоколыг дэмжихгүйгээр Samba-г бүтээх боломжийг олгосон. SMB1-г идэвхгүй болгохын тулд "--without-smb1-server" сонголтыг тохируулах скриптэд хэрэгжүүлсэн (зөвхөн smbd-д нөлөөлдөг; SMB1-ийн дэмжлэг нь үйлчлүүлэгчийн номын санд хадгалагддаг).
- MIT Kerberos 1.20-г ашиглах үед хүрэл битийн халдлагыг (CVE-2020-17049) эсэргүүцэх чадварыг KDC болон KDB бүрэлдэхүүн хэсгүүдийн хооронд нэмэлт мэдээлэл дамжуулах замаар хэрэгжүүлдэг. Анхдагч Heimdal Kerberos-д суурилсан KDC-д асуудлыг 2021 онд зассан.
- MIT Kerberos 1.20-д суурилсан Samba-д суурилсан домэйн хянагч нь Kerberos S4U2Self болон S4U2Proxy өргөтгөлүүдийг дэмждэг бөгөөд нөөцөд суурилсан хязгаарлагдмал төлөөлөгч (RBCD) боломжийг нэмж өгдөг. RBCD-г удирдахын тулд "samba-tool delegation" команд дээр 'add-principal' болон 'del-principal' дэд командуудыг нэмсэн. Анхдагч Heimdal Kerberos дээр суурилсан KDC нь RBCD горимыг хараахан дэмждэггүй.
- Суурилуулсан DNS үйлчилгээ нь хүсэлт хүлээн авдаг сүлжээний портыг өөрчлөх боломжийг олгодог (жишээлбэл, тодорхой хүсэлтийг Samba руу дахин чиглүүлдэг ижил систем дээр өөр DNS сервер ажиллуулах).
- Кластерийн тохиргооны ажиллагааг хариуцдаг CTDB бүрэлдэхүүн хэсэгт ctdb.tunables файлын синтаксийн шаардлагыг багасгасан. Samba-г “--with-cluster-support” болон “--systemd-install-services” сонголтоор бүтээх үед CTDB-д зориулсан systemd үйлчилгээг суурилуулсан байх болно. ctdbd_wrapper скриптийг зогсоосон - ctdbd процессыг одоо systemd үйлчилгээ эсвэл init скриптээс шууд эхлүүлсэн.
- Active Directory хэрэглэгчийн нууц үгийн "нүцгэн" (давсгүй) хэшийг хадгалахыг хориглосон 'nt hash store = never' тохиргоог хэрэгжүүлсэн. Дараагийн хувилбарт анхдагч 'nt hash store' тохиргоог "auto" болгож тохируулах бөгөөд хэрэв "ntlm auth = disabled" тохиргоо байгаа бол "хэзээ ч" горим хэрэгжинэ.
- Python кодоос smbconf номын сангийн API-д хандах холболтыг санал болгосон.
- Smbstatus програм нь мэдээллийг JSON форматаар гаргах чадварыг хэрэгжүүлдэг ("-json" сонголтоор идэвхжүүлсэн).
- Домэйн хянагч нь Windows Server 2012 R2 дээр гарч ирсэн "Хамгаалагдсан хэрэглэгчид" аюулгүй байдлын бүлгийг дэмждэг бөгөөд сул шифрлэлтийн төрлийг ашиглахыг зөвшөөрдөггүй (бүлэгт байгаа хэрэглэгчдийн хувьд, NTLM баталгаажуулалтыг дэмждэг, RC4 дээр суурилсан Kerberos TGTs, хязгаарлагдмал, хязгаарлалтгүй). төлөөлөгч идэвхгүй болсон).
- LanMan-д суурилсан нууц үг хадгалах болон баталгаажуулах аргын дэмжлэгийг зогсоосон ("lanman auth=yes" тохиргоо одоо ямар ч нөлөө үзүүлэхгүй).
Эх сурвалж: opennet.ru