Huwa ppreżentat ir-rilaxx Samba 4.17.0, li jkompli l-iżvilupp tal-fergħa Samba 4 b'implimentazzjoni sħiħa ta 'kontrollur tad-dominju u servizz ta' Active Directory li huwa kompatibbli mal-implimentazzjoni tal-Windows 2008 u kapaċi jaqdi l-verżjonijiet kollha ta ' Klijenti Windows appoġġjati minn Microsoft, inkluż Windows 11. Samba 4 huwa prodott server multifunzjonali, li jipprovdi wkoll implimentazzjoni tas-server tal-fajls, servizz tal-istampar, u server tal-identità (winbind).
Bidliet ewlenin f'Samba 4.17:
- Sar xogħol biex jiġu eliminati r-rigressjonijiet fil-prestazzjoni ta 'servers SMB okkupati li dehru bħala riżultat taż-żieda ta' protezzjoni kontra vulnerabbiltajiet ta 'manipulazzjoni ta' symlink. Fost l-ottimizzazzjonijiet imwettqa, jissemma t-tnaqqis tas-sejħiet tas-sistema meta jiġi ċċekkjat l-isem tad-direttorju u li ma jintużawx avvenimenti ta 'wakeup meta jiġu pproċessati operazzjonijiet kompetituri li jwasslu għal dewmien.
- Ġiet ipprovduta l-abbiltà li tibni Samba mingħajr appoġġ għall-protokoll SMB1 f'smbd. Biex tiddiżattiva SMB1, l-għażla "--without-smb1-server" hija implimentata fil-konfigurazzjoni tal-iskript tal-bini (taffettwa biss smbd; l-appoġġ għal SMB1 jinżamm fil-libreriji tal-klijenti).
- Meta tuża MIT Kerberos 1.20, il-kapaċità li tiġġieled l-attakk Bronze Bit (CVE-2020-17049) hija implimentata billi tiġi trasferita informazzjoni addizzjonali bejn il-komponenti KDC u KDB. Fil-KDC default ibbażat fuq Heimdal Kerberos, il-kwistjoni ġiet irranġata fl-2021.
- Meta jinbena b'MIT Kerberos 1.20, il-kontrollur tad-dominju bbażat fuq Samba issa jappoġġja l-estensjonijiet Kerberos S4U2Self u S4U2Proxy, u jżid ukoll il-kapaċità għal Delegazzjoni Ristretta Ibbażata fuq Riżorsi (RBCD). Biex timmaniġġja l-RBCD, is-sottokmandi 'add-principal' u 'del-principal' ġew miżjuda mal-kmand ta' "delegazzjoni ta' għodda samba". Il-KDC default ibbażat fuq Heimdal Kerberos għadu ma jappoġġjax il-mod RBCD.
- Is-servizz DNS inkorporat jipprovdi l-abbiltà li jibdel il-port tan-netwerk li jirċievi t-talbiet (pereżempju, biex iħaddem server DNS ieħor fuq l-istess sistema li tidderieġi mill-ġdid ċerti talbiet lil Samba).
- Fil-komponent CTDB, li huwa responsabbli għat-tħaddim tal-konfigurazzjonijiet tal-clusters, ir-rekwiżiti għas-sintassi tal-fajl ctdb.tunables tnaqqsu. Meta tibni Samba bl-għażliet "--with-cluster-support" u "--systemd-install-services", l-installazzjoni tas-servizz systemd għal CTDB hija żgurata. L-iskrittura ctdbd_wrapper twaqqaf - il-proċess ctdbd issa huwa mniedi direttament mis-servizz systemd jew minn skript init.
- Ġie implimentat l-issettjar 'nt hash store = qatt', li jipprojbixxi l-ħażna ta' hashes "naked" (mingħajr melħ) tal-passwords tal-utent ta' Active Directory. Fil-verżjoni li jmiss, is-setting default 'nt hash store' se jkun issettjat għal "auto", li fih il-mod "qatt" se jiġi applikat jekk l-issettjar "ntlm auth = disabled" ikun preżenti.
- Ġie propost rabta għall-aċċess għall-API tal-librerija smbconf mill-kodiċi Python.
- Il-programm smbstatus jimplimenta l-abbiltà li joħroġ informazzjoni f'format JSON (attivat bl-għażla "-json").
- Il-kontrollur tad-dominju jappoġġja l-grupp tas-sigurtà "Utenti Protetti", li deher fil-Windows Server 2012 R2 u ma jippermettix l-użu ta 'tipi ta' encryption dgħajfa (għall-utenti fil-grupp, appoġġ għall-awtentikazzjoni NTLM, Kerberos TGTs ibbażati fuq RC4, kostretti u mhux ristretti id-delegazzjoni hija diżattivata).
- L-appoġġ għall-maħżen tal-passwords ibbażat fuq LanMan u l-metodu ta 'awtentikazzjoni twaqqaf (l-issettjar "lanman auth=yes" issa m'għandu l-ebda effett).
Sors: opennet.ru