ProHoster > blog > aħbarijiet fuq l-internet > Samba 4.24.0 rilaxx

Samba 4.24.0 rilaxx

Wara 6 xhur ta' żvilupp, ġiet rilaxxata Samba 4.24.0, li kompliet l-iżvilupp tal-fergħa Samba 4 b'implimentazzjoni sħiħa ta' kontrollur tad-dominju u servizz Active Directory kompatibbli mal-implimentazzjoni. Windows Server u kapaċi jappoġġja l-verżjonijiet kollha appoġġjati minn Microsoft Windows-klijenti, inklużi Windows Samba 4 huwa prodott ta' server multifunzjonali li jipprovdi wkoll file server, servizz tal-istampar, u awtentikazzjoni server (winbind). Il-kodiċi tal-proġett huwa miktub f'C u mqassam taħt il-liċenzja GPLv3.

Bidliet ewlenin f'Samba 4.24:

  • Ġie miżjud modulu VFS ġdid, vfs_aio_ratelimit, biex jillimita r-rata ta' operazzjonijiet asinkroniċi ta' input/output (AIO). Il-limiti jistgħu jiġu speċifikati f'bytes kull sekonda jew operazzjonijiet kull sekonda. Meta jinqabeż il-limitu speċifikat, il-modulu jibda jintroduċi dewmien artifiċjali f'operazzjonijiet asinkroniċi biex iżomm il-limitu massimu speċifikat.
  • Il-modulu VFS vfs_ceph_new issa jappoġġja l-protokoll Keybridge RPC u l-modalità FSCrypt għall-kriptaġġ tad-dejta u l-ismijiet tal-fajls fis-sistema tal-fajls CephFS. Il-kriptaġġ jista' jiġi attivat fuq bażi ta' kull direttorju.
  • Fil-modulu VFS vfs_streams_xattr, li jippermettilek issalva flussi ta' dejta alternattivi NTFS f'attributi ta' fajls estiżi (xattr) f' Linux, ġiet miżjuda s-setting "streams_xattr:max xattrs per stream", li jiddetermina n-numru permess ta' xattrs użati biex tinħażen id-dejta. Linux Id-daqs tax-xattr huwa limitat għal 65536 bytes, iżda XFS jippermetti li aktar minn xattr wieħed jiġi assoċjat ma' fajl wieħed, u b'hekk ikun possibbli li jintużaw xattrs multipli biex jaħżnu sa 1 MB ta' dejta alternattiva.
  • Ġie implimentat l-appoġġ għall-awditjar ta' informazzjoni relatata mal-awtentikazzjoni. Il-klassijiet ta' debug "dsdb_password_audit" u "dsdb_password_json_audit" ġew miżjuda biex jirriflettu l-bidliet fl-attributi tal-Active Directory altSecurityIdentities, dNSHostName, msDS-AdditionalDnsHostName, msDS-KeyCredentialLink, u servicePrincipalName fil-log.
  • Żied appoġġ għal sistemi esterni ta' ġestjoni tal-passwords Microsoft Entra ID u Keycloak, li jużaw l-operazzjoni ta' reset tal-password (SSPR, password reset) meta jibdlu password mingħajr ma jittrażmettu l-password il-qadima lill-kontrollur dominjuBiex jiġu infurzati l-politiki li jikkontrollaw l-iskadenza tal-passwords, parametri addizzjonali ("ħjiel dwar il-politika tal-password") jiġu mgħoddija waqt ir-resets tal-passwords, li jippermettu li l-operazzjoni tiġi trattata bħala bidla regolari tal-password. Samba issa tqis dawn il-parametri meta tapplika politiki lokali relatati mal-passwords.
  • Żied l-appoġġ għall-mekkaniżmu ta' awtentikazzjoni Kerberos PKINIT KeyTrust, li jippermetti l-użu tal-metodu " f'kontrolluri tad-dominju bbażati fuq Samba u Heimdal KDC.Windows "Hello għal logons ta' Business Key-Trust" biex jużaw il-mekkaniżmu ta' awtentikazzjoni PKINIT b'ċwievet iffirmati waħedhom. Il-kmand "user|computer keytrust" ġie miżjud mal-utilità samba-tool biex iżżid u tara ċ-ċavetta pubblika. L-informazzjoni taċ-ċavetta pubblika hija maħżuna fil-kont bl-użu tal-attribut msDS-KeyCredentialLink.
  • L-appoġġ għall-estensjoni tal-protokoll Kerberos PKINIT għall-immappjar taċ-ċwievet ġie miżjud mal-kontrolluri tad-dominju bbażati fuq Samba u Heimdal KDC.Windows Immarkar taċ-Ċwievet Qawwi u Flessibbli, użat għall-awtentikazzjoni taċ-ċwievet pubbliċi. B'mod awtomatiku, huwa permess biss immarkar eżatt taċ-ċertifikati ("infurzar qawwi tar-rabta taċ-ċertifikat = sħiħ"), iżda immarkar flessibbli ("infurzar qawwi tar-rabta taċ-ċertifikat = kompatibilità") huwa wkoll possibbli, li jippermetti ċertifikati aktar ġodda mill-kont tal-utent. Id-dejta tal-immappjar taċ-ċertifikati għal kont hija maħżuna fl-attribut altSecurityIdentities.
  • Żied l-appoġġ għall-estensjoni tal-protokoll "Kerberos PKINIT SID", li jippermetti l-użu ta' ċertifikati b'Oġġett SID għall-awtentikazzjoni. Il-kmand "user|computer generate-csr" ġie miżjud mal-utilità samba-tool għall-iffirmar taċ-ċertifikati.
  • L-implimentazzjoni awtomatika tal-KDC (Key Distribution Center) tirritorna struttura PAC (Privilege Attribute Certificate) li fiha dejta dwar il-privileġġ tal-utent, irrispettivament minn jekk il-qasam PA-PAC-REQUEST huwiex speċifikat fit-talba tal-klijent. Biex terġa' lura għall-imġiba preċedenti, l-issettjar "kdc always generate pac = no" huwa disponibbli.
  • Il-KDC għandu setting ġdid imsejjaħ "kdc require canonicalization", li meta jkun issettjat għal "yes" jirrikjedi li l-klijent jitlob il-kanonikalizzazzjoni tal-username meta jaċċessa l- server awtentikazzjoni (AS_REQ). Jekk il-kanonikalizzazzjoni ma tintalabx, is-server jirritorna l-iżball "utent mhux magħruf". Fin-netwerks b'utenti li jużaw OS Windows, l-attivazzjoni tas-setting il-ġdid m'għandhiex tikkawża problemi, peress li Windows-il-klijenti dejjem jitolbu l-kanonikalizzazzjoni awtomatikament.

    Il-kanonikalizzazzjoni obbligatorja tgħin fil-protezzjoni kontra attakki "dollar ticket", li jisfruttaw il-fatt li l-usernames jistgħu jiġu speċifikati b'mod differenti ("user" u "user$") u pproċessati b'mod differenti f'rappreżentazzjonijiet kanoniċi u mhux kanoniċi. L-essenza tal-attakk hija li attakkant jista', pereżempju, joħloq kont tal-kompjuter bl-isem "root$" fl-AD u jużah biex jikseb biljett mill-KDC billi jibgħat l-username "root" minflok "root$" fit-talba. Il-KDC, jekk ma jsibx l-utent "root", jipproċessa t-talba fil-kuntest tal-utent "root$" u joħroġ biljett li jista' jintuża biex tikkonnettja bħala l-utent root permezz ta' SSH jew NFS ma' Linux-server b'SSSD.

  • Ġiet miżjuda soluzzjoni alternattiva għall-attakki "dollar ticket" mal-KDC għal konfigurazzjonijiet b'talbiet obbligatorji ta' kanonikalizzazzjoni tal-isem diżattivati ​​("kdc require canonicalization = no" hija attivata awtomatikament). B'mod awtomatiku, jekk il-klijent ma jkunx talab il-kanonikalizzazzjoni u l-isem li qed jiġi ċċekkjat ma jinstabx, is-server iwettaq verifika addizzjonali billi jżid il-karattru "$" mal-isem. L-issettjar il-ġdid "kdc name match implicit dollar without canonicalization = no" jippermettilek li tiddiżattiva dan l-imġiba u twettaq biss kontrolli espliċiti (fil-kuntest tal-attakk imsemmi hawn fuq, is-server mhux se jiċċekkja l-isem "root$" meta jitlob "root").
  • B'mod awtomatiku, il-Heimdal KDC jibgħat biss ismijiet kanoniċi (sAMAccountName mill-PAC) lis-servizzi Kerberos minflok il-valur oriġinali tas-cname. Biex terġa' lura għall-imġiba l-qadima, uża s-setting "krb5 acceptor report canonical client name = no".
  • Għal protezzjoni sħiħa kontra attakki ta' dollar tickets, nirrakkomandaw li tissettja s-settings li ġejjin: infurzar qawwi ta' rbit taċ-ċertifikati, kdc sħiħ, dejjem inkludi pac, iva, kdc, teħtieġ kanonikalizzazzjoni, iva.
  • Biex tiġi mblukkata l-vulnerabbiltà CVE-2026-20833, il-metodu ta' encryption tad-dominju fis-settings default tal-KDC inbidel għal AES (is-setting "kdc default domain supported enctypes" huwa ssettjat għal "aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96").

Sors: opennet.ru

Ixtri hosting affidabbli għal siti bi protezzjoni DDoS, servers VPS VDS 🔥 Ixtri hosting ta' websajts affidabbli bi protezzjoni DDoS, servers VPS VDS | ProHoster