De Samba 4.17.0-release wordt gepresenteerd, die de ontwikkeling van de Samba 4-tak voortzet met een volwaardige implementatie van een domeincontroller en een Active Directory-service die compatibel is met de implementatie van Windows 2008 en in staat is om alle versies van Windows-clients ondersteund door Microsoft, waaronder Windows 11. Samba 4 is een multifunctioneel serverproduct, dat ook een implementatie biedt van de bestandsserver, afdrukservice en identiteitsserver (winbind).
Belangrijkste wijzigingen in Samba 4.17:
- Er is gewerkt aan het elimineren van achteruitgang in de prestaties van drukke SMB-servers, die ontstond als gevolg van het toevoegen van bescherming tegen kwetsbaarheden voor manipulatie van symlinks. Onder de uitgevoerde optimalisaties wordt melding gemaakt van het verminderen van systeemaanroepen bij het controleren van de mapnaam en het niet gebruiken van wakeup-gebeurtenissen bij het verwerken van concurrerende bewerkingen die tot vertragingen leiden.
- Er is de mogelijkheid geboden om Samba te bouwen zonder ondersteuning voor het SMB1-protocol in smbd. Om SMB1 uit te schakelen, wordt de optie “--zonder-smb1-server” geïmplementeerd in het configure build-script (is alleen van invloed op smbd; ondersteuning voor SMB1 blijft behouden in clientbibliotheken).
- Bij gebruik van MIT Kerberos 1.20 wordt de mogelijkheid om de Bronze Bit-aanval (CVE-2020-17049) tegen te gaan geïmplementeerd door aanvullende informatie over te dragen tussen de KDC- en KDB-componenten. In het standaard op Heimdal Kerberos gebaseerde KDC werd het probleem in 2021 opgelost.
- Wanneer gebouwd met MIT Kerberos 1.20, ondersteunt de op Samba gebaseerde domeincontroller nu de Kerberos-extensies S4U2Self en S4U2Proxy, en voegt ook de mogelijkheid toe voor Resource Based Constrained Delegation (RBCD). Om RBCD te beheren zijn de subcommando's 'add-principal' en 'del-principal' toegevoegd aan het commando 'samba-tool delegatie'. De standaard op Heimdal Kerberos gebaseerde KDC ondersteunt nog geen RBCD-modus.
- De ingebouwde DNS-service biedt de mogelijkheid om de netwerkpoort te wijzigen die verzoeken ontvangt (bijvoorbeeld om een andere DNS-server op hetzelfde systeem te laten draaien die bepaalde verzoeken omleidt naar Samba).
- In de CTDB-component, die verantwoordelijk is voor de werking van clusterconfiguraties, zijn de vereisten voor de syntaxis van het bestand ctdb.tunables verlaagd. Wanneer u Samba bouwt met de opties “--with-cluster-support” en “--systemd-install-services”, is de installatie van de systemd-service voor CTDB verzekerd. Het script ctdbd_wrapper is stopgezet - het ctdbd-proces wordt nu rechtstreeks vanuit de systemd-service of vanuit een init-script gestart.
- De instelling 'nt hash store = never' is geïmplementeerd, waardoor de opslag van 'naked' (zonder salt) hashes van Active Directory-gebruikerswachtwoorden wordt verboden. In de volgende versie wordt de standaard 'nt hash store'-instelling ingesteld op 'auto', waarbij de 'nooit'-modus wordt toegepast als de instelling 'ntlm auth = uitgeschakeld' aanwezig is.
- Er is een binding voorgesteld voor toegang tot de smbconf-bibliotheek-API vanuit Python-code.
- Het smbstatus-programma implementeert de mogelijkheid om informatie in JSON-formaat uit te voeren (ingeschakeld met de optie "-json").
- De domeincontroller ondersteunt de beveiligingsgroep “Beveiligde gebruikers”, die verscheen in Windows Server 2012 R2 en staat het gebruik van zwakke coderingstypen niet toe (voor gebruikers in de groep, ondersteuning voor NTLM-authenticatie, Kerberos TGT’s gebaseerd op RC4, beperkt en onbeperkt delegatie is uitgeschakeld).
- Ondersteuning voor de op LanMan gebaseerde wachtwoordopslag en authenticatiemethode is stopgezet (de instelling "lanman auth=yes" heeft nu geen effect).
Bron: opennet.ru