Samba 4.17.0-utgivelsen presenteres, som fortsetter utviklingen av Samba 4-grenen med en fullverdig implementering av en domenekontroller og en Active Directory-tjeneste som er kompatibel med implementeringen av Windows 2008 og er i stand til å betjene alle versjoner av Windows-klienter støttet av Microsoft, inkludert Windows 11. Samba 4 er et multifunksjonelt serverprodukt , som også gir en implementering av filserveren, utskriftstjenesten og identitetsserveren (winbind).
Viktige endringer i Samba 4.17:
- Det har blitt gjort et arbeid for å eliminere regresjoner i ytelsen til travle SMB-servere som dukket opp som et resultat av å legge til beskyttelse mot sårbarheter med symbolkoblingsmanipulering. Blant de utførte optimaliseringene nevnes det å redusere systemanrop ved kontroll av katalognavnet og ikke bruke vekkehendelser ved behandling av konkurrerende operasjoner som fører til forsinkelser.
- Muligheten til å bygge Samba uten støtte for SMB1-protokollen i smbd er gitt. For å deaktivere SMB1, er "--uten-smb1-server"-alternativet implementert i configure build-skriptet (påvirker bare smbd; støtte for SMB1 beholdes i klientbiblioteker).
- Når du bruker MIT Kerberos 1.20, implementeres muligheten til å motvirke bronsebitangrepet (CVE-2020-17049) ved å overføre tilleggsinformasjon mellom KDC- og KDB-komponentene. I standard Heimdal Kerberos-baserte KDC ble problemet løst i 2021.
- Når den er bygget med MIT Kerberos 1.20, støtter den Samba-baserte domenekontrolleren nå Kerberos-utvidelsene S4U2Self og S4U2Proxy, og legger også til muligheten for Resource Based Constrained Delegation (RBCD). For å administrere RBCD er underkommandoene "add-principal" og "del-principal" lagt til kommandoen "samba-tool delegation". Standard Heimdal Kerberos-baserte KDC støtter ennå ikke RBCD-modus.
- Den innebygde DNS-tjenesten gir muligheten til å endre nettverksporten som mottar forespørsler (for eksempel å kjøre en annen DNS-server på samme system som omdirigerer visse forespørsler til Samba).
- I CTDB-komponenten, som er ansvarlig for driften av klyngekonfigurasjoner, er kravene til syntaksen til filen ctdb.tunables redusert. Når du bygger Samba med alternativene "--with-cluster-support" og "--systemd-install-services", er installasjonen av systemd-tjenesten for CTDB sikret. ctdbd_wrapper-skriptet har blitt avviklet - ctdbd-prosessen startes nå direkte fra systemd-tjenesten eller fra et init-skript.
- Innstillingen 'nt hash store = never' er implementert, som forbyr lagring av "nakne" (uten salt) hashes av Active Directory-brukerpassord. I neste versjon vil standard 'nt hash store'-innstillingen settes til "auto", der "aldri"-modusen vil bli brukt hvis 'ntlm auth = disabled'-innstillingen er til stede.
- En binding er foreslått for tilgang til smbconf-bibliotekets API fra Python-kode.
- smbstatus-programmet implementerer muligheten til å sende ut informasjon i JSON-format (aktivert med "-json"-alternativet).
- Domenekontrolleren støtter sikkerhetsgruppen "Beskyttede brukere", som dukket opp i Windows Server 2012 R2 og tillater ikke bruk av svake krypteringstyper (for brukere i gruppen, støtte for NTLM-autentisering, Kerberos TGT-er basert på RC4, begrenset og ubegrenset delegering er deaktivert).
- Støtte for det LanMan-baserte passordlageret og autentiseringsmetoden er avviklet («lanman auth=yes»-innstillingen har nå ingen effekt).
Kilde: opennet.ru