Przedstawiono wydanie Samby 4.17.0, które kontynuuje rozwój gałęzi Samby 4 z pełną implementacją kontrolera domeny i usługi Active Directory, która jest kompatybilna z implementacją Windows 2008 i jest w stanie obsłużyć wszystkie wersje Klienci Windows obsługiwani przez firmę Microsoft, w tym Windows 11. Samba 4 to wielofunkcyjny produkt serwerowy, który zapewnia również implementację serwera plików, usługi drukowania i serwera tożsamości (winbind).
Kluczowe zmiany w Sambie 4.17:
- Podjęto prace mające na celu wyeliminowanie spadków wydajności obciążonych serwerów SMB, które pojawiły się w wyniku dodania ochrony przed lukami w zabezpieczeniach związanych z manipulacją dowiązaniami symbolicznymi. Wśród przeprowadzonych optymalizacji wspomniano o ograniczeniu wywołań systemowych podczas sprawdzania nazwy katalogu i niewykorzystaniu zdarzeń wybudzania podczas przetwarzania konkurencyjnych operacji, które prowadzą do opóźnień.
- Dodano możliwość zbudowania Samby bez obsługi protokołu SMB1 w smbd. Aby wyłączyć SMB1, w skrypcie konfiguracyjnym konfiguracji zaimplementowano opcję „--without-smb1-server” (dotyczy tylko smbd; obsługa SMB1 jest zachowana w bibliotekach klienckich).
- W przypadku korzystania z protokołu MIT Kerberos 1.20 możliwość odparcia ataku Bronze Bit (CVE-2020-17049) jest realizowana poprzez przesyłanie dodatkowych informacji pomiędzy komponentami KDC i KDB. W domyślnym KDC opartym na Heimdal Kerberos problem został rozwiązany w 2021 roku.
- Zbudowany przy użyciu protokołu MIT Kerberos 1.20, kontroler domeny oparty na Sambie obsługuje teraz rozszerzenia Kerberos S4U2Self i S4U2Proxy, a także dodaje możliwość ograniczonego delegowania opartego na zasobach (RBCD). Aby zarządzać RCCD, do komendy „samba-tool delegation” dodano podkomendy „add-principal” i „del-principal”. Domyślny KDC oparty na Heimdal Kerberos nie obsługuje jeszcze trybu RBCD.
- Wbudowana usługa DNS zapewnia możliwość zmiany portu sieciowego odbierającego żądania (na przykład w celu uruchomienia innego serwera DNS w tym samym systemie, który przekierowuje określone żądania do Samby).
- W komponencie CTDB odpowiedzialnym za obsługę konfiguracji klastrów zmniejszono wymagania dotyczące składni pliku ctdb.tunables. Podczas budowania Samby z opcjami „--with-cluster-support” i „--systemd-install-services” zapewniona jest instalacja usługi systemowej dla CTDB. Skrypt ctdbd_wrapper został wycofany - proces ctdbd jest teraz uruchamiany bezpośrednio z usługi systemowej lub ze skryptu inicjującego.
- Zaimplementowano ustawienie „nt hash store = Never”, które zabrania przechowywania „nagich” (bez soli) skrótów haseł użytkowników Active Directory. W następnej wersji domyślne ustawienie „nt hash store” zostanie ustawione na „auto”, w którym zastosowany zostanie tryb „nigdy”, jeśli obecne jest ustawienie „ntlm auth = wyłączone”.
- Zaproponowano powiązanie umożliwiające dostęp do API biblioteki smbconf z kodu Pythona.
- W programie smbstatus zaimplementowano możliwość wyprowadzania informacji w formacie JSON (włączana opcją „-json”).
- Kontroler domeny obsługuje grupę zabezpieczeń „Protected Users”, która pojawiła się w Windows Server 2012 R2 i nie pozwala na stosowanie słabych typów szyfrowania (dla użytkowników w grupie obsługa uwierzytelniania NTLM, Kerberos TGT oparte na RC4, ograniczone i nieograniczone delegowanie jest wyłączone).
- Zakończono obsługę magazynu haseł i metody uwierzytelniania opartej na LanMan (ustawienie „lanman auth=yes” nie ma teraz żadnego efektu).
Źródło: opennet.ru