É apresentada a versão Samba 4.17.0, que continua o desenvolvimento da ramificação Samba 4 com uma implementação completa de um controlador de domínio e um serviço Active Directory compatível com a implementação do Windows 2008 e capaz de atender a todas as versões do Clientes Windows suportados pela Microsoft, incluindo Windows 11. Samba 4 é um produto de servidor multifuncional, que também fornece uma implementação do servidor de arquivos, serviço de impressão e servidor de identidade (winbind).
Principais mudanças no Samba 4.17:
- Foram feitos trabalhos para eliminar regressões no desempenho de servidores SMB ocupados que surgiram como resultado da adição de proteção contra vulnerabilidades de manipulação de links simbólicos. Entre as otimizações realizadas, destaca-se a redução de chamadas de sistema na verificação do nome do diretório e a não utilização de eventos de wakeup no processamento de operações concorrentes que geram atrasos.
- Foi fornecida a capacidade de construir o Samba sem suporte para o protocolo SMB1 no smbd. Para desabilitar o SMB1, a opção “--without-smb1-server” é implementada no script de compilação configure (afeta apenas o smbd; o suporte para SMB1 é mantido nas bibliotecas do cliente).
- Ao usar o MIT Kerberos 1.20, a capacidade de combater o ataque Bronze Bit (CVE-2020-17049) é implementada transferindo informações adicionais entre os componentes KDC e KDB. No KDC padrão baseado em Heimdal Kerberos, o problema foi corrigido em 2021.
- Quando construído com MIT Kerberos 1.20, o controlador de domínio baseado em Samba agora suporta as extensões Kerberos S4U2Self e S4U2Proxy e também adiciona a capacidade de Delegação Restrita Baseada em Recursos (RBCD). Para gerenciar o RBCD, os subcomandos 'add-principal' e 'del-principal' foram adicionados ao comando "samba-tool delegação". O KDC padrão baseado em Heimdal Kerberos ainda não oferece suporte ao modo RBCD.
- O serviço DNS integrado oferece a capacidade de alterar a porta de rede que recebe solicitações (por exemplo, para executar outro servidor DNS no mesmo sistema que redireciona certas solicitações para o Samba).
- No componente CTDB, responsável pelo funcionamento das configurações do cluster, os requisitos de sintaxe do arquivo ctdb.tunables foram reduzidos. Ao construir o Samba com as opções “--with-cluster-support” e “--systemd-install-services”, a instalação do serviço systemd para CTDB é garantida. O script ctdbd_wrapper foi descontinuado - o processo ctdbd agora é iniciado diretamente do serviço systemd ou de um script init.
- Foi implementada a configuração 'nt hash store = never', que proíbe o armazenamento de hashes “nus” (sem salt) de senhas de usuários do Active Directory. Na próxima versão, a configuração padrão 'nt hash store' será definida como "auto", na qual o modo "nunca" será aplicado se a configuração 'ntlm auth = disabled' estiver presente.
- Uma ligação foi proposta para acessar a API da biblioteca smbconf a partir do código Python.
- O programa smbstatus implementa a capacidade de gerar informações no formato JSON (habilitado com a opção “-json”).
- O controlador de domínio oferece suporte ao grupo de segurança “Usuários protegidos”, que apareceu no Windows Server 2012 R2 e não permite o uso de tipos de criptografia fracos (para usuários do grupo, suporte para autenticação NTLM, Kerberos TGTs baseados em RC4, restrito e irrestrito a delegação está desativada).
- O suporte para armazenamento de senhas e método de autenticação baseado em LanMan foi descontinuado (a configuração "lanman auth=yes" agora não tem efeito).
Fonte: opennet.ru