මාස 6ක සංවර්ධනයෙන් පසු, Samba 4.24.0 නිකුත් කරන ලද අතර, වසම් පාලකයක සම්පූර්ණ ක්රියාත්මක කිරීමක් සහ ක්රියාත්මක කිරීමට අනුකූල Active Directory සේවාවක් සමඟින් Samba 4 ශාඛාවේ සංවර්ධනය දිගටම කරගෙන ගියේය. Windows Server සහ මයික්රොසොෆ්ට් සහාය දක්වන සියලුම අනුවාදයන්ට සහය දැක්වීමේ හැකියාව ඇත. Windowsඇතුළුව ගනුදෙනුකරුවන් Windows Samba 4 යනු බහුකාර්ය සේවාදායක නිෂ්පාදනයක් වන අතර එය ගොනු සේවාදායකයක්, මුද්රණ සේවාවක් සහ සත්යාපන සේවාදායකයක් (winbind) ද සපයයි. ව්යාපෘතියේ කේතය C භාෂාවෙන් ලියා GPLv3 බලපත්රය යටතේ බෙදා හරිනු ලැබේ.
Samba 4.24 හි ප්රධාන වෙනස්කම්:
- අසමමුහුර්ත ආදාන/ප්රතිදාන (AIO) මෙහෙයුම් අනුපාතය සීමා කිරීම සඳහා නව VFS මොඩියුලයක්, vfs_aio_ratelimit එකතු කර ඇත. සීමාවන් තත්පරයට බයිට් හෝ තත්පරයට මෙහෙයුම් වලින් නියම කළ හැක. නිශ්චිත සීමාව ඉක්මවා ගිය විට, නිශ්චිත ඉහළ සීමාව පවත්වා ගැනීම සඳහා මොඩියුලය අසමමුහුර්ත මෙහෙයුම් වලට කෘතිම ප්රමාදයන් හඳුන්වා දීම ආරම්භ කරයි.
- vfs_ceph_new VFS මොඩියුලය දැන් CephFS ගොනු පද්ධතියේ දත්ත සහ ගොනු නාම සංකේතනය කිරීම සඳහා Keybridge RPC ප්රොටෝකෝලය සහ FSCrypt මාදිලිය සඳහා සහය දක්වයි. නාමාවලි පදනමක් මත සංකේතනය සක්රීය කළ හැක.
- VFS මොඩියුලය vfs_streams_xattr තුළ, ඔබට NTFS විකල්ප දත්ත ප්රවාහයන් විස්තීරණ ගොනු ගුණාංග (xattr) තුළ සුරැකීමට ඉඩ සලසයි. Linux, "streams_xattr:max xattrs per stream" සැකසුම එකතු කර ඇති අතර, එය දත්ත ගබඩා කිරීමට භාවිතා කරන අවසර ලත් xattrs ගණන තීරණය කරයි. Linux xattr ප්රමාණය බයිට් 65536 කට සීමා වේ, නමුත් XFS මඟින් එක් ගොනුවක් සමඟ xattr එකකට වඩා සම්බන්ධ කිරීමට ඉඩ සලසයි, එමඟින් විකල්ප දත්ත 1 MB දක්වා ගබඩා කිරීමට බහු xattr භාවිතා කිරීමට ඉඩ සලසයි.
- සත්යාපනයට අදාළ තොරතුරු විගණනය කිරීම සඳහා සහාය ක්රියාත්මක කර ඇත. ලොගයේ altSecurityIdentities, dNSHostName, msDS-AdditionalDnsHostName, msDS-KeyCredentialLink, සහ servicePrincipalName යන Active Directory ගුණාංගවල වෙනස්කම් පිළිබිඹු කිරීම සඳහා "dsdb_password_audit" සහ "dsdb_password_json_audit" නිදොස් කිරීමේ පන්ති එකතු කර ඇත.
- පැරණි මුරපදය පාලකයට සම්ප්රේෂණය නොකර මුරපදයක් වෙනස් කිරීමේදී මුරපද යළි පිහිටුවීමේ මෙහෙයුම (SSPR, මුරපද යළි පිහිටුවීම) භාවිතා කරන බාහිර මුරපද කළමනාකරණ පද්ධති Microsoft Entra ID සහ Keycloak සඳහා සහය එක් කරන ලදී. වසම්මුරපද කල් ඉකුත්වීම පාලනය කරන ප්රතිපත්ති බලාත්මක කිරීම සඳහා, මුරපද යළි පිහිටුවීමේදී අමතර පරාමිතීන් ("මුරපද ප්රතිපත්ති ඉඟි") ලබා දෙනු ලැබේ, එමඟින් මෙහෙයුම සාමාන්ය මුරපද වෙනසක් ලෙස සැලකීමට ඉඩ සලසයි. මුරපදයට අදාළ දේශීය ප්රතිපත්ති යෙදීමේදී සම්බා දැන් මෙම පරාමිතීන් සැලකිල්ලට ගනී.
- Samba-පාදක සහ Heimdal-පාදක KDC-පාදක වසම් පාලකවල " ක්රමය භාවිතා කිරීමට ඉඩ සලසන Kerberos PKINIT KeyTrust සත්යාපන යාන්ත්රණය සඳහා සහය එක් කරන ලදී.Windows "Business Key-Trust logons සඳහා ආයුබෝවන්" ස්වයං-අත්සන් කළ යතුරු සමඟ PKINIT සත්යාපන යාන්ත්රණය භාවිතා කිරීමට. "user|computer keytrust" විධානය samba-tool උපයෝගීතාවයට එකතු කර ඇති අතර පොදු යතුර එකතු කර බැලීමට භාවිතා කරයි. පොදු යතුරු තොරතුරු msDS-KeyCredentialLink ගුණාංගය භාවිතයෙන් ගිණුමේ ගබඩා කර ඇත.
- යතුරු සිතියම්ගත කිරීම සඳහා Kerberos PKINIT ප්රොටෝකෝල දිගුව සඳහා සහය Samba-පාදක සහ Heimdal KDC වසම් පාලක වෙත එක් කර ඇත.Windows ශක්තිමත් සහ නම්යශීලී යතුරු සිතියම්කරණය, පොදු යතුරු සත්යාපනය සඳහා භාවිතා වේ. පෙරනිමියෙන්, නිශ්චිත සහතික සිතියම්කරණයට පමණක් අවසර දෙනු ලැබේ ("ශක්තිමත් සහතික බන්ධන බලාත්මක කිරීම = සම්පූර්ණ"), නමුත් නම්යශීලී සිතියම්කරණය ("ශක්තිමත් සහතික බන්ධන බලාත්මක කිරීම = අනුකූලතාව") ද කළ හැකි අතර, පරිශීලක ගිණුමට වඩා අලුත් සහතික සඳහා ඉඩ ලබා දේ. ගිණුමක් සඳහා සහතික සිතියම්කරණ දත්ත altSecurityIdentities ගුණාංගය තුළ ගබඩා කර ඇත.
- "Kerberos PKINIT SID" ප්රොටෝකෝල දිගුව සඳහා සහය එක් කරන ලදී, සත්යාපනය සඳහා Object SID එකක් සහිත සහතික භාවිතය සක්රීය කරයි. සහතික අත්සන් කිරීම සඳහා samba-tool උපයෝගීතාවයට "user|computer generate-csr" විධානය එකතු කර ඇත.
- පෙරනිමි KDC (යතුරු බෙදාහැරීමේ මධ්යස්ථානය) ක්රියාත්මක කිරීම මඟින් පරිශීලක වරප්රසාද දත්ත අඩංගු PAC (වරප්රසාද ගුණාංග සහතිකය) ව්යුහයක් ආපසු ලබා දෙයි, සේවාදායක ඉල්ලීමෙහි PA-PAC-REQUEST ක්ෂේත්රය නිශ්චිතව දක්වා තිබේද යන්න නොසලකා. පෙර හැසිරීමට ආපසු යාමට, "kdc සැමවිටම pac = no ජනනය කරයි" සැකසුම තිබේ.
- KDC හි "kdc require canonicalization" නමින් නව සැකසුමක් ඇත, එය "ඔව්" ලෙස සකසා ඇති විට, සේවාදායකයා ප්රවේශ වන විට පරිශීලක නාමය කැනොනිකල්කරණය ඉල්ලා සිටිය යුතුය. සේවාදායකය සත්යාපනය (AS_REQ). කැනොනිකල්කරණය ඉල්ලා නොමැති නම්, සේවාදායකය "පරිශීලක නොදන්නා" දෝෂය ලබා දෙනු ඇත. OS භාවිතා කරන පරිශීලකයින් සිටින ජාල වල Windows, නව සැකසුම සක්රිය කිරීමෙන් කිසිදු ගැටළුවක් ඇති නොවිය යුතුය, මන්ද Windows- සේවාලාභීන් සැමවිටම පෙරනිමියෙන් කැනොනිකල්කරණය ඉල්ලා සිටිති.
අනිවාර්ය කැනොනිකල්කරණය "ඩොලර් ටිකට්" ප්රහාරවලින් ආරක්ෂා වීමට උපකාරී වන අතර, එමඟින් පරිශීලක නාම වෙනස් ලෙස ("පරිශීලක" සහ "පරිශීලක$") නියම කළ හැකි බවත්, කැනොනිකල් සහ කැනොනිකල් නොවන නිරූපණයන්හි වෙනස් ලෙස සැකසිය හැකි බවත් ගසාකයි. ප්රහාරයේ සාරය නම්, ප්රහාරකයෙකුට, උදාහරණයක් ලෙස, AD හි "root$" නමින් පරිගණක ගිණුමක් නිර්මාණය කර, ඉල්ලීමෙහි "root$" වෙනුවට "root" යන පරිශීලක නාමය යැවීමෙන් KDC වෙතින් ටිකට් පතක් ලබා ගත හැකිය. KDC, පරිශීලක "root" සොයා නොගන්නා අතර, ඉල්ලීම "root$" පරිශීලකයාගේ සන්දර්භය තුළ ක්රියාවට නංවා SSH හෝ NFS හරහා root පරිශීලකයා ලෙස සම්බන්ධ වීමට භාවිතා කළ හැකි ටිකට් පතක් නිකුත් කරනු ඇත. Linux- SSSD සහිත සේවාදායකය.
- අනිවාර්ය නාම කැනොනිකල්කරණ ඉල්ලීම් අක්රිය කර ඇති වින්යාසයන් සඳහා "ඩොලර් ටිකට්" ප්රහාර සඳහා විසඳුමක් KDC වෙත එක් කර ඇත ("kdc require canonicalization = no" පෙරනිමියෙන් සක්රීය කර ඇත). පෙරනිමියෙන්, සේවාදායකයා කැනොනිකල්කරණය ඉල්ලා නොමැති නම් සහ පරීක්ෂා කරන නම සොයාගත නොහැකි නම්, සේවාදායකය නමට "$" අක්ෂරය එකතු කිරීමෙන් අතිරේක පරීක්ෂාවක් සිදු කරයි. "kdc name match implicite dollar without canonicalization = no" යන නව සැකසුම මඟින් ඔබට මෙම හැසිරීම අක්රිය කිරීමට සහ පැහැදිලි චෙක්පත් පමණක් සිදු කිරීමට ඉඩ සලසයි (ඉහත සඳහන් ප්රහාරයේ සන්දර්භය තුළ, "root" ඉල්ලා සිටින විට සේවාදායකය "root$" නම පරීක්ෂා නොකරනු ඇත).
- පෙරනිමියෙන්, Heimdal KDC විසින් මුල් cname අගය වෙනුවට Kerberos සේවාවන් වෙත කැනොනිකල් කළ නම් (PAC වෙතින් sAMAccountName) පමණක් යවයි. පැරණි හැසිරීමට ආපසු යාමට, "krb5 acceptor report canonical client name = no" සැකසුම භාවිතා කරන්න.
- ඩොලර් ටිකට් ප්රහාරවලට එරෙහිව සම්පූර්ණ ආරක්ෂාව සඳහා, අපි පහත සැකසුම් සැකසීම නිර්දේශ කරමු: ශක්තිමත් සහතික බන්ධන බලාත්මක කිරීම, සම්පූර්ණ kdc, සැමවිටම pac ඇතුළත් කරන්න, ඔව්, kdc, කැනොනිකල්කරණය අවශ්ය කරන්න, ඔව්.
- CVE-2026-20833 අවදානම අවහිර කිරීම සඳහා, පෙරනිමි KDC සැකසුම් වල වසම් සංකේතාංකන ක්රමය AES ලෙස වෙනස් කර ඇත ("kdc පෙරනිමි වසම් සහය දක්වන enctypes" සැකසුම "aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96" ලෙස සකසා ඇත).
මූලාශ්රය: opennet.ru
