Prezantohet lëshimi i Samba 4.17.0, i cili vazhdon zhvillimin e degës Samba 4 me një zbatim të plotë të një kontrolluesi të domenit dhe një shërbim Active Directory që është në përputhje me zbatimin e Windows 2008 dhe është në gjendje të shërbejë të gjitha versionet e Klientët e Windows të mbështetur nga Microsoft, duke përfshirë Windows 11. Samba 4 është një produkt server shumëfunksional, i cili gjithashtu ofron një implementim të serverit të skedarëve, shërbimit të printimit dhe serverit të identitetit (winbind).
Ndryshimet kryesore në Samba 4.17:
- Është bërë punë për të eliminuar regresionet në performancën e serverëve të zënë SMB që u shfaqën si rezultat i shtimit të mbrojtjes kundër dobësive të manipulimit të sinkronizimit. Ndër optimizimet e kryera, përmendet reduktimi i thirrjeve të sistemit kur kontrollohet emri i drejtorisë dhe mos përdorimi i ngjarjeve të zgjimit kur përpunohen operacionet konkurruese që çojnë në vonesa.
- Është siguruar aftësia për të ndërtuar Samba pa mbështetje për protokollin SMB1 në smbd. Për të çaktivizuar SMB1, opsioni "--pa-smb1-server" zbatohet në skriptin e ndërtimit të konfigurimit (ndikon vetëm smbd; mbështetja për SMB1 ruhet në bibliotekat e klientëve).
- Kur përdorni MIT Kerberos 1.20, aftësia për të kundërshtuar sulmin e Bitit të Bronzit (CVE-2020-17049) zbatohet duke transferuar informacion shtesë midis komponentëve KDC dhe KDB. Në KDC-në e paracaktuar me bazë në Heimdal Kerberos, problemi u zgjidh në vitin 2021.
- Kur ndërtohet me MIT Kerberos 1.20, kontrolluesi i domenit i bazuar në Samba tani mbështet zgjerimet Kerberos S4U2Self dhe S4U2Proxy, dhe gjithashtu shton aftësinë për Delegim të kufizuar të bazuar në burime (RBCD). Për të menaxhuar RBCD, nënkomandat 'add-principal' dhe 'del-principal' janë shtuar në komandën "samba-tool delegation". KDC e parazgjedhur e bazuar në Heimdal Kerberos nuk e mbështet ende modalitetin RBCD.
- Shërbimi DNS i integruar ofron mundësinë për të ndryshuar portin e rrjetit që merr kërkesa (për shembull, për të ekzekutuar një server tjetër DNS në të njëjtin sistem që ridrejton kërkesa të caktuara te Samba).
- Në komponentin CTDB, i cili është përgjegjës për funksionimin e konfigurimeve të grupimeve, kërkesat për sintaksën e skedarit ctdb.tunables janë zvogëluar. Kur ndërtoni Samba me opsionet "--me-mbështetje-grupe" dhe "--sisteme-instaloni-shërbimet", sigurohet instalimi i shërbimit systemd për CTDB. Skripti ctdbd_wrapper është ndërprerë - procesi ctdbd tani niset drejtpërdrejt nga shërbimi systemd ose nga një skript init.
- Është zbatuar cilësimi 'nt hash store = kurrë', i cili ndalon ruajtjen e hasheve "të zhveshur" (pa kripë) të fjalëkalimeve të përdoruesve të Active Directory. Në versionin tjetër, cilësimi i paracaktuar 'nt hash store' do të vendoset në "auto", në të cilin modaliteti "kurrë" do të zbatohet nëse është i pranishëm cilësimi "ntlm auth = disabled".
- Është propozuar një lidhje për të hyrë në API të bibliotekës smbconf nga kodi Python.
- Programi smbstatus zbaton aftësinë për të nxjerrë informacion në formatin JSON (aktivizuar me opsionin "-json").
- Kontrolluesi i domenit mbështet grupin e sigurisë "Përdoruesit e mbrojtur", i cili u shfaq në Windows Server 2012 R2 dhe nuk lejon përdorimin e llojeve të dobëta të kriptimit (për përdoruesit në grup, mbështetje për vërtetimin NTLM, Kerberos TGT të bazuara në RC4, të kufizuara dhe të pakufizuara delegimi është i çaktivizuar).
- Mbështetja për ruajtjen e fjalëkalimeve dhe metodën e vërtetimit të bazuar në LanMan është ndërprerë (cilësimi "lanman auth=po" tani nuk ka asnjë efekt).
Burimi: opennet.ru