ProHoster > Blog > lajme në internet > Lëshimi i Samba 4.24.0

Lëshimi i Samba 4.24.0

Pas 6 muajsh zhvillimi, u publikua Samba 4.24.0, duke vazhduar zhvillimin e degës Samba 4 me një implementim të plotë të një kontrolluesi domeni dhe një shërbimi Active Directory të pajtueshëm me implementimin. Windows Server dhe i aftë të mbështesë të gjitha versionet e mbështetura nga Microsoft Windows-klientët, përfshirë Windows Samba 4 është një produkt serveri shumëfunksional që ofron gjithashtu një server skedarësh, shërbim printimi dhe server vërtetimi (winbind). Kodi i projektit është shkruar në C dhe shpërndahet sipas licencës GPLv3.

Ndryshimet kryesore në Samba 4.24:

  • Një modul i ri VFS, vfs_aio_ratelimit, është shtuar për të kufizuar shpejtësinë e operacioneve asinkrone të hyrjes/daljes (AIO). Limitet mund të specifikohen në bajt për sekondë ose në operacione për sekondë. Kur tejkalohet limiti i specifikuar, moduli fillon të fusë vonesa artificiale në operacionet asinkrone për të ruajtur limitin e sipërm të specifikuar.
  • Moduli VFS vfs_ceph_new tani mbështet protokollin Keybridge RPC dhe modalitetin FSCrypt për enkriptimin e të dhënave dhe emrave të skedarëve në sistemin e skedarëve CephFS. Enkriptimi mund të aktivizohet në bazë të çdo drejtorie.
  • Në modulin VFS vfs_streams_xattr, i cili ju lejon të ruani rrjedhat alternative të të dhënave NTFS në atributet e zgjeruara të skedarëve (xattr) në Linux, është shtuar cilësimi "streams_xattr:max xattrs për transmetim", i cili përcakton numrin e lejuar të xattr-ve të përdorur për të ruajtur të dhënat. Linux Madhësia e xattr është e kufizuar në 65536 bajt, por XFS lejon që më shumë se një xattr të shoqërohet me një skedar të vetëm, duke lejuar që xattr të shumëfishta të përdoren për të ruajtur deri në 1 MB të dhëna alternative.
  • Është zbatuar mbështetje për auditimin e informacionit që lidhet me autentifikimin. Klasat e debugimit "dsdb_password_audit" dhe "dsdb_password_json_audit" janë shtuar për të pasqyruar ndryshimet në atributet e Active Directory altSecurityIdentities, dNSHostName, msDS-AdditionalDnsHostName, msDS-KeyCredentialLink dhe servicePrincipalName në regjistër.
  • Shtohet mbështetje për sistemet e jashtme të menaxhimit të fjalëkalimeve Microsoft Entra ID dhe Keycloak, të cilat përdorin operacionin e rivendosjes së fjalëkalimit (SSPR, rivendosja e fjalëkalimit) kur ndryshojnë një fjalëkalim pa transmetuar fjalëkalimin e vjetër te kontrolluesi. domeniPër të zbatuar politikat që kontrollojnë skadimin e fjalëkalimit, parametra shtesë ("këshilla për politikën e fjalëkalimit") kalohen gjatë rivendosjes së fjalëkalimit, duke lejuar që operacioni të trajtohet si një ndryshim i rregullt i fjalëkalimit. Samba tani i merr parasysh këto parametra kur zbaton politikat lokale që lidhen me fjalëkalimin.
  • U shtua mbështetje për mekanizmin e vërtetimit Kerberos PKINIT KeyTrust, i cili mundëson përdorimin e metodës " në kontrolluesit e domenit të bazuar në Samba dhe Heimdal KDC.Windows Përshëndetje për hyrjet në Business Key-Trust" për të përdorur mekanizmin e vërtetimit PKINIT me çelësa të vetë-nënshkruar. Komanda "user|computer keytrust" është shtuar në programin samba-tool për të shtuar dhe parë çelësin publik. Informacioni i çelësit publik ruhet në llogari duke përdorur atributin msDS-KeyCredentialLink.
  • Mbështetja për zgjerimin e protokollit Kerberos PKINIT për mapimin e çelësave është shtuar te kontrolluesit e domenit KDC të bazuar në Samba dhe Heimdal.Windows Përputhje të Forta dhe Fleksibile të Çelësave, të përdorura për vërtetimin e çelësit publik. Si parazgjedhje, lejohet vetëm përcaktimi i saktë i certifikatës ("zbatimi i fortë i lidhjes së certifikatës = i plotë"), por është gjithashtu i mundur edhe përcaktimi fleksibël ("zbatimi i fortë i lidhjes së certifikatës = përputhshmëria"), duke lejuar certifikata më të reja se llogaria e përdoruesit. Të dhënat e përcaktimit të certifikatës për një llogari ruhen në atributin altSecurityIdentities.
  • Është shtuar mbështetje për zgjerimin e protokollit "Kerberos PKINIT SID", duke mundësuar përdorimin e certifikatave me një SID objekti për autentifikim. Komanda "user|computer generate-csr" është shtuar në programin samba-tool për nënshkrimin e certifikatave.
  • Implementimi i parazgjedhur i KDC (Qendrës së Shpërndarjes së Çelësave) kthen një strukturë PAC (Certifikatë e Atributit të Privilegjit) që përmban të dhëna të privilegjeve të përdoruesit, pavarësisht nëse fusha PA-PAC-REQUEST është specifikuar në kërkesën e klientit. Për t'u rikthyer në sjelljen e mëparshme, është i disponueshëm cilësimi "kdc gjithmonë gjeneron pac = jo".
  • KDC ka një cilësim të ri të quajtur "kdc require canonicalization", i cili kur vendoset në "po" kërkon që klienti të kërkojë kanonicalization të emrit të përdoruesit kur qaset në server vërtetim (AS_REQ). Nëse nuk kërkohet kanonizimi, serveri do të kthejë gabimin "përdorues i panjohur". Në rrjetet me përdorues që përdorin sistemin operativ Windows, aktivizimi i cilësimit të ri nuk duhet të shkaktojë probleme, pasi Windows-klientët gjithmonë kërkojnë kanonizim si parazgjedhje.

    Kanonizimi i detyrueshëm ndihmon në mbrojtjen kundër sulmeve "dollar ticket", të cilat shfrytëzojnë faktin se emrat e përdoruesve mund të specifikohen ndryshe ("përdorues" dhe "user$") dhe të përpunohen ndryshe në përfaqësime të kanonizuara dhe jo-kanonike. Thelbi i sulmit është se një sulmues mund të krijojë, për shembull, një llogari kompjuteri të quajtur "root$" në AD dhe ta përdorë atë për të marrë një tiketë nga KDC duke dërguar emrin e përdoruesit "root" në vend të "root$" në kërkesë. KDC, duke mos e gjetur përdoruesin "root", do ta përpunonte kërkesën në kontekstin e përdoruesit "root$" dhe do të lëshonte një tiketë që mund të përdoret për t'u lidhur si përdorues rrënjë nëpërmjet SSH ose NFS për të Linux-server me SSSD.

  • Një zgjidhje alternative për sulmet "dollar ticket" është shtuar në KDC për konfigurimet me kërkesa të detyrueshme për kanonizimin e emrit të çaktivizuara ("kdc require canonicalization = no" është aktivizuar si parazgjedhje). Si parazgjedhje, nëse klienti nuk ka kërkuar kanonizimin dhe emri që po kontrollohet nuk gjendet, serveri kryen një kontroll shtesë duke i shtuar karakterin "$" emrit. Cilësimi i ri "kdc name match implicit dollar without canonicalization = no" ju lejon të çaktivizoni këtë sjellje dhe të kryeni vetëm kontrolle të qarta (në kontekstin e sulmit të lartpërmendur, serveri nuk do ta kontrollojë emrin "root$" kur kërkon "root").
  • Si parazgjedhje, KDC Heimdal dërgon vetëm emra të kanonizuar (sAMAccountName nga PAC) te shërbimet Kerberos në vend të vlerës origjinale të cname. Për t'u rikthyer te sjellja e vjetër, përdorni cilësimin "krb5 acceptor report canonical client name = no".
  • Për mbrojtje të plotë kundër sulmeve me bileta dollari, ne rekomandojmë caktimin e cilësimeve të mëposhtme: zbatim i fortë i lidhjes së certifikatave, kdc i plotë, përfshi gjithmonë pac, po, kdc, kërkoj kanonizim, po.
  • Për të bllokuar cenueshmërinë CVE-2026-20833, metoda e enkriptimit të domenit në cilësimet fillestare të KDC është ndryshuar në AES (cilësimi "kdc default domain supported enctypes" është vendosur në "aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96").

Burimi: opennet.ru

Bleni një host të besueshëm për faqet me mbrojtje DDoS, serverë VPS VDS 🔥 Bleni hosting të besueshëm të faqeve të internetit me mbrojtje DDoS, servera VPS VDS | ProHoster