Представљено је издање Самба 4.17.0, које наставља развој гране Самба 4 са потпуном имплементацијом контролера домена и услуге Ацтиве Дирецтори која је компатибилна са имплементацијом Виндовс 2008 и која је у стању да опслужује све верзије Виндовс клијенти које подржава Мицрософт, укључујући Виндовс 11. Самба 4 је мултифункционални серверски производ, који такође обезбеђује имплементацију сервера датотека, услуге штампања и сервера идентитета (винбинд).
Кључне промене у Самби 4.17:
- Урађено је на елиминисању регресије у перформансама заузетих СМБ сервера које су се појавиле као резултат додавања заштите од рањивости манипулације симболичким везама. Међу спроведеним оптимизацијама помиње се смањење системских позива приликом провере имена директоријума и некоришћење догађаја буђења приликом обраде конкурентских операција које доводе до кашњења.
- Обезбеђена је могућност израде Самбе без подршке за СМБ1 протокол у смбд-у. Да бисте онемогућили СМБ1, опција „--витхоут-смб1-сервер“ је имплементирана у скрипту за конфигурисање (утиче само на смбд; подршка за СМБ1 је задржана у клијентским библиотекама).
- Када се користи МИТ Керберос 1.20, могућност супротстављања Бронзе Бит нападу (ЦВЕ-2020-17049) се имплементира преносом додатних информација између КДЦ и КДБ компоненти. У подразумеваном КДЦ-у заснованом на Хеимдал Керберос-у, проблем је решен 2021.
- Када је направљен са МИТ Керберос 1.20, контролер домена заснован на Самби сада подржава Керберос екстензије С4У2Селф и С4У2Проки, а такође додаје могућност за ограничено делегирање засновано на ресурсима (РБЦД). За управљање РБЦД-ом, поднаредбе 'адд-принципал' и 'дел-принципал' су додате команди "самба-тоол делегатион". Подразумевани КДЦ заснован на Хеимдал Керберос-у још увек не подржава РБЦД режим.
- Уграђени ДНС сервис пружа могућност промене мрежног порта који прима захтеве (на пример, за покретање другог ДНС сервера на истом систему који преусмерава одређене захтеве на Самбу).
- У компоненти ЦТДБ, која је одговорна за рад конфигурација кластера, смањени су захтеви за синтаксу датотеке цтдб.тунаблес. Када правите Самбу са опцијама “--витх-цлустер-суппорт” и “--системд-инсталл-сервицес”, инсталација системд услуге за ЦТДБ је осигурана. Скрипта цтдбд_враппер је укинута - цтдбд процес се сада покреће директно из системд услуге или из инит скрипте.
- Имплементирано је подешавање 'нт хасх сторе = невер', које забрањује складиштење "голих" (без соли) хешева корисничких лозинки за Ацтиве Дирецтори. У следећој верзији, подразумевана поставка 'нт хасх сторе' ће бити подешена на "ауто", у којој ће се режим "никад" применити ако је присутно подешавање 'нтлм аутх = дисаблед'.
- Предложено је везивање за приступ АПИ-ју библиотеке смбцонф из Питхон кода.
- Програм смбстатус имплементира могућност излаза информација у ЈСОН формату (омогућено опцијом „-јсон“).
- Контролер домена подржава безбедносну групу „Заштићени корисници“, која се појавила у Виндовс Сервер 2012 Р2 и не дозвољава коришћење слабих типова шифровања (за кориснике у групи, подршка за НТЛМ аутентификацију, Керберос ТГТ-ове засноване на РЦ4, ограничено и неограничено делегирање је онемогућено).
- Подршка за складиште лозинки засновано на ЛанМан-у и метод аутентификације је укинут (подешавање „ланман аутх=иес“ сада нема ефекта).
Извор: опеннет.ру