Utgivningen av Samba 4.17.0 presenterades, som fortsatte utvecklingen av Samba 4-grenen med en fullfjädrad implementering av en domänkontrollant och Active Directory-tjänst, kompatibel med implementeringen av Windows 2008 och kapabel att betjäna alla versioner av Windows-klienter stöds av Microsoft, inklusive Windows 11. Samba 4 är en multifunktionell serverprodukt, som också tillhandahåller en implementering av en filserver, en utskriftstjänst och en identitetsserver (winbind).
Viktiga ändringar i Samba 4.17:
- Arbete har gjorts för att eliminera regressioner i prestanda för upptagna SMB-servrar som uppstod som ett resultat av att lägga till skydd mot sårbarheter för manipulering av symboliska länkar. Bland de genomförda optimeringar nämns att minska systemanrop vid kontroll av katalognamn och att inte använda väckningshändelser vid bearbetning av konkurrerande operationer som leder till förseningar.
- Möjligheten att bygga Samba utan stöd för SMB1-protokollet i smbd har tillhandahållits. För att inaktivera SMB1 implementeras alternativet "--utan-smb1-server" i konfigureringsskriptet (påverkar endast smbd; stöd för SMB1 behålls i klientbibliotek).
- När du använder MIT Kerberos 1.20 implementeras förmågan att motverka bronsbitattacken (CVE-2020-17049) genom att överföra ytterligare information mellan KDC- och KDB-komponenterna. I standard Heimdal Kerberos-baserade KDC, åtgärdades problemet 2021.
- När den byggdes med MIT Kerberos 1.20, stöder den Samba-baserade domänkontrollanten nu Kerberos-tilläggen S4U2Self och S4U2Proxy, och lägger även till möjligheten för Resource Based Constrained Delegation (RBCD). För att hantera RBCD har underkommandona 'add-principal' och 'del-principal' lagts till i kommandot "samba-tool delegation". Standard Heimdal Kerberos-baserade KDC stöder ännu inte RBCD-läge.
- Den inbyggda DNS-tjänsten ger möjlighet att ändra nätverksporten som tar emot förfrågningar (till exempel att köra en annan DNS-server på samma system som omdirigerar vissa förfrågningar till Samba).
- I CTDB-komponenten, som ansvarar för driften av klusterkonfigurationer, har kraven på syntaxen för filen ctdb.tunables reducerats. När du bygger Samba med alternativen "--with-cluster-support" och "--systemd-install-services", säkerställs installationen av systemd-tjänsten för CTDB. Skriptet ctdbd_wrapper har avbrutits - ctdbd-processen startas nu direkt från systemd-tjänsten eller från ett init-skript.
- Inställningen 'nt hash store = never' har implementerats, vilket förbjuder lagring av "nakna" (utan salt) hash av Active Directory-användarlösenord. I nästa version kommer standardinställningen 'nt hash store' att vara inställd på "auto", där "aldrig"-läget kommer att tillämpas om inställningen 'ntlm auth = disabled' är närvarande.
- En bindning har föreslagits för åtkomst till smbconf-bibliotekets API från Python-kod.
- smbstatus-programmet implementerar möjligheten att mata ut information i JSON-format (aktiverat med alternativet "-json").
- Domänkontrollanten stöder säkerhetsgruppen "Protected Users", som dök upp i Windows Server 2012 R2 och tillåter inte användning av svaga krypteringstyper (för användare i gruppen, stöd för NTLM-autentisering, Kerberos TGTs baserade på RC4, begränsade och obegränsade delegering är inaktiverad).
- Stödet för den LanMan-baserade lösenordslagringen och autentiseringsmetoden har upphört (inställningen "lanman auth=yes" har nu ingen effekt).
Källa: opennet.ru