Utgivningen av Samba 4.17.0 presenterades, som fortsatte utvecklingen av Samba 4-grenen med en fullfjädrad implementering av en domänkontrollant och Active Directory-tjänst, kompatibel med implementeringen av Windows 2008 och kapabel att betjäna alla versioner av Windows-klienter stöds av Microsoft, inklusive Windows 11. Samba 4 är en multifunktionell serverprodukt, som också tillhandahåller en implementering av en filserver, en utskriftstjänst och en identitetsserver (winbind).
Viktiga ändringar i Samba 4.17:
- Arbete har utförts för att eliminera regressioner i prestandan hos belastade SMB-servrar som uppstod till följd av att skydd mot sårbarheter som manipulerar symboliska länkar lagts till. Bland de optimeringar som utförts nämns att systemanrop minskas vid kontroll av katalognamnet och att väckningshändelser inte används vid bearbetning av konkurrerande operationer som leder till förseningar.
- Möjligheten att bygga Samba utan stöd för SMB1-protokollet i smbd finns tillgänglig. För att inaktivera SMB1 implementeras alternativet "--without-smb1-server" i byggskriptet configure (påverkar endast smbd, SMB1-stödet bevaras i klientbiblioteken).
- Vid användning av MIT Kerberos 1.20 implementerades en åtgärd för Bronze Bit-attacken (CVE-2020-17049) genom att skicka ytterligare information mellan KDC- och KDB-komponenterna. Problemet åtgärdades i den standardmässiga Heimdal Kerberos-baserade KDC:n år 2021.
- När man bygger med MIT Kerberos 1.20 i styrenheten domän Stöd för Kerberos-tilläggen S4U2Self och S4U2Proxy har implementerats med Samba, såväl som resursbaserad begränsad delegering (RBCD). För att hantera RBCD har underkommandona 'add-principal' och 'del-principal' lagts till i kommandot "samba-tool delegation". RBCD stöds ännu inte i den standardmässiga Kerberos-baserade KDC:n för Heimdal.
- Den inbyggda DNS-tjänsten ger möjlighet att ändra nätverksporten som accepterar förfrågningar (till exempel att köra en annan DNS-server på samma system som vidarebefordrar vissa förfrågningar till Samba).
- I CTDB-komponenten som ansvarar för klusterkonfigurationer har kraven för ctdb.tunables-filsyntaxen mildrats. När Samba byggs med alternativen "--with-cluster-support" och "--systemd-install-services" installeras systemd-tjänsten för CTDB. Skriptet ctdbd_wrapper har avbrutits — ctdbd-processen startas nu direkt från systemd-tjänsten eller från initialiseringsskriptet.
- Inställningen 'nt hash store = never' har implementerats, vilket förhindrar lagring av "nakna" (utan salt) hashkoder för Active Directory-användarlösenord. I nästa version kommer inställningen 'nt hash store' att vara inställd på "auto" som standard, i vilket fall läget "never" kommer att tillämpas om inställningen 'ntlm auth = disabled' är aktiverad.
- En bindning för åtkomst till smbconf-bibliotekets API från Python-kod föreslås.
- Programmet smbstatus kan mata ut information i JSON-format (aktiverat med alternativet "--json").
- Domänkontrollanten implementerar stöd för säkerhetsgruppen Skyddade användare, som introducerades i Windows Server 2012 R2 och inte tillåter användning av svaga krypteringstyper (för användare i gruppen är stöd för NTLM-autentisering, RC4-baserade Kerberos TGT:er, begränsad och obegränsad delegering inaktiverat).
- Stöd för lösenordslagring och autentiseringsmetod baserad på LanMan har upphört (inställningen "lanman auth = yes" är nu irrelevant).
Källa: opennet.ru
