சம்பா 4.17.0 இன் வெளியீடு வழங்கப்பட்டது, இது சம்பா 4 கிளையின் வளர்ச்சியைத் தொடர்ந்தது, இது ஒரு டொமைன் கன்ட்ரோலர் மற்றும் ஆக்டிவ் டைரக்டரி சேவையின் முழு அளவிலான செயலாக்கத்துடன், விண்டோஸ் 2008 செயல்படுத்தலுடன் இணக்கமானது மற்றும் விண்டோஸ் கிளையண்டுகளின் அனைத்து பதிப்புகளுக்கும் சேவை செய்யும் திறன் கொண்டது. Windows 11 உட்பட Microsoft ஆல் ஆதரிக்கப்படுகிறது. Samba 4 என்பது ஒரு மல்டிஃபங்க்ஸ்னல் சர்வர் தயாரிப்பு ஆகும், இது ஒரு கோப்பு சேவையகம், அச்சு சேவை மற்றும் அடையாள சேவையகம் (winbind) ஆகியவற்றை செயல்படுத்துவதையும் வழங்குகிறது.
சம்பா 4.17 இல் முக்கிய மாற்றங்கள்:
- Проведена работа по устранению регрессий в производительности нагруженных SMB-серверов, появившихся в результате добавления защиты от уязвимостей, манипулирующих символическими ссылками. Из проведённых оптимизаций упоминается сокращение системных вызовов при проверке имени каталога и не использование wakeup-событий при обработке конкурирующих операций, приводящих к задержкам.
- Предоставлена возможность сборки Samba без поддержки протокола SMB1 в smbd. Для отключения SMB1 в сборочном скрипте configure реализована опция «—without-smb1-server» (влияет только на smbd, в клиентских библиотеках поддержка SMB1 сохраняется).
- При использовании MIT Kerberos 1.20 реализована возможность противодействия атаке «Bronze Bit» (CVE-2020-17049), благодаря передаче дополнительной информации между компонентами KDC и KDB. В используемом по умолчанию KDC на базе Heimdal Kerberos проблема была устранена в 2021 году.
- При сборке с MIT Kerberos 1.20 в контроллере домена на базе Samba реализована поддержка Kerberos-расширений S4U2Self и S4U2Proxy, а также добавлена возможность ограниченного делегирования, основанного на ресурсах (RBCD, Resource Based Constrained Delegation). Для управления RBCDВ в команду «samba-tool delegation» добавлены подкоманды ‘add-principal’ и ‘del-principal’. В применяемом по умолчанию KDC на базе Heimdal Kerberos режим RBCD пока не поддерживается.
- Во встроенном DNS-сервисе предоставлена возможность изменения сетевого порта, принимающего запросы (например, для запуска на той же системе другого DNS-сервера, перенаправляющего определённые запросы к Samba).
- В компоненте CTDB, отвечающем за работу кластерных конфигураций, снижены требования к синтаксису файла ctdb.tunables. При сборке Samba с опциями «—with-cluster-support» и «—systemd-install-services» обеспечена установка сервиса systemd для CTDB. Прекращена поставка скрипта ctdbd_wrapper — процесс ctdbd теперь запускается напрямую из сервиса systemd или из скрипта инициализации.
- Реализована настройка ‘nt hash store = never’ запрещающая хранение «голых» (без соли) хэшей паролей пользователей Active Directory. В следующей версии настройка ‘nt hash store’ по умолчанию будет выставлена в значение «auto», при котором режим «never» будет применяться в случае наличия настройки ‘ntlm auth = disabled’.
- Предложена обвязка для обращения к API библиотеки smbconf из кода на языке Python.
- В программе smbstatus реализована возможность вывода информации в формате JSON (включается опцией «—json»).
- В контроллере домена реализована поддержка группы безопасности «Защищенные пользователи», появившейся в Windows Server 2012 R2 и не допускающей использование ненадёжных типов шифрования (для пользователей в группе отключается поддержка аутентификации NTLM, Kerberos TGTs на базе RC4, ограниченного и неограниченного делегирования).
- Прекращена поддержка хранилища паролей и метода аутентификации на базе LanMan (настройка «lanman auth = yes» теперь не имеет значения).
ஆதாரம்: opennet.ru