โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > ปล่อยแซมบ้า 4.17.0

ปล่อยแซมบ้า 4.17.0

มีการนำเสนอรุ่น Samba 4.17.0 ซึ่งสานต่อการพัฒนาสาขา Samba 4 ด้วยการใช้ตัวควบคุมโดเมนและบริการ Active Directory เต็มรูปแบบที่เข้ากันได้กับการใช้งาน Windows 2008 และสามารถให้บริการทุกเวอร์ชันของ ไคลเอนต์ Windows ที่ Microsoft สนับสนุน รวมถึง Windows 11 Samba 4 เป็นผลิตภัณฑ์เซิร์ฟเวอร์มัลติฟังก์ชั่น ซึ่งยังมีการใช้งานเซิร์ฟเวอร์ไฟล์ บริการพิมพ์ และเซิร์ฟเวอร์ระบุตัวตน (winbind)

การเปลี่ยนแปลงที่สำคัญใน Samba 4.17:

  • มีการดำเนินการเพื่อกำจัดการถดถอยในประสิทธิภาพของเซิร์ฟเวอร์ SMB ที่ไม่ว่างซึ่งปรากฏเป็นผลมาจากการเพิ่มการป้องกันช่องโหว่ในการจัดการ symlink ในบรรดาการปรับปรุงประสิทธิภาพที่ดำเนินการ มีการกล่าวถึงการลดการเรียกของระบบเมื่อตรวจสอบชื่อไดเร็กทอรี และไม่ใช้เหตุการณ์การปลุกเมื่อประมวลผลการดำเนินการที่แข่งขันกันซึ่งนำไปสู่ความล่าช้า
  • มีการจัดเตรียมความสามารถในการสร้าง Samba โดยไม่รองรับโปรโตคอล SMB1 ใน smbd หากต้องการปิดใช้งาน SMB1 ตัวเลือก "--without-smb1-server" จะถูกนำมาใช้ในสคริปต์การกำหนดค่า (มีผลกับ smbd เท่านั้น การสนับสนุนสำหรับ SMB1 จะยังคงอยู่ในไลบรารีไคลเอ็นต์)
  • เมื่อใช้ MIT Kerberos 1.20 ความสามารถในการตอบโต้การโจมตี Bronze Bit (CVE-2020-17049) จะถูกนำมาใช้โดยการถ่ายโอนข้อมูลเพิ่มเติมระหว่างส่วนประกอบ KDC และ KDB ใน KDC ที่ใช้ Heimdal Kerberos เริ่มต้น ปัญหานี้ได้รับการแก้ไขแล้วในปี 2021
  • เมื่อสร้างด้วย MIT Kerberos 1.20 ตัวควบคุมโดเมนที่ใช้ Samba จะสนับสนุนส่วนขยาย Kerberos S4U2Self และ S4U2Proxy และยังเพิ่มความสามารถสำหรับ Resource Based Constrained Delegation (RBCD) ในการจัดการ RBCD คำสั่งย่อย 'add-principal' และ 'del-principal' ได้ถูกเพิ่มลงในคำสั่ง "samba-tool delegation" KDC ที่ใช้ Heimdal Kerberos เริ่มต้นยังไม่รองรับโหมด RBCD
  • บริการ DNS ในตัวให้ความสามารถในการเปลี่ยนพอร์ตเครือข่ายที่ได้รับคำขอ (เช่น เพื่อเรียกใช้เซิร์ฟเวอร์ DNS อื่นบนระบบเดียวกันที่เปลี่ยนเส้นทางคำขอบางอย่างไปยัง Samba)
  • ในคอมโพเนนต์ CTDB ซึ่งรับผิดชอบการดำเนินการของการกำหนดค่าคลัสเตอร์ ข้อกำหนดสำหรับไวยากรณ์ของไฟล์ ctdb.tunables ลดลง เมื่อสร้าง Samba ด้วยตัวเลือก “--with-cluster-support” และ “--systemd-install-services” จะรับประกันการติดตั้งบริการ systemd สำหรับ CTDB สคริปต์ ctdbd_wrapper ถูกยกเลิกแล้ว - ขณะนี้กระบวนการ ctdbd ได้รับการเปิดใช้โดยตรงจากบริการ systemd หรือจากสคริปต์เริ่มต้น
  • การตั้งค่า 'nt hash store = never' ถูกนำมาใช้ ซึ่งห้ามไม่ให้มีการจัดเก็บแฮช "เปล่า" (ไม่มีเกลือ) ของรหัสผ่านผู้ใช้ Active Directory ในเวอร์ชันถัดไป การตั้งค่าเริ่มต้น 'nt hash store' จะถูกตั้งค่าเป็น "อัตโนมัติ" ซึ่งโหมด "ไม่" จะถูกนำไปใช้หากมีการตั้งค่า 'ntlm auth = ปิดการใช้งาน'
  • มีการเสนอการเชื่อมโยงสำหรับการเข้าถึงไลบรารี API smbconf จากโค้ด Python
  • โปรแกรม smbstatus ใช้ความสามารถในการส่งออกข้อมูลในรูปแบบ JSON (เปิดใช้งานด้วยตัวเลือก “-json”)
  • ตัวควบคุมโดเมนรองรับกลุ่มความปลอดภัย “ผู้ใช้ที่ได้รับการป้องกัน” ซึ่งปรากฏใน Windows Server 2012 R2 และไม่อนุญาตให้ใช้ประเภทการเข้ารหัสที่ไม่รัดกุม (สำหรับผู้ใช้ในกลุ่ม รองรับการตรวจสอบสิทธิ์ NTLM, Kerberos TGT ที่ใช้ RC4, มีข้อจำกัดและไม่มีข้อจำกัด การมอบหมายถูกปิดใช้งาน)
  • การสนับสนุนสำหรับการจัดเก็บรหัสผ่านที่ใช้ LanMan และวิธีการรับรองความถูกต้องได้ถูกยกเลิกแล้ว (การตั้งค่า "lanman auth=yes" ขณะนี้ไม่มีผลใดๆ)

    ที่มา: opennet.ru

เพิ่มความคิดเห็น