Samba 4.17.0 şubesinin gelişimini, Windows 4 uygulamasıyla uyumlu ve Windows istemcilerinin tüm sürümlerine hizmet verebilen tam teşekküllü bir etki alanı denetleyicisi ve Active Directory hizmeti uygulamasıyla sürdüren Samba 2008 sürümü sunuldu. Windows 11 da dahil olmak üzere Microsoft tarafından desteklenir. Samba 4, aynı zamanda bir dosya sunucusunun, bir yazdırma hizmetinin ve bir kimlik sunucusunun (winbind) uygulanmasını da sağlayan çok işlevli bir sunucu ürünüdür.
Samba 4.17'daki önemli değişiklikler:
- Sembolik bağlantı manipülasyonu güvenlik açıklarına karşı koruma eklenmesi sonucunda yoğun çalışan SMB sunucularının performansındaki gerilemeleri ortadan kaldırmak için çalışmalar yapıldı. Yapılan optimizasyonlar arasında, dizin adı kontrol edilirken sistem çağrılarının azaltılması ve gecikmelere yol açan rakip işlemler işlenirken uyandırma olaylarının kullanılmaması belirtiliyor.
- Smbd'de SMB1 protokolü desteği olmadan Samba oluşturma yeteneği sağlanmıştır. SMB1'i devre dışı bırakmak için, yapılandırma derleme komut dosyasında “--without-smb1-server” seçeneği uygulanır (yalnızca smbd'yi etkiler; SMB1 desteği istemci kitaplıklarında korunur).
- MIT Kerberos 1.20 kullanıldığında, Bronze Bit saldırısına (CVE-2020-17049) karşı koyma yeteneği, KDC ve KDB bileşenleri arasında ek bilgi aktarılarak uygulanır. Varsayılan Heimdal Kerberos tabanlı KDC'de sorun 2021'de düzeltildi.
- MIT Kerberos 1.20 ile oluşturulduğunda, Samba tabanlı etki alanı denetleyicisi artık S4U2Self ve S4U2Proxy Kerberos uzantılarını destekliyor ve ayrıca Kaynak Tabanlı Kısıtlanmış Yetki (RBCD) özelliğini de ekliyor. RBCD'yi yönetmek için "samba-tool delegasyonu" komutuna 'add-principal' ve 'del-principal' alt komutları eklendi. Varsayılan Heimdal Kerberos tabanlı KDC henüz RBCD modunu desteklemiyor.
- Yerleşik DNS hizmeti, istekleri alan ağ bağlantı noktasını değiştirme olanağı sağlar (örneğin, belirli istekleri Samba'ya yönlendiren aynı sistemde başka bir DNS sunucusu çalıştırmak için).
- Küme konfigürasyonlarının çalışmasından sorumlu olan CTDB bileşeninde, ctdb.tunables dosyasının sözdizimine ilişkin gereksinimler azaltılmıştır. Samba’yı “--with-cluster-support” ve “--systemd-install-services” seçenekleriyle kurarken CTDB için systemd servisinin kurulumu sağlanır. ctdbd_wrapper betiği kullanımdan kaldırıldı - ctdbd işlemi artık doğrudan systemd hizmetinden veya bir init betiğinden başlatılıyor.
- Active Directory kullanıcı parolalarının "çıplak" (tuzsuz) karmalarının depolanmasını yasaklayan 'nt karma deposu = asla' ayarı uygulandı. Bir sonraki sürümde, varsayılan 'nt karma depolama' ayarı "otomatik" olarak ayarlanacak ve burada "ntlm auth = devre dışı" ayarı mevcutsa "asla" modu uygulanacaktır.
- Python kodundan smbconf kitaplığı API'sine erişim için bir bağlama önerildi.
- Smbstatus programı, bilgilerin JSON formatında çıktısını alma yeteneğini uygular ("-json" seçeneğiyle etkinleştirilir).
- Etki alanı denetleyicisi, Windows Server 2012 R2'de görünen "Korunan Kullanıcılar" güvenlik grubunu destekler ve zayıf şifreleme türlerinin kullanımına izin vermez (gruptaki kullanıcılar için NTLM kimlik doğrulama desteği, RC4 tabanlı Kerberos TGT'ler, kısıtlı ve kısıtlamasız) delegasyon devre dışı bırakılır).
- LanMan tabanlı parola deposu ve kimlik doğrulama yöntemi desteği durduruldu ("lanman auth=yes" ayarının artık hiçbir etkisi yok).
Kaynak: opennet.ru