Представлено реліз Samba 4.17.0, що продовжив розвиток гілки Samba 4 з повноцінною реалізацією контролера домену та сервісу Active Directory, сумісного з реалізацією Windows 2008 і здатного обслуговувати всі підтримувані Microsoft версії Windows-клієнтів, у тому числі Windows 11. Samba 4 є багатофункціональним серверним продуктом , що надає також реалізацію файлового сервера, сервісу друку та сервера ідентифікації (winbind).
Ключові зміни в Samba 4.17:
- Проведено роботу щодо усунення регресій у продуктивності навантажених SMB-серверів, що з'явилися в результаті додавання захисту від уразливостей, що маніпулюють символічними посиланнями. З проведених оптимізацій згадується скорочення системних викликів під час перевірки імені каталогу та не використання wakeup-подій при обробці конкуруючих операцій, що призводять до затримок.
- Надано можливість складання Samba без підтримки протоколу SMB1 у smbd. Для відключення SMB1 у складальному скрипті configure реалізовано опцію «—without-smb1-server» (впливає тільки на smbd, у клієнтських бібліотеках підтримка SMB1 зберігається).
- При використанні MIT Kerberos 1.20 реалізовано можливість протидії атаці «Bronze Bit» (CVE-2020-17049) завдяки передачі додаткової інформації між компонентами KDC і KDB. У KDC, що використовується за замовчуванням, на базі Heimdal Kerberos проблема була усунена в 2021 році.
- При складанні з MIT Kerberos 1.20 в контролері домену на базі Samba реалізовано підтримку Kerberos-розширень S4U2Self і S4U2Proxy, а також додано можливість обмеженого делегування, заснованого на ресурсах (RBCD, Resource Based Constrained Delegation). Для управління RBCDВ до команди «samba-tool delegation» додані підкоманди 'add-principal' і 'del-principal'. У стандартному режимі KDC на базі Heimdal Kerberos режим RBCD поки не підтримується.
- У вбудованому DNS-сервісі надано можливість зміни мережного порту, що приймає запити (наприклад, для запуску на тій самій системі іншого DNS-сервера, що перенаправляє певні запити до Samba).
- У компоненті CTDB, що відповідає за роботу кластерних конфігурацій, знижено вимоги до синтаксису файлу ctdb.tunables. При збиранні Samba з опціями «with-cluster-support» та «systemd-install-services» забезпечена установка сервісу systemd для CTDB. Припинено постачання скрипту ctdbd_wrapper — процес ctdbd тепер запускається безпосередньо із сервісу systemd або зі скрипту ініціалізації.
- Реалізовано налаштування 'nt hash store = never' забороняє зберігання голих (без солі) хешів паролів користувачів Active Directory. У наступній версії налаштування 'nt hash store' за замовчуванням буде виставлено в значення "auto", при якому режим "never" буде застосовуватись у разі налаштування 'ntlm auth = disabled'.
- Запропоновано обв'язування для звернення до API бібліотеки smbconf з коду Python.
- У програмі smbstatus реалізовано можливість виведення інформації у форматі JSON (включається опцією «-json»).
- У контролері домену реалізована підтримка групи безпеки «Захищені користувачі», яка з'явилася у Windows Server 2012 R2 і не допускає використання ненадійних типів шифрування (для користувачів у групі відключається підтримка автентифікації NTLM, Kerberos TGTs на базі RC4, обмеженого та необмеженого).
- Припинено підтримку сховища паролів та методу аутентифікації на базі LanMan (налаштування «lanman auth = yes» тепер не має значення).
Джерело: opennet.ru