Phiên bản Samba 4.17.0 đã được phát hành, tiếp tục phát triển nhánh Samba 4 với việc triển khai đầy đủ bộ điều khiển miền và dịch vụ Active Directory tương thích với phiên bản này. Windows Năm 2008 và có khả năng xử lý tất cả các phiên bản được Microsoft hỗ trợ. Windows-khách hàng, bao gồm Windows 11. Samba 4 là một sản phẩm máy chủ đa chức năng, cung cấp cả chức năng máy chủ tập tin, dịch vụ in ấn và máy chủ xác thực (winbind).
Những thay đổi chính trong Samba 4.17:
- Công việc đã được thực hiện để loại bỏ hiện tượng hồi quy về hiệu suất của các máy chủ SMB bận rộn xuất hiện do việc bổ sung tính năng bảo vệ chống lại các lỗ hổng thao túng liên kết tượng trưng. Trong số các tối ưu hóa được thực hiện, có đề cập đến việc giảm các lệnh gọi hệ thống khi kiểm tra tên thư mục và không sử dụng các sự kiện đánh thức khi xử lý các hoạt động cạnh tranh dẫn đến chậm trễ.
- Khả năng xây dựng Samba mà không cần hỗ trợ giao thức SMB1 trong smbd đã được cung cấp. Để tắt SMB1, tùy chọn “--without-smb1-server” được triển khai trong tập lệnh xây dựng cấu hình (chỉ ảnh hưởng đến smbd; hỗ trợ cho SMB1 được giữ lại trong thư viện máy khách).
- Khi sử dụng MIT Kerberos 1.20, khả năng chống lại cuộc tấn công Bronze Bit (CVE-2020-17049) được triển khai bằng cách truyền thông tin bổ sung giữa các thành phần KDC và KDB. Trong KDC dựa trên Heimdal Kerberos mặc định, sự cố đã được khắc phục vào năm 2021.
- Khi xây dựng với MIT Kerberos 1.20 trong bộ điều khiển miền Việc hỗ trợ các phần mở rộng Kerberos S4U2Self và S4U2Proxy đã được triển khai bằng Samba, cũng như ủy quyền hạn chế dựa trên tài nguyên (RBCD). Để quản lý RBCD, các lệnh con 'add-principal' và 'del-principal' đã được thêm vào lệnh "samba-tool delegation". RBCD hiện chưa được hỗ trợ trong KDC dựa trên Kerberos mặc định của Heimdal.
- Dịch vụ DNS tích hợp cung cấp khả năng thay đổi cổng mạng nhận yêu cầu (ví dụ: để chạy một máy chủ DNS khác trên cùng hệ thống chuyển hướng các yêu cầu nhất định đến Samba).
- Trong thành phần CTDB chịu trách nhiệm vận hành các cấu hình cụm, các yêu cầu về cú pháp của tệp ctdb.tunables đã được giảm bớt. Khi xây dựng Samba với các tùy chọn “--with-cluster-support” và “--systemd-install-services” thì việc cài đặt dịch vụ systemd cho CTDB được đảm bảo. Tập lệnh ctdbd_wrapper đã ngừng hoạt động - quy trình ctdbd hiện được khởi chạy trực tiếp từ dịch vụ systemd hoặc từ tập lệnh init.
- Cài đặt 'nt hash store = never' đã được triển khai, cài đặt này cấm lưu trữ các hàm băm "trần trụi" (không có muối) của mật khẩu người dùng Active Directory. Trong phiên bản tiếp theo, cài đặt 'nt hash store' mặc định sẽ được đặt thành "auto", trong đó chế độ "không bao giờ" sẽ được áp dụng nếu có cài đặt 'ntlm auth = bị vô hiệu hóa'.
- Một ràng buộc đã được đề xuất để truy cập API thư viện smbconf từ mã Python.
- Chương trình smbstatus triển khai khả năng xuất thông tin ở định dạng JSON (được bật bằng tùy chọn “-json”).
- Bộ điều khiển miền hiện hỗ trợ nhóm bảo mật Người dùng được bảo vệ, được giới thiệu vào năm [năm]. Windows Server 2012 R2 và không cho phép sử dụng các loại mã hóa yếu (hỗ trợ xác thực NTLM, Kerberos TGT dựa trên RC4, ủy quyền có giới hạn và không giới hạn bị vô hiệu hóa đối với người dùng trong nhóm).
- Hỗ trợ cho phương pháp xác thực và lưu trữ mật khẩu dựa trên LanMan đã bị ngừng (cài đặt "lanman auth=yes" hiện không có hiệu lực).
Nguồn: opennet.ru
