Samba 4.17.0 已发布,继续开发 Samba 4 分支,完整实现了域控制器和与该实现兼容的 Active Directory 服务。 Windows 2008 年,并且能够处理所有 Microsoft 支持的版本 Windows-客户,包括 Windows 11. Samba 4 是一款多功能服务器产品,还提供文件服务器、打印服务和身份验证服务器 (winbind)。
Samba 4.17 的主要变化:
- 我们已经开展工作来消除繁忙的 SMB 服务器的性能下降,这种下降是由于添加了针对符号链接操作漏洞的保护而出现的。 在进行的优化中,提到了在检查目录名称时减少系统调用,以及在处理导致延迟的竞争操作时不使用唤醒事件。
- smbd 中已经提供了在不支持 SMB1 协议的情况下构建 Samba 的能力。 要禁用 SMB1,请在配置构建脚本中实现“--without-smb1-server”选项(仅影响 smbd;客户端库中保留对 SMB1 的支持)。
- 使用 MIT Kerberos 1.20 时,可以通过在 KDC 和 KDB 组件之间传输附加信息来实现抵御青铜位攻击 (CVE-2020-17049) 的能力。 在默认的基于 Heimdal Kerberos 的 KDC 中,该问题已于 2021 年得到修复。
- 在控制器中使用 MIT Kerberos 1.20 进行构建时 领域 Samba 已实现对 S4U2Self 和 S4U2Proxy Kerberos 扩展的支持,以及基于资源的约束委派 (RBCD)。为了管理 RBCD,已在“samba-tool delegate”命令中添加了“add-principal”和“del-principal”子命令。默认的基于 Heimdal Kerberos 的 KDC 尚不支持 RBCD。
- 内置 DNS 服务提供更改接收请求的网络端口的功能(例如,在同一系统上运行另一个 DNS 服务器,将某些请求重定向到 Samba)。
- 在负责集群配置操作的 CTDB 组件中,降低了对 ctdb.tunables 文件语法的要求。 当使用“--with-cluster-support”和“--systemd-install-services”选项构建Samba时,可以确保安装CTDB的systemd服务。 ctdbd_wrapper 脚本已停止使用 - ctdbd 进程现在直接从 systemd 服务或 init 脚本启动。
- 已实施“nt hash store = never”设置,该设置禁止存储 Active Directory 用户密码的“裸”(无盐)哈希值。 在下一版本中,默认的“nt 哈希存储”设置将设置为“自动”,其中如果存在“ntlm auth = 禁用”设置,则将应用“从不”模式。
- 已提出用于从 Python 代码访问 smbconf 库 API 的绑定。
- smbstatus 程序实现了以 JSON 格式输出信息的功能(通过“-json”选项启用)。
- 域控制器现在支持受保护用户安全组,该安全组是在 [此处应填写引入的版本] 中引入的。 Windows Server 2012 R2 并且不允许使用弱加密类型(对组内用户的 NTLM 身份验证、基于 RC4 的 Kerberos TGT、受限和非受限委派的支持已禁用)。
- 对基于 LanMan 的密码存储和身份验证方法的支持已停止(“lanman auth=yes”设置现在无效)。
来源: opennet.ru
