推出了 Samba 4.17.0 版本,它继续开发 Samba 4 分支,具有域控制器的完整实现和与 Windows 2008 的实现兼容的 Active Directory 服务,并且能够为所有版本提供服务微软支持的Windows客户端,包括Windows 11。Samba 4是一个多功能的服务器产品,它还提供了文件服务器、打印服务和身份服务器(winbind)的实现。
Samba 4.17 的主要变化:
- 我们已经开展工作来消除繁忙的 SMB 服务器的性能下降,这种下降是由于添加了针对符号链接操作漏洞的保护而出现的。 在进行的优化中,提到了在检查目录名称时减少系统调用,以及在处理导致延迟的竞争操作时不使用唤醒事件。
- smbd 中已经提供了在不支持 SMB1 协议的情况下构建 Samba 的能力。 要禁用 SMB1,请在配置构建脚本中实现“--without-smb1-server”选项(仅影响 smbd;客户端库中保留对 SMB1 的支持)。
- 使用 MIT Kerberos 1.20 时,可以通过在 KDC 和 KDB 组件之间传输附加信息来实现抵御青铜位攻击 (CVE-2020-17049) 的能力。 在默认的基于 Heimdal Kerberos 的 KDC 中,该问题已于 2021 年得到修复。
- 当使用 MIT Kerberos 1.20 构建时,基于 Samba 的域控制器现在支持 Kerberos 扩展 S4U2Self 和 S4U2Proxy,并且还添加了基于资源的约束委派 (RBCD) 的功能。 为了管理 RBCD,“samba-tool delegate”命令中添加了“add-principal”和“del-principal”子命令。 默认的基于 Heimdal Kerberos 的 KDC 尚不支持 RBCD 模式。
- 内置 DNS 服务提供更改接收请求的网络端口的功能(例如,在同一系统上运行另一个 DNS 服务器,将某些请求重定向到 Samba)。
- 在负责集群配置操作的 CTDB 组件中,降低了对 ctdb.tunables 文件语法的要求。 当使用“--with-cluster-support”和“--systemd-install-services”选项构建Samba时,可以确保安装CTDB的systemd服务。 ctdbd_wrapper 脚本已停止使用 - ctdbd 进程现在直接从 systemd 服务或 init 脚本启动。
- 已实施“nt hash store = never”设置,该设置禁止存储 Active Directory 用户密码的“裸”(无盐)哈希值。 在下一版本中,默认的“nt 哈希存储”设置将设置为“自动”,其中如果存在“ntlm auth = 禁用”设置,则将应用“从不”模式。
- 已提出用于从 Python 代码访问 smbconf 库 API 的绑定。
- smbstatus 程序实现了以 JSON 格式输出信息的功能(通过“-json”选项启用)。
- 域控制器支持“受保护的用户”安全组,该安全组出现在 Windows Server 2012 R2 中,不允许使用弱加密类型(对于组内的用户,支持 NTLM 身份验证、基于 RC4 的 Kerberos TGT、受约束和无约束)委派被禁用)。
- 对基于 LanMan 的密码存储和身份验证方法的支持已停止(“lanman auth=yes”设置现在无效)。
来源: opennet.ru