推出了 Samba 4.17.0 版本,它繼續開發 Samba 4 分支,具有域控制器的完整實現和與 Windows 2008 的實現兼容的 Active Directory 服務,並且能夠為所有版本提供服務微軟支持的Windows客戶端,包括Windows 11。Samba 4是一個多功能的服務器產品,它還提供了文件服務器、打印服務和身份服務器(winbind)的實現。
Samba 4.17 的主要變化:
- 我們已經開展工作來消除繁忙的 SMB 伺服器的效能下降,這種下降是由於添加了針對符號連結操作漏洞的保護而出現的。 在進行的優化中,提到了在檢查目錄名稱時減少系統調用,以及在處理導致延遲的競爭操作時不使用喚醒事件。
- smbd 中已經提供了在不支援 SMB1 協定的情況下建構 Samba 的能力。 若要停用 SMB1,請在設定建置腳本中實作「--without-smb1-server」選項(僅影響 smbd;用戶端程式庫中保留對 SMB1 的支援)。
- 使用 MIT Kerberos 1.20 時,可以透過在 KDC 和 KDB 元件之間傳輸附加資訊來實現抵禦青銅位攻擊 (CVE-2020-17049) 的能力。 在預設的基於 Heimdal Kerberos 的 KDC 中,該問題已於 2021 年修復。
- 當使用 MIT Kerberos 1.20 建置時,基於 Samba 的網域控制站現在支援 Kerberos 擴充 S4U2Self 和 S4U2Proxy,並且還新增了基於資源的約束委派 (RBCD) 的功能。 為了管理 RBCD,「samba-tool delegate」指令中加入了「add-principal」和「del-principal」子指令。 預設的基於 Heimdal Kerberos 的 KDC 尚不支援 RBCD 模式。
- 內建 DNS 服務提供更改接收請求的網路連接埠的功能(例如,在同一系統上執行另一個 DNS 伺服器,將某些請求重新導向至 Samba)。
- 在負責叢集配置操作的 CTDB 元件中,降低了對 ctdb.tunables 檔案語法的要求。 當使用“--with-cluster-support”和“--systemd-install-services”選項建置Samba時,可以確保安裝CTDB的systemd服務。 ctdbd_wrapper 腳本已停止使用 - ctdbd 程序現在直接從 systemd 服務或 init 腳本啟動。
- 已實施「nt hash store = never」設置,該設定禁止儲存 Active Directory 使用者密碼的「裸」(無鹽)雜湊值。 在下一版本中,預設的“nt 雜湊儲存”設定將設定為“自動”,其中如果存在“ntlm auth = 停用”設置,則將套用“從不”模式。
- 已提出用於從 Python 程式碼存取 smbconf 庫 API 的綁定。
- smbstatus 程式實現了以 JSON 格式輸出資訊的功能(透過「-json」選項啟用)。
- 網域控制站支援「受保護的用戶」安全性群組,該安全性群組出現在Windows Server 2012 R2 中,不允許使用弱加密類型(對於群組內的用戶,支援NTLM 驗證、基於RC4 的Kerberos TGT、受約束和無約束)委派被禁用)。
- 基於 LanMan 的密碼儲存和驗證方法的支援已停止(「lanman auth=yes」設定現在無效)。
來源: opennet.ru