The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск Samba 4.20.0

28.03.2024 10:22

После 6 месяцев разработки представлен релиз Samba 4.20.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2008 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 11. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).

Ключевые изменения в Samba 4.20:

  • По умолчанию включена сборка новой утилиты "wspsearch" с реализацией экспериментального клиента для протокола WSP (Windows Search Protocol). Утилита позволяет отправлять поисковые запросы на Windows-сервер, на котором запущен сервис WSP.
  • В команде "smbcacls" реализована поддержка записи списков управления доступом DACL в файл и восстановления DACL из файла. Данные сохраняются в формате, поддерживаемом Windows-утилитой 'icacls.exe', что обеспечивает переносимость файлов с сохранёнными DACL (Discretionary Access Control List).
  • В утилиту "samba-tool" добавлены расширения для централизованных политик доступа Active Directory (Claims), политик аутентификации (Authentication Policies) и контейнеров политик (Authentication Silos). Samba-tool теперь можно использовать для связывания пользователя c утверждениями (claims) для последующего использования в правилах, определяющих возможность доступа к рамках политики аутентификации.

    Кроме того, утилита samba-tool теперь может применяться для создания политик аутентификации и управления ими, а также для создания и управления контейнерами политик. Например, при помощи samba-tool можно определить откуда и куда может подключиться пользователь, если разрешено использование NTLM, и в каких сервисах пользователь может быть аутентифицирован.

  • В реализуемом на базе Samba контроллере домена Active Directory добавлена поддержка политик аутентификации (Authentication Policies) и контейнеров политик (Authentication Silos), созданных через утилиту samba-tool или импортированных из конфигураций Microsoft AD. Возможность доступна только на системах с функциональным уровнем Active Directory как минимум 2012_R2 ("ad dc functional level = 2016" в smb.conf).
  • В утилиту samba-tool добавлена работающая на стороне клиента поддержка управляемых учётных учётных записей gMSA (Group Managed Service Account), в которых используются автоматически обновляемые пароли. Предоставляемые в samba-tool команды управления паролем, которые раньше могли использоваться только с локальной БД sam.ldb, теперь можно применять и к внешнему серверу при аутентифицированном доступе, используя опцию "-H ldap://$DCNAME". Среди поддерживаемых операций: "samba-tool user getpassword" для чтения текущего и прошлого пароля gMSA; "samba-tool user get-kerberos-ticket" для записи Kerberos TGT (Ticket Granting Ticket) в локальный кэш учётных записей.
  • Добавлена поддержка условных записей контроля доступа (Conditional ACE), позволяющих разрешать или блокировать доступ в зависимости от дополнительных условий - если условное выражение не сработало, ACE игнорируется, а иначе применяется как обычный ACE. Условные проверки также могут применяться к атрибутам защищаемого объекта, описываемым атрибутами системных ресурсов (Resource Attribute ACE).
  • В реализацию кластера ctdb добавлена возможность предоставления сервиса MS-SWN (Service Witness Protocol), при помощи которого клиенты могут отслеживать свои SMB-cоединения к узлам кластера. Например, подключённый к узлу "A" клиент может запросить узел "B" отправить уведомление, если узел "A" окажется недоступен. Для управления сервисом предложена серия команд "net witness [list|client-move|share-move|force-unregister|force-response]", позволяющих администратору кластера просматривать зарегистрированных клиентов и запрашивать перенос соединения на другие узлы кластера.
  • Для конфигураций с MIT Kerberos5, работающих в роли контроллера домена Active Directory, теперь требуется как минимум версия MIT Krb5 1.21, в которой появилась дополнительная защита от уязвимости CVE-2022-37967.
  • При сборке с импортированным Heimdal Kerberos больше не требуется установка Perl-модуля JSON, вместо которого используется встроенный в Perl5 модуль JSON::PP.
  • В командах "samba-tool user getpassword" и "samba-tool user syncpasswords", используемых для определения и синхронизации пароля, изменён вывод при использовании параметра ";rounds=" с атрибутами virtualCryptSHA256 и virtualCryptSHA512 (например, '--attributes="virtualCryptSHA256;rounds=50000"').
    
    Было:
       virtualCryptSHA256: {CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF
    
    Стало:
       virtualCryptSHA256;rounds=2561:{CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF
    
  • В реализации MS-WKST (Workstation Service Remote Protocol) прекращена поддержка вывода списка подключённых пользователей на основе содержимого файла /var/run/utmp, хранящего данные о пользователях, в данный момент работающих в системе. Поддержка utmp прекращена из-за подверженности данного формата проблеме 2038 года.


  1. Главная ссылка к новости (https://lists.samba.org/archiv...)
  2. OpenNews: Выпуск Samba 4.19.0
  3. OpenNews: Уязвимость в Samba и MIT/Heimdal Kerberos, приводящая к переполнению буфера
  4. OpenNews: Уязвимости в Samba, приводящие к переполнению буфера и выходу за границу базового каталога
  5. OpenNews: Уязвимость в Samba, позволяющая поменять пароль любому пользователю
  6. OpenNews: Удалённая root-уязвимость в Samba
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60866-samba
Ключевые слова: samba, smb
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (25) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:16, 28/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Для конфигураций с MIT Kerberos5, работающих в роли контроллера домена Active Directory, теперь требуется как минимум версия MIT Krb5 1.21, в которой появилась дополнительная защита от уязвимости CVE-2022-37967.

    А с heimdal работает?

     
  • 1.2, rvs2016 (ok), 11:40, 28/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > По умолчанию включена сборка новой утилиты "wspsearch"
    > с реализацией экспериментального клиента для протокола
    > WSP (Windows Search Protocol). Утилита позволяет
    > отправлять поисковые запросы на Windows-сервер,
    > на котором запущен сервис WSP.

    А чё там на этом Windows-сервере такими поисковыми запросами можно искать? 🧐

     
     
  • 2.5, нах. (?), 14:01, 28/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да искать-то можно все (ну в смысле - это стандартный windows search - который был до картавой) - только откуда у тебя возьмется виндовый сервер на котором можно что-то там поискать - в сети с cacaмбами?! Мы ж разьве не для того ее ставили, чтоб денег никому не платить?

    Странная какая-то получается нёх...

     
     
  • 3.6, User (??), 14:29, 28/03/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Мы уже начали писать свою версию (r)WSP - вот уже даже coc.md готов!
     
  • 2.11, Аноним (11), 17:11, 28/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Когда этот сервис включен на виндовом сервере он индексирует заданные папки в том числе по содержимому. Когда клиент проводит поиск на сетевой шаре он не сам все эти файлики просматривает, а обращается к службе, которая отдает уже индексированный контент. Получается быстро.
     

  • 1.7, Eugene (ok), 14:30, 28/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Самба может использоваться не только на сервере, но и на Linux-клиенте. Насколько я понял, утилита wspsearch именно для него и предназначена.
     
     
  • 2.9, Аноним (9), 15:45, 28/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Самба может использоваться не только на сервере, но и на Linux-клиенте.

    Евгений вы гений.

     
     
  • 3.13, eugener (ok), 17:17, 28/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мы все такие.
     
  • 3.14, Eugene (ok), 17:25, 28/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >>Самба может использоваться не только на сервере, но и на Linux-клиенте.
    > Евгений вы гений.

    Я знаю.

     
  • 2.10, Аноним (10), 17:09, 28/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А можно подробнее, для чего и каким именно образом выглядеть?
     

  • 1.12, Аноним (10), 17:17, 28/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Вообще кто как использует? Самый простой и распространённый кейс это файловая помойка в ф-ме?
     
     
  • 2.16, Аноним (16), 17:51, 28/03/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Как замена AD
     
  • 2.19, User (??), 09:31, 29/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Предполагаю, что количественно - за ради winbind'а и включения в уже имеющийся домен ).
     

  • 1.15, Аноним (15), 17:29, 28/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Лучше бы пофиксили утееееееечки памяти....
     
     
  • 2.22, scriptkiddis (?), 20:46, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Видишь минусы? Никого не интересуют твои утечки, нужно кок писать а не утески дебажить!
     

  • 1.17, oljas (?), 19:00, 28/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Когда уже будут smb3 unix extensions!?
     
     
  • 2.18, maximnik0 (?), 00:19, 29/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вот с этим делом я бы не очень спешил.Из версии к версии одни и те же баги по безопасности - особенно много геммороя с ссылками.
     
  • 2.23, scriptkiddis (?), 20:48, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Аммм никогда. Уже давно стагнирует, и по мылолисту стало понятно что никто в этом не заинтересован. Кроме того большая часть активности идет около ad, намек понятен?
     

  • 1.20, Аноним (20), 10:59, 29/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    С самбой под убунту все также плясать вприсядку, чтоб к винде подключиться?
     
     
  • 2.21, Anonin (?), 22:07, 29/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А что там плясать то? Делаешь баш-портянку для ввода тачилы в домен 1 раз  ))))) и потом используешь 100500 раз (за одно в портянке пропишешь чтоб шары у юзера открывались автоматом без повторного ввода паоля; ну там включение admin-ов в группу ssh доступа и т.д.)   делов то
    З.ы. и сразу опережу - лучше не убунту , а крыску - оно потом и под рдп-сервер легче вкатится...
    З.ы.ы - а правильнее всетаки не убунту - а хотябы альт-линукс
     
     
  • 3.25, Anonim (??), 20:41, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Импортозамещение оно такое )))
     

  • 1.26, Аноним (26), 02:33, 03/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Я пришел на место уволенного админа (за постоянные проблемы и сбои в работе) так вот он наворотил самбу эту и прочую муть, вместо того, чтобы использовать профессиональные корпоративные решения. Сейчас развернул настоящую Active Directory на Server 2022 и начальство и юзеры счастливы. Так вот, эта самба нужна для тестов и для разрабов для узких задач, этому не место в корпоративных сетях. Админов внедряющих подобные решения в организациях надо немедленно увольнять за проф. непригодность.
     
     
  • 2.28, Аноним (28), 02:43, 04/04/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Я пришел на место уволенного админа (за постоянные проблемы и сбои в
    > работе) так вот он наворотил самбу эту и прочую муть, вместо
    > того, чтобы использовать профессиональные корпоративные решения. Сейчас развернул настоящую
    > Active Directory на Server 2022 и начальство и юзеры счастливы. Так
    > вот, эта самба нужна для тестов и для разрабов для узких
    > задач, этому не место в корпоративных сетях. Админов внедряющих подобные решения
    > в организациях надо немедленно увольнять за проф. непригодность.

    представляю как ты приходишь такой, и "кароч, закупаем винду сервер, я подсчитал тут в зависимости от железа прайс, потом AD, тож подсчитал, остальные админы согласны... а их, нет, я один в нашей корпорации. В общем, месяц сосьоте лапу, пока я некст-некст-инсталл, переучивать персонал будет баба дуся". И вот, история успеха на опеннете. Прослезился.

     
  • 2.30, Товарищ майор (??), 10:24, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Если Вы смогли без простоя развернуть M$ AD вместо samba, то возможно Вы и правы. Но если Вы без значительного простоя поменяли LDAP, то возможно он в конторе вообще не нужен и спокойно будет работать на локальных учётках.

    Что Самба, что АД - продукт для больших, серьёзных компаний. Они не оправдываются, когда в компании работает пара десятков человек. А если Вы внедрили АД в компании, в которой всего 15 пользователей, то я бы и Вас уволил за профнепригодность.

    Ну и не раскрыт секрет: кто заплатил за лицензии, которые стоят на порядок выше Вашей месячной ЗП? Или Вы спиратили винду и подставили владельца бизнеса под уголовку?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру