S'acaba d'anunciar el llançament de la nova versió de Samba 4.13, Versió en la qual s'afegeix la solució a la vulnerabilitat que va ser detectada fa pocs dies de ZeroLogon (CVE-2020-1472), a més que en aquesta nova versió els requisits de Python ja han canviat a la versió 3.6 i també altres canvis més.
Per als qui desconeixen de Samba, han de saber que aquest és un projecte que continua amb el desenvolupament de la branca de Samba 4.x amb una implementació completa d'un controlador de domini i servei d'Active Directory, compatible amb la implementació de Windows 2000 i capaç d'atendre totes les versions de clients de Windows compatibles amb Microsoft, inclòs Windows 10.
Samba 4, és un producte de servidor multifuncional, que també proporciona la implementació d'un servidor d'arxius, servei d'impressió i servidor d'autenticació (winbind).
Principals novetats de Samba 4.13
En aquesta nova versio de el protocol es va afegir la solució a la vulnerabilitat ZeroLogon (CVE-2020-1472), que podria permetre a un atacant obtenir drets d'administrador en un controlador de domini en sistemes que no fan servir la configuració «server schannel = yes» (Si vols conèixer més a l'respecte, Pots consultar la publicació que compartim a l'respecte d'això aquí al blog. L'enllaç és aquest)
Un altre dels canvis que es va realitzar en aquesta nova versió de Samba, és que els requisits mínims de Python s'han elevat de Python 3.5 a Python 3.6. Mentre que la capacitat de construir un servidor d'arxius amb Python 2 encara es conserva (abans d'executar ./configure 'i' make ', ha d'establir la variable d'entorn' PYTHON = python2 '), però en la següent branca s'eliminarà i es requerirà Python 3.6 per a la compilació.
Per altra banda la funcionalitat «Wide links = yes», que permet als administradors de servidor d'arxius crear enllaços simbòlics a una àrea fora de la partició SMB / CIFS actual, s'ha traslladat d'smbd a un mòdul «vfs_widelinks» independent.
Actualment, aquest mòdul es carrega automàticament si hi ha un paràmetre «wide links = yes» en la configuració.
Es planeja eliminar el suport per «wide links = yes» en el futur causa de problemes de seguretat, i es recomana encaridament als usuaris de samba que utilitzin «mount -bind» per muntar parts externes de sistema d'arxius en lloc de «wide links = yes».
Recordeu que els desenvolupadors de Samba recomanen canviar qualsevol instal·lacions que actualment fan servir «enllaços amples = sí» per utilitzar muntatges d'enllaç tan aviat com sigui possible, ja que «wide links = yes» és inherentment insegur configuració que ens agradaria eliminar de Samba . Movent el característica en un mòdul VFS permet que això es faci d'una manera més neta en el futur.
La compatibilitat amb el controlador de domini en mode clàssic ha quedat obsoleta. Els usuaris de controladors de domini tipus NT4 ( 'clàssics') han de migrar als controladors de domini de Samba Active Directory per poder treballar amb clients moderns de Windows.
Els mètodes d'autenticació insegurs que només es poden fer servir amb SMBv1 han quedat obsolets: «inicis de sessió de domini», «autenticació NTLMv2 sense processar», «autenticació de text sense format de client», «autenticació de client NTLMv2», «autenticació de client Lanman »i« ús de client SPNEGO ».
A més, es va eliminar el suport per l'opció «ldap ssl ads» de smb.conf. S'espera que la propera versió elimini l'opció «canal de servidor».
Dels altres canvis que es destaquen són l'eliminació de:
- Anuncis ldap ssl eliminats
- SMB2 deshabilita la verificació de seqüència de bloqueig
- SMB2 desactivar oplock trencar reintent
- inicis de sessió de domini
- autenticació NTLMv2 sense processar
- autenticació de text sense format de client
- client NTLMv2 auth
- client Lanman auth
- L'ús de el client SPNEGO
- Un canal de servidor s'eliminarà en la versió 4.13.0
- L'opció smb.conf obsoleta «ldap ssl ads» ha estat eliminada.
- L'opció obsoleta «server schannel» smb.conf molt probablement eliminat en la versió final 4.13.0.
Finalment si vols conèixer més a l'respecte sobre els canvis en aquesta nova versió de Samba, pots conèixer en el següent enllaç.