ザ・ Samba4.13の新しいバージョンのリリース、バージョン 脆弱性の解決策が追加されました それは数日前に検出されました ゼロログオン (CVE-2020-1472)、この新しいバージョンでは、Pythonの要件がすでにバージョン3.6に変更されており、その他の変更も加えられています。
Sambaに慣れていない方は、これがWindows4実装と互換性がありすべてのバージョンに対応できるドメインコントローラーとActiveDirectoryサービスの完全な実装を備えたSamba2000.xブランチの開発を継続するプロジェクトであることを知っておく必要があります。 Windows 10を含む、MicrosoftがサポートするWindowsクライアントの数。
サンバ4は 多機能サーバー製品、 これは、ファイルサーバー、印刷サービス、および認証サーバー(winbind)の実装も提供します。
Samba4.13の主な新機能
この新しいバージョンのプロトコルでは ZeroLogonの脆弱性修正が追加されました (CVE-2020-1472)。これにより、攻撃者は「server schannel = yes」設定を使用しないシステムで、ドメインコントローラーの管理者権限を取得できる可能性があります(あなたがそれについてもっと知りたいなら私たちが共有している出版物は、こちらのブログで確認できます。 リンクはこちら)
この新しいバージョンのSambaで行われたもうXNUMXつの変更は、 Pythonの最小要件がPython3.5からPython3.6に引き上げられました。 Python 2でファイルサーバーを構築する機能は引き続き保持されますが(./configure 'および' make 'を実行する前に、環境変数' PYTHON = python2 'を設定する必要があります)、次のブランチで削除され、コンパイルにはPython3.6が必要になります。
一方、機能性 「ワイドリンク=はい」。これにより、ファイルサーバー管理者はシンボリックリンクを作成できます。 現在のSMB / CIFSパーティションの外側の領域に移動し、smbdから別の「vfs_widelinks」モジュールに移動しました。
現在、構成に「ワイドリンク=はい」パラメーターがある場合、このモジュールは自動的にロードされます。
「ワイドリンク=はい」のサポートは将来削除される予定です セキュリティ上の懸念から、Sambaユーザーは、「ワイドリンク=はい」ではなく、「mount –bind」を使用してファイルシステムの外部部分をマウントすることを強くお勧めします。
「ワイドリンク=はい」は本質的に安全でない設定であり、Sambaから削除したいため、Samba開発者は、現在「ワイドリンク=はい」を使用しているインストールをできるだけ早く変更してリンクマウントを使用することをお勧めします。 機能をVFSモジュールに移動することで、将来的にこれをよりクリーンな方法で実行できるようになります。
クラシックモードでのドメインコントローラーのサポートは非推奨になりました。 NT4タイプ(「クラシック」)ドメインコントローラーのユーザーは、最新のWindowsクライアントで作業するために、Samba ActiveDirectoryドメインコントローラーに移行する必要があります。
SMBv1でのみ使用できる安全でない認証方法は非推奨です:「ドメインログイン」、「生のNTLMv2認証」、「クライアントプレーンテキスト認証」、「NTLMv2クライアント認証」、「認証lanmanクライアント」、「spnegoクライアントの使用法」。
また、smb.confの「ldapsslads」オプションのサポートが削除されました。 次のバージョンでは、「サーバーチャネル」オプションが削除される予定です。
目立つ他の変更の中には の排除:
- LDAPssl広告が削除されました
- smb2はロックシーケンス検証を無効にします
- smb2はoplockブレークの再試行を無効にします
- ドメインログイン
- 生のNTLMv2認証
- クライアントプレーンテキスト認証
- NTLMv2認証クライアント
- lanman認証クライアント
- spnegoクライアントの使用
- サーバーからのチャネルはバージョン4.13.0で削除されます
- 非推奨のsmb.confオプション「ldapsslads」は削除されました。
- 非推奨のオプション「serverschannel」smb.confは、最終バージョン4.13.0で削除された可能性があります。
最後に あなたがそれについてもっと知りたいなら この新しいバージョンのSambaでの変更については、それらを知ることができます 次のリンクで。