Оновлення Samba 4.24: Покращена безпека Kerberos та нові можливості

Samba, набір інструментів з відкритим кодом для обміну файлами та друку на Windows та Unix системах, випустила версію 4.24. Ця версія впроваджує покращену безпеку Kerberos, яка тепер за замовчуванням використовує шифрування AES для доменів з функціональним рівнем 2008 року або новішим. Нові параметри конфігурації KDC включають в себе вимогу канонічизації у запитах клієнтів та покращену захист від атак “доларових квитків”.

Нові можливості управління паролями та автентифікацією

Samba 4.24 також розпізнає контроль “policy hints”, що використовується Microsoft Entra ID та Keycloak. Це дозволяє віддалене скидання паролів відповідно до внутрішніх політик паролів. Завдяки цьому можливе інтеграція з платформами самообслуговування скидання паролів Entra ID та подібними.

Покращено також автентифікацію на основі сертифікатів. У релізі додана підтримка входу Kerberos PKINIT KeyTrust, що дозволяє скористатися аутентифікацією, схожою на Windows Hello для бізнесу, з використанням самопідписаних ключів. Адміністратори можуть керувати цими ключами, використовуючи нові підкоманди samba-tool, а також доступна додаткова перевірка для атрибута msDS-KeyCredentialLink.

Аудит автентифікації та нові можливості зберігання

Щодо аудиту автентифікації, Samba здатна реєструвати зміни у неконфіденційних, але важливих для безпеки атрибутах Active Directory, таких як servicePrincipalName та dNSHostName.

Що стосується зберігання, модуль vfs_streams_xattr тепер може розподіляти великі потоки даних через кілька розширених атрибутів, збільшуючи ефективний обмежувач розміру до 1 МБ. Крім того, запроваджено новий асинхронний модуль обмеження швидкості I/O, що дозволяє адміністраторам контролювати пропускну здатність відповідно до операцій за секунду або ширини каналу.

Покращення в Kerberos та нові інструменти для адміністраторів

Серед інших покращень Kerberos є підтримка потужних, гнучких відображень сертифікатів, розширень SID у сертифікатах та за замовчуванням включення привілейованих атрибутів сертифікатів у відповідях.

На завершення, реліз вводить нові команди samba-tool для генерації запитів на підписання сертифікатів та управління налаштуваннями KeyTrust.

Додаткову інформацію можна знайти на офіційній сторінці релізу.