Open Source im professionellen Einsatz

Samba 4.7.0 wird sicherer

21.09.2017

Seit Samba 4.7.0 kommt "smbclient" auch ohne SMB1-Server klar, verbessert sich die LDAP- und Replication-Konsistenz und gibt es Support für Samba AD mit MIT Kerberos. Außerdem sind neue Auditing-Möglichkeiten eingebaut. Das sind nur einige der Neuerungen des gerade erschienenen Samba 4.7.0.

557

Wer eine Samba-Installation betreibt und über einen Wechsel auf die nächste Version nachdenkt, sollte einen Blick auf die Ankündigung werfen, die unter anderem einige Änderungen an "smbclient" aufzählt. Dazu gehört, dass "smbclient" beim Connect auf den ersten Server kein Banner mehr ausgibt ("Domain=..."). Da die maximale Protokollunterstützung nun bei "SMB3_11" angelangt ist, arbeitet "smbclient" auch mit Samba-Servern ohne SMB1-Support zusammen. Die dazugehörige Option "client max protocol" lässt sich bei Bedarf zeitweilig überschreiben (mit "-m/--max-protocol").

Die Unix-Erweiterungen von SMB1 sind zum Verschlüsseln nicht mehr nötig, da die Verschlüsselungsoption "-e/--encrypt" auch mit SMB3-Servern funktioniert, also mit Windows mit Herstellungsdatum ab 2012 und Samba ab Version 4.0.0. Zugleich heißt das, dass "smbclient" mit dem Server nicht mehr automatisch über die SMB1 Unix Extensions verhandelt, auch wenn der die Konfiguration "unix extensions = yes" verwendet. Das "client min protocol" wurde nicht verändert, neu ist "deltree", mit dem "smbclient" ein Verzeichnis rekursiv löscht.

Seit Samba 4.7.0 schützt die LDB Datenbankschicht Such- und Replikationsoperationen des Directory Replication Service (DRS) mit Hilfe von Whole-DB Read Locks. Das verhindert bestimmte Replikationsausfälle, Serverabstürze und Inkonsistenzen bei LDAP-Lesevorgängen, die in vergangenen Samba-Versionen auftraten.

Mit MIT Kerberos

Neu ist auch, dass sich Samba Active Directory, nach vierjähriger Entwicklungszeit, mit MIT-Kerberos-Support bauen lässt. Die entsprechende Configure-Zeile lautet "./configure --with-system-mitkrb5", wobei Kerberos ab Version 1.15.1 vorliegen muss. Daneben braucht der Baumeister die Pakete "krb5-devel" und "krb5-server". Die unterstützten Kerberos-Funktionen erreichen aber noch nicht den Umfang des Heimdal-Builds, Forest und External Trust funktionieren aber. Was fehlt, ist der Support für PK-Init, S4U2-Self und S4U2-Proxy, sowie RODC, wobei letzteres auch bei Heimdal nicht vollständig funktioniert.

RPC-Dienste erhalten einen neuen Portbereich. Ging der alte von 1024 bis 1300, siedeln sich die neuen Ports im fünfstelligen Bereich an, zwischen 49152 und 65535. Den Bereich nutzt nicht nur Sambas Active Directory Domain Controller, sondern wird auch von allen NT4-artigen Domain Controllern unterstützt. Der neue Bereich kommt von Microsoft, das ihn für Windows Server ab Version 2008 verwendet.

Auditing

Ebenfalls neu ist eine verbesserte Audit-Möglichkeit. Unter der Klasse "auth_audit" landen Informationen zur Authentifizierung und Autorisierung in Sambas Debug-Logs, was etwa die Client-IP einschließt, die den Audit-Eintrag getriggert hat. Wer Samba gegen die Jansson-Json-Bibliothek kompiliert, erhält die Ergebnisse zudem im Json-Format unter der Klasse "auth_json_audit". Der Audit-Support erstreckt sich dabei auf alle Authentifizierungs- und Autorisierungsversuche von Usern im Samba Active Directory Domain

Controller und schließt implizite Authentifizierungen bei Passwort-Wechseln ein. Beim Fileserver und dem klassischen NT4-Domain-Controller greift das Audit-Log für die NTLM-Authentifizierung, die SMB- und RPC-Autorisierung, nicht aber für Passwortwechsel.

Und noch viel mehr

Die Ankündigung geht auch noch auf die weiteren Änderungen ein, zu denen ein Multiprozess-Support für LDAP-Server, eine verbesserte Read-only-Domain-Controller-Unterstützung und zusätzliche Passwort-Hashes gehören. DNS arbeitet bei Active-Directory-Domain-Anschlüssen besser, überhaupt steigern die Entwickler die Performance und Replikation von Active Directory, und Einträge für offene Files und Ordner lassen sich neuerdings abfragen. Herunterladen lässt sich der Quellcode des neuen Release unter anderem auf Github.

Ähnliche Artikel

  • Details zu Samba 4

    Wie Samba-Gründer Andrew Tridgell und der bei Sernet unter Vertrag stehende Samba-Entwickler Jelmer Vernooij auf der Konferenz Samba-Experience in Göttingen bekannt gaben, wird Samba 4 demnächst in die Alpha-Phase übergeben.

  • Samba 4.1.0 tanzt mit SMB 2 und 3

    Das erste stabile Release der Samba-4.1-Reihe erschien am Freitag, verschlüsselt unter anderem Transportdaten für SMB 3 und beherrscht die Active-Directory-Login-Protokolle von Windows 2000.

  • Cebit 2012: SMB 2.2 und Samba 4

    Volker Lendecke von der Sernet GmbH hat auf der Cebit einen Ausblick auf die nächsten Monate der Samba-Entwicklung gegeben.

  • Nächste Alpha-Version von Samba 4

    Die Entwickler der Samba-Version 4 haben rund drei Monate nach der ersten Alpha-Version nun die zweite veröffentlicht.

  • Tanzquartett

    Von Samba 4 existiert seit Ende Januar nur eine erste Technical Preview. Doch lässt der Quellcode der Neuimplementation schon ahnen, dass es keine Trippelschrittchen sind, die die Entwicklung macht.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.