Samba 4.24 bietet Unterstützung für die Passwortzurücksetzung bei Entra ID sowie eine verbesserte Kerberos-Sicherheit
Samba 4.24 verbessert die Kerberos-Sicherheit, legt die AES-Verschlüsselung als Standard fest und fügt neue KDC-Steuerelemente hinzu, um den Schutz von Active Directory zu verstärken.
Eine Übersetzung von 🇬🇧 Linuxiac.com
Samba, die Open-Source-Suite für die Dateifreigabe und das Drucken zwischen Windows- und Unix-Systemen, hat die Version 4.24 mit verbesserter Kerberos-Sicherheit veröffentlicht, die nun standardmäßig eine AES-Verschlüsselung für Domänen mit dem Funktionslevel 2008 oder höher erzwingt. Zu den neuen KDC-Konfigurationsoptionen gehören die Verpflichtung zur Kanonisierung in Client-Anfragen sowie eine verbesserte Abwehr von „Dollar-Ticket“-Angriffen.
Samba 4.24 erkennt nun auch die von Microsoft Entra ID und Keycloak verwendete „Policy Hints“-Steuerung, wodurch Remote-Passwort-Resets den lokalen Passwortrichtlinien entsprechen. Dies ermöglicht die Integration mit dem Entra ID Self-Service Passwort-Reset und ähnlichen Plattformen.
Auch die zertifikatsbasierte Authentifizierung wurde verbessert. Die Version bietet nun Unterstützung für Kerberos-PKINIT-KeyTrust-Anmeldungen, wodurch eine Authentifizierung im Stil von Windows Hello for Business mit selbstsignierten Schlüsseln ermöglicht wird. Administratoren können diese Schlüssel mithilfe neuer samba-tool-Unterbefehle verwalten, und für das Attribut msDS-KeyCredentialLink steht nun eine zusätzliche Validierung zur Verfügung.
Was die Authentifizierungsüberwachung betrifft, kann Samba Änderungen an nicht geheimen, aber sicherheitsrelevanten Active Directory-Attributen wie servicePrincipalName und dNSHostName protokollieren.
Auf der Speicherseite kann das Modul vfs_streams_xattr nun größere Datenströme auf mehrere erweiterte Attribute aufteilen, wodurch die effektive Größenbeschränkung auf bis zu 1 MB erhöht wird. Zudem wurde ein neues VFS-Modul zur asynchronen I/O-Ratenbegrenzung eingeführt, mit dem Administratoren den Durchsatz auf Basis der Operationen pro Sekunde oder der Bandbreite steuern können.
Darüber hinaus unterstützt das VFS-Modul ceph_new nun FSCrypt, was die Verschlüsselung von Daten und Dateinamen auf Share-Ebene ermöglicht. Die Unterstützung des Keybridge-Protokolls ermöglicht den sicheren Abruf von Verschlüsselungsschlüsseln von externen Diensten.
Zu den weiteren Verbesserungen bei Kerberos gehören die Unterstützung für starke, flexible Zertifikatszuordnungen, SID-Erweiterungen in Zertifikaten und die standardmäßige Einbindung von Privilege Attribute Certificates in Antworten.
Schließlich führt die Version neue samba-tool Befehle zur Generierung von Zertifikatssignierungsanfragen und zur Verwaltung von KeyTrust-Konfigurationen ein.
Weitere Informationen finden Sie in den Versionshinweisen.
Comments