Evolution de Samba depuis la version 4

Samba 4.0.0

Indication

Avec cette version, Samba implémente les fonctions d’un contrôleur de domaine Active Directory.

Avec Samba Active Directory, il existe désormais une solution qui permet de quitter le protocole NT4 d’identification et d’authentification, obsolète et ne permettant plus d’atteindre les niveaux de sécurité exigés des environnements informatiques modernes.

Les clients Windows 2000 et ultérieurs peuvent rejoindre le domaine et bénéficier des services fournis par le contrôleur de domaine :

  • LDAP [1];

  • KDC ;

  • NTP ;

  • DNS interne ou relayé par Bind-DLZ ;

  • Kerberos PAC;

Samba 4.0.0 implémente des interfaces codées en Python pour agir sur le coeur de la logique métier codée historiquement en C / C++.

Samba 4.1.0

Indication

Les outillages pour les clients d’un contrôleur de domaine Samba Active Directory apparaissent et s’étoffent avec cette version.

Ainsi, les clients peuvent s’authentifier auprès d’un partage en utilisant les protocoles SMBv2 et SMBv3, permettant ainsi l’abandon de SMBv1 qui n’assure pas une sécurité suffisante vis à vis des menaces émergentes telles les Rançongiciels.

Les réplications entre contrôleurs de domaine sont améliorées dans cette version, même si nous verrons qu’un support fiable des réplications aura du attendre la 4.8.

Cette version apporte également de nombreux correctifs par rapport à la version précédente.

Samba 4.2.0

Indication

Selon la stratégie de sortie des nouvelles version de Samba, la fin du support pour la très longue série des Samba3 est annoncée. Cependant et malgré la perception liée au changement de version majeure (3 -> 4), Samba4 continue à supporter le protocole d’identification et d’authentification NT4.

Cette version apporte plusieurs bénéfices au niveau des services de fichiers :

  • support de la compression de fichiers et de répertoires en mode de stockage BtrFS.

  • Support de l’accès à des fichiers Shadow Copy hébergés sur un partage, permettant de revenir sur des versions sauvegardées de l’arborescence du partage de fichiers.

  • Support en lecture et écriture de larges blocs de fichiers (8MB), en conformité avec les performance du serveur de fichiers Windows 2012R2.

  • Support des baux SMBv2 pour réduire la charge de traffic entre les clients et le serveur de fichiers.

  • Support pour le clustering CTDB pour permettre la résilience du service de fichiers en cas de chute d’un serveur de fichiers.

  • Support amélioré des clients Apple OS X.

  • Support du WORM pour améliorer les performances nominales du service de fichiers.

Elle apporte également des bénéfices aux performances du contrôleur de domaine :

  • Le mécanisme Winbindd est nettement amélioré. Winbindd met en correspondance les identifiants des groupes et des utilisateurs de l’univers Windows avec les identifiants des groupes et des utilisateurs de l’univers Linux. Ces améliorations ouvrent la voie au développement des fonctions liées aux relations d’approbation.

  • Les échanges RPC entre contrôleurs de domaine sont chiffrés, évitant les attaques de type MITM ;

  • Le cycle de vie des mots de passe est maintenant mieux géré :

    Password complexity: on
    Store plaintext passwords: off
    Password history length: 24
    Minimum password length: 7
    Minimum password age (days): 1
    Maximum password age (days): 42
    * Account lockout duration (mins): 30     *
    * Account lockout threshold (attempts): 0 *
    * Reset account lockout after (mins): 30  *
    

Samba 4.3.0

Indication

Cette version apporte plusieurs bénéfices au niveau des services de fichiers :

  • Historisation des évènements en formats multiples permettant une meilleure intégration dans les SIEM.

  • Support amélioré des notifications de modification de fichiers.

  • Support de SMB version 3.1.1, protocole standard d’échange de fichiers apparu avec Windows 10.

  • De nombreuses fonctionnalités sont ajoutées pour gérer le comportement du serveur de fichiers en CLI.

Elle apporte également des bénéfices aux performances du contrôleur de domaine :

  • Les relations d’approbation entre domaines fonctionnent globalement pour l’authentification, mais pas pour le partage de fichiers car elles nécessitent encore de nombreux travaux sur le Winbindd.

  • Amélioration du KCC, mécanisme qui permet au contrôleur de cartographier la topologie de réplication pour un fonctionnement avec un réseau de grande dimension.

  • Les relations d’approbation entre domaines fonctionnent globalement pour l’authentification, mais pas pour le partage de fichiers car elles nécessitent encore de nombreux travaux sur le Winbindd.

Cette version apporte également de nombreux correctifs par rapport à la version précédente.

Samba 4.4.0

Indication

Cette version apporte plusieurs bénéfices au niveau des services de fichiers :

  • Améliorations au service de fichiers CTDB.

  • Support expérimental du Multi-Canal dans SMBv3 pour améliorer la résilience et les performances des partages de fichiers.

Elle apporte également des bénéfices aux performances du contrôleur de domaine :

  • Amélioration de nombreuses options en ligne de commande :

    • samba-tool domain demote --remove-other-dead-server pour améliorer la sortie d’un contrôleur défectueux du domaine.

    • samba-tool drs clone-dc-database pour cloner un contrôleur de domaine sans le joindre au domaine, pour faciliter le débogage.

    • pdbedit --set-nt-hash pour permettre de mettre à jour les mots de passe Active Directory à partir de mots de passe stockés par exemple dans un annuaire applicatif OpenLDAP.

    • smbstatus montre le type de signature et le niveau de chiffrement des sessions et des partages.

    • s4-rpc_server pour ajouter une implémentation de clé de sauvegarde basée sur GnuTLS.

    • ntlm_auth --offline-logon permet une meilleure résilience en utilisant les mots de passe stockés en cache en cas de défaillance du contrôleur de domaine.

  • Cette fonctionnalité a été financée par la Banque centrale des États de l'Afrique de l'Ouest avec l'aide de Tranquil IT. [2] support du Last Login / Last Logoff.

Cette version apporte également de nombreux correctifs par rapport à la version précédente.

Samba 4.5.0

Indication

Cette version apporte plusieurs bénéfices au niveau des services de fichiers :

  • poursuite des améliorations au fonctionnement de CTDB.

Elle apporte également des bénéfices aux performances du contrôleur de domaine.

  • Le NTLMv1 est désormais désactivé par défaut pour toute nouvelle implémentation du contrôleur de domaine pour faire face aux attaques croissantes par rançongiciel qui se propagent en exploitant NTLMv1.

  • Amélioration du KCC pour optimiser la topologie de réplication en fonction des latences et des débits réseau.

  • Le VLV permet de mettre en place très facilement des annuaires de type Pages Jaunes dans l’entreprise.

  • Amélioration de la fiabilité des réplications entre contrôleur d’un même domaine.

  • Réanimation des objets supprimés pour aider les exploitants de parc à remettre de l’ordre suite à des erreurs humaines de manipulation.

  • Plugin de gestion de la complexité des mots de passe.

  • Amélioration du support pour l’authentification par carte à puces.

  • Aélioration des fonctions de cryptographie dans Samba pour assurer une meilleure sûreté globale du réseau.

Cette version apporte également de nombreux correctifs par rapport à la version précédente.

Samba 4.6.0

Indication

Cette version apporte plusieurs bénéfices au niveau des services de fichiers :

  • Loption inherit owner dans le fichier de configuration smb.conf permet aux fichiers et répertoires fils d’hériter des configurations de droits de leurs répertoires parents.

  • Poursuite des améliorations au fonctionnement de CTDB ;

Elle apporte également des bénéfices aux performances du contrôleur de domaine :

  • L processus NetLogon devient multi-process pour tenir une meilleure prise charge des demandes d’authentification NLTM.

  • Aélioration des performances de réplication.

  • Amlioration du DNS.

Cette version apporte également de nombreux correctifs par rapport à la version précédente.

Samba 4.7.0

Indication

Cette version apporte plusieurs bénéfices au niveau des services de fichiers :

  • poursuite des améliorations au fonctionnement de CTDB.

Elle apporte également des bénéfices aux performances du contrôleur de domaine :

  • Amélioration de la LDAP interne pour la consistence des réplications.

  • Support partiel de MIT Kerberos.

  • Capacité à restreindre la plage des ports utilisés par le service MS-RPC.

  • Historisation détaillée des authentifications et des autorisations des comptes utilisateur.

  • Cette fonctionnalité a été financée par le gouvernement français avec l'aide de Tranquil IT. [6] Support de RODC pour permettre aux sites ne disposant pas d’une sécurité physique suffisante d’avoir un contrôleur de domaine sur le site qui ne réplique que les mots de passe des utilisateurs du site. Ainsi, si le RODC est compromis, uniquement les mots de passe des utilisateurs du site doivent être changés. Cette méthode assure une meilleure sécurité globale.

  • Cette fonctionnalité a été financée par le gouvernement français avec l'aide de Tranquil IT. [3] Stockage des mots de passe hashés selon plusieurs protocoles pour simplifier les synchronisations de mots de passe entre des annuaires applicatifs et le contrôleur de domaine.

  • Usage de certificats SHA256 pour LDAPS.

  • Amélioration générale des performances du contrôleur de domaine.

Cette version apporte également de nombreux correctifs par rapport à la version précédente.

Samba 4.8.0

Indication

Cette version apporte plusieurs bénéfices au niveau des services de fichiers :

  • Module VirusFilter qui s’intègre avec les anti-virus Sophos, F-Secure et ClamAV pour fournir des fonctions de filtrage sur le serveur de fichiers.

Elle apporte également des bénéfices aux performances du contrôleur de domaine :

  • Support pour les GPO appliquées au KDC.

  • Chiffrement sur disque des attributs sensibles.

  • Mise en place d’une méthode graphique pour mieux visualiser une topologie de réplication complexe.

  • Les relations d’approbation avec un domaine externe, ainsi que les relations d’approbation transitive sont désormais prises en charge dans les deux sens (entrant et sortant) pour l’authentification Kerberos et NTLM :

    • Il n’est pas possible d’ajouter des utilisateurs / groupes d’un domaine approuvé dans des groupes du domaine. Les adhésions aux groupes ne sont donc pas élargies aux limites de la relation d’approbation.

    • Les deux parties de la relation d’approbation doivent se faire pleinement confiance.

    • Aucune règle de filtrage SID n’est appliquée, cela signifie que les contrôleurs de domaine du domaine A peuvent accorder des droits d’administrateur du domaine dans le domaine B ;

    • L’authentification sélective (CROSS_ORGANIZATION) n’est pas prise en charge. Il est possible de créer une telle confiance, mais le KDC et Winbindd les ignorent.

Cette version apporte également de nombreux correctifs par rapport à la version précédente.

Samba 4.9.0

Indication

Cette version est un jalon majeur car Samba-AD n’est plus juste destinée aux aventuriers ou aux petites organisations. Les verrous techniques historiques disparaissent avec cette version et un domaine Samba-AD peut désormais techniquement accueillir plusieurs centaines de milliers d’utilisateurs :

  • Gestion en ligne de commande des SPN Windows pour faciliter la création de comptes de services.

  • Cette fonctionnalité a été financée par le gouvernement français avec l'aide de Tranquil IT. [3] Automatic Site Coverage pour permettre aux PC sur un site non équipé d’un contrôleur de domaine de se connecter au DC le plus proche.

  • PSO, connu aussi sous le nom de FGPP permet aux administrateurs du domaine de spécifier des stratégies de mot de passe différenciées pour des utilisateurs ou des groupes d’utilisateurs.

  • Le domaine peut être sauvegardé dans l’hypothèse d’une panne catastrophique de la base de données puis restauré sur un nouveau contrôleur de domaine.

  • Support partiel pour le renommage d’un domaine, afin de permettre de recréer un domaine en laboratoire qui se comporte comme un domaine en production.

  • Cette fonctionnalité a été financée par le gouvernement français avec l'aide de Tranquil IT. [3] Improved Auditing Support pour permettre d’intégrer les logs Samba aux SIEM selon un procédé standard en JSON :

    • Audit des changements de mot de passe.

    • Audit des changements d’attributs dans la LDAP.

    • Audit des changement des membres d’un groupe.

    • Audit de l’horodatage des authentifications en NTLM et kerberos.

  • Cette fonctionnalité a été financée par le gouvernement français avec l'aide de Tranquil IT. [3] GPO Import / Export pour aider l’application d’une stratégie de sécurité unifiée au travers de plusieurs domaines (disponible en 4.10).

  • Cette fonctionnalité a été financée par le gouvernement français avec l'aide de Tranquil IT. [4] Helpers for improving DNS consistency qui facilite le confort de gestion des DNS.

  • La commande samba-tool computer permet de créer en ligne de commande un nouvel ordinateur, de l’affecter à une UO et de lui attribuer un mot de passe. Ainsi quand l’ordinateur est branché dans le réseau, il est automatiquement reconnu par le contrôleur de domaine.

  • La commande samba-tool ou permet de gérer à partir de la ligne de commande l’arborescence des Unités Organisationnelles :

    Available subcommands are:
    create       - Create an organizational unit.
    delete       - Delete an organizational unit.
    list         - List all organizational units
    listobjects  - List all objects in an organizational unit.
    move         - Move an organizational unit.
    rename       - Rename an organizational unit.
    
    In addition to the ou commands, there are new subcommands for the user
    and group management, which can make use of the organizational units:
    
    group move   - Move a group to an organizational unit/container.
    user move    - Move a user to an organizational unit/container.
    user show    - Display a user AD object.
    
  • Cette fonctionnalité a été financée par le gouvernement français avec l'aide de Tranquil IT. [4] 64bit LMDB Support for TDB pour surmonter la limite technique historique du 32 bit qui empêchait l’exploitation de très grands domaines.

  • Cette fonctionnalité a été financée par le gouvernement français avec l'aide de Tranquil IT. [4] Improved DNS-showrepl pour améliorer la compréhension des topologies de réplication pour des domaines complexes.

  • Amélioration du support des relations d’approbation par rapport à Samba 4.8 :

    The following features are new in 4.9 (compared to 4.8):
    
    - It is now possible to add users/groups of a trusted domain into domain groups.
      The group memberships are expanded on trust boundaries.
    - foreignSecurityPrincipal objects (FPO) are now automatically created when members (as SID) of a trusted domain/forest are added to a group.
    - The 'samba-tool group members' commands allow members to be specified as foreign SIDs.
    
    However there are currently still a few limitations:
    
    - Both sides of the trust need to fully trust each other!
    - No SID filtering rules are applied at all!
    - This means DCs of domain A can grant domain admin rights in domain B.
    - Selective (CROSS_ORGANIZATION) authentication is not supported.
      It is possible to create such a trust, but the KDC and winbindd ignore them.
    - Samba can still only operate in a forest with just one single domain.
    
  • Cette fonctionnalité a été financée par le gouvernement français avec l'aide de Tranquil IT. [5] Documentation des fonctions de sécurité dans Samba-AD et des processus organisationnels de conception du logiciel, démarche préalable à présentation de Samba-AD à une CSPN.

Cette version apporte également de nombreux correctifs par rapport à la version précédente.

Samba 4.10.0

Indication

Cette version est un jalon vers la 4.11. Elle est principalement destinée à fournir des outillages d’administration :

  • Sauvegarde et restauration des GPO en ligne de commande.

  • Cette fonctionnalité a été financée par le gouvernement français avec l'aide de Tranquil IT. [4] Group membership statistics pour optimiser la gestion des groupes car des groupes avec trop d’utilisateurs peuvent ralentir le fonctionnement de l’Active Directory.

  • Offline Domain Backup pour prendre une photographie instantanée d’un domaine afin de le remonter en salle blanche pour diagnostiquer une compromission.

  • Cette fonctionnalité a été financée par le gouvernement français avec l'aide de Tranquil IT. [4] Netlogon prefork, KDC prefork, Paged results LDAP control pour améliorer les performance en fonctionnement de l’Active Directory.

  • Python3 support pour anticiper la fin du support de Python2.

  • Cette fonctionnalité a été financée par le gouvernement français avec l'aide de Tranquil IT. [4] Amélioration du JSON logging pour une meilleure traçabilité des évènements de l’Active Directory dans un concentrateur de logs (évolution dans les Group Memberships et le Logon).

Cette version apporte également de nombreux correctifs par rapport à la version précédente.

Samba 4.11.0

Indication

Cette version est un jalon majeur car elle lève les derniers verrous de performance pour un fonctionnement sûr et performant de domaines AD destinés à accueillir les 120000 utilisateurs et les 150000 machines d’une grande organisation française. Cette version prépare également la prochaine phase de développement visant la mise en oeuvre de fonctions les plus avancées en matière de sécurité :

  • Cette fonctionnalité a été financée par le gouvernement français avec l'aide de Tranquil IT. [4] Authentication Logging, Bind9 logging pour une meilleure traçabilité des évènements de l’Active Directory dans un concentrateur de logs.

  • GnuTLS 3.2 required pour amorcer une convergence des outillages crypto historiquement embarqués dans Samba-AD, en préparation de la prochaine phase de développement qui se concentrera sur les fonctions de sécurité.

  • Cette fonctionnalité a été financée par le gouvernement français avec l'aide de Tranquil IT. [7] Default schema updated to 2012_R2 pour une meilleure compatibilité avec des outils Microsoft ou outils tiers qui nécessitent les extensions de schéma arrivées avec Windows2012.

  • Cette fonctionnalité a été financée par le gouvernement français avec l'aide de Tranquil IT. [4] Performance improvements pour améliorer, parfois de quelques ordres de grandeur ces processus :

    • Améliorations des performances de ré-indexation.

    • Amélioration des performances lors de la jonction d’un membre au domaine.

    • LDAP Server memory improvements.

    • Nouveaux indexes LDB <= et >= pour améliorer les performances de réplication.

    • Amélioration des performances de recherche LDB.

    • Amélioration des performances lors d’un renommage d’une branche de l’annuaire.

Cette version apporte également de nombreux correctifs par rapport à la version précédente.

Notes de bas de page