Evolution de Samba depuis la version 4

Samba 4.0.0

Indication

Avec cette version, Samba implémente les fonctions d’un contrôleur de domaine Active Directory.

Avec Samba Active Directory, il existe désormais une solution qui permet de quitter le protocole NT4 d’identification et d’authentification, obsolète et ne permettant plus d’atteindre les niveaux de sécurité exigés des environnements informatiques modernes.

Les clients Windows 2000 et ultérieurs peuvent rejoindre le domaine et bénéficier des services fournis par le contrôleur de domaine :

  • LDAP [1] ;
  • KDC ;
  • NTP ;
  • DNS interne ou s’appuyant sur Bind-DLZ ;
  • Kerberos PAC ;

Samba 4.0.0 implémente des interfaces codées en Python pour agir sur le coeur de la logique métier codée historiquement en C / C++.

Samba 4.1.0

Indication

Les outillages pour les clients d’un contrôleur de domaine Samba Active Directory apparaissent et s’étoffent avec cette version.

Ainsi, les clients peuvent s’authentifier auprès d’un partage en utilisant les protocoles SMBv2 et SMBv3, permettant ainsi l’abandon de SMBv1 qui n’assure pas une sécurité suffisante vis à vis des menaces émergentes telles les Rançongiciels.

Les réplications entre contrôleurs de domaine sont améliorées dans cette version, même si nous verrons qu’un support fiable des réplications aura du attendre la 4.8.

Cette version apporte également de nombreux correctifs par rapport à la version précédente.

Samba 4.2.0

Indication

Selon la stratégie de sortie des nouvelles version de Samba, la fin du support pour la très longue série des Samba3 est annoncé. Cependant et malgré la perception liée au changement de version majeure (3 -> 4), Samba4 continue à supporter le protocole d’identification et d’authentification NT4.

Cette version apporte plusieurs bénéfices au niveau des services de fichiers :

  • support de la compression de fichiers et de répertoires en mode de stockage BtrFS ;
  • support de l’accès à des fichiers Shadow Copy hébergés sur un partage, permettant de revenir sur des versions sauvegardées de l’arborescence du partage de fichiers ;
  • support en lecture et écriture de larges blocs de fichiers (8MB), en conformité avec les performance du serveur de fichiers Windows 2012R2 ;
  • support des baux SMB2 pour réduire la charge de traffic entre les clients et le serveur de fichier ;
  • support pour le clustering CTDB pour permettre la résilience du service de fichiers en cas de chute d’un serveur de fichiers ;
  • support amélioré des clients Apple OS X ;
  • support du WORM pour améliorer les performances nominales du service de fichiers;

Elle apporte également des bénéfices aux performances du contrôleur de domaine :

  • le mécanisme Winbindd est nettement amélioré. Winbindd met en correspondance les identifiants des groupes et des utilisateurs de l’univers Windows avec les identifiants des groupes et des utilisateurs de l’univers Windows. Ces améliorations ouvrent la voie au développement des fonctions liées aux relations d’approbation.

  • les échanges RPC entre contrôleurs de domaine sont chiffrés, évitant les attaques de type MITM ;

  • le cycle de vie des mots de passe est maintenant mieux géré :

    Password complexity: on
    Store plaintext passwords: off
    Password history length: 24
    Minimum password length: 7
    Minimum password age (days): 1
    Maximum password age (days): 42
    * Account lockout duration (mins): 30     *
    * Account lockout threshold (attempts): 0 *
    * Reset account lockout after (mins): 30  *
    

Samba 4.3.0

Indication

Cette version apporte plusieurs bénéfices au niveau des services de fichiers :

  • historisation des évènements en formats multiples permettant une meilleure intégrationd ans les SIEM ;
  • support amélioré des notifications de modification de fichiers ;
  • support de SMB 3.1.1, protocole standard d’échange de fichiers apparu avec Windows 10 ;
  • de nombreuses fonctionnalités sont ajoutées pour gérer le comportement du serveur de fichiers en CLI ;

Elle apporte également des bénéfices aux performances du contrôleur de domaine :

  • les relations d’approbation entre domaines fonctionnent globalement pour l’authentification, mais pas pour le partage de fichiers qui nécessite encore de nombreux travaux sur le Winbindd ;
  • amélioration du KCC, mécanisme qui permet au contrôleur de cartographier la topologie de réplication pour un fonctionnement avec un réseau de grande dimension ;
  • samba-tool supporte l’ensemble des 7 rôles FSMO ;

Cette version apporte également de nombreux correctifs par rapport à la version précédente.

Samba 4.4.0

Indication

Cette version apporte plusieurs bénéfices au niveau des services de fichiers :

  • améliorations au service de fichiers CTDB ;
  • support expérimental du Multi-Canal dans SMB3 pour améliorer la résilience et les performances des partages de fichiers ;

Elle apporte également des bénéfices aux performances du contrôleur de domaine :

  • amélioration de nombreuses options en ligne de commande :
    • samba-tool domain demote --remove-other-dead-server pour améliorer la sortie d’un contrôleur défectueux du domaine ;
    • samba-tool drs clone-dc-database pour cloner un contrôleur de domaine sans le joindre au domaine, pour faciliter le débugage ;
    • pdbedit --set-nt-hash pour permettre de mettre à jour les mots de passe Active Directory à partir de mots de passe stockés par exemple dans un annuaire applicatif OpenLDAP ;
    • smbstatus montre le type de signature et le niveau de chiffrement des sessions et des partages ;
    • s4-rpc_server pour ajouter une implémentation de clé de sauvegarde basée sur GnuTLS ;
    • ntlm_auth --offline-logon permet une meilleure résilience en utilisant les mots de passe stockés en cache en cas de défaillance du contrôleur de domaine ;
  • Fonctionnalité financée par la Banque Centrale des Etats de l'Afrique de l'Ouest avec l'entremise de Tranquil IT [2] support du Last Login / Last Logoff ;

Cette version apporte également de nombreux correctifs par rapport à la version précédente.

Samba 4.5.0

Indication

Cette version apporte plusieurs bénéfices au niveau des services de fichiers :

  • poursuite des améliorations au fonctionnement de CTDB ;

Elle apporte également des bénéfices aux performances du contrôleur de domaine :

  • le NTLMv1 est désormais désactivé par défaut pour toute nouvelle implémentation du contrôleur de domaine pour faire face aux attaques croissantes par rançongiciel qui se propagent en exploitant NTLMv1 ;
  • amélioration du KCC pour optimiser la topologie de réplication en fonction des latences et des débits réseau ;
  • le VLV permet de mettre en place très facilement des annuaires de type Pages Jaunes dans l’entreprise ;
  • amélioration de la fiabilité des réplications entre contrôleur d’un même domaine ;
  • réanimation des objets supprimés pour aider les exploitants de parc à remettre de l’ordre suite à des erreurs humaines de manipulation ;
  • plugin de gestion de la complexité des mots de passe ;
  • amélioration du support pour l’authentification par carte à puces ;
  • amélioration des fonctions de cryptographie dans Samba pour assurer une meilleure sûreté globale du réseau ;

Cette version apporte également de nombreux correctifs par rapport à la version précédente.

Samba 4.6.0

Indication

Cette version apporte plusieurs bénéfices au niveau des services de fichiers :

  • l’option inherit owner dans le fichier de configuration smb.conf permet aux fichiers et répertoires fils d’hériter des configurations de droits de leur répertoire parent ;
  • poursuite des améliorations au fonctionnement de CTDB ;

Elle apporte également des bénéfices aux performances du contrôleur de domaine :

  • le processus NetLogon devient multi-process pour tenir une meilleure prise charge des demandes d’authentification NLTM ;
  • amélioration des performances de réplication ;
  • amélioration du DNS ;

Cette version apporte également de nombreux correctifs par rapport à la version précédente.

Samba 4.7.0

Indication

Cette version apporte plusieurs bénéfices au niveau des services de fichiers :

  • poursuite des améliorations au fonctionnement de CTDB ;

Elle apporte également des bénéfices aux performances du contrôleur de domaine :

  • amélioration de la LDAP interne pour la consistence des réplications ;
  • support partiel de MIT Kerberos ;
  • capacité à restreindre la plage des ports utilisés par le service MS-RPC ;
  • historisation détaillée des authentifications et des autorisations des comptes utilisateur ;
  • Fonctionnalité financée par le Gouvernement Français avec l'entremise de Tranquil IT [6] support de RODC pour permettre aux site ne disposant pas d’une sécurité physique suffisante d’avoir un contrôleur de domaine sur le site qui ne réplique que les mots de passe des utilisateurs du site. Ainsi, si le RODC est compromis, uniquement les mots de passe des utilisateurs du site doivent être changés. Cette méthode assure une meilleure sécurité globalement ;
  • Fonctionnalité financée par le Gouvernement Français avec l'entremise de Tranquil IT [3] stockage des mots de passe hashés selon plusieurs protocoles pour simplifier les synchronisations de mot de passe entre des annuaires applicatifs et le contrôleur de domaine ;
  • usage de certificats SHA256 pour LDAPS ;
  • amélioration générale des performances du contrôleur de domaine ;

Cette version apporte également de nombreux correctifs par rapport à la version précédente.

Samba 4.8.0

Indication

Cette version apporte plusieurs bénéfices au niveau des services de fichiers :

  • module VirusFilter qui s’intègre avec les anti-virus Sophos, F-Secure et ClamAV pour fournir des fonctions de filtrage sur le serveur de fichiers ;

Elle apporte également des bénéfices aux performances du contrôleur de domaine :

  • support des GPO appliquées au KDC ;

  • chiffrement sur disque des attributs sensibles ;

  • mise en place d’une méthode graphique pour mieux visualiser une topologie de réplication complexe ;

  • amélioration du fonctionnement des relations d’approbation :

    • les relations d’approbation de domaines externes, ainsi que les relations d’approbation transitives sont désormais prises en charge dans les deux sens (entrant et sortant) pour l’authentification Kerberos et NTLM ;
    • cependant, il y a encore quelques limites à ce fontionnement à l’heure actuelle :
    • il n’est pas possible d’ajouter des utilisateurs / groupes d’un domaine approuvé dans des groupes du domaine. Les adhésions aux groupes ne sont donc pas élargies aux limites de la relation d’approbation ;
    • les deux parties de la relation d’approbation doivent se faire pleinement confiance ;
    • aucune règle de filtrage SID n’est appliquée, cela signifie que les contrôleurs de domaine du domaine A peuvent accorder des droits d’administrateur du domaine dans le domaine B ;
    • L’authentification sélective (CROSS_ORIGANIZATION) n’est pas pris en charge. Il est possible de créer une telle confiance, mais le KDC et Winbindd les ignorent ;

Cette version apporte également de nombreux correctifs par rapport à la version précédente.

Samba 4.9.0

Indication

Cette version apporte plusieurs bénéfices au niveau des services de fichiers :

  • poursuite des améliorations au fonctionnement de CTDB ;

Elle apporte également des bénéfices aux performances du contrôleur de domaine :

  • gestion en ligne de commande des SPN Windows pour faciliter la création de comptes de services ;

  • Fonctionnalité financée par le Gouvernement Français avec l'entremise de Tranquil IT [3] Automatic Site Coverage pour permettre aux PC sur un site non équipé d’un contrôleur de domaine de se connecter au DC le plus proche ;

  • PSO, connu aussi sous le nom de FGPP permettent aux administrateurs du domaine de spécifier des stratégies de mot de passe différenciées pour des utilisateurs ou des groupes d’utilisateurs ;

  • le domaine peut être sauvegardé dans l’hypothèse d’une panne catastrophique de la base de données puis restauré sur un nouveau contrôleur de domaine ;

  • support partiel pour le renonmage d’un domaine, afin de permettre de recréer un domaine en laboratoire qui se comporte comme un domaine en production ;

  • Fonctionnalité financée par le Gouvernement Français avec l'entremise de Tranquil IT [3] Improved Auditing Support pour permettre d’intégrer les logs Samba aux SIEM selon un procédé standard en JSON :

    • audit des changements de mot de passe ;
    • audit de modification des attributs dans la LDAP ;
    • audit des modification aux membres des groupes ;
    • audit de la durée d’authentification en NTLM et Kerberos ;
  • Fonctionnalité financée par le Gouvernement Français avec l'entremise de Tranquil IT [3] GPO Import / Export pour aider l’application d’une stratégie de sécurité unifiée au travers de plusieurs domaines (disponible en 4.10) ;

  • Fonctionnalité financée par le Gouvernement Français avec l'entremise de Tranquil IT [4] Helpers for improving DNS consistency qui facilite le confort de gestion des DNS ;

  • la commande samba-tool computer permet de créer en ligne de commande un nouvel ordinateur, de l’affecter à une UO et de lui attribuer un mot de passe. Ainsi quand l’ordinateur est branché dans le réseau, il est automatiquement reconnu par le contrôleur de domaine ;

  • la commande samba-tool ou permet de gérer à partir de la ligne de commande l’arborescence des Unités Organisationnelles :

    Available subcommands are:
    create       - Create an organizational unit.
    delete       - Delete an organizational unit.
    list         - List all organizational units
    listobjects  - List all objects in an organizational unit.
    move         - Move an organizational unit.
    rename       - Rename an organizational unit.
    
    In addition to the ou commands, there are new subcommands for the user
    and group management, which can make use of the organizational units:
    group move   - Move a group to an organizational unit/container.
    user move    - Move a user to an organizational unit/container.
    user show    - Display a user AD object.
    
  • Fonctionnalité financée par le Gouvernement Français avec l'entremise de Tranquil IT [4] 64bit LMDB Support for TDB pour surmonter la limite technique historique du 32 bit qui empêchait l’exploitation de très grands domaines ;

  • Fonctionnalité financée par le Gouvernement Français avec l'entremise de Tranquil IT [4] Improved DNS-showrepl pour améliorer la compréhension des topologies de réplication pour des domaines complexes ;

  • amélioration du support des relations d’approbation par rapport à Samba 4.8 :

    The following features are new in 4.9 (compared to 4.8):
    
    - It's now possible to add users/groups of a trusted domain
    into domain groups. The group memberships are expanded
    on trust boundaries.
    - foreignSecurityPrincipal objects (FPO) are now automatically
    created when members (as SID) of a trusted domain/forest
    are added to a group.
    - The 'samba-tool group members' commands allow
    members to be specified as foreign SIDs.
    
    However there are currently still a few limitations:
    
    - Both sides of the trust need to fully trust each other!
    - No SID filtering rules are applied at all!
    - This means DCs of domain A can grant domain admin rights
    in domain B.
    - Selective (CROSS_ORGANIZATION) authentication is
    not supported. It's possible to create such a trust,
    but the KDC and winbindd ignore them.
    - Samba can still only operate in a forest with just
    one single domain.
    
  • Fonctionnalité financée par le Gouvernement Français avec l'entremise de Tranquil IT [5] Documentation des fonctions de sécurité dans Samba-AD et des processus organisationnels de conception du logiciel, démarche préalable à présentation de Samba-AD à une CSPN ;

Cette version apporte également de nombreux correctifs par rapport à la version précédente.

Footnotes

[1]Le service LDAP implémenté en 2008 dans Samba est une ré-implémentation du protocole LDAP. L’origine de ce choix est un conflit entre les développeurs Samba et les leaders du projet OpenLDAP où OpenLDAP refusait d’implémenter des attributs Active Directory dans OpenLDAP.
[2]Logo de la Banque Centrale des Etats de l'Afrique de l'Ouest La Banque Centrale des Etats de l’Afrique de l’Ouest a contribué au financement de cette fonctionnalité.
[3](1, 2, 3, 4) Mariane Le Ministère Français de l’Environnement a contribué au financement de cette fonctionnalité.
[4](1, 2, 3) Mariane Le Ministère Français des Finances Publiques a contribué au financement de cette fonctionnalité.
[5]Mariane L”Agence Française de Cyberdéfense a contribué au financement de cette documentation.
[6]Mariane Le Ministère Français de la Culture et de la Communication a contribué au financement de cette fonctionnalité.