Blog

Michael Adam ist in seinem sambaXP 2020-Vortrag auf der Suche nach einem "Platz für Samba im Zeitalter der Containerplattform!?". Adam ist ein langjähriges Mitglied des Samba-Teams und arbeitet als Senior Manager Software Engineering bei Red Hat (LinkedIn).

Abstract

In jüngster Zeit sind Container-Anwendungsplattformen, insbesondere Kubernetes, äußerst populär geworden und haben beispielsweise das auf virtuelle Maschinen ausgerichtete Cloud-Betriebssystem OpenStack an Popularität überholt. Im Gegensatz zu Virtual-Machine-Umgebungen, in denen eine Vielzahl von Betriebssystemen läuft und die daher auch natürliche Anwendungsfälle für Samba haben, laufen Container-Plattformen in der Regel nur mit einem Betriebssystem (Kernel) und bieten daher keinen offensichtlichen Platz für Samba, dessen Hauptzweck darin besteht, als Agent zwischen verschiedenen Betriebssystemen zu fungieren. Gibt es noch einen Raum für Samba im Containerland?

Dieser Vortrag beginnt mit einer Einführung in die Speicherkonzepte von Kubernetes und den Container-Speicherschnittstellen-Standard CSI, der diese auf andere Container-Plattformen verallgemeinert. Es werden die Rollen der Datei-, Block- und Objektspeicherung in Kubernetes erläutert und dann gezeigt, wie ein von verteilter Software definiertes Speichersystem wie Ceph oder Gluster in Kubernetes gebracht wird, neben den konsumierenden Anwendungen läuft und von so genannten "Operatoren" verwaltet wird, die Speicher-Selbstbedienung für die Anwendungen bereitstellen.

Von hier an untersucht die Präsentation einige sehr interessante und möglicherweise überraschende Möglichkeiten für Samba in dieser Umgebung. Um die Spannung aufrechtzuerhalten, wird in dieser Zusammenfassung auf Details verzichtet. (Präsentation als PDF)

Über die Reihe "sambaXP 2020 Retrospektive"

In dieser Reihe werden wir in den kommenden Wochen Aufnahmen der sambaXP 2020 präsentieren. Die 19. Auflage der internationalen Konferenz zur Open-Source-Software Samba fand vom 26. bis 28. Mai 2020 erstmals ausschließlich in digitaler Form statt. Aufgrund des geänderten Veranstaltungsformats und der Nutzung einer Online-Konferenzplattform kann Veranstalter SerNet alle Vorträge als Video zur Ansicht anbieten (Link).

Alexander Bokovoy und Florence Blanc-Renaud (beide RedHat) sprechen in diesem sambaXP 2020-Vortrag über "FreeIPA Global Catalog challenges". Bokovoy ist seit 2003 Mitglied des Samba-Teams und seit 2011 Core Developer für FreeIPA; Blanc-Renaud ist seit 2007 LDAP Server Technology Engineer und seit 2016 FreeIPA-Core-Developer.

Abstract

Auf der sambaXP 2017 berichteten Alexander Bokovoy und Florence Blanc-Renaud über einen ersten Fortschritt auf dem Weg, einen Global Catalog als Teil der FreeIPA-Bereitstellung verfügbar zu machen. Drei Jahre später wird der Globale Katalog in FreeIPA Realität. In diesem Vortrag demonstrieren sie einen funktionierenden Global Catalog-Dienst und beleuchten die Herausforderungen, denen sie bei der Abbildung von FreeIPA auf die Active Directory-Welt gegenüberstanden, ohne ein Active Directory Domain Controller zu sein. Die Nutzung von Samba-Diensten durch FreeIPA erprobt die Samba-Infrastruktur weiterhin in einer Weise, die nicht üblich oder gut getestet ist. Schließlich bieten die semantischen Unterschiede, auf die Bokovoy und Blanc-Renaud bei verschiedenen Protokollen und ihren Implementierungen in Open Source- und proprietären Produkten gestoßen sind, eine gute Lektion in Sachen Interoperabilitätsbemühungen. (Präsentation als PDF)

Über die Reihe "sambaXP 2020 Retrospektive"

In dieser Reihe werden wir in den kommenden Wochen Aufnahmen der sambaXP 2020 präsentieren. Die 19. Auflage der internationalen Konferenz zur Open-Source-Software Samba fand vom 26. bis 28. Mai 2020 erstmals ausschließlich in digitaler Form statt. Aufgrund des geänderten Veranstaltungsformats und der Nutzung einer Online-Konferenzplattform kann Veranstalter SerNet alle Vorträge als Video zur Ansicht anbieten (Link).

Die Pakete SAMBA+ 4.12.7, 4.11.13 und 4.10.18 wurden soeben von SerNet veröffentlicht. Dies sind wichtige Security-Releases zum Thema "ZeroLogon". Bitte aktualisieren Sie betroffene Systeme so schnell wie möglich. Die Pakete sind für verschiedene SUSE- und Red Hat-Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX verfügbar.

Die Pakete befassen sich mit folgendem Problem:

• CVE-2020-1472 Unauthenticated domain takeover via netlogon ("ZeroLogon")
  Ein nicht authentifizierter Angreifer im Netzwerk kann unter Ausnutzung eines Fehlers im Netlogon-Protokoll Administratorzugriff erlangen.
  https://www.samba.org/samba/security/CVE-2020-1472.html

Die neuen SAMBA+ 4.12.7-Pakete befassen sich auch mit dem folgenden Problem:

• Bug 14399 Server RAM filling up when writing to share from macOS
  https://bugzilla.samba.org/show_bug.cgi?id=14399

Um die Authentizität zu gewährleisten, werden die sernet-samba rpm-Pakete mit dem gpg-Build-Key von SerNet signiert. Wenn Sie das Paket sernet-build-key-1.4-8 key installiert haben, kann die Verifizierung aufgrund eines rpm-Problems fehlschlagen. Nach der Installation der neuen Version sernet-build-key-1.4-9 muss das Problem manuell behoben werden.

Wenn Sie davon betroffen sind, entfernen Sie bitte zunächst die SerNet-Samba-Keys mit folgendem Befehl aus dem rpm Schlüsselbund:
# rpm --allmatches -e gpg-pubkey-f4428b1a
# rpm --allmatches -e gpg-pubkey-1b6d0337

Verwenden Sie anschließend den folgenden Befehl, um den Schlüssel in den rpm-Schlüsselbund zu importieren:
# rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-SerNet-Samba-Team-F4428B1A \
    /etc/pki/rpm-gpg/RPM-GPG-KEY-SerNet-Samba-Team-1B6D0337

SAMBA+ Pakete sind als Software-Abonnement erhältlich. Sie können im SAMBA+ Shop erworben werden, detaillierte Informationen und Preise sind unter https://shop.samba.plus aufgeführt. Die Abonnements werden auf unserer Plattform OPOSSO (https://oposso.samba.plus) verwaltet. Benutzer können ihre Abonnements hier aktivieren und die Zugangsdaten verwalten. Die neuen SAMBA+ Pakete sind in den bestehenden Abonnements enthalten.

Das Samba-Team hat über ein Problem informiert, das nur Samba betrifft, das als Domänencontroller verwendet wird (sowohl als klassischer/NT4-Style als auch als Active-Directory-DC). Bitte lesen Sie den folgenden Text sorgfältig, den wir auch hier veröffentlichen: 

Samba-Benutzer haben berichtet, dass der Exploit für "ZeroLogin" gegen Samba durchgeht. Samba hat einen gewissen Schutz für dieses Problem, da wir seit Samba 4.8 eine Voreinstellung von 'server schannel = yes' gesetzt haben. Benutzer, die diese Voreinstellung geändert haben, werden hiermit gewarnt, dass Samba das AES-Netlogon-Protokoll originalgetreu implementiert und somit dem gleichen Fehler im Kryptosystem-Design unterliegt.

Hersteller, die Samba 4.7 und darunter unterstützen, sollten ihre Installationen und Pakete patchen, um diese Voreinstellung zu ändern, da die Werte:

• server schannel = no
• server schannel = auto

NICHT sicher sind und wir erwarten, dass sie zu einer vollständigen Kompromittierung der Domäne führen können, insbesondere bei AD-Domänen.

Einige öffentliche Exploit-Tests, wie z. B. https://github.com/SecuraBV/CVE-2020-1472/blob/master/zerologon_tester.py bestätigen nur, dass ein ServerAuthenticate3 -Aufruf funktioniert, aber nicht, dass der ServerPasswordSet2 -Aufruf, der zum Ausnutzen der Domäne erforderlich ist, ebenfalls funktioniert.

Wie Microsoft schlagen wir vor, dass "server schannel = yes" für den sicheren Betrieb gesetzt werden muss. Dies ist unser Äquivalent zu Microsofts Registry-Schlüssel FullSecureChannelProtection=1, mit dem Unterschied, dass er in allen Samba-Hauptversionen, die in den letzten drei Jahren veröffentlicht wurden, bereits standardmäßig aktiviert ist.

Abschließend möchten wir noch anmerken, dass das Audit-Logging von Samba die ServerAuthenticate3- und ServerPasswordSet-Aufrufe einschließlich der Quell-IP aufzeichnet; Details zu den zu aktivierenden Optionen werden später gegeben.

Es scheint einige Legacy-Software zu geben, die immer noch "server schannel = auto" erfordert. Siehe die folgenden Bugs:

• https://bugzilla.samba.org/show_bug.cgi?id=11892
• https://bugzilla.samba.org/show_bug.cgi?id=13464
• https://bugzilla.samba.org/show_bug.cgi?id=13949

Wir werden eine zusätzliche Absicherung hinzufügen, die es Administratoren ermöglicht, "server schannel = yes" global zu verwenden und Ausnahmen nur für bestimmte Computerkonten zu definieren. Unser Fortschritt kann über diesen Fehler verfolgt werden: https://bugzilla.samba.org/show_bug.cgi?id=14497

Die diesjährige Storage Developer Conference (22. und 23. September 2020) wird ein ausschließlich virtuelles Event sein. Volker Ledecke and Stefan Metzmacher haben bereits Vorträge für den SMB-Track aufgezeichnet.

Volker Lendecke hält dabei den Vortrag "Samba locking architecture". Lendecke ist SerNet Mitgründer, Entwickler und langjähriges Mitglied des Samba Teams. 

Stefan Metzmachers Thema wird "Samba Multi-Channel/io_uring Status Update" sein. Er arbeitet als Entwickler bei SerNet und ist ebenfalls Mitglied des Samba-Teams.

Beide Gespräche werden in den "Day 1 Breakout Sessions" ab 11:20 Uhr PDT (20:20 Uhr MESZ) verfügbar sein. Die Registrierung für die SDC 2020 ist nach wie vor möglich.