SAMBA+
SerNet

Blog

Sicherheitsupdates für SAMBA+ 4.24.3, 4.23.8 und 4.22.10

SerNet hat soeben die Pakete SAMBA+ 4.24.3, 4.23.8 und 4.22.10 veröffentlicht. Es handelt sich um wichtige Sicherheitsupdates; bitte aktualisieren Sie betroffene Systeme so schnell wie möglich. Die Pakete sind für verschiedene SUSE- und Red Hat-Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX verfügbar.

Die Pakete beheben die folgenden Probleme:

Anleitungen zum Zugriff auf Pakete und zur Aktualisierung finden Sie in der SAMBA+ How-to-Sammlung. Wenn Sie von einer SAMBA+-Version älter als 4.21 aktualisieren und eigene oder fremde Skripte verwenden, die auf Sambas Python-Modulen basieren, müssen Sie nach der Aktualisierung auf Debian- oder Ubuntu-Systemen das Paket sernet-samba-python3 installieren. RHEL- und SUSE-basierte Systeme sind davon nicht betroffen.

SAMBA+-Pakete sind als Software-Abonnements in den SAMBA+-Shops erhältlich:

Bei weiteren Fragen oder zur Anforderung eines Angebots kontaktieren Sie uns bitte.

Brücke zwischen On-Premise und Cloud: Erfolgreiches Zusammenspiel von Samba AD und Entra ID
Success Story: Samba AD meets Entra ID


Es begann mit einer klaren architektonischen Entscheidung: Die Identitätsverwaltung vor Ort unter eigener Kontrolle zu behalten und gleichzeitig Microsoft 365 in der Cloud zu nutzen. 

Das war die Herausforderung, die die Qudora Technologies GmbH an SerNet stellte. QUDORA ist ein führendes Full-Stack-Quantum-Computing-Unternehmen mit Sitz in Deutschland. Die firmeneigene Near-Field Quantum Control (NFQC®)-Technologie kombiniert ultrapräzise Qubit-Steuerung mit sehr langen Kohärenzzeiten und verbessert so die Leistung pro Qubit erheblich. Die QC-Systeme von QUDORA sind für die nahtlose Integration in bestehende industrielle Infrastrukturen konzipiert, einschließlich On-Premises-Bereitstellungen für HPC-Zentren. Mit Standorten in Braunschweig und Hamburg macht QUDORA Quantencomputing für ein breiteres Spektrum an Anwendungen und Branchen zugänglich.

Qudora wandte sich an SerNet, da der in Göttingen ansässige Open-Source-Spezialist Upstream-Samba-Entwicklung mit praktischer Integrationskompetenz in Samba- und Microsoft-Umgebungen verbindet.

Projektübersicht

  • Lokales autoritatives Verzeichnis: Samba Active Directory Domain Controller
  • Cloud-Dienste: Microsoft 365 (Exchange Online, SharePoint, Teams)
  • Synchronisierungs-Engine: Microsoft Entra Connect (einseitig: lokal → Cloud)
  • Kernanforderung: Exchange-relevante Attribute in Samba AD verfügbar und korrekt
  • Ziel: Produktionsreife Hybrid-Konfiguration

Architektur: On-Prem bleibt maßgebend

Die Kernfrage war einfach: Kann eine Samba-AD-Domäne mithilfe von Entra Connect sauber mit Microsoft Entra ID synchronisiert werden – einschließlich der Exchange-relevanten Attribute.

In vielen realen Umgebungen haben die Anforderungen von Exchange Teams in der Vergangenheit dazu gedrängt, „einfach Windows für AD zu verwenden“, da Exchange Online (und die damit verbundenen Hybridmodelle) bestimmte Objektklassen und Attribute erwarten.

Qudora strebte ein anderes Design an, das die Anforderungen an die digitale Souveränität ernst nimmt: Samba AD bleibt die maßgebliche Quelle, Microsoft 365 nutzt synchronisierte Identitäten, und Administratoren verwalten Benutzer an einem Ort.

“

Der technische Kern: Exchange-Attribute in Samba AD integrieren

Die Herausforderung bestand nicht darin, „die Synchronisierung zum Laufen zu bringen“. Die Herausforderung bestand darin, die mit Exchange verbundenen Anforderungen an Schema und Attribute zu erfüllen.

Exchange Online stützt sich üblicherweise auf Attribute und Strukturen wie:

  • proxyAddresses
  • mail
  • targetAddress
  • mehrere msExch*-Attribute
  • Exchange-Organisationsobjekte / zugehörige Klassen

Um diese Anforderungen mit Samba als einzigem AD-DC zu erfüllen, erforderte das Projekt:

  1. Erweiterung des LDAP-Schemas in Samba AD um Exchange-relevante Objektklassen und Attribute
  2. Gezielte Änderungen am Samba-Code, damit diese Objekte korrekt verarbeitet wurden
  3. Fehlerbehebung auf Protokollebene (Netzwerk-Traces + detaillierte Debug-Protokolle), um zu bestätigen, was Entra Connect tatsächlich anforderte und wie Samba darauf reagierte

Hier machte sich die Teamzusammensetzung von SerNet besonders deutlich bemerkbar:

  • Björn Jacke (Integrator im Samba-Team von SerNet) leitete die AD-seitige Implementierung und koordinierte die Anforderungen an Samba AD/DC.
  • Stefan Metzmacher (Samba-Kernentwicklung) verfolgte das Verhalten bis zu den relevanten Codepfaden zurück und implementierte die Korrekturen.
  • Carl Massiang (Integrator im Sichere-Insfrastrukturen-Team von SerNet) implementierte die Entra-Connect-Konfiguration und übernahm die Integrationsarbeiten für Microsoft 365 / Exchange Online.

Die daraus resultierenden Änderungen wurden in den Upstream-Code übernommen, sodass die gesamte Samba-Community davon profitiert.

Ein wichtiger Punkt aus der Praxis: Aus Sicht von Entra ID verhielt sich das System wie eine Standard-Active-Directory-Umgebung. Entra “kümmerte es nicht”, dass der DC Samba war.

Die Lösung im Einsatz

Nach der Implementierung war der Betriebsablauf klar und wiederholbar:

  1. Benutzer im lokalen Samba-AD (dem maßgeblichen Verzeichnis) anlegen/verwalten.
  2. Exchange-relevante Attribute im Samba-AD festlegen.
  3. Entra Connect synchronisiert Objekte in eine Richtung (lokal → Entra ID).
  4. Microsoft 365 richtet das Exchange Online-Postfach automatisch auf Basis der synchronisierten Identität und Attribute ein.

Für diese Konfiguration war kein lokaler Exchange-Server erforderlich. Es wurde keine zusätzliche Windows-Domäne hinzugefügt, d.h. keine doppelte Pflege von Identitäten. Es wird nur ein Windows-Mitgliedsserver für den Entra Connect Sync Service benötigt. 

Was sich für Qudora geändert hat

Diese Implementierung lieferte ein hybrides Identitätsdesign, das folgende Eigenschaften aufweist:

  • single-source-of-truth (lokales Samba-AD)
  • cloud-ready für Microsoft 365-Dienste
  • schema-correct für Exchange Online-Anforderungen
  • stabil und reproduzierbar im Produktivbetrieb

In einem Folgeprojekt mit einem weiteren Unternehmen wurde derselbe Ansatz auf ein Hybridszenario mit einem lokalen Exchange-Server angewendet, bei dem Domänencontroller bestimmte Richtlinien korrekt auswerten müssen, damit Exchange-Objekte wie erwartet bereitgestellt werden können. Auch dieses Szenario war auf der Grundlage des erweiterten Schemas realisierbar.

Planen Sie etwas Ähnliches?

Wenn Sie Samba AD betreiben und eine Verbindung zu Microsoft 365 herstellen möchten oder eine bestehende Hybridkonfiguration absichern müssen, wenden Sie sich an SerNet. Wir prüfen Ihr Verzeichnismodell und Schema, validieren die Exchange-Attribut-Anforderungen, entwerfen die Entra Connect-Architektur und implementieren diese durchgängig – einschließlich einer umfassenden Fehlerbehebung, wenn das Problem über die Konfiguration hinausgeht.

Hinweis zur digitalen Souveränität:  Je nach Ihren Anforderungen entwirft und implementiert SerNet auch souveräne Alternativen ohne Microsoft-Clouddienste – vor Ort oder bei europäischen Anbietern – insbesondere dort, wo Datenstandort, regulatorische Auflagen oder Risikoüberlegungen (einschließlich Themen wie dem US-CLOUD Act) Teil der Entscheidung sind.

SerNet kann das – sprechen Sie uns einfach an.

SAMBA+ 4.24.2 für mehrere Plattformen verfügbar

SAMBA+ 4.24.2 wurde für SUSE- und Red Hat-Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX veröffentlicht. Die neuen Pakete sind in bestehenden SAMBA+-Abonnements enthalten.

SAMBA+ 4.24.2 ist eine Korrekturversion, die auf der neuesten stabilen Version der Samba 4.24-Serie basiert. Sie enthält Korrekturen für mehrere seit Samba 4.24.1 gemeldete Probleme, darunter Verbesserungen in Bezug auf Winbind, CTDB, GlusterFS, Windows Offline Files, die Verarbeitung von ZFS-Snapshots, Vertrauensbeziehungen und die mitgelieferte ngtcp2-Komponente. Die vollständige Liste der Änderungen finden Sie in den offiziellen Samba-Release-Notes: https://www.samba.org/samba/history/samba-4.24.2.html

Anleitungen für den Zugriff auf Pakete und Upgrades finden Sie in der SAMBA+ How-to-Sammlung.

Bitte beachten Sie: Wenn Sie ein Upgrade von einer SAMBA+-Version älter als 4.21 durchführen und eigene oder fremde Skripte verwenden, die auf Sambas Python-Modulen basieren, müssen Sie nach dem Upgrade auf SAMBA+ 4.23 auf Debian- oder Ubuntu-Systemen das Paket sernet-samba-python3 installieren. RHEL- und SUSE-basierte Systeme sind davon nicht betroffen.

SAMBA+-Pakete sind als Software-Abonnements in den SAMBA+-Shops erhältlich:

Bei weiteren Fragen oder zur Anforderung eines Angebots kontaktieren Sie uns bitte.

Opening Samba to a Wilder World: Aufzeichnungen der sambaXP 2026 online
Thumbnail Keynote sambaXP 2026

Die Aufzeichnungen der sambaXP 2026 sind verfügbar und vereinen die Vorträge der 25. Internationalen Anwender- und Entwicklerkonferenz für Samba. Die vollständige Playlist gibt es auf YouTube.

Die diesjährige Konferenz bot einen fokussierten Einblick in die aktuelle Arbeit rund um Samba, SMB und das breitere Interoperabilitäts-Ökosystem. Die Vorträge behandelten Samba AD in realen Netzwerken, SMB über QUIC, SMB-Direct, Verbesserungen am SMB3.1.1-Client, Authentifizierung und Autorisierung, Winbind mit Kerberos S4U2SELF, CTDB, VFS-Entwicklung, OpenRSAT, die Integration von FreeIPA und Active Directory sowie aktuelle Sicherheitsarbeiten an Samba AD.

Auch Speicher und Leistung waren wichtige Themen, mit Vorträgen zu Samba und Ceph, darunter SMB-Zugriff auf Ceph RGW, CephFS-gestützte SMB-Bereitstellungen und SMB Multichannel in IBM Storage Scale.

Volker Lendeckes Keynote „25 Jahre sambaXP“ bildete den Rahmen für die Konferenz. Was als Rückblick auf 25 Ausgaben von sambaXP begann, entwickelte sich zu einem umfassenden Streifzug durch die wichtigsten Meilensteine in der Geschichte von Samba – von den frühen SMB-Arbeiten bis hin zu Samba 4 und den Strukturen, die das Projekt heute prägen.

sambaXP 2026 war zudem eng mit dem SNIA SMB3 IO Lab EMEA verbunden. Das von der SNIA mit Unterstützung von Microsoft veranstaltete IO Lab bot einen praktischen Rahmen für SMB3-Interoperabilitätstests, Protokollarbeit und direkte Zusammenarbeit an realen Implementierungen. Während sambaXP öffentliche Vorträge und Diskussionen bot, setzte das IO Lab diese Arbeit in einer dedizierten Testumgebung fort. Diese Kombination ist zentral für sambaXP, wo technische Vorträge, direkter Austausch und praktische Interoperabilität an einem Ort zusammenkommen. Sie spiegelt auch wider, wie sich Samba weiterentwickelt.

sambaXP wird von SerNet organisiert und ist seit 2002 ein Treffpunkt für das Samba-Team, Entwickler, Anwender und Anbieter. Die Ausgabe 2026 wurde durch die Unterstützung der diesjährigen Sponsoren Microsoft, Tranquil IT und SerNet ermöglicht.

SAMBA+ 4.24.0 veröffentlicht – Erste Version der neuen Major Release Series

SerNet hat SAMBA+ 4.24.0 für SUSE- und Red Hat-Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX veröffentlicht. Diese Version ist die erste Veröffentlichung des neuen Hauptzweigs 4.24.

Neben verschiedenen Verbesserungen bietet diese Version erweiterte Kerberos-Funktionen. Dazu gehören die Unterstützung für Windows Hello for Business Key-Trust-Anmeldungen und erweiterte Optionen für die Remote-Passwortverwaltung, wie beispielsweise Funktionen zur Passwortzurücksetzung, die in Entra ID oder Keycloak integriert werden können.

Eine vollständige Übersicht über alle Änderungen und Verbesserungen finden Sie in den offiziellen Release Notes:

https://www.samba.org/samba/history/samba-4.24.0.html

Anleitungen für den Zugriff auf die Pakete und das Upgrade finden Sie in der SAMBA+ How-to-Sammlung. Bitte beachten Sie: Wenn Sie von einer SAMBA+-Version älter als 4.21 upgraden und auf benutzerdefinierte oder Drittanbieter-Skripte zurückgreifen, die Sambas Python-Module verwenden, müssen Sie nach dem Upgrade auf SAMBA+ 4.23 auf Debian- oder Ubuntu-Systemen das Paket sernet-samba-python3 installieren. RHEL- und SUSE-basierte Systeme sind davon nicht betroffen.

SAMBA+-Pakete werden im Abonnementmodell bereitgestellt und sind im SAMBA+-Shop erhältlich:

Wenn Sie bereits über ein aktives Abonnement verfügen, sind Sie abgesichert – die neuen 4.24.0-Pakete sind darin enthalten. Wenn Sie Fragen zu Lizenzierung oder Beschaffung haben oder Unterstützung beim Update benötigen, helfen wir Ihnen gerne weiter. Wenden Sie sich einfach an das SAMBA+-Team bei SerNet.

Contact us
Kontakt
Deutsch English Français