Blog

Alexander Bokovoy und Florence Blanc-Renaud (beide RedHat) sprechen in diesem sambaXP 2020-Vortrag über "FreeIPA Global Catalog challenges". Bokovoy ist seit 2003 Mitglied des Samba-Teams und seit 2011 Core Developer für FreeIPA; Blanc-Renaud ist seit 2007 LDAP Server Technology Engineer und seit 2016 FreeIPA-Core-Developer.

Abstract

Auf der sambaXP 2017 berichteten Alexander Bokovoy und Florence Blanc-Renaud über einen ersten Fortschritt auf dem Weg, einen Global Catalog als Teil der FreeIPA-Bereitstellung verfügbar zu machen. Drei Jahre später wird der Globale Katalog in FreeIPA Realität. In diesem Vortrag demonstrieren sie einen funktionierenden Global Catalog-Dienst und beleuchten die Herausforderungen, denen sie bei der Abbildung von FreeIPA auf die Active Directory-Welt gegenüberstanden, ohne ein Active Directory Domain Controller zu sein. Die Nutzung von Samba-Diensten durch FreeIPA erprobt die Samba-Infrastruktur weiterhin in einer Weise, die nicht üblich oder gut getestet ist. Schließlich bieten die semantischen Unterschiede, auf die Bokovoy und Blanc-Renaud bei verschiedenen Protokollen und ihren Implementierungen in Open Source- und proprietären Produkten gestoßen sind, eine gute Lektion in Sachen Interoperabilitätsbemühungen. (Präsentation als PDF)

Über die Reihe "sambaXP 2020 Retrospektive"

In dieser Reihe werden wir in den kommenden Wochen Aufnahmen der sambaXP 2020 präsentieren. Die 19. Auflage der internationalen Konferenz zur Open-Source-Software Samba fand vom 26. bis 28. Mai 2020 erstmals ausschließlich in digitaler Form statt. Aufgrund des geänderten Veranstaltungsformats und der Nutzung einer Online-Konferenzplattform kann Veranstalter SerNet alle Vorträge als Video zur Ansicht anbieten (Link).

Die Pakete SAMBA+ 4.12.7, 4.11.13 und 4.10.18 wurden soeben von SerNet veröffentlicht. Dies sind wichtige Security-Releases zum Thema "ZeroLogon". Bitte aktualisieren Sie betroffene Systeme so schnell wie möglich. Die Pakete sind für verschiedene SUSE- und Red Hat-Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX verfügbar.

Die Pakete befassen sich mit folgendem Problem:

• CVE-2020-1472 Unauthenticated domain takeover via netlogon ("ZeroLogon")
  Ein nicht authentifizierter Angreifer im Netzwerk kann unter Ausnutzung eines Fehlers im Netlogon-Protokoll Administratorzugriff erlangen.
  https://www.samba.org/samba/security/CVE-2020-1472.html

Die neuen SAMBA+ 4.12.7-Pakete befassen sich auch mit dem folgenden Problem:

• Bug 14399 Server RAM filling up when writing to share from macOS
  https://bugzilla.samba.org/show_bug.cgi?id=14399

Um die Authentizität zu gewährleisten, werden die sernet-samba rpm-Pakete mit dem gpg-Build-Key von SerNet signiert. Wenn Sie das Paket sernet-build-key-1.4-8 key installiert haben, kann die Verifizierung aufgrund eines rpm-Problems fehlschlagen. Nach der Installation der neuen Version sernet-build-key-1.4-9 muss das Problem manuell behoben werden.

Wenn Sie davon betroffen sind, entfernen Sie bitte zunächst die SerNet-Samba-Keys mit folgendem Befehl aus dem rpm Schlüsselbund:
# rpm --allmatches -e gpg-pubkey-f4428b1a
# rpm --allmatches -e gpg-pubkey-1b6d0337

Verwenden Sie anschließend den folgenden Befehl, um den Schlüssel in den rpm-Schlüsselbund zu importieren:
# rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-SerNet-Samba-Team-F4428B1A \
    /etc/pki/rpm-gpg/RPM-GPG-KEY-SerNet-Samba-Team-1B6D0337

SAMBA+ Pakete sind als Software-Abonnement erhältlich. Sie können im SAMBA+ Shop erworben werden, detaillierte Informationen und Preise sind unter https://shop.samba.plus aufgeführt. Die Abonnements werden auf unserer Plattform OPOSSO (https://oposso.samba.plus) verwaltet. Benutzer können ihre Abonnements hier aktivieren und die Zugangsdaten verwalten. Die neuen SAMBA+ Pakete sind in den bestehenden Abonnements enthalten.

Das Samba-Team hat über ein Problem informiert, das nur Samba betrifft, das als Domänencontroller verwendet wird (sowohl als klassischer/NT4-Style als auch als Active-Directory-DC). Bitte lesen Sie den folgenden Text sorgfältig, den wir auch hier veröffentlichen: 

Samba-Benutzer haben berichtet, dass der Exploit für "ZeroLogin" gegen Samba durchgeht. Samba hat einen gewissen Schutz für dieses Problem, da wir seit Samba 4.8 eine Voreinstellung von 'server schannel = yes' gesetzt haben. Benutzer, die diese Voreinstellung geändert haben, werden hiermit gewarnt, dass Samba das AES-Netlogon-Protokoll originalgetreu implementiert und somit dem gleichen Fehler im Kryptosystem-Design unterliegt.

Hersteller, die Samba 4.7 und darunter unterstützen, sollten ihre Installationen und Pakete patchen, um diese Voreinstellung zu ändern, da die Werte:

• server schannel = no
• server schannel = auto

NICHT sicher sind und wir erwarten, dass sie zu einer vollständigen Kompromittierung der Domäne führen können, insbesondere bei AD-Domänen.

Einige öffentliche Exploit-Tests, wie z. B. https://github.com/SecuraBV/CVE-2020-1472/blob/master/zerologon_tester.py bestätigen nur, dass ein ServerAuthenticate3 -Aufruf funktioniert, aber nicht, dass der ServerPasswordSet2 -Aufruf, der zum Ausnutzen der Domäne erforderlich ist, ebenfalls funktioniert.

Wie Microsoft schlagen wir vor, dass "server schannel = yes" für den sicheren Betrieb gesetzt werden muss. Dies ist unser Äquivalent zu Microsofts Registry-Schlüssel FullSecureChannelProtection=1, mit dem Unterschied, dass er in allen Samba-Hauptversionen, die in den letzten drei Jahren veröffentlicht wurden, bereits standardmäßig aktiviert ist.

Abschließend möchten wir noch anmerken, dass das Audit-Logging von Samba die ServerAuthenticate3- und ServerPasswordSet-Aufrufe einschließlich der Quell-IP aufzeichnet; Details zu den zu aktivierenden Optionen werden später gegeben.

Es scheint einige Legacy-Software zu geben, die immer noch "server schannel = auto" erfordert. Siehe die folgenden Bugs:

• https://bugzilla.samba.org/show_bug.cgi?id=11892
• https://bugzilla.samba.org/show_bug.cgi?id=13464
• https://bugzilla.samba.org/show_bug.cgi?id=13949

Wir werden eine zusätzliche Absicherung hinzufügen, die es Administratoren ermöglicht, "server schannel = yes" global zu verwenden und Ausnahmen nur für bestimmte Computerkonten zu definieren. Unser Fortschritt kann über diesen Fehler verfolgt werden: https://bugzilla.samba.org/show_bug.cgi?id=14497

Die diesjährige Storage Developer Conference (22. und 23. September 2020) wird ein ausschließlich virtuelles Event sein. Volker Ledecke and Stefan Metzmacher haben bereits Vorträge für den SMB-Track aufgezeichnet.

Volker Lendecke hält dabei den Vortrag "Samba locking architecture". Lendecke ist SerNet Mitgründer, Entwickler und langjähriges Mitglied des Samba Teams. 

Stefan Metzmachers Thema wird "Samba Multi-Channel/io_uring Status Update" sein. Er arbeitet als Entwickler bei SerNet und ist ebenfalls Mitglied des Samba-Teams.

Beide Gespräche werden in den "Day 1 Breakout Sessions" ab 11:20 Uhr PDT (20:20 Uhr MESZ) verfügbar sein. Die Registrierung für die SDC 2020 ist nach wie vor möglich. 

Christof Schmitt spricht in diesem Vortrag von der sambaXP-2020 über "Lehren aus der Verwendung von Samba in IBM Spectrum Scale". Er ist seit 2013 Mitglied des internationalen Samba-Teams und arbeitet als Software Engineer Spectrum Scale für IBM in Tucson, Arizona (LinkedIn).

Abstract

IBM Spectrum Scale ist ein softwaredefiniertes Speicherangebot eines geclusterten Dateisystems, das zusammen mit anderen Diensten gebündelt wird. Samba ist als Teil des Produkts enthalten, um einen geclusterten SMB-Dateiserver und die Integration in Active Directory bereitzustellen. In diesem Vortrag wird aus Entwickler-Sicht die Integration von Samba in ein Speicherprodukt besprochen und erläutert, was das Entwicklungsteam im Laufe der Jahre gelernt hat. Themen sind u.a. die Anforderung für automatisiertes Testen auf mehreren Ebenen und die Zusammenarbeit mit dem Upstream-Samba-Projekt. Beispiele veranschaulichen Probleme, die im Laufe der Zeit aufgetreten sind und wie sie gelöst wurden. Weitere Themen sind Herausforderungen, Lösungen und Lücken, die beim Einsatz von Samba aufgetreten sind.

Über die Reihe "sambaXP 2020 Retrospektive"

In dieser Reihe werden wir in den kommenden Wochen Aufnahmen der sambaXP 2020 präsentieren. Die 19. Auflage der internationalen Konferenz zur Open-Source-Software Samba fand vom 26. bis 28. Mai 2020 erstmals ausschließlich in digitaler Form statt. Aufgrund des geänderten Veranstaltungsformats und der Nutzung einer Online-Konferenzplattform kann Veranstalter SerNet alle Vorträge als Video zur Ansicht anbieten (Link).