Blog

Laborbericht: Microsoft Exchange 2019 und Samba Active Directory

Das Samba-Team bei SerNet hat kürzlich einen internen Workshop veranstaltet, um die Kompatibilität von Microsoft Exchange 2019 mit Samba Active Directory voranzubringen. Zu den Teilnehmern gehörten Stefan Metzmacher, Björn Jacke und Ralph Böhme - allesamt langjährige Mitglieder des internationalen Samba-Teams. Um die Samba-Community an den Fortschritten teilhaben zu lassen, folgt hier ein kurzer Bericht aus dem Versuchslabor. Das Team beantwortet außerdem gerne alle Fragen zum Projekt.

Die Reise begann mit einer großen Hürde: NTP-Zeitsynchronisationsprobleme auf den Windows Domain Controllern (DCs) innerhalb des Testaufbaus. Das Team konnte das Problem nach einigen Versuchen beheben, stieß aber auf ein neues Hindernis, als Exchange sich weigerte, in der Samba-Umgebung zu starten. Nach mehrstündiger Untersuchung der Logs und viel Kopfzerbrechen fand das Team heraus, dass Exchange versuchte, das LDAP-Attribut "ntSecurityDescriptor" des cn=Configuration-Objekts abzufragen. Überraschenderweise gab Samba ein leeres Ergebnis zurück, im Gegensatz zu einem Windows-DC, der das Attribut zurückgab.

Nach gründlicher Analyse fand das Team die Ursache: unvollständige Unterstützung für Gruppenrichtlinienobjekte (GPOs) auf Samba-DCs. Das GPO, das dem Exchange-Domänenkonto eine zusätzliche Berechtigung gewähren sollte, war nicht angewendet worden. Folglich weigerte sich Samba zu Recht, das Attribut ntSecurityDescriptor zurückzugeben.

Das manuelle Gewähren des fehlenden Privilegs behob das Problem und Exchange funktionierte. Nachfolgende Tests, bei denen Konten erstellt und E-Mails ausgetauscht wurden, bestätigten den anfänglichen Erfolg. "Wir waren von dem Ergebnis wirklich begeistert", sagt Ralph Böhme, Samba Team Lead bei SerNet. Durch die Identifizierung der zugrundeliegenden Probleme und die Umsetzung der notwendigen Maßnahmen konnten er und sein Team Microsoft Exchange 2019 und Samba Active Directory erfolgreich miteinander verbinden. Die so erreichte Interoperabilität war kein Zufall, sondern das Ergebnis einer gründlichen Planung, systematischer Tests und geduldiger Fehlersuche. Böhme weiter: "Der Workshop hat gezeigt, was wir erreichen können, wenn wir unsere Samba-Erfahrungen bündeln und gemeinsam technische Herausforderungen meistern." 

Der Zwischenerfolg ist ein Schritt in SerNets Ziel, nicht nur die Eigenschaften und die Funktionalität von Samba zu verbessern, sondern dazu beizutragen, es als wertvolles Werkzeug für Unternehmen und Organisationen weltweit weiterzuentwickeln. Das Team freut sich darauf, seine Fortschritte weiterhin zu teilen und eng mit der Samba-Community zusammenzuarbeiten, um die Vision einer vollständigen Interoperabilität zwischen Samba AD und Exchange zu erreichen.


SAMBA+ 4.18.6 wurde soeben vom Samba-Team bei SerNet veröffentlicht. Pakete für verschiedene SUSE- und Red Hat-Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX sind jetzt verfügbar.

Diese Pakete beheben mehrere Probleme, die in den Release Notes aufgeführt sind: https://www.samba.org/samba/history/samba-4.18.6.html

Die Korrekturen für die folgenden Probleme waren bereits in der vorherigen SAMBA+ Version enthalten:

  • Bug 15275 - smbd_scavenger stürzt ab, wenn der Dienst smbd beendet wird
  • Bug 15416 - cldap_ping_list setzt num_requests bei erneutem Versuch nicht auf 0 zurück 

Storage Developer Conference

SerNet Inc. wird als Silber-Sponsor an der diesjährigen Storage Developer Conference (SDC) teilnehmen. Die Konferenz wird von der Storage Networking Industry Association (SNIA) vom 18. bis 21. September in Fremont, Kalifornien, veranstaltet.

Unser Samba-Team wird am 20. September Vorträge beisteuern: 

Thema: Reparse Points Current Status
Referent: Volker Lendecke, Entwickler im SerNet/Samba Team
8:30 Uhr - 9:20 Uhr

Thema: Samba io_uring Status Update
Sprecher: Stefan Metzmacher, Entwickler im SerNet/Samba-Team
9:30 Uhr - 10:20 Uhr

Thema: net use //samba/cloud: Scaling Samba
Sprecher: Ralph Böhme, Samba Team Lead bei SerNet/Samba Team
10:35 Uhr - 11:25 Uhr

Zusätzlich zu diesen Vorträgen laden wir alle ein, unser Team zu treffen, unsere jüngsten Projekte zu diskutieren und mögliche Kooperationen zu sondieren. Um ausführliche Gespräche zu ermöglichen und auf spezielle Fragen einzugehen, bieten wir vereinbarte Treffen an. Interessierte können sich im Voraus mit uns in Verbindung setzen, um sich einen Termin zu sichern. Bitte benutzen Sie das Kontaktformular oder schreiben Sie uns an sales@remove-this.sernet.com - wir freuen uns auf einen konstruktiven Dialog und eine erfolgreiche Konferenz.


SAMBA+ 4.18.5, 4.17.10 und 4.16.11 sind veröffentlicht. Die Pakete für verschiedene SUSE- und Red Hat-Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX sind jetzt verfügbar. Bitte beachten Sie: Es handelt sich um Sicherheitsupdates, die Pakete sollten so schnell wie möglich eingespielt werden.

Diese Pakete beheben mehrere sicherheitsrelevante Probleme:

  • CVE-2022-2127: Wenn winbind für die NTLM-Authentifizierung verwendet wird, kann eine in böser Absicht erstellte Anfrage ein Out-of-Bounds-Read in winbind auslösen und es möglicherweise zum Absturz bringen.
  • CVE-2023-34966: Ein Endlosschleifen-Bug im mdssvc-RPC-Dienst von Samba für Spotlight kann von einem nicht authentifizierten Angreifer durch eine fehlerhafte RPC-Anfrage ausgelöst werden.
  • CVE-2023-34967: Fehlende Typ-Validierung im mdssvc-RPC-Dienst von Samba für Spotlight kann von einem nicht authentifizierten Angreifer genutzt werden, um einen Prozessabsturz in einem shared RPC mdssvc worker process auszulösen. 
  • CVE-2023-34968: Als Teil des Spotlight-Protokolls gibt Samba den serverseitig absoluten Pfad von Freigaben, Dateien und Verzeichnissen in Suchergebnissen preis.

Ein Update für SAMBA+ 4.18.4, 4.16.10 und 4.17.9  ist erhältlich. Pakete für verschiedene SUSE- und Red Hat-Plattformen sowie für Debian GNU/Linux und Ubuntu sind jetzt verfügbar.

Diese Pakete beheben das folgende Problem:

  • Bug 15418 - secure channel fehlerhaft seit Windows 10/11 Update 07/2023
    Das kürzlich veröffentlichte Windows Update KB5028185/KB5028166 (11.07.2023) bricht die Client-Authentifizierung gegen Samba AD DCs. 

Contact us
Kontakt
Deutsch English Français