SAMBA+
SerNet

Blog

Webinaires SAMBA+ AIX
Webinaire SAMBA AIX

Le 22 février 2024, de 15 à 16 heures (CET), aura lieu la prochaine session de la série de webinaires "Setting up Samba on AIX with SAMBA+". L'inscription à l'événement et de plus amples informations sont disponibles ici. La plateforme utilisée est GoTo-Webinar.

Lors du webinaire, les participants apprendront de notre expert Björn Jacke comment Samba peut être configuré avec SAMBA+ sur AIX, le système d'exploitation Unix d'IBM, et intégré dans un environnement Active Directory. Ils recevront entre autres des conseils sur la manière de surmonter les difficultés qui surviennent fréquemment. Une attention particulière sera également accordée à la configuration des paramètres dans AIX. En outre, il y aura la possibilité de répondre aux questions.

Ce webinaire se déroulera en anglais. D'autres dates seront annoncées prochainement.

Migration de Windows AD vers Samba

"Sauvegarde de Windows AD et comment la migrer vers Samba" a été présenté par Björn Jacke et Volker Lendecke le 7 décembre 2023 dans l'auditorium du Jacob-und-Wilhelm-Grimm-Zentrum de la Humboldt-Universität zu Berlin. Les deux membres de longue date de l'équipe Samba de SerNet et de l'équipe Samba Core ont contribué à cette conférence dans le cadre de la série d'événements de l'Adminstammtisch Berlin.

La conférence - uniquement en allemand - a pour but de présenter le travail de l'équipe Samba.

L'exposé - en allemand uniquement - offre la possibilité de bénéficier d'une connaissance approfondie de la migration et de la sécurisation de Windows Active Directory vers Samba : La plupart des installations Active Directory sont basées sur Windows. Samba permet de sauvegarder une telle installation AD à l'aide de moyens Unix et de faire fonctionner la sauvegarde avec un DC Samba. Cela peut être utile non seulement pour les sauvegardes, mais aussi pour une migration de Windows vers Samba, comme l'ont démontré Jacke et Lendecke. Un enregistrement est disponible.

Ils ont également donné des informations précieuses sur Samba et les progiciels SAMBA+ proposés par SerNet pour diverses distributions Linux et IBM AIX. L'Adminstammtisch Berlin est organisé par et pour les professionnels de l'informatique qui s'engagent à partager leurs connaissances et leur expérience et à discuter de sujets d'actualité liés à l'informatique.

SAMBA+ 4.19.3 et 4.18.9 disponibles

SAMBA+ 4.19.3-5 et SAMBA+ 4.18.9-9 viennent d'être publiés par l'équipe Samba de SerNet. Les paquets pour diverses plateformes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX sont disponibles dès maintenant.

Veuillez consulter l'historique des versions ici:

Le correctif pour CVE-2018-14628, qui fait maintenant partie de la version 4.19.3 et 4.18.9 en amont, était déjà corrigé dans SAMBA+ 4.19.2 et SAMBA+ 4.18.8. Par souci d'exhaustivité, nous décrivons une fois de plus comment appliquer le correctif actuel pour la base de données AD. Si vous l'avez déjà fait lors de la précédente mise à jour de SAMBA+, vous n'avez pas besoin de refaire les étapes suivantes.

Action requise pour résoudre CVE-2018-14628

La version corrigée de Samba ne protège PAS les domaines existants!

L'administrateur doit exécuter la commande suivante (sur un seul contrôleur de domaine) afin d'appliquer la protection à un domaine existant:

  samba-tool dbcheck --cross-ncs --attrs=nTSecurityDescriptor --fix

Ce qui précède nécessite une interaction manuelle afin d'examiner les modifications avant qu'elles ne soient appliquées. Les questions typiques sont les suivantes:

  Reset nTSecurityDescriptor on CN=Deleted Objects,DC=samba,DC=org back to provision default?
        Owner mismatch: SY (in ref) DA(in current)
        Group mismatch: SY (in ref) DA(in current)
        Part dacl is different between reference and current here is the detail:
                (A;;LCRPLORC;;;AU) ACE is not present in the reference
                (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY) ACE is not present in the reference
                (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;DA) ACE is not present in the reference
                (A;;CCDCLCSWRPWPSDRCWDWO;;;SY) ACE is not present in the current
                (A;;LCRP;;;BA) ACE is not present in the current
   [y/N/all/none] y
  Fixed attribute 'nTSecurityDescriptor' of 'CN=Deleted Objects,DC=samba,DC=org'

Le changement doit être confirmé par "y" pour tous les objets commençant par

'CN=Deleted Objects'.

SAMBA+ 4.19.2 disponible, CVE-2018-14628 : action requise

SAMBA+ 4.19.2-4 vient d'être publié par l'équipe Samba de SerNet. Les paquets pour diverses plateformes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX sont disponibles dès maintenant.

https://www.samba.org/samba/history/samba-4.19.2.html

En plus des corrections mentionnées dans les notes de version ci-dessus, SAMBA+ contient également 2 corrections supplémentaires notables :

Un correctif pour Kerboros User2User TGS-REQ, qui peut empêcher les utilisateurs de récupérer des tickets pour eux-mêmes dans certaines conditions :

https://bugzilla.samba.org/show_bug.cgi?id=15492

La deuxième modification supplémentaire, qui corrige la permission du conteneur d'objets supprimés (CVE-2018-14628), est encore plus importante. Il est cependant nécessaire d'exécuter une commande pour corriger la permission, car les ACL sur le conteneur ne seront pas modifiées automatiquement. Voici ce qu'il faut faire pour corriger la permission :

==================================================
Action requise pour résoudre CVE-2018-14628
==================================================

La version corrigée de Samba ne protège PAS les domaines existants !

L'administrateur doit exécuter la commande suivante (sur un seul contrôleur de domaine) afin d'appliquer la protection à un domaine existant :

  samba-tool dbcheck --cross-ncs --attrs=nTSecurityDescriptor --fix

Ce qui précède nécessite une interaction manuelle afin d'examiner les changements avant qu'ils ne soient appliqués. Les questions typiques se présentent comme suit :

  Reset nTSecurityDescriptor on CN=Deleted Objects,DC=samba,DC=org back to provision default?
        Owner mismatch: SY (in ref) DA(in current)
        Group mismatch: SY (in ref) DA(in current)
        Part dacl is different between reference and current here is the detail:
                (A;;LCRPLORC;;;AU) ACE is not present in the reference
                (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY) ACE is not present in the reference
                (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;DA) ACE is not present in the reference
                (A;;CCDCLCSWRPWPSDRCWDWO;;;SY) ACE is not present in the current
                (A;;LCRP;;;BA) ACE is not present in the current
   [y/N/all/none] y
  Fixed attribute 'nTSecurityDescriptor' of 'CN=Deleted Objects,DC=samba,DC=org'

Le changement doit être confirmé par 'y' pour tous les objets commençant par 'CN=Deleted Objects'.

Les prochaines mises à jour des packages SAMBA+ 4.17 et 4.18 traiteront également la CVE-2018-14628.

Les paquets SAMBA+ sont disponibles sous forme d'abonnements logiciels et peuvent être achetés dans la boutique SAMBA+. Des informations détaillées et les prix sont disponibles sur usdshop.samba.plus (devise : USD) ou shop.samba.plus (devise : EUR). Les nouveaux packages SAMBA+ sont inclus dans les abonnements existants. Si vous avez d'autres questions ou si vous souhaitez demander un devis, n'hésitez pas à nous contacter.

L'équipe SerNet Samba

Publication de SAMBA+ 4.19.1, 4.18.8 et 4.17.12

SAMBA+ 4.19.1, 4.18.8 et 4.17.12 viennent d'être publiés. Les paquets pour diverses plates-formes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX sont disponibles dès maintenant. Remarque : il s'agit de mises à jour de sécurité, les paquets doivent être déployés dès que possible. Ces paquets corrigent plusieurs problèmes de sécurité.

  • CVE-2023-3961 Nom de pipe client non aseptisé transmis à local_np_connect()
  • CVE-2023-4154 dirsync autorise l'accès SYSTEM avec seulement le droit "GUID_DRS_GET_CHANGES", et non "GUID_DRS_GET_ALL_CHANGES".
  • CVE-2023-4091 Le client peut tronquer le fichier avec des permissions de lecture seule.
  • CVE-2023-42670 Le numéro de procédure est hors de portée lors du démarrage d'Active Directory Users and Computers.
  • CVE-2023-42669 rpcecho, activé et en cours d'exécution dans AD DC, permet de bloquer le sommeil sur demande.

En outre, la version 4.19.1 comprend des correctifs pour :

  • Bug 15491: Débordement de mémoire tampon avec les jetons de fraîcheur dans le KDC Heimdal
Contact us
Contact
Deutsch English Français