Blog

L'équipe Samba a été informée d'un problème qui s'applique à Samba utilisé comme contrôleur de domaine uniquement (à la fois en tant que DC classique/NT4 et en tant que DC de directive active). Veuillez lire attentivement le texte suivant, que nous publions également ici: 

Des utilisateurs de Samba ont signalé que l'exploit pour "ZeroLogin" passe contre Samba. Samba dispose d'une certaine protection contre ce problème car, depuis Samba 4.8, la valeur par défaut est 'server schannel = yes'. Les utilisateurs qui ont modifié cette valeur par défaut sont avertis par la présente que Samba implémente fidèlement le protocole AES de connexion au réseau et qu'il est donc victime du même défaut dans la conception du système de cryptage.

Les fournisseurs prenant en charge Samba 4.7 et les versions inférieures doivent mettre à jour leurs installations et leurs paquets pour modifier cette valeur par défaut, comme les valeurs de:

• server schannel = no
• server schannel = auto

ne sont PAS sûres et nous pensons qu'elles peuvent entraîner la compromission d'un domaine complet, en particulier pour les domaines AD.

Certains tests d'exploitation publics, tels que https://github.com/SecuraBV/CVE-2020-1472/blob/master/zerologon_tester.py confirment uniquement qu'un appel ServerAuthenticate3 fonctionne, mais pas que l'appel ServerPasswordSet2 nécessaire pour exploiter le domaine fonctionne également.

Comme Microsoft, nous suggérons que "server schannel = yes" soit défini pour un fonctionnement sécurisé. Il s'agit de notre équivalent de la clé de registre FullSecureChannelProtection=1 de Microsoft, à la différence qu'elle est déjà activée par défaut dans toutes les versions majeures de Samba publiées au cours des trois dernières années.

Enfin, notons que la journalisation de l'audit de Samba enregistrera les appels ServerAuthenticate3 et ServerPasswordSet, y compris l'IP source, des détails seront fournis plus tard sur les options à activer.

Il semble que certains logiciels anciens exigent toujours "server schannel = auto". Voir les bogues suivants:

• https://bugzilla.samba.org/show_bug.cgi?id=11892
• https://bugzilla.samba.org/show_bug.cgi?id=13464
• https://bugzilla.samba.org/show_bug.cgi?id=13949

Nous allons ajouter un renforcement supplémentaire qui permettra aux administrateurs d'utiliser "server schannel = yes" de manière globale et de définir des exceptions uniquement pour des comptes informatiques spécifiques. Notre progression peut être suivie via ce bogue: https://bugzilla.samba.org/show_bug.cgi?id=14497

Cette année, la Storage Developer Conference (22-23 septembre 2020) sera un événement virtuel. Volker Ledecke et Stefan Metzmacher ont déjà préenregistré des conférences pour la piste de l'agenda SMB.

Volker Lendecke parlera de "l'architecture de verrouillage de Samba". Lendecke est co-fondateur de SerNet, développeur et membre de longue date de l'équipe Samba. 

Le sujet de Stefan Metzmacher sera "Samba Multi-Channel/io_uring Status Update". Il travaille comme développeur chez SerNet et est également membre de l'équipe Samba. 

Les deux exposés seront disponibles dans le cadre des "Day 1 Breakout Sessions" à partir de 11 h 20 PDT (20 h 20 Uhr CEST). 

Christof Schmitt parle des "Leçons tirées de l'utilisation de Samba dans IBM Spectrum Scale" dans cette conférence sambaXP 2020. Il est membre de l'équipe internationale Samba depuis 2013 et travaille comme ingénieur logiciel Spectrum Scale pour IBM à Tucson, Arizona (LinkedIn).

Résumé

IBM Spectrum Scale est une offre de stockage défini par logiciel d'un système de fichiers en cluster regroupé avec d'autres services. Samba est inclus dans le produit pour fournir un serveur de fichiers SMB en cluster et une intégration dans Active Directory. Cet exposé aborde, du point de vue du développement, l'intégration de Samba dans un produit de stockage et ce que l'équipe de développement a appris au fil des ans. Les sujets abordés comprennent la nécessité d'effectuer des tests automatisés à plusieurs niveaux et la collaboration avec le projet Samba en amont. Des exemples illustrent les problèmes rencontrés au fil du temps et la manière dont ils ont été résolus. D'autres sujets sont les défis qui ont été résolus et les lacunes qui ont été observées dans l'utilisation de Samba.

Á propos de la "rétrospective 2020 de sambaXP"

Dans cette série, nous présenterons des enregistrements de la sambaXP 2020 du mois à venir. La 19e édition de la conférence internationale sur le logiciel open source Samba a eu lieu du 26 au 28 mai 2020 pour la première fois exclusivement sous forme numérique. En raison du changement de format de l'événement et de l'utilisation d'une plateforme de conférence en ligne, l'organisateur SerNet est en mesure de proposer tous les exposés sous forme de vidéos à visionner (lien).

Dans cet exposé sur sambaXP 2020, Ingo Meents présente les cas d'utilisation et les exigences des clients d'entreprise pour le serveur de fichiers Samba dans IBM Spectrum Scale. Meents est Protocol Tribe Lead chez IBM Germany Research & Development GmbH.

Résumé

IBM a déployé Samba dans le cadre de solutions de stockage de fichiers depuis de nombreuses années maintenant. Le produit actuel d'IBM s'appelle Spectrum Scale et fournit Samba en cluster à une base mondiale d'entreprises clientes, au-dessus du système de fichiers en cluster d'IBM connu sous le nom de gpfs.

La première partie de l'exposé décrit une sélection d'exigences, de cas d'utilisation et d'améliorations que cette mission a entraînés au cours des dernières années. Cela inclut des sujets comme la contention des fichiers, les listes de contrôle d'accès et le support Mac.

La deuxième partie de l'exposé aborde les nouvelles exigences en matière de mappage d'identité, comme la résolution de groupe côté serveur pour les clients NFS et la demande croissante d'ajouter sssd aux nœuds de serveur Samba en grappe.

Á propos de la "rétrospective 2020 de sambaXP"

Dans cette série, nous présenterons des enregistrements de la sambaXP 2020 du mois à venir. La 19e édition de la conférence internationale sur le logiciel open source Samba a eu lieu du 26 au 28 mai 2020 pour la première fois exclusivement sous forme numérique. En raison du changement de format de l'événement et de l'utilisation d'une plateforme de conférence en ligne, l'organisateur SerNet est en mesure de proposer tous les exposés sous forme de vidéos à visionner (lien).

Comment migrer 515 serveurs d'AD vers Samba ? Cette présentation de Caglar Ulkuderner lors de la conférence sambaXP 2020 apporte une réponse. Ulkuderner est associé directeur de Profelis IT, basé en Turquie. (LinkedIn). 

Résumé

Le gouvernement turc a décidé de passer à la technologie open source vers 2013. Après cette décision, Profelis a travaillé sur un projet de migration de serveurs de bureau et a développé une distribution basée sur OpenSuse appelée Gibux.

Plus de 37 000 postes de travail ont été migrés en 3 ans. Après cette migration, le ministère a approuvé la migration des serveurs AD vers Samba4. Aujourd'hui, 515 serveurs dans le pays utilisent Samba pour l'authentification. C'est l'histoire d'un des plus grands projets de migration open source en Turquie.  

Slides

Á propos de la "rétrospective 2020 de sambaXP"

Dans cette série, nous présenterons des enregistrements de la sambaXP 2020 du mois à venir. La 19e édition de la conférence internationale sur le logiciel open source Samba a eu lieu du 26 au 28 mai 2020 pour la première fois exclusivement sous forme numérique. En raison du changement de format de l'événement et de l'utilisation d'une plateforme de conférence en ligne, l'organisateur SerNet est en mesure de proposer tous les exposés sous forme de vidéos à visionner (lien).