SAMBA+
SerNet

Blog

Mises à jour de sécurité SAMBA+ 4.24.3, 4.23.8 et 4.22.10

SerNet vient de publier les paquets SAMBA+ 4.24.3, 4.23.8 et 4.22.10. Il s'agit de mises à jour de sécurité importantes ; veuillez mettre à jour les systèmes concernés dès que possible. Les paquets sont disponibles pour diverses plateformes SUSE et Red Hat, ainsi que pour Debian GNU/Linux, Ubuntu et AIX.

Ces paquets corrigent les problèmes suivants :

Les instructions d'accès aux paquets et de mise à niveau sont disponibles dans la collection de guides pratiques SAMBA+. Si vous effectuez une mise à niveau à partir d'une version de SAMBA+ antérieure à la version 4.21 et que vous utilisez vos propres scripts ou ceux de tiers qui s'appuient sur les modules Python de Samba, vous devez installer le paquet sernet-samba-python3 après la mise à niveau sur les systèmes Debian ou Ubuntu. Les systèmes basés sur RHEL et SUSE ne sont pas concernés.

Les paquets SAMBA+ sont disponibles sous forme d'abonnements logiciels dans les boutiques SAMBA+ :

Pour toute question ou pour demander un devis, veuillez nous contacter.

Un pont entre l'environnement sur site et le cloud : une interaction réussie entre Samba AD et Entra ID
[Translate to Français:] Success Story: Samba AD meets Entra ID


Tout a commencé par un choix architectural clair : garder la gestion de l'identité sur site sous notre propre contrôle tout en utilisant Microsoft 365 dans le cloud. 

Tel était le défi que la société Qudora Technologies GmbH a lancé à SerNet. QUDORA est une entreprise leader dans le domaine de l’informatique quantique full-stack, dont le siège se trouve en Allemagne. Sa technologie propriétaire Near-Field Quantum Control (NFQC®) combine un contrôle ultraprécis des qubits avec des temps de cohérence très longs, améliorant ainsi considérablement les performances par qubit. Les systèmes de calcul quantique de QUDORA sont conçus pour s'intégrer de manière transparente dans les infrastructures industrielles existantes, y compris les déploiements sur site pour les centres de calcul haute performance (HPC). Avec des sites à Brunswick et à Hambourg, QUDORA rend le calcul quantique accessible à un éventail plus large d'applications et de secteurs.

Qudora s'est tourné vers SerNet, car ce spécialiste de l'open source basé à Göttingen allie le développement en amont de Samba à une expertise pratique en matière d'intégration dans les environnements Samba et Microsoft.

Aperçu du projet

  • Annuaire d'autorité local : Contrôleur de domaine Samba Active Directory
  • Services cloud : Microsoft 365 (Exchange Online, SharePoint, Teams)
  • Moteur de synchronisation : Microsoft Entra Connect (unidirectionnel : local → cloud)
  • Exigence principale : les attributs pertinents pour Exchange doivent être disponibles et corrects dans Samba AD
  • Objectif : configuration hybride prête pour la production

Architecture : l'environnement sur site reste déterminant

La question centrale était simple : un domaine Samba AD peut-il être synchronisé correctement avec Microsoft Entra ID à l'aide d'Entra Connect – y compris les attributs pertinents pour Exchange ?

Dans de nombreux environnements réels, les exigences d’Exchange Teams ont par le passé poussé à « simplement utiliser Windows pour AD », car Exchange Online (et les modèles hybrides associés) attendent certaines classes d’objets et certains attributs.

Qudora a cherché à mettre en place une architecture différente, qui prend au sérieux les exigences en matière de souveraineté numérique : Samba AD reste la source de référence, Microsoft 365 utilise des identités synchronisées, et les administrateurs gèrent les utilisateurs à partir d’un seul et même endroit.

“

Le cœur technique : intégrer les attributs Exchange dans Samba AD

Le défi ne consistait pas à « faire fonctionner la synchronisation ». Le défi consistait à répondre aux exigences liées au schéma et aux attributs d’Exchange.

Exchange Online s’appuie généralement sur des attributs et des structures tels que :

  • proxyAddresses
  • mail
  • targetAddress
  • plusieurs attributs msExch*
  • Objets d'organisation Exchange / classes associées

Pour répondre à ces exigences avec Samba comme seul contrôleur de domaine AD, le projet a nécessité :

  1. Extension du schéma LDAP dans Samba AD avec des classes d'objets et des attributs pertinents pour Exchange
  2. Des modifications ciblées du code Samba afin que ces objets soient traités correctement
  3. Un dépannage au niveau des journaux (traces réseau + journaux de débogage détaillés) pour confirmer ce qu'Entra Connect demandait réellement et comment Samba y répondait

C'est là que la composition de l'équipe de SerNet s'est particulièrement fait sentir :

  • Björn Jacke (intégrateur au sein de l'équipe Samba de SerNet) a dirigé la mise en œuvre côté AD et coordonné les exigences relatives à Samba AD/DC.
  • Stefan Metzmacher (développement du noyau Samba) a retracé le comportement jusqu'aux chemins de code concernés et a implémenté les corrections.
  • Carl Massiang (intégrateur au sein de l'équipe Infrastructures sécurisées de SerNet) a mis en œuvre la configuration Entra Connect et s'est chargé des travaux d'intégration pour Microsoft 365 / Exchange Online.

Les modifications qui en ont résulté ont été intégrées dans le code en amont, afin que l'ensemble de la communauté Samba puisse en bénéficier.

Un point important tiré de la pratique : du point de vue d’Entra ID, le système se comportait comme un environnement Active Directory standard. Entra « ne se souciait pas » du fait que le contrôleur de domaine (DC) était Samba.

La solution en action

Après la mise en œuvre, le processus opérationnel était clair et reproductible :

  1. Créer/gérer les utilisateurs dans l'AD Samba local (l'annuaire de référence).
  2. Définir les attributs pertinents pour Exchange dans l'AD Samba.
  3. Entra Connect synchronise les objets dans un seul sens (local → Entra ID).
  4. Microsoft 365 configure automatiquement la boîte aux lettres Exchange Online sur la base de l'identité et des attributs synchronisés.

Cette configuration ne nécessitait pas de serveur Exchange local. Aucun domaine Windows supplémentaire n'a été ajouté, ce qui évite une double gestion des identités. Un seul serveur membre Windows est nécessaire pour le service Entra Connect Sync. 

Ce qui a changé pour Qudora

Cette implémentation a fourni une architecture d'identité hybride présentant les caractéristiques suivantes :

  • source unique de vérité (AD Samba local)
  • prêt pour le cloud pour les services Microsoft 365
  • schéma correct pour les exigences d'Exchange Online
  • stable et reproductible en production

Dans un projet ultérieur avec une autre entreprise, la même approche a été appliquée à un scénario hybride avec un serveur Exchange local, dans lequel les contrôleurs de domaine doivent évaluer correctement certaines stratégies afin que les objets Exchange puissent être déployés comme prévu. Ce scénario a également pu être mis en œuvre sur la base du schéma étendu.

Envisagez-vous un projet similaire ?

Si vous utilisez Samba AD et souhaitez vous connecter à Microsoft 365 ou si vous devez sécuriser une configuration hybride existante, contactez SerNet. Nous examinons votre modèle d’annuaire et votre schéma, validons les exigences en matière d’attributs Exchange, concevons l’architecture Entra Connect et la mettons en œuvre de bout en bout – y compris un dépannage complet si le problème dépasse le cadre de la configuration.

Remarque sur la souveraineté numérique :  En fonction de vos besoins, SerNet conçoit et met également en œuvre des alternatives souveraines sans services cloud Microsoft – sur site ou chez des fournisseurs européens – en particulier lorsque l'emplacement des données, les exigences réglementaires ou les considérations de risque (y compris des questions telles que le US-CLOUD Act) font partie de la décision.

SerNet peut le faire – n'hésitez pas à nous contacter.

SAMBA+ 4.24.2 disponible pour plusieurs plateformes

SAMBA+ 4.24.2 a été publié pour les plateformes SUSE et Red Hat, ainsi que pour Debian GNU/Linux, Ubuntu et AIX. Les nouveaux paquets sont inclus dans les abonnements SAMBA+ existants.

SAMBA+ 4.24.2 est une version corrective basée sur la dernière version stable de la série Samba 4.24. Elle contient des corrections pour plusieurs problèmes signalés depuis Samba 4.24.1, notamment des améliorations concernant Winbind, CTDB, GlusterFS, les fichiers hors ligne Windows, le traitement des instantanés ZFS, les relations de confiance et le composant ngtcp2 fourni. Vous trouverez la liste complète des modifications dans les notes de version officielles de Samba : https://www.samba.org/samba/history/samba-4.24.2.html

Vous trouverez des instructions pour accéder aux paquets et aux mises à jour dans la collection de guides pratiques SAMBA+.

Remarque : si vous effectuez une mise à niveau à partir d'une version de SAMBA+ antérieure à la version 4.21 et que vous utilisez des scripts, qu'ils soient de votre cru ou tiers, basés sur les modules Python de Samba, vous devez installer le paquet sernet-samba-python3 après la mise à niveau vers SAMBA+ 4.23 sur les systèmes Debian ou Ubuntu. Les systèmes basés sur RHEL et SUSE ne sont pas concernés.

Les paquets SAMBA+ sont disponibles sous forme d'abonnements logiciels dans les boutiques SAMBA+ :

Pour toute question supplémentaire ou pour demander un devis, veuillez nous contacter.

Opening Samba to a Wilder World : toutes les conférences de sambaXP 2026 en vidéo
Thumbnail Keynote sambaXP 2026

Les enregistrements de sambaXP 2026 sont désormais disponibles. Elles regroupent les présentations de la 25e conférence internationale des utilisateurs et développeurs de Samba, qui s'est tenue les 20 et 21 avril 2026 à Göttingen. Découvrez la playlist complète sur YouTube.

La conférence de cette année a offert un aperçu ciblé des travaux en cours autour de Samba, SMB et de l'écosystème d'interopérabilité au sens large. Les présentations ont porté sur Samba AD dans des réseaux réels, SMB via QUIC, SMB-Direct, les améliorations apportées au client SMB3.1.1, l'authentification et l'autorisation, Winbind avec Kerberos S4U2SELF, CTDB, le développement VFS, OpenRSAT, l'intégration de FreeIPA et d'Active Directory, ainsi que les travaux de sécurité en cours sur Samba AD.

Le stockage et les performances ont également été des thèmes importants, avec des présentations sur Samba et Ceph, notamment l'accès SMB à Ceph RGW, les déploiements SMB basés sur CephFS et SMB Multichannel dans IBM Storage Scale.

Le discours d'ouverture de Volker Lendeckes discours d'ouverture « 25 ans de sambaXP » a donné le ton de la conférence. Ce qui a commencé comme une rétrospective des 25 éditions de sambaXP s’est transformé en un tour d’horizon complet des étapes clés de l’histoire de Samba – des premiers travaux sur SMB jusqu’à Samba 4 et aux structures qui caractérisent le projet aujourd’hui.

sambaXP 2026 était également étroitement lié au SNIA SMB3 IO Lab EMEA. Organisé par la SNIA avec le soutien de Microsoft, l’IO Lab a offert un cadre pratique pour les tests d’interopérabilité SMB3, les travaux sur les protocoles et la collaboration directe sur des implémentations réelles. Alors que sambaXP proposait des conférences et des discussions publiques, l’IO Lab poursuivait ce travail dans un environnement de test dédié. Cette combinaison est au cœur de sambaXP, où conférences techniques, échanges directs et interopérabilité pratique se rejoignent en un seul lieu. Elle reflète également la manière dont Samba continue d’évoluer.

sambaXP est organisé par SerNet et constitue depuis 2002 un lieu de rencontre pour l'équipe Samba, les développeurs, les utilisateurs et les fournisseurs. L'édition 2026 a été rendue possible grâce au soutien des sponsors de cette année : Microsoft, Tranquil IT et SerNet.

Sortie de SAMBA+ 4.24.0 – Première version de la nouvelle série majeure

SerNet a publié SAMBA+ 4.24.0 pour les plateformes SUSE et Red Hat, ainsi que pour Debian GNU/Linux, Ubuntu et AIX. Cette version est la première de la nouvelle branche majeure 4.24.

Outre diverses améliorations générales, cette version offre des fonctionnalités Kerberos étendues. Cela inclut la prise en charge des connexions Key-Trust Windows Hello for Business ainsi que des options avancées pour la gestion des mots de passe à distance, telles que des fonctionnalités de réinitialisation de mot de passe pouvant être intégrées à Entra ID ou Keycloak.

Vous trouverez un aperçu complet de toutes les modifications et améliorations dans les notes de version officielles :

https://www.samba.org/samba/history/samba-4.24.0.html

Vous trouverez des instructions pour accéder aux paquets et effectuer la mise à niveau dans la collection de guides pratiques SAMBA+. Remarque : si vous effectuez une mise à niveau à partir d'une version de SAMBA+ antérieure à la version 4.21 et que vous utilisez des scripts personnalisés ou tiers qui utilisent les modules Python de Samba, vous devez installer le paquet sernet-samba-python3 après la mise à niveau vers SAMBA+ 4.23 sur les systèmes Debian ou Ubuntu. Les systèmes basés sur RHEL et SUSE ne sont pas concernés.

Les paquets SAMBA+ sont fournis sous forme d'abonnement et sont disponibles dans la boutique SAMBA+ :

Si vous disposez déjà d'un abonnement actif, vous êtes couvert : les nouveaux paquets 4.24.0 y sont inclus. Si vous avez des questions concernant les licences ou l'achat, ou si vous avez besoin d'aide pour la mise à jour, nous sommes là pour vous aider. N'hésitez pas à contacter l'équipe SAMBA+ chez SerNet.

Contact us
Contact
Deutsch English Français