Blog

"The way to modern Kerberos features" est le titre de la présentation de Stefan Metzmacher lors de sambaXP 2020. Metzmacher fait partie de Sernet's Team Samba and also a member of the l'éuipe internationale Samba Team.

Résumé

• Utilisation de S4U2Self dans winbindd
• Les limites des bibliothèques kerberos existantes
• Les défis de l'ajout de nouvelles fonctionnalités aux bibliothèques kerberos
• Test de Kerberos avec Python

(Présentation en PDFS)

Á propos de la "rétrospective 2020 de sambaXP"

Dans cette série, nous présenterons des enregistrements de la sambaXP 2020 du mois à venir. La 19e édition de la conférence internationale sur le logiciel open source Samba a eu lieu du 26 au 28 mai 2020 pour la première fois exclusivement sous forme numérique. En raison du changement de format de l'événement et de l'utilisation d'une plateforme de conférence en ligne, l'organisateur SerNet est en mesure de proposer tous les exposés sous forme de vidéos à visionner (lien).

Michael Adam est à la recherche de "Une étape pour Samba à l'ère de la plateforme de conteneurs !" dans son exposé de sambaXP 2020 talk. Adam est un membre de longue date de l'équipe Samba et travaille comme Senior Manager Software Engineering chez Red Hat (LinkedIn).

Résumé

Ces derniers temps, les plateformes d'applications de conteneurs, en particulier kubernetes, sont devenues extrêmement populaires. Elles ont par exemple dépassé en popularité le système d'exploitation de cloud centré sur les machines virtuelles, OpenStack. Contrairement aux environnements de machines virtuelles qui exécutent une variété de systèmes d'exploitation et ont donc également des cas d'utilisation naturels pour Samba, les plateformes de conteneurs exécutent généralement un seul système d'exploitation (noyau) et n'offrent donc pas un espace très évident pour Samba, dont l'objectif principal est d'agir comme un agent entre différents systèmes d'exploitation. Y a-t-il encore une place pour Samba au pays des conteneurs ?

Cette présentation commence par une introduction aux concepts de stockage de kubernetes et de la norme CSI (container storage interface), qui les généralise à d'autres plateformes de conteneurs. Elle expliquera les rôles du stockage de fichiers, de blocs et d'objets dans kubernetes et montrera ensuite comment un système de stockage distribué défini par logiciel, comme ceph ou gluster, est intégré à kubernetes, s'exécute aux côtés des applications consommatrices et est géré par ce qu'on appelle des "opérateurs", fournissant un libre-service de stockage pour les applications.

A partir de là, la présentation explore quelques opportunités très intéressantes et peut-être surprenantes pour Samba dans cet environnement. Les détails sont omis dans ce résumé afin de maintenir le suspense. (Slides)

Á propos de la "rétrospective 2020 de sambaXP"

Dans cette série, nous présenterons des enregistrements de la sambaXP 2020 du mois à venir. La 19e édition de la conférence internationale sur le logiciel open source Samba a eu lieu du 26 au 28 mai 2020 pour la première fois exclusivement sous forme numérique. En raison du changement de format de l'événement et de l'utilisation d'une plateforme de conférence en ligne, l'organisateur SerNet est en mesure de proposer tous les exposés sous forme de vidéos à visionner (lien).

Alexander Bokovoy et Florence Blanc-Renaud (tous deux de RedHat) parlent des "défis du catalogue global FreeIPA" dans cette présentation de sambaXP 2020. Bokovoy est membre de l'équipe Samba depuis 2003 et développeur principal de FreeIPA depuis 2011 ; Blanc-Renaud est ingénieur en technologie des serveurs LDAP depuis 2007 et développeur principal de FreeIPA depuis 2016.

Résumé

Lors de sambaXP 2017, Alexandre Bokovoy et Florence Blanc-Renaud ont fait état d'une première avancée dans la mise à disposition du service Global Catalog dans le cadre du déploiement de FreeIPA. Trois ans plus tard, le service Global Catalog dans FreeIPA devient une réalité. Dans cet exposé, ils font la démonstration d'un service Global Catalog opérationnel et se penchent sur les défis qu'ils ont dû relever pour faire correspondre FreeIPA au monde Active Directory sans être un contrôleur de domaine Active Directory. L'utilisation des services Samba par FreeIPA continue d'exercer l'infrastructure Samba d'un point de vue qui n'est pas communément expérimenté et bien testé. Enfin, les différences sémantiques rencontrées par Bokovoy et Blanc-Renaud à travers de multiples protocoles et leurs implémentations dans des produits open source et propriétaires représentent une bonne leçon dans les efforts d'interopérabilité. (Slides)

Á propos de la "rétrospective 2020 de sambaXP"

Dans cette série, nous présenterons des enregistrements de la sambaXP 2020 du mois à venir. La 19e édition de la conférence internationale sur le logiciel open source Samba a eu lieu du 26 au 28 mai 2020 pour la première fois exclusivement sous forme numérique. En raison du changement de format de l'événement et de l'utilisation d'une plateforme de conférence en ligne, l'organisateur SerNet est en mesure de proposer tous les exposés sous forme de vidéos à visionner (lien).

Les paquets SAMBA+ 4.12.7, 4.11.13 et 4.10.18 viennent d'être publiés par SerNet. Il s'agit de versions de sécurité importantes concernant "ZeroLogon". Veuillez mettre à jour les systèmes affectés dès que possible. Les paquets sont disponibles pour diverses plateformes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX.

Les paquets traitent le problème suivant:

• Prise de contrôle de domaine non authentifié via netlogon ("ZeroLogon")
  Un attaquant non authentifié sur le réseau peut obtenir un accès administrateur en exploitant une faille du protocole netlogon.
  https://www.samba.org/samba/security/CVE-2020-1472.html

Les nouveaux paquets SAMBA+ 4.12.7 traitent également le problème suivant:

• Bug 14399 Remplissage de la RAM du serveur lors de l'écriture sur le partage depuis macOS
  https://bugzilla.samba.org/show_bug.cgi?id=14399

Les paquets rpm sernet-samba sont signés avec la clé de construction gpg de SerNet pour garantir leur authenticité. Si vous avez installé le paquet clé sernet-build-key-1.4-8, la vérification peut échouer en raison d'un problème de rpm. Après avoir installé la nouvelle version sernet-build-key-1.4-9, le problème doit être corrigé manuellement.

Si vous êtes concerné, veuillez d'abord supprimer les clés SerNet Samba du trousseau de clés rpm avec la commande suivante:
# rpm --allmatches -e gpg-pubkey-f4428b1a
# rpm --allmatches -e gpg-pubkey-1b6d0337

Ensuite, utilisez la commande suivante pour importer la clé dans le trousseau de clés rpm:
# rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-SerNet-Samba-Team-F4428B1A \
    /etc/pki/rpm-gpg/RPM-GPG-KEY-SerNet-Samba-Team-1B6D0337

Les paquets SAMBA+ et toutes les versions ultérieures sont disponibles sous forme d'abonnement logiciel. Ils peuvent être achetés dans la boutique SAMBA+, des informations détaillées et les prix sont indiqués sur https://shop.samba.plus. Les abonnements sont gérés sur notre plateforme OPOSSO (https://oposso.samba.plus). Les utilisateurs peuvent y activer leurs abonnements et gérer leurs identifiants d'accès. Les nouveaux paquets SAMBA+ sont inclus dans les abonnements existants.

L'équipe Samba a été informée d'un problème qui s'applique à Samba utilisé comme contrôleur de domaine uniquement (à la fois en tant que DC classique/NT4 et en tant que DC de directive active). Veuillez lire attentivement le texte suivant, que nous publions également ici: 

Des utilisateurs de Samba ont signalé que l'exploit pour "ZeroLogin" passe contre Samba. Samba dispose d'une certaine protection contre ce problème car, depuis Samba 4.8, la valeur par défaut est 'server schannel = yes'. Les utilisateurs qui ont modifié cette valeur par défaut sont avertis par la présente que Samba implémente fidèlement le protocole AES de connexion au réseau et qu'il est donc victime du même défaut dans la conception du système de cryptage.

Les fournisseurs prenant en charge Samba 4.7 et les versions inférieures doivent mettre à jour leurs installations et leurs paquets pour modifier cette valeur par défaut, comme les valeurs de:

• server schannel = no
• server schannel = auto

ne sont PAS sûres et nous pensons qu'elles peuvent entraîner la compromission d'un domaine complet, en particulier pour les domaines AD.

Certains tests d'exploitation publics, tels que https://github.com/SecuraBV/CVE-2020-1472/blob/master/zerologon_tester.py confirment uniquement qu'un appel ServerAuthenticate3 fonctionne, mais pas que l'appel ServerPasswordSet2 nécessaire pour exploiter le domaine fonctionne également.

Comme Microsoft, nous suggérons que "server schannel = yes" soit défini pour un fonctionnement sécurisé. Il s'agit de notre équivalent de la clé de registre FullSecureChannelProtection=1 de Microsoft, à la différence qu'elle est déjà activée par défaut dans toutes les versions majeures de Samba publiées au cours des trois dernières années.

Enfin, notons que la journalisation de l'audit de Samba enregistrera les appels ServerAuthenticate3 et ServerPasswordSet, y compris l'IP source, des détails seront fournis plus tard sur les options à activer.

Il semble que certains logiciels anciens exigent toujours "server schannel = auto". Voir les bogues suivants:

• https://bugzilla.samba.org/show_bug.cgi?id=11892
• https://bugzilla.samba.org/show_bug.cgi?id=13464
• https://bugzilla.samba.org/show_bug.cgi?id=13949

Nous allons ajouter un renforcement supplémentaire qui permettra aux administrateurs d'utiliser "server schannel = yes" de manière globale et de définir des exceptions uniquement pour des comptes informatiques spécifiques. Notre progression peut être suivie via ce bogue: https://bugzilla.samba.org/show_bug.cgi?id=14497