Samba 4.24.0: усиление безопасности Kerberos и исправление уязвимости для шифрования домена

Выпуск Samba 4.24.0 принёс ряд изменений в безопасности Kerberos, ориентированных на развёртывания Active Directory. В релизе устранена уязвимость, расширено аудирование чувствительных атрибутов AD и представлены параметры конфигурации для противодействия двум связанным техникам подмены в Kerberos.

Изменение шифрования по умолчанию вызвано CVE

Наиболее значимое для безопасности изменение в версии 4.24.0 — это смена типов шифрования по умолчанию для Kerberos. Параметр kdc default domain supported enctypes теперь по умолчанию использует AES-128 и AES-256 (конкретно aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96) для доменов, работающих на функциональном уровне 2008 или выше. Это изменение устраняет CVE-2026-20833.

Управление канонизацией Kerberos

Две новые опции конфигурации KDC нацелены на атаку «долларовый билет», при которой злоумышленник, способный создавать произвольные учётные записи компьютеров, получает билеты Kerberos для учётных записей пользователей Unix, имитируя их имена с добавленным знаком доллара.

Опция kdc require canonicalization позволяет администраторам требовать, чтобы клиенты явно запрашивали канонизацию имён участников. Запросы AS_REQ от клиентов, которые этого не делают, будут отклоняться, как если бы учётная запись была неизвестна. По умолчанию значение равно no для обратной совместимости. Клиенты Windows запрашивают канонизацию по умолчанию, поэтому в заметках о выпуске рекомендуется установить это значение в yes в средах с преобладанием Windows.

Для сред, где требование канонизации невозможно, опцию kdc name match implicit dollar without canonicalization можно установить в no. Это отключает поведение KDC, при котором к несовпадающим именам для клиентов, не запрашивавших канонизацию, добавляется знак доллара.

Заметки о выпуске включают рекомендуемую таблицу конфигурации KDC: strong certificate binding enforcement установлено в full, kdc always include pac установлено в yes, и kdc require canonicalization установлено в yes.

PAC всегда включается

Samba 4.24.0 изменяет поведение KDC, заставляя его игнорировать значение PA-PAC-REQUEST, отправляемое клиентами, и по умолчанию включать Сертификат Атрибутов Привилегий (PAC) во все ответы. Предыдущее поведение, при котором KDC учитывал запросы клиентов на исключение PAC, можно восстановить, установив kdc always generate pac = no.

Контроллер домена KDC теперь также передаёт службам канонизированное имя клиента из PAC, используя sAMAccountName, вместо того чтобы доверять полю cname. Это касается только KDC Heimdal; KDC MIT не затронут. Предыдущее поведение можно восстановить с помощью параметра krb5 acceptor report canonical client name = no.

Доверие ключей PKINIT и сопоставление сертификатов

Контроллеры домена Samba AD, использующие встроенный KDC Heimdal, теперь поддерживают вход в систему с помощью Windows Hello for Business на основе доверия ключам. Это реализует аутентификацию PKINIT с использованием самоподписанных ключей, сохраняя данные открытого ключа в атрибуте msDS-KeyCredentialLink. Для поддержки этой функции добавлены две новые подкоманды samba-tool: keytrust для установки и просмотра данных открытого ключа в учётных записях пользователей и компьютеров, и generate-csr для создания запросов на подпись сертификата, включающих расширение Object SID (OID 1.3.6.1.4.1.311.25.2).

Аутентификация на основе сертификатов теперь соответствует требованиям Microsoft KB5014754. Режим по умолчанию (full) разрешает только строгое сопоставление сертификатов. Режим compatibility допускает слабое сопоставление, если сертификат был создан раньше учётной записи пользователя. Настройка none разрешает любые сопоставления. Сертификаты, содержащие расширение Object SID, считаются строгим сопоставлением согласно KB5014754.

Обновления атрибута msDS-KeyCredentialLink проверяются на соответствие правилам, описанным в MS-ADTS 3.1.1.5.3.1.1.6.

Аудит журналов атрибутов аутентификации

Классы отладки dsdb_password_audit и dsdb_password_json_audit теперь регистрируют изменения пяти атрибутов AD: altSecurityIdentities, dNSHostName, msDS-AdditionalDnsHostName, msDS-KeyCredentialLink и servicePrincipalName. В журналах JSON изменения этих атрибутов отображаются с полем действия, установленным в значение Auth info change. В примечаниях к выпуску эти атрибуты описаны как несекретные, но используемые в определённых путях аутентификации, где несанкционированные изменения могут указывать на скрытую активность.

Совместимость удалённого управления паролями

Samba AD теперь поддерживает контроль подсказок политики паролей, применяемый в Microsoft Entra ID для самостоятельного сброса пароля (SSPR) и в Keycloak. Ранее Samba отклоняла запросы на сброс пароля, использовавшие этот контроль. Это изменение означает, что сбросы паролей, инициированные из Entra ID или Keycloak, будут проверяться на соответствие локальным политикам паролей, включая проверки истории и срока действия, точно так же, как и локальная смена пароля.

Дополнения в области хранения данных и ввода-вывода

Со стороны файловой системы модуль vfs_streams_xattr получил возможность распределять один поток по нескольким расширенным атрибутам. Параметр streams_xattr:max xattrs per stream теперь принимает значения больше 1, с пределом в 16, что позволяет работать с потоками размером до 1 МБ в файловых системах, таких как XFS, где размер одного атрибута ограничен 64 КБ.

Новый модуль VFS, vfs_aio_ratelimit, позволяет администраторам устанавливать предельные значения пропускной способности для асинхронных операций ввода-вывода, выраженные либо в операциях в секунду, либо в байтах в секунду. Модуль использует алгоритм на основе токенов для отслеживания нагрузки в реальном времени и вводит задержки в миллисекундах, когда операции превышают заданный порог.

Модуль VFS ceph_new добавил поддержку CephFS FSCrypt, обеспечивая шифрование данных и имён файлов для каждого общего ресурса. Получение ключей использует протокол Keybridge — механизм RPC на основе Varlink, который обменивается данными через UNIX-сокет. Совместимый с KMIP сервер Keybridge доступен в рамках проекта sambacc.