Вышло апдейт Samba 4.24.0

18 марта 2026 года состоялся релиз Samba 4.24.0. Это продолжение развития ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2008 и способного обслуживать все поддерживаемые Microsoft версии Windows‑клиентов, в том числе Windows 11. Релиз Samba 4.23.0 вышла в сентябре 2025 года.

Подход Samba 4 является многофункциональным серверным продуктом, предоставляющим равным образом реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).

По информации OpenNET и LWN, основные изменения и дополнения в Samba 4.24:

• добавлен новый VFS‑модуль vfs_aio_ratelimit для ограничения интенсивности (rate‑limit) операций асинхронного ввода/вывода (AIO). Ограничения могут задаваться в байтах в секунду или в операциях в секунду. При превышении заданного лимита модуль начинает подставлять искусственные задержки в асинхронные операции для поддержания заданного верхнего порога.

• в VFS‑модуль vfs_ceph_new добавлена поддержка RPC‑протокола Keybridge и режима FSCrypt для шифрования данных и имён файлов в файловой системе CephFS. Возможно включение шифрования на уровне отдельных каталогов.

• в VFS‑модуль vfs_streams_xattr, позволяющий сохранять альтернативные наборы данных NTFS (NTFS alternate data stream) в расширенных атрибутах файлов (xattr) в Linux, добавлена настройка streams_xattr:max xattrs per stream, определяющая допустимое число xattr, применяемых для хранения данных. В Linux размер xattr ограничен 65 536 байтами, но ФС XFS даёт функция привязывать к одному файлу более одного xattr, что позволяет использовать некоторое количество xattr для хранения до 1 МБ альтернативных данных.

• реализована сопровождение аудита информации, связанной с аутентификацией. Добавлены отладочные классы dsdb_password_audit и dsdb_password_json_audit для отражения в логе изменений атрибутов Active Directory: altSecurityIdentities, dNSHostName, msDS‑AdditionalDnsHostName, msDS‑KeyCredentialLink и servicePrincipalName.

• добавлена сопровождение внешних систем управления паролями Microsoft Entra ID и Keycloak, использующих при изменении пароля операцию сброса пароля (SSPR, password reset) без передачи старого пароля в контроллер домена. Для соблюдения политик, контролирующих время действия паролей, при сбросе пароля передаются дополнительные параметры (password policy hints), позволяющие обрабатывать операцию как обычную смену пароля. Теперь Samba учитывает подобные параметры при применении связанных с паролями, локальных политик.

• добавлена поддержка механизма аутентификации Kerberos PKINIT KeyTrust, дающего возможность в контроллерах домена на базе Samba и Heimdal KDC, использовать способ Windows Hello for Business Key‑Trust logons для применения механизма аутентификации PKINIT с самоподписанными ключами. Для добавления и просмотра открытого ключа в утилиту samba‑tool добавлена команда «user|computer keytrust». Сведения об открытом ключе сохраняются в учётной записи при помощи атрибута msDS‑KeyCredentialLink.

• в контроллеры домена на базе Samba и Heimdal KDC добавлена сопровождение расширения протокола Kerberos PKINIT для маппинга ключей (Windows Strong and Flexible key mappings), применяемого при аутентификации по открытым ключам. По умолчанию допускается только точное сопоставление сертификатов (strong certificate binding enforcement = full), но возможно и гибкое сопоставление (strong certificate binding enforcement = compatibility), допускающее сертификаты новее учётной записи пользователя. Данные о маппинге сертификатов для учётной записи сохраняются в атрибуте altSecurityIdentities

• добавлена сопровождение расширения протокола Kerberos PKINIT SID, позволяющего применять при аутентификации сертификаты с идентификатором Object SID. Для подписи сертификатов в утилиту samba‑tool добавлена команда user|computer generate‑csr.

• в реализации KDC (Key Distribution Center) по умолчанию обеспечено возвращение структуры PAC (Privilege Attribute Certificate), содержащей информация о полномочиях пользователя, независимо от того, указано ли поле ввода PA‑PAC‑REQUEST в запросе клиента. Для возвращения старого поведения предусмотрена настройка "kdc always generate pac = no".

• в KDC добавлена настройка "kdc require canonicalization", при выставлении которой в значение yes клиент обязан запрашивать выполнение канонизации имени пользователя при обращении к серверу аутентификации (AS_REQ). Если канонизация не запрошена, сервер вернёт ошибку «пользователь неизвестен». В сетях с пользователями, использующими ОС Windows, активация новой настройки не должно вызвать проблем, так как Windows‑клиенты по умолчанию всегда запрашивают канонизацию.

• обязательная канонизация даёт возможность защититься от атак класса dollar ticket, манипулирующих тем, что имена пользователей могут задаваться по разному ("user" и "user$") и по разному обрабатываться в канонизированном и обычном представлении. Суть атаки в том, что злоумышленник, например, мог создать в AD учётную запись компьютера с именем root$ и применять её для получения у KDC мандата (ticket), отравив в запросе имя пользователя root вместо root$. KDC не найдя пользователя root, обработал бы запрос в контексте пользователя root$ и выдал мандат, который можно применять для подключения под пользователем root через SSH или NFS к Linux‑серверу с SSSD.

• в KDC добавлен обходной вариант защиты от атак «dollar ticket» для конфигураций с отключёнными обязательными запросами канонизации имён («kdc require canonicalization = no», применяется по умолчанию). По умолчанию, если заказчик не запросил выполнение канонизации и проверяемое имя не найдено, сервер выполняет дополнительную проверку, прикрепив символ $ к имени. При помощи новой настройки kdc name match implicit dollar without canonicalization = no можно отключит данное поведение и выполнять только точные проверки (в контексте вышеупомянутой атаки, сервер не станет проверять имя root$ при запросе root).

• в Heimdal KDC по умолчанию включена отправка сервисам Kerberos только канонизированных имён (sAMAccountName из PAC) вместо исходного значения cname. Для возвращения старого поведения предусмотрена настройка «krb5 acceptor report canonical client name = no».

• для блокирования уязвимости CVE-2026-20833 способ шифрования домена в настройках KDC по умолчанию изменён на AES (настройка kdc default domain supported enctypes выставлена в aes128-cts‑hmac‑sha1-96 aes256-cts‑hmac‑sha1-96).