Выпуск Samba 4.24.0

19.03.2026 10:05 (MSK)

После 6 месяцев разработки представлен релиз Samba 4.24.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows Server и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 11. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind). Код проекта написан на языке Си и распространяется под лицензией GPLv3.

Ключевые изменения в Samba 4.24:

Добавлен новый VFS-модуль vfs_aio_ratelimit для ограничения интенсивности (rate-limit) операций асинхронного ввода/вывода (AIO). Ограничения могут задаваться в байтах в секунду или в операциях в секунду. При превышении заданного лимита модуль начинает подставлять искусственные задержки в асинхронные операции для поддержания заданного верхнего порога.
В VFS-модуль vfs_ceph_new добавлена поддержка RPC-протокола Keybridge и режима FSCrypt для шифрования данных и имён файлов в файловой системе CephFS. Возможно включение шифрования на уровне отдельных каталогов.
В VFS-модуль vfs_streams_xattr, позволяющий сохранять альтернативные наборы данных NTFS (NTFS alternate data stream) в расширенных атрибутах файлов (xattr) в Linux, добавлена настройка "streams_xattr:max xattrs per stream", определяющая допустимое число xattr, применяемых для хранения данных. В Linux размер xattr ограничен 65536 байтами, но ФС XFS даёт возможность привязывать к одному файлу более одного xattr, что позволяет использовать несколько xattr для хранения до 1 МБ альтернативных данных.
Реализована поддержка аудита информации, связанной с аутентификацией. Добавлены отладочные классы "dsdb_password_audit" и "dsdb_password_json_audit" для отражения в логе изменений атрибутов Active Directory: altSecurityIdentities, dNSHostName, msDS-AdditionalDnsHostName, msDS-KeyCredentialLink и servicePrincipalName.
Добавлена поддержка внешних систем управления паролями Microsoft Entra ID и Keycloak, использующих при изменении пароля операцию сброса пароля (SSPR, password reset) без передачи старого пароля в контроллер домена. Для соблюдения политик, контролирующих время действия паролей, при сбросе пароля передаются дополнительные параметры ("password policy hints"), позволяющие обрабатывать операцию как обычную смену пароля. Теперь Samba учитывает подобные параметры при применении связанных с паролями, локальных политик.
Добавлена поддержка механизма аутентификации Kerberos PKINIT KeyTrust, дающего возможность в контроллерах домена на базе Samba и Heimdal KDC, использовать метод "Windows Hello for Business Key-Trust logons" для применения механизма аутентификации PKINIT с самоподписанными ключами. Для добавления и просмотра открытого ключа в утилиту samba-tool добавлена команда "user|computer keytrust". Сведения об открытом ключе сохраняются в учётной записи при помощи атрибута msDS-KeyCredentialLink.
В контроллеры домена на базе Samba и Heimdal KDC добавлена поддержка расширения протокола Kerberos PKINIT для маппинга ключей ("Windows Strong and Flexible key mappings"), применяемого при аутентификации по открытым ключам. По умолчанию допускается только точное сопоставление сертификатов ("strong certificate binding enforcement = full"), но возможно и гибкое сопоставление ("strong certificate binding enforcement = compatibility"), допускающее сертификаты новее учётной записи пользователя. Данные о маппинге сертификатов для учётной записи сохраняются в атрибуте altSecurityIdentities
Добавлена поддержка расширения протокола "Kerberos PKINIT SID", позволяющего использовать при аутентификации сертификаты с идентификатором Object SID. Для подписи сертификатов в утилиту samba-tool добавлена команда "user|computer generate-csr".
В реализации KDC (Key Distribution Center) по умолчанию обеспечено возвращение структуры PAC (Privilege Attribute Certificate), содержащей данные о полномочиях пользователя, независимо от того, указано ли поле PA-PAC-REQUEST в запросе клиента. Для возвращения старого поведения предусмотрена настройка "kdc always generate pac = no".
В KDC добавлена настройка "kdc require canonicalization", при выставлении которой в значение "yes" клиент обязан запрашивать выполнение канонизации имени пользователя при обращении к серверу аутентификации (AS_REQ). Если канонизация не запрошена, сервер вернёт ошибку "пользователь неизвестен". В сетях с пользователями, использующими ОС Windows, активация новой настройки не должно вызвать проблем, так как Windows-клиенты по умолчанию всегда запрашивают канонизацию.
Обязательная канонизация позволяет защититься от атак класса "dollar ticket", манипулирующих тем, что имена пользователей могут задаваться по разному ("user" и "user$") и по разному обрабатываться в канонизированном и обычном представлении. Суть атаки в том, что злоумышленник, например, мог создать в AD учётную запись компьютера с именем "root$" и использовать её для получения у KDC мандата (ticket), отравив в запросе имя пользователя "root" вместо "root$". KDC не найдя пользователя "root", обработал бы запрос в контексте пользователя "root$" и выдал мандат, который можно использовать для подключения под пользователем root через SSH или NFS к Linux-серверу с SSSD.
В KDC добавлен обходной вариант защиты от атак "dollar ticket" для конфигураций с отключёнными обязательными запросами канонизации имён ("kdc require canonicalization = no", применяется по умолчанию). По умолчанию, если клиент не запросил выполнение канонизации и проверяемое имя не найдено, сервер выполняет дополнительную проверку, прикрепив символ "$" к имени. При помощи новой настройки "kdc name match implicit dollar without canonicalization = no" можно отключит данное поведение и выполнять только точные проверки (в контексте вышеупомянутой атаки, сервер не станет проверять имя "root$" при запросе "root").
В Heimdal KDC по умолчанию включена отправка сервисам Kerberos только канонизированных имён (sAMAccountName из PAC) вместо исходного значения cname. Для возвращения старого поведения предусмотрена настройка "krb5 acceptor report canonical client name = no".
Для полноценной защиты от атак "dollar ticket" рекомендуется выставить настройки:
```
   strong certificate binding enforcement full
   kdc always include pac yes
   kdc require canonicalization yes
```
Для блокирования уязвимости CVE-2026-20833 метод шифрования домена в настройках KDC по умолчанию изменён на AES (настройка "kdc default domain supported enctypes" выставлена в "aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96").

исправить +4 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/65016-samba

Ключевые слова: samba

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (10)

1.1, Жироватт (ok), 10:59, 19/03/2026 [ответить]	+/–
КД на самбе уже можно использовать при реальном развертывании домена?

2.2, онанист (?), 11:11, 19/03/2026 [^] [^^] [^^^] [ответить]	–2 +/–
неа, кто ж виндовый домен делает при импортозамещении?

2.9, жявамэн (ok), 11:49, 19/03/2026 [^] [^^] [^^^] [ответить]	+/–
наверное лучше все же freeipa использовать

1.3, Аноним (3), 11:17, 19/03/2026 [ответить]	+/–
> совместимого с реализацией Windows 2008 Интересно, насколько этого хватит? Винда 2008 давно уже не поддерживается, 2012 вроде тоже, да и 2016 осталось меньше года. Что если в винде поднимут требуемый уровень реализации кд до винсервер2022 например?

2.4, samba (?), 11:23, 19/03/2026 [^] [^^] [^^^] [ответить]

+/–

Так вы то источник гляньте и не верьте что пишут на заборах

https://wiki.samba.org/index.php/Raising_the_Functional_Levels

2016 начиная с samba 4.20

https://wiki.samba.org/index.php/AD_Schema_Version_Support

и схема до 2022 начиная с samba 4.19

2.7, Аноним (7), 11:36, 19/03/2026 [^] [^^] [^^^] [ответить]	+/–
С Windows Server 2012 нет полной совместимости https://wiki.samba.org/index.php/Windows_2012_Server_compatibility Частично поддерживаются Windows Server 2016, 2019 и 2022, но не полностью, а на уровне отдельных базовых возможностей.

3.8, Аноним (8), 11:43, 19/03/2026 [^] [^^] [^^^] [ответить]

+/–

В документации к Samba написано, что функциональные уровни выше 2008R2 недостаточно стабильны для продакшина:

https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory_Domai

Samba operates at the forest functional level of Windows Server 2008 R2 which is more than sufficient to manage sophisticated enterprises that use Windows 10/11 with strict compliance requirements (including NIST 800-171.). Starting with Samba version 4.19, Samba supports setting a higher functional level. This is still a work in progress so it should not be used in a production environment.

1.5, жявамэн (ok), 11:30, 19/03/2026 [ответить]	+/–
так и не пойму почему родной самбовский клиент при подключении к самбе не использует полного шифрования даже с принудительным протоколов 3_11 винда к той же самбе использует полное шифрование

2.6, жявамэн (ok), 11:35, 19/03/2026 [^] [^^] [^^^] [ответить]	+/–
точнее даже не так только шиндошский клиент использует подписание каждого блока при передаче линуксовый и маковский - нет

1.10, mos87 (ok), 11:58, 19/03/2026 [ответить]	+/–
В конторах так и используют виндовый стек, даже если Линукс на серваке и клиенте. RDP Samba "домен" Samba Шары Samba Принтсервер docx/xlsx

Добавить комментарий

Текст: