Samba 4.24: поддержка сброса паролей через Entra ID и усиленная безопасность Kerberos
Обновление Samba 4.24: шаг к современной безопасности Active Directory
Вышла новая версия Samba 4.24 — популярного open-source решения для интеграции Linux/Unix систем с Windows-средами. Обновление ориентировано на корпоративные инфраструктуры и приносит важные изменения в области безопасности, управления идентификацией и взаимодействия с облачными сервисами.
Ключевое нововведение — полноценная поддержка сброса паролей через Microsoft Entra ID (ранее Azure AD), а также серьёзные улучшения в механизмах Kerberos, включая PKINIT и контроль сертификатов.
Эта версия делает Samba ещё ближе к возможностям нативного Active Directory, особенно в гибридных и облачных сценариях.
Поддержка Entra ID: сброс паролей без ограничений
Одним из главных нововведений стала поддержка Self-Service Password Reset (SSPR) через Entra ID. Ранее такие операции могли не работать корректно, так как Samba не обрабатывала специальные параметры политики.
Теперь ситуация изменилась:
- Samba распознаёт механизм policy hints
- соблюдаются локальные политики безопасности (история паролей, сложность)
- исключена возможность обхода ограничений через облачные сервисы
Это означает, что пользователи могут безопасно менять пароль через облако, а администраторы сохраняют полный контроль над политиками.
👉 Ранее такие запросы отклонялись системой, что ограничивало интеграцию с облачными идентификационными сервисами.
Усиление Kerberos: новые стандарты защиты
В Samba 4.24 значительно усилена безопасность Kerberos — ключевого протокола аутентификации.
Основные изменения:
- поддержка PKINIT (аутентификация по сертификатам)
- интеграция с Windows Hello for Business (Key Trust)
- строгие и гибкие сопоставления ключей (certificate mapping)
- поддержка SID в сертификатах
- обязательная генерация PAC в ответах KDC
- возможность принудительной канонизации запросов
Эти улучшения направлены на защиту от современных атак, включая:
- подмену учетных записей
- атаки с использованием Kerberos-билетов
- обход аутентификации через слабые сертификаты
Например, новая опция kdc require canonicalization предотвращает атаки, при которых злоумышленник может выдавать себя за другого пользователя.
PKINIT и Key Trust: переход к безпарольной аутентификации
Samba теперь поддерживает PKINIT Key Trust — технологию, лежащую в основе passwordless-аутентификации.
Что это даёт:
- вход без пароля (например, через Windows Hello)
- использование самоподписанных ключей
- хранение ключей в атрибуте
msDS-KeyCredentialLink
Также появились новые инструменты:
samba-tool keytrust— управление ключамиgenerate-csr— генерация запросов на сертификаты
Это важный шаг к Zero Trust архитектуре и современным подходам к безопасности.
Улучшения хранения данных и атрибутов
Samba 4.24 расширяет возможности работы с расширенными атрибутами:
- увеличен максимальный размер потоков (до ~1 МБ)
- поддержка разбиения данных на несколько xattr
- улучшена обработка альтернативных потоков (streams)
Это особенно важно для:
- файловых серверов
- совместимости с Windows NTFS
- хранения метаданных
Основные нововведения Samba 4.24
В версии реализован ряд ключевых улучшений:
- Поддержка Entra ID SSPR (сброс пароля через облако)
- Улучшенная безопасность Kerberos и PKINIT
- Поддержка Windows Hello (Key Trust)
- Строгие политики сертификатов
- Расширенные возможности KDC
- Улучшенная работа с атрибутами и потоками
Почему это важно для администраторов Linux
Samba остаётся ключевым инструментом для:
- интеграции Linux в Active Directory
- создания контроллеров домена
- управления пользователями и доступом
С выходом 4.24:
- повышается безопасность инфраструктуры
- упрощается интеграция с облаком
- снижается риск атак на Kerberos
- расширяются возможности гибридных сред
Особенно актуально это для компаний, использующих Entra ID и гибридную аутентификацию.
Выводы
Samba 4.24 — это не просто обновление, а серьёзный шаг вперёд в области безопасности и интеграции с облачными сервисами. Поддержка Entra ID SSPR делает её актуальной для современных инфраструктур, а улучшения Kerberos закрывают важные уязвимости.
Если вы используете Samba в роли контроллера домена или файлового сервера — обновление до версии 4.24 выглядит практически обязательным с точки зрения безопасности и совместимости.
Часто задаваемые вопросы
Что нового в Samba 4.24?
Добавлена поддержка сброса паролей через Entra ID, усилена безопасность Kerberos, внедрён PKINIT и улучшена работа с сертификатами.
Поддерживает ли Samba 4.24 Windows Hello?
Да, благодаря поддержке Key Trust и PKINIT теперь возможна интеграция с Windows Hello for Business.
Можно ли использовать Samba 4.24 в гибридной инфраструктуре?
Да, версия отлично подходит для работы с Entra ID и локальным Active Directory одновременно.
Зачем нужна канонизация Kerberos-запросов?
Она предотвращает атаки подмены пользователей и повышает безопасность аутентификации.
Насколько важны изменения в Kerberos?
Критически важны — они закрывают потенциальные уязвимости и делают систему соответствующей современным требованиям безопасности.
Редактор: AndreyEx
Важно: Данная статья носит информационный характер. Автор не несёт ответственности за возможные сбои или ошибки, возникшие при использовании описанного программного обеспечения.
