Samba 4.11.0: SMB1 nur noch auf Wunsch und bessere Skalierung

Mit Samba 4.11.0 haben die Entwickler SMB1 und unsichere Anmeldeverfahren abgeschaltet. Wer das unsichere Protokoll braucht, kann es aber weiterhin aktivieren.

In Pocket speichern vorlesen Druckansicht 21 Kommentare lesen
Samba-Logo

(Bild: https://www.samba.org)

Lesezeit: 2 Min.
Von
  • Merlin Schumacher

Mit Samba 4.11.0 leiten die Entwickler den Abschied von SMB1 ein: Die veraltete und vor allem unsichere Version des Protokolls ist jetzt standardmäßig aus und muss manuell angeschaltet werden. Standard ist nun mindestens Version 2 von SMB. Bereits seit 2017 gilt SMB1 als unsicher und war das Einfallstor für WannaCry. Microsoft hatte das Protokoll bereits in Windows abgeschaltet.

Im Zuge dessen gelten auch die Authentifizierung mit LanMan und das Anmelden mit Passwörtern im Klartext als veraltet. Beide Optionen arbeiten nur mit SMB1 zusammen. Die Verschlüsselung der Passwörter beim Anmelden ist aber bereits seit Release 3.0.0 Vorgabe. In den Veröffentlichungshinweisen wird darauf hingewiesen, dass Admins die einen plausiblen Anwendungsfall für die beiden Authentifizierungsmethoden haben, einen Bug einreichen können, um deren Entfernung zu verhindern.

Auch vom BIND9_FLATFILE-Modul müssen sich Samba-Admins langsam verabschieden. Es gilt auch als veraltet wird voraussichtlich mit der Version 4.12.0 entfernt. Rausgeflogen sind auch die letzten Reste des Webservers SWAT und Python-2-Unterstützung.

Auch die Vorgabe für das Prozessmodell hat das Samba-Team verändert. Bislang hat der Server für jeden Client einen separaten Prozess erzeugt. In Zukunft kommt das "prefork"-Modell zum Einsatz, bei dem Samba eine festgelegte Menge von Prozessen erzeugt und Client-Verbindungen zwischen diesen verteilt.

Große Active-Directory-Domänen mit 100.000 Usern, 120.000 Maschinenaccounts und komplexen Gruppenmitgliedschaften, sind nun mit Samba möglich. Dafür wurden Datenbankoptimierungen ebenso durchgeführt, wie der Speicherverbrauch des LDAP-Dienstes verringert. Auch der Domänen-Beitritt soll schneller vonstattengehen.

[UPDATE 20.09.2019 14:00: Korrektur zum BIND9_FLATFILE-Modul aufgenommen.] (mls)