Samba 4.10 : Évolution et nouveautés

par | Avr 16, 2019 | Active Directory

La version 4.10 de Samba Active Directory est maintenant disponible depuis plusieurs jours ! On a réussi à retenir notre impatience de vous en parler pour bien prendre le temps de tester cette toute nouvelle version. Lors d’un article précédent, nous avions emprunté la DeLorean afin de remonter le temps et découvrir l’origine du projet Samba. Il est donc grand temps de reprendre et conclure ce voyage en vous parlant des changements de Samba depuis la 4.0. En route pour déchiffrer les nouveautés de Samba 4.10. C’est parti !

Samba Active Directory : une alternative viable au protocole NT4

Depuis la version 4.0, Samba implémente les fonctions d’un contrôleur de domaine Active Directory. Dès lors, il devient possible de quitter le protocole d’identification et d’authentification NT4 pour une alternative véritablement viable. De plus, Samba 4.0 est également capable de répondre aux exigences de sécurité des organisations, là où le protocole NT4 peine à atteindre le niveau attendu. Avec cette nouvelle version de Samba, les clients Windows 2000 et ultérieurs peuvent finalement rejoindre le domaine et bénéficier des services fournis par le contrôleur de domaine :

  • LDAP
  • KDC
  • NTP
  • DNS interne ou s’appuyant sur Blind-DLZ
  • Kerberos PAC

De plus, Samba 4.0.0 implémente des interfaces codées en Python pour agir sur le coeur de la logique métier codée historiquement en C / C++.

Que choisir entre Active Directory, Workgroup ou protocole NT4 ? Découvrez nos recommandations !

Samba 4.1.0 : Contrôleur de domaine AD et protocole SMB

Les développeurs profitent de la sortie de Samba 4.1.0 pour étoffer les outillages pour les clients d’un contrôleur de domaine AD. Avec cette nouvelle version, Samba exploite désormais les protocoles SMBv2 et SMBv3 pour l’authentification. Il devient alors possible d’abandonner le protocole SMBv1 (pour les versions supérieures) qui n’assure pas une sécurité suffisante vis-à-vis des menaces comme les rançongiciels. Les réplications entre contrôleurs de domaine sont également améliorées dans cette version.

Samba AD : Service de fichiers et contrôleur de domaine AD

À partir de la version 4.2.0 de Samba AD, l’équipe de développement va apporter des améliorations au niveau des services de fichiers, du fonctionnement et de la sécurité du logiciel mais également au niveau des performances du contrôleur de domaine. La fin du support de Samba3 est également annoncée avec la version 4.2.0, qui continue tout de même de supporter le protocole d’identification et d’authentification NT4.

Voici un bref récapitulatif de ce que vous avez pu manquer entre la version 4.2.0 et Samba 4.10. Pour les plus téméraires, vous trouverez un listing détaillé de chaque sortie de Samba dans notre documentation.

Améliorations du service de fichiers :

  • Accès à des fichiers Shadow Copy hébergés sur un partage, permettant alors de revenir sur des versions sauvegardées de l’arborescence du partage de fichiers.
  • Support de SMB 3.1.1, protocole standard d’échange de fichiers apparu avec Windows 10.
  • Prise en charge du module VirusFilter qui s’intègre avec les anti-virus Sophos, F-Secure et ClamAV afin de fournir des fonctions de filtrage sur le serveur de fichiers.

Améliorations du contrôleur de domaine :

  • Chiffrement des échanges RPC entre les contrôleurs de domaine, permettant donc d’éviter les attaques de type MITM.
  • Évolution de la stratégie globale de gestion des mots de passe.
  • Amélioration du KCC, mécanisme qui permet au contrôleur de cartographier la topologie de réplication pour un fonctionnement avec un réseau de grande dimension.
  • Modification de la suppression de contrôleur de domaine défectueux.
  • Support du Last Login / Last Logoff.
  • Amélioration des performances de réplication et du DNS.

Évolution de sécurité :

  • Désactivation par défaut du NTLMv1 pour toute nouvelle implémentation du contrôleur de domaine afin de faire face aux attaques croissantes par rançongiciels.
  • Restriction de la plage des ports utilisés par le service MS-RPC.
  • Chiffrement sur disque des données sensibles.
  • Différentiation des stratégies de mots de passe entre utilisateurs et groupes d’utilisateurs.
  • Mise en place d’audit des événements de l’Active Directory (ouverture de session, ajout d’éléments AD …).
  • Ajout d’un script dans le smb.conf afin de choisir la complexité des mots de passe, fonctionnel sur des machines clientes Windows.

Modification de fonctionnement :

  • Amélioration du KCC pour optimiser la topologie de réplication en fonction des latences et des débits réseau.
  • Création d’une corbeille d’Active Directory pour récupérer les objets supprimés suite à une mauvaise manipulation, par exemple.
  • Support du contrôleur de domaine en lecture seule (RODC) pour permettre aux sites ne disposant pas d’une sécurité physique suffisante d’avoir un DC ne répliquant que les mots de passe des utilisateurs.
  • Amélioration générale du fonctionnement des relations d’approbation.
  • Mise en place d’Automatic Site Coverage pour permettre aux ordinateurs sur un site non équipé d’un contrôleur de domaine de se connecter au contrôleur de domaine le plus proche.
  • Support de bases LMDB pour des domaines avec plus de 100 000 objets (utilisateurs, groupes, ordinateurs …).

Les nouveautés de Samba 4.10

Samba 4.10 apporte également son lot de nouveautés et de correctifs divers (comme toute bonne mise à jour le doit). On vous laisse regarder le changelog officiel de Samba si l’anglais ne vous fait pas peur. De notre côté, voici les nouveautés qui nous ont tapées dans l’oeil :

  • Possibilté d’exporter les GPO d’un domaine dans un fichier XML généralisé afin d’avoir des backups des GPO partiels.
  • La commande « samba-tool domaine backup » dispose maintenant d’une commande « offline » permettant de réaliser une sauvegarde hors ligne de manière sécurisée.
  • Samba 4.10 supporte entièrement Python 3 (désormais utilisé par défaut). Samba 4.10 sera d’ailleurs la dernière version à supporter Python 2.
  • On retrouve également des nouveaux évènements d’audit au coeur des nouveautés de Samba 4.10. Les messages d’authentification contiennent désormais le numéro d’identification d’évènement Windows et le nom d’utilisateur.

Et voilà qui signe la fin de notre escapade temporelle à travers les différentes versions de Samba ! Mais ne soyez pas triste, ce n’est pas la fin de notre voyage pour autant ! En effet, vous pouvez découvrir notre participation au financement de Samba au détour d’un article pour compléter celui-là. Vous pourrez toujours compter sur nous pour vous parler des nouveautés autour de Samba Active Directory !

De plus, maintenant que vous êtes incollable sur l’histoire et les fonctionnalités de Samba Active Directory, qu’est ce qui vous retient vraiment de l’essayer ? Le manque de temps ? La peur de ne pas y arriver peut-être ? Pas de ça entre nous ! Désormais, vous connaissez une super entreprise pour vous épauler dans vos migrations et autres transferts de compétences. Alors, abandonnez vos frais de licences sur le bas-côté et reprenons ensemble la route de l’Active Directory à bord de Samba AD !

Vous avez un projet Active Directory ? Échangez avec nous !

FAQ WAPT 2.5 : La réponse à vos questions

FAQ WAPT 2.5 : La réponse à vos questions

Depuis maintenant plusieurs mois la version WAPT 2.5 est disponible. Retrouvez dans cette FAQ spécifique 10 questions et remarques les plus fréquemment posées.Si vous recevez l'erreur : EWaptCertificateUntrustedIssuer ('Issuer CA certificate CN=blemoigne,C=FR can not...

lire plus
Démonstration

Démo groupée

21/11/2024 : 10h30 - 11h30

Je participe