18 марта 2026 года проект Samba выпустил версию 4.24 — и для любой Команды Linux, работающей в локальной среде Active Directory, этот обновление является обязательным. Усиление безопасности Kerberos в Samba 4.24, использование по умолчанию исключительно шифрования AES и прямое исправление уязвимости CVE-2026-20833 делают это обновление скорее обязательным требованием безопасности, чем просто удобством.
После многих лет, в течение которых проект Samba незаметно обеспечивал взаимодействие между Linux и Windows на миллионах серверов по всему миру, с этим выпуском он посылает четкий сигнал: эпоха терпимости к слабым настройкам аутентификации по умолчанию закончилась. Samba 4.24.0 вышла 18 марта 2026 года, и изменения, включенные в этот выпуск, в значительной степени направлены на укрепление стека Kerberos, лежащего в основе каждого контроллера домена Active Directory, работающего под Linux.
Это не просто очередное обновление. Решение переключить шифрование Kerberos по умолчанию на AES — и устранить при этом реальную, отслеживаемую уязвимость — ставит этот релиз в категорию, требующую внимания со стороны каждой корпоративной команды, управляющей гибридной инфраструктурой Linux/Windows. Прочитайте примечания к выпуску, прежде чем запускать команду обновления.
Объяснение CVE-2026-20833: почему слабые настройки по умолчанию представляли реальную угрозу
Уязвимость, лежащая в основе этого выпуска, не была чем-то экзотическим. Дело сводилось к тому, что по умолчанию KDC Samba согласовывал типы шифрования Kerberos, включающие более слабые алгоритмы, — оставляя дверь открытой для локального злоумышленника, который мог бы воспользоваться процессом криптографического согласования и получить доступ к конфиденциальным данным аутентификации.
Samba 4.24 устраняет эту уязвимость, сделав AES-128 (aes128-cts-hmac-sha1-96) и AES-256 (aes256-cts-hmac-sha1-96) значениями по умолчанию для параметра kdc default domain supported enctypes — но только для доменов, работающих на функциональном уровне Windows Server 2008 или выше. Если ваш домен все еще находится на более старом функциональном уровне, старое поведение сохраняется. На эту лазейку стоит обратить внимание при любом обзоре обновлений.
Существенное изменение: Переход на шифрование Kerberos только с использованием AES приведет к сбою аутентификации для устаревших клиентов, поддерживающих только старые типы шифрования. Перед обновлением проверьте ваши smb.conf и определите все конечные точки, которые не могут согласовывать AES. Внедрение значений по умолчанию, использующих только AES, без проверки совместимости клиентов — это прямой путь к сбою аутентификации в домене.
Атака «Dollar Ticket» — и как версия 4.24 ее предотвращает
Наряду с исправлением CVE команда Samba непосредственно устранила технику подражания Kerberos, которую исследователи неофициально назвали атакой «dollar ticket». Механизм работает следующим образом: в Active Directory учетные записи компьютеров обычно имеют суффикс в виде знака доллара (например, WORKSTATION$). Злоумышленник, способный создавать произвольные учетные записи, может зарегистрировать такую, имя которой с добавлением знака доллара очень похоже на легитимную учетную запись пользователя Unix. Без строгого принудительного применения канонизации имен субъектов KDC можно обманом заставить выдать билеты на неверную идентичность.
В Samba 4.24 введены две новые опции KDC, чтобы предотвратить это. Первая, kdc require canonicalization, позволяет администраторам требовать, чтобы все клиенты Kerberos явно заявляли, что они запрашивают канонизацию имени субъекта — запросы на аутентификацию от клиентов, пропускающих этот шаг, отклоняются, как если бы учетная запись не существовала. Поскольку клиенты Windows уже запрашивают канонизацию по умолчанию, команда Samba рекомендует включить эту опцию в средах с преобладанием Windows. Вторая опция, kdc name match implicit dollar without canonicalization, конкретно контролирует, будет ли KDC добавлять знак доллара, чтобы попытаться сопоставить нераспознанные имена учетных записей — установка значения no перекрывает вектор подражания для сред, где принудительное применение полной канонизации пока невозможно.
️*Изменение поведения PAC:* KDC в Samba 4.24 теперь игнорирует значение PA-PAC-REQUEST от клиентов и всегда включает сертификат атрибутов привилегий (PAC) в ответы. Прежнее поведение — которое учитывало запрос клиента на исключение PAC — можно вручную восстановить, установив kdc always generate pac = no в конфигурации, но команды безопасности должны тщательно проанализировать это решение перед откатом.
«Использование шифрования AES по умолчанию и принудительное применение более строгих привязок сертификатов помогает устранить уязвимости, которые ранее позволяли злоумышленникам использовать более слабые протоколы аутентификации — это надежное обновление для любого сервера, выступающего в качестве контроллера домена, при условии, что администраторы тщательно проверят настройки smb.conf».
— Оценка выпуска Samba, LinuxCompatible.org, март 2026 г.
Краткий обзор нововведений Samba 4.24
| Область функциональности | Что изменилось | Требуются ли действия со стороны администратора? |
|---|---|---|
| Шифрование Kerberos | AES-128 и AES-256 теперь являются стандартными для доменов с функциональным уровнем 2008 (исправление CVE-2026-20833) | Да — проверьте устаревшие клиенты |
| Защита от атак «Dollar Ticket» | Два новых флага KDC: kdc require canonicalization и kdc name match implicit dollar without canonicalization |
Рекомендуется — включить в средах Windows |
| Принудительное использование PAC | KDC всегда выдает PAC независимо от запроса клиента; канонизированный sAMAccountName используется в билетах службы |
Проверьте, существует ли настраиваемая обработка PAC |
| Доверие к ключам PKINIT | Вход с доверием к ключу в Windows Hello for Business теперь поддерживается через samba-tool keytrust и generate-csr |
Необязательно — новая возможность |
| Сопоставление сертификатов | Принудительное применение KB5014754: режим по умолчанию — full (только надежные сопоставления); для надежной привязки требуется расширение SID объекта |
Да — проверка цепочки сертификатов |
| Entra ID / Keycloak SSPR | Samba теперь принимает настройки подсказок политики паролей из Microsoft Entra ID SSPR и сброса паролей Keycloak | Нет — работает автоматически |
| vfs_streams_xattr | Теперь потоки можно разбивать на фрагменты по 16 xattr, что позволяет использовать до 1 МБ на поток в XFS | Опционально — настройка streams_xattr:max xattrs per stream |
| Ограничение скорости AIO | Новый vfs_aio_ratelimit модуль с управлением верхними пределами операций/сек и байт/сек с использованием алгоритма на основе токенов |
Опционально — настраивайте по необходимости |
| CephFS FSCrypt | Шифрование данных и имен файлов для каждого ресурса через модуль ceph_new с использованием извлечения ключей Keybridge/Varlink |
Необязательно — требует настройки Keybridge |
| Ведение журнала аудита | Теперь при изменении регистрируются 5 новых атрибутов AD: altSecurityIdentities, dNSHostName, msDS-KeyCredentialLink и др. |
Нет — автоматически, если включен аудит паролей |
Новые инструменты
samba-tool получает поддержку Windows Hello и сертификатов
Две новые подкоманды расширяют возможности samba-tool таким образом, что системные администраторы, интегрирующие инфраструктуру с современной Windows, сразу же оценят их. Подкоманда keytrust позволяет администраторам просматривать и устанавливать данные открытого ключа для учетных записей пользователей и компьютеров — это основа для поддержки потоков аутентификации Windows Hello for Business Key-Trust, где самоподписанный ключ хранится в атрибуте msDS-KeyCredentialLink, а не полагается на традиционную цепочку центров сертификации.
Подкоманда generate-csr обрабатывает создание запросов на подпись сертификатов, включающих расширение Object SID (OID 1.3.6.1.4.1.311.25.2). Это расширение является ключевым компонентом для достижения «сильного сопоставления» в рамках системы принудительного применения Microsoft KB5014754 — без него ваши сертификаты попадают в категорию более слабого сопоставления, которую Samba 4.24 по умолчанию больше не принимает.
️*Предупреждение о балансировщике нагрузки TLS:* Если ваше развертывание Samba находится за балансировщиком нагрузки с терминацией TLS, операции по изменению паролей LDAP будут поступать на бэкэнд Samba в виде соединений в виде открытого текста. В соответствии с более строгими настройками по умолчанию Samba 4.24 эти изменения могут обрабатываться иначе, чем в аутентифицированной сессии TLS. Администраторы должны явно учесть это в своей архитектуре — не следует предполагать, что поведение пропускания останется неизменным после обновления. Cloud Identity
Сброс паролей Entra ID и Keycloak теперь соответствует вашим локальным политикам
Одно из наиболее практичных преимуществ этого выпуска касается команд, использующих гибридные конфигурации идентификации. Когда конечные пользователи запускают самообслуживание по сбросу пароля через Microsoft Entra ID или Keycloak, ранее в процессе сброса вместе с запросом на изменение отправлялся параметр подсказки политики паролей. Samba отклоняла его — то есть сброс в облаке проходил успешно, без учета локальной истории паролей, ограничений по сроку действия или правил сложности.
Теперь Samba 4.24 распознает и правильно обрабатывает эти элементы управления подсказками. В результате инициированный в облаке SSPR проходит без проблем через механизм локальных политик Samba, при этом применяются те же правила, что и в случае локального изменения пароля пользователем. Для организаций, которые тратили время на создание обходных решений для этой проблемы, это значительное упрощение эксплуатации.
Большие потоки, более интеллектуальный ввод-вывод
Администраторы файловых систем, работающие с общими ресурсами Samba на базе XFS, заметят наиболее ощутимое улучшение хранения. Модуль vfs_streams_xattr ранее достигал предела, поскольку XFS ограничивает размер отдельных значений расширенных атрибутов 64 КБ. Один поток, превышающий этот размер, просто не мог быть сохранен. Samba 4.24 решает эту проблему, позволяя распределять поток по 16 расширенным атрибутам — что контролируется новым параметром streams_xattr:max xattrs per stream — тем самым увеличивая практический предел до 1 МБ на поток.
Новый модуль vfs_aio_ratelimit решает другой класс проблем: неконтролируемые нагрузки асинхронного ввода-вывода. Используя алгоритм управления скоростью на основе токенов, администраторы теперь могут задавать жесткие ограничения, выраженные либо в операциях в секунду, либо в байтах в секунду. При достижении порога модуль вводит задержки на уровне миллисекунд, вместо того чтобы допускать спиральное нарастание очереди ввода-вывода. Для сред с общим хранилищем и смешанными профилями нагрузки такой контроль ограничения пропускной способности может означать разницу между ухудшенным и стабильным ресурсом.
Что касается распределенного хранения, модуль ceph_new VFS теперь поддерживает CephFS FSCrypt — обеспечивая шифрование на уровне ресурса, которое охватывает как данные файлов, так и имена файлов. Ключевой материал извлекается с помощью протокола Keybridge (RPC на основе Varlink, работающий через сокет домена UNIX), при этом для команд, не желающих реализовывать собственный Сервер, доступен KMIP-совместимый сервер Keybridge через проект с открытым исходным кодом sambacc.
Как Samba дошла до этого: краткая история развития безопасности
- Samba 4.0 выпущена как первая версия, способная функционировать в качестве полноценного контроллера домена Active Directory в Linux — это стало важной вехой, открывшей путь к масштабным средам AD без использования Windows.
- Microsoft начинает постепенно отказываться от шифрования RC4 и DES Kerberos в средах Windows, подталкивая предприятия к переходу на AES. Настройки Samba по умолчанию пока не следуют этому примеру, создавая разрыв между контроллерами домена, встроенными в Windows, и размещенными на Linux.
- Microsoft вводит обязательное использование сильного сопоставления сертификатов KB5014754 в средах Windows, повышая планку для аутентификации Kerberos на основе сертификатов во всей Active Directory. Контроллеры AD под Linux начинают испытывать давление, чтобы соответствовать этим требованиям.
- Отслеживается и присваивается CVE-2026-20833 — уязвимость, коренящаяся в либеральном подходе Samba к слабым настройкам шифрования Kerberos по умолчанию. Исправление запланировано на цикл выпуска 4.24.
- Выпущена Samba 4.24.0 — AES становится стандартом по умолчанию, уязвимость CVE исправлена, реализована защита от атак «dollar ticket», а инструмент получает поддержку Windows Hello Key-Trust и Entra ID SSPR в одном выпуске.
Как выполнить обновление
Сами команды установки пакетов просты. В RHEL, Rocky Linux или AlmaLinux запустите dnf update samba. В Ubuntu Server это делает apt update && apt upgrade samba. Но команда — это простая часть; подготовка — это то, на что большинство команд потратит свое время.
Прежде чем приступать к обновлению производственной среды, выполните следующую последовательность действий: откройте файл smb.conf и найдите все явные переопределения kdc default domain supported enctypes; определите каждое клиентское устройство, подключающееся к этому домену, и убедитесь в поддержке AES Kerberos; а если в вашей среде есть учетные записи служб приложений, использующие аутентификацию на основе сертификатов, убедитесь, что эти сертификаты содержат расширение Object SID, или обновите процесс выдачи сертификатов соответствующим образом.
Рекомендуемый контрольный список перед обновлением:
- Убедитесь, что функциональный уровень домена — 2008 или выше.
- Проверьте
kdc default domain supported enctypesв smb.conf. - Протестируйте AES Kerberos на контроллере домена тестовой среды перед переходом в производственную среду.
- Проверьте все сертификаты учетных записей служб на соответствие расширению Object SID.
- Задокументируйте любые конфигурации балансировщика нагрузки TLS, которые прерывают LDAP-соединения до того, как они достигнут Samba.
Что это означает для Linux
Samba всегда имела двойственную идентичность: ее любят небольшие компании за гибкость, а корпоративные команды, которым нужно, чтобы она вела себя точно так же, как контроллер домена Windows, относятся к ней с осторожным уважением. Samba 4.24 представляет собой решительный и обдуманный шаг проекта в сторону корпоративного стандарта — шифрование AES, более строгое принудительное использование сертификатов, поддержка Windows Hello и интеграция с облачными системами идентификации. Это значительный сдвиг в позиции.
Для системных администраторов Linux практический вывод таков: относитесь к этому обновлению так же, как к патчу для контроллера домена Windows, исправляющему известную уязвимость CVE. Прочитайте примечания к выпуску полностью, подготовьтесь к изменению и уделите настройкам сертификатов и Kerberos такое же внимание, какое вы уделяете любой миграции, критичной с точки зрения безопасности. Перед обновлением обязательно сделайте резервную копию!
Комментарии (0)