Le logiciel libre Samba, qui permet de partager des ressources dans un environnement mixte Windows/Linux/Unix, revient dans une version 4.5. Elle propose de nombreuses améliorations, dont certaines importantes pour la sécurité.
Samba est un logiciel open source connu. Il est issu du travail d’implémentation du protocole SMB de Microsoft, par rétroingénierie. Son objectif initial est de permettre la mise à disposition de ressources (fichiers, imprimantes, etc.) depuis des machines Linux et Unix, pour qu’elles soient accessibles depuis des postes Windows.
Une sécurité plus stricte par défaut
La nouvelle version 4.5, qui vient de paraître, apporte bon nombre de nouveautés. À commencer par un changement important pour la sécurité : par défaut, seule la version 2 du protocole NTLM sera activée, via NTLMSSP. La version 1 n’est plus utilisée, mais l’utilisateur garde le contrôle et peut le réactiver en modifiant le paramètre « ntlm auth » et en rebasculant sur « yes ».
Parmi les nouveautés apportées par cette version, signalons tout d’abord le support du contrôle « LDAP_SERVER_NOTIFICATION_OID » pour le serveur LDAP, qui lui permettra d’interroger la base de données Active Directory pour y détecter des changements. Les mécanismes de cache Lease de SMB 2.1 sont de la partie (actives par défaut), et les verrous OFD (Open File Description) remplacent les POSIX sous Linux.
Amélioration des performances et de la restauration de fichiers
Le module KCC sera désormais utilisé par défaut pour la réplication entre les contrôleurs de domaine en établissant des connexions spécifiques. La réplication n’aura plus besoin d’être complète et Samba promet une amélioration significative des performances sur les grands domaines. Toujours dans ce chapitre, la réplication RDS se veut beaucoup plus efficace avec les attributs liés, particulièrement là encore dans les grands domaines.
En mode contrôleur de domaine Active Directory, les performances ont par ailleurs été améliorées, surtout pour tout ce qui touche à la couche LDAP. Samba 4.5 autorise également la « tombstone reanimation », qui permet de restaurer des objets effacés avec leur identifiant (SIF ou GUID) original. Signalons enfin de nombreuses améliorations dans le domaine des SmartCards.
La liste des nouveautés est particulièrement longue et peut être consulté depuis l’historique des versions sur le site officiel, où l’on trouvera également le lien de téléchargement.
