Samba 4.10 : Évolution et nouveautés

par | Avr 16, 2019 | Active Directory

La version 4.10 de Samba Active Directory est disponible depuis plusieurs jours ! On a réussi à retenir notre impatience de vous en parler pour prendre le temps de tester cette toute nouvelle version. Lors d’un article précédent, nous avions emprunté la DeLorean pour remonter le temps et découvrir l’origine du projet SambaIl est grand temps de reprendre et conclure ce voyage en vous parlant des changements de Samba depuis la 4.0. En route pour déchiffrer les nouveautés de Samba 4.10. C’est parti !

Samba Active Directory : une alternative viable au protocole NT4

La version 4.0 de Samba implémente les fonctions d’un contrôleur de domaine Active Directory. Dès lors, il devient possible de quitter le protocole d’identification et d’authentification NT4 pour une alternative véritablement viable. De plus Samba 4.0 est capable de répondre aux exigences de sécurité des organisations, là où le protocole NT4 peine à atteindre le niveau attendu. Avec cette nouvelle version de Samba, les clients Windows 2000 et ultérieurs peuvent rejoindre le domaine et bénéficier des services fournis par le contrôleur de domaine :

  • LDAP
  • KDC
  • NTP
  • DNS interne ou s’appuyant sur Blind-DLZ
  • Kerberos PAC

De plus, Samba 4.0.0 implémente des interfaces codées en Python pour agir sur le coeur de la logique métier codée historiquement en C / C++.

Que choisir entre Active Directory, Workgroup ou protocole NT4 ? Découvrez nos recommandations !

Samba 4.1.0 : Contrôleur de domaine AD et protocole SMB

Les développeurs profitent de la sortie de Samba 4.1.0 pour étoffer les outillages pour les clients d’un contrôleur de domaine AD. Avec cette nouvelle version, Samba exploite les protocoles SMBv2 et SMBv3 pour l’authentification. Il devient alors possible d’abandonner le protocole SMBv1 (pour les versions supérieures) qui n’assure pas une sécurité suffisante vis-à-vis des menaces comme les rançongiciels. Les réplications entre contrôleurs de domaine sont également améliorées dans cette version.

Samba AD : Service de fichiers et contrôleur de domaine AD

À partir de la version 4.2.0 de Samba AD, l’équipe de développement va apporter des améliorations au niveau des services de fichiers, du fonctionnement et de la sécurité du logiciel mais également au niveau des performances du contrôleur de domaine. La fin du support de Samba3 est annoncée avec la version 4.2.0, qui continue tout de même de supporter le protocole d’identification et d’authentification NT4.

Voici un bref récapitulatif de ce que vous avez pu manquer entre la version 4.2.0 et Samba 4.10. Pour les plus téméraires, vous trouverez un listing détaillé de chaque sortie de Samba dans notre documentation.

Service de fichiers :

  • Support de l’accès à des fichiers Shadow Copy hébergés sur un partage, permettant de revenir sur des versions sauvegardées de l’arborescence du partage de fichiers.
  • Support de SMB 3.1.1, protocole standard d’échange de fichiers apparu avec Windows 10.
  • Support du module VirusFilter qui s’intègre avec les anti-virus Sophos, F-Secure et ClamAV pour fournir des fonctions de filtrage sur le serveur de fichiers.

Contrôleur de domaine :

  • Chiffrement des échanges RPC entre les contrôleurs de domaine, permettant d’éviter les attaques de type MITM.
  • Amélioration de la stratégie globale de gestion des mots de passe.
  • Amélioration du KCC, mécanisme qui permet au contrôleur de cartographier la topologie de réplication pour un fonctionnement avec un réseau de grande dimension.
  • Amélioration de la suppression de contrôleur de domaine défectueux.
  • Support du Last Login / Last Logoff.
  • Amélioration des performances de réplication et du DNS.

Sécurité :

  • Désactivation par défaut du NTLMv1 pour toute nouvelle implémentation du contrôleur de domaine pour faire face aux attaques croissantes par rançongiciels.
  • Restriction de la plage des ports utilisés par le service MS-RPC.
  • Chiffrement sur disque des données sensibles.
  • Différentiation des stratégies de mots de passe entre utilisateurs et groupes d’utilisateurs.
  • Mise en place d’audit des événements de l’Active Directory (ouverture de session, ajout d’éléments AD …).
  • Ajout d’un script dans le smb.conf permettant de choisir la complexité des mots de passe, fonctionnel sur des machines clientes Windows.

Fonctionnement :

  • Amélioration du KCC pour optimiser la topologie de réplication en fonction des latences et des débits réseau.
  • Création d’une corbeille d’Active Directory pour récupérer les objets supprimés suite à une mauvaise manipulation.
  • Support du contrôleur de domaine en lecture seule (RODC) pour permettre aux sites ne disposant pas d’une sécurité physique suffisante d’avoir un DC ne répliquant que les mots de passe des utilisateurs.
  • Amélioration générale du fonctionnement des relations d’approbation.
  • Mise en place d’Automatic Site Coverage pour permettre aux ordinateurs sur un site non équipé d’un contrôleur de domaine de se connecter au contrôleur de domaine le plus proche.
  • Support de bases LMDB pour des domaines avec plus de 100 000 objets (utilisateurs, groupes, ordinateurs …).

Les nouveautés de Samba 4.10

Samba 4.10 apporte son lot de nouveautés et de correctifs diverses (comme toute bonne mise à jour le doit). On vous laisse regarder le changelog officiel de Samba si l’anglais ne vous fait pas peur. De notre côté, voici les nouveautés qui nous ont tapées dans l’oeil :

  • Possibilté d’exporter les GPO d’un domaine dans un fichier XML généralisé permettant le backup des GPO partiels.
  • La commande « samba-tool domaine backup » dispose maintenant d’une commande « offline » permettant de réaliser une sauvegarde hors ligne de manière sécurisée.
  • Samba 4.10 supporte entièrement Python 3 (désormais utilisé par défaut). Samba 4.10 sera d’ailleurs la dernière version à supporter Python 2.
  • On retrouve également des nouveaux évènements d’audit au coeur des nouveautés de Samba 4.10. Les messages d’authentification contiennent désormais le numéro d’identification d’évènement Windows et le nom d’utilisateur.

Et voilà qui signe la fin de notre escapade temporelle à travers les différentes versions de Samba ! Mais ne soyez pas triste, ce n’est pas la fin de notre voyage pour autant ! En effet, vous pourrez toujours compter sur nous pour vous parler des nouveautés autour de Samba Active Directory.

De plus, maintenant que vous êtes incollable sur l’histoire et les fonctionnalités de Samba Active Directory, qu’est ce qui vous retient de l’essayer ? Le manque de temps ? La peur de ne pas y arriver ? Pas de ça entre nous ! Désormais vous connaissez une super entreprise pour vous épauler dans vos migrations et autres formations. Alors abandonnez vos frais de licences sur le bas-côté et reprenons ensemble la route de l’Active Directory à bord de Samba AD !

Vous avez un projet Active Directory ? Échangez avec nous !

Des méthodes simples pour gérer son parc

Début avril 2019, avait lieu l’ITES (Innovation Technology European Summit) à Deauville. Organisé par le CRIP (Club des Responsables d’Infrastructure et Production IT) depuis 2013, l’événement rassemble les différents acteurs de l’éco-système IT avec pour maître mot...

lire plus

Journée de la femme numérique

Depuis bientôt 3 ans, Amélie est l'une des quelques femmes employées chez Tranquil IT, mais c'est surtout la seule femme côté support technique de l'entreprise. A l'occasion de la 7ème édition de la Journée de la femme digitale et numérique, rencontre avec Amélie,...

lire plus