- 18 марта 2026 года вышла Samba 4.24.0 — новая версия серверного пакета с контроллером домена Active Directory, совместимым с клиентами Windows, включая Windows 11.
- В KDC по умолчанию включили шифрование AES для домена, чтобы закрыть риск, связанный с CVE-2026-20833.
- Релиз усилил защиту AD: добавлены механизмы против атак dollar ticket, аудит изменений важных атрибутов и поддержка Kerberos PKINIT для входа по ключам.
18 марта 2026 года команда Samba выпустила версию 4.24.0. Это обновление ветки Samba 4, которая может работать как контроллер домена Active Directory и обслуживать поддерживаемые версии Windows-клиентов, включая Windows 11. Главный акцент релиза — усиление защиты: новые настройки Kerberos, AES по умолчанию и дополнительные инструменты аудита.
Одно из ключевых изменений затронуло KDC — службу, которая выдаёт Kerberos-билеты для входа в домен. Для защиты от CVE-2026-20833 в настройках домена по умолчанию включили алгоритмы шифрования AES128 и AES256. Также KDC теперь по умолчанию возвращает PAC — структуру с данными о правах пользователя — даже если клиент явно не запросил её.
Отдельный блок изменений связан с атаками класса dollar ticket. Они используют разницу между именами вроде user и user$, чтобы получить билет не для той учётной записи. В Samba 4.24.0 появилась настройка обязательной канонизации имён пользователя, а также дополнительная защита для конфигураций, где такая проверка отключена. Кроме того, Heimdal KDC теперь по умолчанию передаёт сервисам уже канонизированное имя клиента.
Релиз расширил и современные способы аутентификации. Samba получила поддержку Kerberos PKINIT KeyTrust, который нужен для сценариев Windows Hello for Business с входом по ключам, а также поддержку PKINIT SID и маппинга ключей. Для администраторов добавили аудит изменений важных атрибутов Active Directory, связанных с именами хостов, сервисными записями и ключами. Ещё одна полезная доработка — поддержка внешних систем сброса паролей, таких как Microsoft Entra ID и Keycloak, с учётом локальных парольных политик.
Помимо безопасности, в Samba 4.24.0 обновили файловые модули. Появился модуль vfs_aio_ratelimit, который умеет ограничивать скорость асинхронного ввода-вывода по байтам в секунду или по числу операций. Для CephFS добавили поддержку Keybridge и FSCrypt, включая шифрование отдельных каталогов, а в vfs_streams_xattr — более гибкое хранение альтернативных потоков данных NTFS через расширенные атрибуты Linux.
Предыдущая версия Samba 4.23.0 вышла в сентябре 2025 года. Samba 4 развивается как open source-альтернатива для доменных служб, файлового сервера, печати и интеграции с инфраструктурой Windows.
Администраторам доменов на Samba после обновления стоит проверить настройки Kerberos и совместимость старых клиентов с AES и канонизацией имён. Для компаний с гибридной аутентификацией релиз упрощает работу с Windows Hello for Business, Entra ID и Keycloak без отказа от локальных политик безопасности.
