Релиз Samba 4.24.0 знаменует собой очередное обновление стека протоколов SMB/CIFS, сфокусированное на расширении возможностей системного администрирования и безопасности. Апдейт привносит ряд функциональных изменений в архитектуру VFS (Virtual File System) и протоколы аутентификации.
Обновления VFS-модулей
Разработчиками внедрен инструментарий для более гибкого управления дисковыми операциями и интеграции с распределенными файловыми системами. Проще говоря, новые модули позволяют точечно настраивать системное поведение. Так, vfs_aio_ratelimit дает администраторам механизм ограничения интенсивности асинхронного ввода-вывода (AIO), что полезно для предотвращения избыточной нагрузки на хранилище. Для корректного взаимодействия с кластерными решениями добавлен модуль vfs_ceph_new, оптимизирующий работу Samba поверх CephFS. В свою очередь, vfs_streams_xattr обеспечивает поддержку альтернативных потоков данных NTFS (Alternate Data Streams) при использовании файловых систем Linux, прозрачно отображая их через расширенные атрибуты xattr.
Аутентификация и безопасность
Значительная часть работы в версии 4.24.0 проделана в области протоколов идентификации. Реализована поддержка интеграции с сервисами Microsoft Entra ID и Keycloak, что упрощает сценарии сброса паролей в гетерогенных средах. В контексте работы Kerberos улучшена поддержка расширения PKINIT KeyTrust. На практике это минимизирует количество ошибок при аутентификации на основе сертификатов.
Инженеры также обновили механизмы обработки билетов KDC (Key Distribution Center), чтобы нейтрализовать специфические векторизованные угрозы, в частности атаки типа «dollar ticket». В конфигурацию KDC были интегрированы дополнительные параметры для тонкой настройки безопасности сессий. Важным аспектом обновления стало устранение критической уязвимости CVE-2026-20833, которая затрагивала механизмы шифрования AES в KDC. Настоятельно рекомендуется обновить компоненты системы до актуального релиза для минимизации рисков эксплуатации этой бреши в безопасности.
