Important: vulnérabilité concernant Samba 4 – Active Directory DC – CVE-2018-1057

L’équipe Samba a découvert une vulnérabilité critique (CVE-2018-1057) sur Samba 4 en mode Active Directory Domain Controller. Cette vulnérabilité n’impacte pas Samba en mode NT ou mode serveur de fichier.

Cette vulnérabilité permet à n’importe quel utilisateur authentifié de modifier le mot de passe de tous les autres utilisateurs, ceci incluant les mots de passe des comptes d’administration de l’annuaire ! Tout cela au travers d’une simple connexion LDAP.

Voir ce lien: https://wiki.samba.org/index.php/CVE-2018-1057 pour l’explication liée à cette vulnérabilité et comment corriger le problème.

A corriger immédiatement !

Migration de Samba vers un Proxy Active Directory

samba_logo

 

Les solutions de Active Directory Bridge proposent généralement une intégration avec Samba, permettant notamment une configuration automatisée des paramètres Winbind et des paramètres nsswitch.conf liés à Winbind. Ainsi le mapping des utilisateurs peut se faire avec des comptes utilisateurs Active Directory et non pas avec des comptes utilisateurs locaux au système UNIX/Linux. Certaines solutions, telle que Centrify, propose une intégration encore plus poussée avec Active Directory permettant en quelques clics un intégration de l’authentification kerberos sur Samba et en fournissant des GPOs pour paramétrer les détails de la configuration Samba sur les différents serveurs Samba – mais le revers de la médaille est qu’il faut alors utiliser les package Samba fournis par Centrify.

Depuis peu, Centrify propose de remplacer leur distribution Samba spécifique par une fonction “ADbindproxy”. ce nouveau service “centrifydc-samba” permet d’utiliser les packages standards fournis par le système d’exploitation (en version samba 4 néanmoins) et de relier le service Samba standard avec une zone d’utilisateurs créées dans Active Directory en gardant tous les avantages de ce type de configuration: intégration kerberos, mot de passe unique, etc…

Une vidéo de présentation courte (15 minutes) permet de mieux comprendre le fonctionnement de ce nouveau composant:

 

 

Un blog en Français sur l’interopérabilité: http://interoperability-blog.com/

Un nouveau blog en français qui vient de démarrer sur le thème au combien important de l’interopérabilité. Sylvain Girod qui est l’auteur de ce blog est un consultant spécialiste de cette thématique et qui conduit de nombreux projets de kerberisation, d’intégration LDAP ou SAMBA et surtout de Fédération d’Identité.

Les premiers articles du blog abordent les thématiques autour des nouvelles fonctions de SAMBA et du support des distributions Linux sur Hyper-V.

Longue vie à ce nouveau blog !

Vous trouverez le blog  [ ici ]