Проект Samba выпустил внеплановые корректирующие обновления — версии 4.22.3 и 4.21.7, устраняющие проблему, которая может привести к потере совместимости с Windows Server после выхода июльских патчей от Microsoft. Обновления призваны сохранить работоспособность серверов Samba, играющих роль членов домена Active Directory, в конфигурациях с использованием idmap backend 'ad'.
Проблема связана с изменениями, которые Microsoft внедрит 8 июля в рамках плановых обновлений безопасности для всех поддерживаемых версий Windows Server, включая даже устаревшие редакции вроде Windows Server 2008. Обновления касаются реализации Netlogon и вводят дополнительные проверки доступа при использовании Microsoft RPC (Remote Procedure Call). Эти проверки ранее применялись только в Windows Server 2025, но теперь будут активированы и в более старых версиях.
В результате изменений в протоколе, служба winbind в Samba может не справиться с выполнением процедуры Netlogon DC Discovery — процесса, необходимого для обнаружения контроллера домена. В конфигурациях с idmap backend = ad это приведёт к невозможности аутентификации пользователей домена и подключению к SMB-сервисам.
Обновления Samba 4.22.3 и 4.21.7 устраняют эту проблему. Все пользователи, чьи серверы Samba входят в домен AD и используют соответствующую схему маппинга, должны как можно скорее установить эти версии. В противном случае, начиная с 8 июля, их инфраструктура может столкнуться с нарушением работы служб аутентификации и доступа.
Патчи были подготовлены разработчиками Samba Team в ускоренном порядке и уже доступны через официальный репозиторий Samba. Там же опубликованы списки изменений и пояснения к релизу. Как отмечают разработчики, если обновление невозможно, временным решением может быть отключение дополнительной проверки на стороне Windows Server, но такой подход не рекомендуется с точки зрения безопасности и требует ручной настройки через групповые политики.
Инцидент подчёркивает важность координации изменений между разработчиками серверного ПО и вендорами операционных систем. В случае с Samba и Windows AD совместимость обеспечивается только при тесной синхронизации изменений в реализации RPC и механизмов обнаружения контроллеров.
Пользователи Linux-серверов, задействующих Samba в корпоративной среде, должны срочно проверить конфигурации и обеспечить своевременное обновление, чтобы избежать перебоев в аутентификации пользователей и нарушений доступа к сетевым ресурсам.