Con la llegada de Samba 4.24.0, tras seis meses de desarrollo continuo, el proyecto se ha centrado en blindar el Centro de Distribución de Claves (KDC) contra sofisticados ataques de suplantación, al tiempo que moderniza sus mecanismos de autenticación para integrarse sin fricción con infraestructuras en la nube como Microsoft Entra ID y Keycloak.

Más allá de la seguridad estructural, esta versión introduce mejoras significativas a nivel del sistema de archivos. Desde el nuevo módulo de limitación de velocidad asíncrona hasta el soporte nativo de cifrado por directorio en clústeres CephFS.

Principales novedades de Samba 4.24

La seguridad de Active Directory en Samba recibe un refuerzo contra los ataques «Dollar Ticket». Este vector de ataque explotaba la laxitud del KDC al procesar nombres de usuario. Un atacante podía crear una cuenta de equipo falsa llamada root$ y solicitar un ticket Kerberos utilizando el nombre root. Si el servidor no encontraba a root, añadía automáticamente el símbolo $ e iniciaba sesión en el contexto de la máquina maliciosa, permitiendo al atacante acceder a servidores Linux a través de SSH o NFS haciéndose pasar por el administrador supremo.

Para erradicar esto, Samba 4.24 introduce la directiva kdc require canonicalization. Si se activa (yes), el cliente está obligado a solicitar la canonicalización del nombre (algo que Windows hace por defecto). Si la red posee clientes antiguos de Unix que no soportan esta petición, se ofrece la directiva alternativa kdc name match implicit dollar without canonicalization = no, la cual prohíbe al KDC añadir el símbolo $ arbitrariamente, realizando comprobaciones exactas y bloqueando el ataque de raíz. Adicionalmente, para mitigar la vulnerabilidad CVE-2026-20833, los métodos de cifrado del dominio por defecto se han elevado a AES (aes128 y aes256).

Autenticación moderna: Entra ID, Keycloak y Windows Hello

La gestión de contraseñas y accesos ha sido modernizada para convivir con ecosistemas cloud e infraestructuras de clave pública (PKI). Y es que el restablecimiento Cloud SSPR de Samba ahora comprende el control de «sugerencias de política» (policy hints) durante los restablecimientos de contraseña. Esto permite que plataformas como Microsoft Entra ID (Self-Service Password Reset) o Keycloak cambien la contraseña de un usuario en el directorio local de Samba sin conocer la contraseña anterior, pero respetando estrictamente las políticas locales de caducidad y retención.

Por otra parte en Windows Hello for Business se añade soporte para el mecanismo Kerberos PKINIT KeyTrust. Esto permite utilizar el inicio de sesión sin contraseña de Windows Hello utilizando claves autofirmadas. Los administradores pueden gestionar estas claves a través del nuevo comando samba-tool user|computer keytrust.

Ademas de ello, el KDC ahora soporta la extensión de «Asignaciones fuertes y flexibles» (KB5014754 de Microsoft). Por defecto, exige una vinculación fuerte y exacta de certificados, almacenando los datos en el atributo altSecurityIdentities. También debuta el soporte para la extensión PKINIT SID, permitiendo el uso de certificados con identificadores de objeto (OSID).

Mejoras en el Sistema de Archivos Virtual (VFS)

El rendimiento y el almacenamiento de datos a bajo nivel se expanden con nuevas mejoras en los módulos VFS apilables de Samba:

• Límites de Velocidad Asíncrona (AIO): El nuevo módulo vfs_aio_ratelimit permite a los administradores imponer techos de rendimiento (en bytes por segundo u operaciones por segundo) a las tareas asíncronas. Si se supera el umbral, el módulo inyecta retrasos artificiales de milisegundos para evitar la congestión de la red o del disco.
• Cifrado en CephFS: El módulo vfs_ceph_new se actualiza para soportar FSCrypt y el protocolo RPC Keybridge. Esto permite cifrar tanto los datos como los nombres de archivo directamente en el sistema de archivos distribuido CephFS, pudiendo habilitar o deshabilitar este cifrado directorio por directorio.
• Flujos Alternativos NTFS Expandidos: En Linux, los atributos extendidos (xattr) suelen estar limitados a 64 KB. El módulo vfs_streams_xattr (que emula los flujos de datos alternativos de NTFS) ahora incluye la opción streams_xattr:max xattrs per stream. Si el sistema de archivos subyacente (como XFS) lo permite, Samba fragmentará el flujo en múltiples xattr, elevando el límite de almacenamiento de datos alternativos por archivo hasta 1 MB.

Si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

¿Cómo instalar o actualizar a Samba en Ubuntu y derivados?

Si estás interesado en instalar la nueva versión de Samba o si ya cuentas con Samba instalado y quieres actualizar tu versión anterior a esta nueva, puedes hacerlo siguiendo los pasos que compartimos a continuación.

Para instalar o actualizar Samba en Ubuntu y sus derivados a la última versión disponible, puedes seguir estos pasos:

Abre una terminal, esto puedes hacerlo buscando «Terminal» en el menú de aplicaciones o usando el atajo Ctrl + Alt + T. Con ello vamos a añadir el repositorio. Como los paquetes oficiales pueden no estar actualizados inmediatamente, utilizaremos un repositorio PPA que contiene la versión más reciente de Samba:

sudo add-apt-repository ppa:linux-schools/samba-latest

Actualizar la lista de repositorios:

sudo apt-get update

Instalar o actualizar Samba

Si ya tienes Samba instalado, este comando actualizará tu versión actual. Si no, instalará Samba por primera vez:

sudo apt install samba

Una vez que se haya completado la instalación, puedes verificar la versión de Samba instalada con el siguiente comando:

samba --version