Na 6 maande se ontwikkeling is Samba 4.20.0 vrygestel, wat die ontwikkeling van die Samba 4-tak voortsit met 'n volledige implementering van 'n domeinbeheerder en 'n Active Directory-diens wat versoenbaar is met die implementering. Windows 2008 en in staat om alle Microsoft-ondersteunde weergawes te hanteer Windows-kliënte, insluitend Windows 11. Samba 4 is 'n multifunksionele bedienerproduk wat ook 'n lêerbediener, drukdiens en verifikasiebediener (winbind) bied.
Sleutelveranderinge in Samba 4.20:
- Standaard is die bou van die nuwe hulpprogram "wspsearch" met die implementering van 'n eksperimentele kliënt vir die WSP-protokol geaktiveer (Windows Soekprotokol). Die hulpmiddel laat jou toe om soeknavrae te stuur na Windows- die bediener waarop die WSP-diens loop.
- Die "smbcacls"-opdrag ondersteun nou die skryf van DACL's na 'n lêer en die herstel van DACL's vanaf 'n lêer. Die data word gestoor in 'n formaat wat ondersteun word deur Windows-die 'icacls.exe'-hulpprogram, wat die oordraagbaarheid van lêers met gestoorde DACL (Diskresionêre Toegangsbeheerlys) verseker.
- Uitbreidings vir gesentraliseerde Active Directory-toegangsbeleide (Eise), stawingbeleide (Authentication Policies) en beleidhouers (Authentication Silos) is by die "samba-tool"-nutsding gevoeg. Samba-tool kan nou gebruik word om 'n gebruiker te bind aan eise vir latere gebruik in reëls wat bepaal of 'n gebruiker toegang tot 'n stawingbeleid het.
Boonop kan die samba-tool-nutsding nou gebruik word om stawingbeleide te skep en te bestuur, asook om beleidhouers te skep en te bestuur. Byvoorbeeld, met behulp van samba-tool kan jy bepaal waar en waar die gebruiker kan koppel, as NTLM toegelaat word, en in watter dienste die gebruiker geverifieer kan word.
- In die Samba-gebaseerde beheerder domein Active Directory ondersteun nou verifikasiebeleide (Verifikasiebeleide) en beleidhouers (Verifikasiesilo's) wat met die samba-tool-hulpprogram geskep is of vanaf Microsoft AD-konfigurasies ingevoer is. Hierdie kenmerk is slegs beskikbaar op stelsels met 'n Active Directory-funksionele vlak van ten minste 2012_R2 ("ad dc functional level = 2016" in smb.conf).
- Die samba-tool-hulpprogram is opgedateer met kliëntkant-ondersteuning vir gMSA (Group Managed Service Account)-rekeninge, wat outomaties opgedateerde wagwoorde gebruik. Die wagwoordbestuuropdragte wat in samba-tool verskaf word, wat voorheen slegs met die plaaslike sam.ldb-databasis bruikbaar was, kan nou op 'n eksterne databasis toegepas word. bediener vir geverifieerde toegang, deur die -H ldap://$DCNAME opsie te gebruik. Ondersteunde bewerkings sluit in: samba-tool user getpassword om die huidige en vorige gMSA wagwoord te lees; samba-tool user get-kerberos-ticket om die Kerberos TGT (Ticket Granting Ticket) na die plaaslike rekeningkas te skryf.
- Bygevoeg ondersteuning vir voorwaardelike toegang beheer inskrywings (Voorwaardelike ACEs), wat toelaat dat toegang toegelaat of geblokkeer word afhangende van bykomende voorwaardes - as die voorwaardelike uitdrukking nie werk nie, word die ACE geïgnoreer, anders word dit as 'n gewone ACE toegepas. Voorwaardelike kontroles kan ook toegepas word op beveiligbare objek-kenmerke wat deur stelselhulpbronkenmerke (Resource Attribute ACEs) beskryf word.
- Die ctdb-kluster-implementering het die vermoë bygevoeg om die MS-SWN (Service Witness Protocol)-diens te verskaf, waarmee kliënte hul SMB-verbindings na groepnodusse kan monitor. Byvoorbeeld, 'n kliënt wat aan nodus "A" gekoppel is, kan nodus "B" versoek om 'n kennisgewing te stuur as nodus "A" onbereikbaar is. Om die diens te bestuur, word 'n reeks opdragte "net getuie [lys|kliënt-skuif|deel-skuif|dwing-ontregistreer|dwing-reaksie]" voorgestel, wat die groepadministrateur in staat stel om geregistreerde kliënte te bekyk en te versoek dat die verbinding oorgedra word na ander cluster nodusse.
- Konfigurasies met MIT Kerberos5 wat as 'n Active Directory-domeinbeheerder loop, benodig nou ten minste MIT Krb5 weergawe 1.21, wat bykomende beskerming teen die CVE-2022-37967 kwesbaarheid byvoeg.
- Wanneer met ingevoerde Heimdal Kerberos gebou word, hoef die Perl JSON-module nie meer geïnstalleer te word nie, in plaas daarvan word die JSON::PP-module wat in Perl5 ingebou is, gebruik.
- Die "samba-tool user getpassword" en "samba-tool user syncpasswords"-opdragte wat gebruik word om die wagwoord te bepaal en te sinchroniseer, het hul uitvoer verander wanneer die ";rounds="-parameter met die virtualCryptSHA256- en virtualCryptSHA512-kenmerke gebruik word (byvoorbeeld, '—kenmerke ="virtualCryptSHA256; rounds=50000″'). Was: virtualCryptSHA256: {CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF Nou: virtualCryptSHA256;rounds=2561:{CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dMFSBwFuix
- Die implementering van MS-WKST (Workstation Service Remote Protocol) ondersteun nie meer die vertoon van 'n lys van gekoppelde gebruikers gebaseer op die inhoud van die /var/run/utmp-lêer, wat data stoor oor gebruikers wat tans in die stelsel werk nie. utmp-ondersteuning is gestaak weens die formaat se kwesbaarheid vir die Jaar 2038-uitgawe.
Bron: opennet.ru
