وبعد 6 أشهر من التطوير، تم تقديم إصدار Samba 4.20.0، الذي واصل تطوير فرع Samba 4 مع التنفيذ الكامل لوحدة تحكم المجال وخدمة Active Directory، المتوافقة مع تطبيق Windows 2008 وقادرة على خدمة كافة أجهزة Microsoft الإصدارات المدعومة من عملاء Windows، بما في ذلك Windows 11. Samba 4 هو منتج خادم متعدد الوظائف يوفر أيضًا تنفيذ خادم الملفات وخدمة الطباعة وخادم التعريف (winbind).
التغييرات الرئيسية في Samba 4.20:
- افتراضيًا، يتم تمكين إنشاء الأداة المساعدة الجديدة "wspsearch" من خلال تنفيذ عميل تجريبي لبروتوكول WSP (بروتوكول بحث Windows). تتيح لك الأداة المساعدة إرسال طلبات البحث إلى خادم Windows الذي يقوم بتشغيل خدمة WSP.
- يوفر الأمر "smbcacls" دعمًا لكتابة قوائم DACL إلى ملف واستعادة قوائم DACL من ملف. يتم حفظ البيانات بتنسيق مدعوم من خلال الأداة المساعدة Windows "icacls.exe"، والتي تضمن إمكانية نقل الملفات باستخدام DACL (قائمة التحكم في الوصول الاختيارية) المحفوظة.
- تمت إضافة ملحقات لسياسات الوصول إلى Active Directory المركزية (المطالبات)، وسياسات المصادقة (سياسات المصادقة)، وحاويات السياسات (صوامع المصادقة) إلى الأداة المساعدة "أداة سامبا". يمكن الآن استخدام أداة Samba لإلزام المستخدم بمطالبات لاستخدامها لاحقًا في القواعد التي تحدد ما إذا كان يمكن للمستخدم الوصول إلى سياسة المصادقة.
بالإضافة إلى ذلك، يمكن الآن استخدام الأداة المساعدة samba-tool لإنشاء سياسات المصادقة وإدارتها، بالإضافة إلى إنشاء حاويات السياسات وإدارتها. على سبيل المثال، باستخدام أداة samba، يمكنك تحديد أين وأين يمكن للمستخدم الاتصال منه، وما إذا كان NTLM مسموحًا به، وفي أي الخدمات يمكن مصادقة المستخدم.
- أضافت وحدة تحكم مجال Active Directory المستندة إلى Samba دعمًا لسياسات المصادقة وصوامع المصادقة التي تم إنشاؤها من خلال الأداة المساعدة samba-tool أو المستوردة من تكوينات Microsoft AD. تتوفر هذه الميزة فقط على الأنظمة ذات المستوى الوظيفي لـ Active Directory الذي لا يقل عن 2012_R2 ("المستوى الوظيفي لـ ad dc = 2016" في smb.conf).
- أضافت الأداة المساعدة samba-tool دعمًا من جانب العميل لحسابات gMSA (حساب الخدمة المُدارة للمجموعة)، والتي تستخدم كلمات مرور محدثة تلقائيًا. أوامر إدارة كلمة المرور المتوفرة في samba-tool، والتي كان من الممكن استخدامها سابقًا فقط مع قاعدة بيانات sam.ldb المحلية، يمكن الآن تطبيقها على خادم خارجي يتمتع بوصول مصادق عليه باستخدام خيار "-H ldap://$DCNAME". تتضمن العمليات المدعومة ما يلي: "getpassword لمستخدم أداة samba" لقراءة كلمة مرور gMSA الحالية والسابقة؛ "يحصل مستخدم أداة سامبا على تذكرة kerberos" لكتابة Kerberos TGT (تذكرة منح التذكرة) إلى ذاكرة التخزين المؤقت للحساب المحلي.
- تمت إضافة دعم لإدخالات التحكم في الوصول المشروط (ACEs المشروطة)، مما يسمح بالوصول أو حظره وفقًا لشروط إضافية - إذا لم يعمل التعبير الشرطي، فسيتم تجاهل ACE، وإلا فسيتم تطبيقه كـ ACE عادي. يمكن أيضًا تطبيق الاختبارات الشرطية على سمات الكائن القابلة للتأمين والموضحة بواسطة سمات موارد النظام (ACEs لسمة المورد).
- أضاف تطبيق مجموعة ctdb القدرة على توفير خدمة MS-SWN (بروتوكول شاهد الخدمة)، والتي يمكن للعملاء من خلالها مراقبة اتصالات SMB الخاصة بهم بعقد المجموعة. على سبيل المثال، يمكن للعميل المتصل بالعقدة "أ" أن يطلب من العقدة "ب" إرسال إشعار إذا تعذر الوصول إلى العقدة "أ". لإدارة الخدمة، تم اقتراح سلسلة من الأوامر "net wait [list|client-move|share-move|force-unregister|force-response]"، مما يسمح لمسؤول المجموعة بعرض العملاء المسجلين وطلب نقل الاتصال إلى العقد العنقودية الأخرى.
- تتطلب التكوينات مع MIT Kerberos5 التي تعمل كوحدة تحكم مجال Active Directory الآن الإصدار 5 من MIT Krb1.21 على الأقل، مما يضيف حماية إضافية ضد الثغرة الأمنية CVE-2022-37967.
- عند البناء باستخدام Heimdal Kerberos المستورد، لم تعد وحدة Perl JSON مطلوبة للتثبيت، وبدلاً من ذلك يتم استخدام وحدة JSON::PP المضمنة في Perl5.
- إن أوامر "samba-tool user getpassword" و"samba-tool user syncpasswords" المستخدمة لتحديد ومزامنة كلمة المرور قد غيرت مخرجاتها عند استخدام المعلمة ";rounds=" مع سمات virtualCryptSHA256 وvirtualCryptSHA512 (على سبيل المثال، '—السمات = "virtualCryptSHA256؛ جولات = 50000"'). كان: virtualCryptSHA256: {CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF الآن: virtualCryptSHA256;rounds=2561:{CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF
- لم يعد تطبيق MS-WKST (بروتوكول خدمة محطة العمل عن بعد) يدعم عرض قائمة بالمستخدمين المتصلين بناءً على محتويات الملف /var/run/utmp، الذي يخزن بيانات حول المستخدمين الذين يعملون حاليًا في النظام. تم إيقاف دعم utmp بسبب ثغرة أمنية في التنسيق لمشكلة عام 2038.
المصدر: opennet.ru