След 6 месеца разработка беше представена версията Samba 4.20.0, която продължи развитието на клона Samba 4 с пълно внедряване на домейн контролер и услуга Active Directory, съвместима с внедряването на Windows 2008 и способна да обслужва всички Microsoft- поддържани версии на клиенти на Windows, включително Windows 11. Samba 4 е многофункционален сървърен продукт, който също така осигурява внедряване на файлов сървър, услуга за печат и сървър за идентификация (winbind).
Ключови промени в Samba 4.20:
- По подразбиране изграждането на новата помощна програма „wspsearch“ е разрешено с внедряването на експериментален клиент за протокола WSP (Windows Search Protocol). Помощната програма ви позволява да изпращате заявки за търсене към сървър на Windows, изпълняващ услугата WSP.
- Командата "smbcacls" осигурява поддръжка за писане на DACL във файл и възстановяване на DACL от файл. Данните се записват във формат, поддържан от помощната програма на Windows „icacls.exe“, която гарантира преносимостта на файловете със запазен DACL (Списък за контрол на достъпа по преценка).
- Разширения за централизирани политики за достъп до Active Directory (Claims), политики за удостоверяване (Authentication Policies) и контейнери за политики (Authentication Silos) са добавени към помощната програма „samba-tool“. Samba-tool вече може да се използва за обвързване на потребител с претенции за по-късна употреба в правила, които определят дали потребителят има достъп до политика за удостоверяване.
В допълнение, помощната програма samba-tool вече може да се използва за създаване и управление на политики за удостоверяване, както и за създаване и управление на контейнери за политики. Например, като използвате samba-tool, можете да определите къде и откъде потребителят може да се свърже, дали NTLM е разрешен и в кои услуги потребителят може да бъде удостоверен.
- Домейн контролерът на Active Directory, базиран на Samba, добави поддръжка за правила за удостоверяване и силос за удостоверяване, създадени чрез помощната програма samba-tool или импортирани от конфигурации на Microsoft AD. Функцията е достъпна само на системи с функционално ниво на Active Directory поне 2012_R2 („ad dc функционално ниво = 2016“ в smb.conf).
- Помощната програма samba-tool е добавила поддръжка от страна на клиента за gMSA (Акаунт за управлявана от групата услуга) акаунти, които използват автоматично актуализирани пароли. Командите за управление на пароли, предоставени в samba-tool, които преди това можеха да се използват само с локалната база данни sam.ldb, сега могат да се прилагат към външен сървър с удостоверен достъп с помощта на опцията „-H ldap://$DCNAME“. Поддържаните операции включват: "samba-tool user getpassword" за четене на текущата и миналата парола на gMSA; „samba-tool user get-kerberos-ticket“ за запис на Kerberos TGT (Ticket Granting Ticket) в локалния кеш на акаунта.
- Добавена е поддръжка за записи за контрол на условен достъп (Conditional ACEs), позволяващи достъпът да бъде разрешен или блокиран в зависимост от допълнителни условия - ако условният израз не работи, ACE се игнорира, в противен случай се прилага като обикновен ACE. Условни проверки могат да се прилагат и към защитени атрибути на обекти, описани от системни ресурсни атрибути (ресурсен атрибут ACE).
- Внедряването на клъстера ctdb добави възможност за предоставяне на услугата MS-SWN (Service Witness Protocol), с която клиентите могат да наблюдават своите SMB връзки към клъстерни възли. Например, клиент, свързан към възел "A", може да поиска от възел "B" да изпрати известие, ако възел "A" е недостъпен. За управление на услугата се предлагат поредица от команди „net svjedok [списък|клиент-преместване|споделяне-преместване|force-unregister|force-response]“, което позволява на администратора на клъстера да преглежда регистрираните клиенти и да изисква връзката да бъде прехвърлена към други клъстерни възли.
- Конфигурациите с MIT Kerberos5, работещ като домейн контролер на Active Directory, вече изискват поне MIT Krb5 версия 1.21, което добавя допълнителна защита срещу уязвимостта CVE-2022-37967.
- Когато се изгражда с импортиран Heimdal Kerberos, вече не е необходимо да се инсталира Perl JSON модулът, вместо това се използва JSON::PP модулът, вграден в Perl5.
- Командите "samba-tool user getpassword" и "samba-tool user syncpasswords", използвани за определяне и синхронизиране на паролата, са променили изхода си при използване на параметъра ";rounds=" с атрибутите virtualCryptSHA256 и virtualCryptSHA512 (например '—атрибути ="virtualCryptSHA256; кръгове=50000″'). Беше: virtualCryptSHA256: {CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF Сега: virtualCryptSHA256;rounds=2561:{CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF
- Реализацията на MS-WKST (Workstation Service Remote Protocol) вече не поддържа показване на списък със свързани потребители въз основа на съдържанието на файла /var/run/utmp, който съхранява данни за потребители, работещи в момента в системата. поддръжката на utmp е преустановена поради уязвимостта на формата към проблема от 2038 г.
Източник: opennet.ru