Версия на Samba 4.20.0

След 6 месеца разработка, беше пусната Samba 4.20.0, продължавайки разработването на Samba 4 с пълна имплементация на домейн контролер и услуга Active Directory, съвместима с имплементацията. Windows 2008 и може да работи с всички поддържани от Microsoft версии Windows-клиенти, включително Windows 11. Samba 4 е многофункционален сървърен продукт, който предоставя също файлов сървър, услуга за печат и сървър за удостоверяване (winbind).

Ключови промени в Samba 4.20:

• По подразбиране е активирано изграждането на новата помощна програма "wspsearch" с имплементацията на експериментален клиент за WSP протокола (Windows Протокол за търсене). Помощната програма ви позволява да изпращате заявки за търсене до Windows- сървърът, на който работи WSP услугата.
• Командата „smbcacls“ вече поддържа записване на DACL във файл и възстановяване на DACL от файл. Данните се запазват във формат, поддържан от Windows- помощната програма „icacls.exe“, която осигурява преносимост на файлове със запазен DACL (Discretionary Access Control List - списък за контрол на достъпа).
• Разширения за централизирани политики за достъп до Active Directory (Claims), политики за удостоверяване (Authentication Policies) и контейнери за политики (Authentication Silos) са добавени към помощната програма „samba-tool“. Samba-tool вече може да се използва за обвързване на потребител с претенции за по-късна употреба в правила, които определят дали потребителят има достъп до политика за удостоверяване.

  В допълнение, помощната програма samba-tool вече може да се използва за създаване и управление на политики за удостоверяване, както и за създаване и управление на контейнери за политики. Например, като използвате samba-tool, можете да определите къде и откъде потребителят може да се свърже, дали NTLM е разрешен и в кои услуги потребителят може да бъде удостоверен.
• В контролера, базиран на Samba домейн Active Directory вече поддържа политики за удостоверяване (Authentication Policies) и контейнери за политики (Authentication Silos), създадени с помощта на помощната програма samba-tool или импортирани от конфигурации на Microsoft AD. Тази функция е налична само на системи с функционално ниво на Active Directory поне 2012_R2 ("ad dc functional level = 2016" в smb.conf).
• Помощната програма samba-tool е актуализирана с поддръжка от страна на клиента за gMSA (Group Managed Service Account) акаунти, които използват автоматично актуализирани пароли. Командите за управление на пароли, предоставени в samba-tool, които преди бяха използваеми само с локалната база данни sam.ldb, вече могат да се прилагат към външна база данни. сървър за удостоверен достъп, използвайки опцията -H ldap://$DCNAME. Поддържаните операции включват: samba-tool user getpassword за четене на текущата и предишната парола за gMSA; samba-tool user get-kerberos-ticket за записване на Kerberos TGT (Ticket Granting Ticket) в локалния кеш на акаунта.
• Добавена е поддръжка за записи за контрол на условен достъп (Conditional ACEs), позволяващи достъпът да бъде разрешен или блокиран в зависимост от допълнителни условия - ако условният израз не работи, ACE се игнорира, в противен случай се прилага като обикновен ACE. Условни проверки могат да се прилагат и към защитени атрибути на обекти, описани от системни ресурсни атрибути (ресурсен атрибут ACE).
• Внедряването на клъстера ctdb добави възможност за предоставяне на услугата MS-SWN (Service Witness Protocol), с която клиентите могат да наблюдават своите SMB връзки към клъстерни възли. Например, клиент, свързан към възел "A", може да поиска от възел "B" да изпрати известие, ако възел "A" е недостъпен. За управление на услугата се предлагат поредица от команди „net svjedok [списък|клиент-преместване|споделяне-преместване|force-unregister|force-response]“, което позволява на администратора на клъстера да преглежда регистрираните клиенти и да изисква връзката да бъде прехвърлена към други клъстерни възли.
• Конфигурациите с MIT Kerberos5, работещ като домейн контролер на Active Directory, вече изискват поне MIT Krb5 версия 1.21, което добавя допълнителна защита срещу уязвимостта CVE-2022-37967.
• Когато се изгражда с импортиран Heimdal Kerberos, вече не е необходимо да се инсталира Perl JSON модулът, вместо това се използва JSON::PP модулът, вграден в Perl5.
• Командите "samba-tool user getpassword" и "samba-tool user syncpasswords", използвани за определяне и синхронизиране на паролата, са променили изхода си при използване на параметъра ";rounds=" с атрибутите virtualCryptSHA256 и virtualCryptSHA512 (например '—атрибути ="virtualCryptSHA256; кръгове=50000″'). Беше: virtualCryptSHA256: {CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF Сега: virtualCryptSHA256;rounds=2561:{CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF
• Реализацията на MS-WKST (Workstation Service Remote Protocol) вече не поддържа показване на списък със свързани потребители въз основа на съдържанието на файла /var/run/utmp, който съхранява данни за потребители, работещи в момента в системата. поддръжката на utmp е преустановена поради уязвимостта на формата към проблема от 2038 г.

Източник: opennet.ru