Nakon 6 mjeseci razvoja, predstavljeno je izdanje Samba 4.20.0, koje je nastavilo razvoj Samba 4 grane sa potpunom implementacijom domenskog kontrolera i Active Directory servisa, kompatibilnog sa implementacijom Windows 2008 i sposobnog da servisira sve Microsoft-ove. podržane verzije Windows klijenata, uključujući Windows 11. Samba 4 je multifunkcionalni serverski proizvod koji takođe omogućava implementaciju servera datoteka, usluge štampanja i identifikacionog servera (winbind).
Ključne promjene u Sambi 4.20:
- Podrazumevano, izgradnja novog uslužnog programa “wspsearch” je omogućena uz implementaciju eksperimentalnog klijenta za WSP (Windows Search Protocol) protokol. Uslužni program vam omogućava da pošaljete zahtjeve za pretraživanje na Windows server koji koristi WSP uslugu.
- Komanda "smbcacls" pruža podršku za pisanje DACL-ova u datoteku i vraćanje DACL-ova iz datoteke. Podaci se čuvaju u formatu koji podržava Windows uslužni program 'icacls.exe', koji osigurava prenosivost datoteka sa sačuvanim DACL (diskreciona lista kontrole pristupa).
- Ekstenzije za centralizovane politike pristupa aktivnom direktorijumu (Claims), politike provjere autentičnosti (Authentication Policies) i kontejnere politika (Authentication Silos) dodane su uslužnom programu “samba-tool”. Samba-alat se sada može koristiti za povezivanje korisnika sa zahtjevima za kasniju upotrebu u pravilima koja određuju može li korisnik pristupiti politici provjere autentičnosti.
Osim toga, samba-tool uslužni program se sada može koristiti za kreiranje i upravljanje politikama provjere autentičnosti, kao i za kreiranje i upravljanje kontejnerima politika. Na primjer, pomoću samba alata možete odrediti odakle i odakle se korisnik može povezati, da li je NTLM dozvoljen i u kojim uslugama korisnik može biti autentificiran.
- U kontroleru zasnovanom na Sambi domen Active Directory sada podržava politike autentifikacije (Authentication Policies) i kontejnere politika (Authentication Silos) kreirane pomoću uslužnog programa samba-tool ili uvezene iz Microsoft AD konfiguracija. Ova funkcija je dostupna samo na sistemima sa funkcionalnim nivoom Active Directoryja od najmanje 2012_R2 ("ad dc funkcionalni nivo = 2016" u smb.conf).
- Uslužni program samba-tool ažuriran je s podrškom na strani klijenta za gMSA (Grupni upravljani servisni račun) račune, koji koriste automatski ažurirane lozinke. Komande za upravljanje lozinkama koje su dostupne u samba-toolu, a koje su se ranije mogle koristiti samo s lokalnom bazom podataka sam.ldb, sada se mogu primijeniti na eksternu bazu podataka. server za autentificirani pristup, korištenjem opcije -H ldap://$DCNAME. Podržane operacije uključuju: samba-tool user getpassword za čitanje trenutne i prošle gMSA lozinke; samba-tool user get-kerberos-ticket za upisivanje Kerberos TGT-a (Ticket Granting Ticket) u lokalni keš računa.
- Dodata podrška za unose za uslovnu kontrolu pristupa (Uslovni ACE), dozvoljavajući pristup da bude dozvoljen ili blokiran u zavisnosti od dodatnih uslova - ako uslovni izraz ne radi, ACE se ignoriše, u suprotnom se primenjuje kao običan ACE. Uvjetne provjere se također mogu primijeniti na zaštićene atribute objekta opisane atributima sistemskih resursa (ACE-ovi atributa resursa).
- Implementacija ctdb klastera dodala je mogućnost pružanja MS-SWN (Service Witness Protocol) usluge, sa kojom klijenti mogu pratiti svoje SMB veze sa čvorovima klastera. Na primjer, klijent povezan na čvor "A" može zatražiti od čvora "B" da pošalje obavijest ako čvor "A" nije dostupan. Za upravljanje uslugom, predložen je niz naredbi "net svjedok [list|client-move|share-move|force-unregister|force-response]", što omogućava administratoru klastera da vidi registrovane klijente i zatraži da se veza prenese na druge čvorove klastera.
- Konfiguracije s MIT Kerberos5 koji radi kao Active Directory domenski kontroler sada zahtijevaju najmanje MIT Krb5 verziju 1.21, što dodaje dodatnu zaštitu od ranjivosti CVE-2022-37967.
- Kada se gradi sa uvezenim Heimdal Kerberos-om, više nije potrebno instalirati Perl JSON modul, umjesto toga se koristi Perl5 ugrađeni JSON::PP modul.
- Naredbe "samba-tool user getpassword" i "samba-tool user syncpasswords" koje se koriste za određivanje i sinkronizaciju lozinke promijenile su svoj izlaz kada se koristi parametar ";rounds=" sa atributima virtualCryptSHA256 i virtualCryptSHA512 (na primjer, '—atributi ="virtualCryptSHA256; rundi=50000″'). Bilo: virtualCryptSHA256: {CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF Sada: virtualCryptSHA256;rounds=2561:{CRYPT}$5$rounds=2561$hXem.M9onh$F9Vdw
- Implementacija MS-WKST (Workstation Service Remote Protocol) više ne podržava prikazivanje liste povezanih korisnika na osnovu sadržaja datoteke /var/run/utmp, koja pohranjuje podatke o korisnicima koji trenutno rade u sistemu. utmp podrška je ukinuta zbog ranjivosti formata na problem iz 2038. godine.
izvor: opennet.ru
