ProHoster > Blog > internet nyheder > Samba 4.20.0 udgivelse

Samba 4.20.0 udgivelse

Efter 6 måneders udvikling blev Samba 4.20.0 udgivet, der fortsætter udviklingen af ​​Samba 4-grenen med en fuld implementering af en domænecontroller og Active Directory-tjeneste, kompatibel med Windows 2008-implementeringen og i stand til at servicere alle Microsoft-understøttede versioner af Windows-klienter, inklusive Windows 11. Samba 4 er en multifunktionel printserver-fil, som leverer en multifunktionel printerserver-fil og server-fil (også bind).

Vigtigste ændringer i Samba 4.20:

  • Som standard er bygningen af ​​det nye hjælpeprogram "wspsearch" aktiveret med implementeringen af ​​en eksperimentel klient til WSP (Windows Search Protocol) protokollen. Hjælpeprogrammet giver dig mulighed for at sende søgeanmodninger til en Windows-server, der kører WSP-tjenesten.
  • Kommandoen smbcacls understøtter nu skrivning af DACL'er til en fil og gendannelse af DACL'er fra en fil. Dataene gemmes i et format, der understøttes af Windows-værktøjet 'icacls.exe', hvilket sikrer portabilitet af filer med gemte DACL'er (Discretionary Access Control List).
  • Udvidelser til centraliserede adgangspolitikker (Claims) i Active Directory, godkendelsespolitikker (Authentication Policies) og politikbeholdere (Authentication Silos) er blevet tilføjet til samba-tool-værktøjet. Samba-værktøjet kan nu bruges til at tilknytte en bruger til krav til senere brug i regler, der bestemmer adgangstilladelser inden for en godkendelsespolitik.

    Derudover kan værktøjet samba-tool nu bruges til at oprette og administrere godkendelsespolitikker, samt til at oprette og administrere politikcontainere. For eksempel kan du ved hjælp af Samba-tool bestemme, hvor og hvorfra en bruger kan oprette forbindelse, hvis NTLM er tilladt, og i hvilke tjenester brugeren kan autentificeres.

  • I den Samba-baserede controller domæne Active Directory understøtter nu godkendelsespolitikker (Authentication Policies) og politikcontainere (Authentication Silos), der er oprettet ved hjælp af samba-tool-værktøjet eller importeret fra Microsoft AD-konfigurationer. Denne funktion er kun tilgængelig på systemer med et Active Directory-funktionsniveau på mindst 2012_R2 ("ad dc functional level = 2016" i smb.conf).
  • Samba-tool-værktøjet er blevet opdateret med klientsideunderstøttelse af gMSA-konti (Group Managed Service Account), der bruger automatisk opdaterede adgangskoder. Adgangskodehåndteringskommandoerne i Samba-tool, som tidligere kun kunne bruges med den lokale sam.ldb-database, kan nu anvendes på en ekstern database. server For godkendt adgang, brug af indstillingen -H ldap://$DCNAME. Understøttede operationer inkluderer: samba-tool user getpassword til at læse den nuværende og tidligere gMSA-adgangskode; samba-tool user get-kerberos-ticket til at skrive Kerberos TGT (Ticket Granting Ticket) til den lokale kontocache.
  • Tilføjet understøttelse af betingede ACE'er, som tillader eller blokerer adgang baseret på yderligere betingelser - hvis det betingede udtryk fejler, ignoreres ACE'en, ellers anvendes den som en almindelig ACE. Betingede kontroller kan også anvendes på attributter for et beskyttet objekt beskrevet af systemressourceattributter (ressourceattribut-ACE'er).
  • Ctdb-klyngeimplementeringen har tilføjet muligheden for at levere MS-SWN-tjenesten (Service Witness Protocol), hvormed klienter kan overvåge deres SMB-forbindelser til klyngeknudepunkter. For eksempel kan en klient forbundet til node "A" anmode node "B" om at sende en meddelelse, hvis node "A" ikke er tilgængelig. For at administrere tjenesten foreslås en række kommandoer "netvidne [liste|klient-flytning|share-flytning|tving-afregistrer|tving-svar]", som gør det muligt for klyngeadministratoren at se registrerede klienter og anmode om, at forbindelsen overføres til andre klynge noder.
  • Konfigurationer med MIT Kerberos5, der fungerer som en Active Directory-domænecontroller, kræver nu mindst MIT Krb5 version 1.21, hvilket giver yderligere beskyttelse mod CVE-2022-37967-sårbarheden.
  • Når man bygger med importerede Heimdal Kerberos, skal Perl JSON-modulet ikke længere installeres, i stedet bruges Perl5 indbygget JSON::PP-modul.
  • Kommandoerne "samba-tool user getpassword" og "samba-tool user syncpasswords", der bruges til at bestemme og synkronisere en adgangskode, har ændret outputtet, når parameteren ";rounds=" bruges med attributterne virtualCryptSHA256 og virtualCryptSHA512 (f.eks. '--attributes="virtualCryptSHA256;rounds=50000"'). Var: virtualCryptSHA256: {CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF Nu: virtualCryptSHA256;rounds=2561:{CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF
  • MS-WKST-implementeringen (Workstation Service Remote Protocol) understøtter ikke længere visning af en liste over tilsluttede brugere baseret på indholdet af /var/run/utmp-filen, som gemmer data om brugere, der i øjeblikket arbejder i systemet. Utmp-understøttelse er blevet afbrudt på grund af formatets modtagelighed for år 2038-problemet.

Kilde: opennet.ru

Tilføj en kommentar