Presentado por relizar Samba 4.13.0, quien continuó el desarrollo de la rama Samba 4 con una implementación completa de un controlador de dominio y un servicio de Active Directory que es compatible con la implementación de Windows 2000 y puede servir a todas las versiones de clientes de Windows compatibles con Microsoft, incluido Windows 10. Samba 4 es un producto de servidor rico en funciones que también proporciona una implementación de un servidor de archivos, un servicio de impresión y un servidor de identidad (winbind).
Protección adicional contra vulnerabilidades inicio de sesión cero (CVE-2020-1472) permite a un atacante obtener derechos administrativos en un controlador de dominio en sistemas que no utilizan la configuración "server schannel = yes".
El requisito mínimo de la versión de Python se ha aumentado de Python 3.5 a Python 3.6. La capacidad de construir un servidor de archivos con Python 2 se ha mantenido por ahora (antes de ejecutar ./configure' y 'make' debes configurar la variable de entorno 'PYTHON=python2'), pero en la siguiente rama se eliminará y Python Se requerirá 3.6 para la construcción.
La funcionalidad “enlaces anchos = sí”, que permite a los administradores de servidores de archivos crear enlaces simbólicos a un área fuera de la partición SMB/CIFS actual, se ha movido de smbd a un módulo separado “vfs_widelinks”. Actualmente, este módulo se carga automáticamente si el parámetro "enlaces anchos = sí" está presente en la configuración. En el futuro, se planea eliminar el soporte para "enlaces anchos = sí" debido a problemas de seguridad, y se recomienda encarecidamente a los usuarios de samba que cambien de "enlaces anchos = sí" al uso de "mount --bind" para montar partes externas de el sistema de archivos.
La compatibilidad con el controlador de dominio en modo clásico ha quedado obsoleta. Los usuarios de controladores de dominio tipo NT4 ("clásicos") deberían pasar a utilizar controladores de dominio Samba Active Directory para poder trabajar con clientes Windows modernos.
Métodos de autenticación inseguros obsoletos que solo se pueden usar con el protocolo SMBv1: "inicios de sesión de dominio", "autenticación NTLMv2 sin formato", "autenticación de cliente en texto plano", "autenticación de cliente NTLMv2", "autenticación de cliente lanman" y "uso de cliente spnego".
Se eliminó la compatibilidad con la opción “ldap ssl ads” de smb.conf. Se espera que la opción "server schannel" se elimine en la próxima versión.