relizar , quien continuó el desarrollo de la rama con una implementación completa de un controlador de dominio y un servicio de Active Directory que es compatible con la implementación de Windows 2000 y puede servir a todas las versiones de clientes de Windows compatibles con Microsoft, incluido Windows 10. Samba 4 es un producto de servidor rico en funciones que también proporciona una implementación de un servidor de archivos, un servicio de impresión y un servidor de identidad (winbind).
Llave en Samba 4.13:
- Protección adicional contra vulnerabilidades (CVE-2020-1472) permite a un atacante obtener derechos administrativos en un controlador de dominio en sistemas que no utilizan la configuración "server schannel = yes".
- El requisito mínimo de la versión de Python se ha aumentado de Python 3.5 a Python 3.6. La capacidad de construir un servidor de archivos con Python 2 se ha mantenido por ahora (antes de ejecutar ./configure' y 'make' debes configurar la variable de entorno 'PYTHON=python2'), pero en la siguiente rama se eliminará y Python Se requerirá 3.6 para la construcción.
- La funcionalidad “enlaces anchos = sí”, que permite a los administradores de servidores de archivos crear enlaces simbólicos a un área fuera de la partición SMB/CIFS actual, se ha movido de smbd a un módulo separado “vfs_widelinks”. Actualmente, este módulo se carga automáticamente si el parámetro "enlaces anchos = sí" está presente en la configuración. En el futuro, se planea eliminar el soporte para "enlaces anchos = sí" debido a problemas de seguridad, y se recomienda encarecidamente a los usuarios de samba que cambien de "enlaces anchos = sí" al uso de "mount --bind" para montar partes externas de el sistema de archivos.
- La compatibilidad con el controlador de dominio en modo clásico ha quedado obsoleta. Los usuarios de controladores de dominio tipo NT4 ("clásicos") deberían pasar a utilizar controladores de dominio Samba Active Directory para poder trabajar con clientes Windows modernos.
- Métodos de autenticación inseguros obsoletos que solo se pueden usar con el protocolo SMBv1: "inicios de sesión de dominio", "autenticación NTLMv2 sin formato", "autenticación de cliente en texto plano", "autenticación de cliente NTLMv2", "autenticación de cliente lanman" y "uso de cliente spnego".
- Se eliminó la compatibilidad con la opción “ldap ssl ads” de smb.conf. Se espera que la opción "server schannel" se elimine en la próxima versión.
Fuente: opennet.ru