libération , qui a poursuivi le développement de la branche avec une implémentation complète d'un contrôleur de domaine et d'un service Active Directory, compatible avec l'implémentation de Windows 2000 et capable de prendre en charge toutes les versions de clients Windows prises en charge par Microsoft, y compris Windows 10. Samba 4 est un produit serveur multifonctionnel qui fournit également l'implémentation de un serveur de fichiers, un service d'impression et un serveur d'identité (winbind).
Clé dans Samba 4.13 :
- Protection contre les vulnérabilités ajoutée (CVE-2020-1472) permet à un attaquant d'obtenir des droits d'administration sur un contrôleur de domaine sur des systèmes qui n'utilisent pas le paramètre « server schannel = yes ».
- La version minimale requise de Python a été augmentée de Python 3.5 à Python 3.6. La possibilité de créer un serveur de fichiers avec Python 2 est toujours disponible (avant d'exécuter ./configure' et 'make', vous devez définir la variable d'environnement 'PYTHON=python2'), mais dans la branche suivante, elle sera supprimée et Python 3.6 le sera. être nécessaire pour le montage.
- La fonctionnalité « liens larges = oui », qui permet aux administrateurs de serveurs de fichiers de créer des liens symboliques vers une zone en dehors de la partition SMB/CIFS actuelle, a été déplacée de smbd vers un module « vfs_widelinks » distinct. Actuellement, ce module se charge automatiquement si le paramètre « liens larges = oui » est présent dans les paramètres. À l'avenir, il est prévu de supprimer la prise en charge de "wide links = yes" en raison de problèmes de sécurité, et les utilisateurs de samba sont fortement encouragés à passer de "wide links = yes" à l'utilisation de "mount --bind" pour monter des parties externes de le système de fichiers.
- La prise en charge des contrôleurs de domaine en mode classique est obsolète. Les utilisateurs de contrôleurs de domaine de type NT4 (« classiques ») doivent passer aux contrôleurs de domaine Samba Active Directory pour pouvoir travailler avec des clients Windows modernes.
- Méthodes d'authentification non sécurisées obsolètes qui ne peuvent être utilisées qu'avec le protocole SMBv1 : « connexions de domaine », « authentification NTLMv2 brute », « authentification en texte brut client », « authentification NTLMv2 client », « authentification lanman client » et « utilisation client spnego ».
- La prise en charge de l'option « ldap ssl ads » a été supprimée de smb.conf. L'option "server schannel" devrait être supprimée dans la prochaine version.
Source: opennet.ru