Despois de 6 meses de desenvolvemento, presentouse a versión Samba 4.21.0, que continuou co desenvolvemento da rama Samba 4 cunha implementación completa dun controlador de dominio e un servizo Active Directory, compatible coa implementación de Windows 2008 e capaz de servir a todos os Microsoft- versións compatibles de clientes Windows, incluíndo Windows 11. Samba 4 é un produto de servidor multifuncional que tamén ofrece a implementación dun servidor de ficheiros, servizo de impresión e servidor de identificación (winbind).
Cambios clave en Samba 4.20:
- Seguridade mellorada para procesar as listas de "usuarios válidos", "usuarios non válidos", "lista de lectura" e "lista de escritura". Se, debido a un erro de transferencia de datos, non foi posible determinar o SID polo nome do usuario ou do grupo, a entrada problemática das listas non se ignora, senón que se mostra un erro. Os usuarios e grupos inexistentes son ignorados.
- В servidor LDAP agora admite a autenticación SASL a través de Kerberos ou NTLMSSP con reenvío de conexións sobre TLS (LDAP ou STARTTLS). O valor predeterminado da configuración "O servidor LDAP require autenticación forte" agora usa SASL sobre TLS, o que é equivalente a configurar LdapEnforceChannelBinding na configuración de NTDS na plataforma Windows.
- A implementación LDB usada en Samba AD DC está agora compilada en forma de biblioteca pública sen crear un arquivo tar separado. Eliminouse a ligazón API de módulos LDB para Python, que estivo inutilizable durante varios anos. Cambiouse o manexo de Unicode en LDB.
- Algunhas bibliotecas públicas de Samba (dcerpc-samr, samba-policy, tevent-util, dcerpc, samba-hostconfig, samba-credentials, dcerpc_server e samdb) fanse privadas por defecto.
- Proporcionou a posibilidade de usar ldaps de 'winbindd' e 'net ads'. Engadiuse compatibilidade con valores "starttls" para usar STARTTLS no porto tcp 389 e "ldaps" para usar TLS no porto tcp 636 á configuración "client ldap sasl wrapping".
- Engadiuse unha nova opción "dns hostname" para establecer o nome do cliente en DNS (predeterminado "[netbios name].[realm]").
- Samba AD implementa a rotación de contrasinais caducados para as contas que usan tarxetas intelixentes para iniciar sesión (especifícase a configuración de "tarxeta intelixente require para iniciar sesión") e o contrasinal utilízase como alternativa ao volver a NTLM ou para cifrar un perfil local.
- Permítese definir os axustes de "veto ficheiros" e "ocultar ficheiros" en relación con usuarios individuais e grupos. Por exemplo, "ocultar ficheiros: USERNAME = /somefile.txt/".
- Activouse a actualización automática de keytab despois de cambiar o contrasinal utilizado para autenticar un ordenador nun dominio (contrasinal da máquina).
- Engadiuse un novo módulo VFS para o sistema de ficheiros Ceph, que utiliza a API libcephfs de baixo nivel e permite un maior rendemento en comparación co módulo cephfs existente. Para configurar un novo módulo en smb.conf, use o nome "ceph_new" en lugar de "ceph".
- Engadido soporte para contas xestionadas gMSA (Group Managed Service Account), correspondentes ao nivel funcional de Active Directory Domain Services 2012 (Nivel funcional 2012). Engadíronse comandos á utilidade samba-tool para traballar con chaves raíz gMSA (KDS), como "samba-tool domain kds root_key create" e "samba-tool domain kds root_key list".
- Implementouse o soporte para o nivel funcional dos servizos de dominio de Active Directory 2012R2 (nivel funcional 2012R2).
- Traballouse para proporcionar compilacións repetibles para garantir que o binario se constrúe a partir do código fonte proporcionado. Por exemplo, o resultado da compilación agora non depende da configuración rexional e do directorio no que se realizou a compilación.
- Engadiuse protección contra o reflexo en /proc dos datos sensibles especificados ao chamar ás utilidades de Samba, para que estes datos non sexan visibles na saída de ps ou top.
Fonte: opennet.ru
