Izdanje Sambe 4.20.0

Nakon 6 mjeseci razvoja, objavljena je Samba 4.20.0, nastavljajući razvoj Samba 4 grane s potpunom implementacijom kontrolera domene i usluge Active Directory kompatibilne s implementacijom. Windows 2008 i sposoban za rad sa svim verzijama koje podržava Microsoft Windows- klijenti, uključujući Windows 11. Samba 4 je višenamjenski poslužiteljski proizvod koji također pruža poslužitelj datoteka, uslugu ispisa i poslužitelj za autentifikaciju (winbind).

Ključne promjene u Sambi 4.20:

  • Prema zadanim postavkama, omogućena je izgradnja novog uslužnog programa "wspsearch" s implementacijom eksperimentalnog klijenta za WSP protokol (Windows Protokol pretraživanja). Uslužni program vam omogućuje slanje upita za pretraživanje Windows- poslužitelj na kojem se izvodi WSP usluga.
  • Naredba "smbcacls" sada podržava pisanje DACL-ova u datoteku i vraćanje DACL-ova iz datoteke. Podaci se spremaju u formatu koji podržava Windows- uslužni program 'icacls.exe' koji osigurava prenosivost datoteka sa spremljenim DACL-om (diskrecijski popis kontrole pristupa).
  • Uslužnom programu "samba-tool" dodana su proširenja za centralizirane politike pristupa (Claims), politike autentifikacije (Authentication Policies) i spremnike politika (Authentication Silos). Samba-tool se sada može koristiti za povezivanje korisnika sa zahtjevima za naknadnu upotrebu u pravilima koja određuju pristup unutar politike autentifikacije.

    Osim toga, uslužni program samba-tool sada se može koristiti za stvaranje i upravljanje pravilima za autentifikaciju, kao i za stvaranje i upravljanje spremnicima pravila. Na primjer, samba-tool se može koristiti za određivanje odakle se korisnik može povezati i na koje se usluge korisnik može autentificirati ako je NTLM omogućen, te na koje se usluge korisnik može autentificirati.

  • U kontroleru temeljenom na Sambi domena Active Directory sada podržava pravila autentifikacije (Authentication Policies) i spremnike pravila (Authentication Silos) kreirane pomoću uslužnog programa samba-tool ili uvezene iz konfiguracija Microsoft AD-a. Ova je značajka dostupna samo na sustavima s funkcionalnom razinom Active Directoryja od najmanje 2012_R2 ("ad dc funkcionalna razina = 2016" u smb.conf).
  • Uslužni program samba-tool ažuriran je s podrškom na strani klijenta za gMSA (Grupni upravljani servisni račun) račune koji koriste automatski ažurirane lozinke. Naredbe za upravljanje lozinkama dostupne u samba-toolu, koje su se prije mogle koristiti samo s lokalnom bazom podataka sam.ldb, sada se mogu primijeniti na vanjsku bazu podataka. poslužitelja za autentificirani pristup, korištenjem opcije -H ldap://$DCNAME. Podržane operacije uključuju: samba-tool user getpassword za čitanje trenutne i prošle gMSA lozinke; samba-tool user get-kerberos-ticket za pisanje Kerberos TGT-a (Ticket Granting Ticket) u lokalni predmemoriju računa.
  • Dodana je podrška za unose uvjetne kontrole pristupa (uvjetni ACE-ovi), koji omogućuju dopuštanje ili blokiranje pristupa na temelju dodatnih uvjeta. Ako uvjetni izraz ne uspije, ACE se zanemaruje; u suprotnom se primjenjuje kao redovni ACE. Uvjetne provjere mogu se primijeniti i na atribute zaštićenog objekta opisane atributima sistemskih resursa (ACE-ovi atributa resursa).
  • Implementacija klastera ctdb sada podržava uslugu MS-SWN (Service Witness Protocol) koja klijentima omogućuje praćenje njihovih SMB veza s čvorovima klastera. Na primjer, klijent spojen na čvor "A" može zatražiti od čvora "B" da pošalje obavijest ako čvor "A" postane nedostupan. Za upravljanje uslugom dostupan je niz naredbi "net witness [list|client-move|share-move|force-unregister|force-response]". Ove naredbe omogućuju administratoru klastera pregled registriranih klijenata i zahtjev za prijenos veze na druge čvorove klastera.
  • Konfiguracije s MIT Kerberos5 koji se izvodi kao kontroler domene Active Directory sada zahtijevaju barem MIT Krb5 verziju 1.21, što dodaje dodatnu zaštitu od ranjivosti CVE-2022-37967.
  • Izgradnja s uvezenim Heimdal Kerberosom više ne zahtijeva instaliranje JSON Perl modula, već umjesto toga koristi ugrađeni Perl5 JSON::PP modul.
  • U naredbama "samba-tool user getpassword" i "samba-tool user syncpasswords" koje se koriste za određivanje i sinkronizaciju lozinki, izlaz se promijenio pri korištenju parametra ";rounds=" s atributima virtualCryptSHA256 i virtualCryptSHA512 (npr. '—attributes="virtualCryptSHA256;rounds=50000"). Prije: virtualCryptSHA256: {CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF Sada: virtualCryptSHA256;rounds=2561:{CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF
  • Implementacija MS-WKST-a (Workstation Service Remote Protocol) više ne podržava popisivanje povezanih korisnika na temelju sadržaja datoteke /var/run/utmp, koja pohranjuje podatke o korisnicima trenutno prijavljenima na sustav. Podrška za utmp je ukinuta zbog ranjivosti formata na problem s godinom 2038.

Izvor: opennet.ru

Kupite pouzdan hosting za stranice s DDoS zaštitom, VPS VDS poslužiteljima 🔥 Kupite pouzdan web hosting sa DDoS zaštitom, VPS VDS servere | ProHoster