Eftir 6 mánaða þróun var Samba 4.21.0 útgáfan kynnt, sem hélt áfram þróun Samba 4 útibúsins með fullri útfærslu á lénsstýringu og Active Directory þjónustu, samhæft við Windows 2008 útfærsluna og getur þjónað öllum Microsoft- studdar útgáfur af Windows viðskiptavinum, þar á meðal Windows 11. Samba 4 er margnota miðlaravara sem veitir einnig útfærslu á skráarþjóni, prentþjónustu og auðkenningarþjóni (winbind).
Helstu breytingar á Samba 4.20:
- Aukið öryggi við vinnslu „gildra notenda“, „ógildra notenda“, „lesa lista“ og „skrifa lista“. Ef, vegna gagnaflutningsvillu, var ekki hægt að ákvarða SID eftir notanda- eða hópnafni, er vandkvæðum færslunni í listunum ekki hunsað, heldur leiðir það til þess að villa birtist. Notendur og hópar sem ekki eru til eru hunsaðir.
- В netþjónn LDAP реализована возможность аутентификации при помощи SASL через Kerberos или NTLMSSP с пробросом соединений поверх TLS (ldaps или starttls). Значение по умолчанию настройки ‘ldap server require strong auth’ теперь подразумевает использование SASL поверх TLS, что эквивалентно выставлению LdapEnforceChannelBinding в параметрах NTDS на платформе Windows.
- LDB útfærslan sem notuð er í Samba AD DC er nú sett saman í formi almenningsbókasafns án þess að búa til sérstakt tjarasafn. Fjarlægði LDB Modules API bindinguna fyrir Python, sem hefur verið ónothæf í nokkur ár. Breytt Unicode meðhöndlun í LDB.
- Sum Samba almenningsbókasöfn (dcerpc-samr, samba-policy, tevent-util, dcerpc, samba-hostconfig, samba-credentials, dcerpc_server og samdb) eru sjálfgefið einkarekin.
- Veitti möguleika á að nota ldaps frá 'winbindd' og 'net ads'. Bætti við stuðningi við „starttls“ gildi til að nota STARTTLS á tcp tengi 389 og „ldaps“ til að nota TLS á tcp tengi 636 við stillinguna „client ldap sasl wrapping“.
- Bætti við nýjum valkosti „dns hostname“ til að stilla nafn biðlara í DNS (sjálfgefið „[netbios name].[realm]“).
- Samba AD útfærir snúning á útrunnum lykilorðum fyrir reikninga sem nota snjallkort til að skrá sig inn (stillingin „snjallkort krefjast innskráningar“ er tilgreind), og lykilorðið er notað sem varahluti þegar farið er aftur í NTLM eða til að dulkóða staðbundið snið.
- Leyft að skilgreina „neitunarvaldsskrár“ og „fela skrár“ stillingar í tengslum við einstaka notendur og hópa. Til dæmis, "fela skrár: USERNAME = /einhver skrá.txt/".
- Virkjað sjálfvirka uppfærslu á lyklaflipa eftir að hafa breytt lykilorðinu sem notað er til að auðkenna tölvu á léni (aðgangsorð vélarinnar).
- Nýrri VFS einingu hefur verið bætt við fyrir Ceph skráarkerfið, sem notar lágstig libcephfs API og gerir ráð fyrir meiri afköstum miðað við núverandi cephfs einingu. Til að stilla nýja einingu í smb.conf, notaðu nafnið 'ceph_new' í stað 'ceph'.
- Bætt við stuðningi við gMSA (Group Managed Service Account) stýrða reikninga, sem samsvarar virknistigi Active Directory Domain Services 2012 (Functional Level 2012). Bætti skipunum við samba-tool tólið til að vinna með gMSA rótarlykla (KDS), eins og „samba-tool domain kds root_key create“ og „samba-tool domain kds root_key list“.
- Stuðningur við virknistig Active Directory Domain Services 2012R2 (Functional Level 2012R2) hefur verið innleiddur.
- Unnið hefur verið að því að útvega endurteknar byggingar til að tryggja að tvöfaldurinn sé byggður úr frumkóðanum sem gefinn er upp. Til dæmis er byggingarniðurstaðan nú ekki háð staðsetningarstillingum og möppunni þar sem byggingin var framkvæmd.
- Bætt við vörn gegn endurspeglun í /proc viðkvæmra gagna sem tilgreind eru þegar hringt er í Samba tól, þannig að þessi gögn eru ekki sýnileg í úttakinu á ps eða toppnum.
Heimild: opennet.ru
