Dopo 6 mesi di sviluppo, è stata presentata la versione Samba 4.20.0, che ha continuato lo sviluppo del ramo Samba 4 con un'implementazione completa di un controller di dominio e un servizio Active Directory, compatibile con l'implementazione di Windows 2008 e in grado di servire tutti i servizi Microsoft- versioni supportate dei client Windows, incluso Windows 11. Samba 4 è un prodotto server multifunzionale che fornisce anche l'implementazione di un file server, servizio di stampa e server di identificazione (winbind).
Cambiamenti chiave in Samba 4.20:
- Per impostazione predefinita, la compilazione della nuova utility “wspsearch” è abilitata con l'implementazione di un client sperimentale per il protocollo WSP (Windows Search Protocol). L'utilità consente di inviare richieste di ricerca a un server Windows che esegue il servizio WSP.
- Il comando "smbcacls" fornisce il supporto per scrivere DACL su un file e ripristinare DACL da un file. I dati vengono salvati in un formato supportato dall'utilità Windows "icacls.exe", che garantisce la portabilità dei file con DACL (Discretionary Access Control List) salvato.
- All'utilità "samba-tool" sono state aggiunte estensioni per policy di accesso centralizzate ad Active Directory (Claim), policy di autenticazione (Authentication Policies) e contenitori di policy (Authentication Silos). Lo strumento Samba può ora essere utilizzato per associare un utente alle attestazioni per un utilizzo successivo nelle regole che determinano se un utente può accedere a una policy di autenticazione.
Inoltre, l'utilità samba-tool ora può essere utilizzata per creare e gestire policy di autenticazione, nonché per creare e gestire contenitori di policy. Ad esempio, utilizzando lo strumento samba è possibile determinare da dove e da dove l'utente può connettersi, se NTLM è consentito e in quali servizi l'utente può essere autenticato.
- Il controller di dominio Active Directory basato su Samba ha aggiunto il supporto per le policy di autenticazione e i silos di autenticazione creati tramite l'utilità samba-tool o importati dalle configurazioni Microsoft AD. La funzionalità è disponibile solo su sistemi con un livello funzionale Active Directory pari almeno a 2012_R2 ("livello funzionale ad dc = 2016" in smb.conf).
- L'utilità samba-tool ha aggiunto il supporto lato client per gli account gMSA (Group Managed Service Account), che utilizzano password aggiornate automaticamente. I comandi di gestione delle password forniti in samba-tool, che in precedenza potevano essere utilizzati solo con il database sam.ldb locale, possono ora essere applicati a un server esterno con accesso autenticato utilizzando l'opzione "-H ldap://$DCNAME". Le operazioni supportate includono: "samba-tool user getpassword" per leggere la password gMSA attuale e passata; "utente samba-tool get-kerberos-ticket" per scrivere Kerberos TGT (Ticket Granting Ticket) nella cache dell'account locale.
- Aggiunto il supporto per le voci di controllo dell'accesso condizionale (ACE condizionali), consentendo di consentire o bloccare l'accesso in base a condizioni aggiuntive: se l'espressione condizionale non funziona, l'ACE viene ignorato, altrimenti viene applicato come un normale ACE. I controlli condizionali possono essere applicati anche agli attributi degli oggetti protetti descritti dagli attributi delle risorse di sistema (ACE degli attributi delle risorse).
- L'implementazione del cluster ctdb ha aggiunto la possibilità di fornire il servizio MS-SWN (Service Witness Protocol), con il quale i client possono monitorare le proprie connessioni SMB ai nodi del cluster. Ad esempio, un client connesso al nodo "A" può richiedere al nodo "B" di inviare una notifica se il nodo "A" non è raggiungibile. Per gestire il servizio vengono proposti una serie di comandi “net Witness [list|client-move|share-move|force-unregister|force-response]” che consentono all'amministratore del cluster di visualizzare i client registrati e richiedere il trasferimento della connessione ad altri nodi del cluster.
- Le configurazioni con MIT Kerberos5 in esecuzione come controller di dominio Active Directory ora richiedono almeno MIT Krb5 versione 1.21, che aggiunge ulteriore protezione contro la vulnerabilità CVE-2022-37967.
- Quando si compila con Heimdal Kerberos importato, non è più necessaria l'installazione del modulo Perl JSON, viene invece utilizzato il modulo JSON::PP integrato in Perl5.
- I comandi "samba-tool user getpassword" e "samba-tool user syncpasswords" utilizzati per determinare e sincronizzare la password hanno modificato il loro output quando si utilizza il parametro ";rounds=" con gli attributi virtualCryptSHA256 e virtualCryptSHA512 (ad esempio, '—attributes ="virtualCryptSHA256; giri=50000″'). Era: virtualCryptSHA256: {CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF Ora: virtualCryptSHA256;rounds=2561:{CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF
- L'implementazione MS-WKST (Workstation Service Remote Protocol) non supporta più la visualizzazione di un elenco di utenti connessi in base al contenuto del file /var/run/utmp, che memorizza i dati sugli utenti che attualmente lavorano nel sistema. il supporto utmp è stato interrotto a causa della vulnerabilità del formato al problema dell'anno 2038.
Fonte: opennet.ru