Na zes maanden ontwikkeling werd de Samba 6-release gepresenteerd, waarmee de ontwikkeling van de Samba 4.20.0-tak werd voortgezet met een volledige implementatie van een domeincontroller en Active Directory-service, compatibel met de Windows 4-implementatie en in staat om alle Microsoft- ondersteunde versies van Windows-clients, waaronder Windows 2008. Samba 11 is een multifunctioneel serverproduct dat ook de implementatie biedt van een bestandsserver, printservice en identificatieserver (winbind).
Belangrijkste wijzigingen in Samba 4.20:
- Standaard is de bouw van het nieuwe hulpprogramma “wspsearch” mogelijk gemaakt met de implementatie van een experimentele client voor het WSP-protocol (Windows Search Protocol). Met dit hulpprogramma kunt u zoekopdrachten verzenden naar een Windows-server waarop de WSP-service draait.
- De opdracht "smbcacls" biedt ondersteuning voor het schrijven van DACL's naar een bestand en het herstellen van DACL's vanuit een bestand. Gegevens worden opgeslagen in een formaat dat wordt ondersteund door het Windows-hulpprogramma 'icacls.exe', dat portabiliteit van bestanden met opgeslagen DACL (Discretionary Access Control List) garandeert.
- Uitbreidingen voor gecentraliseerd Active Directory-toegangsbeleid (Claims), authenticatiebeleid (Authenticatiebeleid) en beleidscontainers (Authenticatiesilo's) zijn toegevoegd aan het hulpprogramma "samba-tool". Samba-tool kan nu worden gebruikt om een gebruiker aan claims te binden voor later gebruik in regels die bepalen of een gebruiker toegang heeft tot een authenticatiebeleid.
Bovendien kan het hulpprogramma samba-tool nu worden gebruikt voor het maken en beheren van authenticatiebeleid, en voor het maken en beheren van beleidscontainers. Met de samba-tool kun je bijvoorbeeld bepalen waar en waar de gebruiker verbinding kan maken, of NTLM is toegestaan en bij welke diensten de gebruiker kan worden geauthenticeerd.
- В реализуемом на базе Samba контроллере domein Active Directory добавлена поддержка политик аутентификации (Authentication Policies) и контейнеров политик (Authentication Silos), созданных через утилиту samba-tool или импортированных из конфигураций Microsoft AD. Возможность доступна только на системах с функциональным уровнем Active Directory как минимум 2012_R2 («ad dc functional level = 2016» в smb.conf).
- Het hulpprogramma samba-tool is bijgewerkt met clientondersteuning voor gMSA-accounts (Group Managed Service Account), die gebruikmaken van automatisch bijgewerkte wachtwoorden. De wachtwoordbeheeropdrachten in samba-tool, die voorheen alleen bruikbaar waren met de lokale sam.ldb-database, kunnen nu ook worden toegepast op een externe database. server Voor geauthenticeerde toegang, met behulp van de optie -H ldap://$DCNAME. Ondersteunde bewerkingen zijn onder andere: samba-tool user getpassword om het huidige en vorige gMSA-wachtwoord te lezen; samba-tool user get-kerberos-ticket om het Kerberos TGT (Ticket Granting Ticket) naar de lokale accountcache te schrijven.
- Ondersteuning toegevoegd voor voorwaardelijke toegangscontrole-items (voorwaardelijke ACE's), waardoor toegang kan worden toegestaan of geblokkeerd afhankelijk van aanvullende voorwaarden - als de voorwaardelijke expressie niet werkt, wordt de ACE genegeerd, anders wordt deze toegepast als een gewone ACE. Voorwaardelijke controles kunnen ook worden toegepast op beveiligbare objectkenmerken die worden beschreven door systeembronkenmerken (Resource Attribute ACE's).
- De ctdb-clusterimplementatie heeft de mogelijkheid toegevoegd om de MS-SWN-service (Service Witness Protocol) aan te bieden, waarmee klanten hun SMB-verbindingen met clusterknooppunten kunnen monitoren. Een client die is verbonden met knooppunt "A" kan bijvoorbeeld knooppunt "B" verzoeken een melding te sturen als knooppunt "A" onbereikbaar is. Om de service te beheren, wordt een reeks commando's "netwitness [list|client-move|share-move|force-unregister|force-response]" voorgesteld, waardoor de clusterbeheerder geregistreerde klanten kan bekijken en kan verzoeken dat de verbinding wordt overgedragen naar andere clusterknooppunten.
- Configuraties waarbij MIT Kerberos5 als Active Directory-domeincontroller draait, vereisen nu minimaal MIT Krb5 versie 1.21, wat extra bescherming biedt tegen de CVE-2022-37967-kwetsbaarheid.
- Bij het bouwen met geïmporteerde Heimdal Kerberos hoeft de Perl JSON-module niet langer te worden geïnstalleerd, maar wordt de JSON::PP-module gebruikt die in Perl5 is ingebouwd.
- De opdrachten "samba-tool user getpassword" en "samba-tool user syncpasswords" die worden gebruikt om het wachtwoord te bepalen en te synchroniseren, hebben hun uitvoer gewijzigd bij gebruik van de parameter ";rounds=" met de attributen virtualCryptSHA256 en virtualCryptSHA512 (bijvoorbeeld '—attributes ="virtualCryptSHA256; rondes=50000″'). Was: virtualCryptSHA256: {CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF Nu: virtualCryptSHA256;rounds=2561:{CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF
- De MS-WKST-implementatie (Workstation Service Remote Protocol) ondersteunt niet langer het weergeven van een lijst met verbonden gebruikers op basis van de inhoud van het bestand /var/run/utmp, waarin gegevens worden opgeslagen over gebruikers die momenteel in het systeem werken. utmp-ondersteuning is stopgezet vanwege de kwetsbaarheid van het formaat voor het jaar 2038-probleem.
Bron: opennet.ru
