Na zes maanden ontwikkeling werd de Samba 6-release gepresenteerd, waarmee de ontwikkeling van de Samba 4.21.0-tak werd voortgezet met een volledige implementatie van een domeincontroller en Active Directory-service, compatibel met de Windows 4-implementatie en in staat om alle Microsoft- ondersteunde versies van Windows-clients, waaronder Windows 2008. Samba 11 is een multifunctioneel serverproduct dat ook de implementatie biedt van een bestandsserver, printservice en identificatieserver (winbind).
Belangrijkste wijzigingen in Samba 4.20:
- Verbeterde beveiliging voor het verwerken van de lijsten “geldige gebruikers”, “ongeldige gebruikers”, “leeslijst” en “schrijflijst”. Als het vanwege een fout bij de gegevensoverdracht niet mogelijk is om de SID aan de hand van de gebruikers- of groepsnaam te bepalen, wordt de problematische vermelding in de lijsten niet genegeerd, maar wordt er een fout weergegeven. Niet-bestaande gebruikers en groepen worden genegeerd.
- В server LDAP ondersteunt nu SASL-authenticatie via Kerberos of NTLMSSP met verbindingdoorsturing via TLS (LDAPs of STARTTLS). De standaardwaarde van de instelling 'LDAP-server vereist sterke authenticatie' gebruikt nu SASL via TLS, wat overeenkomt met het instellen van LdapEnforceChannelBinding in de NTDS-instellingen op het Windows-platform.
- De LDB-implementatie die in Samba AD DC wordt gebruikt, is nu gebouwd als een openbare bibliotheek zonder dat er een aparte tarball hoeft te worden aangemaakt. De binding met de LDB Modules API voor Python, die al enkele jaren niet meer werkte, is verwijderd. De Unicode-afhandeling in LDB is gewijzigd.
- Sommige openbare Samba-bibliotheken (dcerpc-samr, samba-policy, tevent-util, dcerpc, samba-hostconfig, samba-credentials, dcerpc_server en samdb) zijn standaard privé gemaakt.
- Mogelijkheid om ldaps te gebruiken vanuit 'winbindd' en 'net ads'. Ondersteuning voor 'starttls' toegevoegd aan de instelling 'client ldap sasl wrapper' om STARTTLS te gebruiken op TCP-poort 389 en 'ldaps' om TLS te gebruiken op TCP-poort 636.
- Een nieuwe optie "dns hostname" toegevoegd om de clientnaam in DNS in te stellen (standaard "[netbios-naam].[realm]").
- Samba AD implementeert rotatie van verlopen wachtwoorden voor accounts die smartcards gebruiken om in te loggen (de instelling "smartcard vereist voor aanmelden" is opgegeven), en het wachtwoord wordt gebruikt als reserve bij het terugdraaien naar NTLM of voor het coderen van een lokaal profiel.
- Toegestaan om de instellingen voor “vetobestanden” en “bestanden verbergen” te definiëren met betrekking tot individuele gebruikers en groepen. Bijvoorbeeld: "bestanden verbergen: GEBRUIKERSNAAM = /eenbestand.txt/".
- Automatische update van keytab ingeschakeld na wijziging van het wachtwoord dat wordt gebruikt om een computer in een domein te authenticeren (machinewachtwoord).
- Er is een nieuwe VFS-module toegevoegd voor Ceph FS, die gebruikmaakt van de low-level libcephfs API en hogere prestaties levert dan de bestaande cephfs-module. Om de nieuwe module in smb.conf te configureren, gebruikt u de naam 'ceph_new' in plaats van 'ceph'.
- Ondersteuning toegevoegd voor door gMSA (Group Managed Service Account) beheerde accounts, overeenkomend met het functionele niveau van Active Directory Domain Services 2012 (Functioneel niveau 2012). Opdrachten toegevoegd aan het samba-tool hulpprogramma voor het werken met gMSA root-sleutels (KDS), zoals “samba-tool domain kds root_key create” en “samba-tool domain kds root_key list”.
- Ondersteuning voor het functionele niveau van Active Directory Domain Services 2012R2 (Functioneel niveau 2012R2) is geïmplementeerd.
- Er is gewerkt aan herhaalbare builds om ervoor te zorgen dat het binaire bestand is opgebouwd op basis van de geleverde broncode. Het buildresultaat is nu bijvoorbeeld niet afhankelijk van de landinstellingen en de directory waarin de build is uitgevoerd.
- Bescherming toegevoegd tegen reflectie in /proc van gevoelige gegevens die zijn opgegeven bij het aanroepen van Samba-hulpprogramma's, zodat deze gegevens niet zichtbaar zijn in de uitvoer van ps of top.
Bron: opennet.ru
