Efter 6 månaders utveckling presenterades Samba 4.20.0-versionen, som fortsatte utvecklingen av Samba 4-grenen med en fullständig implementering av en domänkontrollant och Active Directory-tjänst, kompatibel med Windows 2008-implementeringen och som kan betjäna alla Microsoft- versioner av Windows-klienter som stöds, inklusive Windows 11. Samba 4 är en multifunktionell serverprodukt som även tillhandahåller implementering av en filserver, utskriftstjänst och identifieringsserver (winbind).
Viktiga ändringar i Samba 4.20:
- Som standard är byggandet av det nya verktyget "wspsearch" aktiverat med implementeringen av en experimentell klient för WSP-protokollet (Windows Search Protocol). Verktyget låter dig skicka sökförfrågningar till en Windows-server som kör WSP-tjänsten.
- Kommandot "smbcacls" ger stöd för att skriva DACL till en fil och återställa DACL från en fil. Data sparas i ett format som stöds av Windows-verktyget 'icacls.exe', vilket säkerställer portabilitet av filer med sparad DACL (Discretionary Access Control List).
- Tillägg för centraliserade Active Directory-åtkomstpolicyer (anspråk), autentiseringspolicyer (autentiseringspolicyer) och policybehållare (autentiseringssilos) har lagts till i verktyget "samba-tool". Samba-tool kan nu användas för att binda en användare till anspråk för senare användning i regler som avgör om en användare kan komma åt en autentiseringspolicy.
Dessutom kan samba-tool-verktyget nu användas för att skapa och hantera autentiseringspolicyer, samt för att skapa och hantera policycontainrar. Med hjälp av samba-tool kan du till exempel bestämma var och var användaren kan ansluta från, om NTLM är tillåtet och i vilka tjänster användaren kan autentiseras.
- Den Samba-baserade Active Directory-domänkontrollanten har lagt till stöd för autentiseringspolicyer och autentiseringssilor skapade genom samba-tool-verktyget eller importerade från Microsoft AD-konfigurationer. Funktionen är endast tillgänglig på system med en Active Directory-funktionsnivå på minst 2012_R2 ("ad dc functional level = 2016" i smb.conf).
- Verktyget samba-tool har lagt till stöd på klientsidan för gMSA-konton (Group Managed Service Account), som använder automatiskt uppdaterade lösenord. Lösenordshanteringskommandona i samba-tool, som tidigare bara kunde användas med den lokala sam.ldb-databasen, kan nu appliceras på en extern server med autentiserad åtkomst genom att använda alternativet "-H ldap://$DCNAME". Funktioner som stöds inkluderar: "samba-tool user getpassword" för att läsa nuvarande och tidigare gMSA-lösenord; "samba-tool user get-kerberos-ticket" för att skriva Kerberos TGT (Ticket Granting Ticket) till den lokala kontocachen.
- Stöd för villkorad åtkomstkontroll (Conditional ACEs) har lagts till, vilket gör att åtkomst tillåts eller blockeras beroende på ytterligare villkor - om det villkorliga uttrycket inte fungerar ignoreras ACE, annars tillämpas den som en vanlig ACE. Villkorskontroller kan också tillämpas på säkra objektattribut som beskrivs av systemresursattribut (Resource Attribute ACEs).
- Ctdb-klusterimplementeringen har lagt till möjligheten att tillhandahålla tjänsten MS-SWN (Service Witness Protocol), med vilken klienter kan övervaka sina SMB-anslutningar till klusternoder. Till exempel kan en klient ansluten till nod "A" begära nod "B" att skicka ett meddelande om nod "A" inte kan nås. För att hantera tjänsten föreslås en serie kommandon "net witness [list|client-move|share-move|force-unregister|force-response]" som gör det möjligt för klusteradministratören att se registrerade klienter och begära att anslutningen ska överföras till andra klusternoder.
- Konfigurationer med MIT Kerberos5 som körs som en Active Directory-domänkontrollant kräver nu minst MIT Krb5 version 1.21, vilket ger ytterligare skydd mot CVE-2022-37967 sårbarheten.
- När man bygger med importerade Heimdal Kerberos behöver Perl JSON-modulen inte längre installeras, istället används JSON::PP-modulen inbyggd i Perl5.
- Kommandona "samba-tool user getpassword" och "samba-tool user syncpasswords" som används för att fastställa och synkronisera lösenordet har ändrat utdata när parametern ";rounds=" används med attributen virtualCryptSHA256 och virtualCryptSHA512 (till exempel '—attributes ="virtualCryptSHA256; rounds=50000″'). Var: virtualCryptSHA256: {CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF Nu: virtualCryptSHA256;rounds=2561:{CRYPT}$5$rounds=2561$hXem.M9onhMFSBwFuix$
- Implementeringen av MS-WKST (Workstation Service Remote Protocol) stöder inte längre visning av en lista över anslutna användare baserat på innehållet i filen /var/run/utmp, som lagrar data om användare som för närvarande arbetar i systemet. utmp-stödet har avbrutits på grund av formatets sårbarhet för år 2038-problemet.
Källa: opennet.ru