หลังจากการพัฒนาเป็นเวลา 6 เดือน Samba 4.20.0 ได้ถูกนำเสนอ ซึ่งยังคงพัฒนาสาขา Samba 4 ต่อไปด้วยการใช้งานตัวควบคุมโดเมนและบริการ Active Directory อย่างเต็มรูปแบบ ซึ่งเข้ากันได้กับการใช้งาน Windows 2008 และสามารถให้บริการ Microsoft- ทั้งหมดได้ ไคลเอนต์ Windows เวอร์ชันที่รองรับ รวมถึง Windows 11 Samba 4 เป็นผลิตภัณฑ์เซิร์ฟเวอร์มัลติฟังก์ชั่นที่ให้การใช้งานเซิร์ฟเวอร์ไฟล์ บริการการพิมพ์ และเซิร์ฟเวอร์ระบุตัวตน (winbind)
การเปลี่ยนแปลงที่สำคัญใน Samba 4.20:
- ตามค่าเริ่มต้น บิลด์ของยูทิลิตี้ใหม่ “wspsearch” จะถูกเปิดใช้งานพร้อมกับการใช้งานไคลเอนต์ทดลองสำหรับโปรโตคอล WSP (Windows Search Protocol) ยูทิลิตี้นี้ช่วยให้คุณสามารถส่งคำขอค้นหาไปยังเซิร์ฟเวอร์ Windows ที่ใช้บริการ WSP
- คำสั่ง "smbcacls" ให้การสนับสนุนการเขียน DACL ไปยังไฟล์และการกู้คืน DACL จากไฟล์ ข้อมูลจะถูกบันทึกในรูปแบบที่รองรับโดยยูทิลิตี้ Windows 'icacls.exe' ซึ่งช่วยให้มั่นใจในการพกพาไฟล์ด้วย DACL ที่บันทึกไว้ (รายการควบคุมการเข้าถึงตามดุลยพินิจ)
- ส่วนขยายสำหรับนโยบายการเข้าถึง Active Directory แบบรวมศูนย์ (การอ้างสิทธิ์) นโยบายการตรวจสอบสิทธิ์ (นโยบายการตรวจสอบสิทธิ์) และคอนเทนเนอร์นโยบาย (ไซโลการตรวจสอบสิทธิ์) ได้ถูกเพิ่มลงในยูทิลิตี้ “samba-tool” ขณะนี้ Samba-tool สามารถใช้เพื่อผูกผู้ใช้เพื่ออ้างสิทธิ์เพื่อใช้ในภายหลังในกฎที่กำหนดว่าผู้ใช้สามารถเข้าถึงนโยบายการตรวจสอบสิทธิ์ได้หรือไม่
นอกจากนี้ ยูทิลิตี้ samba-tool ยังสามารถใช้เพื่อสร้างและจัดการนโยบายการตรวจสอบสิทธิ์ รวมถึงสร้างและจัดการคอนเทนเนอร์นโยบายได้อีกด้วย ตัวอย่างเช่น การใช้ samba-tool คุณสามารถกำหนดได้ว่าผู้ใช้สามารถเชื่อมต่อได้จากที่ไหนและที่ไหน อนุญาตให้ใช้ NTLM หรือไม่ และบริการใดบ้างที่ผู้ใช้สามารถตรวจสอบสิทธิ์ได้
- ตัวควบคุมโดเมน Active Directory ที่ใช้ Samba ได้เพิ่มการรองรับนโยบายการรับรองความถูกต้องและไซโลการรับรองความถูกต้องที่สร้างขึ้นผ่านยูทิลิตี้ samba-tool หรือนำเข้าจากการกำหนดค่า Microsoft AD คุณลักษณะนี้ใช้ได้เฉพาะบนระบบที่มีระดับการทำงานของ Active Directory อย่างน้อย 2012_R2 (“ระดับการทำงานของ ad dc = 2016” ใน smb.conf)
- ยูทิลิตี้ samba-tool ได้เพิ่มการรองรับฝั่งไคลเอ็นต์สำหรับบัญชี gMSA (บัญชีบริการที่จัดการกลุ่ม) ซึ่งใช้รหัสผ่านที่อัปเดตอัตโนมัติ คำสั่งการจัดการรหัสผ่านที่ให้ไว้ใน samba-tool ซึ่งก่อนหน้านี้สามารถใช้ได้เฉพาะกับฐานข้อมูล sam.ldb ในเครื่องเท่านั้น ขณะนี้สามารถนำไปใช้กับเซิร์ฟเวอร์ภายนอกที่มีการเข้าถึงที่ได้รับการรับรองความถูกต้องโดยใช้ตัวเลือก “-H ldap://$DCNAME” การดำเนินการที่รองรับ ได้แก่: "getpassword ผู้ใช้ samba-tool" เพื่ออ่านรหัสผ่าน gMSA ปัจจุบันและที่ผ่านมา “ผู้ใช้ samba-tool get-kerberos-ticket” เพื่อเขียน Kerberos TGT (Ticket Granting Ticket) ไปยังแคชของบัญชีในเครื่อง
- เพิ่มการสนับสนุนสำหรับรายการควบคุมการเข้าถึงแบบมีเงื่อนไข (ACE แบบมีเงื่อนไข) ซึ่งอนุญาตให้เข้าถึงหรือบล็อกได้ขึ้นอยู่กับเงื่อนไขเพิ่มเติม - หากนิพจน์แบบมีเงื่อนไขไม่ทำงาน ACE จะถูกละเว้น มิฉะนั้นจะถูกใช้เป็น ACE ปกติ การตรวจสอบแบบมีเงื่อนไขยังสามารถนำไปใช้กับแอตทริบิวต์ของอ็อบเจ็กต์ที่กำหนดความปลอดภัยได้ ซึ่งอธิบายโดยแอตทริบิวต์ของทรัพยากรระบบ (Resource Attribute ACE)
- การใช้งานคลัสเตอร์ ctdb ได้เพิ่มความสามารถในการให้บริการ MS-SWN (Service Witness Protocol) ซึ่งไคลเอนต์สามารถตรวจสอบการเชื่อมต่อ SMB ไปยังโหนดคลัสเตอร์ได้ ตัวอย่างเช่น ไคลเอนต์ที่เชื่อมต่อกับโหนด "A" สามารถร้องขอโหนด "B" เพื่อส่งการแจ้งเตือนหากไม่สามารถเข้าถึงโหนด "A" ได้ ในการจัดการบริการ มีการเสนอชุดคำสั่ง “net พยาน [list|client-move|share-move|force-unregister|force-response]” ซึ่งช่วยให้ผู้ดูแลระบบคลัสเตอร์สามารถดูไคลเอ็นต์ที่ลงทะเบียนและขอให้ถ่ายโอนการเชื่อมต่อ ไปยังโหนดคลัสเตอร์อื่นๆ
- การกำหนดค่าด้วย MIT Kerberos5 ที่ทำงานเป็นตัวควบคุมโดเมน Active Directory ตอนนี้จำเป็นต้องมี MIT Krb5 เวอร์ชัน 1.21 เป็นอย่างน้อย ซึ่งจะเพิ่มการป้องกันเพิ่มเติมต่อช่องโหว่ CVE-2022-37967
- เมื่อสร้างด้วย Heimdal Kerberos ที่นำเข้า ไม่จำเป็นต้องติดตั้งโมดูล Perl JSON อีกต่อไป แต่จะใช้โมดูล JSON::PP ที่สร้างใน Perl5 แทน
- คำสั่ง "samba-tool user getpassword" และ "samba-tool user syncpasswords" ที่ใช้ในการกำหนดและซิงโครไนซ์รหัสผ่านได้เปลี่ยนแปลงเอาต์พุตเมื่อใช้พารามิเตอร์ ";rounds=" พร้อมด้วยแอตทริบิวต์ virtualCryptSHA256 และ virtualCryptSHA512 (เช่น '—attributes ="virtualCryptSHA256; รอบ=50000″') เดิมคือ: virtualCryptSHA256: {CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF ตอนนี้: virtualCryptSHA256;rounds=2561:{CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF
- การใช้งาน MS-WKST (Workstation Service Remote Protocol) ไม่รองรับการแสดงรายชื่อผู้ใช้ที่เชื่อมต่อตามเนื้อหาของไฟล์ /var/run/utmp ซึ่งเก็บข้อมูลเกี่ยวกับผู้ใช้ที่ทำงานอยู่ในระบบอีกต่อไป การสนับสนุน utmp ถูกยกเลิกเนื่องจากรูปแบบมีช่องโหว่ต่อปัญหาปี 2038
ที่มา: opennet.ru