经过 6 个月的开发,Samba 4.20.0 版本发布,它继续 Samba 4 分支的开发,全面实现了域控制器和 Active Directory 服务,与 Windows 2008 实现兼容并能够为所有 Microsoft-支持的 Windows 客户端版本,包括 Windows 11。Samba 4 是一款多功能服务器产品,还提供文件服务器、打印服务和识别服务器 (winbind) 的实现。
Samba 4.20 的主要变化:
- 默认情况下,新实用程序“wspsearch”的构建是通过实施 WSP(Windows 搜索协议)协议的实验客户端来启用的。该实用程序允许您将搜索请求发送到运行 WSP 服务的 Windows 服务器。
- “smbcacls”命令支持将 DACL 写入文件以及从文件恢复 DACL。数据以 Windows 实用程序“icacls.exe”支持的格式保存,这确保了保存有 DACL(自由访问控制列表)的文件的可移植性。
- 集中式 Active Directory 访问策略(声明)、身份验证策略(身份验证策略)和策略容器(身份验证筒仓)的扩展已添加到“samba-tool”实用程序中。 Samba-tool 现在可用于将用户绑定到声明,以便稍后在确定用户是否可以访问身份验证策略的规则中使用。
此外,samba-tool 实用程序现在可用于创建和管理身份验证策略,以及创建和管理策略容器。例如,使用 samba-tool,您可以确定用户可以从何处进行连接、是否允许 NTLM,以及可以在哪些服务中对用户进行身份验证。
- 基于 Samba 的 Active Directory 域控制器添加了对通过 samba-tool 实用程序创建或从 Microsoft AD 配置导入的身份验证策略和身份验证筒仓的支持。该功能仅适用于 Active Directory 功能级别至少为 2012_R2 的系统(smb.conf 中的“ad dc 功能级别 = 2016”)。
- samba-tool 实用程序添加了对 gMSA(组托管服务帐户)帐户的客户端支持,该帐户使用自动更新的密码。 samba-tool 中提供的密码管理命令以前只能与本地 sam.ldb 数据库一起使用,现在可以使用“-H ldap://$DCNAME”选项应用于经过身份验证访问的外部服务器。支持的操作包括:“samba-tool user getpassword”读取当前和过去的 gMSA 密码; “samba-tool user get-kerberos-ticket”将 Kerberos TGT(票证授予票证)写入本地帐户缓存。
- 添加了对条件访问控制条目(条件 ACE)的支持,允许根据附加条件允许或阻止访问 - 如果条件表达式不起作用,则忽略 ACE,否则将作为常规 ACE 应用。条件检查还可以应用于系统资源属性(资源属性 ACE)描述的安全对象属性。
- ctdb 集群实现增加了提供 MS-SWN(服务见证协议)服务的能力,客户端可以通过该服务监控其与集群节点的 SMB 连接。例如,如果节点“A”不可到达,则连接到节点“A”的客户端可以请求节点“B”发送通知。为了管理服务,提出了一系列命令“net Witness [list|client-move|share-move|force-unregister|force-response]”,允许集群管理员查看注册的客户端并请求转移连接到其他集群节点。
- 将 MIT Kerberos5 作为 Active Directory 域控制器运行的配置现在至少需要 MIT Krb5 版本 1.21,这增加了针对 CVE-2022-37967 漏洞的额外保护。
- 当使用导入的 Heimdal Kerberos 进行构建时,不再需要安装 Perl JSON 模块,而是使用 Perl5 内置的 JSON::PP 模块。
- 当使用带有 virtualCryptSHA256 和 virtualCryptSHA512 属性的“;rounds=”参数时,用于确定和同步密码的“samba-tool user getpassword”和“samba-tool usersyncpasswords”命令已更改其输出(例如, ="virtualCryptSHA256; 轮次=50000"')。过去:virtualCryptSHA256:{CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF 现在:virtualCryptSHA256;rounds=2561:{CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF
- MS-WKST(工作站服务远程协议)实现不再支持根据 /var/run/utmp 文件的内容显示已连接用户的列表,该文件存储有关当前在系统中工作的用户的数据。由于 utmp 格式存在 2038 年问题漏洞,因此该格式的支持已停止。
来源: opennet.ru