Выпуск Samba 4.19.0

После 6 месяцев разработки представлен релиз Samba 4.19.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2008 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 11. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).

Ключевые изменения в Samba 4.19:

• Утилита smbget переведена на общий с другими утилитами Samba код для разбора параметров командной строки (ранее в smbget применялся специфичный для данной утилиты парсер). Переход на общий парсер позволил реализовать в smbget дополнительные возможности, такие как аутентификация через Kerberos, но ценой этому стало прекращение поддержки файла smbgetrc и нарушение обратной совместимости на уровне опций.
• В команде gpupdate объявлена устаревшей функция libgpo.get_gpo_list, на смену которой пришла реализация, написанная на языке Python, которую можно импортировать через указание “import samba.gp”. Для подключения к
  Active Directory в новой реализации задействован модуль SamDB вместо ADS.
• Расширены возможности winbind, связанные с ведением логов при указании в smb.conf настройки ‘winbind debug traceid = yes’. Добавлена поддержка новых полей: ‘traceid’ для отражения в логе записей, связанных с одним и тем же запросом, и ‘depth’ для сохранения в логе уровня вложенности запроса. Для упрощения разбора логов в состав включена новая утилита samba-log-parser.
• Проведена подготовка базы Active Directory к использованию функционального уровня доменных служб Active Directory 2016 (Functional Level 2016) и схемы хранения 2019 (AD Schema 2019) в новых доменах AD.
• Предложена начальная частичная реализация функциональных уровней Active Directory 2012, 2012R2 и 2016 (ранее в Samba поддерживался по умолчанию уровень 2008R2), включающая политики аутентификации Kerberos Claims, Authentication Silos и NTLM. Изменение функционального уровня осуществляется через настройку “ad dc functional level” в smb.conf.
• Улучшены средства аудита KDC (Key Distribution Center). Добавлена возможность отражения в логе, хранимом в формате JSON, большинства сбоев и всех выданных билетов Kerberos, включая те, что нарушают не применённую политику аутентификации.
• Для клиентов с Windows при включении функционального уровня Active Directory 2012, 2012_R2 или 2016 реализована поддержка Kerberos-расширения FAST (Armoring) для организации защищённого туннеля между рабочей станцией и KDC в контроллере домена (например, для защиты паролей о перехвата).
• В Active Directory PAC добавлена поддержка сжатия атрибутов централизованных политик доступа (Claims), используя тот же алгоритм сжатия, что и в Microsoft Windows.
• В Active Directory PAC добавлена поддержка сжатия идентификаторов ресурсов (Resource SID), что позволяет сократить размер идентификатора до 4 байт на группу.
• В конфигурациях контроллера домена на базе Heimdal Kerberos добавлена поддержка ограниченного делегирования, основанного на ресурсах (RBCD, Resource Based Constrained Delegation). Для конфигураций на базе MIT Kerberos поддержка RBCD появилась в версии Samba 4.17.
• В утилите samba-tool реализована поддержка отображения, добавления и изменения Authentication Silos (silos) и Active Directory Authentication Claims (claims), а также поддержка показа сайтов и подсетей Active Directory.
• Удалён код с реализацией встроенных криптографических функций. Для работы теперь требуется сборка с GnuTLS как минимум версии 3.6.13 (для систем без функции getrandom() требуется как минимум GnuTLS 3.7.2).
• Используемый в Samba код Heimdal Kerberos (ветка lorikeet-heimdal) обновлён до состояния master-репозитория основного проекта Heimdal.
• Добавлен новый тестовый набор для проверки PKINIT (вход при помощи смарт-карт).
• В Heimdal KDC добавлена возможность отзыва сертификатов смарт-карт, применяемых для аутентификации PKINIT.
• Изменение атрибутов unicodePwd и userPasswor в контроллере домена теперь допускается только при использовании шифрованного соединения.
• Добавлена команда “smbcontrol ldap_server reload-certs” для перезагрузки сертификатов TLS, используемых в контроллере домена Active Directory, без перезапуска компонентов Samba.