Samba, Linux/Unix ve Windows sistemleri arasında sorunsuz birlikte çalışabilirliği sağlayan standart program paketidir. Sürüm 4.21 resmi olarak yayımlandı.
Sertleştirme
Samba’nın önceki sürümlerinde, her iki seçenekteki bir kullanıcı veya grup adı geçerli bir SID’ye çözümlenemiyorsa, kullanıcı (veya grup) herhangi bir bildirim yapılmadan atlanırdı. Bu, beklenmeyen ve güvenli olmayan bir davranışa neden olabilirdi. Samba’nın bu sürümünden başlayarak, seçeneklerden herhangi birindeki herhangi bir kullanıcı veya grup adı bir etki alanı denetleyicisiyle iletişim hatası nedeniyle çözümlenemezse, Samba bir hata günlüğe kaydeder ve ağaç bağlantısı başarısız olur. Mevcut olmayan kullanıcılar (veya gruplar) yok sayılır.
LDAP TLS/SASL kanal bağlama desteği
LDAP sunucusu artık TLS bağlantıları (LDAPS veya StartTLS) üzerinden Kerberos veya NTLMSSP ile SASL bağlantılarını destekliyor.
Daha önce ‘ldap sunucusu güçlü kimlik doğrulaması gerektirir = allow_sasl_over_tls’ gerektiren kurulumlar artık büyük ihtimalle varsayılan ‘ldap sunucusu güçlü kimlik doğrulaması gerektirir = yes’ değerine taşınabilir.
Doğru TLS kanal bağlamaları olmadan SASL bağlamaları gerekliyse, ‘ldap sunucusu güçlü kimlik doğrulaması gerektirir = allow_sasl_without_tls_channel_bindings’ artık kullanılmalıdır, çünkü ‘allow_sasl_over_tls’ her ‘samba’ veya ‘[samba-tool] testparm’ başlar.
Bu, Windows’taki HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters altındaki LdapEnforceChannelBinding’e benzerdir.
LDAPS kullanan tüm istemci araçları artık doğru kanal bağlamalarını da içeriyor.
Samba AD, akıllı kart gerektiren hesaplarda süresi dolan parolaları döndürecek
Geleneksel olarak AD’de, “oturum açma için akıllı kart gerekli” olarak ayarlanan hesaplar, NTLM geri dönüşü ve yerel profil şifrelemesi (Windows DPAPI) için bir parolaya sahip olacaktır. Bu parola daha önce sona ermiyordu.
Windows davranışına uygun olarak, FL 2016 etki alanındaki DC ve etki alanı kökündeki msDS-ExpirePasswordsOnSmartCardOnlyAccounts özniteliği TRUE olarak ayarlandığında, Samba artık bu parolaların süresini sonlandıracak ve süreleri dolmadan hemen önce bunları döndürecektir.
Sorunsuz bir çalışma için parola son kullanma süresinin TGT ömrünün iki katına ayarlanması gerektiğini unutmayın, örneğin parola yalnızca ömrünün ikinci yarısında döndürüldüğünden günlük son kullanma süresi varsayılan 10 saatlik bir TGT ömrü olarak verilir. Yine, bu Windows davranışıyla uyuşmaktadır.
Varsayılan 2016 şemasının kullanılması koşuluyla, Samba 4.21 ile sağlanan yeni Samba etki alanları, etki alanı işlevsel düzeyi 2016 olarak ayarlandığında etkinleştirilecektir.
Daha eski Samba sürümlerinden yükseltilen etki alanlarında, işlevsel düzey hazırlığından sonra bile, yükseltilmiş Windows AD etki alanlarının davranışıyla eşleşen bu ayar bulunmayacaktır.
Yeniliklerin tam listesini görmek için sürüm notlarına göz atın.