Разработчики из Samba Team выпустили Samba 4.19.0. Это пакет программ с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2008 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 11.
По данным OpenNET, проект Samba 4 является многофункциональным серверным продуктом, предоставляющим реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).
Основные изменения и дополнения в версии Samba 4.19:
утилита smbget переведена на общий с другими утилитами Samba код для разбора параметров командной строки (ранее в smbget применялся специфичный для данной утилиты парсер). Переход на общий парсер позволил реализовать в smbget дополнительные возможности, такие как аутентификация через Kerberos, но ценой этому стало прекращение поддержки файла smbgetrc и нарушение обратной совместимости на уровне опций;
в команде gpupdate объявлена устаревшей функция libgpo.get_gpo_list, на смену которой пришла реализация, написанная на языке Python, которую можно импортировать через указание "import samba.gp". Для подключения к Active Directory в новой реализации задействован модуль SamDB вместо ADS;
расширены возможности winbind, связанные с ведением логов при указании в smb.conf настройки 'winbind debug traceid = yes'. Добавлена поддержка новых полей: 'traceid' для отражения в логе записей, связанных с одним и тем же запросом, и 'depth' для сохранения в логе уровня вложенности запроса. Для упрощения разбора логов в состав включена новая утилита samba-log-parser;
проведена подготовка базы Active Directory к использованию функционального уровня доменных служб Active Directory 2016 (Functional Level 2016) и схемы хранения 2019 (AD Schema 2019) в новых доменах AD;
предложена начальная частичная реализация функциональных уровней Active Directory 2012, 2012R2 и 2016 (ранее в Samba поддерживался по умолчанию уровень 2008R2). Samba сможет передавать утверждения политик аутентификации Active Directory (Claims) в PAC (Privilege Account Certificate) для входящих в домен серверов, поддерживающих такие операции, а также учитывать конфигурацию для политик аутентификации (Authentication Policies) и контейнеров политик (Authentication Silos). При этом Samba может только читать и записывать утверждения (claims) и передавать их в PAC, но пока не может их использовать при принятии решений о предоставлении доступа. Изменение функционального уровня осуществляется через настройку "ad dc functional level" в smb.conf;
улучшены средства аудита KDC (Key Distribution Center). Добавлена возможность отражения в логе, хранимом в формате JSON, большинства сбоев и всех выданных билетов Kerberos, включая те, что нарушают неприменённую политику аутентификации;
для клиентов с Windows при включении функционального уровня Active Directory 2012, 2012_R2 или 2016 реализована поддержка Kerberos-расширения FAST (Armoring) для организации защищённого туннеля между рабочей станцией и KDC в контроллере домена (например, для защиты паролей от перехвата);
в Active Directory PAC добавлена поддержка сжатия атрибутов централизованных политик доступа (Claims), используя тот же алгоритм сжатия, что и в Microsoft Windows;
в Active Directory PAC добавлена поддержка сжатия идентификаторов ресурсов (Resource SID), что позволяет сократить размер идентификатора до 4 байт на группу;
в конфигурациях контроллера домена на базе Heimdal Kerberos добавлена поддержка ограниченного делегирования, основанного на ресурсах (RBCD, Resource Based Constrained Delegation). Для конфигураций на базе MIT Kerberos поддержка RBCD появилась в версии Samba 4.17;
в утилите samba-tool реализована поддержка отображения, добавления и изменения Authentication Silos (silos) и Active Directory Authentication Claims (claims), а также поддержка показа сайтов и подсетей Active Directory;
удалён код с реализацией встроенных криптографических функций. Для работы теперь требуется сборка с GnuTLS как минимум версии 3.6.13 (для систем без функции getrandom() требуется как минимум GnuTLS 3.7.2);
используемый в Samba код Heimdal Kerberos (ветка lorikeet-heimdal) обновлён до состояния master-репозитория основного проекта Heimdal;
добавлен новый тестовый набор для проверки PKINIT (вход при помощи смарт-карт);
в Heimdal KDC добавлена возможность отзыва сертификатов смарт-карт, применяемых для аутентификации PKINIT;
изменение атрибутов unicodePwd и userPassword в контроллере домена теперь допускается только при использовании шифрованного соединения;
добавлена команда "smbcontrol ldap_server reload-certs" для перезагрузки сертификатов TLS, используемых в контроллере домена Active Directory, без перезапуска компонентов Samba.
