Controladors de Domini

Ara s’admeten dos modes de desplegament diferents per al controlador de domini Samba:

Samba actualitzat a la versió 4.7.

El valor predeterminat per a client max protocol ha canviat a SMB3_11, la qual cosa significa que smbclient (i les ordres relacionades) funcionaran contra servidors sense suport SMB1. És possible utilitzar l’opció m/--max-protocol per sobreescriure l’opció client max protocol temporalment.

El suport de xifratge a smbclient (opció -e/--encrypt) també funciona amb servidors SMB3 (Windows Server 2012 o posterior, Samba 4.0.0 o posterior).

El canvi a SMB3_11 com a predeterminat també significa que smbclient ja no negocia extensions unix SMB1 per defecte, quan parla amb un servidor Samba amb unix extensions = yes. Com a resultat, algunes ordres no estan disponibles, per exemple posix_encrypt, posix_open, posix_mkdir, posix_rmdir, posix_unlink, posix_whoami, getfacl i symlink. L’ús de -mNT1 les torna a habilitar, si el servidor admet SMB1.

smbclient ha après una nova ordre 'deltree' que és capaç de fer una eliminació recursiva d’un arbre de directoris.

El rang de ports dinàmics per als serveis RPC s’ha canviat de l’antic valor predeterminat 1024-1300 a 49152-65535. Aquest rang de ports no només l’utilitza un Samba AD DC, sinó que també s’aplica a tots els altres rols de servidor, inclosos els controladors de domini estil NT4. El nou valor ha estat definit per Microsoft a Windows Server 2008 i versions posteriors. Per facilitar als administradors el control d’aquests rangs de ports, utilitzem el mateix valor predeterminat i el fem configurable amb l’opció: rpc server dynamic port range. L’opció rpc server port estableix el primer port disponible de la nova opció rpc server dynamic port range. L’opció rpc server port només s’aplica a Samba provisionat com a AD DC.

Suport PKINIT

Suport S4U2SELF/S4U2PROXY

Suport de controlador de domini de només lectura (RODC). Aquesta funcionalitat tampoc funciona completament amb la compilació Heimdal Kerberos.

FreeIPA utilitza Python 3 ara

Els valors predeterminats de seguretat estan en línia amb la resta de Fedora. En particular, els certificats emesos recentment tenen per defecte SHA-256.

S’ha afegit suport per a targetes intel·ligents a FreeIPA i SSSD. Hi ha noves receptes ipa-advise disponibles per configurar clients i servidors inscrits a FreeIPA per donar suport a l’autenticació amb targeta intel·ligent.

La interfície d’usuari web de FreeIPA ara es pot accedir mitjançant autenticació amb targeta intel·ligent. Aquesta característica no està habilitada per defecte.

Kerberos PKINIT està habilitat per defecte en noves instal·lacions amb una Autoritat de Certificació integrada. Això permet utilitzar targetes intel·ligents per iniciar sessió en amfitrions inscrits a FreeIPA i obtenir tiquets Kerberos.

L’indicador d’autenticació Kerberos pkinit s’emet automàticament quan la pre-autenticació Kerberos PKINIT té èxit. Com a resultat, es poden assignar requisits de seguretat elevats als serveis Kerberos que requereixen només autenticació amb targeta intel·ligent (pkinit), multifactor (otp) o RADIUS (radius) per tenir èxit abans d’accedir-hi.

Els usuaris de dominis Active Directory de confiança ara poden iniciar sessió a la interfície d’usuari web de FreeIPA i realitzar operacions d’autoservei.

FreeIPA ara es pot instal·lar en un entorn subjecte als requisits FIPS 140-2.