Documentation for a newer release is available. View Latest

Servidors de Fitxers i Controladors de Domini

Samba 4.9

La suite Samba s’ha actualitzat a la sèrie 4.9. L’actualització comporta una sèrie de canvis que poden afectar la configuració predeterminada o els desplegaments existents.

Un conjunt detallat de notes de la versió per a Samba 4.9 està disponible a https://www.samba.org/samba/history/samba-4.9.0.html

Suport d’atributs estesos

Com que els sistemes Linux tenen suport per a atributs estesos habilitat per defecte, els paràmetres "map readonly", "store dos attributes" i "ea support" han canviat els seus valors predeterminats per permetre una millor compatibilitat amb el servidor de fitxers Windows en una instal·lació predeterminada.

Table 1. Canvis en els paràmetres smb.conf
Nom del paràmetre Descripció Predeterminat

map readonly

Predeterminat canviat

no

store dos attributes

Predeterminat canviat

yes

ea support

Predeterminat canviat

yes

full_audit:success

Predeterminat canviat

none

full_audit:failure

Predeterminat canviat

none

Canvis en el mapatge d’identitats

Al llarg de diverses versions, les comprovacions de configuració de Samba s’han millorat per detectar errors típics de mapatge d’identitats abans i fallar l’inici abans que els canvis puguin afectar l’operació real. Amb els canvis en les identitats que causen infraccions de control d’accés i la possibilitat de fuites de dades a parts no desitjades, aquest esforç està ajudant a reduir un nombre de casos incorrectes però àmpliament desplegats.

Des de Samba 4.6, l’eina 'testparm' es pot utilitzar per validar la configuració de mapatge d’ID. Després d’una actualització, executeu-la i comproveu si imprimeix avisos o errors. Consulteu la secció 'IDENTITY MAPPING CONSIDERATIONS' a la pàgina man smb.conf per obtenir suggeriments i recomanacions. Hi ha alguns backends de mapatge d’ID que no es permeten utilitzar per al backend predeterminat. El dimoni Winbind ja no s’iniciarà si es configura un backend no vàlid com a backend predeterminat.

Des de Samba 4.8, les configuracions amb “security = domain” o “security = ads” requereixen ara un ‘winbindd’ en execució. L’alternativa que smbd contacti directament amb els controladors de domini ha desaparegut.

Finalment, Samba 4.9 diferencia entre accés anònim i de convidat mitjançant el protocol SMB. Un efecte secundari d’això és que ara es requereix tenir un mapatge per al grup BUILTIN\Guests. El mapatge es pot proporcionar automàticament si un backend d’identitat predeterminat permet crear entrades sota demanda. Alternativament, la utilitat net es pot utilitzar per proporcionar un mapatge de grup per a BUILTIN\Guests mitjançant

net groupmap add sid=S-1-5-32-546 unixgroup=nobody type=builtin

Canvis en la configuració de CTDB

La configuració del dimoni Samba en clúster (CTDB) s’ha revisat completament.

  • Les opcions del dimoni i de l’eina ara s’especifiquen en un nou fitxer de configuració ctdb.conf a l’estil Samba. Consulteu ctdb.conf(5) per obtenir detalls.

  • La configuració de l’script d’esdeveniments ja no s’especifica al fitxer de configuració de nivell superior. Ara es pot especificar per script d’esdeveniments. Per exemple, les opcions de configuració per a l’script d’esdeveniments 50.samba es poden col·locar al costat de l’script d’esdeveniments en un fitxer anomenat 50.samba.options. Les opcions de l’script també es poden especificar en un nou fitxer script.options. Consulteu ctdb-script.options(5) per obtenir detalls.

  • Les opcions que afecten l’inici de CTDB s’han de configurar al fitxer de configuració específic de la distribució. Consulteu ctdb.sysconfig(5) per obtenir detalls.

  • Els paràmetres ajustables ara es carreguen des de ctdb.tunables. L’ús de CTDB_SET_TunableVariable=<value> al fitxer de configuració principal ja no és compatible. Consulteu ctdb-tunables(7) per obtenir detalls.

Un script d’exemple per migrar una configuració d’estil antic al nou estil està disponible a /usr/share/doc/ctdb/examples/config_migrate.sh.

Integració de Kerberos

S’ha afegit un connector d’autorització local per a MIT Kerberos. El connector controla la relació entre els principals Kerberos i els comptes AD mitjançant winbind. El mòdul rep el principal Kerberos i el nom del compte local com a entrades i després pot comprovar si coincideixen. Això pot resoldre problemes amb noms canònics retornats per Kerberos dins d’AD. Si l’usuari intenta iniciar sessió com a 'alice', però el samAccountName està configurat com a ALICE (majúscules), Kerberos retornaria ALICE com a nom d’usuari. Kerberos no podria mapar 'alice' a 'ALICE' en aquest cas i l’autenticació fallaria. Amb aquest connector, els noms de compte es poden mapar correctament. Això només s’aplica a l’autenticació GSSAPI, no per obtenir el tiquet de concessió de tiquets inicial.

Amb aquest connector, les configuracions basades en winbind estan a l’alçada de SSSD en l’entorn AD.

Samba AD DC

El controlador de domini Active Directory a Samba 4.9 ha vist diverses millores. El més destacable és que ara està disponible un nou backend LDB experimental que utilitza LMDB. Això permet bases de dades més grans de 4 Gb (actualment el límit està establert en 6 Gb, però s’augmentarà en una versió futura). Per habilitar lmdb, provisioneu o uniu-vos a un domini utilitzant l’opció “--backend-store=mdb”.

Tingueu en compte que aquesta és una característica experimental i no es recomana per a desplegaments de producció.

Samba AD DC a Fedora està construït amb MIT Kerberos. A partir de Samba 4.9, el suport de MIT Kerberos a Samba AD DC encara és experimental i pot presentar errors. Hi ha problemes coneguts i encara no solucionats al rastrejador d’errors de Samba upstream:

El suport per a dominis/boscos de confiança s’ha millorat encara més. Les confiances de domini extern, així com les confiances de bosc transitives, són compatibles en ambdues direccions (entrant i sortint) per a l’autenticació Kerberos i NTLM.

Les següents característiques són noves a la 4.9 (en comparació amb la 4.8):

  • Ara és possible afegir usuaris/grups d’un domini de confiança als grups de domini. Les pertinences al grup s’expandeixen als límits de confiança.

  • Els objectes foreignSecurityPrincipal (FPO) es creen ara automàticament quan s’afegeixen membres (com a SID) d’un domini/bosc de confiança a un grup.

  • Les ordres ‘samba-tool group *members’ permeten especificar membres com a SIDs estrangers.

No obstant això, actualment encara hi ha algunes limitacions:

  • Ambdues parts de la confiança han de confiar plenament l’una en l’altra!

  • No s’apliquen regles de filtratge SID en absolut!

  • Això significa que els DCs del domini A poden concedir drets d’administrador de domini al domini B.

  • L’autenticació selectiva (CROSS_ORGANIZATION) no és compatible. És possible crear aquesta confiança, però el KDC i winbindd les ignoren.

  • Samba encara només pot operar en un bosc amb un sol domini.

Want to help? Learn how to contribute to Fedora Docs