Documentation for a newer release is available. View Latest

Controladores de Dominio

Cambios en Samba

El proyecto Samba completó la conversión de Samba AD DC para soportar MIT Kerberos. Fedora 27 es la primera versión de Fedora que incluye la funcionalidad de controlador de dominio Samba AD.

Un proceso Samba AD tomará en cuenta el inicio de MIT KDC y cargará un controlador KDB (Base de datos Kerberos) para acceder a la base de datos Samba AD. Cuando prerealice un AD DC utiliznado 'samba-tool' tomara en cuenta de crear un archivo correcto de kdc.conf para el MIT KDC.

Para posteriores detalles, consulte: Documentación actual.

Cambios importantes para nota:

  • Ahora están admitidos dos modos de despliegues diferentes para el controlador de dominio Samba:

    • Controlador de dominio tradicional (Estilo controlador de dominio NT)

    • Controlador de dominio Active Directory (modo nuevo).

  • Samba modernizado a la versión 4.7.

  • Los detalles para client max protocol`ha cambiado a `SMB3_11, lo cual significa que smbclient (e instrucciones relativas) funcionará frente a servidores sin soporte SMB1. Esto es posible para utilizar la opción m/--max-protocol para temporalmente sobrescribir la opción client max protocol.

  • Admite cifrado en smbclient (opción -e/--encrypt) funciona con servidores SMB3 también (Windows Server 2012 o posterior, Samba 4.0.0 o posterior).

  • The change to SMB3_11 as default also means smbclient no longer negotiates SMB1 unix extensions by default, when talking to a Samba server with unix extensions = yes. As a result, some commands are not available, e.g. posix_encrypt, posix_open, posix_mkdir, posix_rmdir, posix_unlink, posix_whoami, getfacl and symlink. Using -mNT1 reenables them, if the server supports SMB1.

  • smbclient aprendió una instrucción nueva de 'deltree' que es capaz de hacer un borrado recursivo de un árbol de directorio.

  • The dynamic port range for RPC services has been changed from the old default value 1024-1300 to 49152-65535. This port range is not only used by a Samba AD DC, but also applies to all other server roles including NT4-style domain controllers. The new value has been defined by Microsoft in Windows Server 2008 and newer versions. To make it easier for Administrators to control those port ranges we use the same default and make it configurable with the option: rpc server dynamic port range. The rpc server port option sets the first available port from the new rpc server dynamic port range option. The option rpc server port only applies to Samba provisioned as an AD DC.

Samba AD DC con MIT Kerberos no tiene todas las características de la compilación Heimdal Kerberos. Las características ausentes, comparado a una compilación Heimdal Kerberos, son:

  • Soporte PKINIT

  • Soporte S4U2SELF/S4U2PROXY

  • Soporte de controlador de dominio de solo lectura (RODC). Esto funcionalmente no esta funcionando completamente con compilación Heimdal Kerberos.

Cambios FreeIPA

FreeIPA ha sido modernizado a la versión 4.6. Esto es una liberación mayor FreeIPA la cual admite Python 3.

Mayor cambios comparados a FreeIPA 4.4 la cual eran llevados en Fedora 26:

  • FreeIPA está ejecutando ahora Python 3

  • Seguridad por defecto está en línea con el resto de Fedora. En particular, nuevamente declara certificados por defecto a SHA-256.

  • Soporte Smartcard fue añadido a FreeIPA y SSSD. Nuevos receptores ipa-advise están disponibles para configurar clientes FreeIPA relacionados y servidores para admitir autenticación de tarjeta inteligente.

  • FreeIPA web UI can now be accessed using smartcard authentication. This feature is not enabled by default.

  • Kerberos PKINIT is enabled by default on new installations with an integrated Certificate Authority. This allows to use smartcards to login to FreeIPA-enrolled hosts and obtain Kerberos tickets.

  • Kerberos authentication indicator pkinit is automatically issued when Kerberos PKINIT pre-authentication succeeds. As result, elevated security requirements can be assigned to Kerberos services that require to only smartcard (pkinit), multi-factor (otp), or RADIUS (radius) authentication to succeed prior accessing them.

  • Los usuarios desde dominios Active Directory confiados pueden acceder ahora a la web de IU FreeIPA y realizar operaciones de servicio para sí mismo.

  • FreeIPA ahora puede ser instalado dentro de un asunto de entorno para requerimientos FIPS 140-2.