SerNet hat die ersten SAMBA+-Pakete der 4.9er-Reihe freigegeben. Diese Pakete sind für verschiedene SUSE- und Red Hat-Plattformen sowie für Debian GNU/Linux und Ubuntu verfügbar. Eine der neuen Funktionen in Samba 4.9 ist die verbesserte Unterstützung für vertrauenswürdige Domänen, wenn Samba als Active Directory Domain Controller (AD DC) läuft. Diese wesentliche Verbesserung wurde durch ein Sponsoring von SerNet ermöglicht.
Darüber hinaus enthält die neue 4.9er Serie viele Verbesserungen und Features, die in den Samba 4.9.0 Release Notes. dokumentiert sind.
Verbesserte Unterstützung für vertrauenswürdige Domänen (als AD DC)
Die Unterstützung für vertrauenswürdige Domänen/Forests wurde weiter verbessert. Externe Domain-Trusts sowie transitive Forest-Trusts werden nun in beide Richtungen (inbound und outbound) für Kerberos- und NTLM-Authentifizierung unterstützt. Stefan Metzmacher, langjähriges Mitglied des Samba-Teams und geschätzter SerNet-Kollege, hat an diesem Thema gearbeitet. SerNet hat dies durch ein Entwicklungssponsoring in sechsstelliger Höhe möglich gemacht.
Die folgenden Features sind in 4.9 neu (im Vergleich zu 4.8):
- Es ist jetzt möglich, Benutzer/Gruppen einer vertrauenswürdigen Domäne in Domänengruppen hinzuzufügen. Die Gruppenmitgliedschaften werden an Vertrauensgrenzen erweitert.
- foreignSecurityPrincipal-Objekte (FPO) werden jetzt automatisch erstellt, wenn Mitglieder (als SID) einer vertrauenswürdigen Domäne/eines vertrauenswürdigen Waldes zu einer Gruppe hinzugefügt werden.
- Mit den 'samba-tool group *members'-Befehlen können Mitglieder als fremde SIDs angegeben werden.
Allerdings gibt es derzeit noch ein paar Einschränkungen:
- Beide Seiten des Trusts müssen sich gegenseitig voll vertrauen!
- Es werden keine SID-Filterregeln angewendet!
- Das bedeutet, dass DCs der Domäne A Domänen-Admin-Rechte in Domäne B gewähren können.
- Selektive (CROSS_ORGANIZATION) Authentifizierung wird nicht unterstützt. Es ist zwar möglich, einen solchen Trust zu erstellen, aber KDC und winbindd ignorieren sie.
- Samba kann weiterhin nur in einem Forest mit nur einer einzigen Domäne betrieben werden.
CTDB-Änderungen und weitere Hinweise
Aufgrund größerer Änderungen sollten Anwender einen Blick in die Samba-Versionshinweise werfen, um den Abschnitt "CTDB-Änderungen" und die Anweisungen sorgfältig zu lesen, wenn sie CTDB verwenden. Der Konfigurationsstil wurde überarbeitet. Die Konfiguration muss migriert werden, um CTDB mit der neuen Version zu betreiben. Das Konfigurationsmigrationsskript, das dabei helfen kann, die alte CTDB-Konfiguration in den neuen Stil zu migrieren, ist unter /usr/share/ctdb/scripts/config_migrate.sh in den neuen Paketen gespeichert. Das Skript nimmt die Konfigurationsdatei /etc/default/sernet-samba-ctdb und erstellt ein Verzeichnis mit einer neuen Beispielkonfiguration. Wenn CTDB Samba-Dienste verwaltet, zeigt die erstellte Datei commands.sh, wie die Ereignisskripte aktiviert werden können.
Dies ist die erste Veröffentlichung von SAMBA+ Paketen für die Samba 4.9 Release-Serie. Wir empfehlen, vor dem Upgrade gründlich zu testen und die Release Notes sorgfältig zu lesen! Mit der Veröffentlichung von Samba 4.9 ändern frühere Release-Serien ihren Status wie folgt: Samba 4.8 geht in den Wartungsmodus über, Samba 4.7 geht in den reinen Sicherheitsrelease-Modus über.
Außerdem werden die neuen 4.9-Pakete für einige Distributionen nicht mehr verfügbar sein. Bitte werfen Sie einen Blick in das SAMBA+ HowTo auf OPOSSO.
