Controladores de Domínios
Alterações no Samba
O projeto Samba concluiu a conversão do Samba AD DC para oferecer suporte ao MIT Kerberos. O Fedora 27 é a primeira versão do Fedora a incluir a funcionalidade de controlador de domínio AD do Samba.
O processo do Samba AD cuidará de iniciar o MIT KDC e carregará um driver KDB (Banco de Dados Kerberos) para acessar o banco de dados do Samba AD. Ao provisionar um Controlador de Domínio AD usando o 'samba-tool', ele cuidará de criar um arquivo kdc.conf correto para o MIT KDC.
Para obter mais detalhes, consulte: documentação upstream.
Mudanças importantes a serem observadas:
-
Two different deployment modes are now supported for Samba domain controller:
-
Traditional domain controller (NT-style domain controller)
-
Active Directory domain controller (new mode).
-
-
Samba upgraded to version 4.7.
-
The default for
client max protocol
has changed toSMB3_11
, which means thatsmbclient
(and related commands) will work against servers without SMB1 support. It is possible to use them/--max-protocol
option to overwrite theclient max protocol
option temporarily. -
Encryption support in
smbclient
(option-e/--encrypt
) works with SMB3 servers as well (Windows Server 2012 or later, Samba 4.0.0 or later). -
A mudança para
SMB3_11
como padrão também significa que osmbclient
não negocia mais as extensõesSMB1
por padrão ao se comunicar com um servidor Samba comunix extensions = yes
. Como resultado, alguns comandos não estão disponíveis, comoposix_encrypt
,posix_open
,posix_mkdir
,posix_rmdir
,posix_unlink
,posix_whoami
,getfacl
esymlink
. Usar-mNT1
os reativa, se o servidor suportar SMB1. -
O
smbclient
aprendeu um novo comando chamado 'deltree' que é capaz de fazer uma exclusão recursiva de uma árvore de diretórios. -
O intervalo de portas dinâmicas para serviços RPC foi alterado do antigo valor padrão
1024-1300
para49152-65535
. Esse intervalo de portas não é usado apenas por um Controlador de Domínio AD do Samba, mas também se aplica a todos os outros papéis de servidor, incluindo controladores de domínio no estilo NT4. O novo valor foi definido pela Microsoft no Windows Server 2008 e em versões mais recentes. Para facilitar o controle desses intervalos de portas pelos administradores, utilizamos o mesmo valor padrão e tornamos configurável com a opção:rpc server dynamic port range
. A opçãorpc server port
define a primeira porta disponível no novo intervalo configurado na opçãorpc server dynamic port range
. A opçãorpc server port
se aplica apenas ao Samba configurado como um Controlador de Domínio AD.
Samba AD DC with MIT Kerberos does not have all the features of Heimdal Kerberos build. Missing features, compared to a Heimdal Kerberos build, are:
-
Suporte PKINIT
-
S4U2SELF/S4U2PROXY support
-
Read-only domain controller support (RODC). This functionality is not fully working with Heimdal Kerberos build either.
FreeIPA changes
FreeIPA has been upgraded to version 4.6. This is a major FreeIPA release which supports Python 3.
Major changes compared to FreeIPA 4.4 which was shipped in Fedora 26:
-
FreeIPA is using Python 3 now
-
Security defaults are in line with the rest of Fedora. In particular, newly issued certificates default to SHA-256.
-
Smartcard support was added to FreeIPA and SSSD. New
ipa-advise
recipes are available to configure FreeIPA-enrolled clients and servers to support smartcard authentication. -
FreeIPA web UI can now be accessed using smartcard authentication. This feature is not enabled by default.
-
Kerberos PKINIT is enabled by default on new installations with an integrated Certificate Authority. This allows to use smartcards to login to FreeIPA-enrolled hosts and obtain Kerberos tickets.
-
O indicador de autenticação Kerberos "pkinit" é automaticamente emitido quando a pré-autenticação Kerberos PKINIT é bem-sucedida. Como resultado, requisitos de segurança elevados podem ser atribuídos aos serviços Kerberos que exigem autenticação apenas com cartão inteligente (
pkinit
), autenticação multifatorial (otp
) ou autenticação RADIUS (radius
) para serem bem-sucedidos antes de acessá-los. -
Users from trusted Active Directory domains can now login to FreeIPA web UI and perform self-service operations.
-
FreeIPA can now be installed in an environment subject to FIPS 140-2 requirements.
Want to help? Learn how to contribute to Fedora Docs ›