Documentation for a newer release is available. View Latest

도메인 제어기

삼바 변경

삼바 프로젝트는 MIT Kerberos를 지원하기에 삼바 AC DC의 변환을 완료했습니다. 페도라 27은 삼바 AD 도메인 제어기 기능을 포함하는 최초의 페도라 버전입니다.

삼바 AD 프로세서는 MIT KDC 시작을 처리 할 것이고 이는 KDB(커버러스 데이타베이스) 드라이버를 적재하여 삼바 AD 데이타베이스에 접근 할 것입니다. '삼바-도구’를 사용하는 AD DC 프로비져닝 할 때에 이는 MIT KDC를 위해 올바른 kdc.conf 파일 생성을 사용 할 것입니다.

보다 상세히 하려면 , 업스트림 문서을 참고하세요.

기록하는데 중요한 변경:

  • 두 개의 다른 배포 방법은 지금 다음 삼바 도메인 제어기를 지원합니다:

    • 전통적인 도메인 제어기(NT-형태의 도메인 제어기)

    • 활성화된 디렉토리 도메인 제어기(신규 방법).

  • 삼바가 버전 4.7로 향샹되었습니다.

  • The default for client max protocol has changed to SMB3_11, which means that smbclient (and related commands) will work against servers without SMB1 support. It is possible to use the m/--max-protocol option to overwrite the client max protocol option temporarily.

  • Encryption support in smbclient (option -e/--encrypt) works with SMB3 servers as well (Windows Server 2012 or later, Samba 4.0.0 or later).

  • The change to SMB3_11 as default also means smbclient no longer negotiates SMB1 unix extensions by default, when talking to a Samba server with unix extensions = yes. As a result, some commands are not available, e.g. posix_encrypt, posix_open, posix_mkdir, posix_rmdir, posix_unlink, posix_whoami, getfacl and symlink. Using -mNT1 reenables them, if the server supports SMB1.

  • smbclient learned a new command 'deltree' that is able to do a recursive deletion of a directory tree.

  • The dynamic port range for RPC services has been changed from the old default value 1024-1300 to 49152-65535. This port range is not only used by a Samba AD DC, but also applies to all other server roles including NT4-style domain controllers. The new value has been defined by Microsoft in Windows Server 2008 and newer versions. To make it easier for Administrators to control those port ranges we use the same default and make it configurable with the option: rpc server dynamic port range. The rpc server port option sets the first available port from the new rpc server dynamic port range option. The option rpc server port only applies to Samba provisioned as an AD DC.

Samba AD DC with MIT Kerberos does not have all the features of Heimdal Kerberos build. Missing features, compared to a Heimdal Kerberos build, are:

  • PKINIT 지원

  • S4U2SELF/S4U2PROXY 지원

  • 읽기-전용 도메인 제어기 지원 (RODC). 이와 같은 기능은 헤임달(Heimdal) 커버러스 빌드에서도 완전히 동작하지 않습니다.

FreeIPA 변경사항

FreeIPA는 버전 4.6으로 향상되었습니다. 이는 파이썬 3를 지원하는 주요 FreeIPA 출시입니다.

페도라 26에서 탑재된 FreeIPA 4.4와 비교되는 다음과 같은 주요 변경사항:

  • FreeIPA는 이제 파이썬3을 사용합니다

  • 보안 기본값은 페도라의 잔여 페도라와 일치합니다. 특히, 새롭게 사건화된 인증서는 SHA-256입니다.

  • 스마트카드 지원은 FreeIPA와 SSSD에 추가되었습니다. 신규 'ipa-advise 비법은 스마트 카드 인증을 지원하는 FreeIPA-등록된 클라이언트와 서버를 구성하는 데 사용 할 수 있습니다.

  • FreeIPA 웹 UI는 이제 스마트카드 보안을 사용하여 접근 될 수 있습니다. 이와 같은 기능은 기본적으로 활성화 될 수 없습니다.

  • Kerberos PKINIT is enabled by default on new installations with an integrated Certificate Authority. This allows to use smartcards to login to FreeIPA-enrolled hosts and obtain Kerberos tickets.

  • Kerberos authentication indicator pkinit is automatically issued when Kerberos PKINIT pre-authentication succeeds. As result, elevated security requirements can be assigned to Kerberos services that require to only smartcard (pkinit), multi-factor (otp), or RADIUS (radius) authentication to succeed prior accessing them.

  • 신뢰 할 수 있는 동적 디렉토리 도메인에서 사용자는 이제 FreeIPA 웹 UI에 로그인 할 수 있고 손수 작업을 수행합니다.

  • FreeIPA는 이제 FIPS 140-2 요구 사항으로 필요한 환경에 설치 될 수 있습니다.