파일 서버와 도메인 제어기
삼바 4.9
삼바군은 4.9 번대로 향상되었습니다. 향상은 기존 구성 또는 존재하는 배포판에 영향을 미칠 수 있는 변경 번호를 가져옵니다.
삼바 4.9의 출시 기록의 상세한 묶음은 https://www.samba.org/samba/history/samba-4.9.0.html에서 사용 할 수 있습니다
확장된 속성 지원
리눅스 시스템에는 기본적으로 활성화된 확장 속성을 위한 지원을 가지고 있기 때문에, 매개변수 "map readonly", "store dos attributes"과 "ea support"는 기본 설치에서 보다 나은 윈도우즈 파일 서버 호환성을 허용하도록 변경된 기본값을 가지고 있습니다.
| Parameter Name | Description | Default |
|---|---|---|
map readonly |
Default changed |
no |
store dos attributes |
Default changed |
yes |
ea support |
Default changed |
yes |
full_audit:success |
Default changed |
none |
full_audit:failure |
Default changed |
none |
맵핑 변경을 식별합니다
여러 출시를 통해, 삼바 구성 점검은 전형적인 신원 대응 오류를 조기에 탐지하고 변경 부분이 실제 동작에 영향을 줄 수 있기 전에 시작을 실패하도록 개선되었습니다. 신원 변경과 함께 접근 제어 위반 및 원치 않는 부분에 자료 유출의 가능성이 발생 할 때에, 이와 같은 노력은 정확하진 않지만 널리 배포되는 경우의 수를 줄이는데 도움이 됩니다.
삼바 4.6 이후에, 'testparm' 도구는 ID 대응 구성을 검증하도록 사용 될 수 있습니다. 향상 후에 이를 실행하고 경고나 오류가 출력되는지 점검하세요. 제안 및 추천을 위한 smb.conf 설명부분의 '식별 대응 구성' 부분을 참고하세요. 기본 백엔드를 위해 사용이 허용되지 않는 일부 ID 대응 백엔드가 있습니다. Winbind 데몬은 만약 잘못된 백엔드가 기본 백엔드로 구성된 경우라면 더 이상 시작되지 않습니다.
삼바 4.8 부터, “security = domain” 또는 "`security = ads`"인 구성은 이제 동작하는 '`winbindd’가 필요합니다. smbd가 도메인 제어기에 직접 연결하는 대체 부분이 사라졌습니다.
최종적으로, 삼바 4.9는 삼바 통신규약을 통해서 익명 및 게스트 접근 사이에서 차이를 만듭니다. 이와 같은 부작용은 이제 BUILTIN\Guests 그룹을 위해 대응하도록 요구됩니다. 만약 기본 식별 백엔드가 요구 사항에서 항목을 생성하고자 하면 대응은 자동으로 제공 될 수 있습니다. 대안으로, net 유틸리티는 BUILTIN\Guests 대한 그룹 대응을 제공하도록 사용 될 수 있습니다
net groupmap add sid=S-1-5-32-546 unixgroup=nobody type=builtin
CTDB 구성 변경
클러스터된 삼바 데몬(CTDB) 구성은 완전하게 새롭게 변신하였습니다.
-
데몬과 도구 선택은 이제 신규 ctdb.conf 삼바-유형의 구성 파일에서 지정되었습니다. 상세히 하기 위해 `ctdb.conf(5)`를 참고하세요.
-
이벤트 스크립트 구성은 더 이상 최상위-수준 구성 파일에서 지정되지 않습니다. 이는 이벤트 스크립트 마다 지정될 수 있습니다. 예로,
50.samba사건 스크립트용 구성 옵션은 `50.samba.options`로 불리는 파일에서 이벤트 스크립트와 함께 위치 할 수 있습니다. 스크립트 옵션은 신규 script.options 파일에서 지정 할 수도 있습니다. 상세히 알기 위해 `ctdb-script.options(5)`을 참고하세요. -
CTDB 시작에 영향을 주는 옵션은 배포판-지정 구성 파일에서 구성되어야 합니다. 더 자세히 알기 위해 `ctdb.sysconfig(5)`를 보세요.
-
조정 할 수 있는 설정은 이제 `ctdb.tunables`에서 적재되었습니다. 주요 구성 파일에서 `CTDB_SET_TunableVariable=<value>`사용하기는 더 이상 지원되지 않습니다. 더 자세히 알기 위해 `ctdb-tunables(7)`를 보세요.
오래된-유형 구성을 새로운 유형으로 이전하는 예제 스크립트는 `/usr/share/doc/ctdb/examples/config_migrate.sh`에서 사용 할 수 있습니다.
커버러스 통합
MIT 커버러스를 위한 로컬 인증 플로그인이 추가되었습니다. 플러그인은 커버러스 winbind를 통해 주체 및 AD 계정 사이에서 관계를 제어합니다. 모듈은 커버러스 주체 및 입력으로 로컬 계정 이름을 수신하고 그런 다음 이들이 일치하는지 점검 할 수 있습니다. 이는 AD 내에서 커버러스가 반환한 정규화된 이름인 사건을 해결 할 수 있습니다. 만약 사용자가 'alice’로 로그인을 시도하지만, samAccountName은 ALICE(대문자)로 설정되고, 커버러스는 사용자이름으로 ALICE를 반환합니다. 커버러스는 이와 같은 경우에 'alice’를 'ALICE’로 대응 할 수 없고 인증은 실패합니다. 이와 같은 플러그인과 함께, 계정 이름은 올바르게 대응 할 수 있습니다. 이는 GSSAPI 인증에만 적용되고, 초기 티켓을 부여하는 티켓을 획득하는 데에는 적용되지 않습니다.
이와 같은 플러그인와 함께 winbind 기반의 구성은 AD 환경에서 SSSD와 동등합니다.
삼바 AD DC
삼바 4.9에서 동적 디렉토리 도메인 제어기는 여러가지 개선을 보였습니다. 가장 주목 할만한 것은, LMBD를 사용하는 새로운 실험적인 LDB 백엔드는 이제 사용 할 수 있습니다. 이는 4GB 보다 큰 데이타베이스를 허용합니다 (현재 제한은 6GB이지만, 이는 향후 출시에서 증가될 것입니다). lmdb를 활성화하려면, “--backend-store=mdb” 옵션을 사용하여 도메인을 준비하거나 결합하세요.
이는 실험적인 기능이고 제품 배포에서는 권장되지 않는 것을 확인하세요.
페도라에서 삼바 AD DC는 MIT 커버러스를 사용하여 제작되었습니다. 삼바 4.9로서 삼바 AD DC에서 MIT 커버러스 지원은 여전히 실험적이고 결점이 나타 날 수 있습니다. 이는 알려져 있고 삼바 결점-추적기 업스트림에서 여전히 해결된 문제가 아닙니다:
신뢰하는 도메인/포레스트를 위한 지원은 더 개선되었습니다. 외부 도메인 신뢰와 전이적 포레스트 신뢰는 커버러스 및 NTLM 인증을 위한 양방향(들어오고 나감)으로 지원됩니다.
다음 기능은 4.9에서 새롭게 추가되었습니다(4.8 과 비교하여):
-
이제 신뢰하는 도메인의 사용자/그룹을 도메인 그룹에 추가 할 수 있습니다. 그룹 구성원은 신뢰 경계선으로 확대 됩니다.
-
foreignSecurityPrincipal 객체 (FPO)는 이제 신뢰 도메인/포레스트의 구성원(SID 일 때)이 그룹에 추가 될 때에 자동으로 생성됩니다.
-
‘삼바-도구l 그룹 *구성원’ 명령은 구성원을 외부 SIDs로 지정 할 수 있습니다.
아무튼, 이는 현재 여전히 여러 제한 사항이 있습니다:
-
신뢰의 양측은 서로 완전한 신뢰가 필요합니다!
-
SID 필터링 규칙이 전혀 적용되지 않습니다!
-
이는 도메인 A의 DC가 도메인 B에서 도메인 관리자 권한을 부여 할 수 있음을 의미합니다.
-
선택적 (조직_간) 인증은 지원되지 않습니다. 이러한 신뢰를 생성 할 수 있으나, KDC와 winbindd가 이를 무시합니다.
-
삼바는 하나의 단일 도메인과 함께 있는 상태서만 동작 할 수 있습니다.
Want to help? Learn how to contribute to Fedora Docs ›