Controladores de Domínios

Two different deployment modes are now supported for Samba domain controller:

Samba upgraded to version 4.7.

The default for client max protocol has changed to SMB3_11, which means that smbclient (and related commands) will work against servers without SMB1 support. It is possible to use the m/--max-protocol option to overwrite the client max protocol option temporarily.

Encryption support in smbclient (option -e/--encrypt) works with SMB3 servers as well (Windows Server 2012 or later, Samba 4.0.0 or later).

A mudança para SMB3_11 como padrão também significa que o smbclient não negocia mais as extensões SMB1 por padrão ao se comunicar com um servidor Samba com unix extensions = yes. Como resultado, alguns comandos não estão disponíveis, como posix_encrypt, posix_open, posix_mkdir, posix_rmdir, posix_unlink, posix_whoami, getfacl e symlink. Usar -mNT1 os reativa, se o servidor suportar SMB1.

O smbclient aprendeu um novo comando chamado 'deltree' que é capaz de fazer uma exclusão recursiva de uma árvore de diretórios.

O intervalo de portas dinâmicas para serviços RPC foi alterado do antigo valor padrão 1024-1300 para 49152-65535. Esse intervalo de portas não é usado apenas por um Controlador de Domínio AD do Samba, mas também se aplica a todos os outros papéis de servidor, incluindo controladores de domínio no estilo NT4. O novo valor foi definido pela Microsoft no Windows Server 2008 e em versões mais recentes. Para facilitar o controle desses intervalos de portas pelos administradores, utilizamos o mesmo valor padrão e tornamos configurável com a opção: rpc server dynamic port range. A opção rpc server port define a primeira porta disponível no novo intervalo configurado na opção rpc server dynamic port range. A opção rpc server port se aplica apenas ao Samba configurado como um Controlador de Domínio AD.

Suporte PKINIT

S4U2SELF/S4U2PROXY support

Read-only domain controller support (RODC). This functionality is not fully working with Heimdal Kerberos build either.

FreeIPA is using Python 3 now

Security defaults are in line with the rest of Fedora. In particular, newly issued certificates default to SHA-256.

Smartcard support was added to FreeIPA and SSSD. New ipa-advise recipes are available to configure FreeIPA-enrolled clients and servers to support smartcard authentication.

FreeIPA web UI can now be accessed using smartcard authentication. This feature is not enabled by default.

Kerberos PKINIT is enabled by default on new installations with an integrated Certificate Authority. This allows to use smartcards to login to FreeIPA-enrolled hosts and obtain Kerberos tickets.

O indicador de autenticação Kerberos "pkinit" é automaticamente emitido quando a pré-autenticação Kerberos PKINIT é bem-sucedida. Como resultado, requisitos de segurança elevados podem ser atribuídos aos serviços Kerberos que exigem autenticação apenas com cartão inteligente (pkinit), autenticação multifatorial (otp) ou autenticação RADIUS (radius) para serem bem-sucedidos antes de acessá-los.

Users from trusted Active Directory domains can now login to FreeIPA web UI and perform self-service operations.

FreeIPA can now be installed in an environment subject to FIPS 140-2 requirements.