Samba 4.19 und Function Level 2016

Mit der Samba-Version 4.19 wurde das Functional Level (FL) auf die Version 2016 aktualisiert. Bis jetzt war hier lediglich die Version 2008_R2 möglich. Jetzt werden die FL 2012, 2012R2 und 2016 unterstützt. Wenn eine komplett neue Domäne mit Samba 4.19 eingerichtet wird, das wird automatisch das neue FL 2016 genutzt. Eine bestehende Domäne wird nicht automatisch auf das neu FL angehoben. Das muss von Hand eingerichtet werden.

Was bringt das neue FL?

Das FL 2016 unterstützt jetzt Authentication-Policies und Authentication-Silos sowie den Einsatz von Claims. Bei allen drei Funktionen handelt es sich um zusätzliche Sicherheitsfunktionen. Das neue FL wird im Moment noch nicht von Samba direkt unterstützt. Das heißt, auf Samba-Servern oder Samba-Clients können diese zusätzlichen Funktionen noch nicht genutzt werden. Nur die Domaincontroller unterstützen das neu FL. Windows-Clients und Windows-Server in der Domäne können diese Funktionen schon nutzen.
Leider sind die die Funktionen noch nicht vollständig umgesetzt. Aus diesem Grund würde ich mit ein Update auf 4.19 zusammen mit dem wechsel das FL noch nicht durchführen. Erst in einer der nächsten Version sollte der Wechsel des FL durchgeführt werden. Wird das neue FL aber benötigt, kann eine bestehende Domäne mit den folgenden Schritten auf das FL 2016 aktualisiert werden.

1. Installation der Version 4.19 auf allen Domaincontroller

2. Sorgen Sie dafür, dass der Dienst neue gestartet wird.

3. Kontrollieren Sie das aktuelle FL:
samba-tool domain level show
Domain and forest function level for domain ‚DC=example,DC=net‘

Forest function level: (Windows) 2008 R2
Domain function level: (Windows) 2008 R2
Lowest function level of a DC: (Windows) 2008 R2

4. Fügen Sie die folgende Zeil in der [global] Section in der smb.conf ein:

ad dc functional level = 2016

5. Starten Sie den Dienst neu und prüfen Sie erneut das FL. Wichtig ist, dass Sie diesen Eintrag auf allen Domaincontrollern in die smb.conf schreiben und bei allen Domaincontrollern anschließend den Dienst neustarten. Nur dann kann der nächste Schritt erfolgreich durchgeführt werden.

samba-tool domain level show
Domain and forest function level for domain ‚DC=example,DC=net‘

Forest function level: (Windows) 2008 R2
Domain function level: (Windows) 2008 R2
Lowest function level of a DC: (Windows) 2016

Das FL steht jetzt schon auf 2016. Fehlen noch das Forest- und das Domain FL. Um diese beiden Level anzupassen führen Sie die folgenden Kommandos aus.

samba-tool domain schemaupgrade –schema=2019

Ja 2019 ist hier korrekt. Das Schema 2019 wird schon unterstützt. Verwechseln Sie das Schema nicht mit dem FL

samba-tool domain functionalprep –function-level=2016

samba-tool domain level raise –domain-level=2016 –forest-level=2016

Ein Neustart des Dienstes ist jetzt nicht mehr notwendig. Prüfen Sie jetzt erneut das aktuelle FL

samba-tool domain level show
Domain and forest function level for domain ‚DC=example,DC=net‘

Forest function level: (Windows) 2016
Domain function level: (Windows) 2016
Lowest function level of a DC: (Windows) 2016

Die Umstellung ist damit abgeschlossen.

Noch mal, das Upgrade auf 4.19 bringt nicht zwingend auch das Upgrade auf das neu FL mit, kann also auch auf Domaincontrollern durchgeführt werden und das bestehende FL bleibt erhalten. Mittlerweile ist 4.19 so ausgereift, dass ein Update durchgeführt werden kann.

Mehr zu allen Änderungen finden Sie hier:
https://www.samba.org/samba/history/samba-4.19.0.html

Die neuen Authentication-Policies und Authentication-Silos können Sie mit den samba-tool Kommando testen:

samba-tool domain auth

Aber die Funktionen sind dort noch nicht vollständig implementiert.

Alle anderen Samba-System, wie Samba-Clients, Samba-Fileserver und CTDB-Cluster sind von dem neuen FL nicht betroffen und können ohne weiteres aktualisiert werden.

 

This entry was posted in Samba. Bookmark the permalink.