ProHoster > Blog > internet nuus > Samba 4.15.0 vrystelling

Samba 4.15.0 vrystelling

Die Samba 4.15.0-vrystelling word aangebied, wat die ontwikkeling van die Samba 4-tak voortsit met 'n volwaardige implementering van 'n domeinbeheerder en 'n Active Directory-diens wat versoenbaar is met die implementering van Windows 2000 en in staat is om alle weergawes van Windows-kliënte wat deur Microsoft ondersteun word, insluitend Windows 10. Samba 4 is 'n multifunksionele bedienerproduk, wat ook 'n implementering van die lêerbediener, drukdiens en identiteitsbediener (winbind) verskaf.

Sleutelveranderinge in Samba 4.15:

  • Werk aan die opgradering van die VFS-laag voltooi. Om historiese redes was die kode met die implementering van die lêerbediener gekoppel aan die verwerking van lêerpaaie, wat onder meer gebruik is vir die SMB2-protokol, vertaal na die gebruik van beskrywers. Die opgradering het neergekom op die vertaling van die kode wat toegang tot die bediener se lêerstelsel bied om lêerbeskrywers in plaas van lêerpaaie te gebruik (byvoorbeeld, die fstat()-oproep word gebruik in plaas van stat() en SMB_VFS_FSTAT() in plaas van SMB_VFS_STAT()) .
  • In die implementering van BIND DLZ (Dynamies gelaaide sones), wat kliënte toelaat om DNS-sone-oordragversoeke na die BIND-bediener te stuur en 'n antwoord van Samba te ontvang, is die vermoë om toegangslyste te definieer bygevoeg om te bepaal watter kliënte sulke versoeke toegelaat word en wat nie is nie. DLZ DNS-inprop ondersteun nie meer Bind 9.8- en 9.9-takke nie.
  • By verstek geaktiveer en gestabiliseerde ondersteuning vir die SMB3-multikanaaluitbreiding (SMB3 Multi-Channel-protokol), wat kliënte in staat stel om veelvuldige verbindings te vestig om data-oordrag binne 'n enkele SMB-sessie te paralleliseer. Byvoorbeeld, wanneer toegang tot 'n enkele lêer verkry word, kan I / O-bewerkings tegelyk oor verskeie oop verbindings versprei word. Hierdie modus laat jou toe om deurset te verhoog en fouttoleransie te verhoog. Om SMB3 Multi-Channel in smb.conf te deaktiveer, verander die "server multi channel support" opsie, wat nou by verstek geaktiveer is op Linux en FreeBSD platforms.
  • Die vermoë om die samba-tool-opdrag te gebruik in Samba-konfigurasies wat sonder ondersteuning vir 'n Active Directory-domeinbeheerder saamgestel is (deur die "--without-ad-dc" opsie te spesifiseer) is voorsien. Maar in hierdie geval is nie alle funksionaliteit beskikbaar nie, byvoorbeeld, die vermoëns van die 'samba-tool domain'-opdrag is beperk.
  • Verbeterde opdragreëlkoppelvlak: 'n Nuwe opdragreëlopsie-ontleder is voorgestel vir verskeie samba-nutsprogramme. Soortgelyke opsies is verenig wat verskil in verskillende nutsprogramme, byvoorbeeld, die verwerking van opsies wat verband hou met enkripsie, werk met digitale handtekeninge en gebruik van kerberos is verenig. Instellings word in smb.conf gedefinieer om verstekopsies te stel. Om foute in alle nutsprogramme te vertoon, word STDERR gebruik (vir uitvoer na STDOUT word die "-debug-stdout" opsie voorgestel).

    Bygevoeg "--client-protection=off|teken|enkripteer" opsie.

    Hernoemde opsies: --kerberos -> --gebruik-kerberos=vereis|verlang|af --krb5-ccache -> --use-krb5-ccache=CCACHE --scope -> --netbios-scope=SCOPE --gebruik -ccache -> --gebruik- winbind-ccache

    Verwyder opsies: "-e|-encrypt" en "-S|-signing".

    Werk is gedoen om duplikaatopsies skoon te maak in die ldbadd, ldbdel, ldbedit, ldbmodify, ldbrename en ldbsearch, ndrdump, net, sharesec, smbcquotas, nmbd, smbd en winbindd nutsprogramme.

  • By verstek is Trusted Domain lys skandering gedeaktiveer wanneer winbindd begin word, wat sin gemaak het in die NT4 dae, maar is nie relevant vir Active Directory nie.
  • Bygevoeg ondersteuning vir die ODJ (Offline Domain Join) meganisme, wat jou toelaat om 'n rekenaar by 'n domein aan te sluit sonder om direk 'n domeinbeheerder te kontak. Op Samba-gebaseerde Unix-agtige bedryfstelsels word die 'net offlinejoin'-opdrag aangebied om aan te sluit, en op Windows kan jy die standaard djoin.exe-program gebruik.
  • Die 'samba-tool dns zoneoptions'-opdrag het opsies om die opdateringsinterval in te stel en die skoonmaak van verouderde DNS-rekords te beheer. As alle rekords vir 'n DNS-naam uitgevee word, word die nodus in die "grafsteen"-toestand geplaas.
  • DCE/RPC DNS-bedieners kan nou deur die samba-tool en Windows-nutsprogramme gebruik word om DNS-rekords op 'n eksterne bediener te manipuleer.
  • Wanneer die "samba-tool domein rugsteun vanlyn" opdrag uitgevoer word, is die korrekte instelling van slotte aan die LMDB databasis verseker om te beskerm teen parallelle wysiging van data tydens rugsteun.
  • Ondersteuning is laat vaar vir die eksperimentele SMB-protokol-dialekte SMB2_22, SMB2_24 en SMB3_10, wat slegs in toetsbou van Windows gebruik is.
  • In geboue met 'n eksperimentele implementering van Active Directory gebaseer op MIT Kerberos, is die vereistes vir die weergawe van hierdie pakket verhoog. Bouwerk vereis nou ten minste MIT Kerberos 1.19 (verskeep in Fedora 34).
  • Verwyder NIS-ondersteuning.
  • Geadresseerde kwesbaarheid CVE-2021-3671 wat 'n ongeverifieerde gebruiker kan toelaat om 'n Heimdal KDC-gebaseerde domeinbeheerder te laat crash as 'n TGS-REQ-pakkie gestuur word wat nie 'n bedienernaam spesifiseer nie.

Bron: opennet.ru

Voeg 'n opmerking