Прадстаўлены рэліз Samba 4.15.0, які працягнуў развіццё галінкі Samba 4 з паўнавартаснай рэалізацыяй кантролера дамена і сэрвісу Active Directory, сумяшчальнага з рэалізацыяй Windows 2000 і здольнага абслугоўваць усе падтрымоўваныя Microsoft версіі Windows-кліентаў, у тым ліку Windows 10. Samba 4 з'яўляецца шматфункцыянальным серверным прадукт , якія прадстаўляюць таксама рэалізацыю файлавага сервера, сэрвісу друку і сервера ідэнтыфікацыі (winbind).
Ключавыя змены ў Samba 4.15:
- Завершана праца па мадэрнізацыі пласта VFS. Па гістарычных прычынах код з рэалізацыяй файлавага сервера быў завязаны на апрацоўку файлавых шляхоў, якая прымянялася ў тым ліку для пратакола SMB2, перакладзенага на выкарыстанне дэскрыптараў. Мадэрнізацыя звялася да перакладу кода, які забяспечвае доступ да файлавай сістэмы сервера, на выкарыстанне файлавых дэскрыптараў замест файлавых шляхоў (напрыклад, задзейнічаны выклік fstat() замест stat() і SMB_VFS_FSTAT() замест SMB_VFS_STAT()).
- У рэалізацыю тэхналогіі BIND DLZ (Dynamically-loaded zones), якая дазваляе кліентам адпраўляць запыты перадачы DNS-зон серверу BIND і атрымліваць адказ ад Samba, дададзена магчымасць вызначэння спісаў доступу, якія дазваляюць вызначаць якім кліентам падобныя запыты дазволеныя, а якім не. У плагіне DLZ DNS спынена падтрымка галінак Bind 9.8 і 9.9.
- Уключаная па змаўчанні і стабілізаваная падтрымка шматканальнага пашырэння SMB3 (пратакол SMB3 Multi-Channel), які дазваляе кліентам усталёўваць некалькі злучэнняў для распаралельвання перадачы дадзеных у рамках аднаго SMB-сеансу. Напрыклад, пры звароце да аднаго файла аперацыі ўводу/высновы могуць размяркоўвацца адразу па некалькіх адчыненым злучэнням. Гэты рэжым дазваляе павысіць прапускную здольнасць і павялічыць устойлівасць да збояў. Для адключэння SMB3 Multi-Channel у smb.conf варта змяніць опцыю "server multi channel support", якая з гэтага часу ўключаная па змаўчанні на платформах Linux і FreeBSD.
- Забяспечана магчымасць выкарыстання каманды samba-tool у канфігурацыях Samba, сабраных без падтрымкі кантролера дамена Active Directory (пры ўказанні опцыі "-without-ad-dc"). Але ў гэтым выпадку не ўся функцыянальнасць даступная, напрыклад, абмежаваныя магчымасці каманды 'samba-tool domain'.
- Палепшаны інтэрфейс каманднага радка: Прапанаваны новы парсер опцый каманднага радка, задзейнічаны ў розных утылітах samba. Уніфікаваны падобныя опцыі, якія адрозніваліся ў розных утылітах, напрыклад, уніфікавана апрацоўка опцый, звязаных з шыфраваннем, працай з лічбавымі подпісамі і выкарыстаннем kerberos. У smb.conf вызначаны налады для задання значэнняў опцый па змаўчанні. Для вываду памылак ва ўсіх утылітах задзейнічаны STDERR (для вываду ў STDOUT прапанавана опцыя «-debug-stdout»).
Дададзена опцыя "-client-protection=off|sign|encrypt".
Перайменаваны опцыі: -kerberos -> -use-kerberos=required|desired|off -krb5-ccache -> -use-krb5-ccache=CCACHE -scope -> -netbios-scope=SCOPE -use-ccache -> -use- winbind-ccache
Выдалены опцыі: "-e|-encrypt" і "-S|-signing".
Праведзена праца па чыстцы дублікатаў опцый ва ўтылітах ldbadd, ldbdel, ldbedit, ldbmodify, ldbrename і ldbsearch, ndrdump, net, sharesec, smbcquotas, nmbd, smbd і winbindd.
- Па змаўчанні адключана сканаванне спісу давераных даменаў (Trusted Domain) пры запуску winbindd, якое мела сэнс у часы NT4, але не актуальна для Active Directory.
- Дададзена падтрымка механізму ODJ (Offline Domain Join), які дазваляе далучыць кампутар да дамена без прамога звароту да кантролера дамена. У Unix-падобных АС на базе Samba для далучэння прапанавана каманда "net offlinejoin", а ў Windows можна выкарыстоўваць штатную праграму djoin.exe.
- У камандзе 'samba-tool dns zoneoptions' рэалізаваны опцыі для задання інтэрвалу абнаўлення і кіраванні чысткай састарэлых DNS-запісаў. У выпадку выдалення ўсіх запісаў для імя DNS вузел пераводзіцца ў стан выдаленага («tombstone»).
- DCE/RPC DNS-сервера зараз можа выкарыстоўвацца ўтылітай samba-tool і ўтылітамі Windows для маніпуляцыі з DNS-запісамі на вонкавым серверы.
- Пры выкананні каманды "samba-tool domain backup offline" забяспечана карэктнае выстаўленне блакіровак да БД LMDB для абароны ад паралельнай мадыфікацыі дадзеных падчас рэзервовага капіявання.
- Спынена падтрымка эксперыментальных дыялектаў пратаколу SMB – SMB2_22, SMB2_24 і SMB3_10, якія выкарыстоўваліся толькі ў тэставых зборках Windows.
- У зборках з эксперыментальнай рэалізацыяй Active Directory на базе MIT Kerberos узняты патрабаванні да версіі дадзенага пакета. Для зборкі зараз неабходна прынамсі версія MIT Kerberos 1.19 (пастаўляецца ў Fedora 34).
- Выдалена падтрымка NIS.
- Ухіленая ўразлівасць CVE-2021-3671, якая дазваляе неаўтэнтыфікаванаму карыстачу выклікаць крах кантролера дамена на базе Heimdal KDC у выпадку адпраўкі пакета TGS-REQ, у якім не паказана імя сервера.
Крыніца: opennet.ru