Версия на Samba 4.15.0

Представена е версията Samba 4.15.0, която продължава развитието на клона Samba 4 с пълноценно внедряване на домейн контролер и услуга Active Directory, която е съвместима с внедряването на Windows 2000 и може да обслужва всички версии на Клиенти на Windows, поддържани от Microsoft, включително Windows 10. Samba 4 е многофункционален сървърен продукт, който също така осигурява внедряване на файлов сървър, услуга за печат и сървър за самоличност (winbind).

Ключови промени в Samba 4.15:

• Завършена работа по надграждане на VFS слоя. Поради исторически причини кодът с внедряването на файловия сървър беше обвързан с обработката на пътеки към файлове, които бяха използвани, наред с други неща, за протокола SMB2, преведен на използването на дескриптори. Надграждането се свежда до превод на кода, който предоставя достъп до файловата система на сървъра, за да използва файлови дескриптори вместо файлови пътища (например извикването fstat() се използва вместо stat() и SMB_VFS_FSTAT() вместо SMB_VFS_STAT()) .
• При внедряването на BIND DLZ (Dynamically-loaded zones), което позволява на клиентите да изпращат заявки за прехвърляне на DNS зони към BIND сървъра и да получават отговор от Samba, е добавена възможност за дефиниране на списъци за достъп, за да се определи на кои клиенти са разрешени такива заявки и кои не са. DLZ DNS плъгинът вече не поддържа клонове Bind 9.8 и 9.9.
• Активирана по подразбиране и стабилизирана поддръжка за SMB3 многоканално разширение (SMB3 Multi-Channel protocol), което позволява на клиентите да установяват множество връзки за паралелизиране на преноса на данни в рамките на една SMB сесия. Например, при достъп до един файл, I / O операциите могат да бъдат разпределени в няколко отворени връзки наведнъж. Този режим ви позволява да увеличите пропускателната способност и да увеличите устойчивостта на грешки. За да деактивирате SMB3 Multi-Channel в smb.conf, променете опцията „сървърна многоканална поддръжка“, която вече е активирана по подразбиране на Linux и FreeBSD платформи.
• Осигурена е възможност за използване на командата samba-tool в конфигурации на Samba, компилирани без поддръжка за домейн контролер на Active Directory (чрез указване на опцията „--without-ad-dc“). Но в този случай не цялата функционалност е налична, например възможностите на командата „samba-tool domain“ са ограничени.
• Подобрен интерфейс на командния ред: Предложен е нов анализатор на опции на командния ред за различни помощни програми на samba. Бяха унифицирани подобни опции, които се различаваха в различните помощни програми, например обработката на опции, свързани с криптиране, работа с цифрови подписи и използване на kerberos, беше унифицирана. Настройките са дефинирани в smb.conf за задаване на опции по подразбиране. За показване на грешки във всички помощни програми се използва STDERR (за изход към STDOUT се предлага опцията „-debug-stdout“).

  Добавена е опция „--client-protection=off|sign|encrypt“.

  Преименувани опции: --kerberos -> --use-kerberos=необходимо|желано|изключено --krb5-ccache -> --use-krb5-ccache=CCACHE --scope -> --netbios-scope=SCOPE --use -ccache -> --use- winbind-ccache

  Премахнати опции: "-e|-encrypt" и "-S|-signing".

  Извършена е работа за изчистване на дублиращи се опции в помощните програми ldbadd, ldbdel, ldbedit, ldbmodify, ldbrename и ldbsearch, ndrdump, net, sharesec, smbcquotas, nmbd, smbd и winbindd.

• По подразбиране сканирането на списъка с доверени домейни е деактивирано, когато се стартира winbindd, което имаше смисъл в дните на NT4, но не е от значение за Active Directory.
• Добавена е поддръжка за механизма ODJ (Offline Domain Join), който ви позволява да присъедините компютър към домейн, без да се свързвате директно с домейн контролер. В базирани на Samba Unix-подобни операционни системи се предлага командата 'net offlinejoin' за присъединяване, а в Windows можете да използвате стандартната програма djoin.exe.
• Командата 'samba-tool dns zoneoptions' има опции за задаване на интервала за актуализиране и контролиране на изчистването на остарели DNS записи. Ако всички записи за DNS име бъдат изтрити, възелът се поставя в състояние „надгробен камък“.
• DCE/RPC DNS сървърите вече могат да се използват от samba-tool и помощните програми на Windows за манипулиране на DNS записи на външен сървър.
• При изпълнение на командата „архивиране на домейн на samba-tool офлайн“ беше осигурена правилната настройка на заключванията към базата данни LMDB, за да се защити срещу паралелно модифициране на данни по време на архивиране.
• Отпадна поддръжката за експерименталните диалекти на SMB протокола SMB2_22, SMB2_24 и SMB3_10, които бяха използвани само в тестови компилации на Windows.
• В компилации с експериментална реализация на Active Directory, базирана на MIT Kerberos, изискванията за версията на този пакет са повишени. Компилациите вече изискват поне MIT Kerberos 1.19 (доставя се във Fedora 34).
• Премахната поддръжка на NIS.
• Обърнато е внимание на уязвимостта CVE-2021-3671, която може да позволи на неупълномощен потребител да срине базиран на Heimdal KDC домейн контролер, ако бъде изпратен TGS-REQ пакет, който не посочва име на сървър.

Източник: opennet.ru