Predstavljeno je izdanje Samba 4.15.0, koje nastavlja razvoj grane Samba 4 sa potpunom implementacijom kontrolera domena i usluge Active Directory koja je kompatibilna sa implementacijom Windows 2000 i koja može poslužiti svim verzijama Windows klijenti koje podržava Microsoft, uključujući Windows 10. Samba 4 je multifunkcionalni serverski proizvod, koji takođe obezbeđuje implementaciju servera datoteka, usluge štampanja i servera identiteta (winbind).
Ključne promjene u Sambi 4.15:
- Radovi na nadogradnji VFS sloja su završeni. Iz istorijskih razloga, kod sa implementacijom fajl servera bio je vezan za obradu putanja datoteka, što je korišćeno i za SMB2 protokol, koji je prebačen na upotrebu deskriptora. Modernizacija je uključivala pretvaranje koda koji omogućava pristup sistemu datoteka servera za korištenje deskriptora datoteka umjesto putanja datoteke (na primjer, pozivanje fstat() umjesto stat() i SMB_VFS_FSTAT() umjesto SMB_VFS_STAT()).
- Implementacija BIND DLZ (Dynamically-loaded zones) tehnologije, koja omogućava klijentima da pošalju zahtjeve za prijenos DNS zone na BIND server i dobiju odgovor od Sambe, dodala je mogućnost definiranja pristupnih lista koje vam omogućavaju da odredite koji su klijenti dozvoljeni takvi zahtjevi, a koji nisu. DLZ DNS dodatak više ne podržava Bind grane 9.8 i 9.9.
- Podrška za SMB3 višekanalno proširenje (SMB3 Multi-Channel protokol) je podrazumevano omogućena i stabilizovana, omogućavajući klijentima da uspostave više konekcija radi paralelizacije prenosa podataka unutar jedne SMB sesije. Na primjer, kada se pristupa jednoj datoteci, I/O operacije se mogu distribuirati na više otvorenih veza odjednom. Ovaj način vam omogućava da povećate propusnost i povećate otpornost na kvarove. Da biste onemogućili SMB3 Multi-Channel, morate promijeniti opciju “server multi channel support” u smb.conf, koja je sada po defaultu omogućena na Linux i FreeBSD platformama.
- Sada je moguće koristiti naredbu samba-tool u Samba konfiguracijama izgrađenim bez podrške za Active Directory domenski kontroler (kada je navedena opcija “--without-ad-dc”). Ali u ovom slučaju nije dostupna sva funkcionalnost; na primjer, mogućnosti naredbe 'samba-tool domain' su ograničene.
- Poboljšani interfejs komandne linije: Predložen je novi parser opcija komandne linije za upotrebu u različitim samba uslužnim programima. Objedinjene su slične opcije koje su se razlikovale u različitim uslužnim programima, na primjer, objedinjena je obrada opcija vezanih za šifriranje, rad s digitalnim potpisima i korištenje kerberosa. smb.conf definira postavke za postavljanje zadanih vrijednosti za opcije. Za izlaz grešaka, svi uslužni programi koriste STDERR (za izlaz u STDOUT, ponuđena je opcija “--debug-stdout”).
Dodata opcija "--client-protection=off|sign|encrypt".
Preimenovane opcije: --kerberos -> --use-kerberos=obavezno|željeno|isključeno --krb5-ccache -> --use-krb5-ccache=CCACHE --scope -> --netbios-scope=SCOPE --use -ccache -> --use- winbind-ccache
Uklonjene opcije: "-e|—šifriranje" i "-S|—potpisivanje".
Rad je obavljen na čišćenju duplih opcija u uslužnim programima ldbadd, ldbdel, ldbedit, ldbmodify, ldbrename i ldbsearch, ndrdump, net, sharesec, smbcquotas, nmbd, smbd i winbindd.
- Podrazumevano, skeniranje liste pouzdanih domena kada se pokreće winbindd je onemogućeno, što je imalo smisla u danima NT4, ali nije relevantno za Active Directory.
- Dodata podrška za ODJ (Offline Domain Join) mehanizam, koji vam omogućava da priključite računar na domenu bez direktnog kontaktiranja kontrolora domena. U operativnim sistemima sličnim Unixu baziranim na Sambi, komanda 'net offlinejoin' se nudi za pridruživanje, au Windows-u možete koristiti standardni program djoin.exe.
- Komanda 'samba-tool dns zoneoptions' pruža opcije za postavljanje intervala ažuriranja i kontrolu čišćenja zastarjelih DNS zapisa. Ako su svi zapisi za DNS ime izbrisani, čvor se stavlja u stanje nadgrobnog spomenika.
- DNS server DCE/RPC sada mogu koristiti samba-tool i Windows uslužni programi za manipulaciju DNS zapisima na eksternom serveru.
- Prilikom izvršavanja naredbe “samba-tool domain backup offline”, osigurano je ispravno zaključavanje LMDB baze podataka radi zaštite od paralelnih modifikacija podataka tokom sigurnosnog kopiranja.
- Podrška za eksperimentalne dijalekte SMB protokola - SMB2_22, SMB2_24 i SMB3_10, koji su se koristili samo u testnim verzijama Windowsa, je ukinuta.
- U verzijama sa eksperimentalnom implementacijom Active Directory zasnovanom na MIT Kerberos-u, zahtevi za verziju ovog paketa su podignuti. Izgradnja sada zahtijeva najmanje MIT Kerberos verziju 1.19 (isporučuje se sa Fedorom 34).
- NIS podrška je uklonjena.
- Fiksna ranjivost CVE-2021-3671, koja omogućava neautorizovanom korisniku da sruši Heimdal KDC-bazirani kontroler domene ako se pošalje TGS-REQ paket koji ne uključuje ime servera.
izvor: opennet.ru