Es presenta la versió Samba 4.15.0, que continua el desenvolupament de la branca Samba 4 amb una implementació completa d'un controlador de domini i un servei de Directori Active que és compatible amb la implementació de Windows 2000 i és capaç de servir totes les versions de Clients Windows compatibles amb Microsoft, inclòs Windows 10. Samba 4 és un producte de servidor multifuncional, que també proporciona una implementació del servidor de fitxers, el servei d'impressió i el servidor d'identitats (winbind).
Canvis clau a Samba 4.15:
- S'ha completat el treball d'actualització de la capa VFS. Per raons històriques, el codi amb la implementació del servidor de fitxers estava lligat al processament de les rutes de fitxers, que també es va utilitzar per al protocol SMB2, que es va traslladar a l'ús de descriptors. La modernització va implicar convertir el codi que proporciona accés al sistema de fitxers del servidor per utilitzar descriptors de fitxers en lloc de rutes de fitxers (per exemple, cridar a fstat() en lloc de stat() i SMB_VFS_FSTAT() en lloc de SMB_VFS_STAT()).
- La implementació de la tecnologia BIND DLZ (Zones de càrrega dinàmica), que permet als clients enviar peticions de transferència de zones DNS al servidor BIND i rebre una resposta de Samba, ha afegit la possibilitat de definir llistes d'accés que permeten determinar quins clients són. admeses aquestes peticions i quines no. El connector DNS de DLZ ja no admet les branques Bind 9.8 i 9.9.
- El suport per a l'extensió multicanal SMB3 (protocol multicanal SMB3) està activat per defecte i estabilitzat, la qual cosa permet als clients establir diverses connexions per paral·lelitzar les transferències de dades dins d'una única sessió SMB. Per exemple, quan s'accedeix a un sol fitxer, les operacions d'E/S es poden distribuir en diverses connexions obertes alhora. Aquest mode us permet augmentar el rendiment i augmentar la resistència als errors. Per desactivar SMB3 multicanal, heu de canviar l'opció de "suport multicanal del servidor" a smb.conf, que ara està activada per defecte a les plataformes Linux i FreeBSD.
- Ara és possible utilitzar l'ordre samba-tool en configuracions de Samba creades sense suport del controlador de domini Active Directory (quan s'especifica l'opció "--without-ad-dc"). Però en aquest cas, no totes les funcionalitats estan disponibles; per exemple, les capacitats de l'ordre "samba-tool domain" són limitades.
- Interfície de línia d'ordres millorada: s'ha proposat un nou analitzador d'opcions de línia d'ordres per utilitzar-lo en diverses utilitats de samba. S'han unificat opcions similars que es diferencien en diferents utilitats, per exemple, s'ha unificat el processament d'opcions relacionades amb el xifratge, el treball amb signatures digitals i l'ús de kerberos. smb.conf defineix la configuració per establir els valors predeterminats per a les opcions. Per produir errors, totes les utilitats utilitzen STDERR (per a la sortida a STDOUT, s'ofereix l'opció "--debug-stdout").
S'ha afegit l'opció "--client-protection=off|sign|encrypt".
Opcions canviades de nom: --kerberos -> --use-kerberos=required|desired|off --krb5-ccache -> --use-krb5-ccache=CCACHE --scope -> --netbios-scope=SCOPE --use -ccache -> --use- winbind-ccache
Opcions eliminades: “-e|—encrypt” i “-S|—signing”.
S'ha treballat per netejar les opcions duplicades a les utilitats ldbadd, ldbdel, ldbedit, ldbmodify, ldbrename i ldbsearch, ndrdump, net, sharesec, smbcquotas, nmbd, smbd i winbindd.
- Per defecte, l'exploració de la llista de dominis de confiança quan s'executa winbindd està desactivada, cosa que tenia sentit en els dies de NT4, però no és rellevant per a Active Directory.
- S'ha afegit compatibilitat amb el mecanisme ODJ (Offline Domain Join), que us permet unir un ordinador a un domini sense contactar directament amb un controlador de domini. Als sistemes operatius Unix basats en Samba, s'ofereix l'ordre 'net offlinejoin' per unir-se, i a Windows podeu utilitzar el programa estàndard djoin.exe.
- L'ordre "samba-tool dns zoneoptions" ofereix opcions per establir l'interval d'actualització i controlar la purga de registres DNS obsolets. Si s'eliminen tots els registres d'un nom DNS, el node es col·loca en un estat de làpida.
- El servidor DNS DCE/RPC ara pot ser utilitzat per samba-tool i les utilitats de Windows per manipular els registres DNS en un servidor extern.
- Quan s'executa l'ordre "samba-tool domain backup offline", s'assegura el bloqueig correcte de la base de dades LMDB per protegir-se de la modificació paral·lela de les dades durant la còpia de seguretat.
- El suport per als dialectes experimentals del protocol SMB: SMB2_22, SMB2_24 i SMB3_10, que només s'utilitzaven en versions de prova de Windows, s'ha interromput.
- En les compilacions amb una implementació experimental d'Active Directory basada en MIT Kerberos, s'han plantejat els requisits per a la versió d'aquest paquet. La creació ara requereix almenys la versió 1.19 de MIT Kerberos (enviada amb Fedora 34).
- S'ha eliminat el suport de NIS.
- S'ha solucionat la vulnerabilitat CVE-2021-3671, que permetia a un usuari no autenticat bloquejar un controlador de domini basat en Heimdal KDC si s'envia un paquet TGS-REQ que no inclou un nom de servidor.
Font: opennet.ru