Představuje se vydání Samba 4.15.0, které pokračuje ve vývoji větve Samba 4 s plnohodnotnou implementací doménového řadiče a služby Active Directory, která je kompatibilní s implementací Windows 2000 a je schopna obsluhovat všechny verze Klienti Windows podporovaní společností Microsoft, včetně Windows 10. Samba 4 je multifunkční serverový produkt, který také poskytuje implementaci souborového serveru, tiskové služby a serveru identity (winbind).
Klíčové změny v Sambě 4.15:
- Práce na upgradu vrstvy VFS byly dokončeny. Z historických důvodů byl kód s implementací souborového serveru vázán na zpracování cest k souborům, což bylo použito i pro protokol SMB2, který byl převeden do použití deskriptorů. Modernizace zahrnovala převod kódu, který poskytuje přístup k systému souborů serveru, aby používal deskriptory souborů místo cest k souborům (například volání fstat() místo stat() a SMB_VFS_FSTAT() místo SMB_VFS_STAT()).
- Implementace technologie BIND DLZ (Dynamically-loaded zones), která klientům umožňuje odesílat požadavky na přenos zóny DNS na server BIND a přijímat odpověď od Samby, přidala možnost definovat přístupové seznamy, které vám umožní určit, kteří klienti jsou takové žádosti povoleny a které nikoli. Plugin DLZ DNS již nepodporuje větve Bind 9.8 a 9.9.
- Podpora pro vícekanálové rozšíření SMB3 (protokol SMB3 Multi-Channel) je ve výchozím nastavení povolena a stabilizována, což klientům umožňuje vytvořit více připojení a paralelizovat přenosy dat v rámci jedné relace SMB. Například při přístupu k jednomu souboru mohou být I/O operace distribuovány přes více otevřených připojení najednou. Tento režim umožňuje zvýšit propustnost a zvýšit odolnost proti poruchám. Chcete-li zakázat SMB3 Multi-Channel, musíte změnit volbu „server multi channel support“ v smb.conf, která je nyní standardně povolena na platformách Linux a FreeBSD.
- Nyní je možné použít příkaz samba-tool v konfiguracích Samba vytvořených bez podpory řadiče domény Active Directory (když je zadána možnost „--without-ad-dc“). V tomto případě však nejsou dostupné všechny funkce, například možnosti příkazu 'samba-tool domain' jsou omezené.
- Vylepšené rozhraní příkazového řádku: Byl navržen nový analyzátor voleb příkazového řádku pro použití v různých obslužných programech samby. Obdobné možnosti, které se v různých utilitách lišily, byly sjednoceny, například bylo sjednoceno zpracování voleb týkajících se šifrování, práce s digitálními podpisy a používání kerberos. smb.conf definuje nastavení pro nastavení výchozích hodnot možností. Pro výstup chyb všechny nástroje používají STDERR (pro výstup na STDOUT je nabízena možnost „--debug-stdout“).
Přidána možnost "--client-protection=off|sign|šifrovat".
Přejmenované možnosti: --kerberos -> --use-kerberos=required|desired|off --krb5-ccache -> --use-krb5-ccache=CCACHE --scope -> --netbios-scope=SCOPE --use -ccache -> --use- winbind-ccache
Odebrány možnosti: „-e|—šifrovat“ a „-S|—podepisování“.
Byla provedena práce na vyčištění duplicitních možností v obslužných programech ldbadd, ldbdel, ldbedit, ldbmodify, ldbrename a ldbsearch, ndrdump, net, shareec, smbcquotas, nmbd, smbd a winbindd.
- Ve výchozím nastavení je skenování seznamu důvěryhodných domén při spuštění winbindd zakázáno, což dávalo smysl v dobách NT4, ale není relevantní pro Active Directory.
- Přidána podpora pro mechanismus ODJ (Offline Domain Join), který umožňuje připojit počítač k doméně bez přímého kontaktování řadiče domény. V operačních systémech typu Unix založených na Sambě je pro připojení nabízen příkaz 'net offlinejoin' a ve Windows můžete použít standardní program djoin.exe.
- Příkaz 'samba-tool dns zoneoptions' poskytuje možnosti pro nastavení intervalu aktualizace a řízení čištění zastaralých záznamů DNS. Pokud jsou odstraněny všechny záznamy pro název DNS, uzel se umístí do stavu neplatné.
- DNS server DCE/RPC mohou nyní používat nástroje samba-tool a Windows k manipulaci se záznamy DNS na externím serveru.
- Při provádění příkazu „samba-tool domain backup offline“ je zajištěno správné nastavení zámků na databázi LMDB pro ochranu proti paralelní modifikaci dat během zálohování.
- Podpora experimentálních dialektů protokolu SMB - SMB2_22, SMB2_24 a SMB3_10, které byly používány pouze v testovacích sestaveních Windows, byla ukončena.
- V sestaveních s experimentální implementací Active Directory založené na MIT Kerberos byly požadavky na verzi tohoto balíčku zvýšeny. Sestavení nyní vyžaduje minimálně MIT Kerberos verze 1.19 (dodáváno s Fedorou 34).
- Podpora NIS byla odstraněna.
- Opravená chyba zabezpečení CVE-2021-3671, která umožňuje neověřenému uživateli havarovat řadič domény Heimdal KDC, pokud je odeslán paket TGS-REQ, který neobsahuje název serveru.
Zdroj: opennet.ru