Cyflwynwyd rhyddhau Samba 4.17.0, a barhaodd â datblygiad cangen Samba 4 gyda gweithrediad llawn o reolwr parth a gwasanaeth Active Directory, sy'n gydnaws â gweithredu Windows 2008 ac yn gallu gwasanaethu pob fersiwn o gleientiaid Windows a gefnogir gan Microsoft, gan gynnwys Windows 11. Mae Samba 4 yn gynnyrch gweinydd amlswyddogaethol, sydd hefyd yn darparu gweinydd ffeiliau, gwasanaeth argraffu, a gweinydd adnabod (windbind) ar waith.
Newidiadau allweddol yn Samba 4.17:
- Mae gwaith wedi'i wneud i ddileu atchweliadau ym mherfformiad gweinyddwyr SMB prysur a ymddangosodd o ganlyniad i ychwanegu amddiffyniad rhag gwendidau trin symlink. Ymhlith yr optimeiddiadau a wnaed, sonnir am leihau galwadau system wrth wirio enw'r cyfeiriadur a pheidio â defnyddio digwyddiadau deffro wrth brosesu gweithrediadau cystadleuol sy'n arwain at oedi.
- Mae'r gallu i adeiladu Samba heb gefnogaeth ar gyfer protocol SMB1 yn smbd wedi'i ddarparu. I analluogi SMB1, mae'r opsiwn “--without-smb1-server” yn cael ei weithredu yn y sgript ffurfweddu adeiladu (yn effeithio ar smbd yn unig; cedwir cefnogaeth i SMB1 mewn llyfrgelloedd cleientiaid).
- Wrth ddefnyddio MIT Kerberos 1.20, gweithredir y gallu i wrthsefyll yr ymosodiad Bit Efydd (CVE-2020-17049) trwy drosglwyddo gwybodaeth ychwanegol rhwng y cydrannau KDC a KDB. Yn y KDC diofyn o Heimdal Kerberos, cafodd y mater ei ddatrys yn 2021.
- Pan gaiff ei adeiladu gyda MIT Kerberos 1.20, mae'r rheolydd parth Samba bellach yn cefnogi estyniadau Kerberos S4U2Self a S4U2Proxy, ac mae hefyd yn ychwanegu'r gallu ar gyfer Dirprwyo Cyfyngedig ar Sail Adnoddau (RBCD). Er mwyn rheoli RBCD, mae'r is-orchmynion 'add-principal' a 'del-principal' wedi'u hychwanegu at y gorchymyn "dirprwyo offeryn samba". Nid yw'r KDC rhagosodedig sy'n seiliedig ar Heimdal Kerberos yn cefnogi modd RBCD eto.
- Mae'r gwasanaeth DNS adeiledig yn darparu'r gallu i newid y porthladd rhwydwaith sy'n derbyn ceisiadau (er enghraifft, rhedeg gweinydd DNS arall ar yr un system sy'n ailgyfeirio rhai ceisiadau i Samba).
- Yn y gydran CTDB, sy'n gyfrifol am weithrediad ffurfweddau clwstwr, mae'r gofynion ar gyfer cystrawen y ffeil ctdb.tunables wedi'u lleihau. Wrth adeiladu Samba gyda'r opsiynau "--with-cluster-support" a "--systemd-install-services", sicrheir gosod y gwasanaeth systemd ar gyfer CTDB. Mae'r sgript ctdbd_wrapper wedi'i dirwyn i ben - mae'r broses ctdbd bellach yn cael ei lansio'n uniongyrchol o'r gwasanaeth systemd neu o sgript init.
- Mae'r gosodiad 'nt hash store = never' wedi'i weithredu, sy'n gwahardd storio hashes “noeth” (heb halen) o gyfrineiriau defnyddwyr Active Directory. Yn y fersiwn nesaf, bydd y gosodiad 'nt hash store' rhagosodedig yn cael ei osod i "auto", lle bydd y modd "byth" yn cael ei gymhwyso os yw'r gosodiad 'ntlm auth = disabled' yn bresennol.
- Mae rhwymiad wedi'i gynnig ar gyfer cyrchu API llyfrgell smbconf o god Python.
- Mae'r rhaglen smbstatus yn gweithredu'r gallu i allbynnu gwybodaeth mewn fformat JSON (wedi'i alluogi gyda'r opsiwn "-json").
- Mae'r rheolwr parth yn cefnogi'r grŵp diogelwch “Defnyddwyr Gwarchodedig”, a ymddangosodd yn Windows Server 2012 R2 ac nid yw'n caniatáu defnyddio mathau amgryptio gwan (ar gyfer defnyddwyr yn y grŵp, cefnogaeth ar gyfer dilysu NTLM, Kerberos TGTs yn seiliedig ar RC4, cyfyngedig a heb gyfyngiadau dirprwyaeth yn anabl).
- Mae cefnogaeth i storfa gyfrineiriau a dull dilysu yn seiliedig ar LanMan wedi dod i ben (nid yw'r gosodiad "lanman auth=yes" bellach yn cael unrhyw effaith).
Ffynhonnell: opennet.ru