Samba 4.15.0-udgivelsen præsenteres, som fortsætter udviklingen af Samba 4-grenen med en fuldgyldig implementering af en domænecontroller og en Active Directory-tjeneste, der er kompatibel med implementeringen af Windows 2000 og er i stand til at betjene alle versioner af Windows-klienter understøttet af Microsoft, herunder Windows 10. Samba 4 er et multifunktionelt serverprodukt, som også giver en implementering af filserveren, printtjenesten og identitetsserveren (winbind).
Vigtigste ændringer i Samba 4.15:
- Arbejdet med at opgradere VFS-laget er afsluttet. Af historiske årsager var koden med implementeringen af filserveren bundet til behandlingen af filstier, som også blev brugt til SMB2-protokollen, som blev overført til brug af deskriptorer. Moderniseringen involverede at konvertere koden, der giver adgang til serverens filsystem, til at bruge fildeskriptorer i stedet for filstier (for eksempel at kalde fstat() i stedet for stat() og SMB_VFS_FSTAT() i stedet for SMB_VFS_STAT()).
- Implementeringen af BIND DLZ-teknologien (Dynamically-loaded zones), som giver klienter mulighed for at sende DNS-zoneoverførselsanmodninger til BIND-serveren og modtage et svar fra Samba, har tilføjet muligheden for at definere adgangslister, der giver dig mulighed for at bestemme, hvilke klienter der er tilladt sådanne anmodninger, og som ikke er. DLZ DNS-pluginnet understøtter ikke længere Bind-grene 9.8 og 9.9.
- Understøttelse af SMB3-multikanaludvidelsen (SMB3 Multi-Channel-protokol) er aktiveret som standard og stabiliseret, hvilket giver klienter mulighed for at etablere flere forbindelser for at parallelisere dataoverførsler inden for en enkelt SMB-session. For eksempel, når du får adgang til en enkelt fil, kan I/O-operationer distribueres på tværs af flere åbne forbindelser på én gang. Denne tilstand giver dig mulighed for at øge gennemløbet og øge modstanden mod fejl. For at deaktivere SMB3 Multi-Channel, skal du ændre "server multi channel support" muligheden i smb.conf, som nu er aktiveret som standard på Linux og FreeBSD platforme.
- Det er nu muligt at bruge kommandoen samba-tool i Samba-konfigurationer bygget uden Active Directory-domænecontroller-understøttelse (når "--without-ad-dc"-indstillingen er angivet). Men i dette tilfælde er ikke al funktionalitet tilgængelig; for eksempel er mulighederne for kommandoen 'samba-tool domain' begrænset.
- Forbedret kommandolinjegrænseflade: En ny kommandolinjeoptionsparser er blevet foreslået til brug i forskellige samba-værktøjer. Lignende muligheder, der var forskellige i forskellige hjælpeprogrammer, er blevet forenet, for eksempel er behandlingen af muligheder relateret til kryptering, arbejde med digitale signaturer og brug af kerberos blevet forenet. smb.conf definerer indstillinger for indstilling af standardværdier for muligheder. For at udlæse fejl bruger alle hjælpeprogrammer STDERR (til output til STDOUT tilbydes "--debug-stdout" muligheden).
Tilføjet "--client-protection=off|sign|encrypt" mulighed.
Omdøbte muligheder: --kerberos -> --use-kerberos=påkrævet|ønsket|fra --krb5-ccache -> --use-krb5-ccache=CCACHE --scope -> --netbios-scope=SCOPE --brug -ccache -> --brug- winbind-ccache
Fjernede muligheder: "-e|—encrypt" og "-S|—signing".
Der er blevet arbejdet med at rydde op i duplikerede muligheder i ldbadd, ldbdel, ldbedit, ldbmodify, ldbrename og ldbsearch, ndrdump, net, sharesec, smbcquotas, nmbd, smbd og winbindd.
- Som standard er scanning af listen over Trusted Domains, når du kører winbindd, deaktiveret, hvilket gav mening i NT4-dagene, men ikke er relevant for Active Directory.
- Tilføjet understøttelse af ODJ (Offline Domain Join) mekanismen, som giver dig mulighed for at tilslutte en computer til et domæne uden direkte at kontakte en domænecontroller. I Samba-baserede Unix-lignende operativsystemer tilbydes kommandoen 'net offlinejoin' til at deltage, og i Windows kan du bruge standardprogrammet djoin.exe.
- Kommandoen 'samba-tool dns zoneoptions' giver muligheder for at indstille opdateringsintervallet og kontrollere udrensningen af forældede DNS-poster. Hvis alle poster for et DNS-navn slettes, placeres noden i en gravstenstilstand.
- DNS-server DCE/RPC kan nu bruges af samba-tool og Windows-værktøjer til at manipulere DNS-poster på en ekstern server.
- Når kommandoen "samba-tool domain backup offline" udføres, sikres korrekt låsning på LMDB-databasen for at beskytte mod parallel modifikation af data under backup.
- Understøttelse af eksperimentelle dialekter af SMB-protokollen - SMB2_22, SMB2_24 og SMB3_10, som kun blev brugt i testbuilds af Windows, er blevet afbrudt.
- I builds med en eksperimentel implementering af Active Directory baseret på MIT Kerberos er kravene til versionen af denne pakke blevet hævet. Byg nu kræver mindst MIT Kerberos version 1.19 (leveret med Fedora 34).
- NIS-understøttelse er blevet fjernet.
- Rettet sårbarhed CVE-2021-3671, som gør det muligt for en uautoriseret bruger at crashe en Heimdal KDC-baseret domænecontroller, hvis der sendes en TGS-REQ-pakke, der ikke indeholder et servernavn.
Kilde: opennet.ru