Es wurde die Veröffentlichung von Samba 4.15.0 vorgestellt, die die Entwicklung des Samba 4-Zweigs mit einer vollständigen Implementierung eines Domänencontrollers und eines Active Directory-Dienstes fortsetzte, kompatibel mit der Implementierung von Windows 2000 und in der Lage ist, alle von Windows unterstützten Versionen von Windows-Clients zu bedienen Microsoft, einschließlich Windows 10. Samba 4 ist ein multifunktionales Serverprodukt, das auch eine Implementierung eines Dateiservers, eines Druckdienstes und eines Identitätsservers (winbind) bereitstellt.
Wichtige Änderungen in Samba 4.15:
- Die Arbeiten zur Aktualisierung der VFS-Schicht sind abgeschlossen. Aus historischen Gründen war der Code bei der Implementierung des Dateiservers an die Verarbeitung von Dateipfaden gebunden, die auch für das SMB2-Protokoll verwendet wurde, das auf die Verwendung von Deskriptoren übertragen wurde. Die Modernisierung umfasste die Konvertierung des Codes, der den Zugriff auf das Dateisystem des Servers ermöglicht, um Dateideskriptoren anstelle von Dateipfaden zu verwenden (z. B. den Aufruf von fstat() anstelle von stat() und SMB_VFS_FSTAT() anstelle von SMB_VFS_STAT()).
- Durch die Implementierung der BIND DLZ-Technologie (Dynamically-Loaded Zones), die es Clients ermöglicht, DNS-Zonenübertragungsanfragen an den BIND-Server zu senden und eine Antwort von Samba zu erhalten, wurde die Möglichkeit hinzugefügt, Zugriffslisten zu definieren, mit denen Sie feststellen können, um welche Clients es sich handelt welche Anfragen erlaubt sind und welche nicht. Das DLZ-DNS-Plugin unterstützt die Bind Branches 9.8 und 9.9 nicht mehr.
- Die Unterstützung für die SMB3-Mehrkanalerweiterung (SMB3-Mehrkanalprotokoll) ist standardmäßig aktiviert und stabilisiert, sodass Clients mehrere Verbindungen herstellen können, um Datenübertragungen innerhalb einer einzelnen SMB-Sitzung zu parallelisieren. Beim Zugriff auf eine einzelne Datei können E/A-Vorgänge beispielsweise auf mehrere offene Verbindungen gleichzeitig verteilt werden. Mit diesem Modus können Sie den Durchsatz erhöhen und die Fehlerresistenz erhöhen. Um SMB3 Multi-Channel zu deaktivieren, müssen Sie die Option „Server-Multi-Channel-Unterstützung“ in smb.conf ändern, die jetzt standardmäßig auf Linux- und FreeBSD-Plattformen aktiviert ist.
- Es ist jetzt möglich, den Befehl samba-tool in Samba-Konfigurationen zu verwenden, die ohne Active Directory-Domänencontroller-Unterstützung erstellt wurden (wenn die Option „--without-ad-dc“ angegeben ist). Allerdings steht in diesem Fall nicht die gesamte Funktionalität zur Verfügung; beispielsweise sind die Möglichkeiten des Befehls „samba-tool domain“ eingeschränkt.
- Verbesserte Befehlszeilenschnittstelle: Ein neuer Parser für Befehlszeilenoptionen wurde zur Verwendung in verschiedenen Samba-Dienstprogrammen vorgeschlagen. Ähnliche Optionen, die sich in verschiedenen Dienstprogrammen unterschieden, wurden vereinheitlicht, beispielsweise wurde die Verarbeitung von Optionen im Zusammenhang mit der Verschlüsselung, der Arbeit mit digitalen Signaturen und der Verwendung von Kerberos vereinheitlicht. smb.conf definiert Einstellungen zum Festlegen von Standardwerten für Optionen. Zur Ausgabe von Fehlern wird in allen Dienstprogrammen STDERR verwendet (für die Ausgabe nach STDOUT wird die Option „--debug-stdout“ vorgeschlagen).
Option „--client-protection=off|sign|encrypt“ hinzugefügt.
Umbenannte Optionen: --kerberos -> --use-kerberos=required|desired|off --krb5-ccache -> --use-krb5-ccache=CCACHE --scope -> --netbios-scope=SCOPE --use -ccache -> --use-winbind-ccache
Entfernte Optionen: „-e| – verschlüsseln“ und „-S| – signieren“.
Es wurde daran gearbeitet, doppelte Optionen in den Dienstprogrammen ldbadd, ldbdel, ldbedit, ldbmodify, ldbrename und ldbsearch, ndrdump, net, sharesec, smbcquotas, nmbd, smbd und winbindd zu bereinigen.
- Standardmäßig ist das Scannen der Liste vertrauenswürdiger Domänen beim Ausführen von winbindd deaktiviert, was zu NT4-Zeiten sinnvoll war, für Active Directory jedoch nicht relevant ist.
- Unterstützung für den ODJ-Mechanismus (Offline Domain Join) hinzugefügt, der es Ihnen ermöglicht, einen Computer einer Domäne hinzuzufügen, ohne einen Domänencontroller direkt zu kontaktieren. In Samba-basierten Unix-ähnlichen Betriebssystemen wird für den Beitritt der Befehl „net offlinejoin“ angeboten, unter Windows können Sie das Standardprogramm djoin.exe verwenden.
- Der Befehl „samba-tool dns zoneoptions“ bietet Optionen zum Festlegen des Aktualisierungsintervalls und zum Steuern der Löschung veralteter DNS-Einträge. Wenn alle Einträge für einen DNS-Namen gelöscht werden, wird der Knoten in einen Tombstone-Status versetzt.
- Der DNS-Server DCE/RPC kann jetzt von Samba-Tool und Windows-Dienstprogrammen verwendet werden, um DNS-Einträge auf einem externen Server zu manipulieren.
- Beim Ausführen des Befehls „samba-tool domain backup offline“ wird eine korrekte Sperrung der LMDB-Datenbank sichergestellt, um einen Schutz vor paralleler Änderung von Daten während der Sicherung zu gewährleisten.
- Die Unterstützung für experimentelle Dialekte des SMB-Protokolls – SMB2_22, SMB2_24 und SMB3_10, die nur in Test-Builds von Windows verwendet wurden, wurde eingestellt.
- In Builds mit einer experimentellen Implementierung von Active Directory auf Basis von MIT Kerberos wurden die Anforderungen für die Version dieses Pakets erhöht. Build erfordert jetzt mindestens MIT Kerberos Version 1.19 (im Lieferumfang von Fedora 34 enthalten).
- Die NIS-Unterstützung wurde entfernt.
- Schwachstelle CVE-2021-3671 behoben, die es einem nicht authentifizierten Benutzer ermöglicht, einen Heimdal KDC-basierten Domänencontroller zum Absturz zu bringen, wenn ein TGS-REQ-Paket gesendet wird, das keinen Servernamen enthält.
Source: opennet.ru