Esitleti Samba 4.15.0 väljalaset, mis jätkas Samba 4 haru arendamist domeenikontrolleri ja Active Directory teenuse täisväärtusliku juurutamisega, mis ühildub Windows 2000 juurutamisega ja suudab teenindada kõiki Windowsi klientide versioone toetab Microsoft, sealhulgas Windows 10. Samba 4 on multifunktsionaalne serveritoode , mis pakub ka failiserveri, prinditeenuse ja identiteediserveri (winbind) juurutamist.
Peamised muudatused versioonis Samba 4.15:
- VFS-kihi uuendamise töö on lõpetatud. Ajaloolistel põhjustel oli failiserveri juurutusega kood seotud failiteede töötlemisega, mida kasutati ka SMB2 protokolli jaoks, mis viidi üle deskriptorite kasutusele. Moderniseerimine hõlmas serveri failisüsteemile juurdepääsu võimaldava koodi teisendamist, et kasutada failiteede asemel failideskriptoreid (näiteks kutsudes stat() asemel fstat() ja SMB_VFS_STAT() asemel SMB_VFS_FSTAT()).
- BIND DLZ (dünaamiliselt laaditud tsoonid) tehnoloogia juurutamine, mis võimaldab klientidel saata DNS-tsooni edastustaotlusi BIND-serverile ja saada vastust Sambalt, on lisanud võimaluse määratleda juurdepääsuloendeid, mis võimaldavad teil määrata, millised kliendid on sellised taotlused lubatud ja millised mitte. DLZ DNS-i pistikprogramm ei toeta enam Bindi harusid 9.8 ja 9.9.
- SMB3 mitme kanaliga laienduse tugi (SMB3 mitme kanaliga protokoll) on vaikimisi lubatud ja stabiliseeritud, võimaldades klientidel luua ühe SMB seansi jooksul andmeedastuse paralleelseerimiseks mitu ühendust. Näiteks ühele failile juurdepääsul saab sisend- ja väljundtoiminguid korraga mitme avatud ühenduse vahel jaotada. See režiim võimaldab teil suurendada läbilaskevõimet ja suurendada vastupidavust riketele. SMB3 mitmekanali keelamiseks peate failis smb.conf muutma suvandit "serveri mitme kanali tugi", mis on nüüd Linuxi ja FreeBSD platvormidel vaikimisi lubatud.
- Nüüd on võimalik kasutada käsku samba-tool Samba konfiguratsioonides, mis on loodud ilma Active Directory domeenikontrolleri toeta (kui on määratud suvand “--without-ad-dc”). Kuid sel juhul pole kõik funktsioonid saadaval; näiteks on käsu 'samba-tool domain' võimalused piiratud.
- Täiustatud käsurea liides: mitmesugustes samba utiliitides kasutamiseks on pakutud välja uus käsurea valikute parser. Ühtlustatud on sarnaseid, erinevates utiliitides erinenud võimalusi, näiteks on ühtlustatud krüpteerimise, digiallkirjadega töötamise ja kerberose kasutamisega seotud valikute töötlemist. smb.conf määrab suvandite vaikeväärtuste määramise sätted. Vigade väljastamiseks kasutavad kõik utiliidid STDERR-i (STDOUT-i väljundiks pakutakse valikut “--debug-stdout”).
Lisatud valik "--client-protection=off|sign|encrypt".
Ümbernimetatud valikud: --kerberos -> --use-kerberos=required|desired|off --krb5-ccache -> --use-krb5-ccache=CCACHE --scope -> --netbios-scope=SCOPE --use -ccache -> --use- winbind-ccache
Eemaldatud valikud: "-e|—krüptimine" ja "-S|—allkirjastamine".
Töö on tehtud dubleerivate valikute puhastamiseks utiliitides ldbadd, ldbdel, ldbedit, ldbmodify, ldbrename ja ldbsearch, nddrump, net, sharesec, smbcquota, nmbd, smbd ja winbind.
- Vaikimisi on winbindd käivitamisel usaldusväärsete domeenide loendi skannimine keelatud, mis oli NT4 päevil mõistlik, kuid see pole Active Directory jaoks asjakohane.
- Lisatud on tugi ODJ (Offline Domain Join) mehhanismile, mis võimaldab ühendada arvuti domeeniga ilma domeenikontrolleriga otse ühendust võtmata. Samba-põhistes Unixi-laadsetes operatsioonisüsteemides pakutakse liitumiseks käsku 'net offlinejoin' ja Windowsis saab kasutada tavalist djoin.exe programmi.
- Käsk 'samba-tool dns zoneoptions' pakub valikuid värskendusintervalli määramiseks ja aegunud DNS-kirjete puhastamise juhtimiseks. Kui kõik DNS-nime kirjed kustutatakse, asetatakse sõlm hauakivi olekusse.
- DNS-serverit DCE/RPC saavad nüüd kasutada samba-tool ja Windowsi utiliidid DNS-kirjete manipuleerimiseks välises serveris.
- Käsu "samba-tool domeeni varundamine võrguühenduseta" täitmisel on tagatud LMDB andmebaasi õige lukustamine, et kaitsta varundamise ajal andmete paralleelse muutmise eest.
- SMB-protokolli eksperimentaalsete murrete tugi - SMB2_22, SMB2_24 ja SMB3_10, mida kasutati ainult Windowsi testversioonides, on lõpetatud.
- MIT Kerberosel põhineva Active Directory eksperimentaalse juurutusega ehitustes on selle paketi versiooni nõudeid tõstetud. Ehitamiseks on nüüd vaja vähemalt MIT Kerberose versiooni 1.19 (tarnitakse koos Fedora 34-ga).
- NIS-i tugi on eemaldatud.
- Parandatud haavatavus CVE-2021-3671, mis võimaldab autentimata kasutajal Heimdali KDC-põhise domeenikontrolleri krahhi, kui saadetakse TGS-REQ pakett, mis ei sisalda serveri nime.
Allikas: opennet.ru