ProHoster > Blog > actualités internet > Sortie de Samba 4.15.0

Sortie de Samba 4.15.0

La version Samba 4.15.0 a été présentée, qui poursuit le développement de la branche Samba 4 avec une implémentation à part entière d'un contrôleur de domaine et d'un service Active Directory, compatible avec l'implémentation de Windows 2000 et capable de desservir toutes les versions de clients Windows. pris en charge par Microsoft, y compris Windows 10. Samba 4 est un produit serveur multifonctionnel, qui fournit également une implémentation d'un serveur de fichiers, d'un service d'impression et d'un serveur d'identité (winbind).

Principaux changements dans Samba 4.15 :

  • Les travaux de mise à niveau de la couche VFS sont terminés. Pour des raisons historiques, le code avec l'implémentation du serveur de fichiers était lié au traitement des chemins de fichiers, qui était également utilisé pour le protocole SMB2, qui était transféré à l'utilisation de descripteurs. La modernisation impliquait la conversion du code qui donne accès au système de fichiers du serveur pour utiliser des descripteurs de fichiers au lieu de chemins de fichiers (par exemple, en appelant fstat() au lieu de stat() et SMB_VFS_FSTAT() au lieu de SMB_VFS_STAT()).
  • L'implémentation de la technologie BIND DLZ (Dynamically-loaded zones), qui permet aux clients d'envoyer des requêtes de transfert de zone DNS au serveur BIND et de recevoir une réponse de Samba, a ajouté la possibilité de définir des listes d'accès permettant de déterminer quels clients sont autorisé de telles demandes et lesquels ne le sont pas. Le plugin DNS DLZ ne prend plus en charge les branches Bind 9.8 et 9.9.
  • La prise en charge de l'extension multicanal SMB3 (protocole SMB3 Multi-Channel) est activée par défaut et stabilisée, permettant aux clients d'établir plusieurs connexions pour paralléliser les transferts de données au sein d'une seule session SMB. Par exemple, lors de l'accès à un seul fichier, les opérations d'E/S peuvent être réparties simultanément sur plusieurs connexions ouvertes. Ce mode vous permet d'augmenter le débit et d'augmenter la résistance aux pannes. Pour désactiver SMB3 Multi-Channel, vous devez modifier l'option « support multicanal du serveur » dans smb.conf, qui est désormais activée par défaut sur les plates-formes Linux et FreeBSD.
  • Il est désormais possible d'utiliser la commande samba-tool dans les configurations Samba construites sans prise en charge du contrôleur de domaine Active Directory (lorsque l'option « --without-ad-dc » est spécifiée). Mais dans ce cas, toutes les fonctionnalités ne sont pas disponibles ; par exemple, les capacités de la commande 'samba-tool domain' sont limitées.
  • Interface de ligne de commande améliorée : un nouvel analyseur d'options de ligne de commande a été proposé pour être utilisé dans divers utilitaires samba. Des options similaires qui différaient selon les utilitaires ont été unifiées, par exemple, le traitement des options liées au cryptage, à l'utilisation des signatures numériques et à l'utilisation de Kerberos a été unifié. smb.conf définit les paramètres permettant de définir les valeurs par défaut des options. Pour générer des erreurs, tous les utilitaires utilisent STDERR (pour la sortie vers STDOUT, l'option « --debug-stdout » est proposée).

    Ajout de l'option "--client-protection=off|sign|encrypt".

    Options renommées : --kerberos -> --use-kerberos=required|desired|off --krb5-ccache -> --use-krb5-ccache=CCACHE --scope -> --netbios-scope=SCOPE --use -ccache -> --use-winbind-ccache

    Options supprimées : "-e|—chiffrer" et "-S|—signing".

    Des travaux ont été effectués pour nettoyer les options en double dans les utilitaires ldbadd, ldbdel, ldbedit, ldbmodify, ldbrename et ldbsearch, ndrdump, net, shareec, smbcquotas, nmbd, smbd et winbindd.

  • Par défaut, l'analyse de la liste des domaines de confiance lors de l'exécution de winbindd est désactivée, ce qui était logique à l'époque de NT4, mais n'est pas pertinent pour Active Directory.
  • Ajout de la prise en charge du mécanisme ODJ (Offline Domain Join), qui vous permet de joindre un ordinateur à un domaine sans contacter directement un contrôleur de domaine. Dans les systèmes d'exploitation de type Unix basés sur Samba, la commande « net offlinejoin » est proposée pour rejoindre, et sous Windows, vous pouvez utiliser le programme standard djoin.exe.
  • La commande 'samba-tool dns zoneoptions' fournit des options pour définir l'intervalle de mise à jour et contrôler la purge des enregistrements DNS obsolètes. Si tous les enregistrements d'un nom DNS sont supprimés, le nœud est placé dans un état de désactivation.
  • Le serveur DNS DCE/RPC peut désormais être utilisé par samba-tool et les utilitaires Windows pour manipuler les enregistrements DNS sur un serveur externe.
  • Lors de l'exécution de la commande « samba-tool domain backup offline », un verrouillage correct sur la base de données LMDB est assuré pour protéger contre la modification parallèle des données lors de la sauvegarde.
  • La prise en charge des dialectes expérimentaux du protocole SMB - SMB2_22, SMB2_24 et SMB3_10, qui n'étaient utilisés que dans les versions de test de Windows, a été interrompue.
  • Dans les versions avec une implémentation expérimentale d'Active Directory basée sur MIT Kerberos, les exigences relatives à la version de ce package ont été augmentées. Build nécessite désormais au moins la version 1.19 de MIT Kerberos (livrée avec Fedora 34).
  • La prise en charge de NIS a été supprimée.
  • Correction de la vulnérabilité CVE-2021-3671, qui permet à un utilisateur non authentifié de faire planter un contrôleur de domaine basé sur Heimdal KDC si un paquet TGS-REQ est envoyé sans inclure de nom de serveur.

Source: opennet.ru

Ajouter un commentaire