Viene presentata la versione Samba 4.15.0, che continua lo sviluppo del ramo Samba 4 con un'implementazione completa di un controller di dominio e un servizio Active Directory compatibile con l'implementazione di Windows 2000 e in grado di servire tutte le versioni di Client Windows supportati da Microsoft, incluso Windows 10. Samba 4 è un prodotto server multifunzionale , che fornisce anche un'implementazione del file server, del servizio di stampa e del server di identità (winbind).
Cambiamenti chiave in Samba 4.15:
- Il lavoro sull'aggiornamento del livello VFS è stato completato. Per ragioni storiche il codice con l'implementazione del file server era legato all'elaborazione dei percorsi dei file, utilizzata anche per il protocollo SMB2, che è stato trasferito all'uso dei descrittori. La modernizzazione ha comportato la conversione del codice che fornisce l'accesso al file system del server per utilizzare descrittori di file invece di percorsi di file (ad esempio, chiamando fstat() invece di stat() e SMB_VFS_FSTAT() invece di SMB_VFS_STAT()).
- L'implementazione della tecnologia BIND DLZ (Dynamically-loaded zones), che consente ai client di inviare richieste di trasferimento di zona DNS al server BIND e ricevere una risposta da Samba, ha aggiunto la possibilità di definire liste di accesso che consentono di determinare quali client sono hanno consentito tali richieste e quali no. Il plugin DNS DLZ non supporta più i rami Bind 9.8 e 9.9.
- Il supporto per l'estensione multicanale SMB3 (protocollo multicanale SMB3) è abilitato per impostazione predefinita e stabilizzato, consentendo ai client di stabilire più connessioni per parallelizzare i trasferimenti di dati all'interno di una singola sessione SMB. Ad esempio, quando si accede a un singolo file, le operazioni di I/O possono essere distribuite su più connessioni aperte contemporaneamente. Questa modalità consente di aumentare la produttività e aumentare la resistenza ai guasti. Per disabilitare il multicanale SMB3, è necessario modificare l'opzione "supporto server multicanale" in smb.conf, che ora è abilitata per impostazione predefinita sulle piattaforme Linux e FreeBSD.
- Ora è possibile utilizzare il comando samba-tool nelle configurazioni Samba create senza il supporto del controller di dominio Active Directory (quando è specificata l'opzione "--without-ad-dc"). Ma in questo caso non tutte le funzionalità sono disponibili; ad esempio, le capacità del comando “samba-tool domain” sono limitate.
- Interfaccia a riga di comando migliorata: è stato proposto un nuovo parser di opzioni a riga di comando da utilizzare in varie utilità di samba. Opzioni simili che differivano in diverse utilità sono state unificate, ad esempio è stata unificata l'elaborazione delle opzioni relative alla crittografia, al lavoro con le firme digitali e all'utilizzo di Kerberos. smb.conf definisce le impostazioni per impostare i valori predefiniti per le opzioni. Per visualizzare gli errori, tutte le utilità utilizzano STDERR (per l'output su STDOUT, viene offerta l'opzione "--debug-stdout").
Aggiunta l'opzione "--client-protection=off|sign|encrypt".
Opzioni rinominate: --kerberos -> --use-kerberos=required|desired|off --krb5-ccache -> --use-krb5-ccache=CCACHE --scope -> --netbios-scope=SCOPE --use -ccache -> --use-winbind-ccache
Opzioni rimosse: “-e|—encrypt” e “-S|—signing”.
È stato fatto del lavoro per eliminare le opzioni duplicate nelle utilità ldbadd, ldbdel, ldbedit, ldbmodify, ldbrename e ldbsearch, ndrdump, net, sharesec, smbcquotas, nmbd, smbd e winbindd.
- Per impostazione predefinita, la scansione dell'elenco dei domini attendibili durante l'esecuzione di winbindd è disabilitata, il che aveva senso ai tempi di NT4, ma non è rilevante per Active Directory.
- Aggiunto il supporto per il meccanismo ODJ (Offline Domain Join), che consente di unire un computer a un dominio senza contattare direttamente un controller di dominio. Nei sistemi operativi simili a Unix basati su Samba, per l'adesione viene offerto il comando "net offlinejoin" e in Windows è possibile utilizzare il programma standard djoin.exe.
- Il comando 'samba-tool dns zoneoptions' fornisce opzioni per impostare l'intervallo di aggiornamento e controllare l'eliminazione dei record DNS obsoleti. Se tutti i record per un nome DNS vengono eliminati, il nodo viene posto in uno stato tombstone.
- Il server DNS DCE/RPC può ora essere utilizzato dallo strumento samba e dalle utilità Windows per manipolare i record DNS su un server esterno.
- Quando si esegue il comando "samba-tool domain backup offline", viene garantito il corretto blocco sul database LMDB per proteggerlo dalla modifica parallela dei dati durante il backup.
- Il supporto per i dialetti sperimentali del protocollo SMB - SMB2_22, SMB2_24 e SMB3_10, utilizzati solo nelle build di test di Windows, è stato interrotto.
- Nelle build con un'implementazione sperimentale di Active Directory basata su MIT Kerberos, i requisiti per la versione di questo pacchetto sono stati aumentati. La compilazione ora richiede almeno MIT Kerberos versione 1.19 (fornita con Fedora 34).
- Il supporto NIS è stato rimosso.
- Risolta la vulnerabilità CVE-2021-3671, che consente a un utente non autenticato di bloccare un controller di dominio basato su Heimdal KDC se viene inviato un pacchetto TGS-REQ che non include un nome di server.
Fonte: opennet.ru