גרסה של Samba 4.15.0

הוצגה המהדורה של Samba 4.15.0, שהמשיכה בפיתוח סניף Samba 4 עם הטמעה מלאה של בקר תחום ושירות Active Directory, התואם להטמעת Windows 2000 ומסוגל לתת שירות לכל הגרסאות של לקוחות Windows הנתמכות על ידי Microsoft, כולל Windows 10. Samba 4 הוא מוצר שרת רב תכליתי, המספק גם יישום של שרת קבצים, שירות הדפסה ושרת זהות (winbind).

שינויים מרכזיים בסמבה 4.15:

• העבודה על שדרוג שכבת VFS הסתיימה. מסיבות היסטוריות, הקוד עם יישום שרת הקבצים נקשר לעיבוד שבילי קבצים, אשר שימש גם עבור פרוטוקול SMB2, אשר הועבר לשימוש ב-descriptor. המודרניזציה כללה המרת הקוד המספק גישה למערכת הקבצים של השרת לשימוש בתיאורי קבצים במקום בנתיבי קבצים (לדוגמה, קריאה ל-fstat() במקום stat() ו- SMB_VFS_FSTAT() במקום SMB_VFS_STAT()).
• הטמעת טכנולוגיית BIND DLZ (אזורים טעונים דינמית), המאפשרת ללקוחות לשלוח בקשות העברת אזורי DNS לשרת ה-BIND ולקבל מענה מסמבה, הוסיפה את היכולת להגדיר רשימות גישה המאפשרות לך לקבוע אילו לקוחות הם מותר בקשות כאלה ואשר לא. התוסף DLZ DNS אינו תומך עוד בענפי Bind 9.8 ו-9.9.
• התמיכה בהרחבה הרב-ערוצית SMB3 (פרוטוקול SMB3 Multi-Channel) מופעלת כברירת מחדל ומתייצבת, ומאפשרת ללקוחות ליצור מספר חיבורים כדי להקביל העברות נתונים בתוך הפעלת SMB אחת. לדוגמה, בעת גישה לקובץ בודד, ניתן להפיץ פעולות I/O על פני מספר חיבורים פתוחים בו-זמנית. מצב זה מאפשר לך להגדיל את התפוקה ולהגביר את ההתנגדות לכשלים. כדי להשבית את SMB3 Multi-Channel, עליך לשנות את אפשרות "תמיכה מרובת ערוצים בשרת" ב-smb.conf, אשר מופעלת כעת כברירת מחדל בפלטפורמות Linux ו-FreeBSD.
• כעת ניתן להשתמש בפקודה samba-tool בתצורות Samba שנבנו ללא תמיכה בבקר תחום Active Directory (כאשר מצוינת האפשרות "--without-ad-dc"). אבל במקרה זה, לא כל הפונקציונליות זמינה; למשל, היכולות של הפקודה 'samba-tool domain' מוגבלות.
• ממשק שורת פקודה משופר: מנתח אפשרויות שורת פקודה חדש הוצע לשימוש בכלי עזר שונים של סמבה. אפשרויות דומות שנבדלו בכלי עזר שונים אוחדו, למשל, אוחד עיבוד האפשרויות הקשורות להצפנה, עבודה עם חתימות דיגיטליות ושימוש ב-kerberos. smb.conf מגדיר הגדרות להגדרת ערכי ברירת מחדל עבור אפשרויות. כדי להוציא שגיאות, כל כלי השירות משתמשים ב-STDERR (עבור פלט ל-STDOUT, מוצעת האפשרות "--debug-stdout").

  נוספה אפשרות "--client-protection=off|sign|encrypt".

  אפשרויות ששינו: --kerberos -> --use-kerberos=required|desired|off --krb5-ccache -> --use-krb5-ccache=CCACHE --scope -> --netbios-scope=SCOPE --use -ccache -> --use- winbind-ccache

  האפשרויות שהוסרו: "-e|—encrypt" ו-"-S|—signing".

  נעשתה עבודה לניקוי אפשרויות כפולות בכלי השירות ldbadd, ldbdel, ldbedit, ldbmodify, ldbrename ו-ldbsearch, ndrdump, net, sharesec, smbcquotas, nmbd, smbd ו-winbindd.

• כברירת מחדל, סריקת רשימת ה-Trusted Domains בעת הפעלת winbindd מושבתת, מה שהיה הגיוני בימי NT4, אך אינו רלוונטי עבור Active Directory.
• נוספה תמיכה במנגנון ODJ (Offline Domain Join), המאפשר להצטרף למחשב לדומיין מבלי ליצור קשר ישיר עם בקר דומיין. במערכות הפעלה דמויות Unix המבוססות על סמבה, מוצעת הפקודה 'net offlinejoin' להצטרפות, וב-Windows ניתן להשתמש בתוכנת djoin.exe הסטנדרטית.
• הפקודה 'samba-tool dns zoneoptions' מספקת אפשרויות להגדרת מרווח העדכון ושליטה בטיהור רשומות DNS מיושנות. אם כל הרשומות עבור שם DNS נמחקות, הצומת ממוקם במצב מצבה.
• כעת ניתן להשתמש בשרת DNS DCE/RPC על ידי כלי עזר של samba ו-Windows כדי לתפעל רשומות DNS בשרת חיצוני.
• בעת ביצוע הפקודה "samba-tool domain backup offline", נעילה נכונה במסד הנתונים של LMDB מובטחת כדי להגן מפני שינוי מקביל של הנתונים במהלך הגיבוי.
• הופסקה התמיכה בניבים ניסיוניים של פרוטוקול SMB - SMB2_22, SMB2_24 ו-SMB3_10, שהיו בשימוש רק בבניית מבחן של Windows.
• ב-builds עם יישום ניסיוני של Active Directory המבוסס על MIT Kerberos, הדרישות לגרסה של חבילה זו הועלו. Build עכשיו דורש לפחות MIT Kerberos גרסה 1.19 (נשלח עם Fedora 34).
• תמיכת ₪ הוסרה.
• פגיעות תוקנה CVE-2021-3671, המאפשרת למשתמש לא מאומת לקרוס בקר תחום מבוסס Heimdal KDC אם נשלחת חבילת TGS-REQ שאינה כוללת שם שרת.

מקור: OpenNet.ru