Tiek prezentēts Samba 4.15.0 laidiens, kas turpina Samba 4 filiāles attīstību ar pilnvērtīgu domēna kontrollera ieviešanu un Active Directory pakalpojumu, kas ir savietojams ar Windows 2000 ieviešanu un spēj apkalpot visas versijas Microsoft atbalstītie Windows klienti, tostarp Windows 10. Samba 4 ir daudzfunkcionāls servera produkts , kas nodrošina arī failu servera, drukas pakalpojuma un identitātes servera (winbind) ieviešanu.
Galvenās Samba 4.15 izmaiņas:
- Darbs pie VFS slāņa jaunināšanas ir pabeigts. Vēsturisku iemeslu dēļ kods ar failu servera ieviešanu tika piesaistīts failu ceļu apstrādei, kas tika izmantots arī SMB2 protokolam, kas tika pārnests uz deskriptoru izmantošanu. Modernizācija ietvēra koda, kas nodrošina piekļuvi servera failu sistēmai, konvertēšanu, lai failu ceļu vietā izmantotu failu deskriptorus (piemēram, stat() vietā izsaucot fstat() un SMB_VFS_STAT() vietā izsaucot SMB_VFS_FSTAT()).
- BIND DLZ (dinamiski ielādētas zonas) tehnoloģijas ieviešana, kas ļauj klientiem nosūtīt DNS zonas pārsūtīšanas pieprasījumus uz BIND serveri un saņemt atbildi no Samba, ir pievienojusi iespēju definēt piekļuves sarakstus, kas ļauj noteikt, kuri klienti ir atļāva šādus pieprasījumus un kuri nav. DLZ DNS spraudnis vairs neatbalsta Bind filiāles 9.8 un 9.9.
- Atbalsts SMB3 daudzkanālu paplašinājumam (SMB3 daudzkanālu protokols) ir iespējots pēc noklusējuma un stabilizēts, ļaujot klientiem izveidot vairākus savienojumus, lai vienā SMB sesijā paralēli veiktu datu pārsūtīšanu. Piemēram, piekļūstot vienam failam, I/O darbības var vienlaikus sadalīt pa vairākiem atvērtiem savienojumiem. Šis režīms ļauj palielināt caurlaidspēju un palielināt izturību pret kļūmēm. Lai atspējotu SMB3 daudzkanālu, failā smb.conf ir jāmaina opcija “servera vairāku kanālu atbalsts”, kas tagad ir iespējota pēc noklusējuma Linux un FreeBSD platformās.
- Tagad ir iespējams izmantot komandu samba-tool Samba konfigurācijās, kas izveidotas bez Active Directory domēna kontrollera atbalsta (ja ir norādīta opcija “--without-ad-dc”). Taču šajā gadījumā visas funkcionalitātes nav pieejamas; piemēram, komandas “samba-tool domain” iespējas ir ierobežotas.
- Uzlabots komandrindas interfeiss: ir piedāvāts jauns komandrindas opciju parsētājs izmantošanai dažādās samba utilītās. Unificētas līdzīgas iespējas, kas atšķīrās dažādos utilītos, piemēram, unificēta opciju apstrāde saistībā ar šifrēšanu, darbu ar ciparparakstiem un kerberos lietošanu. smb.conf definē iestatījumus opciju noklusējuma vērtību iestatīšanai. Lai izvadītu kļūdas, STDERR tiek izmantots visās utilītprogrammās (izvadei uz STDOUT tiek piedāvāta opcija “--debug-stdout”).
Pievienota opcija "--client-protection=off|sign|encrypt".
Pārdēvētās opcijas: --kerberos -> --use-kerberos=required|desired|off --krb5-ccache -> --use-krb5-ccache=CCACHE --scope -> --netbios-scope=SCOPE --use -ccache -> --use- winbind-ccache
Noņemtas opcijas: "-e|—šifrēt" un "-S|—parakstīšana".
Ir veikts darbs, lai notīrītu dublētās opcijas utilītprogrammās ldbadd, ldbdel, ldbedit, ldbmodify, ldbrename un ldbsearch, ndrdump, net, sharesec, smbcqotas, nmbd, smbd un winbind.
- Pēc noklusējuma uzticamo domēnu saraksta skenēšana ir atspējota, palaižot winbindd, kam bija jēga NT4 dienās, taču tas neattiecas uz Active Directory.
- Pievienots ODJ (Offline Domain Join) mehānisma atbalsts, kas ļauj savienot datoru ar domēnu, tieši nesazinoties ar domēna kontrolleri. Uz Samba balstītajās Unix līdzīgās operētājsistēmās pievienošanai tiek piedāvāta komanda 'net offlinejoin', un operētājsistēmā Windows varat izmantot standarta programmu djoin.exe.
- Komanda “samba-tool dns zoneoptions” nodrošina opcijas atjaunināšanas intervāla iestatīšanai un novecojušo DNS ierakstu tīrīšanas kontrolei. Ja tiek dzēsti visi DNS nosaukuma ieraksti, mezgls tiek novietots kapakmens stāvoklī.
- DNS serveri DCE/RPC tagad var izmantot samba-tool un Windows utilītas, lai manipulētu ar DNS ierakstiem ārējā serverī.
- Izpildot komandu “samba-tool domēna dublēšana bezsaistē”, tiek nodrošināta pareiza bloķēšana LMDB datubāzē, lai aizsargātu pret paralēlu datu pārveidošanu dublēšanas laikā.
- Ir pārtraukts atbalsts SMB protokola eksperimentālajiem dialektiem - SMB2_22, SMB2_24 un SMB3_10, kas tika izmantoti tikai Windows testa versijās.
- Būvēs ar Active Directory eksperimentālu ieviešanu, kuras pamatā ir MIT Kerberos, prasības šīs pakotnes versijai ir paaugstinātas. Būvēšanai tagad ir nepieciešama vismaz MIT Kerberos versija 1.19 (piegādāta kopā ar Fedora 34).
- NIS atbalsts ir noņemts.
- Novērsta ievainojamība CVE-2021-3671, kas ļauj neautentificētam lietotājam avarēt uz Heimdal KDC balstītu domēna kontrolleri, ja tiek nosūtīta TGS-REQ pakete, kurā nav iekļauts servera nosaukums.
Avots: opennet.ru