Издание на Samba 4.15.0

Презентирано е изданието Samba 4.15.0, кое го продолжува развојот на гранката Samba 4 со полноправна имплементација на контролер на домен и услуга Active Directory која е компатибилна со имплементацијата на Windows 2000 и е во состојба да ги опслужува сите верзии на Клиенти на Windows поддржани од Microsoft, вклучувајќи го и Windows 10. Samba 4 е мултифункционален серверски производ, кој исто така обезбедува имплементација на серверот за датотеки, услугата за печатење и серверот за идентитет (winbind).

Клучни промени во Samba 4.15:

• Работата за надградба на VFS слојот е завршена. Од историски причини, кодот со имплементацијата на серверот за датотеки беше врзан за обработка на патеки на датотеки, што беше користено и за протоколот SMB2, кој беше префрлен во употреба на дескриптори. Модернизацијата вклучуваше конвертирање на кодот кој обезбедува пристап до датотечниот систем на серверот за да користи дескриптори на датотеки наместо патеки на датотеки (на пример, повикување fstat() наместо stat() и SMB_VFS_FSTAT() наместо SMB_VFS_STAT()).
• Имплементацијата на технологијата BIND DLZ (Dynamically-loaded zones), која им овозможува на клиентите да испраќаат барања за пренос на DNS зона до серверот BIND и да добиваат одговор од Samba, додаде можност за дефинирање списоци за пристап што ви дозволуваат да одредите кои клиенти се дозволи такви барања а кои не се. Приклучокот DLZ DNS повеќе не поддржува Bind гранки 9.8 и 9.9.
• Поддршката за повеќеканалната екстензија SMB3 (SMB3 Multi-Channel протокол) е стандардно овозможена и стабилизирана, овозможувајќи им на клиентите да воспостават повеќе врски за паралелизирање на преносот на податоци во рамките на една SMB сесија. На пример, при пристап до една датотека, I/O операциите може да се дистрибуираат низ повеќе отворени врски одеднаш. Овој режим ви овозможува да ја зголемите пропусната моќ и да ја зголемите отпорноста на неуспеси. За да го оневозможите SMB3 Multi-Channel, мора да ја смените опцијата „сервер за повеќе канали за поддршка“ во smb.conf, која сега е стандардно овозможена на платформите Linux и FreeBSD.
• Сега е возможно да се користи командата samba-tool во конфигурациите на Samba изградени без поддршка на контролорот на доменот на Active Directory (кога е наведена опцијата „--without-ad-dc“). Но, во овој случај, не е достапна целата функционалност; на пример, можностите на командата „самба-алатка домен“ се ограничени.
• Подобрен интерфејс на командната линија: Предложен е нов парсер на опции за командна линија за употреба во различни алатки за самба. Слични опции кои се разликуваа во различни комунални услуги беа унифицирани, на пример, обединета е обработката на опциите поврзани со шифрирање, работа со дигитални потписи и користење на керберос. smb.conf ги дефинира поставките за поставување стандардни вредности за опциите. За излезни грешки, сите алатки користат STDERR (за излез во STDOUT, се нуди опцијата „--debug-stdout“).

  Додадена е опцијата „--client-protection=off|sign|шифрирај“.

  Преименувани опции: --kerberos -> --use-kerberos=задолжително|сакано|исклучено --krb5-ccache -> --use-krb5-ccache=CCACHE --scope -> --netbios-scope=SCOPE --употреба -cache -> --use- winbind-ccache

  Отстранети опции: „-e|—шифрирај“ и „-S|—потпишување“.

  Направено е работа за чистење на дупликатите опции во алатките ldbadd, ldbdel, ldbedit, ldbmodify, ldbrename и ldbsearch, ndrdump, net, sharesec, smbcquotas, nmbd, smbd и winbindd.

• Стандардно, скенирањето на списокот со доверливи домени кога работи winbindd е оневозможено, што имаше смисла во деновите на NT4, но не е релевантно за Active Directory.
• Додадена е поддршка за механизмот ODJ (Offline Domain Join), кој ви овозможува да приклучите компјутер на домен без директно да контактирате со контролер на домен. Во оперативните системи слични на Unix базирани на Samba, командата „net offlinejoin“ се нуди за приклучување, а во Windows можете да ја користите стандардната програма djoin.exe.
• Командата „samba-tool dns zoneoptions“ обезбедува опции за поставување на интервалот за ажурирање и контролирање на чистењето на застарените записи на DNS. Ако се избришат сите записи за име на DNS, јазолот се става во состојба на надгробна плоча.
• DNS серверот DCE/RPC сега може да се користи од samba-tool и Windows комуналните услуги за манипулирање со DNS записи на надворешен сервер.
• При извршување на командата „самба-алатка за резервна копија на доменот офлајн“, се обезбедува правилно заклучување на базата на податоци LMDB за заштита од паралелна модификација на податоците за време на резервната копија.
• Поддршката за експериментални дијалекти на протоколот SMB - SMB2_22, SMB2_24 и SMB3_10, кои се користеа само во тест-изградбите на Windows, е прекината.
• Во изданија со експериментална имплементација на Active Directory базирана на MIT Kerberos, барањата за верзијата на овој пакет се подигнати. Изградбата сега бара најмалку MIT Kerberos верзија 1.19 (испорачана со Fedora 34).
• Поддршката за НИС е отстранета.
• Поправена ранливост CVE-2021-3671, која дозволува неавтентификуван корисник да го урне контролорот на домен базиран на Heimdal KDC доколку се испрати пакет TGS-REQ што не вклучува име на сервер.

Извор: opennet.ru