De Samba 4.15.0-release wordt gepresenteerd, die de ontwikkeling van de Samba 4-tak voortzet met een volwaardige implementatie van een domeincontroller en een Active Directory-service die compatibel is met de implementatie van Windows 2000 en in staat is om alle versies van Windows-clients ondersteund door Microsoft, waaronder Windows 10. Samba 4 is een multifunctioneel serverproduct, dat ook een implementatie biedt van de bestandsserver, afdrukservice en identiteitsserver (winbind).
Belangrijkste wijzigingen in Samba 4.15:
- Het werk aan het upgraden van de VFS-laag is voltooid. Om historische redenen was de code bij de implementatie van de bestandsserver gekoppeld aan de verwerking van bestandspaden, die ook werd gebruikt voor het SMB2-protocol, dat werd overgedragen aan het gebruik van descriptors. De modernisering omvatte het converteren van de code die toegang biedt tot het bestandssysteem van de server om bestandsdescriptors te gebruiken in plaats van bestandspaden (bijvoorbeeld het aanroepen van fstat() in plaats van stat() en SMB_VFS_FSTAT() in plaats van SMB_VFS_STAT()).
- De implementatie van de BIND DLZ-technologie (Dynamisch geladen zones), waarmee clients DNS-zoneoverdrachtsverzoeken naar de BIND-server kunnen sturen en een antwoord van Samba kunnen ontvangen, heeft de mogelijkheid toegevoegd om toegangslijsten te definiëren waarmee u kunt bepalen welke clients zijn dergelijke verzoeken toegestaan en welke niet. De DLZ DNS-plug-in ondersteunt Bind-takken 9.8 en 9.9 niet meer.
- Ondersteuning voor de SMB3 meerkanaalsextensie (SMB3 Multi-Channel protocol) is standaard ingeschakeld en gestabiliseerd, waardoor clients meerdere verbindingen tot stand kunnen brengen om gegevensoverdrachten binnen één SMB-sessie te parallelliseren. Bij toegang tot één enkel bestand kunnen I/O-bewerkingen bijvoorbeeld over meerdere open verbindingen tegelijk worden verdeeld. Met deze modus kunt u de doorvoer verhogen en de weerstand tegen storingen vergroten. Om SMB3 Multi-Channel uit te schakelen, moet u de optie “server multi-channel support” in smb.conf wijzigen, die nu standaard is ingeschakeld op Linux- en FreeBSD-platforms.
- Het is nu mogelijk om de opdracht samba-tool te gebruiken in Samba-configuraties die zijn gebouwd zonder ondersteuning voor Active Directory-domeincontrollers (wanneer de optie “--without-ad-dc” is opgegeven). Maar in dit geval is niet alle functionaliteit beschikbaar; de mogelijkheden van het commando 'samba-tool domain' zijn bijvoorbeeld beperkt.
- Verbeterde opdrachtregelinterface: Er is een nieuwe parser voor opdrachtregelopties voorgesteld voor gebruik in verschillende samba-hulpprogramma's. Soortgelijke opties die in verschillende hulpprogramma's verschilden, zijn verenigd. De verwerking van opties met betrekking tot encryptie, het werken met digitale handtekeningen en het gebruik van kerberos is bijvoorbeeld verenigd. smb.conf definieert instellingen voor het instellen van standaardwaarden voor opties. Om fouten uit te voeren, gebruiken alle hulpprogramma's STDERR (voor uitvoer naar STDOUT wordt de optie "--debug-stdout" aangeboden).
Optie "--client-protection=off|sign|encrypt" toegevoegd.
Hernoemde opties: --kerberos -> --use-kerberos=vereist|gewenst|uit --krb5-ccache -> --use-krb5-ccache=CCACHE --scope -> --netbios-scope=SCOPE --use -ccache -> --gebruik- winbind-ccache
Opties verwijderd: “-e|—encrypt” en “-S|—signing”.
Er is gewerkt aan het opruimen van dubbele opties in de hulpprogramma's ldbadd, ldbdel, ldbedit, ldbmodify, ldbrename en ldbsearch, ndrdump, net, sharesec, smbcquotas, nmbd, smbd en winbindd.
- Standaard is het scannen van de lijst met vertrouwde domeinen uitgeschakeld tijdens het uitvoeren van winbindd, wat logisch was in de tijd van NT4, maar niet relevant is voor Active Directory.
- Ondersteuning toegevoegd voor het ODJ-mechanisme (Offline Domain Join), waarmee u een computer aan een domein kunt koppelen zonder rechtstreeks contact op te nemen met een domeincontroller. In op Samba gebaseerde Unix-achtige besturingssystemen wordt de opdracht 'net offlinejoin' aangeboden om deel te nemen, en in Windows kunt u het standaardprogramma djoin.exe gebruiken.
- De opdracht 'samba-tool dns zoneoptions' biedt opties voor het instellen van het update-interval en het controleren van het opschonen van verouderde DNS-records. Als alle records voor een DNS-naam worden verwijderd, wordt het knooppunt in een tombstone-status geplaatst.
- DNS-server DCE/RPC kan nu worden gebruikt door samba-tool en Windows-hulpprogramma's om DNS-records op een externe server te manipuleren.
- Bij het uitvoeren van de opdracht “samba-tool domain backup offline” wordt een correcte vergrendeling van de LMDB-database gegarandeerd om te beschermen tegen parallelle wijziging van gegevens tijdens de back-up.
- Ondersteuning voor experimentele dialecten van het SMB-protocol - SMB2_22, SMB2_24 en SMB3_10, die alleen in testversies van Windows werden gebruikt, is stopgezet.
- In builds met een experimentele implementatie van Active Directory op basis van MIT Kerberos zijn de eisen voor de versie van dit pakket verhoogd. Bouw nu vereist minimaal MIT Kerberos versie 1.19 (geleverd bij Fedora 34).
- NIS-ondersteuning is verwijderd.
- Kwetsbaarheid CVE-2021-3671 opgelost, waardoor een niet-geverifieerde gebruiker een op Heimdal KDC gebaseerde domeincontroller kan laten crashen als een TGS-REQ-pakket wordt verzonden dat geen servernaam bevat.
Bron: opennet.ru