Samba 4.15.0-utgivelsen presenteres, som fortsetter utviklingen av Samba 4-grenen med en fullverdig implementering av en domenekontroller og en Active Directory-tjeneste som er kompatibel med implementeringen av Windows 2000 og er i stand til å betjene alle versjoner av Windows-klienter støttet av Microsoft, inkludert Windows 10. Samba 4 er et multifunksjonelt serverprodukt , som også gir en implementering av filserveren, utskriftstjenesten og identitetsserveren (winbind).
Viktige endringer i Samba 4.15:
- Arbeidet med å oppgradere VFS-laget er fullført. Av historiske årsaker ble koden med implementeringen av filserveren knyttet til behandling av filstier, som også ble brukt for SMB2-protokollen, som ble overført til bruk av deskriptorer. Moderniseringen innebar å konvertere koden som gir tilgang til serverens filsystem til å bruke filbeskrivelser i stedet for filbaner (for eksempel kalle fstat() i stedet for stat() og SMB_VFS_FSTAT() i stedet for SMB_VFS_STAT()).
- Implementeringen av BIND DLZ (Dynamically-loaded zones)-teknologien, som lar klienter sende DNS-soneoverføringsforespørsler til BIND-serveren og motta et svar fra Samba, har lagt til muligheten til å definere tilgangslister som lar deg bestemme hvilke klienter som er tillatt slike forespørsler og som ikke er det. DLZ DNS-plugin støtter ikke lenger Bind-grenene 9.8 og 9.9.
- Støtte for SMB3 multi-channel-utvidelsen (SMB3 Multi-Channel-protokoll) er aktivert som standard og stabilisert, slik at klienter kan etablere flere tilkoblinger for å parallellisere dataoverføringer innenfor en enkelt SMB-økt. For eksempel, når du får tilgang til en enkelt fil, kan I/O-operasjoner distribueres over flere åpne tilkoblinger samtidig. Denne modusen lar deg øke gjennomstrømningen og øke motstanden mot feil. For å deaktivere SMB3 Multi-Channel, må du endre alternativet "server multi channel support" i smb.conf, som nå er aktivert som standard på Linux- og FreeBSD-plattformer.
- Det er nå mulig å bruke kommandoen samba-tool i Samba-konfigurasjoner bygget uten støtte for Active Directory-domenekontroller (når alternativet "--uten-ad-dc" er spesifisert). Men i dette tilfellet er ikke all funksjonalitet tilgjengelig; for eksempel er mulighetene for 'samba-tool domain'-kommandoen begrenset.
- Forbedret kommandolinjegrensesnitt: En ny kommandolinjealternativparser har blitt foreslått for bruk i forskjellige samba-verktøy. Lignende alternativer som var forskjellige i forskjellige verktøy har blitt forenet, for eksempel har behandlingen av alternativer knyttet til kryptering, arbeid med digitale signaturer og bruk av kerberos blitt enhetlig. smb.conf definerer innstillinger for å angi standardverdier for alternativer. For å skrive ut feil bruker alle verktøy STDERR (for utdata til STDOUT tilbys "--debug-stdout" alternativet).
Lagt til "--client-protection=off|sign|encrypt"-alternativet.
Omdøpte alternativer: --kerberos -> --use-kerberos=required|ønsket|av --krb5-ccache -> --use-krb5-ccache=CCACHE --scope -> --netbios-scope=SCOPE --bruk -ccache -> --bruk- winbind-ccache
Fjernede alternativer: "-e|—encrypt" og "-S|—signing".
Det har blitt jobbet med å rydde opp i dupliserte alternativer i verktøyene ldbadd, ldbdel, ldbedit, ldbmodify, ldbrename og ldbsearch, ndrdump, net, sharesec, smbcquotas, nmbd, smbd og winbindd.
- Som standard er skanning av listen over Trusted Domains når du kjører winbindd deaktivert, noe som var fornuftig i NT4-dagene, men er ikke relevant for Active Directory.
- Lagt til støtte for ODJ (Offline Domain Join)-mekanismen, som lar deg koble en datamaskin til et domene uten å kontakte en domenekontroller direkte. I Samba-baserte Unix-lignende operativsystemer tilbys kommandoen 'net offlinejoin' for å bli med, og i Windows kan du bruke standardprogrammet djoin.exe.
- Kommandoen 'samba-tool dns zoneoptions' gir alternativer for å angi oppdateringsintervallet og kontrollere tømmingen av utdaterte DNS-poster. Hvis alle poster for et DNS-navn slettes, plasseres noden i gravsteinstilstand.
- DNS-server DCE/RPC kan nå brukes av samba-tool og Windows-verktøy for å manipulere DNS-poster på en ekstern server.
- Når du utfører kommandoen «samba-tool domain backup offline», sikres korrekt låsing på LMDB-databasen for å beskytte mot parallell modifikasjon av data under sikkerhetskopiering.
- Støtte for eksperimentelle dialekter av SMB-protokollen - SMB2_22, SMB2_24 og SMB3_10, som bare ble brukt i testbygg av Windows, er avviklet.
- I bygg med en eksperimentell implementering av Active Directory basert på MIT Kerberos, er kravene til versjonen av denne pakken hevet. Bygg krever nå minst MIT Kerberos versjon 1.19 (levert med Fedora 34).
- NIS-støtte er fjernet.
- Fikset sårbarhet CVE-2021-3671, som lar en uautentisert bruker krasje en Heimdal KDC-basert domenekontroller hvis det sendes en TGS-REQ-pakke som ikke inneholder et servernavn.
Kilde: opennet.ru