Przedstawiono wydanie Samby 4.15.0, które kontynuuje rozwój gałęzi Samby 4 z pełną implementacją kontrolera domeny i usługi Active Directory, która jest kompatybilna z implementacją Windows 2000 i jest w stanie obsłużyć wszystkie wersje Klienci Windows obsługiwani przez firmę Microsoft, w tym Windows 10. Samba 4 to wielofunkcyjny produkt serwerowy, który zapewnia również implementację serwera plików, usługi drukowania i serwera tożsamości (winbind).
Kluczowe zmiany w Sambie 4.15:
- Zakończono prace nad modernizacją warstwy VFS. Ze względów historycznych kod z implementacją serwera plików powiązano z przetwarzaniem ścieżek plików, co wykorzystano także w protokole SMB2, co przeniesiono na użycie deskryptorów. Modernizacja obejmowała konwersję kodu zapewniającego dostęp do systemu plików serwera tak, aby używał deskryptorów plików zamiast ścieżek plików (na przykład wywoływanie fstat() zamiast stat() i SMB_VFS_FSTAT() zamiast SMB_VFS_STAT()).
- Implementacja technologii BIND DLZ (Strefy dynamicznie ładowane), która umożliwia klientom wysyłanie żądań transferu strefy DNS do serwera BIND i otrzymywanie odpowiedzi od Samby, dodała możliwość definiowania list dostępu, które pozwalają określić, którzy klienci są zezwoliło na takie żądania, a które nie. Wtyczka DLZ DNS nie obsługuje już gałęzi Bind 9.8 i 9.9.
- Obsługa rozszerzenia wielokanałowego SMB3 (protokół wielokanałowy SMB3) jest domyślnie włączona i ustabilizowana, co pozwala klientom na ustanawianie wielu połączeń w celu równoległego przesyłania danych w ramach pojedynczej sesji SMB. Na przykład podczas uzyskiwania dostępu do pojedynczego pliku operacje we/wy można rozłożyć na wiele otwartych połączeń jednocześnie. Tryb ten pozwala zwiększyć przepustowość i zwiększyć odporność na awarie. Aby wyłączyć wielokanałowość SMB3, musisz zmienić opcję „obsługa wielu kanałów serwera” w pliku smb.conf, który jest teraz domyślnie włączony na platformach Linux i FreeBSD.
- Można teraz używać polecenia samba-tool w konfiguracjach Samby zbudowanych bez obsługi kontrolera domeny Active Directory (jeśli określono opcję „--without-ad-dc”). Jednak w tym przypadku nie wszystkie funkcje są dostępne, na przykład możliwości polecenia „domena samba-tool” są ograniczone.
- Ulepszony interfejs wiersza poleceń: Zaproponowano nowy parser opcji wiersza poleceń do użytku w różnych narzędziach samby. Ujednolicono podobne opcje, które różniły się w różnych narzędziach, na przykład ujednolicono przetwarzanie opcji związanych z szyfrowaniem, pracą z podpisami cyfrowymi i korzystaniem z protokołu Kerberos. smb.conf definiuje ustawienia umożliwiające ustawienie domyślnych wartości opcji. Do wyprowadzania błędów wszystkie narzędzia używają STDERR (w przypadku wyjścia na STDOUT oferowana jest opcja „--debug-stdout”).
Dodano opcję „--client-protection=off|sign|encrypt”.
Zmieniono nazwy opcji: --kerberos -> --use-kerberos=required|desired|off --krb5-ccache -> --use-krb5-ccache=CCACHE --scope -> --netbios-scope=SCOPE --use -ccache -> --use- winbind-ccache
Usunięto opcje: „-e|—szyfrowanie” i „-S|—podpisywanie”.
Wykonano prace mające na celu usunięcie zduplikowanych opcji w narzędziach ldbadd, ldbdel, ldbedit, ldbmodify, ldbrename i ldbsearch, ndrdump, net, shareec, smbcquotas, nmbd, smbd i winbindd.
- Domyślnie skanowanie listy Zaufanych Domen podczas uruchamiania winbindd jest wyłączone, co miało sens w czasach NT4, ale nie ma znaczenia w przypadku Active Directory.
- Dodano obsługę mechanizmu ODJ (Offline Domain Join), który umożliwia przyłączenie komputera do domeny bez bezpośredniego kontaktu z kontrolerem domeny. W systemach operacyjnych typu Unix opartych na Sambie do dołączenia oferowane jest polecenie „net offlinejoin”, a w systemie Windows można użyć standardowego programu djoin.exe.
- Polecenie „samba-tool dnszoneoptions” udostępnia opcje ustawiania interwału aktualizacji i kontrolowania usuwania nieaktualnych rekordów DNS. Jeśli wszystkie rekordy nazwy DNS zostaną usunięte, węzeł przejdzie w stan reliktu.
- Serwer DNS DCE/RPC może być teraz używany przez narzędzia samba-tool i Windows do manipulowania rekordami DNS na serwerze zewnętrznym.
- Podczas wykonywania polecenia „kopia zapasowa domeny samba-tool w trybie offline” zapewnione jest prawidłowe zablokowanie bazy danych LMDB w celu zabezpieczenia przed równoległą modyfikacją danych podczas tworzenia kopii zapasowej.
- Zakończono obsługę eksperymentalnych dialektów protokołu SMB - SMB2_22, SMB2_24 i SMB3_10, które były używane tylko w testowych kompilacjach systemu Windows.
- W kompilacjach z eksperymentalną implementacją Active Directory opartą na MIT Kerberos zwiększono wymagania dotyczące wersji tego pakietu. Kompilacja wymaga teraz co najmniej MIT Kerberos w wersji 1.19 (dostarczanej z Fedorą 34).
- Obsługa NIS została usunięta.
- Naprawiono lukę CVE-2021-3671, która umożliwia nieuwierzytelnionemu użytkownikowi awarię kontrolera domeny opartego na Heimdal KDC, jeśli wysłany zostanie pakiet TGS-REQ niezawierający nazwy serwera.
Źródło: opennet.ru