É apresentada a versão Samba 4.15.0, que continua o desenvolvimento da ramificação Samba 4 com uma implementação completa de um controlador de domínio e um serviço Active Directory compatível com a implementação do Windows 2000 e capaz de atender a todas as versões do Clientes Windows suportados pela Microsoft, incluindo Windows 10. Samba 4 é um produto de servidor multifuncional, que também fornece uma implementação do servidor de arquivos, serviço de impressão e servidor de identidade (winbind).
Principais mudanças no Samba 4.15:
- O trabalho de atualização da camada VFS foi concluído. Por razões históricas, o código com a implementação do servidor de arquivos foi vinculado ao processamento de caminhos de arquivos, o que também foi utilizado para o protocolo SMB2, que foi transferido para o uso de descritores. A modernização envolveu a conversão do código que fornece acesso ao sistema de arquivos do servidor para usar descritores de arquivo em vez de caminhos de arquivo (por exemplo, chamar fstat() em vez de stat() e SMB_VFS_FSTAT() em vez de SMB_VFS_STAT()).
- A implementação da tecnologia BIND DLZ (zonas carregadas dinamicamente), que permite aos clientes enviar solicitações de transferência de zona DNS para o servidor BIND e receber uma resposta do Samba, adicionou a capacidade de definir listas de acesso que permitem determinar quais clientes estão permitido tais pedidos e quais não são. O plugin DLZ DNS não suporta mais as ramificações Bind 9.8 e 9.9.
- O suporte para a extensão multicanal SMB3 (protocolo multicanal SMB3) é habilitado por padrão e estabilizado, permitindo que os clientes estabeleçam múltiplas conexões para paralelizar transferências de dados em uma única sessão SMB. Por exemplo, ao acessar um único arquivo, as operações de E/S podem ser distribuídas por várias conexões abertas de uma só vez. Este modo permite aumentar o rendimento e aumentar a resistência a falhas. Para desabilitar o SMB3 Multi-Channel, você deve alterar a opção “server multi channel support” em smb.conf, que agora está habilitada por padrão nas plataformas Linux e FreeBSD.
- Agora é possível usar o comando samba-tool em configurações do Samba construídas sem suporte ao controlador de domínio do Active Directory (quando a opção “--without-ad-dc” é especificada). Mas neste caso, nem todas as funcionalidades estão disponíveis; por exemplo, as capacidades do comando 'samba-tool domain' são limitadas.
- Interface de linha de comando aprimorada: Um novo analisador de opções de linha de comando foi proposto para uso em vários utilitários do samba. Opções semelhantes que diferiam em diferentes utilitários foram unificadas, por exemplo, o processamento de opções relacionadas à criptografia, trabalho com assinaturas digitais e uso de Kerberos foi unificado. smb.conf define configurações para definir valores padrão para opções. Para gerar erros, todos os utilitários usam STDERR (para saída para STDOUT, a opção “--debug-stdout” é oferecida).
Adicionada opção "--client-protection=off|sign|encrypt".
Opções renomeadas: --kerberos -> --use-kerberos=required|desired|off --krb5-ccache -> --use-krb5-ccache=CCACHE --scope -> --netbios-scope=SCOPE --use -ccache -> --use-winbind-ccache
Opções removidas: “-e|—criptografar” e “-S|—assinar”.
Trabalho foi feito para limpar opções duplicadas nos utilitários ldbadd, ldbdel, ldbedit, ldbmodify, ldbrename e ldbsearch, ndrdump, net, sharesec, smbcquotas, nmbd, smbd e winbindd.
- Por padrão, a verificação da lista de domínios confiáveis ao executar o winbindd está desabilitada, o que fazia sentido na época do NT4, mas não é relevante para o Active Directory.
- Adicionado suporte para o mecanismo ODJ (Offline Domain Join), que permite ingressar um computador em um domínio sem entrar em contato diretamente com um controlador de domínio. Em sistemas operacionais do tipo Unix baseados em Samba, o comando 'net offlinejoin' é oferecido para ingressar, e no Windows você pode usar o programa djoin.exe padrão.
- O comando 'samba-tool dns zoneoptions' fornece opções para definir o intervalo de atualização e controlar a limpeza de registros DNS desatualizados. Se todos os registros de um nome DNS forem excluídos, o nó será colocado em estado de exclusão.
- O servidor DNS DCE/RPC agora pode ser usado pela ferramenta samba e utilitários do Windows para manipular registros DNS em um servidor externo.
- Ao executar o comando “samba-tool domain backup offline”, o bloqueio correto no banco de dados LMDB é garantido para proteger contra modificação paralela de dados durante o backup.
- O suporte para dialetos experimentais do protocolo SMB - SMB2_22, SMB2_24 e SMB3_10, que eram usados apenas em compilações de teste do Windows, foi descontinuado.
- Nas compilações com implementação experimental do Active Directory baseada no MIT Kerberos, os requisitos para a versão deste pacote foram aumentados. A compilação agora requer pelo menos a versão 1.19 do MIT Kerberos (fornecida com o Fedora 34).
- O suporte NIS foi removido.
- Vulnerabilidade corrigida CVE-2021-3671, que permite que um usuário não autenticado trave um controlador de domínio baseado em Heimdal KDC se um pacote TGS-REQ for enviado que não inclua um nome de servidor.
Fonte: opennet.ru