Este prezentată versiunea Samba 4.15.0, care continuă dezvoltarea ramurii Samba 4 cu o implementare completă a unui controler de domeniu și a unui serviciu Active Directory care este compatibil cu implementarea Windows 2000 și este capabil să deservească toate versiunile de Clienți Windows acceptați de Microsoft, inclusiv Windows 10. Samba 4 este un produs server multifuncțional, care oferă, de asemenea, o implementare a serverului de fișiere, a serviciului de imprimare și a serverului de identitate (winbind).
Schimbări cheie în Samba 4.15:
- Lucrările de modernizare a stratului VFS au fost finalizate. Din motive istorice, codul cu implementarea serverului de fișiere a fost legat de procesarea căilor de fișiere, care a fost folosit și pentru protocolul SMB2, care a fost transferat la utilizarea descriptorilor. Modernizarea a implicat conversia codului care oferă acces la sistemul de fișiere al serverului pentru a utiliza descriptori de fișiere în loc de căi de fișiere (de exemplu, apelarea fstat() în loc de stat() și SMB_VFS_FSTAT() în loc de SMB_VFS_STAT()).
- Implementarea tehnologiei BIND DLZ (Zone încărcate dinamic), care permite clienților să trimită cereri de transfer de zone DNS către serverul BIND și să primească un răspuns de la Samba, a adăugat capacitatea de a defini liste de acces care vă permit să determinați ce clienți sunt permis astfel de cereri și care nu sunt. Pluginul DLZ DNS nu mai acceptă ramurile Bind 9.8 și 9.9.
- Suportul pentru extensia multicanal SMB3 (protocolul multicanal SMB3) este activat în mod implicit și stabilizat, permițând clienților să stabilească mai multe conexiuni pentru a paraleliza transferurile de date într-o singură sesiune SMB. De exemplu, atunci când accesați un singur fișier, operațiunile I/O pot fi distribuite în mai multe conexiuni deschise simultan. Acest mod vă permite să creșteți debitul și să creșteți rezistența la defecțiuni. Pentru a dezactiva SMB3 Multi-Channel, trebuie să modificați opțiunea „server multi channel support” din smb.conf, care este acum activată implicit pe platformele Linux și FreeBSD.
- Acum este posibil să utilizați comanda samba-tool în configurațiile Samba create fără suport pentru controlerul de domeniu Active Directory (când este specificată opțiunea „--without-ad-dc”). Dar, în acest caz, nu toate funcționalitățile sunt disponibile; de exemplu, capacitățile comenzii „samba-tool domain” sunt limitate.
- Interfață îmbunătățită pentru linia de comandă: a fost propus un nou analizator de opțiuni pentru linia de comandă pentru utilizare în diverse utilitare samba. Au fost unificate opțiuni similare care diferă în diferite utilități, de exemplu, procesarea opțiunilor legate de criptare, lucrul cu semnături digitale și utilizarea kerberos a fost unificată. smb.conf definește setările pentru setarea valorilor implicite pentru opțiuni. Pentru a scoate erori, toate utilitarele folosesc STDERR (pentru ieșirea către STDOUT, este oferită opțiunea „--debug-stdout”).
S-a adăugat opțiunea „--client-protection=off|sign|encrypt”.
Opțiuni redenumite: --kerberos -> --use-kerberos=required|desired|off --krb5-ccache -> --use-krb5-ccache=CCACHE --scope -> --netbios-scope=SCOPE --use -ccache -> --use- winbind-ccache
Opțiuni eliminate: „-e|—criptare” și „-S|—semnare”.
S-a lucrat pentru a curăța opțiunile duplicate din utilitatile ldbadd, ldbdel, ldbedit, ldbmodify, ldbrename și ldbsearch, ndrdump, net, sharesec, smbcquotas, nmbd, smbd și winbindd.
- În mod implicit, scanarea listei de domenii de încredere atunci când rulați winbindd este dezactivată, ceea ce avea sens în zilele NT4, dar nu este relevant pentru Active Directory.
- S-a adăugat suport pentru mecanismul ODJ (Offline Domain Join), care vă permite să conectați un computer la un domeniu fără a contacta direct un controler de domeniu. În sistemele de operare similare Unix bazate pe Samba, comanda „net offlinejoin” este oferită pentru aderare, iar în Windows puteți utiliza programul standard djoin.exe.
- Comanda „samba-tool dns zoneoptions” oferă opțiuni pentru setarea intervalului de actualizare și controlul curățării înregistrărilor DNS învechite. Dacă toate înregistrările pentru un nume DNS sunt șterse, nodul este plasat într-o stare de piatră funerară.
- Serverul DNS DCE/RPC poate fi folosit acum de samba-tool și de utilitățile Windows pentru a manipula înregistrările DNS de pe un server extern.
- Când executați comanda „samba-tool domain backup offline”, blocarea corectă a bazei de date LMDB este asigurată pentru a proteja împotriva modificării paralele a datelor în timpul copiei de rezervă.
- Suportul pentru dialectele experimentale ale protocolului SMB - SMB2_22, SMB2_24 și SMB3_10, care au fost utilizate numai în versiunile de testare ale Windows, a fost întrerupt.
- În versiunile cu o implementare experimentală a Active Directory bazată pe MIT Kerberos, cerințele pentru versiunea acestui pachet au fost ridicate. Construirea acum necesită cel puțin versiunea MIT Kerberos 1.19 (livrată cu Fedora 34).
- Suportul NIS a fost eliminat.
- S-a remediat vulnerabilitatea CVE-2021-3671, care permite unui utilizator neautentificat să blocheze un controler de domeniu bazat pe Heimdal KDC dacă este trimis un pachet TGS-REQ care nu include un nume de server.
Sursa: opennet.ru