Predstavuje sa vydanie Samba 4.15.0, ktoré pokračuje vo vývoji vetvy Samba 4 s plnohodnotnou implementáciou doménového radiča a služby Active Directory, ktorá je kompatibilná s implementáciou Windows 2000 a je schopná obslúžiť všetky verzie Klienti Windows podporovaní spoločnosťou Microsoft, vrátane Windows 10. Samba 4 je multifunkčný serverový produkt, ktorý tiež poskytuje implementáciu súborového servera, tlačovej služby a servera identity (winbind).
Kľúčové zmeny v Sambe 4.15:
- Práce na aktualizácii vrstvy VFS boli dokončené. Z historických dôvodov bol kód s implementáciou súborového servera viazaný na spracovanie súborových ciest, čo bolo použité aj pre protokol SMB2, ktorý bol prenesený do používania deskriptorov. Modernizácia zahŕňala konverziu kódu, ktorý poskytuje prístup k súborovému systému servera, aby používal deskriptory súborov namiesto ciest k súborom (napríklad volanie fstat() namiesto stat() a SMB_VFS_FSTAT() namiesto SMB_VFS_STAT()).
- Implementácia technológie BIND DLZ (Dynamically-loaded zones), ktorá umožňuje klientom odosielať požiadavky na prenos zóny DNS na server BIND a prijímať odpoveď od Samby, pridala možnosť definovať zoznamy prístupových práv, ktoré vám umožnia určiť, ktorí klienti sú povolené takéto žiadosti a ktoré nie. Doplnok DLZ DNS už nepodporuje vetvy Bind 9.8 a 9.9.
- Podpora pre viackanálové rozšírenie SMB3 (protokol SMB3 Multi-Channel) je predvolene povolená a stabilizovaná, čo umožňuje klientom vytvoriť viacero pripojení na paralelizáciu prenosov údajov v rámci jednej relácie SMB. Napríklad pri prístupe k jednému súboru môžu byť I/O operácie rozdelené do viacerých otvorených pripojení naraz. Tento režim umožňuje zvýšiť priepustnosť a zvýšiť odolnosť voči poruchám. Ak chcete vypnúť SMB3 Multi-Channel, musíte zmeniť možnosť „server multi channel support“ v smb.conf, ktorá je teraz štandardne povolená na platformách Linux a FreeBSD.
- Teraz je možné použiť príkaz samba-tool v konfiguráciách Samba vytvorených bez podpory radiča domény Active Directory (keď je zadaná možnosť „--without-ad-dc“). V tomto prípade však nie sú dostupné všetky funkcie; napríklad možnosti príkazu „doména samba-tool“ sú obmedzené.
- Vylepšené rozhranie príkazového riadka: Bol navrhnutý nový syntaktický analyzátor možností príkazového riadka na použitie v rôznych nástrojoch samby. Podobné možnosti, ktoré sa líšili v rôznych utilitách, boli zjednotené, napríklad sa zjednotilo spracovanie možností týkajúcich sa šifrovania, práce s digitálnymi podpismi a používania kerberos. smb.conf definuje nastavenia pre nastavenie predvolených hodnôt možností. Na výstup chýb používajú všetky nástroje STDERR (pre výstup na STDOUT sa ponúka možnosť „--debug-stdout“).
Pridaná možnosť „--client-protection=off|sign|šifrovať“.
Premenované možnosti: --kerberos -> --use-kerberos=required|deired|off --krb5-ccache -> --use-krb5-ccache=CCACHE --scope -> --netbios-scope=SCOPE --use -ccache -> --use- winbind-ccache
Odstránené možnosti: „-e|—šifrovať“ a „-S|—podpisovanie“.
Bola vykonaná práca na vyčistení duplicitných možností v nástrojoch ldbadd, ldbdel, ldbedit, ldbmodify, ldbrename a ldbsearch, ndrdump, net, shareec, smbcquotas, nmbd, smbd a winbindd.
- V predvolenom nastavení je skenovanie zoznamu dôveryhodných domén pri spustení winbindd zakázané, čo malo zmysel v časoch NT4, ale nie je relevantné pre Active Directory.
- Pridaná podpora pre mechanizmus ODJ (Offline Domain Join), ktorý umožňuje pripojiť počítač k doméne bez priameho kontaktu s radičom domény. V operačných systémoch podobných Unix založeným na Sambe sa na pripojenie ponúka príkaz 'net offlinejoin' a vo Windowse môžete použiť štandardný program djoin.exe.
- Príkaz „samba-tool dns zoneoptions“ poskytuje možnosti na nastavenie intervalu aktualizácie a riadenie vymazávania zastaraných záznamov DNS. Ak sa odstránia všetky záznamy pre názov DNS, uzol sa umiestni do stavu náhrobného kameňa.
- DNS server DCE/RPC môžu teraz použiť nástroje samba-tool a Windows na manipuláciu so záznamami DNS na externom serveri.
- Pri vykonávaní príkazu „samba-tool domain backup offline“ je zabezpečené správne uzamknutie databázy LMDB na ochranu pred paralelnou modifikáciou údajov počas zálohovania.
- Podpora experimentálnych dialektov protokolu SMB - SMB2_22, SMB2_24 a SMB3_10, ktoré sa používali iba v testovacích zostavách systému Windows, bola ukončená.
- V zostavách s experimentálnou implementáciou Active Directory založenej na MIT Kerberos boli zvýšené požiadavky na verziu tohto balíka. Zostavenie teraz vyžaduje minimálne MIT Kerberos verzie 1.19 (dodávané s Fedorou 34).
- Podpora NIS bola odstránená.
- Opravená chyba zabezpečenia CVE-2021-3671, ktorá umožňuje neoverenému používateľovi zlyhať radič domény založený na Heimdal KDC, ak je odoslaný paket TGS-REQ, ktorý neobsahuje názov servera.
Zdroj: opennet.ru