Predstavljena je izdaja Samba 4.15.0, ki nadaljuje razvoj veje Samba 4 s polno implementacijo krmilnika domene in storitve Active Directory, ki je združljiva z implementacijo sistema Windows 2000 in lahko služi vsem različicam Odjemalci Windows, ki jih podpira Microsoft, vključno z Windows 10. Samba 4 je večnamenski strežniški izdelek, ki omogoča tudi implementacijo datotečnega strežnika, storitve tiskanja in strežnika identitete (winbind).
Ključne spremembe v Sambi 4.15:
- Delo na nadgradnji sloja VFS je zaključeno. Iz zgodovinskih razlogov je bila koda z implementacijo datotečnega strežnika vezana na obdelavo datotečnih poti, kar je bilo uporabljeno tudi za protokol SMB2, ki je prešel v uporabo deskriptorjev. Posodobitev je vključevala pretvorbo kode, ki omogoča dostop do datotečnega sistema strežnika za uporabo deskriptorjev datotek namesto poti datotek (na primer klic fstat() namesto stat() in SMB_VFS_FSTAT() namesto SMB_VFS_STAT()).
- Izvedba tehnologije BIND DLZ (Dynamically-loaded zones), ki odjemalcem omogoča pošiljanje zahtev za prenos območij DNS na strežnik BIND in prejemanje odgovora od Sambe, je dodala možnost definiranja dostopnih seznamov, ki vam omogočajo, da ugotovite, kateri odjemalci so dovoljene take zahteve in katere ne. Vtičnik DLZ DNS ne podpira več povezovalnih vej 9.8 in 9.9.
- Podpora za večkanalno razširitev SMB3 (večkanalni protokol SMB3) je privzeto omogočena in stabilizirana, kar strankam omogoča vzpostavitev več povezav za vzporedne prenose podatkov v eni seji SMB. Na primer, ko dostopate do ene same datoteke, se V/I operacije lahko porazdelijo po več odprtih povezavah hkrati. Ta način vam omogoča povečanje prepustnosti in odpornosti proti okvaram. Če želite onemogočiti večkanalni SMB3, morate spremeniti možnost »strežniške večkanalne podpore« v smb.conf, ki je zdaj privzeto omogočena na platformah Linux in FreeBSD.
- Zdaj je mogoče uporabiti ukaz samba-tool v konfiguracijah Samba, zgrajenih brez podpore krmilnika domene Active Directory (ko je podana možnost »--without-ad-dc«). Toda v tem primeru niso na voljo vse funkcije; na primer, zmogljivosti ukaza 'samba-tool domain' so omejene.
- Izboljšan vmesnik ukazne vrstice: Nov razčlenjevalnik možnosti ukazne vrstice je bil predlagan za uporabo v različnih pripomočkih samba. Podobne možnosti, ki so se razlikovale v različnih pripomočkih, so poenotene, na primer poenotena je obdelava možnosti, povezanih s šifriranjem, delom z digitalnimi podpisi in uporabo kerberos. smb.conf določa nastavitve za nastavitev privzetih vrednosti za možnosti. Za izpisovanje napak vsi pripomočki uporabljajo STDERR (za izhod v STDOUT je na voljo možnost »--debug-stdout«).
Dodana možnost "--client-protection=off|sign|encrypt".
Preimenovane možnosti: --kerberos -> --use-kerberos=required|desired|off --krb5-ccache -> --use-krb5-ccache=CCACHE --scope -> --netbios-scope=SCOPE --use -ccache -> --use- winbind-ccache
Odstranjene možnosti: “-e|—šifriranje” in “-S|—podpisovanje”.
Opravljeno je bilo delo za čiščenje podvojenih možnosti v pripomočkih ldbadd, ldbdel, ldbedit, ldbmodify, ldbrename in ldbsearch, ndrdump, net, sharesec, smbcquotas, nmbd, smbd in winbindd.
- Privzeto je skeniranje seznama zaupanja vrednih domen med izvajanjem winbindd onemogočeno, kar je bilo smiselno v dneh NT4, vendar ni pomembno za Active Directory.
- Dodana podpora za mehanizem ODJ (Offline Domain Join), ki vam omogoča, da računalnik pridružite domeni, ne da bi neposredno kontaktirali krmilnik domene. V operacijskih sistemih, podobnih Unixu, ki temeljijo na Sambi, je za pridružitev na voljo ukaz 'net offlinejoin', v sistemu Windows pa lahko uporabite standardni program djoin.exe.
- Ukaz 'samba-tool dns zoneoptions' ponuja možnosti za nastavitev intervala posodabljanja in nadzor brisanja zastarelih zapisov DNS. Če se izbrišejo vsi zapisi za ime DNS, se vozlišče postavi v stanje nagrobnika.
- Strežnik DNS DCE/RPC lahko zdaj uporablja orodje samba in pripomočki Windows za manipulacijo zapisov DNS na zunanjem strežniku.
- Pri izvajanju ukaza »samba-tool domain backup offline« je zagotovljeno pravilno zaklepanje baze podatkov LMDB za zaščito pred vzporednim spreminjanjem podatkov med varnostnim kopiranjem.
- Podpora za eksperimentalna narečja protokola SMB - SMB2_22, SMB2_24 in SMB3_10, ki so bila uporabljena samo v testnih različicah sistema Windows, je bila ukinjena.
- V različicah s poskusno izvedbo imenika Active Directory, ki temelji na MIT Kerberos, so bile zahteve za različico tega paketa povišane. Build zdaj zahteva vsaj MIT Kerberos različice 1.19 (dobavljen s Fedoro 34).
- Podpora za NIS je bila odstranjena.
- Odpravljena ranljivost CVE-2021-3671, ki omogoča nepreverjenemu uporabniku, da zruši krmilnik domene, ki temelji na Heimdal KDC, če je poslan paket TGS-REQ, ki ne vključuje imena strežnika.
Vir: opennet.ru