Utgivningen av Samba 4.15.0 presenterades, som fortsatte utvecklingen av Samba 4-grenen med en fullfjädrad implementering av en domänkontrollant och Active Directory-tjänst, kompatibel med implementeringen av Windows 2000 och kapabel att betjäna alla versioner av Windows-klienter stöds av Microsoft, inklusive Windows 10. Samba 4 är en multifunktionell serverprodukt, som också tillhandahåller en implementering av en filserver, en utskriftstjänst och en identitetsserver (winbind).
Viktiga ändringar i Samba 4.15:
- Arbetet med att uppgradera VFS-lagret har slutförts. Av historiska skäl var koden med implementeringen av filservern kopplad till bearbetningen av filsökvägar, som också användes för SMB2-protokollet, som överfördes till användning av deskriptorer. Moderniseringen innebar att konvertera koden som ger åtkomst till serverns filsystem till att använda fildeskriptorer istället för filsökvägar (till exempel anropa fstat() istället för stat() och SMB_VFS_FSTAT() istället för SMB_VFS_STAT()).
- Implementeringen av BIND DLZ-teknologin (Dynamiskt laddade zoner), som tillåter klienter att skicka förfrågningar om DNS-zonöverföring till BIND-servern och ta emot ett svar från Samba, har lagt till möjligheten att definiera åtkomstlistor som låter dig avgöra vilka klienter som är tillåtit sådana förfrågningar och vilka som inte är det. DLZ DNS-plugin stöder inte längre Bind-grenarna 9.8 och 9.9.
- Stöd för SMB3 multi-channel extension (SMB3 Multi-Channel protocol) är aktiverat som standard och stabiliserat, vilket gör att klienter kan upprätta flera anslutningar för att parallellisera dataöverföringar inom en enda SMB-session. Till exempel, vid åtkomst till en enda fil kan I/O-operationer distribueras över flera öppna anslutningar samtidigt. Detta läge låter dig öka genomströmningen och öka motståndet mot fel. För att inaktivera SMB3 Multi-Channel måste du ändra alternativet "server multi channel support" i smb.conf, som nu är aktiverat som standard på Linux- och FreeBSD-plattformar.
- Det är nu möjligt att använda kommandot samba-tool i Samba-konfigurationer byggda utan stöd för Active Directory-domänkontrollanter (när alternativet "--without-ad-dc" är angivet). Men i det här fallet är inte all funktionalitet tillgänglig, till exempel är kapaciteten för kommandot 'samba-tool domain' begränsade.
- Förbättrat kommandoradsgränssnitt: En ny kommandoradsalternativparser har föreslagits för användning i olika samba-verktyg. Liknande alternativ som skilde sig åt i olika verktyg har förenats, till exempel har bearbetningen av alternativ relaterade till kryptering, arbete med digitala signaturer och användning av kerberos förenats. smb.conf definierar inställningar för att ställa in standardvärden för alternativ. För att mata ut fel använder alla verktyg STDERR (för utmatning till STDOUT erbjuds alternativet "--debug-stdout").
Lade till alternativet "--client-protection=off|sign|encrypt".
Omdöpta alternativ: --kerberos -> --use-kerberos=required|desired|off --krb5-ccache -> --use-krb5-ccache=CCACHE --scope -> --netbios-scope=SCOPE --use -ccache -> --use- winbind-ccache
Borttagna alternativ: "-e|—encrypt" och "-S|—signing".
Arbete har gjorts för att rensa upp duplicerade alternativ i verktygen ldbadd, ldbdel, ldbedit, ldbmodify, ldbrename och ldbsearch, ndrdump, net, sharesec, smbcquotas, nmbd, smbd och winbindd.
- Som standard är genomsökning av listan över betrodda domäner när winbindd körs inaktiverad, vilket var vettigt under NT4-dagarna, men är inte relevant för Active Directory.
- Lade till stöd för ODJ-mekanismen (Offline Domain Join), som låter dig ansluta en dator till en domän utan att direkt kontakta en domänkontrollant. I Samba-baserade Unix-liknande operativsystem erbjuds kommandot 'net offlinejoin' för att gå med, och i Windows kan du använda standardprogrammet djoin.exe.
- Kommandot 'samba-tool dns zoneoptions' ger alternativ för att ställa in uppdateringsintervallet och kontrollera rensningen av föråldrade DNS-poster. Om alla poster för ett DNS-namn raderas, placeras noden i ett gravstenstillstånd.
- DNS-server DCE/RPC kan nu användas av samba-tool och Windows-verktyg för att manipulera DNS-poster på en extern server.
- När kommandot "samba-tool domain backup offline" körs, säkerställs korrekt låsning av LMDB-databasen för att skydda mot parallell modifiering av data under säkerhetskopiering.
- Stöd för experimentella dialekter av SMB-protokollet - SMB2_22, SMB2_24 och SMB3_10, som endast användes i testversioner av Windows, har upphört.
- I builds med en experimentell implementering av Active Directory baserad på MIT Kerberos har kraven för versionen av detta paket höjts. Bygg nu kräver minst MIT Kerberos version 1.19 (levereras med Fedora 34).
- NIS-stöd har tagits bort.
- Fixad sårbarhet CVE-2021-3671, som tillåter en oautentiserad användare att krascha en Heimdal KDC-baserad domänkontrollant om ett TGS-REQ-paket skickas som inte innehåller ett servernamn.
Källa: opennet.ru