Представлено реліз Samba 4.15.0, що продовжив розвиток гілки Samba 4 з повноцінною реалізацією контролера домену та сервісу Active Directory, сумісного з реалізацією Windows 2000 і здатного обслуговувати всі підтримувані Microsoft версії Windows-клієнтів, у тому числі Windows 10. Samba 4 є багатофункціональним серверним продуктом , що надає також реалізацію файлового сервера, сервісу друку та сервера ідентифікації (winbind).
Ключові зміни в Samba 4.15:
- Завершено роботу з модернізації шару VFS. З історичних причин код з реалізацією файлового сервера був зав'язаний на обробку файлових шляхів, яка застосовувалася, зокрема, для протоколу SMB2, переведеного на використання дескрипторів. Модернізація звелася до перекладу коду, що забезпечує доступ до файлової системи сервера, на використання файлових дескрипторів замість файлових шляхів (наприклад, задіяно виклик fstat() замість stat() і SMB_VFS_FSTAT() замість SMB_VFS_STAT()).
- У реалізацію технології BIND DLZ (Dynamically-loaded zones), що дозволяє клієнтам надсилати запити передачі DNS-зон серверу BIND та отримувати відповідь від Samba, додано можливість визначення списків доступу, що дозволяють визначати яким клієнтам подібні запити дозволені, а яким немає. У плагіні DLZ DNS припинено підтримку гілок Bind 9.8 і 9.9.
- Увімкнено за замовчуванням та стабілізовано підтримку багатоканального розширення SMB3 (протокол SMB3 Multi-Channel), що дозволяє клієнтам встановлювати кілька з'єднань для розпаралелювання передачі даних в рамках одного SMB-сеансу. Наприклад, при зверненні до одного файлу операції вводу/виводу можуть розподілятися відразу по декількох відкритих з'єднаннях. Даний режим дозволяє підвищити пропускну здатність та збільшити стійкість до збоїв. Для відключення SMB3 Multi-Channel у smb.conf слід змінити опцію «server multi channel support», яка відтепер увімкнена за умовчанням на платформах Linux та FreeBSD.
- Забезпечено можливість використання команди samba-tool у конфігураціях Samba, зібраних без підтримки контролера домену Active Directory (при вказівці опції “without-ad-dc”). Але в цьому випадку не вся функціональність доступна, наприклад, обмежені можливості команди samba-tool domain.
- Покращено інтерфейс командного рядка: Запропоновано новий парсер опцій командного рядка, задіяний у різних утилітах samba. Уніфіковані схожі опції, які відрізнялися в різних утилітах, наприклад, уніфікована обробка опцій, пов'язаних із шифруванням, роботою з цифровими підписами та використанням kerberos. У smb.conf визначено налаштування для встановлення значень параметрів за замовчуванням. Для виведення помилок у всіх утилітах задіяний STDERR (для виведення в STDOUT запропоновано опцію «debug-stdout»).
Додано опцію "-client-protection=off|sign|encrypt".
Перейменовані опції: -kerberos -> -use-kerberos = required | desired | off - krb5-ccache -> -use-krb5-ccache = CCACHE -scope -> winbind-ccache
Видалені опції: -e-encrypt і -S-signing.
Проведена робота з чищення дублікатів опцій в утилітах ldbadd, ldbdel, ldbedit, ldbmodify, ldbrename та ldbsearch, ndrdump, net, sharesec, smbcquotas, nmbd, smbd та winbindd.
- За замовчуванням відключено сканування списку довірених доменів (Trusted Domain) під час запуску winbindd, яке мало сенс за часів NT4, але не актуальне для Active Directory.
- Додано підтримку механізму ODJ (Offline Domain Join), що дозволяє приєднати комп'ютер до домену без прямого звернення до контролера домену. У Unix-подібних ОС на базі Samba для приєднання запропоновано команду 'net offlinejoin', а Windows можна використовувати штатну програму djoin.exe.
- У команді 'samba-tool dns zoneoptions' реалізовані опції для завдання інтервалу оновлення та керування чищенням застарілих DNS-записів. У разі видалення всіх записів для імені DNS вузол перетворюється на стан віддаленого («tombstone»).
- DCE/RPC DNS-сервера тепер може використовуватися утилітою samba-tool та утилітами Windows для маніпуляції із DNS-записами на зовнішньому сервері.
- Під час виконання команди «samba-tool domain backup offline» забезпечено коректне виставлення блокувань до БД LMDB для захисту від паралельної модифікації даних під час резервного копіювання.
- Припинено підтримку експериментальних діалектів протоколу SMB — SMB2_22, SMB2_24 і SMB3_10, які використовувалися лише у тестових збірках Windows.
- У збірках з експериментальною реалізацією Active Directory на базі MIT Kerberos піднято вимоги до версії цього пакету. Для складання тепер необхідна як мінімум версія MIT Kerberos 1.19 (постачається Fedora 34).
- Видалено підтримку NIS.
- Усунена вразливість CVE-2021-3671, що дозволяє неавтентифікованому користувачеві викликати крах контролера домену на базі Heimdal KDC у разі відправки пакета TGS-REQ, в якому не вказано ім'я сервера.
Джерело: opennet.ru