Bản phát hành Samba 4.15.0 được trình bày, tiếp tục sự phát triển của nhánh Samba 4 với việc triển khai đầy đủ bộ điều khiển miền và dịch vụ Active Directory tương thích với việc triển khai Windows 2000 và có thể phục vụ tất cả các phiên bản của Máy khách Windows được Microsoft hỗ trợ, bao gồm Windows 10. Samba 4 là một sản phẩm máy chủ đa chức năng, cũng cung cấp triển khai máy chủ tệp, dịch vụ in và máy chủ nhận dạng (winbind).
Những thay đổi chính trong Samba 4.15:
- Công việc nâng cấp lớp VFS đã hoàn thành. Vì lý do lịch sử, mã triển khai máy chủ tệp được gắn với việc xử lý đường dẫn tệp, cũng được sử dụng cho giao thức SMB2, được chuyển sang sử dụng bộ mô tả. Quá trình hiện đại hóa liên quan đến việc chuyển đổi mã cung cấp quyền truy cập vào hệ thống tệp của máy chủ để sử dụng bộ mô tả tệp thay vì đường dẫn tệp (ví dụ: gọi fstat() thay vì stat() và SMB_VFS_FSTAT() thay vì SMB_VFS_STAT()).
- Việc triển khai công nghệ BIND DLZ (Vùng được tải động), cho phép khách hàng gửi yêu cầu chuyển vùng DNS đến máy chủ BIND và nhận phản hồi từ Samba, đã bổ sung khả năng xác định danh sách truy cập cho phép bạn xác định khách hàng nào đang cho phép những yêu cầu như vậy và những yêu cầu nào không. Plugin DLZ DNS không còn hỗ trợ các nhánh Bind 9.8 và 9.9 nữa.
- Hỗ trợ tiện ích mở rộng đa kênh SMB3 (giao thức đa kênh SMB3) được bật theo mặc định và ổn định, cho phép khách hàng thiết lập nhiều kết nối để truyền dữ liệu song song trong một phiên SMB duy nhất. Ví dụ: khi truy cập vào một tệp duy nhất, các thao tác I/O có thể được phân phối trên nhiều kết nối mở cùng một lúc. Chế độ này cho phép bạn tăng thông lượng và tăng khả năng chống lại sự cố. Để tắt Đa kênh SMB3, bạn phải thay đổi tùy chọn “hỗ trợ đa kênh máy chủ” trong smb.conf, tùy chọn này hiện được bật theo mặc định trên nền tảng Linux và FreeBSD.
- Hiện tại có thể sử dụng lệnh samba-tool trong cấu hình Samba được xây dựng mà không cần hỗ trợ bộ điều khiển miền Active Directory (khi tùy chọn “--without-ad-dc” được chỉ định). Nhưng trong trường hợp này, không phải tất cả chức năng đều khả dụng; ví dụ: khả năng của lệnh 'miền công cụ samba' bị hạn chế.
- Giao diện dòng lệnh được cải thiện: Trình phân tích cú pháp tùy chọn dòng lệnh mới đã được đề xuất để sử dụng trong các tiện ích samba khác nhau. Các tùy chọn tương tự khác nhau về các tiện ích khác nhau đã được thống nhất, ví dụ: việc xử lý các tùy chọn liên quan đến mã hóa, làm việc với chữ ký số và sử dụng kerberos đã được thống nhất. smb.conf xác định các cài đặt để đặt giá trị mặc định cho các tùy chọn. Để xuất lỗi, tất cả các tiện ích đều sử dụng STDERR (để xuất ra STDOUT, tùy chọn “--debug-stdout” được cung cấp).
Đã thêm tùy chọn "--client-protection=off|sign|encrypt".
Các tùy chọn được đổi tên: --kerberos -> --use-kerberos=required|desired|off --krb5-ccache -> --use-krb5-ccache=CCACHE --scope -> --netbios-scope=SCOPE --use -ccache -> --use- winbind-ccache
Các tùy chọn đã bị xóa: “-e|—encrypt” và “-S|—signing”.
Công việc đã được thực hiện để dọn sạch các tùy chọn trùng lặp trong các tiện ích ldbadd, ldbdel, ldbedit, ldbmodify, ldbrename và ldbsearch, ndrdump, net, sharesec, smbcquotas, nmbd, smbd và winbindd.
- Theo mặc định, việc quét danh sách Miền đáng tin cậy khi chạy winbindd bị tắt, điều này có ý nghĩa vào thời NT4, nhưng không liên quan đến Active Directory.
- Đã thêm hỗ trợ cho cơ chế ODJ (Tham gia miền ngoại tuyến), cho phép bạn kết nối máy tính với miền mà không cần liên hệ trực tiếp với bộ điều khiển miền. Trong các hệ điều hành giống Unix dựa trên Samba, lệnh 'net offlinejoin' được cung cấp để tham gia và trong Windows, bạn có thể sử dụng chương trình djoin.exe tiêu chuẩn.
- Lệnh 'samba-tool dns Zoneoptions' cung cấp các tùy chọn để đặt khoảng thời gian cập nhật và kiểm soát việc xóa các bản ghi DNS lỗi thời. Nếu tất cả bản ghi cho tên DNS bị xóa thì nút đó sẽ được đặt ở trạng thái Tombstone.
- Máy chủ DNS DCE/RPC hiện có thể được sử dụng bởi samba-tool và các tiện ích Windows để thao tác các bản ghi DNS trên máy chủ bên ngoài.
- Khi thực thi lệnh “samba-tool domain backup offline”, việc khóa chính xác trên cơ sở dữ liệu LMDB được đảm bảo để bảo vệ khỏi việc sửa đổi dữ liệu song song trong quá trình sao lưu.
- Hỗ trợ cho các phương ngữ thử nghiệm của giao thức SMB - SMB2_22, SMB2_24 và SMB3_10, chỉ được sử dụng trong các bản dựng thử nghiệm của Windows, đã bị ngừng.
- Trong các bản dựng có triển khai thử nghiệm Active Directory dựa trên MIT Kerberos, các yêu cầu đối với phiên bản của gói này đã được nâng lên. Bản dựng hiện yêu cầu ít nhất MIT Kerberos phiên bản 1.19 (đi kèm Fedora 34).
- Hỗ trợ NIS đã bị xóa.
- Đã khắc phục lỗ hổng CVE-2021-3671, cho phép người dùng không được xác thực làm hỏng bộ điều khiển miền dựa trên Heimdal KDC nếu gói TGS-REQ được gửi không bao gồm tên máy chủ.
Nguồn: opennet.ru