推出了 Samba 4.15.0 版本,它继续开发 Samba 4 分支,具有域控制器的完整实现和与 Windows 2000 的实现兼容的 Active Directory 服务,并且能够为所有版本提供服务微软支持的Windows客户端,包括Windows 10。Samba 4是一个多功能的服务器产品,它还提供了文件服务器、打印服务和身份服务器(winbind)的实现。
Samba 4.15 的主要变化:
- VFS层的升级工作已经完成。 由于历史原因,文件服务器实现的代码与文件路径的处理相关联,这也用于 SMB2 协议,该协议已转移到描述符的使用。 现代化涉及将提供对服务器文件系统的访问的代码转换为使用文件描述符而不是文件路径(例如,调用 fstat() 而不是 stat(),调用 SMB_VFS_FSTAT() 而不是 SMB_VFS_STAT())。
- BIND DLZ(动态加载区域)技术的实现允许客户端向 BIND 服务器发送 DNS 区域传输请求并接收来自 Samba 的响应,该技术增加了定义访问列表的功能,使您能够确定哪些客户端是允许此类请求,哪些不允许。 DLZ DNS 插件不再支持 Bind 分支 9.8 和 9.9。
- 默认情况下启用并稳定对 SMB3 多通道扩展(SMB3 多通道协议)的支持,允许客户端建立多个连接以在单个 SMB 会话中并行数据传输。 例如,当访问单个文件时,I/O 操作可以同时分布在多个打开的连接上。 此模式允许您提高吞吐量并增强对故障的抵抗力。 要禁用 SMB3 多通道,您必须更改 smb.conf 中的“服务器多通道支持”选项,该选项现在在 Linux 和 FreeBSD 平台上默认启用。
- 现在可以在没有 Active Directory 域控制器支持的 Samba 配置中使用 samba-tool 命令(当指定“--without-ad-dc”选项时)。 但在这种情况下,并非所有功能都可用;例如,“samba-tool domain”命令的功能受到限制。
- 改进的命令行界面:已建议在各种 samba 实用程序中使用新的命令行选项解析器。 不同实用程序中不同的类似选项已统一,例如,与加密、使用数字签名和使用 kerberos 相关的选项的处理已统一。 smb.conf 定义用于设置选项默认值的设置。 为了输出错误,所有实用程序都使用 STDERR(为了输出到 STDOUT,提供了“--debug-stdout”选项)。
添加了“--client-protection=off|sign|encrypt”选项。
重命名选项: --kerberos -> --use-kerberos=required|desired|off --krb5-ccache -> --use-krb5-ccache=CCACHE --scope -> --netbios-scope=SCOPE --use -ccache -> --use- winbind-ccache
删除了选项:“-e|—加密”和“-S|—签名”。
已完成清理 ldbadd、ldbdel、ldbedit、ldbmodify、ldbrename 和 ldbsearch、ndrdump、net、sharesec、smbcquotas、nmbd、smbd 和 winbindd 实用程序中重复选项的工作。
- 默认情况下,运行 winbindd 时扫描受信任域列表被禁用,这在 NT4 时代很有意义,但与 Active Directory 无关。
- 添加了对ODJ(脱机域加入)机制的支持,该机制允许您将计算机加入域而无需直接联系域控制器。 在基于 Samba 的类 Unix 操作系统中,提供“netofflinejoin”命令用于加入,而在 Windows 中,您可以使用标准的 djoin.exe 程序。
- “samba-tool dns zoneoptions”命令提供用于设置更新间隔和控制清除过时 DNS 记录的选项。 如果删除某个 DNS 名称的所有记录,则该节点将处于逻辑删除状态。
- DNS 服务器 DCE/RPC 现在可以由 samba-tool 和 Windows 实用程序使用来操作外部服务器上的 DNS 记录。
- 执行“samba-tooldomain backupoffline”命令时,可以确保对LMDB数据库进行正确锁定,以防止备份过程中数据被并行修改。
- 对 SMB 协议实验性方言(SMB2_22、SMB2_24 和 SMB3_10)的支持已停止,这些方言仅在 Windows 测试版本中使用。
- 在基于 MIT Kerberos 的 Active Directory 实验性实现的构建中,对此包的版本的要求已经提高。 现在构建至少需要 MIT Kerberos 版本 1.19(随 Fedora 34 一起提供)。
- NIS 支持已被删除。
- 修复了漏洞 CVE-2021-3671,如果发送的 TGS-REQ 数据包不包含服务器名称,则未经身份验证的用户将导致基于 Heimdal KDC 的域控制器崩溃。
来源: opennet.ru