推出了 Samba 4.15.0 版本,它繼續開發 Samba 4 分支,具有域控制器的完整實現和與 Windows 2000 的實現兼容的 Active Directory 服務,並且能夠為所有版本提供服務微軟支持的Windows客戶端,包括Windows 10。Samba 4是一個多功能的服務器產品,它還提供了文件服務器、打印服務和身份服務器(winbind)的實現。
Samba 4.15 的主要變化:
- VFS層的升級工作已經完成。 由於歷史原因,文件伺服器實現的程式碼與文件路徑的處理相關聯,這也用於 SMB2 協議,該協議已轉移到描述符的使用。 現代化涉及將提供對伺服器檔案系統的存取的程式碼轉換為使用檔案描述符而不是檔案路徑(例如,呼叫 fstat() 而不是 stat(),呼叫 SMB_VFS_FSTAT() 而不是 SMB_VFS_STAT())。
- BIND DLZ(動態載入區域)技術的實作允許用戶端向 BIND 伺服器發送 DNS 區域傳輸請求並接收來自 Samba 的回應,該技術增加了定義存取清單的功能,使您能夠確定哪些客戶端是允許此類請求,哪些不允許。 DLZ DNS 插件不再支援 Bind 分支 9.8 和 9.9。
- 預設啟用並穩定對 SMB3 多通道擴展(SMB3 多通道協定)的支持,允許客戶端建立多個連接以在單一 SMB 會話中並行資料傳輸。 例如,當存取單一檔案時,I/O 操作可以同時分佈在多個開啟的連線上。 此模式可讓您提高吞吐量並增強對故障的抵抗力。 要停用 SMB3 多通道,您必須更改 smb.conf 中的「伺服器多通道支援」選項,該選項現在在 Linux 和 FreeBSD 平台上預設為啟用。
- 現在可以在沒有 Active Directory 網域控制站支援的 Samba 設定中使用 samba-tool 指令(當指定「--without-ad-dc」選項時)。 但在這種情況下,並非所有功能都可用;例如,「samba-tool domain」指令的功能受到限制。
- 改進的命令列介面:已建議在各種 samba 實用程式中使用新的命令列選項解析器。 不同實用程式中不同的類似選項已統一,例如,與加密、使用數位簽章和使用 kerberos 相關的選項的處理已統一。 smb.conf 定義用於設定選項預設值的設定。 為了輸出錯誤,所有實用程式都使用 STDERR(為了輸出到 STDOUT,提供了「--debug-stdout」選項)。
新增了「--client-protection=off|sign|加密」選項。
重新命名選項: --kerberos -> --use-kerberos=required|desired|off --krb5-ccache -> --use-krb5-ccache=CCACHE --scope -> --netbios-scope=SCOPE -- use -ccache -> --use- winbind-ccache
刪除的選項:「-e|—加密」和「-S|—簽章」。
已完成清理 ldbadd、ldbdel、ldbedit、ldbmodify、ldbrename 和 ldbsearch、ndrdump、net、sharesec、smbcquotas、nmbd、smbd 和 winbindd 實用程式中重複選項的工作。
- 預設情況下,在執行 winbindd 時掃描受信任網域清單已停用,這在 NT4 時代很有意義,但與 Active Directory 無關。
- 新增了對ODJ(離線網域加入)機制的支持,該機制允許您將電腦加入網域而無需直接聯繫網域控制器。 在基於 Samba 的類別 Unix 作業系統中,提供「netofflinejoin」命令用於加入,而在 Windows 中,您可以使用標準的 djoin.exe 程式。
- “samba-tool dns zoneoptions”指令提供設定更新間隔和控制清除過時 DNS 記錄的選項。 如果刪除某個 DNS 名稱的所有記錄,則該節點將處於邏輯刪除狀態。
- DNS 伺服器 DCE/RPC 現在可以由 samba-tool 和 Windows 公用程式使用來操作外部伺服器上的 DNS 記錄。
- 執行「samba-tooldomain backupoffline」指令時,可確保對LMDB資料庫進行正確鎖定,以防止備份過程中資料被並行修改。
- 對 SMB 協定實驗方言(SMB2_22、SMB2_24 和 SMB3_10)的支援已停止,這些方言僅在 Windows 測試版本中使用。
- 在基於 MIT Kerberos 的 Active Directory 實驗性實作的建置中,對此套件的版本的要求已提高。 現在建置至少需要 MIT Kerberos 版本 1.19(隨 Fedora 34 一起提供)。
- NIS 支援已被刪除。
- 修正了漏洞 CVE-2021-3671,如果發送的 TGS-REQ 封包不包含伺服器名稱,則未經驗證的使用者將導致基於 Heimdal KDC 的網域控制器崩潰。
來源: opennet.ru