Выпуск Samba 4.15.020.09.2021 22:45

Представлен релиз Samba 4.15.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).

Ключевые изменения в Samba 4.15:

  • Завершена работа по модернизации слоя VFS. По историческим причинам код с реализацией файлового сервера был завязан на обработку файловых путей, которая применялась в том числе для протокола SMB2, переведённого на использование дескрипторов. Модернизация свелась к переводу кода, обеспечивающего доступ к файловой системе сервера, на использование файловых дескрипторов вместо файловых путей (например, задействован вызов fstat () вместо stat () и SMB_VFS_FSTAT () вместо SMB_VFS_STAT ()).

  • В реализацию технологии BIND DLZ (Dynamically-loaded zones), позволяющую клиентам отправлять запросы передачи DNS-зон серверу BIND и получать ответ от Samba, добавлена возможность определения списков доступа, позволяющих определять каким клиентам подобные запросы разрешены, а каким нет. В плагине DLZ DNS прекращена поддержка веток Bind 9.8 и 9.9.

  • Включена по умолчанию и стабилизирована поддержка многоканального расширения SMB3 (протокол SMB3 Multi-Channel), позволяющего клиентам устанавливать несколько соединений для распараллеливания передачи данных в рамках одного SMB-сеанса. Например, при обращении к одному файлу операции ввода/вывода могут распределяться сразу по нескольким открытым соединениям. Данный режим позволяет повысить пропускную способность и увеличить устойчивость к сбоям. Для отключения SMB3 Multi-Channel в smb.conf следует изменить опцию «server multi channel support», которая отныне включена по умолчанию на платформах Linux и FreeBSD.

  • Обеспечена возможность использования команды samba-tool в конфигурациях Samba, собранных без поддержки контроллера домена Active Directory (при указании опции »--without-ad-dc»). Но в этом случае не вся функциональность доступна, например, ограничены возможности команды 'samba-tool domain'.

  • Улучшен интерфейс командной строки: Предложен новый парсер опций командной строки, задействованный в различных утилитах samba. Унифицированы похожие опции, которые отличались, а разных утилитах, например, унифицирована обработка опций, связанных с шифрованием, работой с цифровыми подписями и использованием kerberos. В smb.conf определены настройки для задания значений опций по умолчанию. Для вывода ошибок во всех утилитах задействован STDERR (для вывода в STDOUT предложена опция »--debug-stdout»).

    Добавлена опция »--client-protection=off|sign|encrypt».

    Переименованы опции: 

       --kerberos       ->    --use-kerberos=required|desired|off
   --krb5-ccache    ->    --use-krb5-ccache=CCACHE
   --scope          ->    --netbios-scope=SCOPE
   --use-ccache     ->    --use-winbind-ccache

    Удалены опции:»-e|--encrypt» и »-S|--signing».

    Проведена работа по чистке дубликатов опций в утилитах ldbadd, ldbdel, ldbedit, ldbmodify, ldbrename и ldbsearch, ndrdump, net, sharesec, smbcquotas, nmbd, smbd и winbindd.

  • По умолчанию отключено сканирование списка доверенных доменов (Trusted Domain) при запуске winbindd, которое имело смысл во времена NT4, но не актуально для Active Directory.

  • Добавлена поддержка механизма ODJ (Offline Domain Join), позволяющего присоединить компьютер к домену без прямого обращения к контроллеру домена. В Unix-подобных ОС на базе Samba для присоединения предложена команда 'net offlinejoin', а в Windows можно использовать штатную программу djoin.exe.

  • В команде 'samba-tool dns zoneoptions' реализованы опции для задания интервала обновления и управления чисткой устаревших DNS-записей. В случае удаления всех записей для имени DNS узел переводится в состояние удалённого («tombstone»).

  • DCE/RPC DNS-сервера теперь может использоваться утилитой samba-tool и утилитами Windows для манипуляции с DNS-записями на внешнем сервере.

  • При выполнении команды «samba-tool domain backup offline» обеспечено корректное выставление блокировок к БД LMDB для защиты от параллельной модификации данных во время резервного копирования.

  • Прекращена поддержка экспериментальных диалектов протокола SMB — SMB2_22, SMB2_24 и SMB3_10, которые использовались только в тестовых сборках Windows.

  • В сборках с экспериментальной реализацией Active Directory на базе MIT Kerberos подняты требования к версии данного пакета. Для сборки теперь необходима как минимум версия MIT Kerberos 1.19 (поставляется в Fedora 34).

  • Удалена поддержка NIS.

  • Устранена уязвимость CVE-2021–3671, позволяющая неаутентифицированному пользователю вызвать крах контроллера домена на базе Heimdal KDC в случае отправки пакета TGS-REQ, в котором не указано имя сервера.



Источник: http://www.opennet.ru/opennews/art.shtml? num=55835

© OpenNet