Ostatnio ogłoszono wydanie nowej wersji Samby 4.15.0, który kontynuuje rozwój gałęzi Samba 4 z pełną implementacją kontrolera domeny i usługi Active Directory.
W nowej wersji Samby podświetlone jest zakończenie zadania warstwy VFS, Oprócz tego, że była ona domyślnie włączona i oprócz ustabilizowania wsparcia dla rozszerzenia SMB3, poprawiono między innymi wiersz poleceń.
Główne nowe funkcje Samby 4.15
W nowej wersji zaznaczono, że Zakończono prace modernizacyjne warstwy VFS i ze względów historycznych, kod z implementacją serwera plików powiązaną z przetwarzaniem ścieżki pliku, który był używany między innymi dla protokołu SMB2, który został przetłumaczony na deskryptory.
Modernizacja sprowadzała się do tłumaczenia kodu który zapewnia dostęp do systemu plików serwera w celu używania deskryptorów plików zamiast ścieżek plików, na przykład fstat () jest używany zamiast stat () i SMB_VFS_FSTAT () jest używany zamiast SMB_VFS_STAT ().
Implementacja technologii BIND's Dynamicly Loaded Zones (DLZ), która umożliwia klientom wysyłanie żądań transferu stref DNS do serwera BIND i otrzymywanie odpowiedzi od Samby, dodała możliwość definiowania list dostępu w celu określenia, którzy Klienci mogą otrzymywać takie żądania, a które te nie są.
Kolejną nowością, która się wyróżnia, jest to była domyślnie włączona, a wsparcie dla rozszerzenia SMB3 zostało ustabilizowane (Wielokanałowy protokół SMB3), który umożliwia klientom nawiązywanie wielu połączeń w celu równoległego przesyłania danych w ramach jednej sesji SMB. Na przykład podczas uzyskiwania dostępu do tego samego pliku operacje We/Wy mogą być rozłożone na wiele otwartych połączeń w tym samym czasie. Ten tryb poprawia wydajność i zwiększa odporność na uszkodzenia. Aby wyłączyć wielokanałową obsługę SMB3 w smb.conf, zmień opcję "obsługa serwera wielokanałowego", która jest teraz domyślnie włączona na platformach Linux i FreeBSD.
Możliwe jest użycie polecenia samba-tool w konfiguracjach Samby zbudowanych bez obsługi kontrolera domeny Active Directory (z określoną opcją „–without-ad-dc”). Jednak w tym przypadku nie wszystkie funkcje są dostępne, na przykład możliwości polecenia „domena narzędzia samba” są ograniczone.
Z drugiej stronyzauważono, że interfejs wiersza poleceń został ulepszony i zaproponowano nowy parser opcji wiersza poleceń do użytku w różnych narzędziach samby. Ujednolicono podobne opcje, które różnią się w różnych narzędziach, na przykład ujednolicono obsługę opcji związanych z szyfrowaniem, pracą z podpisami cyfrowymi oraz korzystaniem z protokołu Kerberos. Smb.conf definiuje ustawienia, aby ustawić domyślne opcje dla opcji.
Ponadto, dodano wsparcie dla mechanizmu Offline Domain Join (ODJ), który umożliwia przyłączenie komputera do domeny bez bezpośredniego kontaktowania się z kontrolerem domeny. W systemach operacyjnych typu Unix, opartych na Sambie, dostępne jest polecenie „net offlinejoin”, a w systemie Windows można użyć standardowego programu djoin.exe.
Z innych zmian które wyróżniają się:
- Aby wyświetlić błędy we wszystkich narzędziach, używane jest STDERR (dla wyjścia na STDOUT dostępna jest opcja "-debug-stdout").
Dodano opcję „–ochrona-klienta = wyłączona | znak | zaszyfruj '. - Wtyczka DNS DLZ nie obsługuje już gałęzi łączy 9.8 i 9.9.
- Domyślnie parsowanie listy zaufanych domen jest wyłączone podczas uruchamiania winbindd, co miało sens w dniach NT4, ale nie jest istotne dla Active Directory.
- Serwery DNS DCE/RPC mogą być teraz używane przez narzędzie samba i narzędzia systemu Windows do manipulowania rekordami DNS na serwerze zewnętrznym.
- Po wykonaniu polecenia „kopia zapasowa domeny samba-tool offline” poprawna konfiguracja blokad w bazie danych LMDB gwarantuje ochronę przed równoległą modyfikacją danych podczas tworzenia kopii zapasowej.
- Wsparcie dla eksperymentalnych dialektów protokołu SMB zostało przerwane: SMB2_22, SMB2_24 i SMB3_10, które były używane tylko w próbnych wersjach systemu Windows.
- Eksperymentalne kompilacje z eksperymentalną implementacją Active Directory opartą na MIT Kerberos, podniesiono wymagania dla wersji tego pakietu. Kompilacje wymagają teraz co najmniej MIT Kerberos 1.19 (dostarczanego z Fedorą 34).
- Usunięto obsługę NIS.
- Naprawiono usterkę CVE-2021-3671, która umożliwiała nieuwierzytelnionemu użytkownikowi zablokowanie kontrolera domeny opartego na Heimdal KDC, jeśli pakiet TGS-REQ jest wysyłany bez nazwy serwera.
W końcu jeśli chcesz dowiedzieć się więcej na ten temat, możesz sprawdzić szczegóły w poniższym linku.