Faz pouco foi anunciado o lançamento da nova versão do Samba 4.15.0, que continua o desenvolvimento da filial Samba 4 com uma implementação completa de um controlador de domínio e serviço Active Directory.
Nesta nova versão do Samba a conclusão do trabalho da camada VFS é destacada, além de estar habilitado por padrão e além de estabilizar o suporte para a extensão SMB3, a linha de comando foi aprimorada, entre outras coisas.
Principais novos recursos do Samba 4.15
Nesta nova versão destaca-se que Trabalho de modernização da camada VFS concluído e por razões históricas, código com implementação de servidor de arquivo ligada ao processamento de caminho de arquivo, que foi usado, entre outras coisas, para o protocolo SMB2, que foi traduzido para usar descritores.
A modernização se resumiu a traduzir o código que fornece acesso ao sistema de arquivos do servidor para usar descritores de arquivo em vez de caminhos de arquivo, por exemplo, fstat () é usado em vez de stat () e SMB_VFS_FSTAT () é usado em vez de SMB_VFS_STAT ().
A implementação da tecnologia Dynamically Loaded Zones (DLZ) do BIND, que permite aos clientes enviar solicitações de transferência de zona DNS para o servidor BIND e receber uma resposta do Samba, adicionou a capacidade de definir listas de acesso para determinar quais clientes têm permissão para tais solicitações e quais aqueles não são.
Outra novidade que se destaca é que foi habilitado por padrão e o suporte foi estabilizado para a extensão SMB3 (SMB3 multicanal), que permite aos clientes estabelecer várias conexões para paralelizar as transferências de dados em uma única sessão SMB. Por exemplo, ao acessar o mesmo arquivo, as operações de E / S podem ser distribuídas por várias conexões abertas ao mesmo tempo. Este modo melhora o desempenho e aumenta a tolerância a falhas. Para desabilitar o SMB3 multicanal em smb.conf, altere a opção "suporte a servidor multicanal", que agora está habilitado por padrão nas plataformas Linux e FreeBSD.
É possível usar o comando samba-tool nas configurações do Samba criadas sem suporte ao controlador de domínio do Active Directory (com a opção "–without-ad-dc" especificada). Mas, neste caso, nem todas as funções estão disponíveis, por exemplo, as capacidades do comando 'domínio da ferramenta samba' são limitadas.
Por outro lado, é de notar que a interface da linha de comandos foi melhorada e um novo analisador de opções da linha de comandos foi proposto para uso em vários utilitários do samba. Opções semelhantes foram unificadas, que diferem em diferentes utilitários, por exemplo, o tratamento de opções relacionadas à criptografia, trabalhar com assinaturas digitais e o uso de kerberos foi unificado. Smb.conf define as configurações para definir as opções padrão para as opções.
Além disso, adicionado suporte para mecanismo de junção de domínio offline (ODJ), que permite adicionar um computador a um domínio sem entrar em contato diretamente com um controlador de domínio. Em sistemas operacionais baseados em Samba no estilo Unix, o comando 'net offlinejoin' é oferecido para ingressar, e no Windows você pode usar o programa djoin.exe padrão.
Das outras mudanças que se destacam:
- Para exibir erros em todos os utilitários, STDERR é usado (para saída para STDOUT, a opção "–debug-stdout" é fornecida).
Adicionada opção "–client-protection = off | assinar | criptografar '. - O plugin DLZ DNS não oferece mais suporte a links branches 9.8 e 9.9.
- Por padrão, a análise da lista de domínios confiáveis é desabilitada ao iniciar o winbindd, o que fazia sentido nos dias do NT4, mas não é relevante para o Active Directory.
- Os servidores DNS DCE / RPC agora podem ser usados pela ferramenta samba e utilitários do Windows para manipular os registros DNS em um servidor externo.
- Quando o comando "samba-tool domain backup offline" é executado, a configuração correta de bloqueios no banco de dados LMDB é garantida para proteger contra a modificação de dados paralelos durante o backup.
- O suporte para dialetos experimentais do protocolo SMB foi descontinuado: SMB2_22, SMB2_24 e SMB3_10, que eram usados apenas em versões de teste do Windows.
- Construções experimentais com implementação experimental do Active Directory com base no MIT Kerberos, os requisitos foram levantados para a versão deste pacote. As compilações agora exigem pelo menos MIT Kerberos 1.19 (fornecido com o Fedora 34).
- O suporte NIS foi removido.
- Corrigida a vulnerabilidade CVE-2021-3671 que pode permitir que um usuário não autenticado bloqueie um controlador de domínio baseado em Heimdal KDC se um pacote TGS-REQ for enviado sem um nome de servidor.
Finalmente se você estiver interessado em saber mais sobre isso, você pode verificar o detalhes no link a seguir.