Недавно анонсирован выпуск новой версии Samba 4.15.0, который продолжает развитие ветки Samba 4 с полной реализацией контроллера домена и службы Active Directory.
В этой новой версии Samba выделено завершение задания уровня VFS, кроме того, он был включен по умолчанию, и помимо стабилизации поддержки расширения SMB3, среди прочего была улучшена командная строка.
Основные новые возможности Samba 4.15
В этой новой версии подчеркивается, что Завершены работы по модернизации уровня VFS и по историческим причинам код с реализацией файлового сервера, привязанный к обработке пути к файлу, который, помимо прочего, использовался для протокола SMB2, который был переведен на использование дескрипторов.
Модернизация сводилась к переводу кода который обеспечивает доступ к файловой системе сервера для использования дескрипторов файлов вместо путей к файлам, например, fstat () используется вместо stat (), а SMB_VFS_FSTAT () используется вместо SMB_VFS_STAT ().
Реализация технологии динамически загружаемых зон (DLZ) BIND, которая позволяет клиентам отправлять запросы на передачу зоны DNS на сервер BIND и получать ответ от Samba, добавила возможность определять списки доступа, чтобы определить, каким клиентам разрешены такие запросы и каким одни нет.
Еще одна выделяющаяся новинка: был включен по умолчанию, плюс была стабилизирована поддержка расширения SMB3 (Многоканальный SMB3), который позволяет клиентам устанавливать несколько соединений для распараллеливания передачи данных в рамках одного сеанса SMB. Например, при доступе к одному и тому же файлу операции ввода-вывода могут одновременно распределяться по нескольким открытым соединениям. Этот режим улучшает производительность и повышает отказоустойчивость. Чтобы отключить многоканальный SMB3 в smb.conf, измените параметр «поддержка многоканального сервера», который теперь включен по умолчанию на платформах Linux и FreeBSD.
Можно использовать команду samba-tool в конфигурациях Samba, созданных без поддержки контроллера домена Active Directory (с указанным параметром «–without-ad-dc»). Но в этом случае доступны не все функции, например возможности команды samba tool domain ограничены.
Более того, следует отметить, что интерфейс командной строки был улучшен и был предложен новый синтаксический анализатор параметров командной строки. для использования в различных утилитах самбы. Были унифицированы аналогичные опции, которые различаются в разных утилитах, например, унифицирована обработка опций, связанных с шифрованием, работой с цифровыми подписями и использованием kerberos. Smb.conf определяет настройки для установки опций по умолчанию для опций.
Кроме того, добавлена поддержка механизма автономного присоединения к домену (ODJ), который позволяет присоединить компьютер к домену, не обращаясь напрямую к контроллеру домена. В Unix-подобных операционных системах на основе Samba для присоединения предлагается команда net offlinejoin, а в Windows вы можете использовать стандартную программу djoin.exe.
Из других изменений которые выделяются:
- Для отображения ошибок во всех утилитах используется STDERR (для вывода в STDOUT предусмотрена опция «–debug-stdout»).
Добавлена опция «–client-protection = off | знак | зашифровать ». - Плагин DLZ DNS больше не поддерживает ветки ссылок 9.8 и 9.9.
- По умолчанию анализ списка доверенных доменов отключен при запуске winbindd, что имело смысл в дни NT4, но не имеет отношения к Active Directory.
- DNS-серверы DCE / RPC теперь могут использоваться инструментом samba и утилитами Windows для управления записями DNS на внешнем сервере.
- Когда выполняется команда «samba-tool domain backup offline», правильная конфигурация блокировок в базе данных LMDB гарантированно защищает от изменения параллельных данных во время резервного копирования.
- Прекращена поддержка экспериментальных диалектов протокола SMB: SMB2_22, SMB2_24 и SMB3_10, которые использовались только в пробных версиях Windows.
- Экспериментальные сборки с экспериментальной реализацией Active Directory на основе MIT Kerberos, требования были повышены для версии этого пакета. Для сборок теперь требуется как минимум MIT Kerberos 1.19 (поставляется с Fedora 34).
- Поддержка NIS удалена.
- Исправлена уязвимость CVE-2021-3671, которая могла позволить неаутентифицированному пользователю заблокировать контроллер домена на основе Heimdal KDC, если пакет TGS-REQ отправляется без имени сервера.
В конце концов если вам интересно узнать об этом больше, вы можете проверить подробности по следующей ссылке.