Останнім часом було оголошено про вихід нової версії Samba 4.15.0, яка продовжує розвиток гілки Samba 4 з повною реалізацією контролера домену та служби Active Directory.
У цій новій версії Samba завершення роботи шару VFS виділено, а також увімкнуто за замовчуванням, на додаток до стабілізації підтримки розширення SMB3, серед іншого, був покращений командний рядок.
Основні нові можливості Samba 4.15
У цій новій версії це підкреслено Роботи з модернізації шару VFS завершені і з історичних причин, код з реалізацією файлового сервера, прив'язаний до обробки шляху до файлу, який, серед іншого, використовувався для протоколу SMB2, який був переведений на використання дескрипторів.
Модернізація зводилася до перекладу коду яка надає доступ до файлової системи сервера для використання дескрипторів файлів замість шляхів до файлів, наприклад, fstat () використовується замість stat (), а SMB_VFS_FSTAT () використовується замість SMB_VFS_STAT ().
Реалізація технології BIND Dynamic Loaded Zones (DLZ), яка дозволяє клієнтам надсилати запити на перенесення зони DNS на сервер BIND та отримувати відповідь від Samba, додала можливість визначати списки доступу, щоб визначити, яким клієнтам дозволено такі запити і які одні - ні.
Ще одна новинка, яка виділяється, - це увімкнуто за замовчуванням, а підтримка стабілізована для розширення SMB3 (Багатоканальний SMB3), що дозволяє клієнтам встановлювати кілька з'єднань для паралелізації передачі даних протягом одного сеансу SMB. Наприклад, під час доступу до одного файлу операції вводу -виводу можуть бути розповсюджені на кілька відкритих з'єднань одночасно. Цей режим покращує продуктивність і підвищує стійкість до помилок. Щоб вимкнути багатоканальний SMB3 у smb.conf, змініть параметр "підтримка багатоканального сервера", який тепер увімкнено за замовчуванням на платформах Linux та FreeBSD.
Можна використовувати команду samba-tool у конфігураціях Samba, побудованих без підтримки контролера домену Active Directory (із зазначеною опцією "–without-ad-dc"). Але в цьому випадку доступні не всі функції, наприклад, можливості команди «домен інструменту samba» обмежені.
З іншого боку, зазначається, що інтерфейс командного рядка був покращений і запропоновано новий синтаксичний аналізатор параметрів командного рядка для використання в різних утилітах самби. Були уніфіковані подібні варіанти, які відрізняються різними утилітами, наприклад, уніфіковано обробку параметрів, пов’язаних із шифруванням, роботою з цифровими підписами та використанням kerberos. Smb.conf визначає параметри для встановлення параметрів за замовчуванням.
Крім того, додана підтримка механізму автономного приєднання до домену (ODJ), що дозволяє приєднати комп'ютер до домену, не звертаючись безпосередньо до контролера домену. В подібних до Unix операційних системах на базі Samba пропонується приєднатися команда «net offlinejoin», а в Windows можна використовувати стандартну програму djoin.exe.
З інших змін що виділяються:
- Для відображення помилок у всіх утилітах використовується STDERR (для виведення на STDOUT передбачена опція "–debug-stdout").
Додана опція "–client-protection = off | знак | зашифрувати '. - Плагін DLZ DNS більше не підтримує гілки посилань 9.8 та 9.9.
- За замовчуванням аналіз списку довірених доменів вимикається під час запуску winbindd, що мало сенс протягом NT4 днів, але не стосується Active Directory.
- Тепер сервери DNS DCE / RPC можуть використовуватися інструментом samba та утилітами Windows для маніпулювання записами DNS на зовнішньому сервері.
- Коли виконується команда "автономне резервне копіювання домену samba-tool", правильна конфігурація замків у базі даних LMDB гарантовано захищає від зміни паралельних даних під час резервного копіювання.
- Підтримку експериментальних діалектів протоколу SMB припинено: SMB2_22, SMB2_24 та SMB3_10, які використовувалися лише в пробних версіях Windows.
- Експериментальні збірки з експериментальною реалізацією Active Directory на основі MIT Kerberos висунули вимоги до версії цього пакета. Збірки тепер вимагають принаймні MIT Kerberos 1.19 (поставляється з Fedora 34).
- Підтримку NIS вилучено.
- Виправлено вразливість CVE-2021-3671, яка могла дозволити несанкціонованому користувачу заблокувати контролер домену на базі KDC Heimdal, якщо пакет TGS-REQ надсилається без імені сервера.
В кінці кінців якщо вам цікаво дізнатись більше про це, Ви можете перевірити подробиці за наступним посиланням.