Выпуск Samba 4.7.0

После шести месяцев разработки опубликован релиз Samba 4.7.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).

Ключевые изменения в Samba 4.7:

• После четырех лет разработки в Samba реализована поддержка компиляции и запуска Active Directory с MIT Kerberos (вместо Heimdal Kerberos). Использование MIT Kerberos активируется опцией "--with-system-mitkrb5" в скрипте configure и требует наличия как минимум MIT Kerberos версии 1.15.1 и установки пакеов krb5-devel и krb5-server. По сравнению со сборкой с Heimdal пока отсутствует поддержка PKINIT, S4U2SELF/S4U2PROXY и RODC;
• Добавлены средства для аудита механизмов аутентификации и авторизации, позволяющие сохранять в логе детальную информацию о входах пользователей и, включая IP-адрес клиента, имя пользователя, тип операции и сопутствующие параметры. Введены два новых класса отладочной информации для записи данных аудита в лог - "auth_audit" и "auth_json_audit" для обычных текстовых логов и записей в формате JSON;
• LDAP-сервер для контроллера домена Active Directory переведен на многопроцессную модель работы и теперь может одновременно запускаться несколько процессов-обработчиков;
• Внесены изменения в поведение утилиты 'smbclient': прекращен вывод баннера 'Domain=[...] OS=[Windows 6.1] Server=[...]' при соединении с первым сервером; максимальная версия протокола по умолчанию повышена до "SMB3_11", что позволяет использовать 'smbclient' с серверами без поддержки SMB1, но по умолчанию не задействует unix-расширения SMB1. Также в smbclient добавлена новая команда 'deltree' для рекурсивного удаления дерева каталогов;
• Обеспечено применение полной блокировки всей БД LDB на чтение для обеспечения согласованности данных при выполнении операций поиска в LDAP и репликации (в прошлых выпуска применялась блокировка на уровне записей, что могло приводить к состоянию гонки при переименовании или удалении и сбоям при репликации и поиске);
• Изменен диапазон сетевых портов, используемых в сервисах RPC. Вместо портов "1024-1300" теперь применяются порты "49152-65535" по аналогии с Windows Server 2008 и более новыми выпусками. Для изменения диапазона портов можно использовать опцию "rpc server dynamic port range";
• Стабилизированы средства для создания контроллеров домена, работающих в режиме только для чтения (RODC, Read-Only Domain Controller). Ранее поддержка RODC находилась в категории экспериментальных возможностей, а в Samba 4.7.0 проведена работа по устранению критических ошибок и проблем с совместимостью, что позволило перевести режим в разряд рекомендованных к использованию;
• Добавлена возможность хэширования паролей при помощи алгоритмов SHA-256 и SHA-512 вместо применения обратимого шифрования в атрибуте supplementalCredentials. Для генерации хэшей реализована опция 'password hash userPassword schemes', а также добавлены средства для извлечения хэшей в утилиту 'samba-tool';
• При выполнении команды подсоединения к контроллеру домена ("samba-tool domain join") в DNS обеспечено создание записей A и GUID через RPC, а также динамической генерации элемента mname в записи SOA;
• Существенно увеличена производительность поиска в Active Directory и репликации информации о членах группы. Ускорение обеспечено за счет сохранения в БД отсортированных атрибутов, привязанных к членам группы, на разбор которых раньше тратилось много ресурсов CPU. В итоге, операции поиска существующих членов группы теперь выполняются в два раза быстрее, чем в прошлых выпусках Samba. Также увеличена производительность поиска непроиндексированных данных в LDAP и разбор списков управления доступом;
• При генерации самоподписанных сертификатов для LDAPS теперь применяется алгоритм SHA256 вместо SHA1;
  
  
• Представлена порция улучшений в компоненте CTDB, отвечающем за работу кластерных конфигураций, в том числе добавлен новый тип БД "replicated", реализована переменная конфигурации CTDB_NFS_CHECKS_DIR и запрещено использование разных версий CTDB в кластере;
• При сборке на системах x86_64 реализована поддержка процессорных инструкций для AES для ускорения шифрования и создания цифровых подписей в SMB3. Для включения следует использовать сборочную опцию "--accel-aes=intelaesni";
• По умолчанию активирован параметр конфигурации "strict sync", обеспечивающий безопасный способ сброса буферов на диск при выполнении запросов на синхронизацию незаписанных данных в smbd
• Опция 'ntlm auth' переименована в 'ntlmv2-only' и расширена поддержкой режимов 'mschapv2-and-ntlmv2-only' (разрешает MSCHAPv2, но запрещает NTLMv1) и 'disabled' (запрещает аутентификацию NTLM и смену пароля).

Intel Microsoft