The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

07.09.2016 21:57  Релиз Samba 4.5.0

После шести месяцев разработки состоялся релиз Samba 4.5.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).

Ключевые изменения в Samba 4.5:

  • С целью усиления безопасности и блокирования возможных MITM-атак по умолчанию отключена аутентификация с использованием NTLMv1. Опции "ntlm auth", "lanman auth" и "raw NTLMv2 auth" теперь установлены по умолчанию в значение "no", что может повлиять на работу старых клиентов, не поддерживающих NTLMv2 (например, NTLMv1 используется в MSCHAPv2 для VPN и 802.1x);
  • В LDAP-сервер добавлена поддержка управляющего кода LDAP_SERVER_NOTIFICATION_OID, которая позволяет организовать мониторинг изменений в БД Active Directory;
  • Samba KCC задействован по умолчанию в качестве координатора согласованности данных в Active Directory. KCC настраивает соединения для сокращения задержек при репликации и использования оптимальных маршрутов, позволяя обойтись без создания каналов репликации между каждым контроллером домена. Применение KCC позволяет значительно улучшить работу больших доменов в плане сокращения трафика репликации и затрат времени на выполнение DRS-репликации;
  • Поддержка механизма VLV (Virtual List View), позволяющего приложениям формировать выборочные срезы данных из каталога LDAP, без предварительной загрузки полного содержимого каталога;
  • Значительно увеличена эффективность DRS-репликации при обработке связанных атрибутов в больших доменах, включающих более тысячи членов группы. Также заметно увеличилась надёжность репликации при обновлении схемы хранения или переименования древовидных структур, например, при переименовании подразделения организации с большим числом пользователей;
  • Внесена большая порция оптимизаций производительности в код работы с LDAP в реализации контроллера домена Active Directory. Увеличена скорость выполнения команды 'samba-tool domain provision';
  • В команду 'samba-tool dbcheck' добавлен поиск и исправление отсутствующих или повреждённых контейнеров удалённых объектов;
  • Реализована возможность восстановления удалённых объектов (tombstone) в AD DC с сохранением оригинальных SID и GUID;
  • Для обеспечения отказоустойчивости появилась возможность задания в директиве "dns forwarder" нескольких DNS-серверов. Вначале опрашивается первый DNS-сервер и если он не отвечает запрос отправляется следующему серверу по списку;
  • В AD DC добавлена возможность подключения плагина "check password" для проверки надёжности задаваемых паролей;
  • Добавлена команда 'net ads unregister' для удаления DNS-записей, созданных при помощи команды 'net ads register';
  • Увеличена скорость запуска 'samba-tool', благодаря тому, что теперь загружается только код, связанный с выполнением указанной команды;
  • Включена по умолчанию технология агрессивного локального кэширования файлов (SMB2 leases), которая позволяет существенно сократить трафик для соединений по SMB 2.1 и более новым выпускам протокола.
  • В файловом сервере вместо POSIX-блокировок задействованы OFD-блокировки (Open File Description) на системах с поддержкой OFD (пока только Linux). OFD позволяет выставлять блокировки на отдельные блоки данных в файле, что значительно увеличивает эффективность в случае если на один и тот же файл выставляется несколько блокировок;
  • Добавлены новые команды 'samba-tool user getpassword' и 'samba-tool user syncpasswords', позволяющие получить и синхронизировать содержимое различных полей пароля;
  • В команды 'samba-tool user create' и 'samba-tool user setpassword' добавлена опция "--smartcard-required" для установки флага UF_SMARTCARD_REQUIRED в атрибуте userAccountControl, при котором требуется использование смарткарт и запрещен ручной ввод пароля в интерактивном режиме;
  • Полностью переписана утилита 'ctdb tool', которая переведена на новый клиентский API;
  • Прекращена поддержка параметров "only user" и "username", на смену которым давно пришли параметры "valid users" и "invalid users".


  1. Главная ссылка к новости (https://lists.samba.org/archiv...)
  2. OpenNews: Раскрыты детали уязвимости Badlock в Samba
  3. OpenNews: Релиз Samba 4.4.0 с поддержкой многоканального SMB3
  4. OpenNews: Релиз Samba 4.2.0. Прекращение поддержки Samba 3
  5. OpenNews: Критическая удалённая уязвимость в Samba, предоставляющая root-доступ к серверу
  6. OpenNews: Критическая уязвимость в Samba
Лицензия: CC-BY
Тип: Программы
Ключевые слова: samba
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Анончик, 22:47, 07/09/2016 [ответить] [смотреть все]
  • –4 +/
    Ему уже лдап не нужен bdb все хранит ... весь текст скрыт [показать]
     
     
  • 2.3, Аноним, 23:33, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    samba4 хранит все в себе, ldap нужен например если менедмент идет через FreeIPA
     
  • 2.4, commiethebeastie, 23:49, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +9 +/
    Холодильник больше не нужен, ведь сало можно есть.

    LDAP это протокол, а BDB база данных, и LDAP у MS использует EsentDB, а не Berkeley DB.

     
  • 1.2, Аноним, 23:31, 07/09/2016 [ответить] [смотреть все]  
  • –3 +/
    APT/RPM пакеты выйдут наверное через года 4
     
     
  • 2.11, Skull_2, 08:31, 08/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    В Альт Линукс, скорее всего, выйдут сегодня И samba и samba-DC ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, DmA, 12:41, 09/09/2016 [^] [ответить] [смотреть все]  
  • –3 +/
    Интересно есть школы, которые использую учётки в LDAP сервере Альтлинукса Всё т... весь текст скрыт [показать]
     
     
  • 4.20, Омоним, 18:50, 09/09/2016 [^] [ответить] [смотреть все]  
  • +/
    Типа, дети не смогут помогать училке админить?
     
  • 3.23, Michael Shigorin, 13:49, 16/09/2016 [^] [ответить] [смотреть все]  
  • +/
    По факту в сизифе объявились сегодня http packages altlinux org samba PS есл... весь текст скрыт [показать]
     
  • 2.12, Аноним, 11:47, 08/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –4 +/
    Схренали Каноникал в любую секунду их может выпустить, в результате все самбы п... весь текст скрыт [показать] [показать ветку]
     
  • 1.5, Ivan_83, 00:08, 08/09/2016 [ответить] [смотреть все]  
  • +3 +/
    Зависимостей сильно дохрена по сравнению с 3.х.
    Мне нужна только шара для файлопомойки а оно всё по полной ставит: и винбинд и лдап и ещё кучу хрени.
     
     
  • 2.6, Аноним, 00:37, 08/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да у них даже аллокаторы памяти свои, наверное и sprintf свой на коленке
     
  • 2.8, h31, 01:31, 08/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Я думаю, всё это можно отключить при сборке.
     
     
  • 3.21, Аноним, 23:13, 11/09/2016 [^] [ответить] [смотреть все]  
  • +/
    Именно так Но чтобы работала и шара, и discovery сетевых ресурсов, нужно запуск... весь текст скрыт [показать]
     
  • 1.7, Аноним, 01:31, 08/09/2016 [ответить] [смотреть все]  
  • +/
    POSIX тоже может это или речь идет о LEASE locking ... весь текст скрыт [показать]
     
  • 1.9, h31, 01:35, 08/09/2016 [ответить] [смотреть все]  
  • +2 +/
    Это хорошо, что альтернативу AD развивают. Но что-то они совсем забили на файлошары. Например, Unix Extensions до сих пор не определены для SMB2/3. Проще говоря, либо новый быстрый протокол, либо нормальная поддержка юникс-прав, регистрозависимости и многого другого.
     
  • 1.10, odity, 08:03, 08/09/2016 [ответить] [смотреть все]  
  • +/
    Блин, только бы winbindd + idmap стал работать корректнее и показывать вовремя измененные параметры и группы у пользователей. попробую протестировать ,как выйдет сборка sernet на winbind+idmap. у кого есть опыт? поделитесь конфигами рабочими?
     
     
  • 2.13, Аноним, 18:06, 08/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    В вашей вселенной sssd не изобрели ещё?
     
     
  • 3.15, odity, 07:51, 09/09/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    В моей вселенной есть работа тестировать все. А вы почитайте документацию самбы. там упоминание sssd ушло даже из вики, а заменено теперь winbindd'om. Вот и вопрос. Почему
     
     
  • 4.16, RudW0lf, 09:42, 09/09/2016 [^] [ответить] [смотреть все]  
  • +/
    А причем здесь мягкое и цветное? sssd хорошо работает в rhel и отлично интегрируется с AD, да так что samba становиться не нужна совсем.
     
     
  • 5.18, odity, 12:20, 09/09/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    > А причем здесь мягкое и цветное? sssd хорошо работает в rhel и
    > отлично интегрируется с AD, да так что samba становиться не нужна
    > совсем.

    sssd дополняет, а не замещает самбу. так есть у кого рабочие конфиги winbindd+idmap или другие, для тестирования

     
     
  • 6.22, Аноним, 12:07, 12/09/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    sssd ерись
     
  • 4.17, Аноним, 11:57, 09/09/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Samba != RedHat
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor