Релиз Samba 4.5.0

7 сентября 2016 года

После шести месяцев разработки состоялся релиз Samba 4.5.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).

Ключевые изменения в Samba 4.5:

• С целью усиления безопасности и блокирования возможных MITM-атак по умолчанию отключена аутентификация с использованием NTLMv1. Опции "ntlm auth", "lanman auth" и

"raw NTLMv2 auth" теперь установлены по умолчанию в значение "no", что может повлиять на работу старых клиентов, не поддерживающих NTLMv2 (например, NTLMv1 используется в MSCHAPv2 для VPN и 802.1x);

• В LDAP-сервер добавлена поддержка управляющего кода LDAP_SERVER_NOTIFICATION_OID, которая позволяет организовать мониторинг изменений в БД Active Directory;
• Samba KCC задействован по умолчанию в качестве координатора согласованности данных в Active Directory. KCC настраивает соединения для сокращения задержек при репликации и использования оптимальных маршрутов, позволяя обойтись без создания каналов репликации между каждым контроллером домена. Применение KCC позволяет значительно улучшить работу больших доменов в плане сокращения трафика репликации и затрат времени на выполнение DRS-репликации;
• Поддержка механизма VLV (Virtual List View), позволяющего приложениям формировать выборочные срезы данных из каталога LDAP, без предварительной загрузки полного содержимого каталога;
• Значительно увеличена эффективность DRS-репликации при обработке связанных атрибутов в больших доменах, включающих более тысячи членов группы. Также заметно увеличилась надёжность репликации при обновлении схемы хранения или переименования древовидных структур, например, при переименовании подразделения организации с большим числом пользователей;
• Внесена большая порция оптимизаций производительности в код работы с LDAP в реализации контроллера домена Active Directory. Увеличена скорость выполнения команды 'samba-tool domain provision';
• В команду 'samba-tool dbcheck' добавлен поиск и исправление отсутствующих или повреждённых контейнеров удалённых объектов;
• Реализована возможность восстановления удалённых объектов ( tombstone) в AD DC с сохранением оригинальных SID и GUID;
• Для обеспечения отказоустойчивости появилась возможность задания в директиве "dns forwarder" нескольких DNS-серверов. Вначале опрашивается первый DNS-сервер и если он не отвечает запрос отправляется следующему серверу по списку;
• В AD DC добавлена возможность подключения плагина "check password" для проверки надёжности задаваемых паролей;
• Добавлена команда 'net ads unregister' для удаления DNS-записей, созданных при помощи команды 'net ads register';
• Увеличена скорость запуска 'samba-tool', благодаря тому, что теперь загружается только код, связанный с выполнением указанной команды;
• Включена по умолчанию технология агрессивного локального кэширования файлов (SMB2 leases), которая позволяет существенно сократить трафик для соединений по SMB 2.1 и более новым выпускам протокола.
• В файловом сервере вместо POSIX-блокировок задействованы OFD-блокировки (Open File Description) на системах с поддержкой OFD (пока только Linux). OFD позволяет выставлять блокировки на отдельные блоки данных в файле, что значительно увеличивает эффективность в случае если на один и тот же файл выставляется несколько блокировок;
• Добавлены новые команды 'samba-tool user getpassword' и

'samba-tool user syncpasswords', позволяющие получить и синхронизировать содержимое различных полей пароля;

• В команды 'samba-tool user create' и 'samba-tool user setpassword' добавлена опция "--smartcard-required" для установки флага UF_SMARTCARD_REQUIRED в атрибуте userAccountControl, при котором требуется использование смарткарт и запрещен ручной ввод пароля в интерактивном режиме;
• Полностью переписана утилита 'ctdb tool', которая переведена на новый клиентский API;
• Прекращена поддержка параметров "only user" и "username", на смену которым давно пришли параметры "valid users" и "invalid users".