После шести месяцев разработки увидел свет (https://lists.samba.org/archive/samba-announce/2016/000372.html) значительный выпуск Samba 4.4.0 (http://www.samba.org/), продолживший развитие ветки Samba 4 (https://www.opennet.ru/opennews/art.shtml?num=35571) с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).Ключевые изменения (http://www.samba.org/samba/history/samba-4.4.0.html) в Samba 4.4:
- Экспериментальная поддержка многоканального расширения SMB3 (протокол SMB3 Multi-Channel), позволяющего клиентам устанавливать несколько соединений для передачи данных в рамках одного SMB-сеанса. Например, при обращении к одному файлу операции ввода/вывода могут распределяться сразу по нескольким открытым соединениям. Данный режим позволяет повысить пропускную способность и увеличить устойчивость к сбоям. Для включения SMB3 Multi-Channel в smb.conf следует установить опцию "server multi channel support", которая отключена по умолчанию. Так как режим ещё не полностью протестирован на системах с большой нагрузкой, и может содержать недоработки, его не рекомендовано использовать в рабочих конфигурациях;
- Поддержка асинхронной обработки flush-запросов от клиентов SMB2/3, которые более не блокируют обработку других запросов. Отключение асинхронного сброса буферов можно активировать при помощи опции 'strict sync';
- Переписан модуль WINS nsswitch, который переведён на использование библиотеки libwbclient для формирования WINS-запросов. Упрощён код и решены проблемы с потреблением памяти. Для разрешения WINS-имён при помощи nss_wins теперь обязателен запуск winbind.
- В smbd прекращена поддержка сборочной опции '--with-aio-support', так как разработчики отказались от POSIX-RT aio в пользу pthread_aio;
- Добавлена возможность выполнения команды "samba-tool sites" для БД на другом сервере (адрес URL LDB передаётся через опцию '-H');
- Для команды "samba-tool domain demote" реализована опция '--remove-other-dead-server', позволяющая удалить внешний нефункционирующий контроллер домена;
- Добавлена команда "samba-tool drs clone-dc-database" для реплицирования начального клона домена, без вхождения в него (команда разработана для отладочных целей);
- В утилиту pdbedit добавлена опция '--set-nt-hash', позволяющая установить пароль пользователя, указав шестнадцатеричную строку nt-hash. Посмотреть хэши паролей можно при помощи команды 'pdbedit -vw';
- Утилита smbstatus расширена возможностью показа состояния цифровых подписей и шифрования для сеансов и разделов (share);
- В smbget вместо раздельного задания имени пользователя и пароля через опции -u и -p, введена унифицированная опция "-U username[%password]";
- В s4-rpc_server добавлена реализация backupkey на базе GnuTLS;
- В ntlm_auth добавлена опция '--offline-logon', разрешающая использование прокэшированных паролей при неоступности контроллера домена.
- В состав включен новый модуль vfs_offline для перевода всех файлов в состояние offline, что может быть полезно для шар, смонтированных поверх сетевой ФС;
- Большая порция улучшений в компоненте CTDB, отвечающем за работу кластерных конфигураций:
- Реализована новая схема параллельного восстановления БД, позволяющая избежать взаимных блокировок в smbd и увеличивающая скорость восстановления.
- Налажена установка в произвольные директории, заданные на этапе сборки (решены проблемы при установке samba в /usr/local);
- CTDB_DBDIR может принимать значение tmpfs[:<tmpfs-options>] для размещения TDB в tmpfs;
- Прекращено использование настройки CTDB_NATGW_SLAVE_ONLY, вместо которой все узлы должны полагаться на опцию "slave-only" в CTDB NAT;
- Добавлен скрипт 05.system для мониторинга за ресурсами, позволяющий отслеживать проблемы с производительностью или различны отклонения. Настройка производится через переменные CTDB_MONITOR_FILESYSTEM_USAGE, CTDB_MONITOR_MEMORY_USAGE и
CTDB_MONITOR_SWAP_USAGE;
- Удалён скрипт 62.cnfs, функциональность которого доступна через штатное обращение к mmaddcallback;
- Параметр конфигурации EventScriptTimeoutCount переименован в
MonitorTimeoutCount;
- В утилите ctdb прекращена поддержка опции "-n all", так как она корректно поддерживалась не во всех командах. Вместо неё следует использовать формат "ctdb ip all";
- Из поставки удалены VFS-модули vfs_smb_traffic_analyzer и vfs_scannedonly из-за отсутствия заинтересованных в их поддержке сопровождающих.
Кроме того, можно отметить анонс (https://www.sernet.de/en/news/news-detail/detail/badlock-ank.../) критической уязвимости "Badlock (http://badlock.org/)", которая затрагивает почти все версии Windows и Samba. Информация о проблеме и патчи для её устранения будут раскрыты 12 апреля. Проблема выявлена одним из разработчиков Samba и свявзана с фундаментальными проблемами протокла SMB, не специфичными для конкретных реализаций. Проблема отмечается как очень опасная, до такой степени, что Microsoft и Samba договорились выпустить обновления одновременно.
URL: https://lists.samba.org/archive/samba-announce/2016/000372.html
Новость: http://www.opennet.ru/opennews/art.shtml?num=44099