The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

14.03.2018 16:09  Выпуск Samba 4.8.0

После шести месяцев разработки подготовлен релиз Samba 4.8.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).

Ключевые изменения в Samba 4.8:

  • В sam.ldb реализован новый режим индексации данных GUID, который позволяет добиться более высокой производительности БД для AD DC (Active Directory Domain Controller) по сравнению с ранее применявшимся режимом индексации, оптимизированным для DN. Для хранения по-прежнему используется TDB, изменился только метод выбора ключей. Так как новый режим заменил собой старый (преобразование индекса после обновления производится автоматически), после перехода на Samba 4.8 старые версии не смогут прочитать новую БД, а для отката к старому формату придётся запускать специальный конвертер (sambaundoguididx);
  • В kdc добавлена поддержка групповых политик (Group Policy) через которые можно задавать правила для паролей (ограничение времени жизни, минимальный размер, уровень сложности) и kerberos (время жизни и время обновления тикета). Для применения и удаления правил предложен скрипт samba_gpoupdate. Для автоматического применения добавлена настройка 'apply group policies = yes';
  • Добавлен модуль vfs_fruit, предоставляющий возможность применения Samba в качестве целевого хранилища для системы Time Machine от Apple, и автоматически анонсирующий хранилище через протокол Avahi. Для включения добавлена настройка 'fruit:time machine = yes';
  • Реализована возможность автоматического приведения NETBIOS-имён, получаемых через MDNS, в нижний регистр для их использования в качестве имени хоста. Для установки предусмотрена настройка 'mdns name = mdns' (по умолчанию mdns name = netbios);
  • Атрибуты, содержащие конфиденциальные сведения, теперь по умолчанию сохраняются на диске в зашифрованном виде. Шифрование применяется для атрибутов pekList, msDS-ExecuteScriptPassword, currentValue, dBCSPwd, initialAuthIncoming, initialAuthOutgoing, lmPwdHistory, ntPwdHistory, priorValue, supplementalCredentials, trustAuthIncoming, trustAuthOutgoing, unicodePwd и clearTextPassword. Уже добавленные атрибуты остаются храниться в открытом виде. Для экспорта незашифрованных вариантов предусмотрена опция '--plaintext-secrets'. Ключ для шифрования записывается в файл "encrypted_secrets.key";
  • В samba-tool добавлена команда "visualize" для визуализации связей при репликации в виде графа в формате Graphviz или в виде текстовых карт, определяющих расстояние между DC;
  • Существенно сокращена зависимость процессов winbindd от глобального списка доверительных доменов. В большинстве ситуаций теперь можно вообще обойтись без данного списка, который может потребоваться только для сложных конфигураций (например, при задании отдельных idmap-бэкендов для определённых доменов или в некоторых конфигурациях c pam_winbind). Для отключения сканирования списка доверительных доменов можно использовать опцию "winbind scan trusted domains = no";
  • Существенно улучшена поддержка доверенных доменов (Trusted Domain) и доверенных лесов (Trusted Forest). Для аутентификации через Kerberos и NTLM обеспечена двунаправленная (inbound и outbound) поддержка внешних доверительных доменов и промежуточных доверительных лесов. В LSA LookupNames и LookupSids добавлена поддержка определения имён и sid-ов из доверительных доменов и лесов;
  • Добавлен VFS-модуль VirusFilter, позволяющий наладить автоматическую проверку и блокировку вирусов в файлах, находящихся в хранилище Samba. В модуле обеспечена интеграция с антивирусными пакетами Sophos, F-Secure и ClamAV;
  • Прекращена поддержка команд 'net serverid', 'net rpc samdump' и 'net rpc vampire ldif'. Изменён вывод в режиме "wbinfo -m --verbose". Удалён модуль vfs_aio_linux, который несовместим с актуальной подсистемой AIO ядра Linux.


  1. Главная ссылка к новости ( https://lists.samba.org/archi...)
  2. OpenNews: Критическая уязвимость в Samba, позволяющая поменять пароль любого пользователя
  3. OpenNews: Выпуск Samba 4.7.0
  4. OpenNews: Уязвимость в Samba, позволяющая выполнить код на сервере
  5. OpenNews: Выпуск Samba 4.6.0
  6. OpenNews: Раскрыты детали уязвимости Badlock в Samba
Лицензия: CC-BY
Тип: Программы
Ключевые слова: samba
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 17:04, 14/03/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    И ни слова о критических уязвимостях?
     
     
  • 2.2, Клыкастый (ok), 17:07, 14/03/2018 [^] [ответить]    [к модератору]
  • +/
    > Уязвимость устранена в выпусках Samba 4.8.0, 4.7.6, 4.6.14 и 4.5.16.

    из предыдущей новости

     
  • 1.11, Аноним (-), 22:05, 14/03/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Они нормальную репликацию sysvol'а пилить собираются или как?
     
     
  • 2.15, electronik (?), 23:08, 14/03/2018 [^] [ответить]    [к модератору]
  • +/
    >полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000

    там такого еще не было

     
  • 2.19, leap42 (ok), 02:13, 15/03/2018 [^] [ответить]    [к модератору]
  • +/
    до сих пор не завезли? году в 2014-2015 гонял DC на самбе в виндовом домене, репликация была с состоянии "вот-вот доделаем"
     
  • 1.13, Аноним (-), 22:24, 14/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    robocopy
    rsync
    glusterfs
     
  • 1.14, Аноним (-), 22:29, 14/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Он схему и доверительные отношения выше 2008 Р2 все еще не поддерживает?
     
  • 1.16, targitaj (?), 23:23, 14/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Когда windows search protocol запилят уже?
     
     
  • 2.18, Аноним (-), 00:09, 15/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Я бы вообще все технологии m$ выпилил вместе с NFSv4.1
     
     
  • 3.21, Ne01eX (ok), 13:21, 15/03/2018 [^] [ответить]    [к модератору]  
  • +/
    SMB - это не технология M$. Это технология IBM. Впрочем, как и NFS - технология Sun, а не M$.
     
     
  • 4.22, Справочная (?), 14:17, 15/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну с учётом весьма сильных изменений в SMBv2 (2006 год)
    Можно считать, что это технология MS
     
     
  • 5.23, Ne01eX (ok), 02:30, 16/03/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    > Ну с учётом весьма сильных изменений в SMBv2 (2006 год)
    > Можно считать, что это технология MS

    Ну тогда - сжечь, на...й. :-D А NFS не трогайте, пусть будет.

     
  • 1.24, Shodan (ok), 21:36, 16/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    До сих пор на питон3 перейти не могут для сборки
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor