После шести месяцев разработки подготовлен (https://lists.samba.org/archive/samba-announce/2018/000436.html) релиз Samba 4.8.0 (http://www.samba.org/), продолживший развитие ветки Samba 4 (https://www.opennet.me/opennews/art.shtml?num=35571) с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).Ключевые изменения (http://www.samba.org/samba/history/samba-4.8.0.html) в Samba 4.8:
- В sam.ldb реализован новый режим индексации данных GUID, который позволяет добиться более высокой производительности БД для AD DC (Active Directory Domain Controller) по сравнению с ранее применявшимся режимом индексации, оптимизированным для DN. Для хранения по-прежнему используется TDB, изменился только метод выбора ключей. Так как новый режим заменил собой старый (преобразование индекса после обновления производится автоматически), после перехода на Samba 4.8 старые версии не смогут прочитать новую БД, а для отката к старому формату придётся запускать специальный конвертер (sambaundoguididx);
- В kdc добавлена поддержка групповых политик (Group Policy) через которые можно задавать правила для паролей (ограничение времени жизни, минимальный размер, уровень сложности) и kerberos (время жизни и время обновления тикета). Для применения и удаления правил предложен скрипт
samba_gpoupdate. Для автоматического применения добавлена настройка
'apply group policies = yes';
- Добавлен модуль vfs_fruit, предоставляющий возможность применения Samba в качестве целевого хранилища для системы Time Machine от Apple, и автоматически анонсирующий хранилище через протокол Avahi. Для включения добавлена настройка 'fruit:time machine = yes';
- Реализована возможность автоматического приведения NETBIOS-имён, получаемых через MDNS, в нижний регистр для их использования в качестве имени хоста. Для установки предусмотрена настройка 'mdns name = mdns' (по умолчанию mdns name = netbios);
- Атрибуты, содержащие конфиденциальные сведения, теперь по умолчанию сохраняются на диске в зашифрованном виде. Шифрование применяется для атрибутов
pekList,
msDS-ExecuteScriptPassword,
currentValue,
dBCSPwd,
initialAuthIncoming,
initialAuthOutgoing,
lmPwdHistory,
ntPwdHistory,
priorValue,
supplementalCredentials,
trustAuthIncoming,
trustAuthOutgoing,
unicodePwd и
clearTextPassword. Уже добавленные атрибуты остаются храниться в открытом виде. Для экспорта незашифрованных вариантов предусмотрена опция '--plaintext-secrets'. Ключ для шифрования записывается в файл "encrypted_secrets.key";
- В samba-tool добавлена команда "visualize" для визуализации связей при репликации в виде графа в формате Graphviz или в виде текстовых карт, определяющих расстояние между DC;
- Существенно сокращена зависимость процессов winbindd от глобального списка доверительных доменов. В большинстве ситуаций теперь можно вообще обойтись без данного списка, который может потребоваться только для сложных конфигураций (например, при задании отдельных idmap-бэкендов для определённых доменов или в некоторых конфигурациях c pam_winbind). Для отключения сканирования списка доверительных доменов можно использовать опцию "winbind scan trusted domains = no";
- Существенно улучшена поддержка доверенных доменов (Trusted Domain) и доверенных лесов (Trusted Forest). Для аутентификации через Kerberos и NTLM обеспечена двунаправленная (inbound и outbound) поддержка внешних доверительных доменов и промежуточных доверительных лесов. В LSA LookupNames и LookupSids добавлена поддержка определения имён и sid-ов из доверительных доменов и лесов;
- Добавлен VFS-модуль VirusFilter, позволяющий наладить автоматическую проверку и блокировку вирусов в файлах, находящихся в хранилище Samba. В модуле обеспечена интеграция с антивирусными пакетами Sophos, F-Secure и ClamAV;
- Прекращена поддержка команд 'net serverid', 'net rpc samdump' и
'net rpc vampire ldif'. Изменён вывод в режиме
"wbinfo -m --verbose". Удалён модуль vfs_aio_linux, который несовместим с актуальной подсистемой AIO ядра Linux.
URL: https://lists.samba.org/archive/samba-announce/2018/000436.html
Новость: https://www.opennet.me/opennews/art.shtml?num=48260