После шести месяцев разработки представлен значительный выпуск Samba 4.3.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).

Ключевые изменения в Samba 4.3:

  • Поддержка протокола SMB 3.1.1 в клиенте и сервере. Протокол SMB 3.1.1 содержит ряд расширений, представленных в Windows 10 и нацеленных на усиление защиты этапа согласования диалекта и возможностей протокола. Опционально добавлена поддержка шифрования с использованием алгоритма aes-gcm-128, который применяется при невозможности задействовать используемый по умолчанию алгоритм aes-ccm-128, которые остаётся предпочтительным в силу более высокой производительности;
  • Поддержка одновременного использования нескольких бэкендов для ведения логов. В дополнение к ранее доступным двум бэкендам (сохранение лога в файл и отправка в syslog) представлены новые бэкенды для хранения логов в systemd-journal, lttng и gpfs;
  • Поддержка организации поиска на SMB-разделах с использованием развиваемой компанией Apple локальной поисковой системы Spotlight. В качестве поискового движка для индексации и хранения метаданных применяется GNOME Tracker.
  • Новая подсистема FileChangeNotify, предоставляющая средства для отслеживания изменения файлов. В отличие от ранее поставляемой реализации FileChangeNotify, новая система на каждом узле запускает свой демон обслуживания уведомлений, вместо ранее применяемой централизованной базы уведомлений, одной на весь кластер. Запуск отдельных демонов позволяет уйти от необходимости двойной передачи сообщений между узлами при каждом изменении. При новой схеме все запросы FileChangeNotify и события обрабатываются в форме асинхронного сообщения от smbd к конкретному демону обработки уведомлений, который хранит в памяти свою копию базы данных отслеживаемых элементов;
  • Новый код профилирования протоколов SMB1, SMB2 и SMB3, использующий tdb вместо разделяемой памяти, что позволило решить проблемы с производительностью и работой на системах c архитектурой NUMA;
  • Для Kerberos-бэкендов на основе gssapi улучшены средства выявления MITM-атак при помощи контроля неизменности заголовка DCERPC по цифровой подписи;
  • В winbindd теперь необходимо включение верификации SMB по цифровой подписи, если главный домен использует Active Directory;
  • Удалена поддержка экспериментальной библиотеки NTDB, представленной в Samba 4.0
  • Существенно улучшена поддержка доверенных доменов (Trusted Domain) и доверенных лесов (Trusted Forest). В samba-tool добавлена новая команда "domain trust" для управления доверительными отношениями, содержащая подкоманды create, delete, list, namespaces, show и validate. Обеспечена работоспособность входящих и исходящих (inbound, outbound) внешних доверительных отношений между отдельными доменами, но есть ограничение - обе стороны обязательно должны быть настроены на полное доверие друг к другу;
  • Поддержка настройки приоритета выбора протоколов TLS через новую опцию "tls priority". Прекращено использование SSLv3 (по умолчанию "tls priority NORMAL:-VERS-SSL3.0");
  • В samba-tool обеспечена поддержка всех семи ролей FSMO. В дополнение к ранее доступным в команде "samba-tool fsmo" операциям над ролями Schema Master, Domain Naming Master, RID Master, PDC Emulator и Infrastructure Master добавлена поддержка ролей DomainDnsZones Infrastructure Master и ForestDnsZones Infrastructure Master;
  • Для улучшения кросс-компиляции представлен гибридный режим конфигурации сборочного процесса, позволяющий использовать результаты тестирования наличия необходимых для сборки компонентов, выполненного на целевой системе. В отличие от ранее предлагаемого подхода, стадии тестирования и записи результата выполняются в один проход с сохранением всех результатов в отдельном файле. Для активации нового режима следует одновременно указать опции "--cross-execute" и "--cross-answers".
  • Улучшена поддержка средств по пометке пустых областей в файлах. В smbd добавлена поддержка SMB2-запросов FSCTL_SET_ZERO_DATA и FSCTL_QUERY_ALLOCATED_RANGES, что позволяет клиентам инициировать высвобождение части файла и определить какие из частей файла распределены на накопителе;
  • В smbclient представлены новые команды: "notify имя_директории" для отслеживания изменений в директории, "scopy исходный_файл целевой_файл" для копирования на стороне сервера;
  • В rpcclient реализованы новые команды: netshareenumall, netsharegetinfo, netsharesetinfo, netsharesetdfsflags, netfileenum, netnamevalidate, netfilegetsec, netsessdel, netsessenum, netdiskenum, netconnenum, netshareadd и netsharedel;
  • Добавлены новые модули: idmap_script, vfs_unityed_media и vfs_shell_snap.


Источник: http://www.opennet.ru/opennews/art.shtml?num=42931