Выпуск Samba 4.9.0

Материал из Викиновостей, свободного источника новостей

13 сентября 2018 года

После шести месяцев разработки подготовлен релиз Samba 4.9.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).

Ключевые изменения в Samba 4.9:

  • Реализован новый экспериментальный бэкенд LDB на базе библиотеки LMDB, позволяющий создавать БД больше 4 Гб. Для включения нового бэкенда следует использовать опцию "--backend-store=mdb". Для сборки требуется наличие версии lmdb выше 0.9.16;
  • Добавлена поддержка объектов установки паролей (PSO - Password Settings Objects или FGPP - Fine-Grained Password Policies). PSO позволяет для отдельных пользователей или групп переопределить правила установки пароля, заданные в Active Directory. Например, для выборочных пользователей можно потребовать установки более длинных паролей или отменить ограничения по сложности пароля.

Настройка PSO выполняется командой 'samba-tool domain passwordsettings pso';

  • Добавлена команда 'samba-tool domain backup online' для созданий файла с резервной копией БД для указанного домена Active Directory, а также команда и 'samba-tool domain backup restore' для восстановления состояния сервисов Samba на основе ранее сохранённого бэкапа;
  • Добавлена базовая поддержка переименования доменов Samba. Переименование производится в два шага: вначале для клонирования БД домена запускается команда 'samba-tool domain backup rename', а затем полученный файл с резервной копией БД восстанавливается под новым именем домена при помощи команды 'samba-tool domain backup restore';
  • Реализован плагин локальной авторизации для MIT Kerberos, который через winbind управляет взаимодействием между пользователем в Kerberos и учётной записью в Active Directory. На входе указывается пользователь (principal) Kerberos и имя локальной учётной записи, после чего определяется их соответствие и выдаётся канонизированный вариант (например, если пользователь зашёл как "alice", а samAccountName выставлен в "ALICE", для Kerberos будет возвращено имя

"ALICE");

  • Добавлена поддержка аудита базы данных sam.ldb. Для ведения лога операций с БД предложены отладочные классы "dsdb_audit" и "dsdb_json_audit", а также классы "dsdb_transaction_audit" и "dsdb_transaction_json_audit" для ведения лога принятых и отклонённых транзакций;
  • Добавлена поддержка аудита операций изменения пароля в AD DC. Ведение лога смены паролей включается при помощи новых отладочных классов "dsdb_password_audit" и "dsdb_password_json_audit";
  • Добавлена поддержка аудита операций изменения принадлежности пользователей к группе, которая включается через отладочные классы "dsdb_group_audit" и "dsdb_group_json_audit";
  • Обеспечено сохранение в логе (только для формата JSON) продолжительности стадии аутентификации для NTLM и Kerberos KDC;
  • В модуле аудита файловой системы vfs_full_audit с "all" на "none" изменён используемый по умолчанию набор отслеживаемых успешных и не успешных операций (т.е. по умолчанию теперь не выполняются все возможные отслеживания, что помогает защититься от потенциальных DoS-атак при подключении данного модуля к объектам VFS).

Кроме того, в модули vfs_audit, vfs_ext_audit и vfs_full_audit добавлена поддержка всех корректных объектов syslog;

  • Добавлена новая команда "net ads setspn" для управления Windows SPN (Service Principal Names) в Active Directory. По функциональности команда близка к утилите 'setspn.exe' и также позволяет добавлять, удалять и просматривать список Windows SPN, хранимый в объекте Computer из Windows AD;
  • Расширена функциональность команды 'net ads keytab'. Изменено поведение подкоманды "net ads keytab add", которая больше не преобразует в Windows SPN переданный класс сервиса (nfs, html и т.п.) и не добавляет его в объект Computer в Windows AD. По умолчанию изменения ограничиваются только файлом keytab. Для воссоздания старого поведения добавлена новая подкоманда 'add_update_ads', а также предложено использовать отдельную команду 'net ads setspn add' для внесения изменений в Windows SPN;
  • Для сборки Samba AD DC по умолчанию требуется наличие библиотеки Jansson. При сборке без AD DC ("--without-ad-dc") от данной зависимости можно отказаться передав в configure параметр "--without-json-audit";
  • Добавлены новые возможности для диагностики проблем при репликации DRS: В команду 'samba-tool drs showrepl' добавлена опция "--summary" для вывода сводки о работоспособности репликации. Реализована новая команда 'samba-tool visualize uptodateness' для визуализации задержек при репликации;
  • В команду 'samba-tool computer' добавлена возможность манипуляции учётными записями в объекте Computer, в том числе создания нового экземпляра объекта и сброса пароля. Данные операции допускают введение сервера или рабочей станции в домен Samba AD в режиме offline;
  • Добавлена новая команда 'samba-tool ou' для управления организационными единицами (OU - Organizational Units). Поддерживаются подкоманды create, delete, move, rename, list и listobjects для создания, удаления, перемещения, переименования OU, а также вывода списка OU и находящихся в них объектов. Кроме того добавлены отдельные команды samba-tool для управления пользователями и группами: "group move" и "user move" для перемещения пользователя в организационную единицу, "user show" для показа привязанных к пользователю объектов AD;
  • Утилита для тестирования производительности 'traffic_reply' адаптирована для применения с Microsoft Windows AD, а не только с Samba AD;
  • При выполнении операции 'samba-tool domain demote' по умолчанию и в режиме '--remove-other-dead-server' теперь осуществляется чистка записей в DNS. Дополнительно для автоматической чистки записей в DNS можно использовать команду 'samba-tool dns cleanup';
  • Значительно увеличена производительность работы команды 'samba-tool ntacl sysvolreset';
  • Обеспечено тестирование Samba с использованием системы непрерывной интеграции на базе GitLab;
  • Добавлена поддержка очистки записей, динамически заведённых в DNS, после определённого времени их неактивности. Режим чистки включается в smb.conf при помощи директивы "dns zone scavenging = yes";
  • Улучшена поддержка доверенных доменов и лесов (Trusted Domain и Trusted Forest). Поддержка внешних доверенных доменов и переходных доверенных лесов для аутентификации Kerberos и NTLM теперь поддерживается в обоих направлениях (inbound и outbound). Добавлена возможность добавления пользователей и групп из доверенных доменов в группы доменов. Обеспечено автоматическое создание объектов foreignSecurityPrincipal (FPO), когда в группу добавляются члены доверенных доменов и лесов. В команде 'samba-tool group *members' теперь допустимо указывать внешние SID-идентификаторы членов групп;
  • Полностью переработана конфигурация CTDB. Опции фонового процесса и утилит теперь задаются в новом файле конфигурации ctdb.conf. Настройки, определяющие параметры запуска, задаются в специфичных для дистрибутивов файла конфигурации (см. man ctdb.sysconfig). Параметры для тюнинга загружаются из файла ctdb.tunables (указание CTDB_SET_TunableVariable=value в основной конфигурации больше не поддерживается). Удалены или изменены многие опции ctdbd, настройки ctdbd.conf и скрипты обработки событий.

Скрипты обработки событий перемещены в каталог scripts/legacy, а скрипты вывода уведомлений в каталог scripts/notification. Все скрипты должны поставляться с расширением ".script". Скрипты обработки событий больше не настраиваются в общем конфигурационном файле, а указываются индивидуально для каждого скрипта (например, для скрипта 50.samba создаётся файл конфигурации 50.samba.options, а для общих настроек используется файл script.options).

  • Команда 'samba_gpoupdate' переименована в 'samba_gpupdate', а синтаксис её вызова приближен к аналогичной утилите для Windows.

Источники[править]


Creative Commons
Creative Commons
Эта статья содержит материалы из статьи «Выпуск Samba 4.9.0», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.