История изменений
|
Дата выпуска
|
Версия
|
Примечания
|
23 сентября 2003[5] |
3.0.0 |
Важное обновление. Начиная с этой версии, Samba предоставляет службы файлов и печати для различных клиентов Microsoft Windows и может интегрироваться с операционной системой Windows Server либо как основной контроллер домена (Primary Domain Controller[англ.], PDC), либо как член домена. Она также может быть частью домена Active Directory. Официально поддержка версии 3.0 прекращена 5 августа 2009 года. Последнее обновление этой версии 3.0.37 выпущено 1 октября 2009 года добровольцами.
|
1 июля 2008[6] |
3.2.0[7] |
- Переход на лицензию GPLv3;
- Поддержка IPv6 и шифрования SMB трафика в сервере, клиентских утилитах и библиотеках;
- Поддержка аутентификации клиентов Windows Vista через Kerberos.
- Новая клиентская Winbind библиотека (libwbclient.so), распространяемая под лицензией LGPL;
- Возможность хранения альтернативных данных в xattrs атрибутах файлов;
- Новая NetApi библиотека (libnetapi.so) для выполнения запросов, связанных с входом в домен. Также создан пример простого графического интерфейса на GTK+ для подключения к домену;
- Новая клиентская и серверная поддержка удаленного входа в домен и выхода из него.
- Поддержка присоединения к Windows 2008 доменам.
- В целях повышения безопасности, изменены значения по умолчанию для около десятка параметров конфигурации, связанных с аутентификацией.
- Снято ограничение на размер пути в 1024 байт и размер имени файла в 256 байт, теперь используются верхние ограничения операционной системы.
- Улучшена поддержка Unix расширений протокола CIFS;
- Экспериментальная поддержка организации кластеров файловых серверов.
- Бэкенд для хранения конфигурации в «registry» в дополнение к smb.conf;
- Из поставки удалены «Python bindings» и библиотека libmsrpc;
- Значительные улучшения в Winbind и Active Directory реализации (Windows 2003 cross-forest, transitive trusts, one-way domain trusts, userPrincipalName logons via pam_winbind and NSS, Active Directory LDAP Signing policy).
- Добавлен бэкенд libsmbconf для манипуляций с конфигурацией в текстовом представлении;
- Реализована команда «net registry», для локального доступа к реестру;
- Появилась поддержка асинхронных SMB запросов;
- Размер буфера по умолчанию установлен в 512 КБ;
- В библиотеку libwbclient добавлено много новых функций.
|
27 января 2009[8] |
3.3[9] |
- Расширенная поддержка кластеризации (Extended Cluster);
- Обновлена версия tdbsam бэкенда для хранения базы пользователей (сопоставления Windows и Unix аккаунтов);
- Каталог с библиотеками разбит на два каталог — библиотеки и модули;
- В поставку включены новые экспериментальные VFS модули «vfs_acl_xattr» и «vfs_acl_tdb», предназначенные для сохранения NTFS ACL атрибутов на файловых серверах Samba;
- В библиотеке NetApi созданы функции для управления пользовательскими и групповыми аккаунтами.
|
3 июля 2009[10] |
3.4[11] |
- В качестве passdb-бэкенда по умолчанию для хранения паролей отныне используется «tdbsam», который поддерживает установку индивидуальных настроек для каждого пользователя.
- Создание смешанной сборки, в которую включены исходные тексты Samba4 и Samba3. Значительная часть интерфейсов Samba3 теперь используется совместно с Samba4;
- Организовано совместное использование в Samba4 и Samba3 единой библиотеки tevent;
- В smbd изменится метод работы с недоверительными (untrusted) именами доменов, переданных в рамках аутентификации пользователя;
- Изменения в системе печати: различные исправления, в том числе, изменение описания принтеров для спулов принт-серверов Samba;
- Реализация вручную поддерживаемых DCE/RPC сервисов (ntsvcs, svcctl, eventlog и spoolss) будет заменена на код автоматически сгенерированный при помощи PIDL;
- Произведена очистка кода и код основных базовых интерфейсов используется, как Samba3, так и Samba4;
- Осуществлено добавление асинхронного API.Первый выпуск с использованием кода как Samba 3, так и Samba 4[12].
|
30 апреля 2012[13] |
3.4.17 |
Последний стабильный выпуск ветки Samba 3.4[14].
|
1 марта 2010[15] |
3.5[16] |
- Экспериментальная поддержка протокола SMB2, поддерживаемого в Windows Vista и Windows 7;
- Обеспечена 100-наносекундная точность установки времени изменения или создания файлов (timestamp resolution). Для поддержки необходимо ядро Linux минимум версии 2.6.22 и glibc 2.6;
- Добавлена поддержка шифрования соединений при выводе на печать через сервер CUPS;
- В Winbind проведен рефакторинг кода с целью реализации асинхронной обработки запросов;
- В поставку включен новый VFS-модуль vfs_scannedonly, предназначенный для сбора информации о результатах антивирусной проверки и автоматического открытия доступа только к проверенным и не зараженным вирусами файлам.
|
9 августа 2011[17] |
3.6[18] |
- Поддержка SMB2 признана полностью функциональной.
- Добавлен новый анализатор трафика SMB Traffic Analyzer (SMBTA), поддерживающий вторую версию протокола VFS-модулей, в которой реализовано шифрование, передача нескольких аргументов и упрощенный для разбора формат.
- Полностью переписан и подвергнут рефакторингу код обработки очередей печати (Spoolss) и реализации RAP-команд управления печатью (Remote Administration Protocol). Все связанные с печатью операции теперь выполняются через RPC-интерфейс Spoolss, что позволило в одном месте сконцентрировать код всех связанных с подсистемой печати проверок, убрав все обработчики особых ситуаций из основного кода печати.
- Продолжена работа по внутренней реструктуризации, нацеленная на увеличение разделения внутренних подсистем, что в конечном итоге должно привести к ускорению сборки, сокращению размера исполняемых файлов и оптимизации зависимостей;
- Добавлен бэкенд для работы с квотами на NFS-разделах в Linux. Разработка базируется на ранее созданной реализации для платформ Solaris и FreeBSD. Бэкенд позволяет samba передавать корректную информацию о наличии свободного места на импортируемых NFS-разделах, используемых для размещения samba-разделов;
- Внутренние изменения метода работы с локальной базой пользователей в Winbind.
|
11 декабря 2012[19] |
4[20] |
- Поддержка серверного окружения для обеспечения работы службы входа пользователей с использованием Active Directory, совместимого с серверами, начиная с Windows 2000 и клиентами XP, Windows 7 и Mac OS X. Samba 4 поддерживает полный набор операций для обеспечения входа клиентов в домен и подключения доменов. Поддерживается определение групповых политик (Group Policy);
- Обеспечение работы в роли контроллера домена (DC — Domain Controller), включая встроенные реализации LDAP-сервера и центра распространения ключей Kerberos (KDC — Kerberos Key Distribution Center), а также сервисов входа в стиле Samba3, работающих поверх протокола CIFS. Реализация поддерживает генерацию корректного сертификата Kerberos PAC (Privilege Attribute Certificate) и его включение в выдаваемые билеты Kerberos;
- Samba 4.0 поставляется с двумя отдельными реализациями файловых серверов;
- Дополнительно в поставку входит реализация нового экспериментального файлового сервера 'NTVFS', который развивался в рамках цикла разработки Samba 4.0, и оптимизирован для соответствия требованиям контроллера домена Active Directory. Сервер NTVFS позиционируется не только для преемственности с более старыми установками контроллера домена Active Directory, но и как рабочий пример архитектуры NT-FSA, в направлении реализации которой в отдалённой перспективе движется smbd;
- Служба DNS, являющаяся частью Active Directory, имеет две реализации: встроенный DNS-сервер, поддерживающий минимально необходимый набор функций, и дополнение BIND DLZ, реализованное в форме плагина для DNS-сервера BIND 9.8 и 9.9. Также возможно использование традиционной конфигурации BIND с использование файлов зон.;
- Для предоставления сервиса точного времени для Windows-клиентов, обеспечивается интеграция с проектом NTP;
- Предоставляется новый интерфейс для создания скриптов-дополнений на языке Python. Для подобных скриптов через специальный API предоставляется полный доступ ко внутренностям Samba 4;
- Для реализации возможного набора функций используется гибкая модель разделения на взаимодействующие между собой процессы;
- Новая гибкая архитектура для ведения баз данных (LDB);
- Реализация базовой подсистемы обеспечения безопасности (GENSEC);
- Свободная реализация файлового сервера с поддержкой протокола SMB2.1, основанного на наработках по созданию сервера SMB2.0, развиваемых в рамках ветки Samba 3.6. Кроме того, в состав Samba 4.0 включена начальная реализация сервера SMB3, развитие которого будет продолжено в следующих выпусках Samba 4 и в конечном итоге приведёт к созданию свободной реализации полнофункционального кластерного файлового сервера, поддерживающего протокол SMB3;
- Интегрированный файловый сервер SMB2/SMB/CIFS с поддержкой кластеризации, построенный с использованием технологии CTDB («clustered tdb»), которая распределяет мета-данные Samba-разделов на несколько хостов в кластере, что позволяет обеспечить автоматическое восстановление в случае сбоя одного из узлов и предоставляет гибкие механизмы балансировки нагрузки;
- Гибкие возможности кастомизации Samba при интеграции OEM-производителями в свои продукты.
|
10 октября 2013[21] |
4.1[22] |
- Обновлённый набор клиентских утилит и библиотек с поддержкой протоколов SMB2 и SMB3. Поддержка SMB3 работает только с серверами на базе Windows 2012, Windows 8 или Samba 4.x;
- Поддержка соединений с использованием шифрованного канала связи при соединении с серверами Windows и Samba по протоколу SMB3;
- Новая система репликации содержимого базы данных контроллера домена, отличающаяся увеличением эффективности и надёжности работы;
- Поддержка выполнения операций копирования на стороне сервера;
- Включение VFS-модуля для обеспечения интеграции с файловой системой Btrfs. Модуль позволяет дополнительно увеличить производительность операций копирования на стороне сервера при хранении данных на Btrfs-разделах, за счёт использования возможности по хранению только одной копии данных для идентичных файлов с их разделением на уровне метаданных;
- Удаление из состава Samba административного web-интерфейса SWAT. В качестве мотива называется недостаточно высокое качество кода с точки зрения безопасности.
|
4 марта 2015[23] |
4.2[24] |
- В VFS-модуль интеграции с файловой системой Btrfs добавлена поддержка прозрачного сжатия файлов и каталогов;
- Добавлен новый VFS-модуль Snapper, предоставляющий средства для работы с мгновенными снимками состояния файловой системы для обеспечения доступа к прошлым состояниям файлов;
- Добавлен новый VFS-модуль WORM (Write once read many), реализующий дополнительный слой поверх хранилища Sambа, предоставляющий клиенту возможность управления совершением операций записи для файлов и каталогов;
- Полностью переработана концепция обеспечения работы защищённой связи Netlogon с другими контроллерами доменов;
- Для протокола SMB2 реализована технология агрессивного локального кэширования файлов (SMB2 leases), которая позволяет существенно сократить трафик для SMB2-соединений;
- Winbindd теперь используется по умолчанию в контроллере домена Active Directory, вместо применяемой в Samba 4.0 и 4.1 отдельной частично переработанной реализации;
- Для защиты от атак со стороны подконтрольных злоумышленниками подставных контроллеров доменов в Winbind теперь поддерживается установка только защищённых соединений;
- В основное дерево исходных текстов Samba интегрирован компонент CTDB («clustered tdb»), предназначенный для обеспечения работы кластерных конфигураций;
- В контроллер домена Active Directory добавлена функция блокировки подбора паролей. В случае обнаружения многократных неудачных попыток входа система может автоматически блокировать аккаунт на определённый промежуток времени. Поведение при смене пароля приведено в соответствие с Windows 2003 SP1, допускающем NTLM-авторизацию по старому паролю в течение 60 минут с момента смены пароля;
- Увеличен используемый по умолчанию размер сетевых буферов для протоколов SMB2 и SMB3;
- Реализована возможность проверки заголовков DCERPC по цифровой подписи с целью защиты от осуществления MITM-атак.
- Переписана внутренняя система обмена сообщениями между процессами samba;
- Переработана утилита для навигации по реестру настроек Samba (Samba Registry Editor);
- Добавлен модуль vfs_fruit, обеспечивающий переносимость с файловыми серверами Netatalk 3 AFP и дополнительный уровень совместимости с клиентами OS X.
|
8 сентября 2015[25] |
4.3[26] |
- Поддержка протокола SMB 3.1.1 в клиенте и сервере. Протокол SMB 3.1.1 содержит ряд расширений, представленных в Windows 10 и нацеленных на усиление защиты этапа согласования диалекта и возможностей протокола;
- Поддержка одновременного использования нескольких бэкендов для ведения логов;
- Поддержка организации поиска на SMB-разделах с использованием развиваемой компанией Apple локальной поисковой системы Spotlight. В качестве поискового движка для индексации и хранения метаданных применяется GNOME Tracker.
- Новая подсистема FileChangeNotify, предоставляющая средства для отслеживания изменения файлов;
- Новый код профилирования протоколов SMB1, SMB2 и SMB3, позволивший решить проблемы с производительностью и работой на системах c архитектурой NUMA;
- Для Kerberos-бэкендов на основе gssapi улучшены средства выявления MITM-атак при помощи контроля неизменности заголовка DCERPC по цифровой подписи;
- В winbindd теперь необходимо включение верификации SMB по цифровой подписи, если главный домен использует Active Directory;
- Удалена поддержка экспериментальной библиотеки NTDB, представленной в Samba 4.0
- Существенно улучшена поддержка доверенных доменов (Trusted Domain) и доверенных лесов (Trusted Forest);
- Поддержка настройки приоритета выбора протоколов TLS через новую опцию «tls priority». Прекращено использование SSLv3;
- В samba-tool обеспечена поддержка всех семи ролей FSMO;
- Для улучшения кросс-компиляции представлен гибридный режим конфигурации сборочного процесса, позволяющий использовать результаты тестирования наличия необходимых для сборки компонентов, выполненного на целевой системе. В отличие от ранее предлагаемого подхода, стадии тестирования и записи результата выполняются в один проход с сохранением всех результатов в отдельном файле.
- Улучшена поддержка средств по пометке пустых областей в файлах.
|
22 марта 2016[27] |
4.4[28] |
- Экспериментальная поддержка многоканального расширения SMB3 (протокол SMB3 Multi-Channel), позволяющего клиентам устанавливать несколько соединений для распараллеливания передачи данных в рамках одного SMB-сеанса;
- Поддержка асинхронной обработки flush-запросов от клиентов SMB2/3, которые более не блокируют обработку других запросов;
- Переписан модуль WINS nsswitch. Упрощён код и решены проблемы с потреблением памяти;
- В состав включен новый модуль vfs_offline для установки для всех файлов DOS-атрибута «offline».
|
7 сентября 2016[29]
|
4.5[30] |
- С целью усиления безопасности и блокирования возможных MITM-атак по умолчанию отключена аутентификация с использованием NTLMv1;
- В LDAP-сервер добавлена поддержка управляющего кода LDAP_SERVER_NOTIFICATION_OID, которая позволяет организовать мониторинг изменений в БД Active Directory;
- Samba KCC задействован по умолчанию в качестве координатора согласованности данных в Active Directory. KCC настраивает соединения для сокращения задержек при репликации и использования оптимальных маршрутов, позволяя обойтись без создания каналов репликации между каждым контроллером домена. Применение KCC позволяет значительно улучшить работу больших доменов в плане сокращения трафика репликации и затрат времени на выполнение DRS-репликации;
- Поддержка механизма VLV (Virtual List View), позволяющего приложениям формировать выборочные срезы данных из каталога LDAP, без предварительной загрузки полного содержимого каталога;
- Значительно увеличена эффективность DRS-репликации при обработке связанных атрибутов в больших доменах, включающих более тысячи членов группы. Также заметно увеличилась надёжность репликации при обновлении схемы хранения или переименования древовидных структур, например, при переименовании подразделения организации с большим числом пользователей;
- Внесена большая порция оптимизаций производительности в код работы с LDAP в реализации контроллера домена Active Directory;
- Включена по умолчанию технология агрессивного локального кэширования файлов (SMB2 leases), которая позволяет существенно сократить трафик для соединений по SMB 2.1 и более новым выпускам протокола.
- В файловом сервере вместо POSIX-блокировок задействованы OFD-блокировки (Open File Description) на системах с поддержкой OFD (пока только Linux). OFD позволяет выставлять блокировки на отдельные блоки данных в файле, что значительно увеличивает эффективность в случае если на один и тот же файл выставляется несколько блокировок.
|
7 марта 2017[31]
|
4.6[32] |
- Добавлена возможность настройки типа шифрования для клиента Kerberos;
- Появилась поддержка загрузки драйверов принтеров для клиентов на базе Windows 10. Сервером печати Samba в качестве операционной системы по умолчанию выдаётся Windows Server 2003 R2 SP2;
- В smb.conf расширены возможности параметра «inherit owner», управляющего функцией smbd, которая выставляет владельцем файлов владельца родительского каталоге, в котором эти файлы размещены;
- Возможность использования в сервере Netlogon нескольких процессов-обработчиков, обеспечивающих должное масштабирование на многоядерных системах;
- Добавлена опция «rpc server port», позволяющая переопределить сетевой порт для RPC-сервисов, отличных от Netlogon;
- Увеличена производительность репликации DRSUAPI и LDAP-операций c базой LDB, хранящей дерево каталогов Active Directory. Особенно заметно возросла скорость обработки большого числа объектов и связанных атрибутов. Например, операции поиска в LDB по непроиндексированным данным теперь выполняются на 20 % быстрее.
|
21 сентября 2017[33]
|
4.7[34] |
- Стабилизированы средства для создания контроллеров домена, работающих в режиме только для чтения (RODC, Read-Only Domain Controller). В Samba 4.7.0 проведена работа по устранению критических ошибок и проблем с совместимостью, что позволило перевести режим в разряд рекомендованных к использованию;
- После четырёх лет разработки в Samba реализована поддержка компиляции и запуска Active Directory с MIT Kerberos (вместо Heimdal Kerberos);
- Добавлены средства для аудита механизмов аутентификации и авторизации, позволяющие сохранять в логе детальную информацию о входах пользователей, включая IP-адрес клиента, имя пользователя, тип операции и сопутствующие параметры;
- LDAP-сервер для контроллера домена Active Directory переведён на многопроцессную модель работы и теперь может одновременно запускать несколько процессов-обработчиков;
- Обеспечено применение полной блокировки всей БД LDB на чтение для обеспечения согласованности данных при выполнении операций поиска в LDAP и репликации (в прошлых выпуска применялась блокировка на уровне записей, что могло приводить к состоянию гонки при переименовании или удалении и сбоям при репликации и поиске);
- Изменён диапазон сетевых портов, используемых в сервисах RPC;
- Добавлена возможность хеширования паролей при помощи алгоритмов SHA-256 и SHA-512 вместо применения обратимого шифрования в атрибуте supplementalCredentials;
- Существенно увеличена производительность поиска в Active Directory и репликации информации о членах группы. Ускорение обеспечено за счёт сохранения в БД отсортированных атрибутов, привязанных к членам группы, на разбор которых раньше тратилось много ресурсов CPU. В итоге, операции поиска существующих членов группы теперь выполняются в два раза быстрее, чем в прошлых выпусках Samba;
- При генерации самоподписанных сертификатов для LDAPS теперь применяется алгоритм SHA256 вместо SHA1;
- При сборке на системах x86_64 реализована поддержка процессорных инструкций AES для ускорения шифрования и создания цифровых подписей в SMB3.
|
14 марта 2018[35]
|
4.8[36] |
- В sam.ldb реализован новый режим индексации данных GUID, который позволяет добиться более высокой производительности БД для AD DC (Active Directory Domain Controller) по сравнению с ранее применявшимся режимом индексации, оптимизированным для DN;
- В kdc добавлена поддержка групповых политик (Group Policy), через которые можно задавать правила для паролей (ограничение времени жизни, минимальный размер, уровень сложности) и kerberos (время жизни и время обновления тикета);
- Добавлен модуль vfs_fruit, предоставляющий возможность применения Samba в качестве целевого хранилища для системы Time Machine от Apple, и автоматически анонсирующий хранилище через протокол Avahi;
- Реализована возможность автоматического приведения NETBIOS-имён, получаемых через MDNS, в нижний регистр для их использования в качестве имени хоста;
- Атрибуты, содержащие конфиденциальные сведения, теперь по умолчанию сохраняются на диске в зашифрованном виде;
- Существенно сокращена зависимость процессов winbindd от глобального списка доверительных доменов;
- Существенно улучшена поддержка доверенных доменов (Trusted Domain) и доверенных лесов (Trusted Forest);
- Добавлен VFS-модуль VirusFilter, позволяющий наладить автоматическую проверку и блокировку вирусов в файлах, находящихся в хранилище Samba. В модуле обеспечена интеграция с антивирусными пакетами Sophos, F-Secure и ClamAV.
|