|
История изменений
|
|
Дата выпуска
|
Версия
|
Примечания
|
|
23 сентября 2003
|
3.0.0
|
Важное обновление. Начиная с этой версии, Samba предоставляет службы файлов и печати для различных клиентов
Microsoft Windows
и может интегрироваться с операционной системой
Windows Server
либо как основной
контроллер домена
(
(англ.)
(
, PDC), либо как член домена. Она также может быть частью домена
Active Directory
. Официально поддержка версии 3.0 прекращена 5 августа 2009 года. Последнее обновление этой версии 3.0.37 выпущено 1 октября 2009 года добровольцами.
|
|
1 июля 2008
|
3.2.0
|
-
Переход на лицензию
GPLv3
;
-
Поддержка
IPv6
и шифрования SMB трафика в сервере, клиентских утилитах и библиотеках;
-
Поддержка аутентификации клиентов
Windows Vista
через
Kerberos
.
-
Новая клиентская Winbind библиотека (libwbclient.so), распространяемая под лицензией
LGPL
;
-
Возможность хранения альтернативных данных в xattrs атрибутах файлов;
-
Новая NetApi библиотека (libnetapi.so) для выполнения запросов, связанных с входом в домен. Также создан пример простого графического интерфейса на
GTK+
для подключения к домену;
-
Новая клиентская и серверная поддержка удаленного входа в домен и выхода из него.
-
Поддержка присоединения к Windows 2008 доменам.
-
В целях повышения безопасности, изменены значения по умолчанию для около десятка параметров конфигурации, связанных с аутентификацией.
-
Снято ограничение на размер пути в 1024 байт и размер имени файла в 256 байт, теперь используются верхние ограничения операционной системы.
-
Улучшена поддержка Unix расширений
протокола CIFS
;
-
Экспериментальная поддержка организации кластеров файловых серверов.
-
Бэкенд для хранения конфигурации в «registry» в дополнение к smb.conf;
-
Из поставки удалены «Python bindings» и библиотека libmsrpc;
-
Значительные улучшения в Winbind и
Active Directory
реализации (Windows 2003 cross-forest, transitive trusts, one-way domain trusts, userPrincipalName logons via pam_winbind and NSS, Active Directory LDAP Signing policy).
-
Добавлен бэкенд libsmbconf для манипуляций с конфигурацией в текстовом представлении;
-
Реализована команда «net registry», для локального доступа к реестру;
-
Появилась поддержка асинхронных SMB запросов;
-
Размер буфера по умолчанию установлен в 512 КБ;
-
В библиотеку libwbclient добавлено много новых функций.
|
|
27 января 2009
|
3.3
|
-
Расширенная поддержка
кластеризации
(Extended Cluster);
-
Обновлена версия tdbsam бэкенда для хранения базы пользователей (сопоставления Windows и Unix аккаунтов);
-
Каталог с библиотеками разбит на два каталог — библиотеки и модули;
-
В поставку включены новые экспериментальные
VFS
модули «vfs_acl_xattr» и «vfs_acl_tdb», предназначенные для сохранения NTFS
ACL
атрибутов на файловых серверах Samba;
-
В библиотеке NetApi созданы функции для управления пользовательскими и групповыми аккаунтами.
|
|
3 июля 2009
|
3.4
|
-
В качестве passdb-бэкенда по умолчанию для хранения паролей отныне используется «tdbsam», который поддерживает установку индивидуальных настроек для каждого пользователя.
-
Создание смешанной сборки, в которую включены исходные тексты Samba4 и Samba3. Значительная часть интерфейсов Samba3 теперь используется совместно с Samba4;
-
Организовано совместное использование в Samba4 и Samba3 единой библиотеки tevent;
-
В smbd изменится метод работы с недоверительными (untrusted) именами доменов, переданных в рамках аутентификации пользователя;
-
Изменения в системе печати: различные исправления, в том числе, изменение описания принтеров для спулов принт-серверов Samba;
-
Реализация вручную поддерживаемых
DCE/RPC
сервисов (ntsvcs, svcctl, eventlog и spoolss) будет заменена на код автоматически сгенерированный при помощи PIDL;
-
Произведена очистка кода и код основных базовых интерфейсов используется, как Samba3, так и Samba4;
-
Осуществлено добавление асинхронного API.Первый выпуск с использованием кода как Samba 3, так и Samba 4
.
|
|
30 апреля 2012
|
3.4.17
|
Последний стабильный выпуск ветки Samba 3.4
.
|
|
1 марта 2010
|
3.5
|
-
Экспериментальная поддержка протокола SMB2, поддерживаемого в
Windows Vista
и
Windows 7
;
-
Обеспечена 100-наносекундная точность установки времени изменения или создания файлов (timestamp resolution). Для поддержки необходимо
ядро Linux
минимум версии 2.6.22 и
glibc
2.6;
-
Добавлена поддержка шифрования соединений при выводе на печать через
сервер CUPS
;
-
В Winbind проведен рефакторинг кода с целью реализации асинхронной обработки запросов;
-
В поставку включен новый VFS-модуль vfs_scannedonly, предназначенный для сбора информации о результатах антивирусной проверки и автоматического открытия доступа только к проверенным и не зараженным вирусами файлам.
|
|
9 августа 2011
|
3.6
|
-
Поддержка SMB2 признана полностью функциональной.
-
Добавлен новый анализатор трафика SMB Traffic Analyzer (SMBTA), поддерживающий вторую версию протокола VFS-модулей, в которой реализовано шифрование, передача нескольких аргументов и упрощенный для разбора формат.
-
Полностью переписан и подвергнут рефакторингу код обработки очередей печати (Spoolss) и реализации RAP-команд управления печатью (Remote Administration Protocol). Все связанные с печатью операции теперь выполняются через RPC-интерфейс Spoolss, что позволило в одном месте сконцентрировать код всех связанных с подсистемой печати проверок, убрав все обработчики особых ситуаций из основного кода печати.
-
Продолжена работа по внутренней реструктуризации, нацеленная на увеличение разделения внутренних подсистем, что в конечном итоге должно привести к ускорению сборки, сокращению размера исполняемых файлов и оптимизации зависимостей;
-
Добавлен бэкенд для работы с квотами на NFS-разделах в Linux. Разработка базируется на ранее созданной реализации для платформ
Solaris
и
FreeBSD
. Бэкенд позволяет samba передавать корректную информацию о наличии свободного места на импортируемых NFS-разделах, используемых для размещения samba-разделов;
-
Внутренние изменения метода работы с локальной базой пользователей в Winbind.
|
|
11 декабря 2012
|
4
|
-
Поддержка серверного окружения для обеспечения работы службы входа пользователей с использованием Active Directory, совместимого с серверами, начиная с
Windows 2000
и клиентами
XP
,
Windows 7
и
Mac OS X
. Samba 4 поддерживает полный набор операций для обеспечения входа клиентов в домен и подключения доменов. Поддерживается определение
групповых политик
(Group Policy);
-
Обеспечение работы в роли
контроллера домена
(DC — Domain Controller), включая встроенные реализации
LDAP
-сервера и центра распространения ключей
Kerberos
(KDC — Kerberos Key Distribution Center), а также сервисов входа в стиле Samba3, работающих поверх протокола
CIFS
. Реализация поддерживает генерацию корректного сертификата Kerberos PAC (Privilege Attribute Certificate) и его включение в выдаваемые билеты Kerberos;
-
Samba 4.0 поставляется с двумя отдельными реализациями файловых серверов;
-
Дополнительно в поставку входит реализация нового экспериментального файлового сервера 'NTVFS', который развивался в рамках цикла разработки Samba 4.0, и оптимизирован для соответствия требованиям контроллера домена Active Directory. Сервер NTVFS позиционируется не только для преемственности с более старыми установками контроллера домена Active Directory, но и как рабочий пример архитектуры NT-FSA, в направлении реализации которой в отдалённой перспективе движется smbd;
-
Служба DNS, являющаяся частью Active Directory, имеет две реализации: встроенный DNS-сервер, поддерживающий минимально необходимый набор функций, и дополнение BIND DLZ, реализованное в форме плагина для DNS-сервера BIND 9.8 и 9.9. Также возможно использование традиционной конфигурации BIND с использование файлов зон.;
-
Для предоставления сервиса точного времени для Windows-клиентов, обеспечивается интеграция с проектом
NTP
;
-
Предоставляется новый интерфейс для создания скриптов-дополнений на языке
Python
. Для подобных скриптов через специальный API предоставляется полный доступ ко внутренностям Samba 4;
-
Для реализации возможного набора функций используется гибкая модель разделения на взаимодействующие между собой процессы;
-
Новая гибкая архитектура для ведения баз данных (LDB);
-
Реализация базовой подсистемы обеспечения безопасности (GENSEC);
-
Свободная реализация файлового сервера с поддержкой протокола SMB2.1, основанного на наработках по созданию сервера SMB2.0, развиваемых в рамках ветки Samba 3.6. Кроме того, в состав Samba 4.0 включена начальная реализация сервера SMB3, развитие которого будет продолжено в следующих выпусках Samba 4 и в конечном итоге приведёт к созданию свободной реализации полнофункционального кластерного файлового сервера, поддерживающего протокол SMB3;
-
Интегрированный файловый сервер SMB2/SMB/CIFS с поддержкой кластеризации, построенный с использованием технологии CTDB («clustered tdb»), которая распределяет мета-данные Samba-разделов на несколько хостов в кластере, что позволяет обеспечить автоматическое восстановление в случае сбоя одного из узлов и предоставляет гибкие механизмы балансировки нагрузки;
-
Гибкие возможности кастомизации Samba при интеграции
OEM-производителями
в свои продукты.
|
|
10 октября 2013
|
4.1
|
-
Обновлённый набор клиентских утилит и библиотек с поддержкой протоколов SMB2 и
. Поддержка SMB3 работает только с серверами на базе
Windows 2012
, Windows 8 или Samba 4.x;
-
Поддержка соединений с использованием шифрованного канала связи при соединении с серверами Windows и Samba по протоколу SMB3;
-
Новая система репликации содержимого базы данных контроллера домена, отличающаяся увеличением эффективности и надёжности работы;
-
Поддержка выполнения операций копирования на стороне сервера;
-
Включение VFS-модуля для обеспечения интеграции с файловой системой
Btrfs
. Модуль позволяет дополнительно увеличить производительность операций копирования на стороне сервера при хранении данных на Btrfs-разделах, за счёт использования возможности по хранению только одной копии данных для идентичных файлов с их разделением на уровне метаданных;
-
Удаление из состава Samba административного web-интерфейса
SWAT
. В качестве мотива называется недостаточно высокое качество кода с точки зрения безопасности.
|
|
4 марта 2015
|
4.2
|
-
В VFS-модуль интеграции с файловой системой Btrfs добавлена поддержка прозрачного сжатия файлов и каталогов;
-
Добавлен новый VFS-модуль Snapper, предоставляющий средства для работы с
мгновенными снимками
состояния файловой системы для обеспечения доступа к прошлым состояниям файлов;
-
Добавлен новый VFS-модуль WORM (
Write once read many
), реализующий дополнительный слой поверх хранилища Sambа, предоставляющий клиенту возможность управления совершением операций записи для файлов и каталогов;
-
Полностью переработана концепция обеспечения работы защищённой связи Netlogon с другими контроллерами доменов;
-
Для протокола SMB2 реализована технология агрессивного локального кэширования файлов (SMB2 leases), которая позволяет существенно сократить трафик для SMB2-соединений;
-
Winbindd теперь используется по умолчанию в контроллере домена Active Directory, вместо применяемой в Samba 4.0 и 4.1 отдельной частично переработанной реализации;
-
Для защиты от атак со стороны подконтрольных злоумышленниками подставных контроллеров доменов в Winbind теперь поддерживается установка только защищённых соединений;
-
В основное дерево исходных текстов Samba интегрирован компонент CTDB («clustered tdb»), предназначенный для обеспечения работы кластерных конфигураций;
-
В контроллер домена Active Directory добавлена функция блокировки подбора паролей. В случае обнаружения многократных неудачных попыток входа система может автоматически блокировать аккаунт на определённый промежуток времени. Поведение при смене пароля приведено в соответствие с Windows 2003 SP1, допускающем
NTLM
-авторизацию по старому паролю в течение 60 минут с момента смены пароля;
-
Увеличен используемый по умолчанию размер сетевых буферов для протоколов SMB2 и SMB3;
-
Реализована возможность проверки заголовков DCERPC по цифровой подписи с целью защиты от осуществления
MITM
-атак.
-
Переписана внутренняя система обмена сообщениями между процессами samba;
-
Переработана утилита для навигации по реестру настроек Samba (Samba Registry Editor);
-
Добавлен модуль vfs_fruit, обеспечивающий переносимость с файловыми серверами Netatalk 3 AFP и дополнительный уровень совместимости с клиентами
OS X
.
|
|
8 сентября 2015
|
4.3
|
-
Поддержка протокола SMB 3.1.1 в клиенте и сервере. Протокол SMB 3.1.1 содержит ряд расширений, представленных в
Windows 10
и нацеленных на усиление защиты этапа согласования диалекта и возможностей протокола;
-
Поддержка одновременного использования нескольких бэкендов для ведения логов;
-
Поддержка организации поиска на SMB-разделах с использованием развиваемой компанией
Apple
локальной поисковой системы
Spotlight
. В качестве поискового движка для индексации и хранения метаданных применяется GNOME Tracker.
-
Новая подсистема FileChangeNotify, предоставляющая средства для отслеживания изменения файлов;
-
Новый код профилирования протоколов SMB1, SMB2 и SMB3, позволивший решить проблемы с производительностью и работой на системах c архитектурой
NUMA
;
-
Для Kerberos-бэкендов на основе gssapi улучшены средства выявления MITM-атак при помощи контроля неизменности заголовка DCERPC по цифровой подписи;
-
В winbindd теперь необходимо включение верификации SMB по цифровой подписи, если главный домен использует Active Directory;
-
Удалена поддержка экспериментальной библиотеки NTDB, представленной в Samba 4.0
-
Существенно улучшена поддержка доверенных доменов (Trusted Domain) и доверенных
лесов
(Trusted Forest);
-
Поддержка настройки приоритета выбора протоколов
TLS
через новую опцию «tls priority». Прекращено использование SSLv3;
-
В samba-tool обеспечена поддержка всех семи ролей
FSMO
;
-
Для улучшения
кросс-компиляции
представлен гибридный режим конфигурации сборочного процесса, позволяющий использовать результаты тестирования наличия необходимых для сборки компонентов, выполненного на целевой системе. В отличие от ранее предлагаемого подхода, стадии тестирования и записи результата выполняются в один проход с сохранением всех результатов в отдельном файле.
-
Улучшена поддержка средств по пометке пустых областей в файлах.
|
|
22 марта 2016
|
4.4
|
-
Экспериментальная поддержка многоканального расширения SMB3 (протокол SMB3 Multi-Channel), позволяющего клиентам устанавливать несколько соединений для распараллеливания передачи данных в рамках одного SMB-сеанса;
-
Поддержка асинхронной обработки flush-запросов от клиентов SMB2/3, которые более не блокируют обработку других запросов;
-
Переписан модуль
WINS
nsswitch. Упрощён код и решены проблемы с потреблением памяти;
-
В состав включен новый модуль vfs_offline для установки для всех файлов DOS-атрибута «offline».
|
|
7 сентября 2016
|
4.5
|
-
С целью усиления безопасности и блокирования возможных MITM-атак по умолчанию отключена аутентификация с использованием NTLMv1;
-
В LDAP-сервер добавлена поддержка управляющего кода LDAP_SERVER_NOTIFICATION_OID, которая позволяет организовать мониторинг изменений в БД Active Directory;
-
Samba KCC задействован по умолчанию в качестве координатора согласованности данных в Active Directory. KCC настраивает соединения для сокращения задержек при репликации и использования оптимальных маршрутов, позволяя обойтись без создания каналов репликации между каждым контроллером домена. Применение KCC позволяет значительно улучшить работу больших доменов в плане сокращения трафика репликации и затрат времени на выполнение DRS-репликации;
-
Поддержка механизма VLV (Virtual List View), позволяющего приложениям формировать выборочные срезы данных из каталога LDAP, без предварительной загрузки полного содержимого каталога;
-
Значительно увеличена эффективность DRS-репликации при обработке связанных атрибутов в больших доменах, включающих более тысячи членов группы. Также заметно увеличилась надёжность репликации при обновлении схемы хранения или переименования древовидных структур, например, при переименовании подразделения организации с большим числом пользователей;
-
Внесена большая порция оптимизаций производительности в код работы с LDAP в реализации контроллера домена Active Directory;
-
Включена по умолчанию технология агрессивного локального кэширования файлов (SMB2 leases), которая позволяет существенно сократить трафик для соединений по SMB 2.1 и более новым выпускам протокола.
-
В файловом сервере вместо POSIX-блокировок задействованы OFD-блокировки (Open File Description) на системах с поддержкой OFD (пока только Linux). OFD позволяет выставлять блокировки на отдельные блоки данных в файле, что значительно увеличивает эффективность в случае если на один и тот же файл выставляется несколько блокировок.
|
|
7 марта 2017
|
4.6
|
-
Добавлена возможность настройки типа шифрования для клиента Kerberos;
-
Появилась поддержка загрузки драйверов принтеров для клиентов на базе Windows 10. Сервером печати Samba в качестве операционной системы по умолчанию выдаётся
Windows Server 2003 R2 SP2
;
-
В smb.conf расширены возможности параметра «inherit owner», управляющего функцией smbd, которая выставляет владельцем файлов владельца родительского каталоге, в котором эти файлы размещены;
-
Возможность использования в сервере Netlogon нескольких процессов-обработчиков, обеспечивающих должное масштабирование на многоядерных системах;
-
Добавлена опция «rpc server port», позволяющая переопределить сетевой порт для RPC-сервисов, отличных от Netlogon;
-
Увеличена производительность репликации DRSUAPI и LDAP-операций c базой LDB, хранящей дерево каталогов Active Directory. Особенно заметно возросла скорость обработки большого числа объектов и связанных атрибутов. Например, операции поиска в LDB по непроиндексированным данным теперь выполняются на 20 % быстрее.
|
|
21 сентября 2017
|
4.7
|
-
Стабилизированы средства для создания контроллеров домена, работающих в режиме только для чтения (RODC, Read-Only Domain Controller). В Samba 4.7.0 проведена работа по устранению критических ошибок и проблем с совместимостью, что позволило перевести режим в разряд рекомендованных к использованию;
-
После четырёх лет разработки в Samba реализована поддержка компиляции и запуска Active Directory с MIT Kerberos (вместо Heimdal Kerberos);
-
Добавлены средства для аудита механизмов аутентификации и авторизации, позволяющие сохранять в логе детальную информацию о входах пользователей, включая IP-адрес клиента, имя пользователя, тип операции и сопутствующие параметры;
-
LDAP-сервер для контроллера домена Active Directory переведён на многопроцессную модель работы и теперь может одновременно запускать несколько процессов-обработчиков;
-
Обеспечено применение полной блокировки всей БД LDB на чтение для обеспечения согласованности данных при выполнении операций поиска в LDAP и репликации (в прошлых выпуска применялась блокировка на уровне записей, что могло приводить к состоянию гонки при переименовании или удалении и сбоям при репликации и поиске);
-
Изменён диапазон сетевых портов, используемых в сервисах RPC;
-
Добавлена возможность хеширования паролей при помощи алгоритмов SHA-256 и SHA-512 вместо применения обратимого шифрования в атрибуте supplementalCredentials;
-
Существенно увеличена производительность поиска в Active Directory и репликации информации о членах группы. Ускорение обеспечено за счёт сохранения в БД отсортированных атрибутов, привязанных к членам группы, на разбор которых раньше тратилось много ресурсов CPU. В итоге, операции поиска существующих членов группы теперь выполняются в два раза быстрее, чем в прошлых выпусках Samba;
-
При генерации самоподписанных сертификатов для LDAPS теперь применяется алгоритм
SHA256
вместо
SHA1
;
-
При сборке на системах x86_64 реализована поддержка процессорных
инструкций AES
для ускорения шифрования и создания цифровых подписей в SMB3.
|
|
14 марта 2018
|
4.8
|
-
В sam.ldb реализован новый режим индексации данных GUID, который позволяет добиться более высокой производительности БД для AD DC (Active Directory Domain Controller) по сравнению с ранее применявшимся режимом индексации, оптимизированным для DN;
-
В kdc добавлена поддержка групповых политик (Group Policy), через которые можно задавать правила для паролей (ограничение времени жизни, минимальный размер, уровень сложности) и kerberos (время жизни и время обновления тикета);
-
Добавлен модуль vfs_fruit, предоставляющий возможность применения Samba в качестве целевого хранилища для системы Time Machine от Apple, и автоматически анонсирующий хранилище через протокол
Avahi
;
-
Реализована возможность автоматического приведения NETBIOS-имён, получаемых через
MDNS
, в нижний регистр для их использования в качестве имени хоста;
-
Атрибуты, содержащие конфиденциальные сведения, теперь по умолчанию сохраняются на диске в зашифрованном виде;
-
Существенно сокращена зависимость процессов winbindd от глобального списка доверительных доменов;
-
Существенно улучшена поддержка доверенных доменов (Trusted Domain) и доверенных лесов (Trusted Forest);
-
Добавлен VFS-модуль VirusFilter, позволяющий наладить автоматическую проверку и блокировку вирусов в файлах, находящихся в хранилище Samba. В модуле обеспечена интеграция с антивирусными пакетами Sophos,
F-Secure
и
ClamAV
.
|
ashanti
