Linux Forum Казахстан

[size="3"]В Microsoft сделали первый шаг навстречу совместимости Samba с Active Directory[/size]

Эндрю Барлет (Andrew Bartlett), один из ведущих разработчиков Samba, разместил материал, рассказывающий о взаимодействии с командой разработчиков Active Directory из Microsoft. По его словам, произошло то, во что никто не верил, инженеры Microsoft выразили готовность способствовать улучшению Samba в плане совместимости с Active Directory и протоколом CIFS. На практике их энтузиазм был продемонстрирован на организованных в сентябре двух специальных встречах, на которых инженеры Microsoft ответили на задаваемые разработчиками Samba технические вопросы и представили нужную документацию на протоколы, без каких либо маркетинговых трюков или юридических проволочек.

Однако, Эндрю высказал озабоченность нехваткой человеческих ресурсов в команде Samba, поэтому приглашает в проект энтузиастов, имеющих опыт сетевого программирования. Развитием поддержки Active Directory в Samba4 в настоящее время занимаются только два активных разработчика.
http://www.opennet.r...shtml?num=18548 (http://www.opennet.ru/opennews/art.shtml?num=18548)

[size="3"]Релизы Samba 3.0.33, 3.2.5 и 3.3.0rc1 с исправлением уязвимости[/size]

В релизах Samba 3.0.33 и 3.2.5 устранена уязвимость, позволяющая злоумышленнику через отправку специальным образом оформленных "trans", "trans2" и "nttrans" запросов получить доступ к областям памяти процесса smbd.

Одновременно выпущен кандидат в релизы новой ветки Samba - 3.3.0rc1. Главные новшества ветки Samba 3.3:

 * Разбиение директории с библиотеками на две директории - библиотеки и модули;
 * Расширенная поддержка кластеризации (Extended Cluster);
 * В Winbind упрощен процесс конфигурирования IDMAP (маппинг Windows SID в UNIX UID и GID), добавлены IDMAP бэкенды "adex" и "hash", реализован новый параметр "winbind reconnect delay", появилась поддержка создания алиасов для пользователей и групп.
 * В smbcontrol реализована цель "all", охватывающая все запущенные процессы, включая nmbd и winbindd;
 * Новые команды 'net rpc vampire keytab' и 'net rpc vampire ldif'.
 * В библиотеке NetApi созданы функции для управления пользовательскими и групповыми аккаунтами.
 * В утилите 'wbinfo' добавлены функции добавления, изменения и удаления элементов IDMAP.
http://news.samba.org/releases/ (http://news.samba.org/releases/)
http://www.opennet.r...shtml?num=19117 (http://www.opennet.ru/opennews/art.shtml?num=19117)

[size="3"]Релиз Samba 3.2.7 с исправлением серьезной уязвимости[/size]

Вышел (http://news.samba.org/releases/3.2.7/) релиз Samba 3.2.7 с исправлением уязвимости (http://samba.org/samba/security/CVE-2009-0022.html). В версиях с 3.2.0 по 3.2.6, при активном режиме "registry share = yes" (по умолчанию отключен), работающем совместно с настройками "include = registry" и "config backend = registry", присутствует ошибка, позволяющая злоумышленнику получить доступ к корневой директории системы ("/") при подключении аутентифицируемого пользователя к ресурсу с пустым именем ('smbclient //server/ -U user%pass'), при использовании старой версии smbclient (до 3.0.28).

http://www.opennet.r...shtml?num=19642 (http://www.opennet.ru/opennews/art.shtml?num=19642)

[size="3"]Вышла шестая альфа версия Samba 4.0[/size]

"Samba 4 alpha6 Available for Download (http://permalink.gmane.org/gmane.network.samba.announce/160)" - вышла шестая альфа версия Samba 4.0. Некоторые новшества, внесенные с момента выпуска прошлой альфа версии:

 * Налажено совместное использование исходных текстов библиотек одновременной используемых в Samba 3 и Samba 4;
 * Начальная поддержка Microsoft LDAP схемы;
 * Работа по направлению к реализации OpenLDAP бакенда;
 * Удалена библиотека для встроенного скриптинга на языке Javascript, в пользу языка Python;
 * Основное исполняемый файл теперь называется "samba", а не "smbd";
 * LDB библиотека переведена на полностью асинхронный режим работы;

Подробный обзор ранее внесенных изменений доступен на данной странице (http://www.opennet.ru/opennews/art.shtml?num=16323).

http://www.opennet.r...shtml?num=19957 (http://www.opennet.ru/opennews/art.shtml?num=19957)

[size="3"]Вышел релиз Samba 3.3.0[/size]

Представлен первый стабильный релиз новой ветки Samba 3.3 (http://samba.org/samba/history/samba-3.3.0.html), в которой реализованы следующие новшества:

 * Расширенная поддержка кластеризации (http://abbra.livejournal.com/113563.html) (Extended Cluster);
 * Обновлена версия tdbsam бэкенда для хранения базы пользователей (сопоставления Windows и Unix аккаунтов);
 * Директория с библиотеками разбита на две директории - библиотеки и модули;
 * Для параметра конфигурации "ldap ssl" значение по умолчанию изменено на "start tls";
 * В поставку включены новые экспериментальные VFS модули "vfs_acl_xattr" и "vfs_acl_tdb", предназначенные для сохранения NTFS ACL атрибутов на файловых серверах Samba;
 * В Winbind упрощен процесс конфигурирования IDMAP (маппинг Windows SID в UNIX UID и GID), добавлены IDMAP бэкенды "adex" и "hash", реализован новый параметр "winbind reconnect delay", появилась поддержка создания алиасов для пользователей и групп, в idmap_ad добавлена возможность работы с несколькими доменами;
 * В smbcontrol реализована цель "all", охватывающая все запущенные процессы, включая nmbd и winbindd;
 * Новые команды 'net rpc vampire keytab' и 'net rpc vampire ldif'.
 * В утилите 'wbinfo' добавлены функции добавления, изменения и удаления элементов IDMAP.
 * В утилите 'net' появилась возможность использования kerberos для присоединения (join) и аутентификации;
 * В библиотеке NetApi созданы функции для управления пользовательскими и групповыми аккаунтами;
 * libsmbclient теперь может определить необходимость учета регистра символов в именах файлов на основе атрибутов файловой системы.

http://www.opennet.r...shtml?num=19970 (http://www.opennet.ru/opennews/art.shtml?num=19970)

[size="3"]Вышел релиз Samba 3.2.8[/size]

"Samba 3.2.8 Maintainance Release Available (http://news.samba.org/releases/3.2.8/)" - вышел релиз Samba 3.2.8 (http://www.samba.org/samba/history/samba-3.2.8.html), содержащий исправления накопившихся ошибок.

http://www.opennet.r...shtml?num=20105 (http://www.opennet.ru/opennews/art.shtml?num=20105)

[size="3"]Вышел релиз Samba 3.3.1 в котором исправлено более 60 ошибок[/size]

"Samba 3.3.1 Available for Download (http://news.samba.org/releases/3.3.1/)" - вышел релиз Samba 3.3.1 (http://samba.org/samba/history/samba-3.3.1.html) в котором исправлено более 60 ошибок. Например, исправлены проблемы с переименованием и удалением файлов клиентами с Windows или при наличии битых символических ссылок. Налажена работа удаленного подключения разделов через Windows MMC.

http://www.opennet.r...shtml?num=20476 (http://www.opennet.ru/opennews/art.shtml?num=20476)

[size="3"]Вышла седьмая альфа версия Samba 4.0.0[/size]

"Samba 4.0.0alpha7 (http://permalink.gmane.org/gmane.network.samba.announce/164)" - вышла седьмая альфа версия Samba 4.0.0. Некоторые новшества, внесенные с момента выпуска прошлой альфа версии:

 * Поддержка генерации для OpenLDAP бэкенда конфигурации для мульти-мастер репликации (MMR - Multi Master Replication);
 * Поддержка генерации olc-конфигурации (OpenLDAP-Online-Configuration) для OpenLDAP бэкенда;
 * Поддержка работы Windows 7-beta в домене под управлением Samba4;
 * Обновлен ряд внутренних библиотек, с целью упрощения использования приложениями не из комплекта samba4;
 * Возможность использования для обеспечения работы TLS/SSL последних версий GnuTLS.

Подробный обзор ранее внесенных изменений доступен на данной страниц (http://www.opennet.ru/opennews/art.shtml?num=16323)е.

http://www.opennet.r...shtml?num=20548 (http://www.opennet.ru/opennews/art.shtml?num=20548)

[size="3"]Вышел релиз Samba 3.2.10 и 3.3.3[/size]

Вышел (http://news.samba.org/releases/3.2.9/) релиз Samba 3.2.9 (http://www.samba.org/samba/history/samba-3.2.9.html), содержащий 69 исправлений ошибок. Например, устранены проблемы с обновлением passdb.tdb при миграции с версии 3.0.x на 3.3.x; исправлена ошибка, проявляющаяся при попытке гостевой аутентификации при запущенном Winbind и активных настройках "security = share" и "guest ok = yes"; исправлен некорректный вывод путей в tar режиме smbclient.

Спустя несколько часов вышло обновление Samba 3.2.10 (http://news.samba.org/releases/3.2.10/) с исправлением внесенной в 3.2.9 проблемы, приводящей к краху smbd.

Также выпущено (http://news.samba.org/releases/3.3.3/) обновление Samba 3.3.3 (http://samba.org/samba/history/samba-3.3.3.html) в котором отмечено 53 исправления, например: устранены проблемы с обновлением passdb.tdb при миграции с версии 3.0.x на 3.3.x; исправлена проблема с обработкой файлов с двоеточием в имени; налажена работа параметра "map readonly".

http://www.opennet.r...shtml?num=21036 (http://www.opennet.ru/opennews/art.shtml?num=21036)

[size="3"]Внеплановое обновление Samba (3.0.35, 3.2.13 и 3.3.6) с устранением уязвимости [/size]

В экстренном порядке выпущены новые релизы Samba - 3.0.35 и 3.3.6, содержащие исправление уязвимости, позволяющей обойти заданные через ACL ограничения, например, произвести запись в файл, доступный только для чтения. Уязвимость проявляется в версиях с 3.0.31 по 3.3.5, при активности опции "dos filemode".

Также выпущено обновление Samba 3.2.13, в котором кроме вышеописанной уязвимости устранена проблема безопасности (возможность подстановки параметров форматирования строки) в коде программы smbclient, при обработке в которой специально оформленного имени файла (например, "aa%3Fbb"), злоумышленник контролирующий сервер может добиться выполнения кода на стороне клиента.

http://www.opennet.r...shtml?num=22320 (http://www.opennet.ru/opennews/art.shtml?num=22320)

[size="3"]Samba 3.4.0 доступна для загрузки[/size]

Представлен первый стабильный релиз Samba ветки 3.4. Основными новшествами в данном релизе стали:

 * В качестве passdb-бэкенда по умолчанию для хранения паролей отныне используется "tdbsam", который поддерживает установку индивидуальных настроек для каждого пользователя (например, можно определить разные 'profile path' и 'home directory'). При проведении обновления необходимо использовать настройку 'passdb backend = smbpasswd' или сконвертировать базу паролей через 'pdbedit -i smbpasswd -e tdbsam'.
 * Создание смешанной сборки, в которую включены исходные тексты Samba4 и Samba3. Значительная часть интерфейсов Samba3 теперь используется совместно с Samba4; Организовано совместное использование в Samba4 и Samba3 единой библиотеки tevent;
 * В smbd изменится метод работы с недоверительными (untrusted) именами доменов, переданных в рамках аутентификации пользователя;
 * Изменения в системе печати: различные исправления, в том числе, изменение описания принтеров для спулов принт-серверов Samba;
 * Реализация вручную поддерживаемых DCE/RPC сервисов (ntsvcs, svcctl, eventlog и spoolss) будет заменена на код автоматически сгенерированный при помощи PIDL;
 * Произведена очистка кода и код основных базовых интерфейсов используется, как Samba3, так и Samba4;
 * Осуществлено добавление асинхронного API.

Кроме этого, можно выделить ряд других изменений. Так, в smb.conf включены новые параметры ("access based share enum", "dedicated keytab file", "kerberos method", "map untrusted to domain", "perfcount module"), а параметр "use kerberos keytab" удален. Появились новые субкоманды - "net eventlog" (импорт/дамп/экспорт файлов журналов в стиле win32); "net rpc service create" (создание нового сервиса); "net rpc service delete" (удаление существующего сервиса).

Добавлены новые опции конфигурации:

 * --enable-external-libtalloc (включить внешний talloc);
 * --enable-merged-build (собрать Samba4);
 * --enable-gnutls (включить поддержку gnutls);
 * --with-statedir=DIR (каталог для размещения файлов);
 * --with-cachedir=DIR (каталог для размещения временных файлов);
 * --with-ncalprcdir=DIR (каталог для размещения сокетов ncalrpc);
 * --with-selftest-shrdir=DIR (каталог, который будет использован для тестового запуска);
 * --with-selftest-custom-conf=PATH (Опциональный пользовательский smb.conf, который входит в smb.conf сервера и используется для тестирования);
 * --with-wbclient (использование внешних wbclient);
 * --with-included-popt (использовать popt библиотеку не из системы);
 * --with-libiconv=BASEDIR (использовать libiconv в BASEDIR/lib и BASEDIR/include);
 * --with-sqlite3 (включить поддержку sqlite3);
 * --with-pthreads (включить pthreads);
 * --with-setproctitle (поиск поддержки setproctitle).

http://www.opennet.r...shtml?num=22460 (http://www.opennet.ru/opennews/art.shtml?num=22460)

[size="3"]Доступен Samba 3.0.36, последний корректирующий релиз серии Samba 3.0.x[/size]

Вышел Samba 3.0.36, последний корректирующий релиз серии Samba 3.0.x, отныне поддержка данной ветки прекращается, обновления с исправлением ошибок выпускаться не будут, а пользователям рекомендуется произвести обновление до версии 3.4.0 или 3.3.7. Ветка 3.2.x находится на завершающей стадии поддержки, на которой выпускаются только критические исправления и устраняются ошибки, связанные с безопасностью. Ветка 3.3.x является наиболее стабильной, так как добавление нового кода прекращено и работа сосредоточена на исправлении ошибок. Релиз 3.4.0 формально является стабильным, но вероятно имеет смысл перед переходом дождаться хотя бы первого корректирующего выпуска 3.4.1, который должен выйти в ближайшие несколько недель.

В версии Samba 3.0.36 исправлено 19 ошибок, среди которых крах Winbind при использовании 'getent group', ошибка приводящая к повреждению содержимого файла с ACL, крах при попытке входа в домен со слишком длинным именем.

http://www.opennet.r...shtml?num=22899 (http://www.opennet.ru/opennews/art.shtml?num=22899)

[size="3"]Разработчики Samba отмечают укрепление сотрудничества с Microsoft[/size]

Разработчики проекта Samba опубликовали информационное письмо, в котором обобщили некоторые новости о ходе развития проекта. В нем сообщатся, что, впервые, член Samba Team - Крис Хертел (Chris Hertel), будет работать совместно с Microsoft по подготовке нового набора документации по протоколам SMB/CIFS. Последняя будет опубликована как составляющая открытых спецификаций протоколов Windows от Microsoft - MCPP/WSPP (The Microsoft Communications Protocol Program/The Work Group Server Protocol Program) и будет находиться в свободном доступе на сайте корпорации.

Данный набор документации по протоколам SMB/CIFS станет первым, который спонсирует Microsoft и который доступен без ограничений, а также основан на проекте спецификаций IETF от 1997 года. Первым документом, в рамках этой инициативы станет "MS-CIFS", охватывающий реализацию протокола SMB в Windows NT. На данный момент он представляет собой 500-страничный документ вводного обзора, находящийся в стадии разметки. Предположительно, последний появится в свободном доступе в течении ближайших нескольких месяцев.

Другие интересные моменты:

 * В течение последних месяцев, ведется работа по добавлению в Samba4 поддержки доменов Windows 2008;
 * Winbind был значительно переработан Фолькером Лендеке (Volker Lendecke) - появилась возможность работы в асинхронном режиме.
 * Стефан Мецмахер (Stefan Metzmacher) осуществляет добавление поддержки SMB2 в ветку Samba3.
 * Стив Френч (Steve French) и Джефф Лейтон (Jeff Layton) провели большую работу по развитию CIFS. Благодаря им в ядро Linux 2.6.31 будет включено более 50 CIFS-патчей, улучшающих производительность и стабильность работы.

http://www.opennet.r...shtml?num=22953 (http://www.opennet.ru/opennews/art.shtml?num=22953)

[size="3"]Статус развития проекта Samba: ветки Samba 3 и Samba 4 будут объединены[/size]

Разработчики проекта Samba опубликовали информационное письмо с рассказом о текущем состоянии разработки. Сообщается, что после 5 лет работы над Samba 4 код с реализацией Active Directory достиг состояния пригодного для тестового внедрения на нескольких ресурсах. Код файлового сервера уже пригоден для развертывания кластерных конфигураций, позволяющих организовать работу нагруженной файловых серверов распределенных на несколько серверов. Также в Samba близится к завершению реализация полной поддержки Windows ACL и нового варианта протокола SMB2, используемого в Windows 7.

Из наиболее интересных планов можно отметить обсуждение возможности объединения кодовой базы Samba 3 (winbindd и код файлового сервера) и Samba 4 (контроллер домена) с целью создания единого многофункционального продукта, который может выступать в роли файлового сервера, сервера печати, сервера идентификации (winbind) и контроллера домена совместимого с Active Directory.

Что касается ветки Samba 3, то в 2010 году планируется выпустить релиз Samba 3.5 с экспериментальной поддержкой SMB2 и рефакторингом кода, а шесть месяцев спустя и релиза Samba 3.6, в котором поддержка SMB2 будет доведена до готовности к промышленному внедрению. Параллельно будет вестись работа по интеграции веток Samba 3 и Samba 4, после завершения которой объединенный комплект будет представлен как релиз Samba 4, на который можно будет перейти с Samba 3 без возникновения проблем с совместимостью.

Как вариант рассматривается вопрос переименования различных компонентов Samba:

 * Часть Samba 3, выполняющая функции файлового сервера и сервера печати получит имя "Сервис файлов и печати Samba";
 * Winbindd из состава Samba 3 получит название "Идентификационный сервис Samba"
 * Samba 4 Active Directory будет распространяться как "Сервис директорий Samba".

Из других планов отмечен переход на 6-месячный цикл выпуска новых стабильных веток (major-релизов), синхронизировав разработку с развитием основных Linux дистрибутивов. В настоящее время стабильные ветки 3.4 и 3.3 находятся на стадии поддержки выпусков с исправлением ошибок, а для веток 3.2 и 3.3 обновления выходят только с исправлением серьезных проблем безопасности. Ветка 3.0 объявлена устаревшей и не поддерживается. Также утверждается, что версии Samba 3.3.x и 3.4.x успешно прошли тестирование на предмет поддержки работы в качестве контроллера домена для рабочих станций под управлением Windows 7.

http://www.opennet.r...shtml?num=24873 (http://www.opennet.ru/opennews/art.shtml?num=24873)

[size="3"]В Samba найдена серьезная уязвимость[/size]

В Samba обнаружена уязвимость, позволяющая удаленному злоумышленнику прочитать содержимое системных файлов, через созданием символической ссылки в пути которой присутствует обращение к предыдущей директории ("../"). Для успешного проведения атаки злоумышленник должен иметь доступ к допускающему создание файлов samba разделу (например, общедоступные гостевые хранилища с возможностью публикации файлов). Степень доступа, которую может получить атакующий, ограничена системой привилегий, в большинстве случаев открытие файлов производится под пользователем 'nobody'.

Эксплоит для проведения атаки уже добавлен в пакет metasploit. Разработчики samba опубликовали уведомление, в котором посоветовали в качестве временной меры установить опцию "wide links = no" в секции "[global]" файла конфигурации smb.conf, не забыв перезапустить процесс smbd.

По заявлению разработчиков samba уязвимость вызвана стечением двух штатных возможностей: настройки "wide links = yes", позволяющей администраторам файлового сервера создавать символические ссылки в область вне текущего SMB/CIFS-раздела, и активацией по умолчанию для клиентов возможности использования Unix-расширений, позволяющих среди прочего самостоятельно создавать символические ссылки. При создании символических ссылок в Unix-подобной ОС данные ссылки позиционируются относительно локальной системы клиента, но при попытке их создания в Windows, символические ссылки преобразуются относительно файловой системы сервера. В будущих выпусках samba принято решение отключить по умолчанию параметр "wide links".

http://www.opennet.r...shtml?num=25339 (http://www.opennet.ru/opennews/art.shtml?num=25339)

[size="3"]Samba 3.5.2: Корректирующий релиз [/size]

(http://media.sernet.de/images/samba.gif)

Вышел (http://news.samba.org/releases/3.5.2/) корректирующий релиз Samba 3.5.2 (http://samba.org/samba/history/samba-3.5.2.html), содержащий исправления 37 ошибок. Наиболее важные исправления:

• Устранена проблема, приводившая к краху smbd при отправке пустого имени домена клиентом;
• Устранен крах smbd при выводе сообщения "waiting for connections";
• Исправлена проблема с чтением неинициализированных переменных в smbd;
• Устранена утечка памяти в Winbind;
• Исправлена ошибка при выполнении в Winbind реконнекта к собственному домену.

opennet.ru (http://www.opennet.ru/opennews/art.shtml?num=26138)

[size="3"]Samba: Последние тенденции [/size]

Джереми Эллисон (Jeremy Allison (http://samba.org/%7Ejra/)), один из лидеров проекта Samba, опубликовал (http://google-opensource.blogspot.com/2010/06/notes-from-sambaxp-2010.html) отчет о прошедшей в мае конференции SambaXP 2010 (http://sambaxp.org/). Некоторые из наиболее интересных событий:

• Инженеры, работающие в компании Microsoft над протоколами SMB и SMB2, анонсировали новый проект "Unix Extensions for SMB2 (http://unixsmb2.org/)", в рамках которого планируется (http://unixsmb2.org/docs/UnixExtensionsForSMB2.pdf) разработать расширения к протоколу SMB2, направленные на поддержку особенностей Unix/POSIX-семантики (права доступа, атрибуты, учет регистра символов, функции работы с файлами и т.п.), обеспечение шифрования данных на уровне протокола, увеличение безопасности и подготовку средств для упрощения миграции с SMB на SMB2. Также в рамках проекта планируется подготовить и опубликовать в 2011 году спецификации на протокол SMB2, независимые от внутренней документации Microsoft (MS-SMB2);

• Создатель проекта Samba, Эндрю Триджелл (Andrew Tridgell), отметил прогресс в разработке проекта Samba4 (контроллер домена) продемонстрировал в работе двухстороннюю репликацию данных между доменом Microsoft Active Directory и доменом Samba, показав таким образом наглядно, что проект Samba4 уже очень близок к первому стабильному релизу, который возможно будет объявлен на следующей конференции SambaXP 2011;

• После консультации с OEM-производителями и разработчиками Linux-дистрибутивов команда Samba Team приняла решение перейти от 6-месячного (http://www.opennet.ru/opennews/art.shtml?num=15608) к 9-месячному циклу подготовки релизов, содержащих значительные изменения. Выпуск новой ветки раз в 9 месяцев по мнению разработчиков обеспечит оптимальный баланс между затратами времени на разработку новшеств и стабилизацию и тестирование нового кода;

• Воплощены в жизнь планы (http://www.opennet.ru/opennews/art.shtml?num=24873) по объединению кодовых баз Samba 3 (winbindd и код файлового сервера) и Samba 4 (контроллер домена) с целью создания единого многофункционального продукта, который может выступать в роли файлового сервера, сервера печати, сервера идентификации (winbind) и контроллера домена совместимого с Active Directory. На выставке впервые был продемонстрирован сервер печати на базе Samba4;

• Спустя пару недель после конференции четыре ведущих разработчика Samba посетили Microsoft с целью обсуждения тонкостей реализации протокола SMB2. Одновременно реализация SMB2 в Samba была протестирована тестовым комплектом Microsoft. В код Samba добавлена поддержка Kerberos, устранены проблемы с блокировками и oplock-ами, что ознаменовало завершение работы над реализацией в Samba всех функций SMB2 и готовность тестирования основанных на Samba SMB2-совместимых продуктов. Экспериментальный статус с кода SMB2 будет убран начиная с релиза Samba 3.6.0, но по договоренности с разработчиками Linux-дистрибутивов SMB2 пока не будет включен по умолчанию;

• На конференции была продемонстрирована статистика с данными о динамике развития проекта. Как оказалось Samba один из самых интенсивно развиваемых проектов, по темпу внесения изменений опережающий даже Linux-ядро;

• Гюнтер Дешнер (Günther Deschner) из компании Red Hat отмечен премией "Чистильщик кода года" (Code Janitor of the Year) за его значительный вклад в приведение в порядок старого кода, связанного с функциями печати. За наибольшее число коммитов в проект отмечен Стефан Метцмахер (Stefan Metzmacher);

• На сайте samba.org (http://samba.org/) полностью изменен дизайн, добавлен новый логотип, значительно расширен раздел документации и технической поддержки;

• Слайды и презентации с конференции опубликованы (http://sambaxp.org/index.php?id=156) на сайте SambaXP 2010.

Цитата: Радость от 16 Июня 2010, 08:31[size="3"] Samba: Последние тенденции[/size]

как все оптимистично...

[size="3"]Samba 2.5.4 [/size]

Вышел (http://news.samba.org/releases/3.5.4/) корректирующий релиз Samba 2.5.4 (http://samba.org/samba/history/samba-3.5.4.html), в котором исправлено 18 ошибок. В частности устранена проблема, приводящая к краху smbd при отсутствии sambaLMPassword и sambaNTPassword в параметрах, полученных из LDAP-каталога. Также решена недоработка, связанная с некорректной организацией sid2uid-кеширования групп при вызове init_sam_from_ldap.

[size="3"]Samba Directory Server - релиз планируется в мае 2011 года[/size]

Вечером 27 января в 19:09 по UTC-07 в списке рассылки samba-technical (http://lists.samba.org/archive/samba-technical/) Эндрю Бартлет (Andrew Bartlett (http://samba.org/%7Eabartlet/)), активный член Samba Team (http://www.samba.org/samba/team/), разработчик Samba4, высказался (http://lists.samba.org/archive/samba-technical/2011-January/076053.html) с предложением удаления и отметки как "устаревшие" в релизе Samba 3.6.0 следующих параметров:

security=share (per the discussion)
username (only part of security=share username guessing)
security=server
encrypt passwords = no
password level
update encrypted
use spnego = no
server schannel = no
auth methods
enable privileges = no
domain master = yes (when domain logons = no, ie not a DC)
null passwords = yesКак отметил Эндрю, это предложение внесено в связи со стремлением к большей унификации кода авторизации Samba3 и Samba4.

Удаление этих конфигурационных параметров, естественно после тестирования в ветке 3.6 с возможным возвратом необходимых, должно содействовать скорейшему окончательному слиянию кодовых баз 3-ей и 4-ой веток, что сделает безболезненным переход с 3-ей версии Samba на 4-ую и избавит от проблемы комбинирования функций Samba4 (AD) и Samba3 (файловый/принт-сервер), существующей на данном этапе их разработки.

Как стало понятно из чтения рассылки, на 10-ой международной конференции The Samba eXPerience 2011 in Göttingen, Germany (http://www.samba.xp.de/index.php?id=14) 9-го мая 2011 года планируется уделить максимум внимания предстоящему в 2011 году релизу Samba Directory Server, то есть Samba4 с реализацией Active Directory, совместимого с версиями Windows Server 2003/2008.
Другие разработчики и подписчики высказали полярные мнения по поводу предложения Эндрю, однако в основном сошлись в том, что многие из указанных параметров не нужны или не используются как небезопасные, а Jeremy Allison (http://samba.org/%7Ejra/) по поводу релиза Samba4 отметил:"We're paddling as fast as we can in this canoe :-). (Мы гребём так быстро, как только можем в этом каноэ)".

Планировавшийся на 13 января 2011 года релиз Samba 3.6.0 (http://wiki.samba.org/index.php/Release_Planning_for_Samba_3.6) задерживается. Напомню, что в версии 3.6.0 планировалось в числе прочего довести до продакшн готовности свободную реализацию протокола SMB2.

>>> О конференции (http://www.samba.xp.de/index.php?id=14)

[size="3"]Обновление Samba 3.5.7, 3.4.12, 3.3.15 с устранением уязвимости [/size]

Представлены (http://samba.org/samba/latest_news.html#3.5.7) корректирующие выпуски Samba 3.5.7, 3.4.12, 3.3.15, в которых устранена уязвимость (http://www.samba.org/samba/security/CVE-2011-0719), которую можно использовать для инициирования отказа в обслуживании и потенциально для повышения привилегий в системе после отправки специально сформированного запроса к Winbind или smb от локального или удаленного пользователя, имеющего доступ к samba-разделам. Проблема вызвана отсутствием проверки диапазона значений в макросе "FD_SET", передача некорректного значения в который может привести к повреждению памяти.

В настоящий момент подтверждена только возможность совершения DoS-атаки, вероятность инициирования выполнения кода низка и носит теоретический характер. Отказ в обслуживании может проявляться через крах процесса или его зацикливание с последующим исчерпанием доступных файловых дескрипторов.

[size="3"]Релиз Samba 3.5.8 [/size]

Вышел корректирующий релиз Samba 3.5.8 (http://samba.org/samba/history/samba-3.5.8.html), в котором исправлена 51 ошибка.
Из наиболее важных исправлений отмечено:

• Устранен крах Winbind, возникающий при недоступности контроллера доменов;
• Налажен поиск пользователей среди членов домена;
• Устранена утечка памяти в Winbind;
• Решены проблемы с печатью у клиентов с Windows

[size="3"]Релиз Samba 3.4.13 [/size]

Вышел корректирующий релиз Samba 3.4.13 (http://www.samba.org/samba/history/samba-3.4.13.html), в котором исправлены 3 ошибки:

• Устранена некорректная обработка таймаутов в коде клиента ncacn_ip_tcp;
• Решена проблема с крахом Winbind из-за разыменования NULL-указателя;
• Учтены особенности вызова setpwent() на платформе FreeBSD.D.

[size="3"]Корректирующий релиз Samba 3.5.9 [/size]

Вышел корректирующий релиз Samba 3.5.9 (http://samba.org/samba/history/samba-3.5.9.html), в котором исправлено 44 ошибки. Из исправлений отмечено устранение проблемы с потерей sgid-флага при переименовании директории и потерей ACL при переименовании файлов. В Winbind по умолчанию применена настройка "allow trusted domains = no" (запрещает попытки соединения из другого домена или рабочей группы с которыми установлены доверительные отношения на сервере аутентификации). Устранен крах 'smbclient' при использовании в имени рабочей группы или netbios-имени кириллических символов.

[size="3"]Обновление Samba 3.5.10, 3.4.14 и 3.3.16 с устранением двух уязвимостей [/size]

Представлены (http://samba.org/samba/latest_news.html) корректирующие релизы поддерживаемых веток проекта Samba - 3.5.10 (http://samba.org/samba/history/samba-3.5.10.html), 3.4.14 (http://samba.org/samba/history/samba-3.4.14.html) и 3.3.16 (http://samba.org/samba/history/samba-3.3.16.html), а также тестовый выпуск Samba 3.6.0rc3 (http://ftp.samba.org/pub/samba/rc/WHATSNEW-3-6-0rc3.txt). В новых версиях устранены две незначительные уязвимости в web-интерфейсе SWAT, приводящие к возможности осуществления CSRF-атак (Cross-Site Request Forgery) и организации межсайтового скриптинга (XSS). При успешной организации атаки, при открытии подконтрольной злоумышленнику страницы или ссылки, в контексте web-интерфейса SWAT может быть выполнен внешний Javascript код или организовано выполнение определенного управляющего действия без ведома пользователя.

[size="3"]Корректирующий релиз Samba 3.5.11 [/size]
 
Вышел (http://samba.org/samba/history/samba-3.5.11.html) корректирующий релиз Samba 3.5.11 , в котором исправлено 10 ошибок. Наиболее важными исправлениями являются:

• Устранение проблем с доступом к разделам Samba после установки в Windows патча KB2536276, устраняющего некоторые проблемы безопасности в Windows;
• Исправление ошибки, приводившей к краху Winbind в случае некорректного завершения функции verify_idpool();
• Нормализована работа "acl check permissions = no" в некоторых нестандартных конфигурациях;
• Устранено заполнение лога smbd текстом ошибки "Could not find child X -- ignoring".

[size="3"]Релиз Samba 3.6.0 [/size]

Увидел свет (http://lists.samba.org/archive/samba-announce/2011/000239.html) первый стабильный релиз новой ветки Samba 3.6 (http://samba.org/), в которой доведена до готовности к промышленному внедрению поддержка протокола SMB2, используемого в Windows Vista и Windows 7, добавлен новый модуль для анализа трафика, изменены некоторые влияющие на безопасность настройки по умолчанию и существенно переработана поддержка печати.

Кроме того, продолжается работа по обеспечению плавного слияния (http://linuxforum.kz/index.php?/topic/436-samba/page__view__findpost__p__8229) кодовых баз веток Samba 3 (winbindd и код файлового сервера) и Samba 4 (контроллер домена). В будущем планируется выпустить единый многофункциональный продукт Samba 4, который будет поддерживать бесшовную миграцию с Samba 3 и сможет выступать в роли файлового сервера, сервера печати, сервера идентификации (winbind) и совместимого с Active Directory контроллера домена.

Ключевые изменения (http://samba.org/samba/history/samba-3.6.0.html), представленные в Samba 3.6.0:

• Поддержка SMB2 признана полностью функциональной. Через SMB2 могут работать все возможности Samba, за одним исключением - не поддерживается изменение квот при помощи утилит управления квотами Windows. Поддержка SMB2 не включена по умолчанию. Для активации SMB2 в секции "[global]" файла smb.conf необходимо указать "max protocol = SMB2". По умолчанию работа через SMB2 будет включена после окончательного подтверждения стабильности реализации SMB2 в результате оценки работы реальных систем, перешедших на новый протокол в Samba;
• Добавлен новый анализатор трафика SMB Traffic Analyzer (http://holger123.wordpress.com/smb-traffic-analyzer/) (SMBTA), поддерживающий вторую версию протокола VFS-модулей, в которой реализовано шифрование, передача нескольких аргументов и упрощенный для разбора формат. Для управления SMBTA используется утилита smbta-util. SMBTA позволяет осуществить мониторинг и сбор статистики о потоках данных пользователей, работе Samba-сервисов или целых доменов. В отличие от сетевых анализаторов, SMBTA не перехватывает трафик, а получает информацию через VFS-интерфейс (Virtual File System) Samba, являясь полностью прозрачным для пользователей и не влияя на эффективность пересылки;
• Полностью переписан и подвергнут рефакторингу код обработки очередей печати (Spoolss) и реализации RAP-команд управления печатью (Remote Administration Protocol). Все связанные с печатью операции теперь выполняются через RPC-интерфейс Spoolss, что позволило в одном месте сконцентрировать код всех связанных с подсистемой печати проверок, убрав все обработчики особых ситуаций из основного кода печати. Для хранения любых данных в Spoolss и других компонентах системы печати задействованы RPC-интерфейсы winreg. Т.е. вместо TDB-файлов использован интерфейс Registry, что позволит обращаться к данным принтера и Windows-клиентам, используя стандартный для них и на 100% совместимый RPC-интерфейс winreg. Процесс миграции с TDB-файлов максимально автоматизирован и будет автоматически вызван при первом запуске (также можно провести миграцию вручную, используя команду "net printer migrate"). В будущем планируется вынос реализации спула печати в отдельный фоновый процесс, что позволит увеличить модульность системы и даст возможность не использовать лишний код, в ситуации кода поддержка печати не требуется;
• Продолжена работа по внутренней реструктуризации, нацеленная на увеличение разделения внутренних подсистем, что в конечном итоге должно привести к ускорению сборки, сокращению размера исполняемых файлов и оптимизации зависимостей;
• Добавлен бэкенд для работы с квотами на NFS-разделах в Linux. Разработка базируется на ранее созданной реализации для платформ Solaris и FreeBSD. Бэкенд позволяет samba передавать корректную информацию о наличии свободного места на импортируемых NFS-разделах, используемых для размещения samba-разделов;
• Внутренние изменения метода работы с локальной базой пользователей в Winbind. Вместо вызова функций passdb для получения информации о локальных пользователях и группах используются обращение через внутренние неименованные каналы (samr и lsa rpc pipe). Причина изменения связана с желанием использование единого подхода во всех компонентах инфраструктуры, что позволяет вынести больше кода Winbind в совместно используемые библиотеки;
• Изменение настроек по умолчанию, связанных с безопасностью: [color="#461b7e"]
   

client ntlmv2 auth = yes
 client use spnego principal = no
 send spnego principal = no[/color]
 Опция 'client ntlmv2 auth = yes' запрещает использовать NTLM-аутентикацию при работе в режиме клиента (вместо устаревшего протокола NTLMv1 используется более криптостойкий протокол NTLMv2, базирующийся на хэшах HMAC-MD5). Изменение затрагивает только входящие в состав Samba утилиты, такие как smbclient и winbind, но не влияет на работу CIFS-клиента, встроенного в Linux-ядро.

Опция 'client use spnego principal = no' указывает на то, что для запроса билета в Kerberos клиентский софт samba (smbclient, winbind) будет использовать "CIFS/имя хоста", что близко к поведению Windows при работе с Kerberos, вместо ранее практикуемого полного доверия к предоставляемым сервером хинтам, поддержка которых была прекращена начиная с Windows 2008. Для налаживания работы со всеми клиентами, все псевдонимы (alias) сервера должны быть записаны как servicePrincipalName в Active Directory. Опция 'send spnego principal = no' введена для отражения изменений в Windows 2008, больше не отправляющем principal-хинты;

• Переработан способ маппинга пользовательских идентификаторов c целью увеличения гибкости определения правил и обеспечения более простого и понятного процесса конфигурирования. Основные изменения связаны с выносом кода, ответственного за сопоставление с unix-идентификаторами, в отдельные idmap-бэкенды tdb, tdb2 и ldap. Код выделения unix id теперь привязан к правилам сопоставления (sids_to_unixids). В каждом idmap-бэкенде используется свой механизм создания idmap unixid. Из winbindd API удалены методы, связанные с сохранением и удалением сопоставлений идентификаторов. Команда "net idmap dump/restore" теперь вместо работы с winbindd напрямую обращается к базам данных. В настоящий момент обеспечена поддержка бэкендов tdb и tdb2, пока отсутствует поддержка ldap. Признаны устаревшими параметры конфигурации "idmap uid", "idmap gid" и "idmap range", вместо них следует использовать "idmap config * : range" и "idmap config * : backend";
• Начальная реализация Endpoint Mapper для Samba, работающего как DNS-сервер, но для портов. Т.е. при необходимости подсоединения к определенному RPC-сервису через TCP/IP запрос к Endpoint Mapper позволяет узнать номер порта для соединения по имени сервиса. В настоящий момент код еще не до конца протестирован и не активирован по умолчанию. Для включения необходимо использовать настройку "rpc_server:epmapper = daemon" в smb.conf.
• Добавлены новые директивы конфигурации smb.conf (в скобках значение по умолчанию):
  • "async smb echo handler" (No)
  • "client use spnego principal" (No)
  • "ctdb locktime warn threshold" (0)
  • "log writeable files on exit" (No)
  • "multicast dns register" (Yes)
  • "ncalrpc dir"
  • "send spnego principal" (No)
  • "smb2 max credits" (128)
  • "smb2 max read" (1048576)
  • "smb2 max trans" (1048576)
  • "smb2 max write" (1048576)
  • "username map cache time" (0)
  • "winbind max clients" (200)
• Прекращена поддержка директивы "idmap alloc backend".

[size="3"]Корректирующий релиз Samba 3.6.1 [/size]
 
Вышел (http://samba.org/samba/history/samba-3.6.1.html) корректирующий релиз Samba 3.6.1 (http://samba.org/), в котором исправлено 53 ошибки. Из наиболее важных исправлений можно отметить:

• Устранён крах smbd, проявляющийся при работе клиентов с Windows XP;
• Решена проблема в Winbind, приводившая при определённом стечении обстоятельств к 100% загруженности CPU;
• Ряд исправлений, связанных с реализацией протокола SMB2. Устранена проблема с сохранением файлов на SMB2-раздел Samba из MS Office 2007 (Word). Налажена совместимость с реализацией клиента от Apple;
• С модуля VFS ACL снят признак экспериментального, он теперь готов к промышленному внедрению;
• Решена проблема с загрузкой файлов на Samba-раздел из IE9 на платформе Windows 7;
• Устранена проблема с подключением smbclient к разделам NT4;
• Устранено зацикливание в модуле ACL.

[size="3"]Компания Microsoft подключилась к разработке Samba [/size]

Разработчики проекта Samba сообщили (http://samba.org/samba/news/developers/ms-patch.html) о переходе сотрудничества с компанией Microsoft на новый этап, связанный с урегулированием разногласий и переходом от противостояния к сотрудничеству. В состав Samba принят набор патчей (https://lists.samba.org/archive/samba-technical/2011-October/079780.html), созданный сотрудниками Центра открытых технологий Microsoft и направленный на улучшение совместимости Samba. Патчи были созданы специально для проектов Samba и Firefox (Firefox использует код Samba для работы с NTLM в Linux), и содержат реализацию дополнительных механизмов защиты для процесса NTLM-аутентификации. Код одобрен для публикации под лицензией GPLv2+, все права на код компания Microsoft передала конечному разработчику, курирующему взаимодействие с Samba.

По словам Криса Хертела (Chris Hertel) из Samba Team, несколько лет назад приём патчей от разработчиков из Microsoft казался немыслимым, но бои затихли и времена изменились. Проект Samba и Microsoft по прежнему расходятся во взглядах на некоторые вещи, например в области негативного влияния патентов на появление инноваций в программном обеспечении. Тем не менее, разработчики Samba отмечают, что Microsoft в настоящее время активно предпринимает усилия по созданию сильного сообщества и улучшению переносимости среди различных реализаций протокола SMB.

Первый опыт сотрудничества Samba и Microsoft носил принудительный характер: под давлением решения Еврокомиссии в деле о нарушении антимонопольного законодательства, компания Microsoft в 2007 году предоставила (http://www.opennet.ru/opennews/art.shtml?num=13375) разработчикам проекта Samba полную документацию по сетевым протоколам, используемым в серверных вариантах Windows. Год спустя было организовано (http://linuxforum.kz/index.php/topic/436-samba/page__view__findpost__p__1982) несколько встреч, в рамках которых инженеры Microsoft ответили на интересующие разработчиков Samba технические вопросы, касающиеся обеспечения совместимости с Active Directory и CIFS. В 2009 году член Samba Team был приглашен (http://linuxforum.kz/index.php/topic/436-samba/page__view__findpost__p__6427) для участия в подготовке нового набора документации по протоколам SMB/CIFS, распространяемого публично, без подписки о неразглашении.

В заключение можно отметить выход (http://permalink.gmane.org/gmane.network.samba.announce/240) корректирующего релиза Samba 3.5.12 (http://samba.org/samba/history/samba-3.5.12.html) в котором исправлено 25 ошибок, в том числе решена проблема в Winbind, приводившая при определённом стечении обстоятельств к полной загрузке CPU. Кроме того, с модуля VFS ACL снят признак экспериментального, он теперь готов к промышленному внедрению.