[samba-jp:18897] Re: [Samba] Samba 3.0.23c Available for Download
TAKAHASHI Motonobu
monyo @ monyo.com
2006年 9月 8日 (金) 03:20:25 JST
たかはしもとのぶです。
Samba 3.0.23c リリースノートの翻訳です。
===============================================================
リリース・アナウンスメント
==========================
これは Samba の安定版リリースの最新のものであり、現在確認済のバグを修
正するために、実運用しているSambaサーバで実行すべきリリースとなります。
新機能や以前のバージョンとの動作変更点についての詳細は、元々の Samba
3.0.23 リリースのものに加え、以下に記載する変更点を参照してください。
Stanford University の Saturn code analysis tool
(http://glide.stanford.edu/saturn) の開発者に感謝します。本リリースで
は、このツールのレポートによるコードの修正が取り込まれています。
Samba 3.0.23c で修正されたバグを以下に示します。
o AD のドメインポリシーでパスワードを無期限にした場合に、pam_winbind
の認証が失敗する不具合の修正
o smbpasswd passdb バックエンドを用いた場合に、「valid users」
などのパラメータを smb.conf で用いると認可に失敗する不具合の修正
RID アルゴリズムと Passdb
=========================
Samba 3.0.23c のリリースから、公式にサポートされている passdb バックエ
ンドである smbpasswd/tdbsam/ldapsam は、対応づけに失敗した(アカウント
が passdb やグループマッピングテーブルに存在しない)ユーザやグループに
対する伝統的な RID アルゴリズムに関して、同等の扱いをするようになった。
この結果、対応づけに失敗したすべてのユーザには S-1-22-1 から始まる SID
が割り当てられるようになり、対応づけに失敗したすべてのグループには
S-1-22-2 から始まる SID が割り当てられるようになった。以前のバージョン
で smbpasswd passdb を用いている場合は、対応づけに失敗したユーザやグルー
プはマシン固有の SID (S-1-5-XX-XX-XX) から始まる SID が機械的に付与さ
れた。しかし、smbpasswd は新しいユーザアカウントを作成したり、新しく対
応づけされたグループのエントリに RID を割り当てる際に、同じアルゴリズ
ムを用いていた。
Samba 3.0.23c のリリースの変更点として、uid や gid 、名前、SID といっ
たものの双方向の対応づけが実現し、常に双方向の対応づけが行なわれるよう
になった。これは重要な変更点であり、例えば「valid users」のような
smb.conf のパラメータの値が、ローカルユーザの初期のトークンに含まれる
SID と同じ SID に対応付けされることになる。
大半の環境では、この変更により影響を受けることはないが、対応付けに失敗
したアカウントの SID はsmbpasswd を用いている場合を含め変更されるので、
あらかじめ Samba から Windows の NTFS パーティションにコピーしておいた
ファイルのセキュリティ識別子では、ファイルへのアクセスが失敗するように
なる。
この問題の回避策は、関係のあるグループを手動で作成する(もしくは影響の
大きいユーザをサーバの passdb に追加しておく)か、ファイルの ACL を手動
で再設定することである。
==================
ダウンロードの詳細
==================
伸長した tar アーカイブおよびパッチファイルは GnuPG (ID 157BC95E) を用
いて署名されています。ソースコードは以下からダウンロード可能です:
http://download.samba.org/samba/ftp/
リリースノートは以下から取得可能です:
http://www.samba.org/samba/history/samba-3.0.23.html
バイナリパッケージは以下から取得可能です:
http://download.samba.org/samba/ftp/Binary_Packages/
Our Code, Our Bugs, Our Responsibility.
(https://bugzilla.samba.org/)
--Enjoy
The Samba Team
-----
TAKAHASHI, Motonobu (たかはしもとのぶ) monyo @ monyo.com
http://www.monyo.com/
From: oota @ mail.linux.bs1.fc.nec.co.jp
Subject: [samba-jp:18879] [Samba] Samba 3.0.23c Available for Download
Date: Sat, 2 Sep 2006 09:15:46 +0900
太田@NECです。
Samba 3.0.23c が出ました。
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
==============================================================
"I think we just hit thread level Orange."
-- anonymous
==============================================================
Release Announcements
=====================
This is the latest stable release of Samba. This is the version
that production Samba servers should be running for all current
bug-fixes. Please read the changes in this section and for the
original 3.0.23 release regarding new features and difference
in behavior from previous releases.
We would like to thank the developers of the Saturn code analysis
tool from Stanford University (http://glide.stanford.edu/saturn).
This release includes several code fixes based on its reports.
Common bugs fixed in 3.0.23c include:
o Authentication failures in pam_winbind when the AD domain
policy is set to not expire passwords.
o Authorization failures when using smb.conf options such
as "valid users" with the smbpasswd passdb backend.
RID Algorithms & Passdb
=======================
Starting with the 3.0.23c release, the officially supported
passdb backends (smbpasswd, tdbsam, and ldapsam) now operate
identically with regards to the historical RID algorithm for
unmapped users and groups (i.e. accounts not in the passdb
or group mapping table). The resulting behavior is that all
unmapped users are resolved to a SID in the S-1-22-1 domain
and all unmapped groups resolve to a SID in the S-1-22-2
domain. Previously, when using the smbpasswd passdb, such
users and groups would resolve to an algorithmic SID in the
machine's own domain (S-1-5-XX-XX-XX). However, the smbpasswd
backend still utilizes the RID algorithm when creating new
user accounts or allocating a RID for a new group mapping
entry.
With the changes in the 3.0.23c release, it is now possible
to resolve a uid/gid, name, or SID in any direction and always
obtain a symmetric mapping. This is important so that values
for smb.conf parameters such as "valid users" resolve to the
same SIDs as those included in the local user's initial token.
Most installations will notice no change. However, because
an unmapped account's SID will now change even when using
smbpasswd it is possible that any security descriptors on files
previously copied from a Samba host to a Windows NTFS partition
may now fail to give access. The workaround is to either
manually map all affect groups (or add impacted users to the
server's passdb) or to manually reset the file's ACL.
================
Download Details
================
The uncompressed tarballs and patch files have been signed
using GnuPG (ID 157BC95E). The source code can be
downloaded from:
http://download.samba.org/samba/ftp/
The release notes are available online at:
http://www.samba.org/samba/history/samba-3.0.23c.html
Binary packages are available at
http://download.samba.org/samba/ftp/Binary_Packages/
Our Code, Our Bugs, Our Responsibility.
(https://bugzilla.samba.org/)
--Enjoy
The Samba Team
--
太田 俊哉@NEC OSS推進センター 基盤システム開発G(芝.港.東京.日本.地球)
(samba-jp Staff/postmaster,mutt-j admin,analog-jp postmaster)
samba-jp メーリングリストの案内