[samba-jp:22459] [FYI]Samba 4.2.0が出ました
TAKAHASHI Motonobu
monyo @ monyo.com
2015年 3月 6日 (金) 03:04:10 JST
たかはしもとのぶです。
From: Samba-JP oota <ribbon @ samba.gr.jp>
Date: Thu, 5 Mar 2015 10:27:30 +0900
> リリースノートは
>
> https://www.samba.org/samba/history/samba-4.2.0.html
>
> です。RC4ベースのリリースノート翻訳は
>
> http://cgi.samba.gr.jp/mailman/archives/samba-jp/2015-February/003692.html
>
> です。
以下、リリースノートの翻訳です。rc4 から実質的に変更ありませんでした。
原文は、以下を参照してください。
・[Annouce] Samba 4.2.0 Available for Download
<https://lists.samba.org/archive/samba-announce/2015/000340.html>
リリースアナウンス
------------------
これは Samba 4.2 の最初の安定版である。
Samba 4.2 は Samba スイートの次期バージョンである。
Samba ユーザ調査 2015
=====================
https://www.surveygizmo.com/s3/2020369/Samba-User-Survey-2015
この調査に協力してほしい。ユーザの知識レベルと要望を把握することで、
Samba の改善を図っていきたい。この調査は 2015 年 3 月末まで行われ、
個人を特定する情報は一切取得しない。個々の調査結果は Samba Team 内で
のみ共有される。集計結果の概要が SambaXP カンファレンス
(http://sambaxp.org/) 後に Samba コミュニティに公開される。
Samba 3.X 系列のサポート終了に関する重要なお知らせ
==================================================
Samba 4.2 のリリースをもって、最後の Samba 3.X 系列もサポートが終了する。
現在 Samba 3.6.X 以前を使用している場合は、サポート中の新しいバージョン
(4.0 から 4.2) への移行を検討すること。Samba 4.X 系列についてのよくある
誤解に、「Active Directory 専用」というものがある。これは誤りである!
Active Directory のドメインコントローラとしての機能は、Samba 4.0 以降に
おける主要な機能強化点の一つに過ぎない。Samba 4.0 系列は、Samba 3.6 系列の
次期版であり、(古い) NT ドメインのサポートも含め、従来からの機能はすべて
サポートされている。したがって、従来からのバージョンアップ (例えば 3.4.X
から 3.5.X) と同様にして、Samba 3.X 系列の NT ドメインを Samba 4.X 系列に
バージョンアップすることができる。NT ドメインから Active Directory への
移行を強制されることはない!
もちろん、(例えば、OpenLDAP のバックエンドを使用した) Samba 4.X 系列に
よる新規の NT ドメインの構築も以前と何ら変わりなく可能である。Samba 4.X
系列における Active Directory のサポートは機能の追加であり、こうした機能の
置き換えではない。既存の LDAP から移行することが容易でないことは理解して
おり、それゆえ、従来からの PDC のサポートを終了することは計画していない。
現在も CI (継続的インテグレーション) システムによるテストが継続している。
従来からのドメインコントローラをサポートするコードは、スタンドアロンの
サーバやドメインのメンバサーバにおいて、内部的な「ドメイン」(訳注: ローカル
グループやローカルユーザのサポートなどを含む機能) をサポートするコードと
同一である。これらのコードは Active Directory のドメインコントローラとして
動作していないときでも引き続き使用されている。これらは、FreeIPA の一部機能の
基礎ともなっており、そうした方面では、引き続き開発者の関心を得ている。
アップグレード
==============
(以下の)「winbindd/Netlogon 機能の改良」を熟読のこと!
新機能
======
透過的なファイル圧縮
====================
Samba 4.2.0 では、Btrfs ファイルシステム上のファイルやフォルダに対する
compression フラグの操作のサポートが追加された。btrfs という Samba の
VFS モジュールを有効にすることで、SMB2 以降でサポートされた compression
フラグを、エクスプローラの ファイル→プロパティ→詳細設定のダイアログから
リモートで設定することが可能となった。compression フラグが設定された
ファイルは、アクセスや更新の際に圧縮、展開が透過的に行われる。
snapper を用いた「以前のバージョン」
===================================
snapper という Samba の新規追加された VFS モジュールにより、snapper に
よって管理されるスナップショットを Samba から使用することが可能となった。
これにより、リモートのクライアントがエクスプローラの「以前のバージョン」
ダイアログ経由でシャドウコピーにアクセスすることが可能となる。
winbindd/Netlogon機能の改良
===========================
(他の) ドメインコントローラに対する netlogon セキュアチャネルを維持する
ための設計が全面的に見直され、netlogon_creds_cli.tdb 内のグローバルな
状態を維持するようになった。これにより、次に挙げるような多くのバグが適切に
修正された:
https://bugzilla.samba.org/show_bug.cgi?id=6563
https://bugzilla.samba.org/show_bug.cgi?id=7944
https://bugzilla.samba.org/show_bug.cgi?id=7945
https://bugzilla.samba.org/show_bug.cgi?id=7568
https://bugzilla.samba.org/show_bug.cgi?id=8599
加えて、強力なセッションキーがデフォルトで必須となった。これにより、
古いサーバやクライアントとの通信がデフォルトで拒否されるようになった。
クライアントとしての動作に関しては、「require strong key (デフォルトyes)」、
「reject md5 servers(デフォルトno)」といったパラメータが追加された。
例えば Samba 3.0.37 のサーバと通信する際は、「require strong key = no」が
必要となる。NT4 のドメインコントローラと通信する際は、「require strong key
= no」と「client ntlmv2 auth = no」が必要となる。
サーバとしての (ドメインコントローラとしての) 動作に関しては、「allow nt4
crypto (デフォルトno)」、「reject md5 client (デフォルトno)」といった
パラメータが追加された。Samba 3.0.27 (訳注 3.0.37 の誤り?) もしくは NT4 の
メンバサーバが機能するためには、「allow nt4 crypto = yes」が必須となる。
winbindd のデフォルトでは、 (getent group <domain>\<group> 等による)
表示目的でのグループのメンバの一覧は行われない。「winbind expand groups = 0」
が、新しいデフォルトとなる。これは「winbind enum users = no」や「winbind
enum groups = no」と同じ意味となるためである。提供される一覧情報は、
信頼されるドメインが存在するといったケースなどを考えると、常に信頼できる
ものであるとは限らない。
これらの新しいパラメータの詳細については、smb.conf のマニュアルページを
参照のこと。
Samba の Active Directory ドメインコントローラ上での winbindd の使用
====================================================================
デフォルトで、Samba の Active Directory ドメインコントローラ上でも
winbindd が使用される。これにより Samba 4.0 や 4.1 で winbind 操作を
行うために部分的にリライトされていたものが置き換えられる。
これにより、より多くのコードが共有され、多くのパラメータが有効となり、
Active Directory のドメインコントローラにおいて、信頼されるドメインを
サポートする道が開かれた。
従来の内蔵の winbind を有効にする必要がある場合は、「server services =
+winbind -winbindd」を設定する。server services パラメータを明示的に
指定している環境をバージョンアップする場合は、新しい機能を使用するために
winbind を winbindd に変更すること。
これらのサービスの起動制御は samba バイナリが引き続き行うため、winbindd
を手動で起動する必要はない。
Winbind 機構でセキュアなコネクションが必須に
============================================
管理が行き届いていないドメインコントローラ対策として、フォレスト内の
Active Directory のドメインコントローラに接続する際に、コネクションが
SMB 署名されていることが必須となった。これを無効とする場合は、smb.conf で
「client signing = off」を設定すること。
DCE/RPC のパイプも暗号化が必須となった。これらを無効とする場合は、
「require strong key = no」と「winbind sealed pipes = no」を設定すること。
LDAP コネクションの整合性意地のため、client ldap sasl wrapping パラメータ
のデフォルトが sign となった。これを無効とする場合は、「ldap sasl wrapping
= plain」を設定すること。
SMB2/3 で大きい IO サイズをデフォルトに
=======================================
「smb2 max read」、「smb2 max write」、「smb2 max trans」のデフォルト値が
Windows Server 2012 R2 のデフォルト値に合わせるため 8388608 (8MiB) となった。
SMB2 リース
===========
SMB2 プロトコルでは、SMB1 や SMB2 の oplock によるキャッシュ以上に、
積極的にファイルをローカルにキャッシュすることが可能である。
SMB2 リースにより、SMB2 コネクションにおけるトラフィックを劇的に低減
することが可能である。Samba 4.2 では SMB2 リースが新たに実装された。
これは smb.conf の [global] セクションで「smb2 leases = yes」により有効化
できる。このパラメータは、SMB2 リースのコードが枯れてくるまではデフォルト
で無効となっている。
DCE/RPC の MTIM 攻撃対策の改善
==============================
dcerpc_sec_verification_trailer の保護に加え、DCE/RPC ヘッダの署名が
実装された。
net idmap コマンドの全面刷新
============================
「net idmap」コマンドのコマンドラインインタフェースがより体系立ったものと
なり、autorid の idmap データベースの読み取りおよび書き込みを行うサブ
コマンドが追加された。書き込みのコマンドの使用は慎重に行うこと。詳細は
net(8) マニュアルページを参照のこと。
tdb の改善
==========
Samba 独自のデータをディスクに保持し、プロセス間で共有する機構の中核である
tdb ライブラリは、プロセス間で共有される堅牢な Linux のミューテックスを
サポートするよう改良された。このミューテックスは Linux および Solaris で
サポートされており、tdb 周りのオーバーヘッドを顕著に削減する。tdb で
ミューテックスを有効にする際は、以下を smb.conf の [global] セクションに
設定する。
dbwrap_tdb_mutexes:* = yes
tdb ファイルの領域管理も、より洗練された。これによりデータベースの
フラグメンテーションがより発生しにくく、より少なくなった。
メッセージングの改善
====================
smbd 間の oplock break メッセージのやりとりや、動的にプロセスの debug level
を設定する際などに使用されている、内部的なメッセージのサブシステムが書き
直され、UNIX ドメインのデータグラムソケットを使用するようになった。
クラスタのサポート
==================
Samba のファイルサーバをクラスタ化するコンポーネントである CTDB が、Samba
に統合された。これにより、従来発生していた Samba と CTDB のバージョン間
での互換性による混乱が解消された。
Samba のファイルサーバでクラスタのサポートを有効化してビルドする際は、
configure のコマンドラインオプション --with-cluster-support を使用する。
これにより、ソースコードに統合された CTDB を使用するクラスタのサポート
が有効化されたファイルサーバが CTDB と共にビルドされる。
以前のバージョンの CTDB を使用しての、クラスタのサポートを有効化した Samba
のビルドはサポートされなくなった。
Samba レジストリエディタ
========================
Samba のレジストリを表示するユーティリティが Google Summer of Code に参加
した学生の Chris Davis により一新された。samba-regedit は、
Midnight-Commander に似たテーマとユーザインタフェースを備えるようになった。
これにより、キーを一覧したり、様々な形式の値を編集することが可能となった。
16進数の編集機能が実装された。
Active Directory のドメインコントローラによるロックアウトのサポート
===================================================================
Samba による Active Directory のドメインコントローラにおいて、誤った
パスワードの入力よるロックアウトが実装された (ドメインコントローラ単位)。
これにより、誤ったパスワードによるログオン試行が記録され、誤ったパスワード
による試行が一定数以上行われるとアカウントがロックアウトされるようになった。
(Windows Server 2003 SP1 と同等: https://support2.microsoft.com/kb/906305
に) NTLM 認証を使用する際、60 分間は以前のパスワードを使用することが可能と
なった 。
設定については、以下のように「samba-tool domain passwordsettings show」
コマンドで表示することができる (* 印が新しい設定である)。
Password informations for domain 'DC=samba,DC=example,DC=com'
Password complexity: on
Store plaintext passwords: off
Password history length: 24
Minimum password length: 7
Minimum password age (days): 1
Maximum password age (days): 42
* Account lockout duration (mins): 30 *
* Account lockout threshold (attempts): 0 *
* Reset account lockout after (mins): 30 *
これらの値は、「samba-tool domain passwordsettings set」により変更する
ことが可能である。
smb.conf のマニュアルページに記載されたデフォルト値の適正化
===========================================================
smb.conf に設定するパラメータのデフォルト値が、ビルド時に設定されるパスを
参照しているものも含め、 smb.conf のマニュアルページ内で適切に記述される
ようになった。これにより、Samba がマニュアルページの生成に必要なツール
(特に xsltproc) があるシステムでビルドされた場合は、設定の解析機構が
実行時に用いるパスとまったく同一のパスがマニュアルページに記述される。
加えて、smb.conf のマニュアルページから読み取られたデフォルト値が、testparm
による値や実行されるバイナリで使用される値と同一かどうかが、テスト機構に
よってチェックされるようになった。
samba-tool testparm と testparm の挙動の整合性
==============================================
ファイルサーバでのみ使用可能な registry バックエンド以外の環境では、
smb.conf の解析機構の挙動と samba-tool testparm および testparm コマンド
間の挙動の整合性、特にデフォルト値関連において図られた。registry バック
エンドの共有をのぞき、Active Directory のドメインコントローラとファイル
サーバとで異なるツールを使用する必要はなくなった。
WORM VFS モジュール
===================
基本的な WORM (Write Once Read Many) を実現する VFS モジュールが追加された。
これにより、Samba の共有の上位に新しいレイヤが追加され、ファイルやフォルダ
に対する書き込み可否を制御することで、クライアントに対する基本的な WORM
機能を提供するようになる。
このモジュールは単にレイヤを追加するだけであるため、共有へのアクセスや
パーミッションは意図したとおりに機能する。これは、WORM 機能が上位に
追加されただけであるためである。このモジュールを共有の設定から削除する
ことで、このレイヤは削除される。ファイルシステムの ACL はこのモジュールの
影響を受けず、通常どおりに機能する。
このモジュールは、アーカイブ製品と異なり、完全な WORM 機能を提供するもの
ではない。WORM 機能は SMB を通じた共有アクセスを行うクライアントに対して
のみ動作するため、これは監査に適合した機能ではない。同じフォルダが NFS の
ような SMB 以外のサービスで共有されている場合、これらのアクセスはファイル
システムの ACL によってのみ制御される。サーバ上で直接ファイルにアクセス
する際も同様である。
詳細な情報は以下を参照のこと:
https://wiki.samba.org/index.php/VFS/vfs_worm
Mac OS X クライアント用 VFS モジュール、vfs_fruit
=================================================
これは、Apple の SMB クライアントに対する更なる互換性と、Netatalk 3 の
AFP ファイルサーバとの相互接続性を提供する新しい VFS モジュールである。
このモジュールは、信頼性の高い名前付きストリームのサポートによる機能
拡張、Mac OS X クライアントで通常使用される特殊な文字 ('*' や '/' など)
との相互接続性、Netatalk 3 による Macintosh のメタデータへのアクセスと
統合されたファイルのロック、「AAPL」というコードネームの Apple による
SMB2 拡張の実装によるパフォーマンス向上などを実現する。
このモジュールの挙動は、設定により変更できる。詳細は vfs_fruit の
マニュアルページを参照のこと。
smbclient のアーカイブ機能の改良
================================
smbclient のアーカイブ作成や展開機能が libarchive を使用して書き直された。
これにより以前の Samba 独自の tar の実装にあった幾つもの未改修のバグが
修正され、zip アーカイブの展開のサポートが追加された。smbclient の
アーカイブのサポートは、--with[out]-libarchive という configure オプション
によってビルド時に有効、無効を指定できる。
######################################################################
変更パラメータ
#######
smb.conf changes
----------------
Parameter Name Description Default
-------------- ----------- -------
allow nt4 crypto New no
neutralize nt4 emulation New no
reject md5 client New no
reject md5 servers New no
require strong key New yes
smb2 max read Changed default 8388608
smb2 max write Changed default 8388608
smb2 max trans Changed default 8388608
winbind expand groups Changed default 0
4.2.0rc5 からの変更点
=====================
(省略)
4.2.0rc4 からの変更点
=====================
(省略)
4.2.0rc3 からの変更点
=====================
(省略)
4.2.0rc2 からの変更点
=====================
(省略)
4.2.0rc1 からの変更点
=====================
##########################
バグ報告と開発に関する議論
##########################
本リリースに関する議論は、samba-technical メーリングリストで行うか、
irc.freenode.net 上の #samba-technical IRC チャンネルで行ってほしい。
問題を報告した際には、詳細なフィードバックをお願いしたい。問題を解決す
るのに必要な情報が提供されなかった場合、そのフィードバックは無視される
ことになる。バグ報告の全ては、Bugzilla のデータベース
(https://bugzilla.samba.org/) の Samba 4.2 プロダクトに記録してほしい。
==================
ダウンロードの詳細
==================
圧縮されていない tar アーカイブとパッチファイルは GnuPG (ID 6568B7EA)
によって署名されている。ソースコードは以下からダウンロード可能である:
http://download.samba.org/samba/ftp/rc/
リリースノートは以下から参照可能である:
http://www.samba.org/samba/ftp/rc/WHATSNEW-4.2.0rc4.txt
バイナリパッケージは、ボランティアベースであるが、以下から入手可能と
なっている:
http://download.samba.org/samba/ftp/Binary_Packages/
Our Code, Our Bugs, Our Responsibility.
(https://bugzilla.samba.org/)
--Enjoy
The Samba Team
==========
---
TAKAHASHI Motonobu <monyo @ monyo.com> / @damemonyo
facebook.com/takahashi.motonobu
samba-jp メーリングリストの案内