[samba-jp:22627] Re: [Announce] Samba 4.3.0 リリースノートの翻訳

TAKAHASHI Motonobu monyo @ monyo.com
2015年 9月 22日 (火) 23:42:19 JST


たかはしもとのぶです。

From: TAKAHASHI Motonobu/高橋 基信 <monyo @ monyo.com>
Date: Wed, 9 Sep 2015 09:33:13 +0900

> たかはしもとのぶです。
> 
> 次のように、Samba 4.3.0 がリリースされたとのことです。
> リリースノートについては、後で翻訳しておこうと思います。

遅くなりましたが、以下リリースノートの翻訳になります。

原文は、以下を参照してください。

・[Annouce] Samba 4.3.0 Available for Download
 <https://lists.samba.org/archive/samba-announce/2015/000353.html>

                   =============================
                   Release Notes for Samba 4.3.0
                           September 8, 2015
                   =============================

これは Samba 4.3 の最初の安定版リリースである。


アップグレード
==============
「新しい FileChangeNotify サブシステム」および「smb.conf の変更点」を
参照のこと

新機能
======

ログ出力
--------
ログ出力機構が複数のバックエンドをサポートするようになった。以前から使用
可能であった syslog とファイルに加え、systemd-journal, lttng, gpfs への
ログ出力を行うバックエンドが追加された。詳細は smb.conf マニュアルページの
「logging」パラメータのセクションを参照してほしい。

Spotlight
---------
Gnome Tracker へ統合する形で、Apple の Spotlight のサポートが追加された。

Spotlight サポートを有効にして Samba をビルドし、設定する方法の詳細に
ついては、次の Samba Wiki: <https://wiki.samba.org/index.php/Spotlight> を
参照のこと。

新しい FileChangeNotify サブシステム
------------------------------------
Samba に、FileChangeNotify を行う新しいサブシステムが追加された。以前の
システムは、notify_index.tdb という中央データベースにすべての notification
リクエストを格納していた。これは特に、新規ファイルの作成といった変更
イベントが発生する度に特定のレコードの所有者がノード間を行ったり来たり
するようなクラスタ環境において、ボトルネックとなる。

新しい FileChangeNotify サブシステムは、ノードごとに中央デーモンが
起動する形態をとる。各 FileChangeNotify リクエストおよびイベントは、
smbd から notify デーモンに対する非同期メッセージとして扱われる。
notify デーモンはすべての FileChangeNotify リクエストのデータベースを
メモリ中に保持し、関連する nofity イベントを送付する。このデータベースは
notify デーモンにより、非同期にクラスタ内で同期される。

nofity デーモンは以前の実装と比べると、スケーラビリティに非常に優れて
いる。機能的なメリットとしては、ノード間での Kernel Change Nofity の
サポートが挙げられる。一般的なクラスタファイルシステムでは、ノード間での
inotify がサポートされないが、この機構では NFS によって作成されたファイルに
ついても、別のノードの SMB クライアントは FileChangeNotify により参照する
ことができる。

この新しいサブシステムのために "change notify" と "kernel change notify"
パラメータが、共有パラメータからグローバルパラメータに変更されるという
変更が行われた。これにより notify を共有ごとに制御することはできなく
なった。notify デーモンは共有という概念を持たず、絶対パスのみを認識して
動作するようになっている。

新しい SMB プロファイリング
---------------------------
SMB (SMB1, SMB2, SMB3) のプロファイリング機構は System V の IPC 共有
メモリに代わり TDB を使用するようになった。これにより、パフォーマンスの
問題を回避するとともに、NUMA の恩恵を受けられるようになった。

プロファイリングの項目は、以前より若干詳細化された。

Kerberos 使用時の DCERPC の MITM 検知の改善
-----------------------------------------
gensec 用の Kerberos バックエンドを用いた GSSAPI は、DCERPC_-
AUTH_LEVEL_PRIVACY を使用する際に、DCERPC のヘッダ署名をサポートするように
なった。

winbindd による SMB 署名がデフォルトで有効化
--------------------------------------------
Active Directory ドメイン環境において、"client signing" パラメータの値が
winbindd にも適用されるようになった。

実験的な NTDB の削除
--------------------
Samba 4.0 から導入された実験的な NTDB ライブラリが削除された。

(AD DCにおける)ドメイン間信頼のサポートの改善
-----------------------------------------------
ドメインおよびフォレスト間信頼のサポートが顕著に改善され、
samba-tool コマンドの "domain trust" サブコマンドにより信頼関係の管理が
行えるようになった。

  create      - Create a domain or forest trust.
  delete      - Delete a domain trust.
  list        - List domain trusts.
  namespaces  - Manage forest trust namespaces.
  show        - Show trusted domain details.
  validate    - Validate a domain trust.

個々のドメイン間の外部信頼については、双方向の信頼が機能するように
なった。これはフォレストのルートドメイン間のフォレスト間信頼についても
言える。別フォレストへの信頼の移行は Kerberos において完全にサポート
されているが、NTLMSSP では未サポートである。

多くの機能が動作するようになったが、若干の制限事項が残っている:

  - 信頼関係は双方向に信頼する必要がある!
  - SID フィルタリングルールを適用してはならない!
  - これは、ドメインAのDCは、ドメインBに対して管理者権限でのアクセスを
    行うことが可能であることを意味する
  - 信頼するドメインのユーザやグループをドメイングループに追加することが
    できない

SMB 3.1.1 のサポート
--------------------
クライアントとサーバの双方に置いて、SMB 3.1.1 がサポートされた。

これは、Windows 10 で実装された dialect であり、SMB の dialect や機能の
ネゴシエーションをセキュアに行うことが可能となっている。

aes-gcm-128 アルゴリズムによる暗号化オプションが追加されているが、
現在のところは予備という位置づけであり、パフォーマンス上の理由で 
aes-ccm-128 が優先される。この実装は今後のバージョンでハードウェアに
よる暗号化がサポートされた際に変更となる可能性がある。

https://bugzilla.samba.org/show_bug.cgi?id=11451 も参照のこと。

新しい smbclient のサブコマンド
-------------------------------

  - ディレクトリに対して change notification を確認する: notify <dir name>
  - サーバ上でコピーを行う: scopy <source filename> <destination filename>

新しい rpcclient のサブコマンド
-------------------------------

  netshareenumall 	- Enumerate all shares
  netsharegetinfo 	- Get Share Info
  netsharesetinfo 	- Set Share Info
  netsharesetdfsflags	- Set DFS flags
  netfileenum		- Enumerate open files
  netnamevalidate	- Validate sharename
  netfilegetsec		- Get File security
  netsessdel		- Delete Session
  netsessenum		- Enumerate Sessions
  netdiskenum		- Enumerate Disks
  netconnenum		- Enumerate Connections
  netshareadd		- Add share
  netsharedel		- Delete share

新しいモジュール
----------------

  idmap_script 		- see 'man 8 idmap_script'
  vfs_unityed_media	- see 'man 8 vfs_unityed_media'
  vfs_shell_snap	- see 'man 8 vfs_shell_snap'

新しい疎結合の複製トポロジのサポート(KCC の改良)
----------------------------------------
KCC は Active Directory における DC 間の複製トポロジを制御している。現在の
Samba の KCC はフルメッシュ形式のトポロジを使用しているため、各 DC は他の
すべての DC と複製を行っている。これは大規模なネットワークには適していない。
Samba 4.3 では、Microsoft の実装に近い、フルメッシュでない疎結合の複製
トポロジを生成する新しい実験的な KCC がサポートされた。これはデフォルト
では無効となっており、smb.conf で "kccsrv:samba_kcc=true" を設定することで
有効となる。大規模なネットワークではこれを有効にするか、検討することを
推奨する。小規模なネットワークでは、あまりメリットはない。この機能は
後から変更することが可能である。

TLS でサポートされるプロトコルの変更とデフォルト値の改善
--------------------------------------------------------
"tls priority" パラメータにより、TLS でサポートされるプロトコルを変更する
ことが可能となった。デフォルトでは、もはやセキュアとは言えなくなった SSLv3 
が無効となっている。

samba-tool が 7 つの FSMO すべてをサポート
------------------------------------------

これまでの "samba-tool fsmo" では、既知となっている 5 つの FSMO のみを
表示、転送、強制することができた:
 
	Schema Master
	Domain Naming Master
	RID Master
	PDC Emulator
	Infrastructure Master

今後は、DNS に関する次の FSMO も表示、転送、強制が可能となる: 

	DomainDnsZones Infrastructure Master
	ForestDnsZones Infrastructure Master

CTDB ログ出力の変更
-------------------

CTDB ログ出力先は、新しく追加された CTDB_LOGGING 変数により設定される
ようになった。これは、CTDB_LOGFILE および CTDB_SYSLOG を置き換えるもの
であり、これらの変数は削除された。CTDB_LOGGING の詳細については、
ctdbd.conf(5) を参照のこと。

CTDB がログ出力用のデーモンを個別に起動することはなくなった。

CTDB の NFS サポートの変更
--------------------------
CTDB による NFS サービス管理が、単一の 60.nfs イベントスクリプトに
統合された。この新しい 60.nfs スクリプトでは、さまざまな NFS の実装に
対応するため、call-out を使用している。詳細は、ctdbd.conf(5) マニュアル
ページの CTDB_NFS_CALLOUT オプションを参照のこと。デフォルトの call-out
として Linux のカーネル NFS の実装に対応したものが提供されている。これは
NFS Ganesha 用に提供されていたサンプル call-out である 60.ganesha 
イベントスクリプトを元にしている。なお、60.ganesha イベントスクリプトは
削除された。

NFS の RPC チェックを構成する方法が改善された。詳細は
ctdb/config/nfs-checks.d/README を参照のこと。

クロスコンパイルのサポートの改善 
--------------------------------

A new "hybrid" build configuration mode is added to improve
cross-compilation support.

A common challenge in cross-compilation is that of obtaining the results
of tests that have to run on the target, during the configuration
phase of the build. The Samba build system already supports the following
means to do so:

  - Executing configure tests using the --cross-execute parameter
  - Obtaining the results from an answers file using the --cross-answers
    parameter

The first method has the drawback of inaccurate results if the tests are
run using an emulator, or a need to be connected to a running target
while building, if the tests are to be run on an actual target. The
second method presents a challenge of figuring out the test results.

The new hybrid mode runs the tests and records the result in an answer file.
To activate this mode, use both --cross-execute and --cross-answers in the
same configure invocation. This mode can be activated once against a
running target, and then the generated answers file can be used in
subsequent builds.

Also supplied is an example script that can be used as the
cross-execute program. This script copies the test to a running target
and runs the test on the target, obtaining the result. The obtained
results are more accurate than running the test with an emulator, because
they reflect the exact kernel and system libraries that exist on the
target.

スパースファイルのサポートの改善
--------------------------------
FSCTL_SET_ZERO_DATA および FSCTL_QUERY_ALLOCATED_RANGES という SMB2
リクエストのサポートが smbd に追加された。これにより、クライアントが
スパースファイル内の領域を解放したり、ファイル内で割り当て済の領域を
確認したりすることが可能となる。

######################################################################
変更パラメータ
#######

smb.conf changes
----------------

  Parameter Name		Description		Default
  --------------		-----------		-------
  logging			New			(empty)
  msdfs shuffle referrals	New			no
  smbd profiling level		New			off
  spotlight			New			no
  tls priority			New 			NORMAL:-VERS-SSL3.0
  use ntdb			Removed
  change notify			Changed to [global]
  kernel change notify		Changed to [global]
  client max protocol		Changed	default		SMB3_11
  server max protocol		Changed default		SMB3_11

削除されたモジュール
--------------------
vfs_notify_fam - '新しいFileChangeNotifyサブシステム'セクションを参照のこと

既知の問題点
============

現在のところなし。

##########################
バグ報告と開発に関する議論
##########################

本リリースに関する議論は、samba-technical メーリングリストで行うか、
irc.freenode.net 上の #samba-technical IRC チャンネルで行ってほしい。

問題を報告した際には、詳細なフィードバックをお願いしたい。問題を解決す
るのに必要な情報が提供されなかった場合、そのフィードバックは無視される
ことになる。バグ報告の全ては、Bugzilla のデータベース
(https://bugzilla.samba.org/) の "Samba 4.1以降" プロダクトに記録してほしい。


======================================================================
== Our Code, Our Bugs, Our Responsibility.
== The Samba Team
======================================================================

==================
ダウンロードの詳細
==================

圧縮されていない tar アーカイブとパッチファイルは GnuPG (ID 6568B7EA)
によって署名されている。ソースコードは以下からダウンロード可能である:

        https://download.samba.org/pub/samba/stable/

リリースノートは以下から参照可能である:

        https://www.samba.org/samba/history/samba-4.3.0.html


Our Code, Our Bugs, Our Responsibility.
(https://bugzilla.samba.org/)

                        --Enjoy
                        The Samba Team

---
TAKAHASHI Motonobu <monyo @ monyo.com> / @damemonyo 
                   facebook.com/takahashi.motonobu



samba-jp メーリングリストの案内