[samba-jp:22915] Samba 4.8.0 リリースノートの翻訳(Re: [FYI] Samba 4.8.0 が出ました)
TAKAHASHI Motonobu/高橋 基信
monyo @ monyo.com
2019年 1月 14日 (月) 19:28:26 JST
たかはしもとのぶです。
こちらも、ほとんど1年前ですが、訳だけしてみました。
<https://www.samba.org/samba/history/samba-4.8.0.html>
AD (Winbind含)関連以外は、細かい機能強化、改善といった感じかなと
思います。
========================================================
"It is time that we all see gender as a
spectrum instead of two sets of
opposing ideals. We should stop
defining each other by what we are not
and start defining ourselves by who we
are."
Emma Watson
========================================================
Release Announcements
---------------------
これは、Samba 4.8 系列の最初の安定版リリースである。
アップグレード前に、以下のリリースノートを熟読すること。
アップグレード
==============
AD DC の sam.ldb における GUID インデックスモードの新規サポート
---------------------------------------------------------------
Samba AD DC のインプレースアップグレードを行った場合、Samba の初回
起動時に sam.ldb のインデックス再構築に伴い、若干の遅延の発生に
気づいたことだろう。
以前のリリースと異なり、透過的なダウングレードはできない。この DB を
Samba 4.7 以前にダウングレードしたい場合は、
source4/scripting/bin/sambaundoguididx スクリプトを先に実行すること。
ドメインメンバ設定時の winbindd 必須化
--------------------------------------
"security = domain" もしくは "security = ads" 設定時に、winbindd の
起動が必要となる。smbd が直接ドメインコントローラと通信する形態への
フォールバックは廃止された。
smbclient reparse point symlink parameters reversed
---------------------------------------------------
以降の詳細説明を参照のこと。
wbinfo -m --verbose における信頼されたドメイン一覧の変更
--------------------------------------------------------
以降の詳細説明を参照のこと。
新機能および変更点
==================
AD DC の sam.ldb における GUID インデックスモードの新規サポート
---------------------------------------------------------------
sam.ldb で使われる新しいレイアウトは DN ベースから GUID ベースと
なった。これにより、Samba の Active Directory ドメインコントローラの
データベースが、特に大規模環境においてより高速化された。
下位のデータベースには、引き続き TDB が用いられているため、変更された
のはキーの選択のみである。
新しい形式はオプションではないため、設定項目はない。古いバージョンの
Samba は新しいデータベースを参照できない(アップグレードに関する注意
点を参照)。
KDC の GPO サポート
-------------------
Samba KDC に対するグループポリシーのサポートが追加された。これには
パスワードポリシー (最短、最長のパスワード有効期間、パスワードの
最低文字数、複雑性)および Kerberos ポリシー(ユーザーやサービス
チケットの有効期限、更新期限)が含まれる。
ポリシーの適用、解除のために samba_gpoupdate スクリプトが追加された。
次の設定により、ポリシーは自動適用される。
'apply group policies = yes'.
vfs_fruit における Time Machine サポート
----------------------------------------
Samba は vfs_fruit モジュールにより、Apple Mac 機器の Time Machine
のターゲットとして構成することができる。共有で Time Machine サポートを
有効化すると、探索を行うための Avahi レコードが、Avahi クライアント
ライブラリが有効化されたサービス用に登録される。
共有を Time Machine 用の共有として構成する際は、次の設定を行う。
'fruit:time machine = yes'
MDNS 名における小文字のサポート
-------------------------------
MDNS によりアドバタイズされるサーバ名として、Samba の NETBIOS 名では
なくホスト名を用いることが可能となった。これにより、管理者は Samba が
登録する MDNS レコードとして、すべて大文字のものではなく、ホスト名と
同じ大文字小文字にすることができる。
この機能を有効にする際は、次の設定を行う。
'mdns name = mdns'
シークレットの暗号化
--------------------
センシティブだと考えられる属性がディスク上で暗号化されるようになった。
センシティブな値は現在以下の通りである。
pekList
msDS-ExecuteScriptPassword
currentValue
dBCSPwd
initialAuthIncoming
initialAuthOutgoing
lmPwdHistory
ntPwdHistory
priorValue
supplementalCredentials
trustAuthIncoming
trustAuthOutgoing
unicodePwd
clearTextPassword
この暗号化は、新規プロビジョニングもしくは参加時にデフォルトでは
自動で行われる。新規オプションの '--plaintext-secrets' により、
プロビジョニングもしくは参加の際に、この機能を無効にできる。
ただし、インプレースアップグレードの場合、データベースの暗号化は
行われない点に注意。
いったん暗号化されると、インプレースダウングレード(例えば 4.7 へ)が
不可能となる。データベースの暗号化されていないコピーを取得するには、
新規 DC を参加させる際に '--plaintext-secrets' オプションを指定する
必要がある。
キーファイル "encrypted_secrets.key" がデータベースと同じディレクトリ
に作成される。このファイルは「決して」公開しないこと。このファイルは
samba_backup スクリプトの対象に含まれる。
Active Directory 複製の視覚化
-----------------------------
複製状況から何が発生しているかを確認する方法として、視覚化は有効な
手段の一つである。samba-tool のサブコマンドにより、Graphviz の DOT
形式で出力させ、そこから DC 間のホップ数に基づくテキストベースの
ヒートマップを作成することが可能となった。
これには二つのサブコマンド、二つのグラフィックモード、
> There are two subcommands, two graphical modes, and (roughly) two modes of
> operation with respect to the location of authority.
>
`samba-tool visualize ntdsconn` は NTDS の接続オブジェクトを参照する。
`samba-tool visualize reps` は repsTo および repsFrom オブジェクトを
参照する。
'--distance' モード(デフォルト)においては、DC 間の距離(distance)
のマトリクスが端末上に表示される。'--color=yes' を指定することで、
ヒートマップがカラーで描画される。'--utf8' により、若干の整形が
行われる。
'--dot' モードにおいては、Graphviz 用の DOT 形式の出力が生成される。
dot や xdot を用いると、ネットワークが DC 同士がコネクションで
結ばれたグラフとして表示される。場合によっては、問題のある
コネクションが、別の色もしくは線の形式で表示されることがある。
> When viewed using
> dot or xdot, this shows the network as a graph with DCs as vertices
> and connections edges. Certain types of degenerate edges are shown in
> different colours or line-styles.
>
smbclient のリパースポイントのシンボリックリンクに関する引数の変更
------------------------------------------------------------------
smbclient のバグにより、'symlink' コマンドが Windows サーバ上で
リパースポイントのシンボリックリンクを作成する際、新しい名前と
リンク先の情報が逆になっていた。
この機能はあまり使われないこともあり、パラメータの並び順が UNIX
extension の 'symlink' コマンドの順番と同じ順番に変更された。
このコマンドのヘルプメッセージも、混乱を避けるために改善された。
Winbind の変更
--------------
winbindd プロセス内にある信頼されたドメインのグローバルリストへの
依存性が顕著に減少した。
グローバルリストの構築は信頼性が低く、信頼関係の複雑な設定のため、
頻繁に不完全なものとなる。多くの場合、winbindd が適切に動作する上で
このリストは不要となった。これには、autorid, tdb, ad などを用いた
単純な idmap による SMB 経由でのファイルサービスが含まれる。ただし、
idmap のバックエンドの設定をドメインごとに行うなど、複雑な設定を
行った際には、このリストが必要である。pam_winbind のいくつかの設定に
おいても、このグローバルリストが必要となる。
グローバルリストを必要としない場合は、
"winbind scan trusted domains = no" を設定すること。
信頼されるドメイン(AD DC における)のサポート改善
--------------------------------------------------
信頼されるドメインおよびフォレストのサポートが顕著に向上した。
外部ドメイン信頼については、
推移的なフォレスト間信頼と同様、外部ドメインの信頼についても、
双方向(入力方向、出力方向)で、Kerberos 認証、NTLM 認証ともに
サポートされた。
LSA LookupName および LookupSid などの実装により、信頼先の
ドメイン、フォレスト上の名前や SID の解決がサポートされた。これは
Samba ベースのドメインメンバが信頼関係を活用するうえで重要な点で
ある。
ただし、現時点ではまだ多少の制限事項が残っている。
- 信頼されたドメインのユーザやグループをドメイングループに追加
することができない。つまりグループのメンバ構成が信頼関係先に
展開されない。
詳細は https://bugzilla.samba.org/show_bug.cgi?id=13300 を参照。
- 信頼関係の双方は、互いに双方向の信頼関係を確立する必要がある。
- SID フィルタリングルールは適用されない。
- このため、ドメイン A の DCにドメイン B の管理者権限を付与する
ことができてしまう。※DC は管理者の誤り?
- 選択的(selective)な (CROSS_ORGANIZATION) 認証はサポートされて
いない。このような信頼関係の確立自体は可能だが、KDC や winbindd
はそれを無視する。
wbinfo -m --verbose における信頼されたドメイン一覧の変更
--------------------------------------------------------
wbinfo -m --verbose で出力される信頼関係に関する情報が修正され、
wbinfo が実行されたシステムの状態が適切に反映されたものになった。
特に、Trust Type フィールドで追加された値については、次のように
信頼のタイプを適切に反映したものとなった:
- "Local" ローカルの SAM および BUILTIN
- "Workstation" プライマリドメインとワークステーション間の信頼
- "RWDC" for AD DC の SAM
- "RODC" 読み取り専用 DC の SAM
- "PDC" NT4 形式の DC の SAM
- "Forest" AD のフォレスト間信頼
- "External" 隔離(quarantined)された外部もしくは NT4 形式の信頼
間接的な信頼関係は、"Routed" と表示され、ルーティングを行っている
ドメインも表示される。
以下に AD DC (SDOM1) 上での実行例を示す。
Domain Name DNS Domain Trust Type Transitive In Out
BUILTIN Local
SDOM1 sdom1.site RWDC
WDOM3 wdom3.site Forest Yes No Yes
WDOM2 wdom2.site Forest Yes Yes Yes
SUBDOM31 subdom31.wdom3.site Routed (via WDOM3)
SUBDOM21 subdom21.wdom2.site Routed (via WDOM2)
以下は、同じ環境における WDOM2 のメンバサーバ上での実行例である。
Domain Name DNS Domain Trust Type Transitive In Out
BUILTIN Local
TITAN Local
WDOM2 wdom2.site Workstation Yes No Yes
WDOM1 wdom1.site Routed (via WDOM2)
WDOM3 wdom3.site Routed (via WDOM2)
SUBDOM21 subdom21.wdom2.site Routed (via WDOM2)
SDOM1 sdom1.site Routed (via WDOM2)
SUBDOM11 subdom11.wdom1.site Routed (via WDOM2)
不明なドメインのユーザが認証に成功したという事象が発生した際は、
信頼関係のリストが不完全な状態であったり、追加されたドメインが
"Routed" と扱われたりしている場合がある。
VirusFilter VFS モジュール
--------------------------
この新しいモジュールは Sophos, F-Secure, ClamAV といったウイルス
対策ソフトウェアと連携して動作し、Samba の共有上にあるファイルの
スキャンやフィルタリング機能を提供する。
削除された機能
==============
'net serverid' コマンドの削除
-----------------------------
'net serverid list' および 'net serverid wipe' コマンドは削除された。
これは、serverid.tdb ファイルが利用されなくなったことによる。
'net serverid list' の機能は、Samba の "lock direcotory" 配下にある
"msg.lock" サブディレクトリ内のファイルを一覧することで代替される。
'net serverid list' で一覧されていたユニーク ID は、"msg.lock" 配下に
ある各プロセスのロックファイル内に格納されている。
'net serverid wipe' は不要となった。これは、主にクラスタ化された環境で
片系がクラッシュした際 serverid.tdb ファイルが適切にクリーンアップ
されていない状況で有用であった。現在 smbd や winbind は、msg.lock
および msg.sock ディレクトリ内のクリーンアップを自動的に実施する。
net コマンドによる NT4 形式の複製機能の削除
-------------------------------------------
以下のコマンドおよびサブコマンドが "net" コマンドから削除された。
net rpc samdump
net rpc vampire ldif
これに伴い、実際の NT4 ドメインからの "net rpc vampire" および
"net rpc vampire keytab" による複製機能も削除された。
NT4 ベースのコマンドは、2013 年以降ひっそりと機能不全に陥っていたが、
誰も気づいていなかった。そのため、これをテスト対象に含めて修正する
(そのためには、この機能のために我々が保持していないサーバを構築
することとなる)よりは、削除する決断を下した。
同様の理由で、"samsync", "samdeltas", "database_redo" コマンドが、
rpcclient から削除された。
Active Directory からの "net rpc vampire keytab" は、引き続き
サポートされる。
vfs_aio_linux モジュールの削除
------------------------------
現在の Linux カーネルの aio は Samba の挙動と親和性がない。この API
を利用したコードをリリースすることは誤解を招きかねない。Samba は
スレッドベースの非同期 I/O をデフォルトで実装しており、ディスクへの
読み書きリクエストを並列実行するうえで、追加のモジュールを必要と
しない。
smb.conf の変更点
=================
Parameter Name Description Default
-------------- ----------- -------
apply group policies New no
auth methods Removed
binddns dir New
client schannel Default changed/ yes
Deprecated
gpo update command New
ldap ssl ads Deprecated
map untrusted to domain Removed
oplock contention limit Removed
prefork children New 1
mdns name New netbios
fruit:time machine New false
profile acls Removed
use spnego Removed
server schannel Default changed/ yes
Deprecated
unicode Deprecated
winbind scan trusted domains New yes
winbind trusted domains only Removed
CHANGES SINCE 4.8.0rc4
======================
(省略)
KNOWN ISSUES
============
https://wiki.samba.org/index.php/Release_Planning_for_Samba_4.8#Release_blocking_bugs
#######################################
Reporting bugs & Development Discussion
#######################################
Please discuss this release on the samba-technical mailing list or by
joining the #samba-technical IRC channel on irc.freenode.net.
If you do report problems then please try to send high quality
feedback. If you don't provide vital information to help us track down
the problem then you will probably be ignored. All bug reports should
be filed under the Samba 4.1 and newer product in the project's Bugzilla
database (https://bugzilla.samba.org/).
======================================================================
== Our Code, Our Bugs, Our Responsibility.
== The Samba Team
======================================================================
================
Download Details
================
The uncompressed tarballs and patch files have been signed
using GnuPG (ID 6F33915B6568B7EA). The source code can be downloaded
from:
https://download.samba.org/pub/samba/stable/
The release notes are available online at:
https://www.samba.org/samba/history/samba-4.8.0.html
Our Code, Our Bugs, Our Responsibility.
(https://bugzilla.samba.org/)
--Enjoy
The Samba Team
--
TAKAHASHI Motonobu/高橋 基信 <monyo @ monyo.com>
-----Original Message-----
From: ribbon @ samba.gr.jp
Sent: Thu, 15 Mar 2018 11:50:04 +0900
To: samba-jp @ samba.gr.jp
Subject: [samba-jp:22847] [FYI] Samba 4.8.0 が出ました
https://www.samba.org/samba/history/samba-4.8.0.html
にあるように、Samba 4.8.0 が出ました。
これにより、Samba 4.5.x はサポート終了となります。
Samba の日本語訳は、まだ4.7.x が終わっていませんが、
早急にリリースするようにします。
おおた@さんば
samba-jp メーリングリストの案内