После шести месяцев разработки подготовлен релиз Samba 4.9.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).

Ключевые изменения в Samba 4.9:

• Реализован новый экспериментальный бэкенд LDB на базе библиотеки LMDB, позволяющий создавать БД больше 4 Гб. Для включения нового бэкенда следует использовать опцию "--backend-store=mdb". Для сборки требуется наличие версии lmdb выше 0.9.16;
• Добавлена поддержка объектов установки паролей (PSO - Password Settings Objects или FGPP - Fine-Grained Password Policies). PSO позволяет для отдельных пользователей или групп переопределить правила установки пароля, заданные в Active Directory. Например, для выборочных пользователей можно потребовать установки более длинных паролей или отменить ограничения по сложности пароля. Настройка PSO выполняется командой 'samba-tool domain passwordsettings pso';
• Добавлена команда 'samba-tool domain backup online' для созданий файла с резервной копией БД для указанного домена Active Directory, а также команда и 'samba-tool domain backup restore' для восстановления состояния сервисов Samba на основе ранее сохранённого бэкапа;
• Добавлена базовая поддержка переименования доменов Samba. Переименование производится в два шага: вначале для клонирования БД домена запускается команда 'samba-tool domain backup rename', а затем полученный файл с резервной копией БД восстанавливается под новым именем домена при помощи команды 'samba-tool domain backup restore';
• Реализован плагин локальной авторизации для MIT Kerberos, который через winbind управляет взаимодействием между пользователем в Kerberos и учётной записью в Active Directory. На входе указывается пользователь (principal) Kerberos и имя локальной учётной записи, после чего определяется их соответствие и выдаётся канонизированный вариант (например, если пользователь зашёл как "alice", а samAccountName выставлен в "ALICE", для Kerberos будет возвращено имя "ALICE");
• Добавлена поддержка аудита базы данных sam.ldb. Для ведения лога операций с БД предложены отладочные классы "dsdb_audit" и "dsdb_json_audit", а также классы "dsdb_transaction_audit" и "dsdb_transaction_json_audit" для ведения лога принятых и отклонённых транзакций;
• Добавлена поддержка аудита операций изменения пароля в AD DC. Ведение лога смены паролей включается при помощи новых отладочных классов "dsdb_password_audit" и "dsdb_password_json_audit";
• Добавлена поддержка аудита операций изменения принадлежности пользователей к группе, которая включается через отладочные классы "dsdb_group_audit" и "dsdb_group_json_audit";
• Обеспечено сохранение в логе (только для формата JSON) продолжительности стадии аутентификации для NTLM и Kerberos KDC;
• В модуле аудита файловой системы vfs_full_audit с "all" на "none" изменён используемый по умолчанию набор отслеживаемых успешных и не успешных операций (т.е. по умолчанию теперь не выполняются все возможные отслеживания, что помогает защититься от потенциальных DoS-атак при подключении данного модуля к объектам VFS). Кроме того, в модули vfs_audit, vfs_ext_audit и vfs_full_audit добавлена поддержка всех корректных объектов syslog;
• Добавлена новая команда "net ads setspn" для управления Windows SPN (Service Principal Names) в Active Directory. По функциональности команда близка к утилите 'setspn.exe' и также позволяет добавлять, удалять и просматривать список Windows SPN, хранимый в объекте Computer из Windows AD;
• Расширена функциональность команды 'net ads keytab'. Изменено поведение подкоманды "net ads keytab add", которая больше не преобразует в Windows SPN переданный класс сервиса (nfs, html и т.п.) и не добавляет его в объект Computer в Windows AD. По умолчанию изменения ограничиваются только файлом keytab. Для воссоздания старого поведения добавлена новая подкоманда 'add_update_ads', а также предложено использовать отдельную команду 'net ads setspn add' для внесения изменений в Windows SPN;
• Для сборки Samba AD DC по умолчанию требуется наличие библиотеки Jansson. При сборке без AD DC ("--without-ad-dc") от данной зависимости можно отказаться передав в configure параметр "--without-json-audit";
• Добавлены новые возможности для диагностики проблем при репликации DRS: В команду 'samba-tool drs showrepl' добавлена опция "--summary" для вывода сводки о работоспособности репликации. Реализована новая команда 'samba-tool visualize uptodateness' для визуализации задержек при репликации;
• В команду 'samba-tool computer' добавлена возможность манипуляции учётными записями в объекте Computer, в том числе создания нового экземпляра объекта и сброса пароля. Данные операции допускают введение сервера или рабочей станции в домен Samba AD в режиме offline;
• Добавлена новая команда 'samba-tool ou' для управления организационными единицами (OU - Organizational Units). Поддерживаются подкоманды create, delete, move, rename, list и listobjects для создания, удаления, перемещения, переименования OU, а также вывода списка OU и находящихся в них объектов. Кроме того добавлены отдельные команды samba-tool для управления пользователями и группами: "group move" и "user move" для перемещения пользователя в организационную единицу, "user show" для показа привязанных к пользователю объектов AD;
• Утилита для тестирования производительности 'traffic_reply' адаптирована для применения с Microsoft Windows AD, а не только с Samba AD;
• При выполнении операции 'samba-tool domain demote' по умолчанию и в режиме '--remove-other-dead-server' теперь осуществляется чистка записей в DNS. Дополнительно для автоматической чистки записей в DNS можно использовать команду 'samba-tool dns cleanup';
• Значительно увеличена производительность работы команды 'samba-tool ntacl sysvolreset';
• Обеспечено тестирование Samba с использованием системы непрерывной интеграции на базе GitLab;
• Добавлена поддержка очистки записей, динамически заведённых в DNS, после определённого времени их неактивности. Режим чистки включается в smb.conf при помощи директивы "dns zone scavenging = yes";
• Улучшена поддержка доверенных доменов и лесов (Trusted Domain и Trusted Forest). Поддержка внешних доверенных доменов и переходных доверенных лесов для аутентификации Kerberos и NTLM теперь поддерживается в обоих направлениях (inbound и outbound). Добавлена возможность добавления пользователей и групп из доверенных доменов в группы доменов. Обеспечено автоматическое создание объектов foreignSecurityPrincipal (FPO), когда в группу добавляются члены доверенных доменов и лесов. В команде 'samba-tool group *members' теперь допустимо указывать внешние SID-идентификаторы членов групп;
• Полностью переработана конфигурация CTDB. Опции фонового процесса и утилит теперь задаются в новом файле конфигурации ctdb.conf. Настройки, определяющие параметры запуска, задаются в специфичных для дистрибутивов файла конфигурации (см. man ctdb.sysconfig). Параметры для тюнинга загружаются из файла ctdb.tunables (указание CTDB_SET_TunableVariable=value в основной конфигурации больше не поддерживается). Удалены или изменены многие опции ctdbd, настройки ctdbd.conf и скрипты обработки событий.

  Скрипты обработки событий перемещены в каталог scripts/legacy, а скрипты вывода уведомлений в каталог scripts/notification. Все скрипты должны поставляться с расширением ".script". Скрипты обработки событий больше не настраиваются в общем конфигурационном файле, а указываются индивидуально для каждого скрипта (например, для скрипта 50.samba создаётся файл конфигурации 50.samba.options, а для общих настроек используется файл script.options).

• Команда 'samba_gpoupdate' переименована в 'samba_gpupdate', а синтаксис её вызова приближен к аналогичной утилите для Windows.