Es ist nicht die einzige Verbesserung, aber eine bedeutsame: Samba 3.6.0 beherrscht das SMB-2-Protokoll, das Microsoft mit Windows Vista eingeführt hatte. Die SMB-2-Unterstützung ist zunächst nicht als Default eingeschaltet. Sie muss nachträglich mit der Direktive "max protocol = SMB2" im [global]-Bereich der Samba-Konfigurationsdatei smb.conf und Samba-Neustart aktiviert werden. Wie die Samba-Entwickler auf ihre Webseite mitteilen, funktioniere alles bis auf die Modifzierung von Benutzer-Quotas mit den Quota-Management-Tools von Windows.
Des Weiteren wurden einige Sicherheitsvoreinstellungen geändert. Das betrifft die drei Direktiven:
client ntlmv2 auth = yes
client use spnego principal = no
send spnego principal = no
Die Voreinstellung "client ntlmv2 auth = yes" sorgt dafür, dass NTLM-Authentikation nicht standardmäßig genutzt wird und betrifft Clients wie smbclient und winbind. Um die schwächere NTLM-Verschlüsselung wieder einzuschalten, müsse der Benutzer die Direktive auf den Wert "no" setzen. Die Direktive "client use spnego principal = no" ist wichtig für den Umgang mit Kerberos. Mit dieser Einstellung verhält sich Samba eher wie Windows, wenn es per Kerberos mit einen CIFS-Server kommuniziert. Die Direktive "send spnego principal = no" betrifft Windows 2008. Sie sorgt für ein konsistenteres Verhalten zwischen Samba und Windows 2008 einerseits und zwischen Windows-Versionen, die diesen Unsicherheitsfaktor nicht mehr verwenden.
Hinzu kommen weitere Veränderungen etwa im Spoolss-Code. Der wurde zusammen mit dem alten RAP-Druckcode so überarbeitet, dass alle Lanman-Druckaufrufe über die Spoolss-RPC-Schnittstellen erfolgen. Der Vorteil dabei sei der, so die Entwickler, dass alles an einer Stelle überprüft werden könne und man so Spezialfälle im Haupt-Printing-Code vermeide.
Weiter Neuerungen
Das ID-Mapping wurde ebenfalls überarbeitet und die Methoden zum Speichern und Löschen der ID-Mappings aus dem winbindd-API verbannt. Als Folge daraus wurden auch die "net idmap dump/restore"-Kommandos neu geschrieben; sie kommunizieren nun direkt mit den entsprechenden tdb- und tdb2-Backends (für LDAP fehtl die Implementierung allerdings noch). In dem Zusammenhang wurde auch die standardmäßige IDMAP-Konfiguration geändert; die Parameter "idmap uid", "idmap gid" und "idmap range" sind nun veraltet und haben den systematischeren "idmap config * : range" und "idmap config * : backend" Platz gemacht. Mit dieser Änderung der Konfiguration soll dem Benutzer klar gemacht werden, dass selbst das einfache IP-Mapping nicht mehr so arbeitet wie in den Samba-3.0-Versionen.
Zusätzliche Neuerungen gibt es in Winbind und bei den Endpoint-Mappern. Winbind nutzt nun anstelle der passdb-Funktionen die internen samr- und lsa-RPC-Pipes für Nutzer- und Gruppeninformationen. Über die Enpoint-Mapper, quasi ein DNS-Server für Ports, spricht man RPC-Services via TCP/IP an. Der Code ist allerdings in der Voreinstellung nicht eingeschaltet, da er noch weiter getestet werden muss. Aktiviert wird er mit "rpc_server:epmapper = daemon" in der smb.conf-Datei.
Neu ist auch das Tool smbta-util, mit dem die Verschlüsselung des SMB-Traffic-Analyzers kontrolliert werden kann. Weitere Informationen dazu stehen auf der entsprechenden Webseite.
Und auch NFS-Nutzer kommen auf ihre Kosten. Ein auf Solaris und FreeBSD basierendes NFS-Quota-Backend für Linux wurde hinzugefügt. Damit kann Samba korrekte Daten über den freien Plattenplatz für NFS-Importe kommunizieren, die als Samba-Shares wieder exportiert werden. (Thomas Hümmler)