Das Release von UCS 4.1 bringt unter anderem die aktuelle Samba Version 4.3.1 mit. In diesem Artikel möchte ich auf die damit einhergehenden Verbesserungen und neuen Features sowie auf deren Integration in Univention Corporate Server eingehen.
Ein neues Samba Release enthält in der Regel eine beträchtliche Anzahl an Bugfixes, die nur für ganz bestimmte Kontexte von Bedeutung sind. Dies erfordert deshalb im Vorfeld einen hohen Aufwand an Recherche durch das Samba Team und die Bug Reporter.
Während diese Detailarbeit an Bugs normalerweise bei den Patchlevel Releases dominiert, bringt das Update von 4.2.3 auf 4.3.1 auch einige strukturelle Verbesserungen mit. So unterstützt Samba nun beispielsweise die SMB Protokollversion 3.1.1, die aktuelle Version des SMB Protokolls, die sowohl von Windows 10 als auch vom technischen Preview von Windows Server 2016 gesprochen wird. Einige der Entwickler des Samba Teams haben sich außerdem um die Verbesserung der Performance der Verschlüsselungs-Algorithmen gekümmert, die für versiegelte (verschlüsselte) SMB-Verbindungen verwendet werden. Das sollte helfen, die allgemeine Performance zu verbessern und die Last auf File-Servern zu reduzieren.
Während es sich bei einigen der Entwicklungen um wichtige und interessante, grundsätzliche Verbesserungen handelt, haben manche noch nicht den Reifegrad erreicht, um für die aktuelle Weiterentwicklung von UCS von Bedeutung zu sein. So gibt es beispielsweise einen beachtlichen Fortschritt bei der Unterstützung von Vertrauensstellungen zwischen Domänen. Gleichzeitig gibt es hier aber auch noch eine Liste von noch zu erledigenden, technischen Anforderungen, die erst erfüllt werden müssen, um dieses Feature auch sicher in einer produktiven Umgebung einsetzen zu können.
Beim Thema Erhöhung der Sicherheit ermöglicht Samba nun die Anpassung der Liste von unterstützten TLS-Verschlüsselungsmechanismen. Als ein erster Schritt ist SSLv3 nun standardmäßig deaktiviert.
Ein neues Samba Release macht auch immer einige Anpassungen im UCS Quellcode selbst und in anderen Bereichen wie zum Beispiel dieses Mal bei der Migration von Samba 3 zu Samba 4 oder im UCS Takeover Code nötig. So überträgt beim AD Takeover das UCS System nun auch die DNS Infrastrukturrolle zum UCS Samba / Active Directory Domain Controller (Samba/AD DC).
Für eine Neuinstallation initialisiert UCS nun die Samba/AD Domäne mit einem Domänen-Funktionslevel von 2008 R2. Als eine Konsequenz daraus generiert Samba nun auch standardmäßig AES 128 und AES 256 Kerberos Schlüssel.
Diese Änderungen genauso wie die Verbesserungen in der DNS Replikation des S4-Konnektors, die bereits vor kurzem in einem Errata Update für UCS 4.0-3 ausgeliefert wurden, verbessern gleichermaßen die Benutzererfahrung der Administratoren sowie die der Nutzer der Windows-Dienste, die UCS 4.1 bietet.