The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Выпуск Samba 4.7.0 "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск Samba 4.7.0 "  +/
Сообщение от opennews (??) on 22-Сен-17, 00:42 
После шести месяцев разработки опубликован (https://lists.samba.org/archive/samba-announce/2017/000420.html) релиз Samba 4.7.0 (http://www.samba.org/), продолживший развитие ветки Samba 4 (https://www.opennet.ru/opennews/art.shtml?num=35571) с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию  файлового сервера, сервиса печати и сервера идентификации (winbind).

Ключевые изменения (http://www.samba.org/samba/history/samba-4.7.0.html) в Samba 4.7:


-  После четырёх лет разработки в Samba реализована (https://wiki.samba.org/index.php/Running_a_Samba_AD_DC_with_...) поддержка компиляции и запуска Active Directory с MIT Kerberos (вместо Heimdal Kerberos). Использование MIT Kerberos активируется опцией "--with-system-mitkrb5" в скрипте configure и требует наличия как минимум MIT Kerberos версии 1.15.1  и установки пакеов krb5-devel и krb5-server. По сравнению со сборкой с Heimdal пока отсутствует поддержка PKINIT, S4U2SELF/S4U2PROXY и RODC;


-  Добавлены (https://wiki.samba.org/index.php/Setting_up_Audit_Logging) средства для аудита механизмов аутентификации и авторизации, позволяющие сохранять в логе детальную информацию о входах пользователей, включая IP-адрес клиента, имя пользователя, тип операции и сопутствующие параметры. Для записи данных аудита в лог введены два новых класса отладочной информации: "auth_audit" и "auth_json_audit" для обычных текстовых логов и записей в формате JSON;

-  LDAP-сервер для контроллера домена Active Directory переведён на многопроцессную модель работы и теперь может одновременно запускать несколько процессов-обработчиков;


-  Внесены изменения в поведение утилиты 'smbclient': Прекращён вывод баннера 'Domain=[...] OS=[Windows 6.1] Server=[...]' при соединении с первым сервером. Максимальная версия протокола по умолчанию повышена до "SMB3_11", что позволяет использовать 'smbclient' с серверами без поддержки SMB1, но по умолчанию не задействует unix-расширения SMB1. Добавлена новая команда 'deltree' для рекурсивного удаления дерева каталогов;

-  Обеспечено применение полной блокировки всей БД LDB на чтение для обеспечения согласованности данных при выполнении операций поиска в LDAP и репликации (в прошлых выпуска применялась блокировка на уровне записей, что могло приводить к состоянию гонки при переименовании или удалении и сбоям (https://bugzilla.samba.org/show_bug.cgi?id=12858) при  репликации и поиске);

-  Изменён диапазон сетевых портов, используемых в сервисах RPC. Вместо портов "1024-1300" теперь применяются порты "49152-65535" по аналогии с Windows Server 2008 и более новыми выпусками. Для изменения диапазона портов можно использовать опцию "rpc server dynamic port range";

-  Стабилизированы средства для создания контроллеров домена, работающих в режиме только для чтения (RODC, Read-Only Domain Controller). Ранее поддержка RODC находилась в категории экспериментальных возможностей. В Samba 4.7.0 проведена работа по устранению критических ошибок и проблем с совместимостью, что позволило перевести  режим в разряд рекомендованных к использованию;

-  Добавлена возможность хэширования паролей при помощи алгоритмов SHA-256 и SHA-512  вместо применения обратимого шифрования в атрибуте supplementalCredentials. Для генерации хэшей реализована опция  'password hash userPassword schemes', а также добавлены средства для извлечения хэшей в утилиту 'samba-tool';

-  При выполнении команды подсоединения к контроллеру домена ("samba-tool domain join") через  RPC обеспечено создание записей A и GUID в DNS, а также динамической генерации элемента mname  в записи SOA;

-  Существенно увеличена производительность поиска в Active Directory и репликации информации о членах группы. Ускорение обеспечено за счёт сохранения в БД отсортированных атрибутов, привязанных к членам группы, на разбор которых раньше тратилось много ресурсов CPU. В итоге, операции поиска  существующих членов группы теперь выполняются в два раза быстрее, чем в прошлых выпусках Samba. Также увеличена производительность поиска непроиндексированных данных в LDAP и разбор  списков управления доступом;

-  При генерации самоподписанных сертификатов для LDAPS теперь применяется алгоритм SHA256 вместо  SHA1;
-  Представлена порция улучшений в компоненте CTDB, отвечающем за работу кластерных конфигураций, в том числе добавлен новый тип БД "replicated", реализована переменная конфигурации CTDB_NFS_CHECKS_DIR и запрещено использование разных версий CTDB в кластере;

-  При сборке на системах x86_64 реализована поддержка процессорных инструкций  AES для ускорения шифрования и создания цифровых подписей в SMB3. Для включения следует использовать сборочную опцию "--accel-aes=intelaesni";

-  По умолчанию активирован параметр конфигурации "strict sync",  обеспечивающий безопасный способ сброса буферов на диск при выполнении запросов на синхронизацию незаписанных данных в smbd;

-  Опция 'ntlm auth' переименована в  'ntlmv2-only' и расширена поддержкой режимов 'mschapv2-and-ntlmv2-only' (разрешает MSCHAPv2, но запрещает NTLMv1)
и 'disabled' (запрещает аутентификацию NTLM  и смену пароля).

URL: https://lists.samba.org/archive/samba-announce/2017/000420.html
Новость: http://www.opennet.ru/opennews/art.shtml?num=47245

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выпуск Samba 4.7.0 "  –4 +/
Сообщение от Аноним (??) on 22-Сен-17, 00:42 
лучше бы домашнюю группу реализовали.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Выпуск Samba 4.7.0 "  +42 +/
Сообщение от Аноним (??) on 22-Сен-17, 02:21 
^
ловите норкомана
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

56. "Выпуск Samba 4.7.0 "  +4 +/
Сообщение от Led (ok) on 22-Сен-17, 23:19 
> лучше бы домашнюю группу реализовали.

Тебе не о домашней, а продлённой группе думать нужно. И там же домашку и делать.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Выпуск Samba 4.7.0 "  +/
Сообщение от foi on 22-Сен-17, 02:19 
Я надеюсь, что теперь работа с smb шарами по протоколу выше 1 не будет вызывать спорадическую i/o error
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Выпуск Samba 4.7.0 "  +/
Сообщение от evkogan on 22-Сен-17, 08:17 
Она и так уже не вызывает, по крайней мере в качестве клиента. Пользуйте ядро поновее.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Выпуск Samba 4.7.0 "  +/
Сообщение от Онаним on 22-Сен-17, 02:23 
Кто знает, подскажите: а есть ли вообще какие-нибудь внятные альтернативы Active Directory? Скажем если в сети все или почти все компы на Linux - поднимать виндосервер или его самба-имитацию кажется извратом, но как ещё можно реализовать централизованную базу пользователей и ресурсов?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Выпуск Samba 4.7.0 "  +/
Сообщение от LDAP on 22-Сен-17, 02:29 
LDAP?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

37. "Выпуск Samba 4.7.0 "  +/
Сообщение от пох on 22-Сен-17, 12:57 
> LDAP?

+kerberos - иначе какая ж она "централизованная".
И получаем тот же AD, только "всем хуже".

(включая и бесконечные дырья что в лдапе, что в хеймдале)
Ну и зачем, спрашивается, старались?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

69. "Выпуск Samba 4.7.0 "  –1 +/
Сообщение от Аноним (??) on 23-Сен-17, 17:49 
> LDAP?

Это не продукт, а технология. Чел хотел готовый (бесплатный) продукт где не надо писать скриптв и шарить в консольке.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Выпуск Samba 4.7.0 "  –1 +/
Сообщение от weter (??) on 22-Сен-17, 04:40 
Никак. Если все компы - линукс, то вам пора читать про FreeIPA.
А вот если почти все, то альтернатив для АД нет. Из FreeIPA выпилили возможность ввести в домен винду. А так как без винды все равно никуда (дезигнеры, конструкторы, экономисты), то остается только Samba. Даже если у тебя всего 15 компьютеров под управлением виндовс и под 80 на линуксе... 8(
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

17. "Выпуск Samba 4.7.0 "  +/
Сообщение от Alex_Gluck on 22-Сен-17, 06:06 
А можно пруф где говорится что винду в домен теперь нельзя ввести?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

19. "Выпуск Samba 4.7.0 "  –1 +/
Сообщение от Anonimous on 22-Сен-17, 06:39 
Логичнее сервис под винду написать
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

20. "Выпуск Samba 4.7.0 "  +1 +/
Сообщение от Anonimous on 22-Сен-17, 06:41 
>Разработчик     Red Hat
>Написана на     Python, JavaScript[1]

Ужас

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

31. "Выпуск Samba 4.7.0 "  +1 +/
Сообщение от Аноним (??) on 22-Сен-17, 10:49 
https://ru.wikipedia.org/wiki/FreeIPA говорит прямо противоположное "FreeIPA нацеливается на поддержку не только для компьютеров на базе Linux и Unix, но и Microsoft Windows и Apple Macintosh компьютеров тоже."
P.S. За наводку спасибо, до этого момента про него не знал.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

35. "Выпуск Samba 4.7.0 "  +1 +/
Сообщение от Sabakwaka (ok) on 22-Сен-17, 11:50 
FreeIPA поддерживает винду ЧЕРЕЗ САМБУ!
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

70. "Выпуск Samba 4.7.0 "  –1 +/
Сообщение от Аноним (??) on 23-Сен-17, 17:51 
> FreeIPA поддерживает винду ЧЕРЕЗ САМБУ!

Точно через самбу? Не через АД?
Поддерживает то оно на бумаге или парой кликов дает настроить синхронищацию пользоваталей и всего остального с самбой?

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

21. "Выпуск Samba 4.7.0 "  +1 +/
Сообщение от Аноним (??) on 22-Сен-17, 06:55 
У нас в сети были и Windows и Linux. Все было завязано реализовано на OpenLDAP (работает, проверено).
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

22. "Выпуск Samba 4.7.0 "  –4 +/
Сообщение от Anonimous on 22-Сен-17, 06:59 
А зачем? АД выполняет свою работу вполне хорошо
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

74. "Выпуск Samba 4.7.0 "  –1 +/
Сообщение от пох on 24-Сен-17, 18:57 
> А зачем?

это сладкое слово "халява"...

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

66. "Выпуск Samba 4.7.0 "  –2 +/
Сообщение от Andrey Mitrofanov on 23-Сен-17, 12:00 
> Кто знает, подскажите: а есть ли вообще какие-нибудь внятные альтернативы Active Directory?

"В качестве альтернативы контроллера домена Active Directory сервер предоставляет [,,,]"
  --https://www.basealt.ru/products/alt-server/

Вот только беда: они не пишут, что альтернатива таки _внятная_. Наверное, потребуется доработка напильником!

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

68. "Выпуск Samba 4.7.0 "  –1 +/
Сообщение от Аноним (??) on 23-Сен-17, 17:48 
freeIPA
Линуксы АД и не поддерживают. Лишь притворяются через костыли.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

75. "Выпуск Samba 4.7.0 "  +/
Сообщение от Аноним (??) on 25-Сен-17, 00:59 
NIS (YP) + NFS. С кучей граблей, зато нативно. Работает только на *nix.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

77. "Выпуск Samba 4.7.0 "  –2 +/
Сообщение от _ (??) on 25-Сен-17, 17:02 
Дети! Не слушаейте старого извращенца!
NFS нынешние одмины не осиливают, но если найдёте головастого то ещё "туды-сюды" ...
А NIS должен быть просто запрещён к эксплуатации по статье за из*****ание КРС! :-Е

Уж лучше самба! По крайней мере хоть будет у кого спросить :-\

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

78. "Выпуск Samba 4.7.0 "  +/
Сообщение от Аноним (??) on 26-Сен-17, 21:59 
Вы мне льстите. :D

> КРС

Крупного рогатого скота? Это с какой стати?

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

5. "Выпуск Samba 4.7.0 "  +/
Сообщение от mumu (ok) on 22-Сен-17, 02:26 
Для тех кому лень читать простыню:
Долгожданная поддержка RODC + багфиксы.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Выпуск Samba 4.7.0 "  +/
Сообщение от _KUL (ok) on 22-Сен-17, 11:05 
>При выполнении команды подсоединения к контроллеру домена ("samba-tool domain join") через RPC обеспечено создание записей A и GUID в DNS, а также динамической генерации элемента mname в записи SOA

Самый мёд!!!

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

52. "Выпуск Samba 4.7.0 "  +/
Сообщение от mumu (ok) on 22-Сен-17, 22:56 
А поддержка dns там как реализована? Он должен стоять на машине с самбой? А если виндовый уже где-то стоит, то самба с ним работает?
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

38. "Выпуск Samba 4.7.0 "  +1 +/
Сообщение от ананим.orig on 22-Сен-17, 13:17 
вот это важнее:
> После четырёх лет разработки в Samba реализована поддержка компиляции и запуска Active Directory с MIT Kerberos (вместо Heimdal Kerberos).

что означает, что в шапке, центоси и тд. дистрах поддержка в качестве контролера домена появится из каробки.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

44. "Выпуск Samba 4.7.0 "  +/
Сообщение от DmA (??) on 22-Сен-17, 20:40 
оно и так было,требовалось только удалять перед установкой kerberos-mit
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

7. "Выпуск Samba 4.7.0 "  –3 +/
Сообщение от qsdg (ok) on 22-Сен-17, 03:41 
Слушайте, как выпилить эту самбу из Linux Mint? Мне никогда в жизни не нужно было, но похоже весь UI на ней завязан. Или хотя бы выключить, а то регулярно в ней дыры находят, наверно самое дырявое место в моей системе.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Выпуск Samba 4.7.0 "  +/
Сообщение от руслан on 22-Сен-17, 03:52 
Закрой файрволлом.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Выпуск Samba 4.7.0 "  +3 +/
Сообщение от Онаним on 22-Сен-17, 04:35 
Выглядит примерно как резиновые штаны в качестве средства от поноса, честно говоря. При отсутствии вариантов это выход, конечно, но крайне печально, что в модных нынче дистрибутивах (что Альт этот, что Убунту) не предусмотрена возможность отключения ненужных служб. Вот сижу сейчас на Ubuntu LTS, гляжу в процессы, а там 2 демона Avahi, 3 демона Zeitgeist, 6 демонов Evolution (никогда в жизни ничем этим не пользовался и не хочу), ещё всякие ненужные штуки типа update-notifier, на Альте ещё и Самба эта, и запретить всему этому запускаться (не говоря уже о том, чтобы удалить вообще) нет никаких штатных вариантов. В винде и то лучше: выбрал ненужный сервис в списке, ткнул "Disable" и готово, а тут только прикрыться фаерволом и терпеть...
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Выпуск Samba 4.7.0 "  –1 +/
Сообщение от Онаним on 22-Сен-17, 04:41 
Только не в Альте, а в Минте, пардон, оговорился "по Фрэйду" :-]
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Выпуск Samba 4.7.0 "  +1 +/
Сообщение от iPony on 22-Сен-17, 05:39 
Им уже прям на лопате готовый systemd дали для этого. А всё мало...

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

18. "Выпуск Samba 4.7.0 "  +1 +/
Сообщение от Аноним (??) on 22-Сен-17, 06:28 
а чем systemctl disable service не подходит?

PS
# find / -name "*samba*" | xargs rm -rf

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

34. "Выпуск Samba 4.7.0 "  –1 +/
Сообщение от Sabakwaka (ok) on 22-Сен-17, 11:35 
Avahi то чем мешает??

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

36. "Выпуск Samba 4.7.0 "  +1 +/
Сообщение от пох on 22-Сен-17, 12:53 
> Avahi то чем мешает

минимум дважды его ломали. В корпоративных и нормально настроенных домашних сетях, где нет монокультуры маков - нахрен не нужен. В untrusted - опасен.

пользы при этом - даже там где он может работать - значительно меньше чем от страшной-ужасной самбы. (которая, скорее всего, если не делать специальных телодвижений, представлена исключительно клиентом, но нашему шкoльнику сие невдомек)

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

40. "Выпуск Samba 4.7.0 "  +/
Сообщение от Аноним (??) on 22-Сен-17, 17:38 
mdns из коробки мегаудобен, не знаю чего  все агрятсЯ на это. Понятно, что если  инфраструктура настроена админом, то в этом нет необходимости. Но дома самое оно
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

47. "Выпуск Samba 4.7.0 "  –2 +/
Сообщение от пох on 22-Сен-17, 22:07 
> Понятно, что если  инфраструктура настроена админом, то в этом нет необходимости.
> Но дома самое оно

у меня дома - инфраструктура, настроенная админом.
С изолированными сегментами для шибкоумных микроволновок, гостевых мабил с "дорогим" траффиком и ip-телефонии. Собственно, где еще имела бы смысл пресловутая сасамба с ее недо-поддержкой AD ?
А было б дома только и занятия, что фоточки с ипхона перебросить на ипад - тогда, конечно, сошел бы и rendezvous. Правда, шибко-умный телевизор его, наверное, не поддерживает, не смотря на весь свой линукс унутре.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

71. "Выпуск Samba 4.7.0 "  –2 +/
Сообщение от Аноним (??) on 23-Сен-17, 17:56 
>[оверквотинг удален]
> При отсутствии вариантов это выход, конечно, но крайне печально, что в
> модных нынче дистрибутивах (что Альт этот, что Убунту) не предусмотрена возможность
> отключения ненужных служб. Вот сижу сейчас на Ubuntu LTS, гляжу в
> процессы, а там 2 демона Avahi, 3 демона Zeitgeist, 6 демонов
> Evolution (никогда в жизни ничем этим не пользовался и не хочу),
> ещё всякие ненужные штуки типа update-notifier, на Альте ещё и Самба
> эта, и запретить всему этому запускаться (не говоря уже о том,
> чтобы удалить вообще) нет никаких штатных вариантов. В винде и то
> лучше: выбрал ненужный сервис в списке, ткнул "Disable" и готово, а
> тут только прикрыться фаерволом и терпеть...

Терпи. Это ж открытая система где все можно изменить... ну или хотя бы где-то написано для чего весь этот мусор в системе.
Еще спроси зачем у тебя bind на декстопах стоит да еще и запускается.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

9. "Выпуск Samba 4.7.0 "  –1 +/
Сообщение от leap42 (ok) on 22-Сен-17, 03:56 
man iptables
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

13. "Выпуск Samba 4.7.0 "  –1 +/
Сообщение от iPony on 22-Сен-17, 05:36 
Не уверен про подделку под названием Минт.
Но вообще, она должна быть по дефолту отключена. В Ubuntu так.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

16. "Выпуск Samba 4.7.0 "  +5 +/
Сообщение от Аноним (??) on 22-Сен-17, 06:00 
apt purge samba сделать религия не позволяет?
Или systemctl stop smbd.service && systemctl mask smbd.service
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

23. "Выпуск Samba 4.7.0 "  +/
Сообщение от Аноним (??) on 22-Сен-17, 07:17 
Я точно в linux mint не знаю, но если гвоздями не прибили (читай прямой линк на либу самбы или еще хуже - статический линк), то обычно самбу можно легко снести - полностью удалить сервис и ее утилиты. При этом софт останется работоспособным но samba в ней работать не будет. Чтобы зависимости не поломались в системе останутся установленными пакеты samba-common, samba-common-bin (возможно еще какие-то), которые не содержат рабочих бинарников самбы.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

27. "Выпуск Samba 4.7.0 "  –5 +/
Сообщение от пох on 22-Сен-17, 09:05 
> Слушайте, как выпилить эту самбу из Linux Mint?

лучше бы ты учился...

> но похоже весь UI на ней завязан

ui завязан на клиентские библиотеки (которые из-за dependency hell вполне могут притащить и сервер, ну это линукс, у нас все так) - поскольку есть примерно миллион мест, где в качестве имени файла можно набрать smb://гдетотам или даже вовсе //service/resource
и ломать это ради недоучившихся школьников с зачатками паранойи никто не намерен.

разумеется, это вжопенсорсе, и никто не мешает пересобрать весь мир самому без поддежки сасамбы - теоретически, это, наверное, даже возможно штатными средствами практически во всем софте. Но тебе это не по уму. Иначе бы ты не задавал подобных вопросов.

> Или хотя бы выключить

она очень навряд ли даже в "linux mint" включена из коробки (хотя у альтернативно-одаренных "ready for desktop" всякое возможно). Но ты даже этого проверить не умеешь. А я понятия не имею, как именно в минте называется сервис, притаскивающий nmbd/smbd, так что не подскажу.

> наверно самое дырявое место в моей системе.

самое дырявое - nfs, просто ты до этого еще не дочитал свой учебник.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

30. "Выпуск Samba 4.7.0 "  –1 +/
Сообщение от Аноним (??) on 22-Сен-17, 10:03 
> Слушайте, как выпилить эту самбу из Linux Mint?

sudo apt purge s?mb*

и\или использовать нормальный дистрибутив.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

32. "Выпуск Samba 4.7.0 "  +2 +/
Сообщение от Аноним (??) on 22-Сен-17, 10:53 
>Или хотя бы выключить

Ответ капитанский, очевидно удалить её из списка автозапускаемых сервисов.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

15. "Выпуск Samba 4.7.0 "  +/
Сообщение от iCat (ok) on 22-Сен-17, 05:50 
Хорошо, что проект развивается.
Кто-нибудь может поделиться опытом экспоуатации Samba в качестве сервера AD?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Выпуск Samba 4.7.0 "  +2 +/
Сообщение от Andrew (??) on 22-Сен-17, 08:01 
В продакшене начиная с версии 4.0alpha18. Сеть небольшая, около 100 рабочих станций. Работает как часики.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

26. "Выпуск Samba 4.7.0 "  +/
Сообщение от iCat (ok) on 22-Сен-17, 08:28 
> В продакшене начиная с версии 4.0alpha18. Сеть небольшая, около 100 рабочих станций.
> Работает как часики.

Чем управляешь? (Политики, юзеры, logon-скрипты и т.д.)

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

28. "Выпуск Samba 4.7.0 "  +/
Сообщение от kadafy email on 22-Сен-17, 09:42 
В продуктиве с версии 4. Работает как часики. 200 машин.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

29. "Выпуск Samba 4.7.0 "  +1 +/
Сообщение от Aleks (??) on 22-Сен-17, 09:46 
Мы тоже на CentOS используем samba в качестве AD. PDC и BDC. Ставится из исходников, правда, но работает стабильно. Рулить можно из консоли, есть приложения для андроидов (почему бы и нет) и RSAT на одной виртуалке. GP и т.п. плюшки работают, на новые машинки сразу накатываются нужные программы с настройками.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

39. "Выпуск Samba 4.7.0 "  –1 +/
Сообщение от SysA on 22-Сен-17, 16:48 
> Хорошо, что проект развивается.
> Кто-нибудь может поделиться опытом экспоуатации Samba в качестве сервера AD?

Если используешь только базовые функции - то проблем нет, все как бы работает. Но у меня опыт отрицательный, поскольку инфраструктура сложная, АД используется не только как ЛДАП, доменных контроллеров много (3 в офисе и по 2 на каждый ДЦ). Планировалось контроллеры в ДЦ делать на Самбе и подключить к имеющимуся AD Forest в офисе, но так и не удалось сделать Самбу полноценным контроллером (проблемы синхронизацией и пр.) - игрался до версии 4.5.

Полагаю, что проблема в том, что Самба 4 эмулирует винду 2000, а у нас 2012 была с умирающим 2008, а сейчас все перевели на 2016 уже.

Так что могу предположить, что если везде будет только Самба и устраивает функционал вин2000, то все будет работать без проблем. Если же нет - то лучше не терять  времени на попытки скрестить "коня и трепетную лань"(С).

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

41. "Выпуск Samba 4.7.0 "  –1 +/
Сообщение от ананим.orig on 22-Сен-17, 18:33 
> Полагаю, что проблема в том, что Самба 4 эмулирует винду 2000,

2008г2 вообще-то
> а у нас 2012 была с умирающим 2008, а сейчас все перевели на 2016 уже

Да-да.
Без 2016 ну никуда же.
Что за жизнь без 2016 то. И как раньше жили не понятно.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

43. "Выпуск Samba 4.7.0 "  –2 +/
Сообщение от пох on 22-Сен-17, 19:34 
> Без 2016 ну никуда же.
> Что за жизнь без 2016 то. И как раньше жили не понятно.

наоборот, вполне понятно как жили - 2010й год (2008R2), сервера подключаются гигабитными линками к свитчу, самые крутые - двумя, клиенты вообще не выше 100, да и диски в тех серверах не особо способны отдать больше чем тянет сетевуха. Сети простые и плоские как блин, самые крутые - имеют отдельный "серверный vlan".

сегодня "сервер" - это лезвие в блэйде, от него до "клиента" вполне может быть 40G (а у кого-то и 100), потому что клиент тоже ни разу не "десктоп", внутри вполне могут быть виртуальные сервера в количестве энцать штук, здравствуй геморрой с vxlan, ну и масса других милых мелочей.
Не кажется ли вам, что таки да - пора бы уже и серверную операционку немножечко обновить?

правда, конкретно DC в 2016 не особо далеко уехал за эти восемь лет, но, поскольку самба по сей день догоняет и никак не догонит ту самую R2 (rodc, если что, это даже не r2, это 2008 образца 2008го года - и вот, только-только фича перестала быть экспериментальной), то результат вполне очевиден.

Но вот зачем ребятам понадобился этот троллейбус - неясно, виртуалка 2016 с этим самым DC на сегодня, по-моему, все еще бесплатна. И работает, в отличие от догоняющих.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

46. "Выпуск Samba 4.7.0 "  –1 +/
Сообщение от ананим.orig on 22-Сен-17, 21:54 
> правда, конкретно DC в 2016 не особо далеко уехал за эти восемь лет, но, поскольку ...

Что и требовалось доказать, сэнкс.

Зыж
А к примеру поверх ceph смогёшь вперед забегающую настроить?
Не?
Ну а насколько они отличаются видно даже тут —
> Уязвимость также затрагивает системы Microsoft на базе Active Directory, например, Windows Server 2008, в которых повторено некорректное поведение протокола. MIT Kerberos проблеме не подвержен, как не подвержены проблеме и исполняемые файлы Samba, собранные с MIT Kerberos.

https://www.opennet.ru/opennews/art.shtml?num=46859

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

48. "Выпуск Samba 4.7.0 "  –2 +/
Сообщение от пох on 22-Сен-17, 22:24 
>> правда, конкретно DC в 2016 не особо далеко уехал за эти восемь лет, но, поскольку ...
> Что и требовалось доказать, сэнкс.

ну и ты предлагаешь сеть строить на файловых, почтовых, коммуникационных, менеджмент  серверах на 2016 (это вот все категорически не хочется получить 2008го года издания, я еще хорошо помню, какое оно было), а DC "так и быть" оставить восьмилетней давности, на случай если внезапно зачешется подключить к ним еще и самбу для комплекта? (кстати, я не уверен что можно получить сегодня легальную лицензию на 2008r2 без танцев, жертвоприношений и искренней веры, а стоить будет как золотая, поскольку там нет халявы с dc-only role) Оно даже заведется, наверное...

> А к примеру поверх ceph смогёшь вперед забегающую настроить?

э... у меня, наверное, нет столько ненужных данных. Вы там что у себя храните такое, что сбросить в ceph не жалко? (не надо мне про циску, они это продают, а не сами используют)

> Ну а насколько они отличаются видно даже тут —

странно что ты не вспомнил вместо этого wannacry и совершенно аналогичную мартовскую дыру в сасамбе - которую даже тоже кто-то успел поэксплойтить, хотя и с меньшим шумом в прессе - денег у целевой аудитории, разумеется, нема.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

50. "Выпуск Samba 4.7.0 "  +/
Сообщение от ананим.orig on 22-Сен-17, 22:48 
> ну и ты предлагаешь сеть строить на файловых, почтовых, коммуникационных, менеджмент  серверах на 2016 (это вот все категорически не хочется получить 2008го года издания, я еще хорошо помню, какое оно было), а DC "так и быть" оставить восьмилетней давности, на случай если внезапно зачешется подключить к ним еще и самбу для комплекта? (кстати, я не уверен что можно получить сегодня легальную лицензию на 2008r2 без танцев, жертвоприношений и искренней веры, а стоить будет как золотая, поскольку там нет халявы с dc-only role) Оно даже заведется, наверное...

не распарсил. но если что, то сабж вполне себе сегодняшний. и нафига ему лицензии — х/з.
разве что откаты.
>...(не надо мне про циску, они это продают, а не сами используют)

вау.
> странно что ты не вспомнил вместо этого wannacry и совершенно аналогичную мартовскую дыру в сасамбе - которую даже тоже кто-то успел поэксплойтить, хотя и с меньшим шумом в прессе - денег у целевой аудитории, разумеется, нема.

странно другое, а именно то, что ты так и не понял кто там у кого что берет и кто кого догоняет.
кто первый дыры закрывает в этих 2-х сортах одного и того же Д....
если что, то сабж вполне себе работает не хуже мелкого. и я тут такой не один (см. коменты ниже)

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

54. "Выпуск Samba 4.7.0 "  –3 +/
Сообщение от пох on 22-Сен-17, 23:04 
> не распарсил

ты спрашивал - "зачем именно 2016" - тебе объяснили, зачем.
А вот совместимость всего этого с "сегодняшней" самбой, с грехом пополам дохромавшей до совместимости с виндой восьмилетней давности аж два дня назад - низачем, да. Ее удел - мелкие лавочки с краденой виндой на рабочих местах. Там она сравнительно адекватна, только нуегонах там работать. Забавно, кстати, что если не винда, то вообще непонятно, что ставить - третью самбу, не имевшую примерно половины проблем четвертой, доломали и бросили, apple не в счет, а больше ничего нормально работающего с per-user authorization в этих ваших линуксах не изобрели.

> если что, то сабж вполне себе работает не хуже мелкого

на сеточках в сто юзеров с единственной файлопомойкой в качестве предоставляемого сервиса? Ну да, ну да...

А прикрутить к сложной сети, не с единственным доменом, да еще и территориально распределенной - у товарищей, как видим, не получилось. Думаю, нет смысла намекать, что у них квалификация явно получше твоей?

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

57. "Выпуск Samba 4.7.0 "  +1 +/
Сообщение от ананим.orig on 22-Сен-17, 23:21 
>> не распарсил
> ты спрашивал - "зачем именно 2016" - тебе объяснили, зачем.

для лицензий?
достойный ответ. или я что важное пропустил?
> Ее удел - мелкие лавочки с краденой виндой на рабочих местах.
>..
> на сеточках в сто юзеров с единственной файлопомойкой в качестве предоставляемого сервиса? Ну да, ну да...

куда не плюнь, одни грефы и чубайсы вокруг.
может  вы нам расскажете какой такой страшный ldap, цербер, и дднс по 100гбс кровьизноса нужен?
не? шары? а?!!! вон оно что, михалыч. счаз будем сетевой стэк никсов сравнивать

самому не смешно?
ну нахрена мне по smb/cifs протоколу это гонять?
если я самбу разверну только уже для оконечного  клиента.
поверх clvm/zfs/ceph/lustre/...(нужное подчеркнуть)
с рдма/инфинити/прочими поэтесами на свой кошелек?
это в вантузе только так и всё.

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

64. "Выпуск Samba 4.7.0 "  –2 +/
Сообщение от пох on 23-Сен-17, 09:27 
> для лицензий?

то есть ни слова не понял? Ну в общем я не удивлен, уровень знаний типичного любителя самбы.

> куда не плюнь, одни грефы и чубайсы вокруг.

ты не поверишь, но крупных контор в общем-то "куда ни плюнь".
Хорошие датацентры вон забиты так, что всунуть куда-то пяток-десяток своих стоек - уже проблема.

> может  вы нам расскажете какой такой страшный ldap, цербер, и дднс
> по 100гбс кровьизноса нужен?
> не? шары? а?!!! вон оно что, михалыч. счаз будем сетевой стэк никсов

а самба-то у тебя не для шар, а исключительно для лдапа?
сетевой стек-то может и хороший (хотя чем дальше в лес, тем сомнительней успехи), а вот с сетевыми fs, под которыми где-то должна быть локальная - беда-бедой. nfs should be enough for all (and forever), лучшее (полуработающее) решение завязано на тот же kerberos...

> ну нахрена мне по smb/cifs протоколу это гонять?
> если я самбу разверну только уже для оконечного  клиента.

чувак, "шары" как бы намекают, что оно нужно одновременно не одному клиенту. Причем "клиент" нынешний тоже непростой пошел, это все чаще - терминальный сервер (а то и распределенный кластер), соответственно, жреть он ни разу не пресловутые 100мегабит.

> поверх clvm/zfs/ceph/lustre/...(нужное подчеркнуть)

как добьешься успеха на юзеров так с полторы тыщи - приходи рассказывать. Только паузу сделай годик-два, а то оно обычно-то разваливается не в первые полгода.

А то обычно 'успехи' в этих направлениях связаны с новыми модными "микросервисами" и прочим ненужно-ненужно, которое, когда наворачивается, деплоят заново, иногда даже невидимо для персонала, так, для общей статистики где-то есть график "столько раз упало-отжалось". А чтоб с этим живые люди работали - как-то все больше сказки для самых маленьких.

> это в вантузе только так и всё.

у него-то как раз с rdma все в порядке еще лет семь назад было. Раньше я не видел, а так может и десять. Только это ни разу не то место, из которого вырастает самба.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

67. "Выпуск Samba 4.7.0 "  +/
Сообщение от ананим.orig on 23-Сен-17, 12:05 
> то есть ни слова не понял? Ну в общем я не удивлен, уровень знаний типичного любителя самбы.

вот и переход на личночти. не удивлен.
что ещё ждать для потребителя стеклянных бус.
> а самба-то у тебя не для шар, а исключительно для лдапа?

почти что.
вернее она у меня для шар на кусок фс, для оконечного пользователя.
всё остальное — лдап, цербер, дднс, радиус есть и без подeлoк мс. и работает супер надежно.
да! и этой инфраструктуре точно не нужен широкий канал, чтобы метаданные гонять.
канал нужен только для передачи данных. точка.

ну или иди и объясняй создателям люстр, зетфс, цлвм и пр. как они ерyндoй занимаются.
про дыpы — пой громче. вон ссыль тебе уже привели. они если и есть, то только там где мс в стандарты покапалась. и то у самбы cлямзилo. и кто там первый папа.
они вот LM-hash недавно только закрыли. а NT-hash, который не что иное как MD4-hash в кодировке UTF-16, вообще не убрать.
MD4, Карл!
и он тут сидит и рассказывает как хорош в ширпотребе дoширaк.

зыж
> у него-то как раз с rdma все в порядке еще лет семь назад было.

да ты не мне. ты в топ500 объясняй, умник.
ззыж
все что мне нужно было бы от самбы, так это нормальная репликация базы пользователей из нормального лдапа в самбу. и всё.
пусть даже в виде схем, понятных вантузу.
но поскольку там хэш пароля по стандартам мс (т.е. акромя NT-hash ничего не умеет), то результат закономерен. (для ленивых https://lists.samba.org/archive/samba-technical/2015-Decembe... как поставить пароль из cli)
алё! привет отделу маркетинга!

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

63. "Выпуск Samba 4.7.0 "  +/
Сообщение от . on 23-Сен-17, 00:57 
>виртуалка 2016 с этим самым DC на сегодня, по-моему, все еще бесплатна.

пох - ты о чём?

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

65. "Выпуск Samba 4.7.0 "  –1 +/
Сообщение от пох on 23-Сен-17, 09:36 
>>виртуалка 2016 с этим самым DC на сегодня, по-моему, все еще бесплатна.
> пох - ты о чём?

вроде они кастрированную версию сервера по оемским каналам раздавали почти бесплатно. (почти, потому что там же еще юзерские лицензии нужны, за которые, правда, никто тоже вживую не платил) Ставится (ну канеш) в hyper-v, ну так там ему самое и место.

но тут я пою с чужих слов, мне-то от oem'ов бесплатная вмварь с редхатами досталась, просто "чтоб было что сразу выбросить".

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

72. "Выпуск Samba 4.7.0 "  +3 +/
Сообщение от Аноним (??) on 23-Сен-17, 18:05 

> Но вот зачем ребятам понадобился этот троллейбус - неясно, виртуалка 2016 с
> этим самым DC на сегодня, по-моему, все еще бесплатна.

ШТА? Бесплатная серверная винда? Откуда ты это взял?


Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

73. "Выпуск Samba 4.7.0 "  –2 +/
Сообщение от пох on 24-Сен-17, 12:37 
> ШТА? Бесплатная серверная винда? Откуда ты это взял?

один дилер хепе на ушко нашептал, что это у них (был?) такой ответ UCS C-series. Разумеется, для этого надо было купить у него железа на энцать килоуе, но, собственно, тебе по любому надо на чем-то это запускать, почему бы и не хепе.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

53. "Выпуск Samba 4.7.0 "  +/
Сообщение от ананим.orig on 22-Сен-17, 23:03 
ззыж
> Полагаю, что проблема в том, что Самба 4 эмулирует винду 2000,

кому надо — https://wiki.samba.org/index.php/AD_Schema_Version_Support
The official Active Directory (AD) schema versions are:
  Windows Server Version    Directory Schema Version
  Windows Server 2016    87
  Windows Server 2012R2    69
  Windows Server 2012    56
  Windows Server 2008R2    47
  Windows Server 2008    44
  Windows Server 2003R2    31
  Windows Server 2003    30
  Windows 2000    13
Samba supports the following Active Directory schema versions:
Samba Version    Highest Supported Schema Version
  4.5 and later    69 *
  4.0 - 4.4    47
* Experimental support. To report problems, click https://bugzilla.samba.org.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

55. "Выпуск Samba 4.7.0 "  –1 +/
Сообщение от пох on 22-Сен-17, 23:07 
> кому надо — https://wiki.samba.org/index.php/AD_Schema_Version_Support

как ты понимаешь, 2012r2 вполне может работать DC в общем "лесу" с 2016 - не смотря на разные версии AD. Да и 2008r2 тоже, скорее всего (во всяком случае, не помню прямого запрета так делать).
Так что эти цифирки, к сожалению, еще не все.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

58. "Выпуск Samba 4.7.0 "  +/
Сообщение от ананим.orig on 22-Сен-17, 23:27 
верно. но кто говорит, что самба должна в вантуз втыкаться, а не наоборот?
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

60. "Выпуск Samba 4.7.0 "  –2 +/
Сообщение от пох on 22-Сен-17, 23:39 
> верно. но кто говорит, что самба должна в вантуз втыкаться, а не
> наоборот?

здравый смысл? А, впрочем, о чем я, это ж опеннет...

нет, ты правда рискнешь вот всю эту хреновину - ad forest во всей его красе, наверняка с разделением полномочий по подразделениям, размазанный по куче офисов и нескольким датацентрам, соответственно, далеко не с первыми сотнями авторизующихся пользователей (и непользователей) - делать на самбе?

Теоретически, наверное, возможно.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

42. "Выпуск Samba 4.7.0 "  +/
Сообщение от Алексей (??) on 22-Сен-17, 18:37 
сервер на freebsd 11.1-RELEASE-p1 samba4 больше 100 windows машин и около 10 unix.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

45. "Выпуск Samba 4.7.0 "  +/
Сообщение от Вася (??) on 22-Сен-17, 21:25 
~120 виндовых машин. Контроллер на Debian 8.9 и интегрированная в AD файлопомойка отдельным инстансом.
Пришлось немного попотеть с DDNS через dhcpd в процессе настройки, а так все норм. Админю через RSAT.
Единственный нюанс - я не завидую тем виндовым эникеям которые будут это админить после меня. Хотя я думаю что смигрировать на виндовый контроллер будет не сложно если что. Правда там тоже свой бубен нужен ввиде поэтапной миграции начиная с 2008r2.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

49. "Выпуск Samba 4.7.0 "  –2 +/
Сообщение от виндовый эникей on 22-Сен-17, 22:34 
> Единственный нюанс - я не завидую тем виндовым эникеям которые будут это
> админить после меня. Хотя я думаю что смигрировать на виндовый контроллер

да ладно, чего там сложного- снесем все нахрен, и настроим заново.
Все равно у тебя там ни scсm, ни scm/sct, ни еще чего осмысленного, одни немудрящие права на файлопомойке. А пароли юзерам и так  полезно иногда менять - особенно после увольнения очередного куль-админа.

> будет не сложно если что. Правда там тоже свой бубен нужен
> ввиде поэтапной миграции начиная с 2008r2.

да мы хлам как-то не коллекционируем.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

76. "Выпуск Samba 4.7.0 "  +/
Сообщение от dima (??) on 25-Сен-17, 12:25 
Зачем sccm? Если есть ClusterSSH.
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

80. "Выпуск Samba 4.7.0 "  –1 +/
Сообщение от пох on 26-Сен-17, 23:06 
> Зачем sccm? Если есть ClusterSSH.

для управления первой парой сотен виндовых машин он тебе очень пригодится, ага.

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

81. "Выпуск Samba 4.7.0 "  +/
Сообщение от iga email on 20-Окт-17, 03:51 
Всем привет! Может кто знает, когда в портах FreeBSD эта замечательная samba появится?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру