The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск Samba 4.7.0

21.09.2017 23:31

После шести месяцев разработки опубликован релиз Samba 4.7.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).

Ключевые изменения в Samba 4.7:

  • Стабилизированы средства для создания контроллеров домена, работающих в режиме только для чтения (RODC, Read-Only Domain Controller). Ранее поддержка RODC находилась в категории экспериментальных возможностей. В Samba 4.7.0 проведена работа по устранению критических ошибок и проблем с совместимостью, что позволило перевести режим в разряд рекомендованных к использованию;
  • После четырёх лет разработки в Samba реализована поддержка компиляции и запуска Active Directory с MIT Kerberos (вместо Heimdal Kerberos). Использование MIT Kerberos активируется опцией "--with-system-mitkrb5" в скрипте configure и требует наличия как минимум MIT Kerberos версии 1.15.1 и установки пакеов krb5-devel и krb5-server. По сравнению со сборкой с Heimdal пока отсутствует поддержка PKINIT, S4U2SELF/S4U2PROXY и RODC;
  • Добавлены средства для аудита механизмов аутентификации и авторизации, позволяющие сохранять в логе детальную информацию о входах пользователей, включая IP-адрес клиента, имя пользователя, тип операции и сопутствующие параметры. Для записи данных аудита в лог введены два новых класса отладочной информации: "auth_audit" и "auth_json_audit" для обычных текстовых логов и записей в формате JSON;
  • LDAP-сервер для контроллера домена Active Directory переведён на многопроцессную модель работы и теперь может одновременно запускать несколько процессов-обработчиков;
  • Внесены изменения в поведение утилиты 'smbclient': Прекращён вывод баннера 'Domain=[...] OS=[Windows 6.1] Server=[...]' при соединении с первым сервером. Максимальная версия протокола по умолчанию повышена до "SMB3_11", что позволяет использовать 'smbclient' с серверами без поддержки SMB1, но по умолчанию не задействует unix-расширения SMB1. Добавлена новая команда 'deltree' для рекурсивного удаления дерева каталогов;
  • Обеспечено применение полной блокировки всей БД LDB на чтение для обеспечения согласованности данных при выполнении операций поиска в LDAP и репликации (в прошлых выпуска применялась блокировка на уровне записей, что могло приводить к состоянию гонки при переименовании или удалении и сбоям при репликации и поиске);
  • Изменён диапазон сетевых портов, используемых в сервисах RPC. Вместо портов "1024-1300" теперь применяются порты "49152-65535" по аналогии с Windows Server 2008 и более новыми выпусками. Для изменения диапазона портов можно использовать опцию "rpc server dynamic port range";
  • Добавлена возможность хэширования паролей при помощи алгоритмов SHA-256 и SHA-512 вместо применения обратимого шифрования в атрибуте supplementalCredentials. Для генерации хэшей реализована опция 'password hash userPassword schemes', а также добавлены средства для извлечения хэшей в утилиту 'samba-tool';
  • При выполнении команды подсоединения к контроллеру домена ("samba-tool domain join") через RPC обеспечено создание записей A и GUID в DNS, а также динамической генерации элемента mname в записи SOA;
  • Существенно увеличена производительность поиска в Active Directory и репликации информации о членах группы. Ускорение обеспечено за счёт сохранения в БД отсортированных атрибутов, привязанных к членам группы, на разбор которых раньше тратилось много ресурсов CPU. В итоге, операции поиска существующих членов группы теперь выполняются в два раза быстрее, чем в прошлых выпусках Samba. Также увеличена производительность поиска непроиндексированных данных в LDAP и разбор списков управления доступом;
  • При генерации самоподписанных сертификатов для LDAPS теперь применяется алгоритм SHA256 вместо SHA1;
  • Представлена порция улучшений в компоненте CTDB, отвечающем за работу кластерных конфигураций, в том числе добавлен новый тип БД "replicated", реализована переменная конфигурации CTDB_NFS_CHECKS_DIR и запрещено использование разных версий CTDB в кластере;
  • При сборке на системах x86_64 реализована поддержка процессорных инструкций AES для ускорения шифрования и создания цифровых подписей в SMB3. Для включения следует использовать сборочную опцию "--accel-aes=intelaesni";
  • По умолчанию активирован параметр конфигурации "strict sync", обеспечивающий безопасный способ сброса буферов на диск при выполнении запросов на синхронизацию незаписанных данных в smbd;
  • Опция 'ntlm auth' переименована в 'ntlmv2-only' и расширена поддержкой режимов 'mschapv2-and-ntlmv2-only' (разрешает MSCHAPv2, но запрещает NTLMv1) и 'disabled' (запрещает аутентификацию NTLM и смену пароля).


  1. Главная ссылка к новости (https://lists.samba.org/archiv...)
  2. OpenNews: Выпуск Samba 4.6.0
  3. OpenNews: Релиз Samba 4.5.0
  4. OpenNews: Раскрыты детали уязвимости Badlock в Samba
  5. OpenNews: Релиз Samba 4.4.0 с поддержкой многоканального SMB3
  6. OpenNews: Релиз Samba 4.3.0 с поддержкой SMB-расширений, появившихся в Windows 10
Лицензия: CC-BY
Тип: Программы
Ключевые слова: samba
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (76) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 00:42, 22/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    лучше бы домашнюю группу реализовали.
     
     
  • 2.3, Аноним (-), 02:21, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +42 +/
    ^
    ловите норкомана
     
  • 2.56, Led (ok), 23:19, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > лучше бы домашнюю группу реализовали.

    Тебе не о домашней, а продлённой группе думать нужно. И там же домашку и делать.

     

  • 1.2, foi (?), 02:19, 22/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я надеюсь, что теперь работа с smb шарами по протоколу выше 1 не будет вызывать спорадическую i/o error
     
     
  • 2.25, evkogan (?), 08:17, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Она и так уже не вызывает, по крайней мере в качестве клиента. Пользуйте ядро поновее.
     

  • 1.4, Онаним (?), 02:23, 22/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кто знает, подскажите: а есть ли вообще какие-нибудь внятные альтернативы Active Directory? Скажем если в сети все или почти все компы на Linux - поднимать виндосервер или его самба-имитацию кажется извратом, но как ещё можно реализовать централизованную базу пользователей и ресурсов?
     
     
  • 2.6, LDAP (?), 02:29, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    LDAP?
     
     
  • 3.37, пох (?), 12:57, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > LDAP?

    +kerberos - иначе какая ж она "централизованная".
    И получаем тот же AD, только "всем хуже".

    (включая и бесконечные дырья что в лдапе, что в хеймдале)
    Ну и зачем, спрашивается, старались?

     
  • 3.69, Аноним (-), 17:49, 23/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > LDAP?

    Это не продукт, а технология. Чел хотел готовый (бесплатный) продукт где не надо писать скриптв и шарить в консольке.

     
  • 2.11, weter (??), 04:40, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Никак. Если все компы - линукс, то вам пора читать про FreeIPA.
    А вот если почти все, то альтернатив для АД нет. Из FreeIPA выпилили возможность ввести в домен винду. А так как без винды все равно никуда (дезигнеры, конструкторы, экономисты), то остается только Samba. Даже если у тебя всего 15 компьютеров под управлением виндовс и под 80 на линуксе... 8(
     
     
  • 3.17, Alex_Gluck (?), 06:06, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А можно пруф где говорится что винду в домен теперь нельзя ввести?
     
  • 3.19, Anonimous (?), 06:39, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Логичнее сервис под винду написать
     
  • 3.20, Anonimous (?), 06:41, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Разработчик Red Hat
    >Написана на Python, JavaScript[1]

    Ужас

     
  • 3.31, Аноним (-), 10:49, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://ru.wikipedia.org/wiki/FreeIPA говорит прямо противоположное "FreeIPA нацеливается на поддержку не только для компьютеров на базе Linux и Unix, но и Microsoft Windows и Apple Macintosh компьютеров тоже."
    P.S. За наводку спасибо, до этого момента про него не знал.
     
     
  • 4.35, Sabakwaka (ok), 11:50, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    FreeIPA поддерживает винду ЧЕРЕЗ САМБУ!
     
     
  • 5.70, Аноним (-), 17:51, 23/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > FreeIPA поддерживает винду ЧЕРЕЗ САМБУ!

    Точно через самбу? Не через АД?
    Поддерживает то оно на бумаге или парой кликов дает настроить синхронищацию пользоваталей и всего остального с самбой?

     
  • 2.21, Аноним (-), 06:55, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У нас в сети были и Windows и Linux. Все было завязано реализовано на OpenLDAP (работает, проверено).
     
  • 2.22, Anonimous (?), 06:59, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    А зачем? АД выполняет свою работу вполне хорошо
     
     
  • 3.74, пох (?), 18:57, 24/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А зачем?

    это сладкое слово "халява"...

     
  • 2.66, Andrey Mitrofanov (?), 12:00, 23/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Кто знает, подскажите: а есть ли вообще какие-нибудь внятные альтернативы Active Directory?

    [I]"В качестве альтернативы контроллера домена Active Directory сервер предоставляет [,,,]"[/I]
      --https://www.basealt.ru/products/alt-server/

    Вот только беда: они не пишут, что альтернатива таки _внятная_. Наверное, потребуется доработка напильником[I]!

     
  • 2.68, Аноним (-), 17:48, 23/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    freeIPA
    Линуксы АД и не поддерживают. Лишь притворяются через костыли.
     
  • 2.75, Аноним (-), 00:59, 25/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    NIS (YP) + NFS. С кучей граблей, зато нативно. Работает только на *nix.
     
     
  • 3.77, _ (??), 17:02, 25/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Дети! Не слушаейте старого извращенца!
    NFS нынешние одмины не осиливают, но если найдёте головастого то ещё "туды-сюды" ...
    А NIS должен быть просто запрещён к эксплуатации по статье за из*****ание КРС! :-Е

    Уж лучше самба! По крайней мере хоть будет у кого спросить :-\

     
     
  • 4.78, Аноним (-), 21:59, 26/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Вы мне льстите. :D

    > КРС

    Крупного рогатого скота? Это с какой стати?

     

  • 1.5, mumu (ok), 02:26, 22/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Для тех кому лень читать простыню:
    Долгожданная поддержка RODC + багфиксы.
     
     
  • 2.33, _KUL (ok), 11:05, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >При выполнении команды подсоединения к контроллеру домена ("samba-tool domain join") через RPC обеспечено создание записей A и GUID в DNS, а также динамической генерации элемента mname в записи SOA

    Самый мёд!!!

     
     
  • 3.52, mumu (ok), 22:56, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А поддержка dns там как реализована? Он должен стоять на машине с самбой? А если виндовый уже где-то стоит, то самба с ним работает?
     
  • 2.38, ананим.orig (?), 13:17, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вот это важнее:
    > После четырёх лет разработки в Samba реализована поддержка компиляции и запуска Active Directory с MIT Kerberos (вместо Heimdal Kerberos).

    что означает, что в шапке, центоси и тд. дистрах поддержка в качестве контролера домена появится из каробки.

     
     
  • 3.44, DmA (??), 20:40, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    оно и так было,требовалось только удалять перед установкой kerberos-mit
     

  • 1.7, qsdg (ok), 03:41, 22/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Слушайте, как выпилить эту самбу из Linux Mint? Мне никогда в жизни не нужно было, но похоже весь UI на ней завязан. Или хотя бы выключить, а то регулярно в ней дыры находят, наверно самое дырявое место в моей системе.
     
     
  • 2.8, руслан (?), 03:52, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Закрой файрволлом.
     
     
  • 3.10, Онаним (?), 04:35, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Выглядит примерно как резиновые штаны в качестве средства от поноса, честно говоря. При отсутствии вариантов это выход, конечно, но крайне печально, что в модных нынче дистрибутивах (что Альт этот, что Убунту) не предусмотрена возможность отключения ненужных служб. Вот сижу сейчас на Ubuntu LTS, гляжу в процессы, а там 2 демона Avahi, 3 демона Zeitgeist, 6 демонов Evolution (никогда в жизни ничем этим не пользовался и не хочу), ещё всякие ненужные штуки типа update-notifier, на Альте ещё и Самба эта, и запретить всему этому запускаться (не говоря уже о том, чтобы удалить вообще) нет никаких штатных вариантов. В винде и то лучше: выбрал ненужный сервис в списке, ткнул "Disable" и готово, а тут только прикрыться фаерволом и терпеть...
     
     
  • 4.12, Онаним (?), 04:41, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Только не в Альте, а в Минте, пардон, оговорился "по Фрэйду" :-]
     
  • 4.14, iPony (?), 05:39, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Им уже прям на лопате готовый systemd дали для этого. А всё мало...

     
  • 4.18, Аноним (-), 06:28, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а чем systemctl disable service не подходит?

    PS
    # find / -name "*samba*" | xargs rm -rf

     
  • 4.34, Sabakwaka (ok), 11:35, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Avahi то чем мешает??

     
     
  • 5.36, пох (?), 12:53, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Avahi то чем мешает

    минимум дважды его ломали. В корпоративных и нормально настроенных домашних сетях, где нет монокультуры маков - нахрен не нужен. В untrusted - опасен.

    пользы при этом - даже там где он может работать - значительно меньше чем от страшной-ужасной самбы. (которая, скорее всего, если не делать специальных телодвижений, представлена исключительно клиентом, но нашему шкoльнику сие невдомек)

     
     
  • 6.40, Аноним (-), 17:38, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    mdns из коробки мегаудобен, не знаю чего  все агрятсЯ на это. Понятно, что если  инфраструктура настроена админом, то в этом нет необходимости. Но дома самое оно
     
     
  • 7.47, пох (?), 22:07, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Понятно, что если  инфраструктура настроена админом, то в этом нет необходимости.
    > Но дома самое оно

    у меня дома - инфраструктура, настроенная админом.
    С изолированными сегментами для шибкоумных микроволновок, гостевых мабил с "дорогим" траффиком и ip-телефонии. Собственно, где еще имела бы смысл пресловутая сасамба с ее недо-поддержкой AD ?
    А было б дома только и занятия, что фоточки с ипхона перебросить на ипад - тогда, конечно, сошел бы и rendezvous. Правда, шибко-умный телевизор его, наверное, не поддерживает, не смотря на весь свой линукс унутре.

     
  • 4.71, Аноним (-), 17:56, 23/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    gt оверквотинг удален Терпи Это ж открытая система где все можно изменить ... текст свёрнут, показать
     
  • 2.9, leap42 (ok), 03:56, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    man iptables
     
  • 2.13, iPony (?), 05:36, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не уверен про подделку под названием Минт.
    Но вообще, она должна быть по дефолту отключена. В Ubuntu так.
     
  • 2.16, Аноним (-), 06:00, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    apt purge samba сделать религия не позволяет?
    Или systemctl stop smbd.service && systemctl mask smbd.service
     
     
  • 3.23, Аноним (-), 07:17, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Я точно в linux mint не знаю, но если гвоздями не прибили (читай прямой линк на либу самбы или еще хуже - статический линк), то обычно самбу можно легко снести - полностью удалить сервис и ее утилиты. При этом софт останется работоспособным но samba в ней работать не будет. Чтобы зависимости не поломались в системе останутся установленными пакеты samba-common, samba-common-bin (возможно еще какие-то), которые не содержат рабочих бинарников самбы.
     
  • 2.27, пох (?), 09:05, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • –5 +/
    лучше бы ты учился ui завязан на клиентские библиотеки которые из-за depende... текст свёрнут, показать
     
  • 2.30, Аноним (-), 10:03, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Слушайте, как выпилить эту самбу из Linux Mint?

    sudo apt purge s?mb*

    и\или использовать нормальный дистрибутив.

     
  • 2.32, Аноним (-), 10:53, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Или хотя бы выключить

    Ответ капитанский, очевидно удалить её из списка автозапускаемых сервисов.

     

  • 1.15, iCat (ok), 05:50, 22/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хорошо, что проект развивается.
    Кто-нибудь может поделиться опытом экспоуатации Samba в качестве сервера AD?
     
     
  • 2.24, Andrew (??), 08:01, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В продакшене начиная с версии 4.0alpha18. Сеть небольшая, около 100 рабочих станций. Работает как часики.
     
     
  • 3.26, iCat (ok), 08:28, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > В продакшене начиная с версии 4.0alpha18. Сеть небольшая, около 100 рабочих станций.
    > Работает как часики.

    Чем управляешь? (Политики, юзеры, logon-скрипты и т.д.)

     
  • 2.28, kadafy (?), 09:42, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    В продуктиве с версии 4. Работает как часики. 200 машин.
     
  • 2.29, Aleks (??), 09:46, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мы тоже на CentOS используем samba в качестве AD. PDC и BDC. Ставится из исходников, правда, но работает стабильно. Рулить можно из консоли, есть приложения для андроидов (почему бы и нет) и RSAT на одной виртуалке. GP и т.п. плюшки работают, на новые машинки сразу накатываются нужные программы с настройками.
     
  • 2.39, SysA (?), 16:48, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Хорошо, что проект развивается.
    > Кто-нибудь может поделиться опытом экспоуатации Samba в качестве сервера AD?

    Если используешь только базовые функции - то проблем нет, все как бы работает. Но у меня опыт отрицательный, поскольку инфраструктура сложная, АД используется не только как ЛДАП, доменных контроллеров много (3 в офисе и по 2 на каждый ДЦ). Планировалось контроллеры в ДЦ делать на Самбе и подключить к имеющимуся AD Forest в офисе, но так и не удалось сделать Самбу полноценным контроллером (проблемы синхронизацией и пр.) - игрался до версии 4.5.

    Полагаю, что проблема в том, что Самба 4 эмулирует винду 2000, а у нас 2012 была с умирающим 2008, а сейчас все перевели на 2016 уже.

    Так что могу предположить, что если везде будет только Самба и устраивает функционал вин2000, то все будет работать без проблем. Если же нет - то лучше не терять  времени на попытки скрестить "коня и трепетную лань"(С).

     
     
  • 3.41, ананим.orig (?), 18:33, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Полагаю, что проблема в том, что Самба 4 эмулирует винду 2000,

    2008г2 вообще-то
    > а у нас 2012 была с умирающим 2008, а сейчас все перевели на 2016 уже

    Да-да.
    Без 2016 ну никуда же.
    Что за жизнь без 2016 то. И как раньше жили не понятно.

     
     
  • 4.43, пох (?), 19:34, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Без 2016 ну никуда же.
    > Что за жизнь без 2016 то. И как раньше жили не понятно.

    наоборот, вполне понятно как жили - 2010й год (2008R2), сервера подключаются гигабитными линками к свитчу, самые крутые - двумя, клиенты вообще не выше 100, да и диски в тех серверах не особо способны отдать больше чем тянет сетевуха. Сети простые и плоские как блин, самые крутые - имеют отдельный "серверный vlan".

    сегодня "сервер" - это лезвие в блэйде, от него до "клиента" вполне может быть 40G (а у кого-то и 100), потому что клиент тоже ни разу не "десктоп", внутри вполне могут быть виртуальные сервера в количестве энцать штук, здравствуй геморрой с vxlan, ну и масса других милых мелочей.
    Не кажется ли вам, что таки да - пора бы уже и серверную операционку немножечко обновить?

    правда, конкретно DC в 2016 не особо далеко уехал за эти восемь лет, но, поскольку самба по сей день догоняет и никак не догонит ту самую R2 (rodc, если что, это даже не r2, это 2008 образца 2008го года - и вот, только-только фича перестала быть экспериментальной), то результат вполне очевиден.

    Но вот зачем ребятам понадобился этот троллейбус - неясно, виртуалка 2016 с этим самым DC на сегодня, по-моему, все еще бесплатна. И работает, в отличие от догоняющих.

     
     
  • 5.46, ананим.orig (?), 21:54, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > правда, конкретно DC в 2016 не особо далеко уехал за эти восемь лет, но, поскольку ...

    Что и требовалось доказать, сэнкс.

    Зыж
    А к примеру поверх ceph смогёшь вперед забегающую настроить?
    Не?
    Ну а насколько они отличаются видно даже тут —
    > Уязвимость также затрагивает системы Microsoft на базе Active Directory, например, Windows Server 2008, в которых повторено некорректное поведение протокола. MIT Kerberos проблеме не подвержен, как не подвержены проблеме и исполняемые файлы Samba, собранные с MIT Kerberos.

    https://www.opennet.ru/opennews/art.shtml?num=46859

     
     
  • 6.48, пох (?), 22:24, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> правда, конкретно DC в 2016 не особо далеко уехал за эти восемь лет, но, поскольку ...
    > Что и требовалось доказать, сэнкс.

    ну и ты предлагаешь сеть строить на файловых, почтовых, коммуникационных, менеджмент  серверах на 2016 (это вот все категорически не хочется получить 2008го года издания, я еще хорошо помню, какое оно было), а DC "так и быть" оставить восьмилетней давности, на случай если внезапно зачешется подключить к ним еще и самбу для комплекта? (кстати, я не уверен что можно получить сегодня легальную лицензию на 2008r2 без танцев, жертвоприношений и искренней веры, а стоить будет как золотая, поскольку там нет халявы с dc-only role) Оно даже заведется, наверное...

    > А к примеру поверх ceph смогёшь вперед забегающую настроить?

    э... у меня, наверное, нет столько ненужных данных. Вы там что у себя храните такое, что сбросить в ceph не жалко? (не надо мне про циску, они это продают, а не сами используют)

    > Ну а насколько они отличаются видно даже тут —

    странно что ты не вспомнил вместо этого wannacry и совершенно аналогичную мартовскую дыру в сасамбе - которую даже тоже кто-то успел поэксплойтить, хотя и с меньшим шумом в прессе - денег у целевой аудитории, разумеется, нема.

     
     
  • 7.50, ананим.orig (?), 22:48, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > ну и ты предлагаешь сеть строить на файловых, почтовых, коммуникационных, менеджмент  серверах на 2016 (это вот все категорически не хочется получить 2008го года издания, я еще хорошо помню, какое оно было), а DC "так и быть" оставить восьмилетней давности, на случай если внезапно зачешется подключить к ним еще и самбу для комплекта? (кстати, я не уверен что можно получить сегодня легальную лицензию на 2008r2 без танцев, жертвоприношений и искренней веры, а стоить будет как золотая, поскольку там нет халявы с dc-only role) Оно даже заведется, наверное...

    не распарсил. но если что, то сабж вполне себе сегодняшний. и нафига ему лицензии — х/з.
    разве что откаты.
    >...(не надо мне про циску, они это продают, а не сами используют)

    вау.
    > странно что ты не вспомнил вместо этого wannacry и совершенно аналогичную мартовскую дыру в сасамбе - которую даже тоже кто-то успел поэксплойтить, хотя и с меньшим шумом в прессе - денег у целевой аудитории, разумеется, нема.

    странно другое, а именно то, что ты так и не понял кто там у кого что берет и кто кого догоняет.
    кто первый дыры закрывает в этих 2-х сортах одного и того же Д....
    если что, то сабж вполне себе работает не хуже мелкого. и я тут такой не один (см. коменты ниже)

     
     
  • 8.54, пох (?), 23:04, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    ты спрашивал - зачем именно 2016 - тебе объяснили, зачем А вот совместимость ... текст свёрнут, показать
     
     
  • 9.57, ананим.orig (?), 23:21, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    для лицензий достойный ответ или я что важное пропустил куда не плюнь, одни г... текст свёрнут, показать
     
     
  • 10.64, пох (?), 09:27, 23/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    то есть ни слова не понял Ну в общем я не удивлен, уровень знаний типичного люб... текст свёрнут, показать
     
     
  • 11.67, ананим.orig (?), 12:05, 23/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    вот и переход на личночти не удивлен что ещё ждать для потребителя стеклянных ... текст свёрнут, показать
     
  • 5.63, . (?), 00:57, 23/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >виртуалка 2016 с этим самым DC на сегодня, по-моему, все еще бесплатна.

    пох - ты о чём?

     
     
  • 6.65, пох (?), 09:36, 23/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>виртуалка 2016 с этим самым DC на сегодня, по-моему, все еще бесплатна.
    > пох - ты о чём?

    вроде они кастрированную версию сервера по оемским каналам раздавали почти бесплатно. (почти, потому что там же еще юзерские лицензии нужны, за которые, правда, никто тоже вживую не платил) Ставится (ну канеш) в hyper-v, ну так там ему самое и место.

    но тут я пою с чужих слов, мне-то от oem'ов бесплатная вмварь с редхатами досталась, просто "чтоб было что сразу выбросить".

     
  • 5.72, Аноним (-), 18:05, 23/09/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/

    > Но вот зачем ребятам понадобился этот троллейбус - неясно, виртуалка 2016 с
    > этим самым DC на сегодня, по-моему, все еще бесплатна.

    ШТА? Бесплатная серверная винда? Откуда ты это взял?


     
     
  • 6.73, пох (?), 12:37, 24/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > ШТА? Бесплатная серверная винда? Откуда ты это взял?

    один дилер хепе на ушко нашептал, что это у них (был?) такой ответ UCS C-series. Разумеется, для этого надо было купить у него железа на энцать килоуе, но, собственно, тебе по любому надо на чем-то это запускать, почему бы и не хепе.

     
  • 4.53, ананим.orig (?), 23:03, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    ззыж
    > Полагаю, что проблема в том, что Самба 4 эмулирует винду 2000,

    кому надо — https://wiki.samba.org/index.php/AD_Schema_Version_Support
    The official Active Directory (AD) schema versions are:
      Windows Server Version Directory Schema Version
      Windows Server 2016 87
      Windows Server 2012R2 69
      Windows Server 2012 56
      Windows Server 2008R2 47
      Windows Server 2008 44
      Windows Server 2003R2 31
      Windows Server 2003 30
      Windows 2000 13
    Samba supports the following Active Directory schema versions:
    Samba Version Highest Supported Schema Version
      4.5 and later 69 *
      4.0 - 4.4 47
    * Experimental support. To report problems, click https://bugzilla.samba.org.

     
     
  • 5.55, пох (?), 23:07, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > кому надо — https://wiki.samba.org/index.php/AD_Schema_Version_Support

    как ты понимаешь, 2012r2 вполне может работать DC в общем "лесу" с 2016 - не смотря на разные версии AD. Да и 2008r2 тоже, скорее всего (во всяком случае, не помню прямого запрета так делать).
    Так что эти цифирки, к сожалению, еще не все.

     
     
  • 6.58, ананим.orig (?), 23:27, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    верно. но кто говорит, что самба должна в вантуз втыкаться, а не наоборот?
     
     
  • 7.60, пох (?), 23:39, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > верно. но кто говорит, что самба должна в вантуз втыкаться, а не
    > наоборот?

    здравый смысл? А, впрочем, о чем я, это ж опеннет...

    нет, ты правда рискнешь вот всю эту хреновину - ad forest во всей его красе, наверняка с разделением полномочий по подразделениям, размазанный по куче офисов и нескольким датацентрам, соответственно, далеко не с первыми сотнями авторизующихся пользователей (и непользователей) - делать на самбе?

    Теоретически, наверное, возможно.

     
  • 2.42, Алексей (??), 18:37, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    сервер на freebsd 11.1-RELEASE-p1 samba4 больше 100 windows машин и около 10 unix.
     
  • 2.45, Вася (??), 21:25, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    ~120 виндовых машин. Контроллер на Debian 8.9 и интегрированная в AD файлопомойка отдельным инстансом.
    Пришлось немного попотеть с DDNS через dhcpd в процессе настройки, а так все норм. Админю через RSAT.
    Единственный нюанс - я не завидую тем виндовым эникеям которые будут это админить после меня. Хотя я думаю что смигрировать на виндовый контроллер будет не сложно если что. Правда там тоже свой бубен нужен ввиде поэтапной миграции начиная с 2008r2.
     
     
  • 3.49, виндовый эникей (?), 22:34, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Единственный нюанс - я не завидую тем виндовым эникеям которые будут это
    > админить после меня. Хотя я думаю что смигрировать на виндовый контроллер

    да ладно, чего там сложного- снесем все нахрен, и настроим заново.
    Все равно у тебя там ни scсm, ни scm/sct, ни еще чего осмысленного, одни немудрящие права на файлопомойке. А пароли юзерам и так  полезно иногда менять - особенно после увольнения очередного куль-админа.

    > будет не сложно если что. Правда там тоже свой бубен нужен
    > ввиде поэтапной миграции начиная с 2008r2.

    да мы хлам как-то не коллекционируем.

     
     
  • 4.76, dima (??), 12:25, 25/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем sccm? Если есть ClusterSSH.
     
     
  • 5.80, пох (?), 23:06, 26/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Зачем sccm? Если есть ClusterSSH.

    для управления первой парой сотен виндовых машин он тебе очень пригодится, ага.

     

  • 1.81, iga (?), 03:51, 20/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Всем привет! Может кто знает, когда в портах FreeBSD эта замечательная samba появится?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру