После шести месяцев разработки подготовлен (https://lists.samba.org/archive/samba-announce/2018/000456.html) релиз Samba 4.9.0 (http://www.samba.org/), продолживший развитие ветки Samba 4 (https://www.opennet.ru/opennews/art.shtml?num=35571) с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).Ключевые изменения (http://www.samba.org/samba/history/samba-4.9.0.html) в Samba 4.9:
- Реализован плагин локальной авторизации для MIT Kerberos, который через winbind управляет взаимодействием между пользователем в Kerberos и учётной записью в Active Directory. На входе указывается пользователь (principal) Kerberos и имя локальной учётной записи, после чего определяется их соответствие и выдаётся канонизированный вариант (например, пользователь зашёл как "alice", а samAccountName выставлен в "ALICE", для Kerberos будет возвращено имя
"ALICE");- Добавлена поддержка аудита базы данных sam.ldb. Для ведения лога операций с БД предложены отладочные класс классы "dsdb_audit" и "dsdb_json_audit", а также классы "dsdb_transaction_audit" и "dsdb_transaction_json_audit" для ведения лога принятых и отклонённых транзакций;
- Добавлена поддержка аудита операций изменения пароля в AD DC. Ведение лога смены паролей включается при помощи новых отладочных классов "dsdb_password_audit" и "dsdb_password_json_audit";- Добавлена поддержка аудита операций изменения принадлежности пользователей к группе, которая включается через отладочные классы "dsdb_group_audit" и "dsdb_group_json_audit";
- Обеспечено сохранение в логе (только для формата JSON) продолжительности стадии аутентификации для NTLM и Kerberos KDC;- В модуле аудита файловой системы vfs_full_audit с "all" на "none" изменён используемый по умолчанию набор отслеживаемых успешных и не успешных операций (т.е. по умолчанию теперь не выполняется отслеживание, что помогает защититься от потенциальных DoS-атаки через подключения данного модуля к объектам VFS).
Кроме того, в модули vfs_audit, vfs_ext_audit и vfs_full_audit добавлена поддержка всех корректных объектов syslog;- Добавлена новая команда "net ads setspn" для управления Windows SPN (Service Principal Names) в Active Directory. По функциональности команда близка к утилите 'setspn.exe' и также позволяет добавлять, удалять и просматривать список Windows SPN, хранимый в объекте Computer из Windows AD;
- Расширена функциональность команды 'net ads keytab'. Изменено поведение подкоманды "net ads keytab add", которая больше не преобразует переданный класс сервиса (nfs, html и т.п.) в Windows SPN, добавляемый в объект Computer в Windows AD. По умолчанию теперь изменения ограничиваются файлом keytab. Для воссоздания старого поведения добавлена новая подкоманда 'add_update_ads', а также предложено использовать отдельную команда 'net ads setspn add' для внесения изменений в Windows SPN;
- Для сборки Samba AD DC по умолчанию теперь требуется наличие библиотеки Jansson. При сборке без AD DC ("--without-ad-dc") от данной зависимости можно отказаться передав в configure параметр "--without-json-audit";
- Реализован новый экспериментальный бэкенд LDB на базе библиотеки LMDB (https://symas.com/lmdb/technical/), позволяющих создавать БД больше 4 Гб. Для включения нового бэкенда следует использовать опцию "--backend-store=mdb". Для сборки требуется наличие версии lmdb выше 0.9.16;
- Добавлена поддержка объектов установки паролей (PSO - Password Settings Objects или FGPP - Fine-Grained Password Policies). PSO позволяет для отдельных пользователей или групп переопределить правила установки пароля, заданные в Active Directory. Например, для выборочных пользователей можно потребовать установки более длинных паролей или отменить ограничения по сложности пароля.
Настройка PSO выполняется командой 'samba-tool domain passwordsettings pso';- Добавлена команда 'samba-tool domain backup online' для созданий файла с резервной копией БД для указанного домена Active Directory, а также команда и 'samba-tool domain backup restore' для восстановления состояния сервисов Samba на основе ранее сохранённого бэкапа.
- Добавлена базовая поддержка переименования доменов Samba. Переименование производится в два шага: вначале для клонирования БД домена запускается команда 'samba-tool domain backup rename', а затем полученный файл с резервной копией БД восстанавливается под новым именем домена при помощи команды 'samba-tool domain backup restore';
- Добавлены новые возможности для диагностики проблем при репликации DRS: В команду 'samba-tool drs showrepl' добавлена опция "--summary" для вывода водки о работоспособности репликации. Реализована новая команда 'samba-tool visualize uptodateness' для визуализации задержек при репликации;
- В команду 'samba-tool computer' добавлена возможность манипуляции учётными записями в объекте Computer, в том числе создания нового экземпляра объекта и инициирование сброса пароля. Данные операции допускают введение сервера или рабочей станции в домен Samba AD в режиме offline;
- Добавлена новая команда 'samba-tool ou' для управления организационными единицами (OU - Organizational Units). Поддерживаются подкоманды create, delete, move, rename, list и listobjects для создания, удаления, перемещения, переименования OU, а также вывода списка OU и находящихся в них объектов. Кроме того добавлены отдельные команды samba-tool для управления пользователями и группами: "group move" и "user move" для перемещения пользователя в организационную единицу, "user show" для показа привязанных к пользователю объектов AD;- Утилита для тестирования производительности 'traffic_reply' адаптирована для применения с Microsoft Windows AD, а не только с Samba AD;
- При выполнении операции 'samba-tool domain demote' по умолчанию и в режиме '--remove-other-dead-server' теперь осуществляется чистка записей в DNS. Дополнительно для автоматической чистки записей в DNS можно использовать команду 'samba-tool dns cleanup';
- Значительно увеличена производительность работы команды 'samba-tool ntacl sysvolreset';
- Обеспечено тестирование Samba с использованием системы непрерывной интеграции на базе GitLab;
- Добавлена поддержка очистки записей динамически заведённых в DNS после определённого времени их неактивности. Режим чистки включается в smb.conf при помощи директивы "dns zone scavenging = yes";
- Улучшена поддержка доверенных доменов и лесов (Trusted Domain и Trusted Forest). Поддержка внешних доверенных доменов и переходных доверенных лесов для аутентификации Kerberos и NTLM теперь поддерживается в обоих направлениях (inbound и outbound). Добавлена возможность добавления пользователей и групп из доверенных доменов в группы доменов. Обеспечено автоматическое создание объектов foreignSecurityPrincipal (FPO), когда в группу добавляются члены доверенных доменов и лесов. В команде 'samba-tool group *members' теперь допустимо указывать внешние SID-идентификаторы членов групп;
- Полностью переработана конфигурация CTDB. Опции фонового процесса и утилит теперь задаются в новом файле конфигурации ctdb.conf. Настройки, определяющие параметры запуска задаются в специфичных для дистрибутивов файла конфигурации (см. man ctdb.sysconfig). Параметры для тюнинга загружаются из файла ctdb.tunables (указание CTDB_SET_TunableVariable=value в основной конфигурации больше не поддерживается). Удалены или изменены многие опции ctdbd, настройки ctdbd.conf и скрипты обработки событий.
Скрипты обработки событий перемещены в каталог scripts/legacy, а скрипты вывода уведомлений в каталог scripts/notification. Все скрипты должны поставляться с расширением ".script". Скрипты обработ...URL: https://lists.samba.org/archive/samba-announce/2018/000456.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=49267
Все самые вкусные нямки шинды, наслаждайся и приятного аппетита.
> Все самые вкусные нямки шинды, наслаждайся и приятного аппетита.Не все шоколад, что коричневое (анонимная мудрость)
https://www.samba.org кагбэ намекает поборникамЪ чистоты и непорочности:"Samba is Free Software licensed under the GNU General Public License."
>samba.org кагбэ намекает поборникамЪ чистоты и непорочности:
> "Samba is Free Software licensed under the GNU General Public License."Чистота и непорочность, она не в лицензиях.
У него абстрактное мышление на уровне лабрадора, о чем говорить
Тогда что ты делаешь в энторнетах? За теми Ч и Н, которые не в лицензиях - это тебе не сюда, это тебе в ближайший храм, к духовнику.
> Тогда что ты делаешь в энторнетах? За теми Ч и Н, которые
> не в лицензиях - это тебе не сюда, это тебе в
> ближайший храм, к духовнику.Ты уже второе сообщение подряд пишешь, делая вид, что знаешь, что мне надо. Это, безусловно, интересный клинический случай -- продолжай, не останавливайся.
>Чистота и непорочность, она не в лицензиях.Скажите это Столлману и другим с ГГМ (ГПЛ головного мозга).
>>Чистота и непорочность, она не в лицензиях.
> Скажите это Столлману и другим с ГГМ (ГПЛ головного мозга).Он в курсах. Он об этом 30 с хвостиком лет говорит. У вас слишком острая реакция на условные трёхбуквенные раздражители -- всё никак до конца дедушку не дослушаете.
30+ лет, Карл!
На самом деле это круто, что виндоуз и линукс компьютеры в одной сети органично работают с общими ресурсами,
На самом деле НЕТ, ибо нужно выкручивать конфиги.
>компьютеры в одной
> сети органично работают с общими ресурсами,
>органичноВы сделали столько ошибок в слове "ограниченно". Волновались? Почему?
Лучше бы драная венда через WebDAV работала нормально, тогда никакого моснтра=самбы не потребовалось бы держать.
Пролистал список изменений. Я правильно понимаю, что все новые фичи касаются только AD-режима, для обычных пользователей с файлошарой ничего интересного?
Видимо, правильно. Причём TODO по RODC тоже как-то не сдвинулось. =(Да и вообще, весь этот переход на MIT Kerberos отнимал и отнимает ресурсы. Оно и понятно, самбу пилят мало человек, для такого большого проекта. Причём там требуется ого-го какая квалификация, потому что патчи от samba принимают в сам MIT Kerberos и много куда ещё.
почти правильно (если еще внимательней почитаете, найдете те, что не только для AD). в общем-то и вся четвертая ветка посвящена непрекращающейся битве за AD, потому что сил и времени разработчиков только на это и хватает. Точнее, даже и на это не.К сожалению, на нормальную поддержку третьей, для тех кому не надо "как в windows (2000 ;-) только НАХАЛЯВУУУУУ!", а нужно нормальный file sharing не с безопасностью и эффективностью начала 90х - у них тоже не хватило.
так что ставьте что дают.
Что-то я упустил: samba 4 уже может работать в AD в качестве "вторичного контроллера"?
Не полностью.Полностью это FreeIPA с 389 Directory Server.
>Что-то я упустил: samba 4 уже может работать в AD в качестве "вторичного контроллера"?Нет не может, samba 3.x умеет, samba 4 не умеет, т.к. со времен windows 2000 данное разделение устарело.
> Обеспечено тестирование Samba с использованием системы непрерывной интеграции на базе GitLab;Меня умиляет тенденция включать в список изменений продукта то, что к продукту никаким боком не относится.
Бесконечные попытки не отстать от уходящего поезда
От M$? Да этот поезд ушёл уже. Скатертью ему дорога. Забыть, как страшный сон.
тот поезд на этой станции не остановится, еще и рельсы с собой норовит забрать, а опенсофтварю нужна хоть какая-то альтернатива устаревшей на 20 лет концепции nfs, другой - нет (да и у неопен не лучше - см где у нас огрызки с их аплетапком).Причем если ситуация в самой самбе еще вызывает осторожненький оптимизм, что лет еще через десять будет уже почти как в win2008r2, и может даже не тормознее и не более уязвимо чем та 2008 в 2010м без патчей была, то с клиентом все вообще совсем плохо - его доделывали какие-то отдельные люди, набегами, и последний был довольно давно, и закончился как-то на пол-шаге.
NFS куда лучше чем эта самба. Жалко только в винде не поддерживается
> NFS куда лучше чем эта самбаНет. Подтверждено ведущими специалистами. Нравится кому это или нет.
Лучше не придумали.
По NFS файлы значительно быстрей качаются
Где-то попадались исследования на тему smbv3 - там всё лучше чем в nfs происходило.
а у меня прекрасно всегда работает, и так дайте почитать хоть чтото)) а то вышел ОБС)
как анонимус анонимусу скажу что вы ошибаетесь, поддерживается, но не во всех редакциях, ЕМНП с поддерживается начиная с proffesional.
за подробностями как всегда в гугл
То что там поддерживается это не NFS, а кусок копролита.
Вообще-то давно поддерживатеся - как клиент, так и сервер
NFSv4 омолодился же
прекрасно омолодился - теперь у нас вместо 96го года наступил аж 2000й, кричали женьщины ура и в воздух перфолент бросали.
(и это не говоря уже о том, что nfs4- разработка мертвой Sun, комитетчики из ietf вам наразрабатывают)стесняюсь спросить, у нас pNFS-то вообще нормально работает хоть линукс с линуксом? (напоминаю- в винде аналог появился в 2008м, у ietf ушло четыре года чтоб это содрать)
Некрософт, если что, более-менее не брыкался и пошёл по требованию ЕК писать документацию по своей реализации SMB после того, как утратил единственного "серого кардинала", который изволил критичную документацию носить в голове.Это не говоря про ползающие к активному клиенту локи в кластерной самбе ещё когда там -- как раз как бы не десять лет назад.
Но про "2008r2" можете ещё порассказывать, да ;-) Только не увлекитесь в том же тредике про индусов, а то может выйти неубедительно.
а зачем вам понадобилась документация на проклятый smb? Своего вы ничего не можете вообще?
> а зачем вам понадобилась документация на проклятый smb? Своего вы ничего не
> можете вообще?Эээ? Головку не ушиб?
Документацию микрософту на _еёйную_ smb написать??
И ник покреативнее -- тож на грани симптома.
Этот поезд встал в попытке перепрыгнуть в облака.
хрена себе, встал!? Этот поезд с дровяного паровоза перешел на реактивные двигатели, пока вы спите. Cluster shared volumes - это 2008R2, на минуточку! И они на этом только вошли во вкус - e2e aes-gcm для чего, по вашему, для домашних фоточек с наса на телевизор включен в протокол? smb direct ?И что ответят адепты nfs-аж-v4 ? Полагаю, невнятным бормотанием "вообще не знаем что это за фигня - мы как свой локалхост ненужный полировали двадцать лет назад, так и полируем".
А без complete trust чужому хосту у вас кроме сосамбы вообще есть хоть что? Отож.
>Cluster shared volumes - это 2008R2Это поэтому на кластерах SMB никто и зовут его никак?
>e2e aes-gcm
Есть AES в NFS и уже давно.
>complete trust
Больше обскура надо, а потом плакать от очередного пети.
Хотелось бы что бы все работало. Но нет.
> Хотелось бы что бы все работало. Но нет.Не хочется? Ай, бедный, " Надо же себя заставлять. "ТМ
Samba - самое приятное, имхо, что есть в Linux...
Тяжело вам.
> продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000шел 2018 год
Как и вантуз 2003/2008/20012/.. собсно.
Что вас удивляет?
на самом деле это как с поминанием абсpалис в каждой новости про palemoon.там, в общем-то, ближе к 2008 чем к 2000. Жаль, конечно, что на дворе 2018й, это да.
Но что вы хотите - догонять коммерческий проект силами полутора кенгуру - задача практически нерешаемая, удивительно, как оно вообще живо все эти годы, да еще и умудряется работать совместимо с закрытыми системами неимоверной сложности (ну да, с глюками и полным логом неведомой хни, но, повторяю, удивительно что вообще это возможно).