The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Samba 4.1 доступен для тестирования"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Samba 4.1 доступен для тестирования"  +/
Сообщение от opennews (ok) on 15-Июл-13, 15:20 
Началось (http://permalink.gmane.org/gmane.network.samba.announce/292) тестирование новой значительной ветки Samba 4.1 (https://www.samba.org/), продолжающей развитие технологии, доступных в ветках Samba 4 и 3.x.


Ключевые изменения в Samba 4.1:

-  Новая система репликации содержимого базы данных контроллера домена, отличающаяся увеличением эффективности и надёжности работы. Новая реализация позволяет организовать репликацию базы с другими контроллерами домена, в том числе имеющими существенно изменённую схему данных (например, Windows 2012 DC или  Windows DC с установленным Exchange);

-  Поддержка выполнения операций копирования на стороне сервера (реализован SMB2-запрос FSCTL_SRV_COPYCHUNK по аналогии с Windows Server 2012). Таким образом клиент теперь может инициировать копирование файлов на сервере без их передачи по сети (ранее для копирования файл загружался на систему клиента, а затем опять переносился на сервер);

-  Включение VFS-модуля для обеспечения интеграции с файловой системой Btrfs (включается через параметр "vfs objects = btrfs" в smb.conf). Модуль позволяет дополительно увеличить производительность операций копирования на стороне сервера при хранении данных на
Btrfs-разделах, за счёт использования возможности по хранению только одной копии данных для идентичных файлов с их разделением на уровне метаданных;
-   Удаление из состава Samba административного web-интерфейса SWAT. В качестве мотива называется недостаточно высокое качество кода с точки зрения безопасности. В текущем виде SWAT излишне доверяет действиям, инициируемым со стороны пользовательского браузера, что открывает возможности к проведению XSS и CSRF атак, направленных на инициирование скрытых действий от лица пользователя web-интерфейса. Для исключения подобных атак требуется переработка модели безопасности SWAT, но у SWAT отсутствует мэйнтейнер и не удалось найти заинтересованного в развитии проекта web-разработчика;

-  Прекращена поддержка директив "password level" и "set directory";
-  Добавлена новая директива "use ntdb".

URL: http://permalink.gmane.org/gmane.network.samba.announce/292
Новость: http://www.opennet.ru/opennews/art.shtml?num=37422

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Samba 4.1 доступен для тестирования"  –1 +/
Сообщение от commiethebeastie (ok) on 15-Июл-13, 15:20 
Для того чтобы свалить самбу без возможности восстановления (не считая разворачивания бекапов) достаточно поднять её до уровня Windows 2008. Вы даже даже не узнаете, что ваша самба уже умерла.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Samba 4.1 доступен для тестирования"  +1 +/
Сообщение от commiethebeastie (ok) on 15-Июл-13, 15:23 
Самба4 более вендузятный продукт чем сам Шиндоус.

1. Свой LDAP, никакой интеграции с OpenLDAP или 389.

2. Свой DNS сервер, DLZ работает ужасно. Ладно, в отличии от LDAP это можно обойди подгрузкой зон в bind через slave.

3. Свой керберос, ну проблема невелика.

Самба4 это система в себе. При строительстве гетерогенной сети приходится костылять вокруг Samba AD.

Афтары догадались сделать доступной без единого предупреждения функцию raise windows 2008 при отсутствующей DFS репликации.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Samba 4.1 доступен для тестирования"  +/
Сообщение от Сергей (??) on 15-Июл-13, 15:25 
Если с разбегу удариться головой об угол, вы даже не узнаете, что умерли (не считая наличия запасной головы).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Samba 4.1 доступен для тестирования"  –1 +/
Сообщение от commiethebeastie (ok) on 15-Июл-13, 15:30 
> Если с разбегу удариться головой об угол, вы даже не узнаете, что
> умерли (не считая наличия запасной головы).

Она будет делать вид, что работает, ошибок никаких не будет, но на самом деле это уже труп. Для работы с AD уровня windows 2008 обязательно требуется DFS, которого в самбе нет. Вы чуть позже узнаете это по клиентам, которые выкинут ошибку применения GPO, т.к. они не смогут прочитать SYSVOL.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Samba 4.1 доступен для тестирования"  +/
Сообщение от Аноним (??) on 15-Июл-13, 15:56 
Если бы Сергей не написал этот комментарий, мы бы не знали, что он вообще жил (не считая Сергея).
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Samba 4.1 доступен для тестирования"  –1 +/
Сообщение от ананим on 15-Июл-13, 16:16 
Пруф на багтрекер.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Samba 4.1 доступен для тестирования"  –6 +/
Сообщение от kurokaze (ok) on 15-Июл-13, 16:33 
Непонимаю на что ты жалуешься. Ты как истовый бсд-шник обязан обмазываться самбой и всем прочим что имеет отношение к шиндовс, каждый день и радоваться.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Samba 4.1 доступен для тестирования"  +/
Сообщение от commiethebeastie (ok) on 15-Июл-13, 16:35 
Запрос в гугле "Samba 4 DFS" выдаёт кучу вкусняшки.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Samba 4.1 доступен для тестирования"  +3 +/
Сообщение от commiethebeastie (ok) on 15-Июл-13, 16:35 
> Непонимаю на что ты жалуешься. Ты как истовый бсд-шник обязан обмазываться самбой
> и всем прочим что имеет отношение к шиндовс, каждый день и
> радоваться.

narkoman.png?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Samba 4.1 доступен для тестирования"  +/
Сообщение от Аноним (??) on 15-Июл-13, 16:38 
тройкой пользуюсь. но четверку ближайшие 2 года точно ставить не буду. как и 90% читающих эту новость.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Samba 4.1 доступен для тестирования"  +4 +/
Сообщение от Аноним (??) on 15-Июл-13, 16:58 
> Самба4 это система в себе. При строительстве гетерогенной сети приходится костылять
> вокруг Samba AD.

Скажи спасибо майкрософту. Это красавцы взяли казалось бы обычные протоколы и немного доработали. Так что они стали несовместимы по мелочи с остальными реализациями. Ну вот и приходится вот такой вот ответ. Костыльным проблемам - костыльные решения.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

13. "Samba 4.1 доступен для тестирования"  +/
Сообщение от ананим on 15-Июл-13, 17:30 
Это вы сами кушайте.
Пруф на баг. А работает какбэ нормально.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Samba 4.1 доступен для тестирования"  –2 +/
Сообщение от Клыкастый (ok) on 15-Июл-13, 17:40 
хейтер. тут таких много. особенно по весне и осени.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Samba 4.1 доступен для тестирования"  –1 +/
Сообщение от Аноним (??) on 15-Июл-13, 17:50 
Догхантеры
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Samba 4.1 доступен для тестирования"  –1 +/
Сообщение от commiethebeastie (ok) on 15-Июл-13, 18:55 
Это не баг, это просто полное отсутствие реализации. Попробуй сделать репликацию на нормальный win2008 и убедись, что шара SYSVOL не появится.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "Samba 4.1 доступен для тестирования"  +2 +/
Сообщение от Аноним (??) on 15-Июл-13, 19:07 
> хейтер. тут таких много. особенно по весне и осени.

Они повсюду. Они - за каждым углом. Они постоянно смотрят на тебя, выжидая возможность напасть. Ты нигде не сможешь от них спастись.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

18. "Samba 4.1 доступен для тестирования"  +1 +/
Сообщение от ананим on 15-Июл-13, 19:24 
А зачем мне делать репликацию на "нормальный" вынь2008?
Я делаю репликацию на нормальную самбу.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "Samba 4.1 доступен для тестирования"  –1 +/
Сообщение от commiethebeastie (ok) on 15-Июл-13, 19:25 
А ну что и следовало ожидать, почитай логи на семерках.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Samba 4.1 доступен для тестирования"  +/
Сообщение от Клыкастый (ok) on 15-Июл-13, 19:35 
> Они повсюду. Они - за каждым углом. Они постоянно смотрят на тебя,
> выжидая возможность напасть. Ты нигде не сможешь от них спастись.

Как говаривал мой дядя "спасу нет от дураков".

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "Samba 4.1 доступен для тестирования"  +1 +/
Сообщение от ram_scan on 15-Июл-13, 20:01 
> Для работы с AD уровня windows 2008 обязательно требуется DFS, которого в самбе нет.

Данунафиг. http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/m...

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

22. "Samba 4.1 доступен для тестирования"  +1 +/
Сообщение от ram_scan on 15-Июл-13, 20:11 
> Это не баг, это просто полное отсутствие реализации. Попробуй сделать репликацию на
> нормальный win2008 и убедись, что шара SYSVOL не появится.

Может руки ?

В кновледж бейзе корпорации зла пишут что и FRS репликацию пока еще никто не отменял. Я отчего-то им верю.

A Windows Server 2008 R2 domain controller can still use FRS to replicate the contents of the SYSVOL share in a domain that uses FRS for replicating the SYSVOL share between domain controllers.

Пруф : http://msdn.microsoft.com/en-us/library/windows/desktop/ff38...

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

23. "Samba 4.1 доступен для тестирования"  –1 +/
Сообщение от commiethebeastie (ok) on 15-Июл-13, 20:13 
http://msdn.microsoft.com/en-us/library/windows/desktop/bb54... я про это. DFS на win 2003 R2 был полностью перепилен и стал не совместим со старой реализацией.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

24. "Samba 4.1 доступен для тестирования"  +/
Сообщение от commiethebeastie (ok) on 15-Июл-13, 20:24 
При репликации система делает запрос уровня контроллера домена и леса. И если ответ от хозяина FSMO приходит "Windows 2008 R2", то автоматически активируется DFSR. В случае по ссылке используется связка хозяин FSMO - Wind2003, а к нему подключается wind2008.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

25. "Samba 4.1 доступен для тестирования"  +4 +/
Сообщение от ram_scan on 15-Июл-13, 20:24 
> Самба4 более вендузятный продукт чем сам Шиндоус.
> 1. Свой LDAP, никакой интеграции с OpenLDAP или 389.

Интеграция была. Но спасибо майкрософт они в своем лдапе накостылили так что со всей этой херней через бэкэнд взлететь не получается. Но запилить тем не менее можно, если хорошо понимаешь что делаешь. Пруф: http://wiki.samba.org/index.php/Samba4/LDAP_Backend

> 2. Свой DNS сервер, DLZ работает ужасно. Ладно, в отличии от LDAP
> это можно обойди подгрузкой зон в bind через slave.

Данунафиг. С биндом по крайней мере все поет и танцует. Пруф: http://wiki.samba.org/index.php/DNS

> 3. Свой керберос, ну проблема невелика.

Вот это через бэкэнд вообще не лечится. Спасибо МС которая наколхозила в керберосе костылей своих.

> Афтары догадались сделать доступной без единого предупреждения функцию raise windows 2008 при отсутствующей DFS репликации.

Может это на мэйнтейнеров надо полаять которые собрали вам самбу без поддержки DFS ? Или ручки и нечитание доки ? Репликация есть. Пруф ниже несколькими постами. Да, DRS несовместима с LDAP_Backend. Спасибы за это опять-же в microsoft отправляйте.


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

26. "Samba 4.1 доступен для тестирования"  +/
Сообщение от commiethebeastie (ok) on 15-Июл-13, 20:32 
>Интеграция была. Но спасибо майкрософт они в своем лдапе накостылили так что со всей этой херней через бэкэнд взлететь не получается. Но запилить тем не менее можно, если хорошо понимаешь что делаешь. Пруф: http://wiki.samba.org/index.php/Samba4/LDAP_Backend

Давно несовместим.

>Данунафиг. С биндом по крайней мере все поет и танцует. Пруф: http://wiki.samba.org/index.php/DNS

ACL не настраивается, автоочистка не работает. Без ACL элементарное переименование компьютера превращается в ад.

>Может это на мэйнтейнеров надо полаять которые собрали вам самбу без поддержки DFS ? Или ручки и нечитание доки ? Репликация есть. Пруф ниже несколькими постами. Да, DRS несовместима с LDAP_Backend. Спасибы за это опять-же в microsoft отправляйте.

Там старая реализация, несовместимая с DFSR.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "Samba 4.1 доступен для тестирования"  +1 +/
Сообщение от ram_scan on 15-Июл-13, 20:50 
> http://msdn.microsoft.com/en-us/library/windows/desktop/bb54...
> я про это. DFS на win 2003 R2 был полностью перепилен
> и стал не совместим со старой реализацией.

Да, действительно, репликация SYSVOL через DRS не реализована. прочел внимательнее мануал. Сыплю голову пеплом. Надо реплицировать другими средствами.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

28. "Samba 4.1 доступен для тестирования"  –1 +/
Сообщение от commiethebeastie (ok) on 15-Июл-13, 20:56 
>Надо реплицировать другими средствами.

А вот тут и фиг, в NTDS нет этой ветки вообще! Т.е. нельзя выполнить принудительную репликацию.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "Samba 4.1 доступен для тестирования"  +1 +/
Сообщение от Celcion (ok) on 15-Июл-13, 21:09 
Ну, правильно, поддерживать один интегрированный продукт - это неинтересно. А вот поддерживать двадцать, склеенных между собой через костыли - самое оно. Это так линуксвейно.
Ну и, конечно, чинить костыли всякий раз когда очередное обновление в каком-либо из двадцати продуктов сломает тот маленький уступчик, об который был уперт костыль. Но - невелика беда. Надо ж чем-то на работе заниматься.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

30. "Samba 4.1 доступен для тестирования"  +1 +/
Сообщение от Аноним (??) on 15-Июл-13, 21:15 
И рассказать что там накостылили в керберосе, и почему не сделать патч+ключ в конфиге кербероса можете?
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

31. "Samba 4.1 доступен для тестирования"  +/
Сообщение от Аноним (??) on 15-Июл-13, 21:19 
Сходи в рассылки самбы и почитай какой хай поднялся когда они объявили свой лдап с шашками, а остальные с поэтессами их не устраивают.
В куче компаний уже был лдап со всем чем нужно. Не хватало только АД туда вонзить. Именно этого все и ожидали - возможность безболезненно на текущий лдап прикрутить всю виндотень. А им половой орган на весь макияж показали.
Но для школьничков это конечно костыльвей. Надо всё сломать до оснований и с нуля начать.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

32. "Samba 4.1 доступен для тестирования"  +/
Сообщение от Сергей (??) on 15-Июл-13, 21:38 
Это был ответ на 1-й комент. Я промахнулся.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

33. "Samba 4.1 доступен для тестирования"  +/
Сообщение от Celcion (ok) on 15-Июл-13, 21:57 
> В куче компаний уже был лдап со всем чем нужно. Не хватало
> только АД туда вонзить. Именно этого все и ожидали - возможность
> безболезненно на текущий лдап прикрутить всю виндотень. А им половой орган
> на весь макияж показали.

А чего ожидалось-то? Когда хочешь один несовместимый продукт сочленить с другим несовместимым продуктом, используя третий несовместимый продукт - получение банана немного предсказуемо.
Полноценный домен AD - это слегка больше, чем нашлепка на OpenLDAP. Переделывать последний только ради добавления специфичных конкретно для AD возможностей - бессмысленно. А городить кучу левых патчей, которые потом заботливо переписывать под каждый релиз - еще и глупо.
Так что решение логичное, хоть и небесспорное.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

34. "Samba 4.1 доступен для тестирования"  +1 +/
Сообщение от Аноним4ик on 15-Июл-13, 22:01 
Потому что апстриму кербероса это не нужно. Ваш КО.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

35. "Samba 4.1 доступен для тестирования"  +/
Сообщение от ананим on 15-Июл-13, 22:42 
Именно.
Самба это самба. Отдельное решение, работающее в рамках её решений.
Вы ещё от нетвари потребуйте чтобы стала вантузом.
Это не келька вантуза. Хоть совместимостью и заморачивается.
Зыж
Как отдельное решение, позволяющее рулить клиентской виндой она вполне на уровне.
Ну а если вы хотите всё как в АДу, но на халяву, то это не пройдёт. Хотя бы потому что мс не даст.
Поэтому вы либо делаете на АД, либо на самбе. И мигрировать (в обе стороны) можно относительно легко.
Ззыж
Самба не меряется по 2008, 20012,..
Она меряется по тройка, четвёрка, теперь 4.1.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

36. "Samba 4.1 доступен для тестирования"  +/
Сообщение от Аноним (??) on 15-Июл-13, 23:47 
Есть официальный ответ от апстрима?
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

37. "Samba 4.1 доступен для тестирования"  +/
Сообщение от Аноним (??) on 15-Июл-13, 23:49 
Ну-ну. Можно услышать про 3 несовместимых продукта? Если учесть что дофига чего в самбе писали по докам микрософта и конечная цель - полная совместимость. И можно посмотреть на эту кучу левых патчей с ответом апстрима что это нам не надо?
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

38. "Samba 4.1 доступен для тестирования"  +1 +/
Сообщение от Celcion (ok) on 16-Июл-13, 00:04 
> Ну-ну. Можно услышать про 3 несовместимых продукта?

Ну, как бы, очевидно - Samba 4, OpenLDAP и Windows-машины (для них же, я так понимаю, все затевалось).

> Если учесть что дофига чего
> в самбе писали по докам микрософта и конечная цель - полная
> совместимость.

А есть хоть какая-то уверенность, что в этих самых "доках микрософта" есть абсолютно полное описание реализации, а не как обычно?
Ко всему прочему, сам Microsoft совместимость AD с Samba 4 где-то подтверждал?

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

39. "Samba 4.1 доступен для тестирования"  +3 +/
Сообщение от Аноним (??) on 16-Июл-13, 04:09 
>Как говаривал мой дядя "спасу нет от дураков".

... и влеплял тебе позатыльник?!  А-а-а - вот теперь всё сходится! :)

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

40. "Samba 4.1 доступен для тестирования"  +1 +/
Сообщение от dem email(??) on 16-Июл-13, 09:23 
Для начала поинтересуйся почему так
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

41. "Samba 4.1 доступен для тестирования"  –1 +/
Сообщение от Клыкастый (ok) on 16-Июл-13, 10:07 
как ты ловко увернулся! как тебе не хочется чтобы считали дураком! да только раньше надо было думать, когда глупость писал на опеннете.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

42. "Samba 4.1 доступен для тестирования"  –1 +/
Сообщение от Адекват (ok) on 17-Июл-13, 07:05 
Вопрос по блокировкам, кто пользовал самбу4 ответьте плиз:
В третьей самбе на каждый открытый пользователем файл создавался один общий PID на стороне сервера:


[root@linuraid ~]# smbstatus
Samba version 3.6.12
*****
Locked files:
Pid          Uid        DenyMode   Access      R/W        Oplock           SharePath   Name   Time
--------------------------------------------------------------------------------------------------
331          1003       DENY_WRITE 0x2019f     RDWR       NONE             /mnt/in   1.csv   Wed Jul 17 08:58:19 2013
331          1003       DENY_WRITE 0x2019f     RDWR       NONE             /mnt/in   123.docx   Wed Jul 17 08:58:04 2013
[root@linuraid ~]#

как видно на два файла один pid - 331

порой нужно прибить блокировку на один из открытых файлов, не трогая другие файлы, в винде 2003 это можно сделать через "закрыть открытый файл", а в линуксе - нет, только снять блокировки на все файлы.
Так вот - можно ли снять блокировку на отдельный файл в 4ой самбе ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Samba 4.1 доступен для тестирования"  +/
Сообщение от Аноним (??) on 17-Июл-13, 19:40 
> Ну, как бы, очевидно - Samba 4, OpenLDAP и Windows-машины (для них же, я так понимаю, все затевалось).

samba4 сделана с целью полностью заменить АД для клиентских машин. Поэтому никаких несовместимостей быть в принципе не может. Про лдап они бубунили что слишком сильно надо внутрь лезть, то им не так и это. Сдаётся мне просто не хотят они это сделать по уму. Поэтому пилят фриипу, собственный керберос с собой таскают. Можно посмотреть какое обоснование этого таскания и причём тут федора. А патчить и делать по уму они хотят когда фриипу3 допилят. И это вместо того что бы сразу делать правильно.

> А есть хоть какая-то уверенность, что в этих самых "доках микрософта" есть абсолютно полное описание реализации, а не как обычно?

Во первых они сами реверсили очень много. Во вторых требование открыть доки микрософту, если я правильно помню, через суд спустили.

> Ко всему прочему, сам Microsoft совместимость AD с Samba 4 где-то подтверждал?

Зачем ему это? Это надо подтверждать самбавцем. Эта их цель. Просто считай конечная точка в роудмапе.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру