The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

09.08.2011 17:10  Релиз Samba 3.6.0

Увидел свет первый стабильный релиз новой ветки Samba 3.6, в которой доведена до готовности к промышленному внедрению поддержка протокола SMB2, используемого в Windows Vista и Windows 7, добавлен новый модуль для анализа трафика, изменены некоторые влияющие на безопасность настройки по умолчанию и существенно переработана поддержка печати.

Кроме того, продолжается работа по обеспечению плавного слияния кодовых баз веток Samba 3 (winbindd и код файлового сервера) и Samba 4 (контроллер домена). В будущем планируется выпустить единый многофункциональный продукт Samba 4, который будет поддерживать бесшовную миграцию с Samba 3 и сможет выступать в роли файлового сервера, сервера печати, сервера идентификации (winbind) и совместимого с Active Directory контроллера домена.

Ключевые изменения, представленные в Samba 3.6.0:

  • Поддержка SMB2 признана полностью функциональной. Через SMB2 могут работать все возможности Samba, за одним исключением - не поддерживается изменение квот при помощи утилит управления квотами Windows. Поддержка SMB2 не включена по умолчанию. Для активации SMB2 в секции "[global]" файла smb.conf необходимо указать "max protocol = SMB2". По умолчанию работа через SMB2 будет включена после окончательного подтверждения стабильности реализации SMB2 в результате оценки работы реальных систем, перешедших на новый протокол в Samba;
  • Добавлен новый анализатор трафика SMB Traffic Analyzer (SMBTA), поддерживающий вторую версию протокола VFS-модулей, в которой реализовано шифрование, передача нескольких аргументов и упрощенный для разбора формат. Для управления SMBTA используется утилита smbta-util. SMBTA позволяет осуществить мониторинг и сбор статистики о потоках данных пользователей, работе Samba-сервисов или целых доменов. В отличие от сетевых анализаторов, SMBTA не перехватывает трафик, а получает информацию через VFS-интерфейс (Virtual File System) Samba, являясь полностью прозрачным для пользователей и не влияя на эффективность пересылки;
  • Полностью переписан и подвергнут рефакторингу код обработки очередей печати (Spoolss) и реализации RAP-команд управления печатью (Remote Administration Protocol). Все связанные с печатью операции теперь выполняются через RPC-интерфейс Spoolss, что позволило в одном месте сконцентрировать код всех связанных с подсистемой печати проверок, убрав все обработчики особых ситуаций из основного кода печати.

    Для хранения любых данных в Spoolss и других компонентах системы печати задействованы RPC-интерфейсы winreg. Т.е. вместо TDB-файлов использован интерфейс Registry, что позволит обращаться к данным принтера и Windows-клиентам, используя стандартный для них и на 100% совместимый RPC-интерфейс winreg. Процесс миграции с TDB-файлов максимально автоматизирован и будет автоматически вызван при первом запуске (также можно провести миграцию вручную, используя команду "net printer migrate"). В будущем планируется вынос реализации спула печати в отдельный фоновый процесс, что позволит увеличить модульность системы и даст возможность не использовать лишний код, в ситуации кода поддержка печати не требуется;

  • Продолжена работа по внутренней реструктуризации, нацеленная на увеличение разделения внутренних подсистем, что в конечном итоге должно привести к ускорению сборки, сокращению размера исполняемых файлов и оптимизации зависимостей;
  • Добавлен бэкенд для работы с квотами на NFS-разделах в Linux. Разработка базируется на ранее созданной реализации для платформ Solaris и FreeBSD. Бэкенд позволяет samba передавать корректную информацию о наличии свободного места на импортируемых NFS-разделах, используемых для размещения samba-разделов;
  • Внутренние изменения метода работы с локальной базой пользователей в Winbind. Вместо вызова функций passdb для получения информации о локальных пользователях и группах используются обращение через внутренние неименованные каналы (samr и lsa rpc pipe). Причина изменения связана с желанием использование единого подхода во всех компонентах инфраструктуры, что позволяет вынести больше кода Winbind в совместно используемые библиотеки;
  • Изменение настроек по умолчанию, связанных с безопасностью:
    
    
       client ntlmv2 auth = yes
       client use spnego principal = no
       send spnego principal = no
    
    

    Опция 'client ntlmv2 auth = yes' запрещает использовать NTLM-аутентикацию при работе в режиме клиента (вместо устаревшего протокола NTLMv1 используется более криптостойкий протокол NTLMv2, базирующийся на хэшах HMAC-MD5). Изменение затрагивает только входящие в состав Samba утилиты, такие как smbclient и winbind, но не влияет на работу CIFS-клиента, встроенного в Linux-ядро.

    Опция 'client use spnego principal = no' указывает на то, что для запроса билета в Kerberos клиентский софт samba (smbclient, winbind) будет использовать "CIFS/имя хоста", что близко к поведению Windows при работе с Kerberos, вместо ранее практикуемого полного доверия к предоставляемым сервером хинтам, поддержка которых была прекращена начиная с Windows 2008. Для налаживания работы со всеми клиентами, все псевдонимы (alias) сервера должны быть записаны как servicePrincipalName в Active Directory. Опция 'send spnego principal = no' введена для отражения изменений в Windows 2008, больше не отправляющем principal-хинты;

  • Переработан способ маппинга пользовательских идентификаторов c целью увеличения гибкости определения правил и обеспечения более простого и понятного процесса конфигурирования. Основные изменения связаны с выносом кода, ответственного за сопоставление с unix-идентификаторами, в отдельные idmap-бэкенды tdb, tdb2 и ldap. Код выделения unix id теперь привязан к правилам сопоставления (sids_to_unixids). В каждом idmap-бэкенде используется свой механизм создания idmap unixid. Из winbindd API удалены методы, связанные с сохранением и удалением сопоставлений идентификаторов. Команда "net idmap dump/restore" теперь вместо работы с winbindd напрямую обращается к базам данных. В настоящий момент обеспечена поддержка бэкендов tdb и tdb2, пока отсутствует поддержка ldap. Признаны устаревшими параметры конфигурации "idmap uid", "idmap gid" и "idmap range", вместо них следует использовать "idmap config * : range" и "idmap config * : backend";
  • Начальная реализация Endpoint Mapper для Samba, работающего как DNS-сервер, но для портов. Т.е. при необходимости подсоединения к определенному RPC-сервису через TCP/IP запрос к Endpoint Mapper позволяет узнать номер порта для соединения по имени сервиса. В настоящий момент код еще не до конца протестирован и не активирован по умолчанию. Для включения необходимо использовать настройку "rpc_server:epmapper = daemon" в smb.conf.
  • Добавлены новые директивы конфигурации smb.conf (в скобках значение по умолчанию):
    • "async smb echo handler" (No)
    • "client use spnego principal" (No)
    • "ctdb locktime warn threshold" (0)
    • "log writeable files on exit" (No)
    • "multicast dns register" (Yes)
    • "ncalrpc dir"
    • "send spnego principal" (No)
    • "smb2 max credits" (128)
    • "smb2 max read" (1048576)
    • "smb2 max trans" (1048576)
    • "smb2 max write" (1048576)
    • "username map cache time" (0)
    • "winbind max clients" (200)
  • Прекращена поддержка директивы "idmap alloc backend".


  1. Главная ссылка к новости (http://lists.samba.org/archive...)
  2. OpenNews: Вышла тринадцатая альфа версия Samba 4.0.0
  3. OpenNews: Релиз Samba 3.5.0
  4. OpenNews: Samba 3.4.0 доступна для загрузки
  5. OpenNews: Последние тенденции в развитии проекта Samba
  6. OpenNews: Статус развития проекта Samba: ветки Samba 3 и Samba 4 будут объединены
Лицензия: CC-BY
Тип: Программы
Ключевые слова: samba
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.4, Funt, 20:54, 09/08/2011 [ответить] [смотреть все]
  • –2 +/
    что ж совсем неплохо ждем 4-ку, тогда win2k3-8 можно будет выкидывать
     
     
  • 2.5, metallic, 20:57, 09/08/2011 [^] [ответить] [смотреть все] [показать ветку]
  • +2 +/
    Не надо их никуда выкидывать, когда самба 4 выйдет - вин2к8 уже поддерживаться н... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, emfs, 19:15, 20/08/2011 [^] [ответить] [смотреть все]  
  • +/
    А когда планируют зарелизить 4 версию?
     
     
  • 4.25, Andrey Mitrofanov, 13:45, 21/08/2011 [^] [ответить] [смотреть все]  
  • +/
    Тьма http wiki samba org index php Samba4 FAQ When_will_Samba_4 0 0_be_releas... весь текст скрыт [показать]
     
  • 1.6, Аноним, 21:41, 09/08/2011 [ответить] [смотреть все]  
  • +/
    это в смысле теперь контроллер домена NT4-style не сможет в LDAP пользователей х... весь текст скрыт [показать]
     
     
  • 2.10, ptr, 09:49, 10/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Получается так По крайней мере сейчас соответствие между SID UnixID хранится ... весь текст скрыт [показать] [показать ветку]
     
  • 1.8, Аноним, 02:16, 10/08/2011 [ответить] [смотреть все]  
  • +/
    Если вкратце SMB2 до конца не допилили, idmap сломали Не самый удачный релиз ... весь текст скрыт [показать]
     
  • 1.9, stalker37, 09:47, 10/08/2011 [ответить] [смотреть все]  
  • +/
    Эм... самба теперь совсем не дружит с  LDAP?
     
  • 1.11, metallic, 10:18, 10/08/2011 [ответить] [смотреть все]  
  • +1 +/
    А на практике этот самый SMB2 что даст? Это как-то на производительности скажется или что? Проще говоря зачем оно мне?
     
     
  • 2.12, ptr, 10:34, 10/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    На производительности скажется положительно Особенно на высокоскоростных линках... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.13, metallic, 10:36, 10/08/2011 [^] [ответить] [смотреть все]  
  • +/
    Вот это интересно, у меня как раз гигабитная сетка и высокая нагрузка на самбу ... весь текст скрыт [показать]
     
     
  • 4.14, ptr, 10:55, 10/08/2011 [^] [ответить] [смотреть все]  
  • +/
    По идее, клиент с сервером должны сами договариваться о размере блока, если raw ... весь текст скрыт [показать]
     
     
  • 5.15, metallic, 11:01, 10/08/2011 [^] [ответить] [смотреть все]  
  • +/
    Понятно, т е при встрече клиента поддерживающего SMB2 7, виста и сервера s... весь текст скрыт [показать]
     
     
  • 6.16, ptr, 11:44, 10/08/2011 [^] [ответить] [смотреть все]  
  • +/
    Договорится 2008 сервер с вистой или семеркой А договорится ли Samba 3 6 вместо... весь текст скрыт [показать]
     
     
  • 7.17, metallic, 11:45, 10/08/2011 [^] [ответить] [смотреть все]  
  • +/
    А как это проверить можно? Как узнать по какому протоколу обмен идет в данный момент? Снифером заголовки глядеть?
     
     
  • 8.18, ptr, 11:54, 10/08/2011 [^] [ответить] [смотреть все]  
  • +/
    > А как это проверить можно? Как узнать по какому протоколу обмен идет
    > в данный момент? Снифером заголовки глядеть?

    А на фига? Я проверять буду просто сравнивая скорость копирования больших файлов в nul с опцией max protocol = SMB2 и без нее.

     
  • 1.19, Аноним, 16:57, 10/08/2011 [ответить] [смотреть все]  
  • +/
    In SMB 2 1 this maximum data unit was increased from 64 kilobytes KB to 1 mega... весь текст скрыт [показать]
     
     
  • 2.20, ptr, 10:12, 11/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    По-моему, мы говорим о разных вещах. На 10 гигабитных сетях и более скоростных MTU можно использовать не 1500, и даже не 9000, а вплоть до мегабайта. И действительно, поддержка MTU более 64К появилась только в SMB 2.1. Если кто пользуется 10 гигабиткой пусть порадуется.

    А вот размер блока, пересылаемого на один запрос клиента раньше был лимитирован 2-х байтным полем длины - 64К. В SMB2 это поле увеличено до 4-х байт. Никаких ограничений на размер запрашиваемого блока в спецификации нет.

     
     
  • 3.21, Аноним, 13:00, 11/08/2011 [^] [ответить] [смотреть все]  
  • +/
    Да, все верно.
     
  • 1.22, Денис, 10:19, 12/08/2011 [ответить] [смотреть все]  
  • +/
    А прозрачного монтирования еще не запилили ? чтобы обходиться без smbnet + fuse
    Вот чтобы тот же самый функционал что и в smbnet тока чтобы в ядре был.
     
     
  • 2.23, Andrey Mitrofanov, 11:30, 12/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    cifs модуль ядра [linux] не является частью пакета samba.

    Насколько я ничего в этом не понимаю, кто его пилит вообще непонятно, но внимания ему уделяется немного. Новых разработок и фич не видно вовсе. Возможно, я что-то пропустил.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList