The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

11.10.2013 20:47  Релиз Samba 4.1.0

После девяти месяцев разработки представлен значительный выпуск Samba 4.1.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 8.

Ключевые изменения в Samba 4.1:

  • Обновлённый набор клиентских утилит и библиотек с поддержкой протоколов SMB2 и SMB3. Поддержка SMB3 работает только с серверами на базе Windows 2012, Windows 8 или Samba 4.x. По умолчанию в утилитах smbclient и smbcacls по-прежнему используется протокол SMB1, для соединения по протоколам SMB2 и SMB3 можно использовать опцию командной строки "-m SMB2/SMB3" (например, "smbclient //server/share -Uuser%password -mSMB3") или указав в секции "[global]" файла smb.conf директиву "client max protocol = SMB2/SMB3". Следует иметь в виду, что при использовании SMB2 и SMB3 в наборе команд smbclient недоступны UNIX-расширения, которые пока не определены для данных протоколов;
  • Поддержка соединений с использованием шифрованного канала связи при соединении с серверами Windows и Samba по протоколу SMB3. Ранее шифрование было доступно только при использовании Unix-расширений протокола SMB1, теперь оно может быть применено и при соединении с Windows-серверами. Для включения шифрования можно использовать опцию "-e" при вызове smbclient, например, для соединения с Windows 2012 по протоколу SMB3 с шифрованием трафика можно указать "smbclient //Win2012Server/share -Uuser%password -mSMB3 -e";
  • Новая система репликации содержимого базы данных контроллера домена, отличающаяся увеличением эффективности и надёжности работы. Новая реализация позволяет организовать репликацию базы с другими контроллерами домена, в том числе имеющими существенно изменённую схему данных (например, Windows 2012 DC или Windows DC с установленным Exchange);
  • Поддержка выполнения операций копирования на стороне сервера (реализован SMB2-запрос FSCTL_SRV_COPYCHUNK по аналогии с Windows Server 2012). Таким образом клиент теперь может инициировать копирование файлов на сервере без их передачи по сети (ранее для копирования файл загружался на систему клиента, а затем опять переносился на сервер);
  • Включение VFS-модуля для обеспечения интеграции с файловой системой Btrfs (включается через параметр "vfs objects = btrfs" в smb.conf). Модуль позволяет дополительно увеличить производительность операций копирования на стороне сервера при хранении данных на Btrfs-разделах, за счёт использования возможности по хранению только одной копии данных для идентичных файлов с их разделением на уровне метаданных;
  • Удаление из состава Samba административного web-интерфейса SWAT. В качестве мотива называется недостаточно высокое качество кода с точки зрения безопасности. В текущем виде SWAT излишне доверяет действиям, инициируемым со стороны пользовательского браузера, что открывает возможности к проведению XSS и CSRF атак, направленных на инициирование скрытых действий от лица пользователя web-интерфейса. Для исключения подобных атак требуется переработка модели безопасности SWAT, но у SWAT отсутствует мэйнтейнер и не удалось найти заинтересованного в развитии проекта web-разработчика;
  • Прекращена поддержка директив "password level" и "set directory";
  • Добавлена новая директива "use ntdb".


  1. Главная ссылка к новости (http://www.samba.org/samba/lat...)
  2. OpenNews: Релиз Samba 4.0, первой свободной реализации контроллера домена с поддержкой Active Directory
Лицензия: CC-BY
Тип: Интересно / Программы
Ключевые слова: samba
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, mcshel (ok), 21:22, 11/10/2013 [ответить] [показать ветку] [···]    [к модератору]
  • –2 +/
    Samba это хорошо, но сколько можно поддерживать уровень домена 2000. Такое ощущение, что сотрудники из M$, там не добро делают.
     
     
  • 2.2, Аноним (-), 21:26, 11/10/2013 [^] [ответить]    [к модератору]
  • +2 +/
    винда 2012 в каким доменом совместима? С nt 4 наверное?
     
  • 2.49, vovans (ok), 15:52, 14/10/2013 [^] [ответить]    [к модератору]
  • +/
    "недобро" наверно?
     
  • 1.4, Anonimous (?), 22:06, 11/10/2013 [ответить] [показать ветку] [···]    [к модератору]
  • +1 +/
    А кто-нить сие в продакшн в больших компаниях использует интересеюно?
     
     
  • 2.6, sasku (ok), 22:43, 11/10/2013 [^] [ответить]     [к модератору]
  • +1 +/
    Пытался у себя завести Из проблем - нет никакой документации по конфигурирова... весь текст скрыт [показать]
     
     
  • 3.7, Аноним (-), 22:59, 11/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Ну и для кого это они делают, если даже такие самураи разобраться не могут?
     
     
  • 4.9, Аноним (-), 23:17, 11/10/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    > Ну и для кого это они делают, если даже такие самураи разобраться
    > не могут?

    Значит это тот самурай, который без меча.

     
  • 4.31, Нанобот (ok), 23:33, 12/10/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    да не переживай, как доделают, даже обычные вендоадмины смогут разобраться
     
  • 3.10, Аноним (-), 00:05, 12/10/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    > - нет никакой документации по конфигурированию, только общие инструкции без конкретики. приходилось смотреть исходники

    Разработчик случайно не Кузнецов?

     
     
  • 4.15, PavelR (ok), 08:53, 12/10/2013 [^] [ответить]    [к модератору]  
  • –4 +/
    Проплюсовал.
     
  • 3.27, Наше имя легион (?), 19:58, 12/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Надеюсь Вы задокументировали свой труд и сделали этот докУмент общедоступным?
     
     
  • 4.35, sasku (ok), 15:44, 13/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > Надеюсь Вы задокументировали свой труд и сделали этот докУмент общедоступным?

    Задокументировал, описал все приколы, выложил здесь.
    через несколько дней статья оказалась удаленной.

     
     
  • 5.40, Maxim Chirkov (ok), 19:25, 13/10/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Следовало добавить материал не в форум, а через форму добавления статей http w... весь текст скрыт [показать]
     
  • 2.33, Дима (??), 00:58, 13/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Я делал, с Ексчеджем, 1С, МС СКУЛ, репликации на другие сервера, всего порядка 600 пользователей, нареканий ни каких. Настраивается за 10 минут. Правда пакеты для cenoc и fedora собирал сам.
     
  • 2.47, raven_kg (ok), 14:19, 14/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Юзаю больше года на двух машинах PDC BDC , несколько раз обновлял, текущая 4 0 ... весь текст скрыт [показать]
     
  • 1.8, Аноним (-), 23:02, 11/10/2013 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    А с сервера на сервер в одном домене без копирования на ПК клиента Тобишь, пр... весь текст скрыт [показать]
     
  • 1.11, VKraft (?), 00:09, 12/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    ждём пятую самбу через 10 лет а пока все юзают оригинальный АД. тоже думал о самбе чтоб не покупать 2008-й но страшновато 3-я крутится в нескольких ролях а вот доверять репликацию каталога и групповых политик да ещё между оригинальной реализацией и среверсеной_наполовину ну реально стрёмно. в M$ под капотом такой космолёт что лучше-б вместо самбы пилили интеграцию юникс машин с централизацией конфигурации, аутентификации и файлсерверами на базе того же NFSv4 типа Landskape что в убунте с NIS вперемешку
     
     
  • 2.18, Michael Shigorin (ok), 12:57, 12/10/2013 [^] [ответить]     [к модератору]  
  • –4 +/
    Некоторые пользуются http altlinux org domain... весь текст скрыт [показать]
     
  • 2.23, Аноним (-), 19:12, 12/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Чего тебе не хватает SCM навалом puppet, chef, cfengine, ansible - самые извес... весь текст скрыт [показать]
     
     
  • 3.28, VKraft (?), 22:15, 12/10/2013 [^] [ответить]     [к модератору]  
  • –4 +/
    полнокровные за бабло, если бесплатно то с ограничениями на число управляемых ин... весь текст скрыт [показать]
     
     
  • 4.34, Аноним (-), 05:58, 13/10/2013 [^] [ответить]     [к модератору]  
  • +2 +/
    Да есть, есть - только ты не осилишь Впрочем не расстраивайся - свою AD ты вс... весь текст скрыт [показать]
     
     
  • 5.38, VKraft (?), 17:34, 13/10/2013 [^] [ответить]    [к модератору]  
  • –6 +/
    трололо.... причём явно необразован.
     
     
  • 6.50, kurokaze (ok), 07:59, 15/10/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    вы весьма самокритичны, хвалю
     
  • 1.12, Аноним (-), 01:12, 12/10/2013 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Использую с 2010 года, с времен альф 4 0 для сетей небольших компаний 50-100 чел... весь текст скрыт [показать]
     
     
  • 2.14, Аноним (-), 02:19, 12/10/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    В продакшне с поздних альф на одном домене Два DC, 180 клиентских машин WXP, ... весь текст скрыт [показать]
     
     
  • 3.17, Гость (?), 11:10, 12/10/2013 [^] [ответить]    [к модератору]  
  • +/
    А как там обратную зону настроить?
     
     
  • 4.44, Аноним (-), 04:01, 14/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Мы не используем встроенный DNS сервер, юзаем BIND_FLATFILES, разрешены только п... весь текст скрыт [показать]
     
     
  • 5.46, Forth (ok), 13:49, 14/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Может DLZ поможет В этом случае правами на записи самба рулит, и acl, выставлен... весь текст скрыт [показать]
     
     
  • 6.48, Аноним (-), 15:07, 14/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Должен, да Но, когда тестировали последний раз примерно в районе 4 0 3 он все... весь текст скрыт [показать]
     
  • 3.24, Влад (??), 19:13, 12/10/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    А что насчет репликации папки sysvol между двумя DC? Из коробки это не работает.
     
     
  • 4.25, Гость (?), 19:24, 12/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Вроде сделали, даже wiki есть
     
     
  • 5.29, Влад (??), 23:18, 12/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Нет, не сделали Вот что гласит упомянутое Wiki Samba AD currently doesn t pro... весь текст скрыт [показать]
     
     
  • 6.42, Аноним (-), 03:22, 14/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Меньше предполагайте, больше читайте Еще раз оба DC на Samba GPO к разным OU ... весь текст скрыт [показать]
     
  • 4.43, Аноним (-), 03:24, 14/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > А что насчет репликации папки sysvol между двумя DC? Из коробки это
    > не работает.

    Оба DC физически в одной SAN. Sysvol на OCFS2.

     
  • 1.13, Аноним (-), 01:15, 12/10/2013 [ответить] [показать ветку] [···]     [к модератору]  
  • +2 +/
    года 4 назад в маленькой конторе юзал контроллер энти на самбе 3, только положит... весь текст скрыт [показать]
     
  • 1.16, Анонимуз (?), 09:56, 12/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    отличная новость, главное как раз вовремя, на неделе предстоит тотальный апгрейд
     
     
  • 2.19, Michael Shigorin (ok), 12:58, 12/10/2013 [^] [ответить]    [к модератору]  
  • –2 +/
    > отличная новость, главное как раз вовремя, на неделе предстоит тотальный апгрейд

    И как, даже чаю^Wобкатываться не станете?

     
  • 1.20, mcshel (ok), 14:27, 12/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +7 +/
    Жаль, что после банкротства Novell. eDirectory не была передана свободному сообществу. Думаю это сильно бы пошатнуло позиции Active Directory.
     
  • 1.21, oooops (??), 15:43, 12/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    а не подскажете, есть ли уже нормальные (и подробные, и работающие) инструкции по миграции с АД 2003 на 4 самбу?
     
  • 1.22, Forth (??), 18:42, 12/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    У меня на тестовой сети виртуалок вроде все работает, но ни в какую не пашет добавление в днс своих записей клиентами, если ДНС сервер BIND. Из логов ясно только, что update не проходит, с любым уровнем дебага на бинде. :(
    Со встроенным ДНС самбы смущают кривые ответы сервера, хотя записи добавляются в прямую зону, в обратную нет.
    Как-то ДНС руками вести не хочется в продакшене :)
     
     
  • 2.36, Forth (??), 17:15, 13/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Сам же и пофиксил, плотно взявшись за выяснение причин. :)
    Кто столкнется - проверьте версию kerberos, в моем случае heimdal был старый, с кривым gssapi.
     
     
  • 3.37, Michael Shigorin (ok), 17:30, 13/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > Кто столкнется - проверьте версию kerberos, в моем случае heimdal был старый,
    > с кривым gssapi.

    Может иметь смысл сообщить самбистам, чтоб ругались на стадии configure.

     
     
  • 4.39, Forth (ok), 18:51, 13/10/2013 [^] [ответить]    [к модератору]  
  • +/
    >> Кто столкнется - проверьте версию kerberos, в моем случае heimdal был старый,
    >> с кривым gssapi.
    > Может иметь смысл сообщить самбистам, чтоб ругались на стадии configure.

    Х.з. У меня heimdal 1.1 из состава FreeBSD. Тут скорее вопрос к мейнтейнеру порта бинда, чтобы можно было его привязать к хеймдалу из портов, а не из базы.
    Я сам пока не сообразил как это правильно починить. :)

     
  • 1.41, chester (?), 20:57, 13/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    ..но у SWAT отсутствует мэйнтейнер и не удалось найти заинтересованного в развитии проекта web-разработчика;..
    Ребята кто тоже заинтересован пишите.
     
     
  • 2.45, Аноним (-), 10:15, 14/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Интересно, может ли Webmin стать заменой SWAT?
     
     
  • 3.51, oleg_skat (ok), 14:10, 20/11/2014 [^] [ответить]    [к модератору]  
  • +/
    > Интересно, может ли Webmin стать заменой SWAT?

    SWAT это рудиментарный отросток..... избавляйтесь от привычки конф-ровать ч-з это.....

    По теме.
    Кто-нибудь тэстил сие детище в связке FreeBSD10+Samba4.1(DC)+1C8? Интересует, что там с блокировками? Кто-нибудь поднимал кластер 1C? Как обстоят дела с LACP?

     
     
  • 4.52, Michael Shigorin (ok), 02:01, 21/11/2014 [^] [ответить]    [к модератору]  
  • +/
    > Кто-нибудь тэстил сие детище в связке FreeBSD10+Samba4.1(DC)+1C8?

    На фре нет, но делал тут по случаю сборки на альте с samba4-DC: http://fly.osdn.org.ua/~mike/iso/test/ (regular-server-samba4-*.iso); тж. http://www.altlinux.org/SambaAD

     
     
  • 5.53, oleg_skat (ok), 10:04, 21/11/2014 [^] [ответить]    [к модератору]  
  • +/
    >> Кто-нибудь тэстил сие детище в связке FreeBSD10+Samba4.1(DC)+1C8?
    > На фре нет, но делал тут по случаю сборки на альте с
    > samba4-DC: http://fly.osdn.org.ua/~mike/iso/test/ (regular-server-samba4-*.iso);
    > тж. http://www.altlinux.org/SambaAD

    Интересно, а как с "??" по блокировкам 1С да и как оно вообще ALT-ишное? Доволен?
    Соблазн обрести SMB3 .... ждём-пождём результат

     
     
  • 6.54, Michael Shigorin (ok), 12:47, 21/11/2014 [^] [ответить]    [к модератору]  
  • +/
    > Интересно, а как с "??" по блокировкам 1С

    Вот с чем не сталкивался где-то с 2001...

    > да и как оно вообще ALT-ишное? Доволен?

    Здесь решил озвучить не как "всё срочно бросайте и перепрыгивайте", а как относительно удобный вариант на "пощупать воду" samba4-DC (версия там пока 4.0.21).  По крайней мере в этой исошке подобрано всё нужное для подъёма самбового AD, в который получается засунуть win7/8 без патчей реестра.

    Хоть это и эксперимент, замечания и пожелания по образам всё так же принимаются.

     
     
  • 7.55, oleg_skat (ok), 10:16, 23/11/2014 [^] [ответить]    [к модератору]  
  • +/
    Samba 4.1 интересует. В 4.0.* нет поддержки SMB3, без него 2012r2 рвёт самбу в тряпки по производительности. С 4.0.3 убил массу времени на разгон.... и тюнил и кластер поднимал....
    не выжать из неё больше.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor