Выпуск Samba 4.10.0

20.03.2019 12:18

Опубликован релиз Samba 4.10.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).

Ключевые изменения в Samba 4.10:

  • В KDC и Netlogon добавлена поддержка модели запуска процессов "pre-fork", позволяющей поддерживать пул заранее запущенных процессов-обработчиков. Значение по молчанию параметра 'prefork children' в smdb.conf увеличено с 1 до 4;
  • В реализации модели pre-fork обеспечен автоматический перезапуск сбойных процессов. Задержки между попытками повторного запуска определяются через параметры "prefork backoff increment" (по умолчанию 10 секунд) и "prefork maximum backoff" (по умолчанию 120 секунд) - при каждой новой попытке время перед повторным запуском увеличивается на "prefork backoff increment" пока не достигнет значения "prefork maximum backoff" (для значений по умолчанию раскладка задержек будет следующей: 0, 10, 20, ..., 120, 120, ...);
  • В стандартной модели запуска процессов, применяемой по умолчанию для ответвления новых процессов ldap и netlogon при поступлении новых запросов, реализована возможность ограничения максимального числа запущенных процессов (лимит регулируется параметром 'max smbd processes' в smb.conf, по умолчанию значение 0, т.е. без ограничений);
  • Обеспечена полноценная поддержка языка Python 3. Поддержка Python 2 пока сохранена, но по умолчанию при сборке теперь используется Python 3 (Python 3.4+). Для сборки с Python 2 требуется установка переменной окружения: "PYTHON=python2 ./configure; PYTHON=python2 make". Сборка samba-биндингов возможна одновременно для Python 3 и Python 2 через указания флага 'configure --extra-python=/usr/bin/python2'. В ветке Samba 4.11 планируется прекратить поддержку Python 2 для биндингов и поднять требования к версии до Python 3.6;
  • Добавлена команда 'samba-tool gpo backup', позволяющая экспортировать из домена набор объектов GPO (Group Policy Objects) в формате XML. Также добавлена команда 'samba-tool gpo restore' для импорта обобщённых данных GPO из XML;
  • В команду 'samba-tool domain backup' добавлена поддержка опции 'offline', позволяющей безопасно создавать резервные копии локальной БД контроллера домена напрямую с диска. Новый метод не требует запуска Samba, работает быстре и включает дополнительные детали о внутренней структуре хранилища;
  • Добавлена команда 'samba-tool group stats', выводящая сводные сведения о распределении пользователей между группами в домене. Существующая команда 'samba-tool group list --verbose' расширена данными о числе пользователей в каждой группе;
  • Для LDAP изменено поведение расширения Paged Results, позволяющего частями обрабатывать результаты запросов с разбиением данных на страницы. Обработка страничных запросов в Samba приведена в соответствие с поведением серверов Windows (раньше разные страницы в выборке отдаваться на основе неизменного статического слепка БД, а сейчас учитывают изменения в БД, полученные с момента прошлого страничного запроса);
  • В выводимых в JSON-лог сообщениях аутентификации добавлено отображение идентификатора события ("eventId", код успешного или не успешного входа) и типа входа ("logonType", интерактивный, сетевой и незащищённый сетевой). В сообщениях о смене пароля и изменении участия в группе также теперь отображается "eventId" (пароль изменён, пароль сброшен, добавлен/удалён член группы). Изменён формат JSON-записей (убран префикс "JSON message_type:");
  • В утилиту samba-tool добавлена поддержка протокола SMBv2 (ранее samba-tool не мог подключаться к внешнему контроллеру домена, на котором был отключен SMBv1);
  • Добавлен новый VFS-модуль glusterfs_fuse, позволяющий увеличить производительность при обращении через Samba к разделам с GlusterFS, примонтированным с применением механизма FUSE (Filesystem in Userspace). Для повышения производительности модуль напрямую извлекает информацию об именах файлов через запрос расширенных атрибутов в ФС. Для включения ускорения достаточно добавить glusterfs_fuse в параметр "vfs objects". Новый модуль не заменяется собой vfs_glusterfs, а лишь предлагает альтернативный механизм доступа к разделам Gluster;
  • Объявлены устаревшими и будут удалены в следующей ветке Python-биндинги к SMB client. Удаление повлияет на пользователей, использующих собственные утилиты с 'from samba import smb';
  • Из-за наличия потенциальных проблем с безопасностью возможность сборки MIT Kerberos для AD DC переведена в разряд экспериментальных опций и требует явного указания в configure флага "--with-experimental-mit-ad-dc";
  • Удалён скрипт samba_backup, вместо которого следует использовать команду 'samba-tool domain backup offline'.


Лицензия: CC-BY
Тип: Программы
Ключевые слова: samba
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Штунц (?), 13:10, 20/03/2019 [ответить] [показать ветку] [···]    [к модератору]
    		• +/
    Всегда удивляло, что файловые серверы с Samba сетевой шарой (хоть Windows, хоть например из последнего QNAP, даже если через SSH) не позволяют узнать, с какого IP пользователь заблокировал файл. А только его логин.
     
     
  • 2.2, Аноним (2), 13:13, 20/03/2019 [^] [ответить]    [к модератору]
    		• +1 +/
    Это фича. Полная анонимность, свобода, никаких телеметрий, IP никому не сливается.
     
  • 2.3, ананим.orig (?), 13:22, 20/03/2019 [^] [ответить]    [к модератору]
    		• +4 +/
    враньё.
    smbstatus отлично показывает
     
  • 2.5, Aktis (?), 13:24, 20/03/2019 [^] [ответить]    [к модератору]
    		• +3 +/
    smbstatus
    ?
     
  • 1.4, ананим.orig (?), 13:24, 20/03/2019 [ответить] [показать ветку] [···]    [к модератору]
    		• +2 +/
    не знаю ещё как сабж, а 4.9.5 порадовал.
    рекомендую
     
  • 1.6, Аноим (?), 13:52, 20/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
    		• –2 +/
    А что, в самом деле есть кто-то, кто её в режиме контроллера домена использует?
     
     
  • 2.7, sdog (ok), 14:02, 20/03/2019 [^] [ответить]    [к модератору]  
    		• +3 +/
    конечно на планете кто-нибудь да найдётся.
     
  • 2.13, Имя (?), 15:37, 20/03/2019 [^] [ответить]    [к модератору]  
    		• +/
    Почему бы и нет?
     
  • 2.15, Аноним (15), 15:45, 20/03/2019 [^] [ответить]    [к модератору]  
    		• +/
    Я использовал на предыдущей работе. Проблемы были только с правами доступа к файлам.
     
  • 2.20, нах (?), 16:36, 20/03/2019 [^] [ответить]    [к модератору]  
    		• –1 +/
    конечно - ХАЛЯВААААА же ж!

    а что "не работают права доступа к файлам" - так нищ...тыпонял, все равно - им лишь бы денег никому не платить (ленивому рабу, настраивающему эту сосамбу, так и тем более)

     
  • 1.8, Аноним (8), 14:07, 20/03/2019 [ответить] [показать ветку] [···]     [к модератору]  
    		• +1 +/
    Какая жаль Полная поддержка системного MIT Kerberos в Samba, выступающей в ро... весь текст скрыт [показать]
     
  • 1.9, бублички (?), 14:20, 20/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
    		• +1 +/
    когда уже наконец Samba научится объявлять о себе Windows 10 клиентам без SMB1.0 так чтоб бедные пользователи видели её (в Explorer/Network)?
     
     
  • 2.18, leap42 (ok), 15:56, 20/03/2019 [^] [ответить]    [к модератору]  
    		• +/
    пользакам такое видеть не надо, создайте им политику (через саму Самбу) по подключению сетевого диска Зю и всё
     
  • 1.10, хотел спросить (?), 14:28, 20/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
    		• +/
    Неплохо.. очень неплохо.
    Но я бы больше порадовался SMBv3 с шифрованием траффика.

    Кстати коннект с самбе происходит намного быстрее чем к виндовому серверу.

     
     
  • 2.12, ананим.orig (?), 15:31, 20/03/2019 [^] [ответить]    [к модератору]  
    		• +1 +/
    # smbstatus
    Samba version 4.9.5
    PID     Username     Group        Machine                                   Protocol Version  Encryption           Signing
    ----------------------------------------------------------------------------------------------------------------------------------------
    ...
    ...
    3546    <sensored>       <sensored>     <sensored>(ipv4:<sensored>:54402)  SMB3_11           -                    partial(AES-128-CMAC)
    ...
     
     
  • 3.14, ананим.orig (?), 15:41, 20/03/2019 [^] [ответить]    [к модератору]  
    		• +1 +/
    зыж
    man smb.conf
          smb encrypt (S)
               This parameter controls whether a remote client is allowed or required to use SMB encryption. It has different effects depending on whether the connection uses SMB1 or SMB2
               and newer:
                      ·   If the connection uses SMB1, then this option controls the use of a Samba-specific extension to the SMB protocol introduced in Samba 3.2 that makes use of the Unix
                          extensions.
                      ·   If the connection uses SMB2 or newer, then this option controls the use of the SMB-level encryption that is supported in SMB version 3.0 and above and available in
                          Windows 8 and newer.
               This parameter can be set globally and on a per-share bases. Possible values are off (or disabled), enabled (or auto, or if_required), desired, and required (or mandatory). A
               special value is default which is the implicit default setting of enabled.
     
     
  • 4.16, ананим.orig (?), 15:46, 20/03/2019 [^] [ответить]    [к модератору]  
    		• +/
    прошу заметить:
    > ·   If the connection uses SMB1, then this option controls the use of a Samba-specific extension to the SMB protocol introduced in Samba 3.2 that makes use of the Unix extensions.

    т.е. самба умела это ещё тогда, когда вантуз не умел.

     
     
  • 5.19, тов. Жаров (?), 16:33, 20/03/2019 [^] [ответить]    [к модератору]  
    		• –1 +/
    А вот про Unix extensions, я понимаю это как поддержку POSIX ACL и POSIX Extended Attribures. SMBv1 с Unix extensions это умел, а как обстоит дело у SMBv3?
     
     
  • 6.21, ананим.orig (?), 16:41, 20/03/2019 [^] [ответить]    [к модератору]  
    		• +/
    .. см. 2.12 выше
    реальный коннект (юзвернэйм заменен с ip только. ибо нефиг)
     
  • 6.22, Аноним (22), 16:42, 20/03/2019 [^] [ответить]    [к модератору]  
    		• +/
    Не умеет. Но активно пилят.
     
  • 1.17, Аноним (17), 15:48, 20/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
    		• –5 +/
    Всегда и везде:"sudo apt-get purge samba*"
     

