Доступны (http://permalink.gmane.org/gmane.network.samba.announce/364) корректирующие выпуски Samba 4.3.6, 4.2.9 и 4.1.23 (https://www.samba.org/), в которых устранены две уязвимости:
- CVE-2015-7560 (https://www.samba.org/samba/security/CVE-2015-7560.html) - аутентифицированный клиент может обойти ограничения ACL. Использовав UNIX-расширения протокола SMB1 пользователь может создать символическую ссылку на файл или директорию, доступ к которым ограничен. Затем при помощи SMB1 без UNIX-расширений пользовоатель может перезаписать содержимое данного файла или директории, обратившись к ним через созданную ссылку. Проблема проявляется во всех выпусках, начиная с 3.2.0. В качестве обходных путей защиты можно запретить использование UNIX-расширений ("unix extensions = no" в секции "[global]") или ограничить протокол версией SMB2 ("server min protocol = SMB2" в секции "[global]").- CVE-2016-0771 (https://www.samba.org/samba/security/CVE-2016-0771.html) - уязвимость во встроенной DNS-сервере, поставляемом в составе Samba 4.x. Проблема вызвана ошибкой обработки DNS-записей TXT и позволяет атакующему изменить содержимое DNS-записей или инициировать отказ в обслуживании. Существует вероятность утечки содержимого памяти сервера в тексте ответов на специально оформленные запросы DNS TXT. Опасность проблемы снижает использование по умолчанию настроек ("allow dns updates = secure only"), допускающих приём записей только от аутентифицированных клиентов.
URL: http://permalink.gmane.org/gmane.network.samba.announce/364
Новость: https://www.opennet.ru/opennews/art.shtml?num=44005
Я уже давно очень далек от мира windows, застал времена только samba 3, когда 4ая была в глубокой альфе. Подскажите пожалуйста те, кто имеет опыт использования 4 самбы, является ли она сейчас полноценной заменой виндового АД контроллера ? Есть ли какие-то серьезные подводные камни использования самбы кроме отсутствия техподдержки?Спасибо.
> Я уже давно очень далек от мира windows, застал времена только samba
> 3, когда 4ая была в глубокой альфе. Подскажите пожалуйста те, кто
> имеет опыт использования 4 самбы, является ли она сейчас полноценной заменой
> виндового АД контроллера ? Есть ли какие-то серьезные подводные камни использования
> самбы кроме отсутствия техподдержки?
> Спасибо.Полноценной заменой не является, но может выполнять часть функций. Подводных камней нет.
>Полноценной заменой не является, но может выполнять часть функций.Математически точное высказывание, браво!
>Подводных камней нет.Профессор студентке на экзамене по физиологии: " ... ну а то что 30 см - это вам сииильно повезло!"
>Есть ли какие-то серьезные подводные камни использования самбы кроме отсутствия техподдержки?Это предложение подразумевает, что у АД есть техподдержка, а у Самбы ее нет.
>Я уже давно очень далек от мира windows
Ты не представляешь, насколько ты от него далек.
> … у АД есть техподдержка …это шутка юмора такая?
тогда так — техподдержка естъ.
Кстати
> … а у Самбы ее нет.не угадал — https://www.samba.org/samba/support/globalsupport.html
Для небольшой сети вполне. Полгода назад поставил. Только по моему скромному мнению они зря так пытаются создать клон. Лучше бы сосредоточили усилия на безопасности, обеспечении масштабируемости (насколько я знаю доверие между доменами так и не работает) и простоте реализации. По производительности (мои личные измерения) файловый сервер(дефолтные настройки) уступает микрософтовскому вдвое - после тюнинга процентов на 5-10. Сам сервер стал сложнее, против реализации samba3 + LDAP. Встроенный DNS то еще счастье. Я так понимаю реализовали его для того, чтобы можно было из-под виндов админ-консолью рулить.
> насколько я знаю доверие между доменами так и не работает)в 2.x работало
и я очень сомневаюсь, что в современных версиях это оторвали. ссылки на багрепорты можно?
> По производительности (мои личные измерения) файловый сервер(дефолтные настройки) уступает микрософтовскому вдвое - после тюнинга процентов на 5-10Закрадывается мысль, что дяденька — провокатор. (как минимум)
зыж
Использую (в продакшене) на постоянной основе. В территориально-распределенной среде. Ну как минимум(!!!) не медленнее.
Более того, с 4-ой в составе идёт в довесок файловый сервер от 3-и. Который ну уж точно шустрее.
В сочетании (например с потоковой xfs или с экстентной ext4) рвёт ntfs как тузик грелку.
Инфраструктурные же возможности (днс там, групповые политики, этк) на производительность не влияют. Только на функциональность и совместимость.
Чтобы не быть голословным —https://wiki.samba.org/index.php/Linux_Performance#Making_wr...
> Лучше бы сосредоточили усилия на безопасности, обеспечении масштабируемостиБезопасность ограничена спецификацией протокола, а массшабируемость… ну оцените кластерное решение — https://wiki.samba.org/index.php/CTDB_Setup
В вантузе такого нет.
> Более того, с 4-ой в составе идёт в довесок файловый сервер от 3-и.В довесок? Он же там по умолчанию.
Ну,.. хороший такой довесок. :D
> Лучше бы сосредоточили усилия на безопасности, обеспечении масштабируемостиПоищите про кластерную самбу.
> По производительности (мои личные измерения) файловый сервер(дефолтные настройки)
> уступает микрософтовскому вдвое - после тюнинга процентов на 5-10.Надеюсь, понимаете, что без методики тестирования сойдёт максимум за надпись на сарае (мой опыт, кстати, ровно противоположен).
> Подскажите пожалуйста те, кто имеет опыт использования 4 самбы,
> является ли она сейчас полноценной заменой виндового АД контроллера ?См., например,
http://www.altlinux.org/SambaAD
http://lists.altlinux.org/mailman/listinfo/samba
А в v3.6 уязвимость CVE-2015-7560 исправлять собираются?
поскольку ответа мы с тобой не дождёмся, следуй совету в конце абзаца
3.6 не поддерживается, и уже давно. И вполне обоснованно- как файловый сервер 4.3 сильно ушла вперед, по стабильности не уступает 3.6, а функции ADC опциональны, и их нужно явно включать (провижинить новый или джоинить существующий домен).
а можно сторонние лдап-сервер и бинд присобачить, чтобы получить аналог третьесамбы без ад-загонов?
Да. https://www.opennet.ru/opennews/art.shtml?num=41788
> ... вопреки расхожим заблуждениям, не ограничиваются функциями контроллера домена Active Directory. Новые возможности Samba 4 лишь дополняют ранее созданную в Samba 3 функциональность, но не заменяют её. Samba 4 обеспечивает всю функциональность Samba 3, в том числе реализацию файлового сервера и классических доменов NT4. Таким образом обновление контроллера домена NT4 с Samba 3.x на Samba 4.x мало чем отличается от обновления с Samba 3.5.x на ветку 3.6.x и не требует перехода на Active Directory.и пользователей можно держать в openldap.
В состав входит smbd от трёшки.
Мигрировали в январе с Samba 4.x на Win2012R2 (40 ПК) - сразу уменьшилась головная боль в несколько раз.
Мне нравится Samba, но не готова ветка 4.x для полноценной работы в качестве DC, все таки это эмуляция домена Win2008, а не полноценный домен, многие вещи нельзя сделать, многие работают не так как в Win2008Srv, реальных специалистов с опытом работы с Samba 4.x ооочень мало и они стоят гораздо дороже, чем спецы по технологиям MS.
> Мигрировали в январе с Samba 4.x на Win2012R2 (40 ПК) - сразу
> уменьшилась головная боль в несколько раз.
> Мне нравится Samba, но не готова ветка 4.x для полноценной работы в
> качестве DC, все таки это эмуляция домена Win2008, а не полноценный
> домен, многие вещи нельзя сделать, многие работают не так как в
> Win2008Srv, реальных специалистов с опытом работы с Samba 4.x ооочень мало
> и они стоят гораздо дороже, чем спецы по технологиям MS.скажи начальнику, что этот гетзефакс тоже не очень, пусть другой выдаст
Вы это о чем? По-русски можете написать?
> Мне нравится Samba, но не готова ветка 4.x для полноценной работы в качестве DCСильно зависит от того, что вам от нее нужно. Для огромного количества небольших сетей вполне себе полноценная замена Windows.
> многие вещи нельзя сделать
Можете, интереса ради, перечислить, какого именно функционала Вам лично не хватает? Вот мне, например, не хватает только поддержки Certification Services. Предполагаю, что кому-то может не хватать полноценных трастов и совместимой с Microsoft репликации sysvol. Что еще?
Мигрировали год назад с Win2003 на Samba4 (~50 ПК) - "сразу уменьшилась головная боль в несколько раз." :-)
Из плюсов:
1) Работает стабильно. По крайней мере у меня нареканий нет.
2) Функционала для наших задач хватает. И стоимость лицензий 0 :-)
3) Отличное комьюнити при решении проблем. У Microsoft реальной помощи при решении проблем не разу не удалось получить. Маленькие мы, не интересные мы им, хоть и лицензия была.
4) Простота выполнения бэкапов - при смерти железа разворачивается на другом сервере в течении 40 мин. То же время у меня уходило на перенос ролей в MS AD.
6) Возможность разобраться в работе самостоятельно. Именно разобраться, а не получить набор рецептов, что куда жмакнуть, дабы что-то заработало.Мне кажется достаточно аргументов для использования в небольшой фирме. :-)
> Мне нравится Samba, но не готова ветка 4.x для полноценной работы в качестве DC, все таки это эмуляция домена Win2008, а не полноценный домен, многие вещи нельзя сделать, многие работают не так как в Win2008SrvДавайте, пожалуйста, конкретику, по существу ничего не написали.
> реальных специалистов с опытом работы с Samba 4.x ооочень мало и они стоят гораздо дорожеКакой особенный опыт там нужен? После установки домена через samba-tool, что там дальше такого особенного надо делать? Все же через RSAT с рабочей станции на Windows делается, аналогично DC на Windows Server.
Я обслуживаю две сети в разных организациях, в обеих Samba 4, ожидал что будут проблемы какие-то регулярные, но нет, все работает как часы.
>>Давайте, пожалуйста, конкретику, по существу ничего не написалиДавайте:
1. Максимальный размер базы данных Samba ограничен 4 Гб, см. ограничение tdb, то есть для крупных организаций, c сотнями тысяч объектов в каталоге AD, переход на Samba может оказаться невозможным.
2. Ограничение доверительных отношений (forest/domain trust), а именно:
- Поддерживаются только двухсторонние доверительные отношения;
- Отсутствует функция SID Filtering, отказ от нее существенно снижает уровень безопасности при организации доверительных отношений;
- Не поддерживается добавление пользователей или групп из доверенного домена «А» в группы домена «В». Данное ограничение делает невозможным применение Samba 4 в сколько-нибудь больших инсталляциях, требующих отношений доверия.
3. Поддержка многодоменной структуры отсутствует, как на уровне кода, так и на уровне базы данных Samba. («We would also like to improve Samba to scale up, and to support more diverse domain structures, but it isn't a small task.Sorry.»)
4. Репликация SYSVOL: Несмотря на то, что групповые политики полноценно функционируют в Samba (за исключением политики паролей, назначаемых на конкретное организационное подразделение), из-за отсутствия поддержки протоколов DFS-R и FRS, репликацию SYSVOL придется проводить в ручном режиме, или при помощи скрипта.
Поддержка KCC
5. Поддержка KCC: В Release notes к Samba 4.3.0 заявлено, что разработчики приблизились к реализации KCC, в соответствии с открытой спецификацией Microsoft, на деле же, стоит приготовиться к многочисленным ошибкам в журналах событий и созданию/корректировке графа репликации вручную.
6. Отсутствие полноценной поддержки RODC;
7. Отсутствие поддержки контроллеров домена на базе Windows Server 2012 и Windows 2012 R2 совместно с Samba в роли AD DC;
8. Отсутствие поддержки MIT Kerberos;
9. Проблемы в реализации модуля репликации DRS: большинство функций работает корректно, но есть ряд ограничений, с которыми можно ознакомиться на странице DRS_TODO_List (https://wiki.samba.org/index.php/Samba4/DRS_TODO_List);
10. Проблемы при репликации расширений схемы (Schema Extension): Несмотря на то, что расширение схемы является штатной операцией, после ее выполнения, результат может быть весьма неожиданным. Например, может появиться ошибка werr_ds_dra_schema_mismatch. Вообще, данная ошибка может возникать даже когда схемы совпадают.
11. Можно продолжать и далее, но зачем?
>>>Давайте, пожалуйста, конкретику, по существу ничего не написали
> Давайте:
> 1. Максимальный размер базы данных Samba ограничен 4 Гб, см. ограничение tdb,
> то есть для крупных организаций, c сотнями тысяч объектов в каталоге
> AD, переход на Samba может оказаться невозможным........
> 11. Можно продолжать и далее, но зачем?Вы издеваетесь?
Вы зачем-то перечислили известные ограничения самбы 4, которые перед началом внедрения стоит как минимум прочесть и сделать выбор.
Уточню, если непонятно было, Вам-то это как помешало в организации на _40_ ПК? Конкретно в том случае? :)
У Вас на 40 ПК будет объектов в AD, на 4гб каталога?
У Вас есть какие-то домены с которыми надо строить отношения доверия? Если да, то почему была установка samba 4 с последующим переходом на W2012? Не читали samba 4 limitations?
Вам нужна поддержка многодоменной структуры?
Сколько Вам нужно контроллеров домена в организации на 40 ПК, чтобы Вас серьезно волновали вопросы репликации?
Это не сильно известные ограничения Samba4, на wiki.samba.org эти данные разбросаны на многих страницах и новичку их найти довольно сложно.Я же не говорю, что Samba4 плохая и не нужно её использовать. Samba4 очень достойный продукт для замены DC от MS, но в некоторых случаях использовать Samba4 выйдет себе дороже, в моем случае более выгодно было перейти на терминальные решения от MS и использовать лицензионную WinSrv2012R2 (лиц.для образов учреждений).
Если сильно интересно почему мы перешли на MS и какая в этом для нас была выгода, то могу рассказать. Если вкраце, то в той организации где был переход за 7-8 лет использования Samba3 и Samba4 на файловом сервере из-за недосмотра предыдущих админов образовался огромный бардак с правами, в сети образовалось 2 DC на Samba3 и Samba4, неправильно был спроектирован домен на Samba4 и чтобы решить эту задачу без остановки работы компании было принято решение перенести файловую помойку на WinSrv2012R2 попутно наведя в ней порядок, нормально выдать права на основе групп, нормально сделать перемещаемые профили, внедрить терминальное решение и многое другое. Почему терминальное решение, все просто, купить Б/У сервер HP DL160G6 с 96 Gb ОЗУ + терминальные лицензии банально дешевле (300 тыс.руб.), чем обновлять парк из 40 ПК (30 т.руб. x 40 = 1,2 млн.руб.).
> Я же не говорю, что Samba4 плохая и не нужно её использовать.Вообще-то именно это Вы и сказали несколько постов назад. По-крайней мере мне трудно по-другому интерпретировать вот эту Вашу фразу:
>> Мигрировали в январе с Samba 4.x на Win2012R2 (40 ПК) - сразу уменьшилась головная боль в несколько раз.
По-итогу, насколько я могу судить, единственной серьезной причиной перехода на Windows Server, в вашем случае, было то, что сервер Вы и так уже купили. Причем купили не потому, что Вам не хватало каких-то возможностей Samba4 как ADC, а потому, что Вам нужен был терминальный сервер.
>>По-итогу, насколько я могу судить, единственной серьезной причиной перехода на Windows ServerНет, переход был связан с сокращением долгосрочных расходов на поддержку парка ПК и серверов. Я же написал, что дело в эконом. выгоде по железу и ЗП персоналу. Если Вы сможете убедить руководство вбухать лишние 800 т.р. в обновление парка ПК ради того, чтобы остаться на опенсорсном продукте, то я могу позавидовать доходам Вашей компании.
И еще раз повторюсь - Samba достойный продукт, но... всегда есть выбор.
> Нет, переход был связан с сокращением долгосрочных расходов на поддержку парка ПК и серверов. Я же написал, что дело в эконом. выгоде по железу и ЗП персоналу.Те же яйца, только в профиль. К Samba4 и ее возможностям Ваше решение имеет весьма косвенное отношение. Вам оказалось экономически выгодно перейти на использование терминального решения, и Вы купили WinServer именно для использования в качестве терминального сервера. Перевод ADC с Samba4 на свежекупленный WinServer (шаг весьма логичный в конкретно Вашей ситуации) был лишь следствием, и вряд ли мог "сразу уменьшить головную боль в несколько раз", в чем Вы настойчиво пытаетесь всех нас здесь убедить...
> Перевод ADC с Samba4 на свежекупленный WinServer (шаг
> весьма логичный в конкретно Вашей ситуации)Не логичный. Выбор Майкрософта при наличии любой альтернативы -- признак некомпетентности. Тем более когда альтернатива СПО.
> 1. Максимальный размер базы данных Samba ограничен 4 Гб, см. ограничение tdb,
> то есть для крупных организаций, c сотнями тысяч объектов в каталоге
> AD, переход на Samba может оказаться невозможным.Организации с миллионами объектов вляпываются в необходимость ручной поддержки некрософтом по совершенно специальному прейскуранту. Просто чтоб Вы понимали цену этому предположению.
> - Отсутствует функция SID Filtering, отказ от нее существенно снижает уровень
> безопасности при организации доверительных отношений;Кстати, у нас есть некоторые проработки на тему фильтров при синхронизации, можно поднять, если кому ещё понадобятся.
> 8. Отсутствие поддержки MIT Kerberos;
В работе. Вас как затронуло, кстати?
> 11. Можно продолжать и далее, но зачем?
Ну почему -- мне, например, интересно. :) В той части, что по существу.
>>Организации с миллионами объектов вляпываются в необходимость ручной поддержки некрософтом по совершенно специальному прейскуранту. Просто чтоб Вы понимали цену этому предположению.Я это прекрасно понимаю, работал в организации где в свое время мы мигрировали с Novell NetWare 6.5 на WinSrv2008 (>500 офисов по стране, >6500 ПК)
>>В работе. Вас как затронуло, кстати?
Нас не затронуло, но одного знакомого у которого были какие-то самописные серверные костыли под MIT реализацию это тормознуло, но это частный случай и довольно редкий.