Представлен релиз Samba 4.13.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind)...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53765
Почему самба НИКОГДА не работает?
Это риторический вопрос?
>Почему самба НИКОГДА не работает?Почему самба не работает у тебя?
Вероятно - у тебя next-next-next в терминальной стадии...
Т.е по умолчанию настройки самбу не заводят?
Мде...
> Т.е по умолчанию настройки самбу не заводят?
> Мде...Можно подумать - в винде папки расшарены по умолчанию... ;)
Благородный дон не в курсе про дефолтные вендошары вида c$, ADMIN$, d$ и прочие создаваемые по дефолту службами LanManServer\LanManWorkstation?
> Благородный дон не в курсе про дефолтные вендошары вида c$, ADMIN$, d$
> и прочие создаваемые по дефолту службами LanManServer\LanManWorkstation?Благородный дон, вероятно, даже если вы его просветите, вряд ли будет щаслив данному открытию (а выключается это, кстати, весьма неочевидным и хз где документированным способом).
Но, во всяком случае, пошарить с:\tmp\pron можно однострочной командой БЕЗ хитровыделанных аргументов, что, согласитесь, на порядок поудобнее писания простыней неведомой херни для smb.conf
(Причем у местного апологета, как видим, получилось пошарить только таким же сосателям. Пользователи б-жественной десяточки к такой шаре доступ получить ниасилят.)
Э... можно подумать, что нет?Вы как, вообще, год линуксного десктопа-то умудряетесь объявлять, если не знаете ни про admin shares, ни про то что "file and printer sharing" автоматически связывается с любым интерфейсом, включая совсем лишние? (Ах, да, у вас же мак... с сосамбой)
Ну и net share dir alias вообще говоря выглядит попроще создания простыни заклинаний в smb.conf на каждую отдельную шару, рутом быть не требует, рестарта сервера тоже. Не говоря уже про приседания с ручным тюнингом каких-то там буферов.
Вы всегда сами себе диагноз ставите? Мочеиспускание нормальное?
> Почему самба НИКОГДА не работает?Это впопенсосие, тут хитро заколдовано...
Потому, что ты ее не умеешь конфигурировать?
> Потому, что ты ее не умеешь конфигурировать?А почему она так хитровые..но конфигурится, что для этого нужны какие-то суперумения? У вас все так делается, чтобы потом эти суперумения впаривать лохам?
Хотя на самом деле, разумеешься, всех ваших умений - мышиком copy/paste с serverfault, и не задумываясь о том, что все эти заклинания значат - все равно жизни не хватит все изучить.
Проще скопировать файлы флешкой из лункса в шиндоус и наоборот чем тратить время на этот глюкодром. Простая установка ssh службы в винду намного полезнее чем это поделее толерастов. Не траттье время и нервы всё равно через некоторое время она перестаёт подключаться.
Ну хз-хз. Мне было на первых порах освоения линуксов ставить и настраивать именно самбу. Особенно по типовому шаблону. И всегда всё заводилось с одного пинка, даже сетевая печать.
А сейчас вам ручками нужно будет указывать smb=1.0.
Установил, за короткое время настроил, работает. ЧЯДНТ? Может, дело исключительно в прямизне рук?
Имею опыт работы (правда, уже подзабыл многое) с Самбой 3.0.2 + LDAP (тогда была пора Windows 2000). Все всегда работало, но настройки в ту поры были не тривиальны. Даже переносимые профили настраивал. Даже WSUS какой-то был на перловых скриптах. Настроил один раз, работало 6 лет без изменений, виндовой домен в пределах, которые на тот момент могла Самба предоставлять.С тех пор домены на Самбе не горожу, но то, что по прошлому году не получилось с одной из версий винды (уже не помню, какой), расшарить каталоги нормально для виндов других версий, помню до сих пор. Поставил Самбу, какую-то из четвертых, как файловый сервер с дефолтовым конфигом и проблема ушла. И это я тоже помню до сих пор.
А вы батенька уже тогда были мазохистом. Сейчас AD легко настроить из FreeIPA
Сравните мой пост о том, что =настроил и забыл= и предыдущий о том, что =проще флэшкой переносить=. Также сравните текст постов сам по себе - мой и требующий логопедических вмешательств. По результатам, по-момему, будет видно, кто мазохист, а кто - нет (:Что до того, что там и как _сегодня_ поднимается из FreeIPA - загуглил сходу на Вики:
=
Начиная с версии 3.0.0, FreeIPA также использует Samba для интеграции с Active Directory от Microsoft путём доверительных отношений.
=что, видимо, Самбы местами не отменяет. Но за инфу про проект - спасибо, почитаю.
FreeIPA уже поддерживает OU? Ах нет... Тогда это поделие ни что серьезнее смузи стартапа не пригодно увы...
Так что извините - при всех недостатках самбы, альтернатив под лунаксом ей не наблюдается... Хотя конечно надо поковырять 389DS, хоть он и вызывает хтонические ужас при первом взгляде...
389DS является частью FreeIPA.https://www.freeipa.org/page/About
Мы пользуемся FreeIPA - отличный комбайн для *nix, даже Маки нормально с ним уживаются. Плюс DNS и CA интегрированные. Отличная вещь короче!
Ещё раз - FreeIPA научилась работать с OU? Да или нет?
Про проблемы с кириллицей я даже не спрашиваю...
# vi smb4.conf[global]
security = user
workgroup = WORKGROUP
server string = My Server
guest account = nobody
map to guest = Bad User
log file = /var/log/samba4/log.%m
max log size = 50[share]
comment = Shared folder
path = /samba/share/
browseable = yes
guest ok = yes
writeable = yes
public = yes
printable = no
hide dot files = yes
inherit permissions = yesПростейшая конфа для "перекинуть файло, когда флешки нет". Не благодари, moron
> Простейшая конфа для "перекинуть файло, когда флешки нет".Ну и как в последних десяточках вход с пустым пароликом без админских прав ковыряния в политиках?
Я что-то не понял, мы файло перекинуть хотим, или собрать коллекцию троянов?
Вот что-то ни разу в жизни не хотелось "вход с пустым пароликом", знаешь ли.А как в последних сосамбах с настройкой внесистемного логина vasya/123 (вполне достаточного для один раз перекинуться файликами со встречным васяном и тут же отключить), стесняюсь поинтересоваться? Сколько и каких ненужных команд потребуется набрать?
А-а-а-а, "это другое!"
И много у тебя троянов внутри периметра на работе?
Внутри периметра на работе васянские помойки с guest access ? Хорошая у тебя работа, и явно непыльная. Вижу, что ни один дятел еще не поковырял пальчиком.Обычно такое нужно как раз вне периметра - например, забредшему на огонек соседу что-нибудь передать (флэшку егоную что-то сцыкотно совать в свои системы).
А у тебя на работе одни дятлы? Дома тоже дятлы? Ну тогда все пароль и шифруй!
Спокойно, guest/guest, и вперед.
> Спокойно, guest/guest, и вперед.Да ты те правда? а чем это от юзер/123 отличается?
ничем
Выглядит ужасно, и вырвиглазно на тоненького...
> guest ok = yes
> writeable = yes
> public = yesЭто как, кто хочет тот и пишет?
Для тех, кто на бронепоезде, поясняю - это не решение для корпоративного применения, которое можно и нужно в продакшн ставить. Это персонально для рукожопа, который ниасилил завести с полпинка самбу, почитав первые две-три ссылки по теме в гугле, и которому "флешкой проще".
Кому поглумиться - продолжайте, мне фиолетово.
Вот эти опции и так выставлены по умолчанию:
security = user
workgroup = WORKGROUP
guest account = nobody
log file = /var/log/samba4/log.%m
А эти просто лишние:
max log size = 50
server string = My Server
browseable = yes - По умолчанию все шары браузибл. это лишнее.
guest ok = yes - это тоже самое что public = yes
writeable = yes
public = yes
printable = no - по умолчанию все шары НЕ являются принтабл. это лишнее.
hide dot files = yes - по умолчанию самба прячет файлы с точкой. это лишнее.
inherit permissions = yes - смысл?Итого "простейшаа конфа" сокращается до:
[global]
map to guest = Bad User[share]
path = /samba/share/
guest ok = yes
writeable = yes
Найс троллинг, флешкой, уж тогда прощё поставить на винду WinSCP и по scp/ssh передать файлы
ну я даже не знаю что более стремно - взять вот так без перчаток флэшку из рук впопенсорсера и без презерватива ее себе пихать, или открыть ему полный доступ к своей системе с правом создания сокетов и много чем еще (потому что у вас обычно нет мозгов даже очевидные такие дырки прикрыть, да и на самом деле не поможет, к тому же это чудовищно неудобно).P.S. scp в винду поновее твоей 98 ставить не надо, он уже стоит.
*шутка про кривые руки*
Флешкой перекидывать файлы даже дома неудобно, чего уж говорить о предприятиях. Поэтому Ваши заявления несостоятельны, увы.
> Проще скопировать файлы флешкой из лункса в шиндоус и наоборот чем тратить время на этот глюкодром.Если только копирование нужно, то проще применить scp. Тем более, что оно есть и там и там.
Выросло поколение неспособных по самбе фалы перекинуть..... да, уж...
> В будущем планируется удалить поддержку "wide links = yes" из-за проблем с безопасностью,Да ну нафиг, что должны иметь 250 mount bind что ли :(
Раз существует wide links то разделяют со стороны клиента линка это или настоящий и проще было бы к нему запретить доступ на копирование и все.
> Да ну нафиг, что должны иметь 250 mount bind что ли :(а главное - они же, конечно же ж, такие надежные-пренадежные, не то что один вшивый симлинк проверить (что любой вебсервер умеет делать, все подводные камни давным-давно хорошо изучены и обойдены, но только не альтернативными кенгуроидами из сосамбы).
Вообще, судя по списку - надо именно эту версию фиксировать у себя, увы. Дальше в погоне за безопасТностью похоже попереломают вообще все, что делало сосамбу чем-то действительно ценным, а не кривым виндоэмулятором.
Прими таблетки лучше. У тебя речь буксует.
Не нужно придираться к словам, просто чел. в курсе про речь и так выплескивает свой негатив.
> Добавлена защита от уязвимости ZeroLogon (CVE-2020-1472), позволяющей злоумышленнику получить права администратора в контроллере домена в системах, не использующих настройку "server schannel = yes".
> Из smb.conf удалена поддержка опций "ldap ssl ads" и "server schannel".Автор новости точно не напутал при переводе ?
Не вижу проблемы. В прошлых выпусках защита обеспечивалась через опцию "server schannel = yes", в новой версии этот флаг теперь выпилен ибо проблема решается иначе (возможно, что он теперь захардкожен).
Он выпилен потому что это теперь всегда в YES и поменять ЭТО нельзя.
вроде в этой версии ради счастливого числа - поменять еще можно.
у меня почему-то с 2003 сервера не заходит. всякие десятки и семерки сразу смогли подключаться почти без изменения настроек, а с 2003сервера ни в какую.
> Объявлены устаревшими небезопасные методы аутентификацииа у тебя только они и есть, даже после sp1
В 2019й домен ты тоже просто так с него не зайдешь.(и вообще, выброси нах...й, это у тебя примерно как сегодня использовать samba2 - то есть там не то что уязвимости через дырки в реализации, которые тоже никто давным-давно не исправляет, а сам протокол одна сплошная уязвимость, потому что "тогда компьютеры были большие" и одинарный des подобрать не каждый васян справлялся. Если это у тебя в AD такое - то через этот сервер можно поиметь весь домен.)
2003й в 2k20 можно использовать только БЕЗ файловых шар, и настроив на нем хотя бы ipsec политику, заворачивающую _любой_ не добавленный в ручные исключения траффик нахрен.
ненужная имплементация ненужной имплементации ненужного netware
только LDAP/krb/NFS/autofs/NIS/SSH/оркестрация Только хардкор!
>>"wide links = yes":(((( Знаю, что плохая практика, но если шара собрана из кучи линков на разные ФС, то что делать-то? предложенное решение так себе.
Разрабам сосамбы виднее, им срть на ваши проблемы.
> если шара собрана из кучи линков на разные ФС, то что делать-топривести шару в порядок
Оно уже научилось нормально работать в связке с виндовым контроллером?
Нет, и не научится.
Ну что вы, что вы - конечно научилось.... правда, если это контроллер версии 2003. Ах, да, да, с ним уже тоже разучилась, он же несекьюрна-несекьюрна, запритити им срочна! (И без возможности фалбэка даже внутри изолированной сети, конечно же.)
Ну, с 12й версией, уже почти все почти работает. Мелких глюков хватает, но в целом пережить можно. С 19 - лучше даже и не пытайтесь...
> с полноценной реализацией контроллера домена и сервиса Active Directory... версии 2008. Это надо помнить! С более старшими версиями там проблемы, причем некоторые крайне трудно устранимые, например, поддержка kerberos в samba не очень. Была история с переходом на MIT Kerberos, но не знаю завершилась ли она. Подтержка утверждений внутри Kerberos и все что с ними связано. А потом в Linux как обычно ACL не хватит на это все (жаловались уже разработчики samba).
> Пользователям NT4-подобных контроллеров доменов ('classic')
... пора бы прекратить царапать крышки гроба изнутри. Эту штуку надо сто лет было как выкинуть, она на Windows жить мешает, все эти pre-win2000.
> Объявлены устаревшими небезопасные методы аутентификации, которые можно использовать только с протоколом SMBv1
Samba до сих пор поддерживает эту бяку?! Надо не просто SMB1 гасить, пора бы уже весь NTLMv2 дипрекейтить.
Получается, что Samba более консервативна, чем венда. Плохо. Очень плохо. Из-за того подхода, когда новые БАЗОВЫЕ фичи не доделаны, а старые уязвимые и ненадёжные поддерживаются, пользователи samba какие-то ... медленные.
> сервера идентификации (winbind)
Такой продукт как winbind, когда вы в нем хорошенько разберётесь покажет вам, насколько неадекватны бывают разработчики samba. Из-за того КАК работает winbind в RHEL/CentOS сделали sssd, который просто работает. Нельзя что-ли как-то объединить усилия и прекратить оборонять этот древний полуработающий экскремент под названием winbind.
про smb1 со своего локалхос а виднее. Ниче тока что smb2 и smb3 не имеют поддержки posix acl, ни linux user/group ни linux file permissions в связуе с cifs. Но вам гениям похер же.
> не имеют поддержки posix acl, ни linux user/group ни linux file permissionsИ что ты предлагаешь? Использовать уязвимый SMB1? Тащить NTLM на Linux ради того чтобы работало убожество под названием Posix ACLs, которое вне Linux не поддерживается? Совсем дурачок что ли?
Вот тут явно настоящий MS писал. А тот, предыдущий - поддельный какой-то.
> Samba до сих пор поддерживает эту бяку?! Надо не просто SMB1 гасить, пора бы уже весь NTLMv2 дипрекейтить.Вот только недавно вспоминали, IPMI supermicro умеет монтировать установочные образы только по smb1 (вернее не только, можно через java-приложение дать доступ к локальному файлу, но это совсем другая история).
Господи опять эти проклятые супермикры...
А у вас и такого нет - только геморрой с пробросом через глючную тормозную вебконсоль.
Неработающий cp -p исправили или всё никак?
А как я его тебе исправлю, если smb1 запрещен постановлением партсобрания за безопасТность? В smb3 просто нечего и некуда копировать.Развивать хоть в этой мелкой части сам smb протокол самостоятельно? Нееет, что ты, что ты, это ж может нарушить совместимость с windows, от обезьянки потребуется убрать параметр монтирования (который она же сама и добавила)!
Да и вообще это думать надо, а у нас давно некому.
Собственно, в smb1 всё работало. Поломали как раз во всех версиях протокола выше smb1.
При этом в Fedora 32 таки смогли чудесным образом починить, уж не знаю чего они там патчили...
Ну, что вышла новая версия- это, наверное, хорошо. А толку-то, если нет внятной инструкции по установке. Можно, конечно, в инете поискать, но там они часто с ошибками.