После 6 месяцев разработки представлен релиз Samba 4.19.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2008 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 11. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind)...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59714
Интересно, сколько там добавилось уязвимостей?
Узнаем в следующей серии.
Вещь нужная, поэтому ненадо спешить переписывать.
Они её на расте не хотят переписать? Получится Срамба.
Кто-нибудь менял AD с windows на Samba AD, какие костыли выплывают?
С таким количеством исходной информации в вопросе - отвечать нет смысла
Есть как положительных историй, так и полного ППЦ-а.
Как говорят в Рязани: it depends ...
Да.
Samba dc и Windows dc в одном домене работать нормально не будут. Ломается синхронизация, так как на стороне Samba DC идёт задвоение атрибутов, по причине: атрибуты доменных объектов в Samba dc ригистрозависимые.
А имеет смысл поднимать домен изначально на сабже? Оно вообще юзабельно?
Нет.
Использовать можно только как поделку юный техник. Преподавателю показать.
На реальном предприятии, проблем будет больше чем вообще без домена.
> А имеет смысл поднимать домен изначально на сабже? Оно вообще юзабельно?Юзабельно, но нужен специальный укротитель, который будет следить за тем чтобы весь домен не подох. Парадоксально, но покупка серверной винды почти по любой цене выйдет дешевле в средне или долгосрочной перспективе.
Что значит укрощать? Речь про первоначальную конфигурацию? Или речь про багфиксы? Отсылать багфиксы?
Это значит, что с репликацией, например, могут быть рекуррентные проблемы, которые кто-то должен залезть и починить.
И к этой винде тоже понадобится специальный укротитель, чтобы вот эта весёлая помесь из кербероса, днса и лдапа от Мыкрософт не подохла. Вечно у нас админы развлекаются, то у них синхронизация домена у этих купленных у мыкрософта серверов гавкнется, то чего-то недоступно... Я в этот зоопарк свой сервак с Самбой пристроил, он там кого надо учётки аутентифицирует и файлики кому надо отдаёт, мне хорошо, а вендоадмины пусть трахаются.
> И к этой винде тоже понадобится специальный укротитель, чтобы вот эта весёлая
> помесь из кербероса, днса и лдапа от Мыкрософт не подохла. Вечно
> у нас админы развлекаются, то у них синхронизация домена у этих
> купленных у мыкрософта серверов гавкнется, то чего-то недоступно... Я в этот
> зоопарк свой сервак с Самбой пристроил, он там кого надо учётки
> аутентифицирует и файлики кому надо отдаёт, мне хорошо, а вендоадмины пусть
> трахаются.Это другое дело. Я видел виндо-домены на 100-200 организмов, которые годами прекрасно работали без обслуживания. Они просто изначально были подняты и настроены со 100% соблюдением best practices. С Самбой такого не бывало.
смотря что тебе надо. Мне нужен был ldap. Ldap работает. груповые политики какие мне нужны работают. группы работают. Теперь начинается но.В организации нет и полсотни человек. Текучка кадров 20 человек за 5 лет. В домене чуть больше 20 машин. Мне в принципе домен не нужен был. Мне больше ldap был нужен. И все что мне надо самба делает прекрасно.
>смотря что тебе надо.Ну мне ненадо вообще ничего от слова совсем. Мне просто любопытно как люди переводят целые организации на этот ваш линукс. Не только же они рабочие тачки на линукс переводя, домен контроллер же тоже?
Если прямо целую организацию с рабочими местами переводить, то AD там особо и не нужен — можно FreeIPA обойтись. Да и в гомогенных сетапах вроде как проще подключать линуксы к FreeIPA, виндовсы к AD, и между FreeIPA и AD налаживать траст. YMMV.
> В организации нет и полсотни человек. [...] В домене чуть больше 20 машин. [...] Мне больше ldap был нужен.зачем ldap ? всех можно описать в /etc/hosts и /var/db/krb5kdc или где оно там.
Очевидно, чтобы ответственное лицо могло заводить юзеров из браузера, а не редактируя файлы на двадцати хостах.
зачем на 20 ? на одном, дальше растащит репликация.
Конечно имеет, особенно если из линуксовых машин домен состоит. Днища тут брызжут слюной без понимания темы от слова совсем. Домен контроллер эхто всего лишь управляющий областью в альтернативу стандартным имеющимся инструментам в UNIX подобных системах. То есть получить доступ к папке можно, а вот удобство и намеренная несовместимость со стандартными средствами возвеличены в абсолют. Имеет смысл когда есть куча офисов, которые разнесены территориально.
Местные никогда ничего не использовали и потому не одобряют
Мне интересно, можно ли получить плюс минус рабочую сеть если я хочу полностью перевезти организацию включая рабочие станции, сервера, домент контроллер на Линукс. Ну или с нуля поднять всю сеть только на Линуксе.
Вся инфра Венды нужна только, чтобы продавать Венду. Единственный её мотив. Когда вы хотите заменить Венду на неВенду, то теряется весь смысл затеи -- МС больше с этого не зарабатывает, так зачем оно нужно? Сама идея АД исключительный маркетинг. Оно не нужно вообще за пределами торговли Вендой. Но если оно уже есть, то, увы, но замены этому нет. Это как всю жизнь пробки пивные собирать в надежде выиграть приз, а потом узнать, что лотерея не состоится, и пытаться применит свой опыт собирания пробок для несостоявшейся лотереи на собирание, скажем, окурков на улице, но только при этом за окурки никто никогда никакой лотереи и не обещал. Домен ПК не нужен уже с конца 80-х. Это архаика.
Хорошо, а что взамен?
А что мешает? И зачем тут Самба? Если ты найдёшь смелого или жадного, кто решится построить сеть организации не на винде, то что тебе мешает поднять в сети LDAP, Kerberos аутентификацию, NFS4 и вперёд, всё нативное, работает уж точно не хуже AD, учитывая что LDAP можно в текстовом виде выгрузить и загрузить так же. Просто для этого надо иметь гибкость мышления, а не применять шаблонные решения. А если только свободного софта не хватает, то тогда уже можно подцепить и виндовые решения, тут уже для совместимости можно как Самбу поднять, а можно и в винде NFS, не знаю, умеет ли она NFS4.
Посмотри, как это сделано на Calculate Linux.
И ещё, не к ночи помянутый, ALD от AstraLinux
Astra Linux Directory (ALD) проприетарная же?
Calculate Linux а там что?
В ALD используют FreeIPA а не сабж.
Да, работает норм. Репликация ldap работает, авторизация не отваливается.
Это до сих пор не починили? Я лет 8 назад ещё сталкивался.
Кстати тогда это обходилось заведением всех ресурсов в домен КАПСОМ 😄😄😄
Как мне объяснили, это проблема архитектуры, не так всё просто. Можно было решить ручным патчем исходников с ручной пересборкой, но мы уже тогда отказались от Samba DC. Caps не помогает, есть атрибуты, которые перезаписываются при логине пользователя в систему.
> атрибуты доменных объектов в Samba dc ригистрозависимыеСпасибо дидам с их сишкой и экономией тактов на нормализации регистра. Весь Юникс теперь на этих костылях построен.
Первейшей костыль - отсутствует глобальный каталог, он же - лес доменов. Ну или другими словами - нет enterprise administrator.
То есть для SOHO - сойдёт, правда с графическими инструментами управления - беда, а мелкомягкие - глючат, что для SOHO - критично важно.
А зачем? Зачем эти леса? Комп не ценный ресурс уже лет тридцать как. Интернет копеечный. Средства консумерской криптографии предельно просты и доступны. Серверные платформы доступны даже школьнику. Зачем городить весь этот огород с содержанием на балансе конторы кучи железяк, офисных столов и стульев? Опять ковидной изоляции показал, что это всё не нужно.
Файловую помойку с распределением прав доступа?
Но зачем нужна эта файлопомойка? Документы нужны только в пределах СЭДа. Рабочая инфа только в целевом ПК. Домен не нужен. Сейчас куда важнее пресловутый devops, а не тратить время и огромные ресурсы на инфраструктуру.
> Интернет копеечный.Стоимость интернета для юриков может вас неприятно поразить.
Цена типичной доменной инфры организации обходится в полёт на марс и обратно. И, главное, совершенно не ясно зачем это.
> А зачем?15к геораспределённых WFH сотрудников. Очевидно, что вручную раздавать и отбирать логины ко всему и заливать ключи на инфраструктуру при таком количестве кадров невозможно. В том или ином виде, база пользователей нужна, как минимум для SSO. Одно из доступных решений — AD. Другие тоже существуют, и отлично работают. Опыт ковидной изоляции наглядно показал, насколько SSO важная вещь.
DFS не допилили?
Вы хотели сказать DFS-R?
DFS был лет 20 назад ещё
и как, работает??
stand-alone DFS пару десятков лет уже есть.
DFS-R нет, и вряд ли будет т.к. в мире линукс есть тысяча и один способ репликации файловой папки
Она все так же не может видеть список кудахтеров в локальной сети без костылей?
кудахтеров?
Зато список кудахтеров OpenNet показывает.
саундтрэк треда https://www.youtube.com/watch?v=fhHKYR-v0UE
когда римейк лучше оригинала
www.youtube.com/watch?v=uEtYTv40Ggc
samba 4 до сих пор свой колхозный полу-ldap пользует? Или может пришла им в голову разумная мысль вернуться какой-нибудь серьезный каталог с нормальным саппортом?
А такие разве есть?
ldap был актуален во времена модемов, абонентских линий и 286-тых интелов. Сейчас это нелепый копролит.
... который с лёгкостью заменяет ... заменяет с легкостью ... элегантные брюки.
ВНЕЗАПНА! LADP - это протокол!, "Эпический(С)" ты наш нумбер шесть :)
>Active Directory 2012, 2012R2 и 20162016 год был 7 лет назад.
2016й лес это топ у windows ad
Так то половина форток в окологосах и прочих шарагах ещё на каком-нибудь WinServer 2003 томятся, а остальным вообще не актуальны эти страдания)
И что? У Мыкрософта вышло что-то новое и сверхценное для работы? У нас вроде 2012 ещё пашут во всю. Что купили, то и работает, какой смысл на каждую новую версию деньги выбрасывать, если для нашей работы там просто ничего интересного нет?
cocамба 7 лет назад с величайшим трудом осилила совместимость с 2008, но не совсем.(и лучше б она этого не делала, конечно - всего ничего оставалось третьей версии до работающего стабильного сервера)
пох - у вас с ихними - цели разные. А потому - и оценки произошедшего. Я к примеру давно плюнул, у меня линyпcы ___все___ в AD но как Member Server ...пЫсЫ: кому интересно и в курсе - приснопамятный Centrify. Хотя мой PoC на SSSD тоже все тесты от вантуз теам - прошёл. Но первое - бохаче фичами :)
> пох - у вас с ихними - цели разные.естественно. Те кто делали самбу 3 - скорее всего давно пиццей торгуют.
> и оценки произошедшего. Я к примеру давно плюнул, у меня линyпcы
> ___все___ в AD но как Member Server ...вот это умела делать третья версия. И уже почти хорошо умела...но кому-то захотелось "чтоб как ввенде, но шва6о...то ись даром, as in free beer".
> пЫсЫ: кому интересно и в курсе - приснопамятный Centrify.оне ж вроде - банкрот?
Пока спецы в треде, как лечить зависание пк и проводников при отвале cifs?
> Пока спецы в треде, как лечить зависание пк и проводников при отвале
> cifs?ты чего, кнопку reset потерял? Вот та на системнике рядом со светящейся.
> ты чего, кнопку reset потерял? Вот та на системнике рядом со светящейся.Это не unix way
логика подсказывает - лечить отвал cifs, либо заменять его..))
Новость переведена плохо, видимо, человеком, который не знает зачем всё это нужно. Это "зайчатки" поддержки kerberos compound authentication.In particular Samba will issue Active Directory "Claims" in the PAC,
for member servers that support these, and honour in-directory
configuration for Authentication Policies and Authentication Silos.The primary limitation is that while Samba can read and write claims
in the directory, and populate the PAC, Samba does not yet use them
for access control decisions.
В частности, Samba будет добавлять утверждения Active Directory (Claims) внутрь PAC (Privilege Account Certificate) для доменных серверов, которые это поддерживают и будет учитывать конфигурацию каталога для политик аутентификации и контейнеров политик (Authentication Policies and Authentication Silos).Основное ограничение в том, что Samba может читать и записывать утверждения каталога и передавать их в PAC, но не способна принимать решения по авторизации относительно утверждений.
Пояснения:
PAC - это расширенный подписанный блок данных, который прилетает совместо с билетом (ticket) и используется для нужд авторизации (не аутентификации) на целевой сервер.Современный Kerberos (реализации от 10 лет и моложе) поддерживает аутентификацию и авторизацию на основе утверждений (Claims-based identity). Если описывать в двух словах, то приложение может аутентифицировать и авторизовывать относительно дополнительных полей карточки каталога не синхронизируя каталог на себя. Вот у вас есть приложение у него есть своё понимание пользователя, например в БД, и тех столбцов, которые выступают в качестве полей-атрибутов. Есть 2 способа как интегрировать такое приложение со службой каталогов:
1) Интеграция здорового человека
- Создать учетную запись в каталоге и назначить ей SPN, разрешив ограниченное делегирование пользователей на сервисе приложения, чтобы радостно слать Kerberos-запросы на KDC и обрабатывать предъявленные билеты.- Построить внутри приложения только те структуры данных (каталоги или таблицы БД), которые специфичны для приложения, а пользователей отдать в каталог, возможно расширив его схему, если полей каталога не хватает
- Получать значения атрибутов из каталога (PAC) совместно с билетом Kerberos, чтобы на этапе аутентификации получать значения атрибутов для дальнейшего использования внутри приложения. Если роли авторизации динамичны и ими управляет приложение, то тогда эти значения атрибутов из PAC можно использовать для нужд авторизации в том числе
- Если роли авторизации внутри приложения предопределены, то нужно создать объекты контейнеры (группы, сайты и прочее) на стороне каталога и произвести взаимно-однозначное соответствие. Зачастую получается так, что даже для динамически меняющихся приложений администратор приложения создаёт новую роль в приложении и привязывает её к контейнеру в каталоге
2) Интеграция курильщика
- Заводится пользовательская учётная запись в каталоге с огромными привилегиями
- Приложение не использует Kerberos, аутентифицируя своим способом ("на основе форм"), производя олицетворение (impersonation). Приложение приняло строки форм и пошло выписывать билеты на KDC от лица другого пользователя
- Повышенные привилегии нужны на чтение, а иногда и запись, почти на весь каталог, потому что приложение будет фильтравать LDAP и выкачивать к себе в базу интересующие атрибуты и объекты по расписанию.
- Такое приложение способно вынести роли авторизации на каталог, но оно будет ходить и каждый раз проверять само относительно каталога или кэша каталога в базеИсторически поставщиком утверждений всегда был протокол SAML, он же реализует политики авторизации, он же их вменяет (вместо Kerberos Ticket у вас SAML Assertion). Каталог при этом может быть полностью интегрирован с политиками авторизации так, что Kerberos KDC отдаёт свои билеты во внутреннюю сеть, а SAML в веб-приложения при этом построены SAML PEP и SAML PDC полностью интегрированные с контнейнерами политик внутри службы каталогов.
Начиная с версии леса Windows Server 2012 Active Directory активно просовывает атрибуты в PAP и посылает вместе с билетами. Если раньше у вас Kerberos поддерживал только те данные, которые прислал KDC, то в свежих версиях можно просунуть еще и дополнительные атрибуты. Это значит, что вам не надо городить инфраструктуру SAML для формирования инфраструктуры в парадигме "политика безопасности, как бизнес-процесс", если там типовое получение и проверка атрибутов из каталога. Теперь у вас есть еще и Kerberos, который вам всё и так пришлёт. Это не только упрощает жизнь на крупных развертываниях, но еще и позволяет реализовать концепцию BYOD (bring your own device).Все эти атрибуты в PAP чаще всего нужны как раз для BYOD и авторизации устройств и их местоположения. Например, корпоративный портал показывает только все функции и поля если вы зашли с корпоративного доменного компьютера, но даёт ограниченный функционал, если вы зашли со своего личного компьютера из дома или с офисного ноутбука. Или, например, портал показывает разные вещи на главной странице в зависимости от того из какого офиса вы вошли в систему. Пользователь при этом один и тот же.
Главное, что протокол SMB3 всё это умеет и может давать доступ к каталогу с учетом этих атрибутов, потому что ACL на фаловом сервере проверяет атрибуты из PAP.
Теперь к вопросу про то что наконец-то начала делать Samba. Она научилась с этим немножечко работать как DC, но как файловый сервер она этим пользоваться пока не способна.Вообще для поддержки современных версий AD требуется еще и тонна объектов для BYOD по регистрации устройств, которые можно сделать доверенными, если есть действительный клиентский сертификат в хранилище на устройстве,.. но у меня есть сомнения, что Samba покусится на эти службы Active Directory, потому что это уже кусок Federation Services.
Если вы думаете, что всё это как-то шибко сложно и не нужно никому, то ни фига. Это просто в Linux с этим исторически всё плохо. Вообще, от современных разработчиков требуется поддержка протоколов децентрализированной аутентификации и авторзации не только для корпоративных функций, но также и для облачных сервисов. Облачно-ориентированные протоколы вроде OpenID Connect и OAuth2 требуют от разработчика того же самого: написать приложение с расчетом на то, что аутентификацию и, возможно, авторизацию держит сторонняя служба, а приложения получает подписанные сертификатами объекты от клиентского устройства пользователя, внутри которых находятся утверждения. Ну то есть claims-based приложение. В этом случае вместо билетов с PAP у вас JSON Web Token (JWT). Кстати, OAuth2 это отдельный фреиворк по авторизации, он всё что я описывал выше по связке Kerberos и SAML в разрезе авторизации он не умеет и не должен, он облачный, а не корпоративный. Он не умеет вменять политики авторизации для приложений и не формирует из приложений домены, но может быть интегрирован на бекенде с каталогами и базами для реализации схожих задач. Можно завести свои scope и просовывать туда утверждения из другого каталога или базы, где они радостно вычисляются на основании рядом стоящей корпоративной архитектуры. При желании можно использовать один и тот же каталог, просто расширив схему. Ну вот так вот оно и сделано в Active Directory для BYOD в версии схемы 2012R2+. Эта схема даёт стоковую интеграцию с устверждениями в OAuth2, даёт возможность регистрировать устройство как доверенное. Даёт возможность приложениям решить, что разрешено на таких доверенных, но удаленных устройствах.
P.S. Пока писал всё это аж ностальгия пробрала, будто очутился опять 2014-ом году. Ох уж эта реализация новинок десятилетней давности,.. но лучше поздно, чем никогда.
Как там ядерный самбо поживает?
А такой разве есть? Или ты ничтоже сумляще так ведёрный cifs окрестил?
ksmbd
> Как там ядерный самбо поживает?плохо - разработчик еще от пятничной порки за exfat не отлежался. Как спина и ж0па зарастут - выпорют еще и за cocaмбу, что плохо веслал и галера вообще не едет.
interfaces = 10.10.100.0/24 ens33[public]
comment = Public Storage
path = /usr/storage
browseable = yes
read only = no
force create mask = 0755
force directory mask = 0755
valid users = @sambausersudo useradd sambauser
sudo smbpasswd -a sambausersudo mkdir -p /usr/storage
sudo chown sambauser:sambauser /usr/storage/