Началось (http://permalink.gmane.org/gmane.network.samba.announce/292) тестирование новой значительной ветки Samba 4.1 (https://www.samba.org/), продолжающей развитие технологии, доступных в ветках Samba 4 и 3.x.
Ключевые изменения в Samba 4.1:- Новая система репликации содержимого базы данных контроллера домена, отличающаяся увеличением эффективности и надёжности работы. Новая реализация позволяет организовать репликацию базы с другими контроллерами домена, в том числе имеющими существенно изменённую схему данных (например, Windows 2012 DC или Windows DC с установленным Exchange);
- Поддержка выполнения операций копирования на стороне сервера (реализован SMB2-запрос FSCTL_SRV_COPYCHUNK по аналогии с Windows Server 2012). Таким образом клиент теперь может инициировать копирование файлов на сервере без их передачи по сети (ранее для копирования файл загружался на систему клиента, а затем опять переносился на сервер);
- Включение VFS-модуля для обеспечения интеграции с файловой системой Btrfs (включается через параметр "vfs objects = btrfs" в smb.conf). Модуль позволяет дополительно увеличить производительность операций копирования на стороне сервера при хранении данных на
Btrfs-разделах, за счёт использования возможности по хранению только одной копии данных для идентичных файлов с их разделением на уровне метаданных;
- Удаление из состава Samba административного web-интерфейса SWAT. В качестве мотива называется недостаточно высокое качество кода с точки зрения безопасности. В текущем виде SWAT излишне доверяет действиям, инициируемым со стороны пользовательского браузера, что открывает возможности к проведению XSS и CSRF атак, направленных на инициирование скрытых действий от лица пользователя web-интерфейса. Для исключения подобных атак требуется переработка модели безопасности SWAT, но у SWAT отсутствует мэйнтейнер и не удалось найти заинтересованного в развитии проекта web-разработчика;- Прекращена поддержка директив "password level" и "set directory";
- Добавлена новая директива "use ntdb".URL: http://permalink.gmane.org/gmane.network.samba.announce/292
Новость: https://www.opennet.ru/opennews/art.shtml?num=37422
Для того чтобы свалить самбу без возможности восстановления (не считая разворачивания бекапов) достаточно поднять её до уровня Windows 2008. Вы даже даже не узнаете, что ваша самба уже умерла.
Самба4 более вендузятный продукт чем сам Шиндоус.1. Свой LDAP, никакой интеграции с OpenLDAP или 389.
2. Свой DNS сервер, DLZ работает ужасно. Ладно, в отличии от LDAP это можно обойди подгрузкой зон в bind через slave.
3. Свой керберос, ну проблема невелика.
Самба4 это система в себе. При строительстве гетерогенной сети приходится костылять вокруг Samba AD.
Афтары догадались сделать доступной без единого предупреждения функцию raise windows 2008 при отсутствующей DFS репликации.
Непонимаю на что ты жалуешься. Ты как истовый бсд-шник обязан обмазываться самбой и всем прочим что имеет отношение к шиндовс, каждый день и радоваться.
> Непонимаю на что ты жалуешься. Ты как истовый бсд-шник обязан обмазываться самбой
> и всем прочим что имеет отношение к шиндовс, каждый день и
> радоваться.narkoman.png?
хейтер. тут таких много. особенно по весне и осени.
Догхантеры
> хейтер. тут таких много. особенно по весне и осени.Они повсюду. Они - за каждым углом. Они постоянно смотрят на тебя, выжидая возможность напасть. Ты нигде не сможешь от них спастись.
> Они повсюду. Они - за каждым углом. Они постоянно смотрят на тебя,
> выжидая возможность напасть. Ты нигде не сможешь от них спастись.Как говаривал мой дядя "спасу нет от дураков".
>Как говаривал мой дядя "спасу нет от дураков".... и влеплял тебе позатыльник?! А-а-а - вот теперь всё сходится! :)
как ты ловко увернулся! как тебе не хочется чтобы считали дураком! да только раньше надо было думать, когда глупость писал на опеннете.
> Самба4 это система в себе. При строительстве гетерогенной сети приходится костылять
> вокруг Samba AD.Скажи спасибо майкрософту. Это красавцы взяли казалось бы обычные протоколы и немного доработали. Так что они стали несовместимы по мелочи с остальными реализациями. Ну вот и приходится вот такой вот ответ. Костыльным проблемам - костыльные решения.
> Самба4 более вендузятный продукт чем сам Шиндоус.
> 1. Свой LDAP, никакой интеграции с OpenLDAP или 389.Интеграция была. Но спасибо майкрософт они в своем лдапе накостылили так что со всей этой херней через бэкэнд взлететь не получается. Но запилить тем не менее можно, если хорошо понимаешь что делаешь. Пруф: http://wiki.samba.org/index.php/Samba4/LDAP_Backend
> 2. Свой DNS сервер, DLZ работает ужасно. Ладно, в отличии от LDAP
> это можно обойди подгрузкой зон в bind через slave.Данунафиг. С биндом по крайней мере все поет и танцует. Пруф: http://wiki.samba.org/index.php/DNS
> 3. Свой керберос, ну проблема невелика.
Вот это через бэкэнд вообще не лечится. Спасибо МС которая наколхозила в керберосе костылей своих.
> Афтары догадались сделать доступной без единого предупреждения функцию raise windows 2008 при отсутствующей DFS репликации.
Может это на мэйнтейнеров надо полаять которые собрали вам самбу без поддержки DFS ? Или ручки и нечитание доки ? Репликация есть. Пруф ниже несколькими постами. Да, DRS несовместима с LDAP_Backend. Спасибы за это опять-же в microsoft отправляйте.
>Интеграция была. Но спасибо майкрософт они в своем лдапе накостылили так что со всей этой херней через бэкэнд взлететь не получается. Но запилить тем не менее можно, если хорошо понимаешь что делаешь. Пруф: http://wiki.samba.org/index.php/Samba4/LDAP_BackendДавно несовместим.
>Данунафиг. С биндом по крайней мере все поет и танцует. Пруф: http://wiki.samba.org/index.php/DNS
ACL не настраивается, автоочистка не работает. Без ACL элементарное переименование компьютера превращается в ад.
>Может это на мэйнтейнеров надо полаять которые собрали вам самбу без поддержки DFS ? Или ручки и нечитание доки ? Репликация есть. Пруф ниже несколькими постами. Да, DRS несовместима с LDAP_Backend. Спасибы за это опять-же в microsoft отправляйте.
Там старая реализация, несовместимая с DFSR.
И рассказать что там накостылили в керберосе, и почему не сделать патч+ключ в конфиге кербероса можете?
Потому что апстриму кербероса это не нужно. Ваш КО.
Есть официальный ответ от апстрима?
Ну, правильно, поддерживать один интегрированный продукт - это неинтересно. А вот поддерживать двадцать, склеенных между собой через костыли - самое оно. Это так линуксвейно.
Ну и, конечно, чинить костыли всякий раз когда очередное обновление в каком-либо из двадцати продуктов сломает тот маленький уступчик, об который был уперт костыль. Но - невелика беда. Надо ж чем-то на работе заниматься.
Сходи в рассылки самбы и почитай какой хай поднялся когда они объявили свой лдап с шашками, а остальные с поэтессами их не устраивают.
В куче компаний уже был лдап со всем чем нужно. Не хватало только АД туда вонзить. Именно этого все и ожидали - возможность безболезненно на текущий лдап прикрутить всю виндотень. А им половой орган на весь макияж показали.
Но для школьничков это конечно костыльвей. Надо всё сломать до оснований и с нуля начать.
> В куче компаний уже был лдап со всем чем нужно. Не хватало
> только АД туда вонзить. Именно этого все и ожидали - возможность
> безболезненно на текущий лдап прикрутить всю виндотень. А им половой орган
> на весь макияж показали.А чего ожидалось-то? Когда хочешь один несовместимый продукт сочленить с другим несовместимым продуктом, используя третий несовместимый продукт - получение банана немного предсказуемо.
Полноценный домен AD - это слегка больше, чем нашлепка на OpenLDAP. Переделывать последний только ради добавления специфичных конкретно для AD возможностей - бессмысленно. А городить кучу левых патчей, которые потом заботливо переписывать под каждый релиз - еще и глупо.
Так что решение логичное, хоть и небесспорное.
Ну-ну. Можно услышать про 3 несовместимых продукта? Если учесть что дофига чего в самбе писали по докам микрософта и конечная цель - полная совместимость. И можно посмотреть на эту кучу левых патчей с ответом апстрима что это нам не надо?
> Ну-ну. Можно услышать про 3 несовместимых продукта?Ну, как бы, очевидно - Samba 4, OpenLDAP и Windows-машины (для них же, я так понимаю, все затевалось).
> Если учесть что дофига чего
> в самбе писали по докам микрософта и конечная цель - полная
> совместимость.А есть хоть какая-то уверенность, что в этих самых "доках микрософта" есть абсолютно полное описание реализации, а не как обычно?
Ко всему прочему, сам Microsoft совместимость AD с Samba 4 где-то подтверждал?
> Ну, как бы, очевидно - Samba 4, OpenLDAP и Windows-машины (для них же, я так понимаю, все затевалось).samba4 сделана с целью полностью заменить АД для клиентских машин. Поэтому никаких несовместимостей быть в принципе не может. Про лдап они бубунили что слишком сильно надо внутрь лезть, то им не так и это. Сдаётся мне просто не хотят они это сделать по уму. Поэтому пилят фриипу, собственный керберос с собой таскают. Можно посмотреть какое обоснование этого таскания и причём тут федора. А патчить и делать по уму они хотят когда фриипу3 допилят. И это вместо того что бы сразу делать правильно.
> А есть хоть какая-то уверенность, что в этих самых "доках микрософта" есть абсолютно полное описание реализации, а не как обычно?
Во первых они сами реверсили очень много. Во вторых требование открыть доки микрософту, если я правильно помню, через суд спустили.
> Ко всему прочему, сам Microsoft совместимость AD с Samba 4 где-то подтверждал?
Зачем ему это? Это надо подтверждать самбавцем. Эта их цель. Просто считай конечная точка в роудмапе.
Для начала поинтересуйся почему так
Если с разбегу удариться головой об угол, вы даже не узнаете, что умерли (не считая наличия запасной головы).
> Если с разбегу удариться головой об угол, вы даже не узнаете, что
> умерли (не считая наличия запасной головы).Она будет делать вид, что работает, ошибок никаких не будет, но на самом деле это уже труп. Для работы с AD уровня windows 2008 обязательно требуется DFS, которого в самбе нет. Вы чуть позже узнаете это по клиентам, которые выкинут ошибку применения GPO, т.к. они не смогут прочитать SYSVOL.
Пруф на багтрекер.
Запрос в гугле "Samba 4 DFS" выдаёт кучу вкусняшки.
Это вы сами кушайте.
Пруф на баг. А работает какбэ нормально.
Это не баг, это просто полное отсутствие реализации. Попробуй сделать репликацию на нормальный win2008 и убедись, что шара SYSVOL не появится.
А зачем мне делать репликацию на "нормальный" вынь2008?
Я делаю репликацию на нормальную самбу.
А ну что и следовало ожидать, почитай логи на семерках.
Именно.
Самба это самба. Отдельное решение, работающее в рамках её решений.
Вы ещё от нетвари потребуйте чтобы стала вантузом.
Это не келька вантуза. Хоть совместимостью и заморачивается.
Зыж
Как отдельное решение, позволяющее рулить клиентской виндой она вполне на уровне.
Ну а если вы хотите всё как в АДу, но на халяву, то это не пройдёт. Хотя бы потому что мс не даст.
Поэтому вы либо делаете на АД, либо на самбе. И мигрировать (в обе стороны) можно относительно легко.
Ззыж
Самба не меряется по 2008, 20012,..
Она меряется по тройка, четвёрка, теперь 4.1.
> Это не баг, это просто полное отсутствие реализации. Попробуй сделать репликацию на
> нормальный win2008 и убедись, что шара SYSVOL не появится.Может руки ?
В кновледж бейзе корпорации зла пишут что и FRS репликацию пока еще никто не отменял. Я отчего-то им верю.
A Windows Server 2008 R2 domain controller can still use FRS to replicate the contents of the SYSVOL share in a domain that uses FRS for replicating the SYSVOL share between domain controllers.
Пруф : http://msdn.microsoft.com/en-us/library/windows/desktop/ff38...
При репликации система делает запрос уровня контроллера домена и леса. И если ответ от хозяина FSMO приходит "Windows 2008 R2", то автоматически активируется DFSR. В случае по ссылке используется связка хозяин FSMO - Wind2003, а к нему подключается wind2008.
> Для работы с AD уровня windows 2008 обязательно требуется DFS, которого в самбе нет.Данунафиг. http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/m...
http://msdn.microsoft.com/en-us/library/windows/desktop/bb54... я про это. DFS на win 2003 R2 был полностью перепилен и стал не совместим со старой реализацией.
> http://msdn.microsoft.com/en-us/library/windows/desktop/bb54...
> я про это. DFS на win 2003 R2 был полностью перепилен
> и стал не совместим со старой реализацией.Да, действительно, репликация SYSVOL через DRS не реализована. прочел внимательнее мануал. Сыплю голову пеплом. Надо реплицировать другими средствами.
>Надо реплицировать другими средствами.А вот тут и фиг, в NTDS нет этой ветки вообще! Т.е. нельзя выполнить принудительную репликацию.
Если бы Сергей не написал этот комментарий, мы бы не знали, что он вообще жил (не считая Сергея).
Это был ответ на 1-й комент. Я промахнулся.
тройкой пользуюсь. но четверку ближайшие 2 года точно ставить не буду. как и 90% читающих эту новость.
Вопрос по блокировкам, кто пользовал самбу4 ответьте плиз:
В третьей самбе на каждый открытый пользователем файл создавался один общий PID на стороне сервера:
[root@linuraid ~]# smbstatusSamba version 3.6.12
*****Locked files:
Pid Uid DenyMode Access R/W Oplock SharePath Name Time
--------------------------------------------------------------------------------------------------
331 1003 DENY_WRITE 0x2019f RDWR NONE /mnt/in 1.csv Wed Jul 17 08:58:19 2013
331 1003 DENY_WRITE 0x2019f RDWR NONE /mnt/in 123.docx Wed Jul 17 08:58:04 2013[root@linuraid ~]#
как видно на два файла один pid - 331
порой нужно прибить блокировку на один из открытых файлов, не трогая другие файлы, в винде 2003 это можно сделать через "закрыть открытый файл", а в линуксе - нет, только снять блокировки на все файлы.
Так вот - можно ли снять блокировку на отдельный файл в 4ой самбе ?