The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Выпуск Samba 4.19.0"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск Samba 4.19.0"  +/
Сообщение от opennews (??), 04-Сен-23, 23:25 
После 6 месяцев разработки представлен релиз Samba 4.19.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2008 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 11. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию  файлового сервера, сервиса печати и сервера идентификации (winbind)...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59714

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


3. "Выпуск Samba 4.19.0"  +4 +/
Сообщение от анон_2 (?), 04-Сен-23, 23:50 
Интересно, сколько там добавилось уязвимостей?
Ответить | Правка | Наверх | Cообщить модератору

6. "Выпуск Samba 4.19.0"  +10 +/
Сообщение от Аноним (6), 05-Сен-23, 00:47 
Узнаем в следующей серии.
Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск Samba 4.19.0"  +/
Сообщение от Аноним (26), 05-Сен-23, 12:53 
Вещь нужная, поэтому ненадо спешить переписывать.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

7. Скрыто модератором  +13 +/
Сообщение от Аноним (7), 05-Сен-23, 04:31 
Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск Samba 4.19.0"  +2 +/
Сообщение от Alex (??), 05-Сен-23, 04:52 
Кто-нибудь менял AD с windows на Samba AD, какие костыли выплывают?
Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск Samba 4.19.0"  +6 +/
Сообщение от смб (?), 05-Сен-23, 06:04 
С таким количеством исходной информации в вопросе - отвечать нет смысла
Ответить | Правка | Наверх | Cообщить модератору

10. "Выпуск Samba 4.19.0"  +2 +/
Сообщение от _ (??), 05-Сен-23, 07:06 
Есть как положительных историй, так и полного ППЦ-а.
Как говорят в Рязани: it depends ...
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

11. "Выпуск Samba 4.19.0"  +1 +/
Сообщение от mos87 (ok), 05-Сен-23, 07:14 
Да.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

13. "Выпуск Samba 4.19.0"  +2 +/
Сообщение от Аноним (13), 05-Сен-23, 08:30 
Samba dc и Windows dc в одном домене работать нормально не будут. Ломается синхронизация, так как на стороне Samba DC идёт задвоение атрибутов, по причине: атрибуты доменных объектов в  Samba dc ригистрозависимые.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

15. "Выпуск Samba 4.19.0"  +1 +/
Сообщение от Аноним (15), 05-Сен-23, 09:04 
А имеет смысл поднимать домен изначально на сабже? Оно вообще юзабельно?
Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск Samba 4.19.0"  –10 +/
Сообщение от Александр (??), 05-Сен-23, 12:46 
Нет.
Использовать можно только как поделку юный техник. Преподавателю показать.
На реальном предприятии, проблем будет больше чем вообще без домена.
Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск Samba 4.19.0"  –2 +/
Сообщение от leap42 (ok), 05-Сен-23, 13:00 
> А имеет смысл поднимать домен изначально на сабже? Оно вообще юзабельно?

Юзабельно, но нужен специальный укротитель, который будет следить за тем чтобы весь домен не подох. Парадоксально, но покупка серверной винды почти по любой цене выйдет дешевле в средне или долгосрочной перспективе.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

35. "Выпуск Samba 4.19.0"  +/
Сообщение от Аноним (15), 05-Сен-23, 14:10 
Что значит укрощать? Речь про первоначальную конфигурацию? Или речь про багфиксы? Отсылать багфиксы?
Ответить | Правка | Наверх | Cообщить модератору

44. "Выпуск Samba 4.19.0"  –1 +/
Сообщение от leap42 (ok), 05-Сен-23, 16:45 
Это значит, что с репликацией, например, могут быть рекуррентные проблемы, которые кто-то должен залезть и починить.
Ответить | Правка | Наверх | Cообщить модератору

45. "Выпуск Samba 4.19.0"  +3 +/
Сообщение от BorichL (ok), 05-Сен-23, 17:28 
И к этой винде тоже понадобится специальный укротитель, чтобы вот эта весёлая помесь из кербероса, днса и лдапа от Мыкрософт не подохла. Вечно у нас админы развлекаются, то у них синхронизация домена у этих купленных у мыкрософта серверов гавкнется, то чего-то недоступно... Я в этот зоопарк свой сервак с Самбой пристроил, он там кого надо учётки аутентифицирует и файлики кому надо отдаёт, мне хорошо, а вендоадмины пусть трахаются.
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

58. Скрыто модератором  +1 +/
Сообщение от leap42 (ok), 06-Сен-23, 04:59 
Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск Samba 4.19.0"  +1 +/
Сообщение от winorun (?), 05-Сен-23, 13:42 
смотря что тебе надо. Мне нужен был ldap. Ldap работает. груповые политики какие мне нужны работают. группы работают. Теперь начинается но.

В организации нет и полсотни человек. Текучка кадров 20 человек за 5 лет. В домене чуть больше 20 машин. Мне в принципе домен не нужен был. Мне больше ldap был нужен. И все что мне надо самба делает прекрасно.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

36. "Выпуск Samba 4.19.0"  +1 +/
Сообщение от Аноним (15), 05-Сен-23, 14:12 
>смотря что тебе надо.

Ну мне ненадо вообще ничего от слова совсем. Мне просто любопытно как люди переводят целые организации на этот ваш линукс. Не только же они рабочие тачки на линукс переводя, домен контроллер же тоже?

Ответить | Правка | Наверх | Cообщить модератору

63. "Выпуск Samba 4.19.0"  +1 +/
Сообщение от Менеджер Антона Алексеевича (?), 06-Сен-23, 17:00 
Если прямо целую организацию с рабочими местами переводить, то AD там особо и не нужен — можно FreeIPA обойтись. Да и в гомогенных сетапах вроде как проще подключать линуксы к FreeIPA, виндовсы к AD, и между FreeIPA и AD налаживать траст. YMMV.
Ответить | Правка | Наверх | Cообщить модератору

50. "Выпуск Samba 4.19.0"  +/
Сообщение от ivan_erohin (?), 05-Сен-23, 18:46 
> В организации нет и полсотни человек. [...] В домене чуть больше 20 машин. [...] Мне больше ldap был нужен.

зачем ldap ? всех можно описать в /etc/hosts и /var/db/krb5kdc или где оно там.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

64. "Выпуск Samba 4.19.0"  +2 +/
Сообщение от Менеджер Антона Алексеевича (?), 06-Сен-23, 17:01 
Очевидно, чтобы ответственное лицо могло заводить юзеров из браузера, а не редактируя файлы на двадцати хостах.
Ответить | Правка | Наверх | Cообщить модератору

66. Скрыто модератором  +/
Сообщение от ivan_erohin (?), 06-Сен-23, 17:11 
Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск Samba 4.19.0"  +1 +/
Сообщение от Аноним (33), 05-Сен-23, 14:00 
Конечно имеет, особенно если из линуксовых машин домен состоит. Днища тут брызжут слюной без понимания темы от слова совсем. Домен контроллер эхто всего лишь управляющий областью в альтернативу стандартным имеющимся инструментам в UNIX подобных системах. То есть получить доступ к папке можно, а вот удобство и намеренная несовместимость со стандартными средствами возвеличены в абсолют. Имеет смысл когда есть куча офисов, которые разнесены территориально.
Местные никогда ничего не использовали и потому не одобряют
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

37. "Выпуск Samba 4.19.0"  +1 +/
Сообщение от Аноним (15), 05-Сен-23, 14:14 
Мне интересно, можно ли получить плюс минус рабочую сеть если я хочу полностью перевезти организацию включая рабочие станции, сервера, домент контроллер на Линукс. Ну или с нуля поднять всю сеть только на Линуксе.
Ответить | Правка | Наверх | Cообщить модератору

40. "Выпуск Samba 4.19.0"  –1 +/
Сообщение от Аноним (40), 05-Сен-23, 15:46 
Вся инфра Венды нужна только, чтобы продавать Венду. Единственный её мотив. Когда вы хотите заменить Венду на неВенду, то теряется весь смысл затеи -- МС больше с этого не зарабатывает, так зачем оно нужно? Сама идея АД исключительный маркетинг. Оно не нужно вообще за пределами торговли Вендой. Но если оно уже есть, то, увы, но замены этому нет. Это как всю жизнь пробки пивные собирать в надежде выиграть приз, а потом узнать, что лотерея не состоится, и пытаться применит свой опыт собирания пробок для несостоявшейся лотереи на собирание, скажем, окурков на улице, но только при этом за окурки никто никогда никакой лотереи и не обещал. Домен ПК не нужен уже с конца 80-х. Это архаика.
Ответить | Правка | Наверх | Cообщить модератору

46. "Выпуск Samba 4.19.0"  +/
Сообщение от ааноним (?), 05-Сен-23, 17:31 
Хорошо, а что взамен?
Ответить | Правка | Наверх | Cообщить модератору

47. "Выпуск Samba 4.19.0"  +/
Сообщение от BorichL (ok), 05-Сен-23, 17:37 
А что мешает? И зачем тут Самба? Если ты найдёшь смелого или жадного, кто решится построить сеть организации не на винде, то что тебе мешает поднять в сети LDAP, Kerberos аутентификацию, NFS4 и вперёд, всё нативное, работает уж точно не хуже AD, учитывая что LDAP можно в текстовом виде выгрузить и загрузить так же. Просто для этого надо иметь гибкость мышления, а не применять шаблонные решения. А если только свободного софта не хватает, то тогда уже можно подцепить и виндовые решения, тут уже для совместимости можно как Самбу поднять, а можно и в винде NFS, не знаю, умеет ли она NFS4.
Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

49. "Выпуск Samba 4.19.0"  +/
Сообщение от 1 (??), 05-Сен-23, 17:55 
Посмотри, как это сделано на Calculate Linux.
И ещё, не к ночи помянутый, ALD от AstraLinux
Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

54. "Выпуск Samba 4.19.0"  +/
Сообщение от Аноним (54), 05-Сен-23, 21:57 
Astra Linux Directory (ALD) проприетарная же?
Ответить | Правка | Наверх | Cообщить модератору

55. "Выпуск Samba 4.19.0"  +/
Сообщение от Аноним (54), 05-Сен-23, 21:57 
Calculate Linux а там что?
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

56. "Выпуск Samba 4.19.0"  +1 +/
Сообщение от LinAlex (ok), 06-Сен-23, 00:08 
В ALD используют FreeIPA а не сабж.
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

53. "Выпуск Samba 4.19.0"  +/
Сообщение от Аноним (53), 05-Сен-23, 20:12 
Да, работает норм. Репликация ldap работает, авторизация не отваливается.
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

28. "Выпуск Samba 4.19.0"  +/
Сообщение от leap42 (ok), 05-Сен-23, 12:57 
Это до сих пор не починили? Я лет 8 назад ещё сталкивался.
Кстати тогда это обходилось заведением всех ресурсов в домен КАПСОМ 😄😄😄
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

52. "Выпуск Samba 4.19.0"  +/
Сообщение от Аноним (53), 05-Сен-23, 20:09 
Как мне объяснили, это проблема архитектуры, не так всё просто. Можно было решить ручным патчем исходников с ручной пересборкой, но мы уже тогда отказались от Samba DC. Caps не помогает, есть атрибуты, которые перезаписываются при логине пользователя в систему.
Ответить | Правка | Наверх | Cообщить модератору

62. "Выпуск Samba 4.19.0"  –2 +/
Сообщение от Менеджер Антона Алексеевича (?), 06-Сен-23, 16:55 
> атрибуты доменных объектов в  Samba dc ригистрозависимые

Спасибо дидам с их сишкой и экономией тактов на нормализации регистра. Весь Юникс теперь на этих костылях построен.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

18. "Выпуск Samba 4.19.0"  –2 +/
Сообщение от pofigist (?), 05-Сен-23, 09:15 
Первейшей костыль - отсутствует глобальный каталог, он же - лес доменов. Ну или другими словами - нет enterprise administrator.
То есть для SOHO - сойдёт, правда с графическими инструментами управления - беда, а мелкомягкие - глючат, что для SOHO - критично важно.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

41. "Выпуск Samba 4.19.0"  –2 +/
Сообщение от Аноним (40), 05-Сен-23, 15:50 
А зачем? Зачем эти леса? Комп не ценный ресурс уже лет тридцать как. Интернет копеечный. Средства консумерской криптографии предельно просты и доступны. Серверные платформы доступны даже школьнику. Зачем городить весь этот огород с содержанием на балансе конторы кучи железяк, офисных столов и стульев? Опять ковидной изоляции показал, что это всё не нужно.
Ответить | Правка | Наверх | Cообщить модератору

43. "Выпуск Samba 4.19.0"  +/
Сообщение от Аноним (15), 05-Сен-23, 15:57 
Файловую помойку с распределением прав доступа?
Ответить | Правка | Наверх | Cообщить модератору

60. "Выпуск Samba 4.19.0"  –1 +/
Сообщение от Аноним (60), 06-Сен-23, 10:37 
Но зачем нужна эта файлопомойка? Документы нужны только в пределах СЭДа. Рабочая инфа только в целевом ПК. Домен не нужен. Сейчас куда важнее пресловутый devops, а не тратить время и огромные ресурсы на инфраструктуру.
Ответить | Правка | Наверх | Cообщить модератору

57. "Выпуск Samba 4.19.0"  +1 +/
Сообщение от Аноним (57), 06-Сен-23, 03:34 
> Интернет копеечный.

Стоимость интернета для юриков может вас неприятно поразить.

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

61. "Выпуск Samba 4.19.0"  –1 +/
Сообщение от Аноним (60), 06-Сен-23, 10:38 
Цена типичной доменной инфры организации обходится в полёт на марс и обратно. И, главное, совершенно не ясно зачем это.
Ответить | Правка | Наверх | Cообщить модератору

65. "Выпуск Samba 4.19.0"  +/
Сообщение от Менеджер Антона Алексеевича (?), 06-Сен-23, 17:10 
> А зачем?

15к геораспределённых WFH сотрудников. Очевидно, что вручную раздавать и отбирать логины ко всему и заливать ключи на инфраструктуру при таком количестве кадров невозможно. В том или ином виде, база пользователей нужна, как минимум для SSO. Одно из доступных решений — AD. Другие тоже существуют, и отлично работают. Опыт ковидной изоляции наглядно показал, насколько SSO важная вещь.

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

12. "Выпуск Samba 4.19.0"  +/
Сообщение от Анонимemail (12), 05-Сен-23, 07:18 
DFS не допилили?
Ответить | Правка | Наверх | Cообщить модератору

16. "Выпуск Samba 4.19.0"  +/
Сообщение от Леонид (??), 05-Сен-23, 09:09 
Вы хотели сказать DFS-R?
Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск Samba 4.19.0"  +/
Сообщение от Аноним (17), 05-Сен-23, 09:11 
DFS был лет 20 назад ещё
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

20. "Выпуск Samba 4.19.0"  +2 +/
Сообщение от ыы (?), 05-Сен-23, 10:34 
и как, работает??
Ответить | Правка | Наверх | Cообщить модератору

79. "Выпуск Samba 4.19.0"  +/
Сообщение от смб (?), 18-Янв-24, 08:04 
stand-alone DFS пару десятков лет уже есть.
DFS-R нет, и вряд ли будет т.к. в мире линукс есть тысяча и один способ репликации файловой папки
Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск Samba 4.19.0"  +1 +/
Сообщение от Аноним (14), 05-Сен-23, 08:41 
Она все так же не может видеть список кудахтеров в локальной сети без костылей?
Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск Samba 4.19.0"  –1 +/
Сообщение от Аноним (15), 05-Сен-23, 12:53 
кудахтеров?
Ответить | Правка | Наверх | Cообщить модератору

39. "Выпуск Samba 4.19.0"  +/
Сообщение от Аноним (26), 05-Сен-23, 15:10 
Зато список кудахтеров OpenNet показывает.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

19. "Выпуск Samba 4.19.0"  +1 +/
Сообщение от Аноним (19), 05-Сен-23, 09:16 
саундтрэк треда https://www.youtube.com/watch?v=fhHKYR-v0UE
Ответить | Правка | Наверх | Cообщить модератору

51. Скрыто модератором  +/
Сообщение от ivan_erohin (?), 05-Сен-23, 18:54 
Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск Samba 4.19.0"  +/
Сообщение от bOOster (ok), 05-Сен-23, 10:52 
samba 4 до сих пор свой колхозный полу-ldap пользует? Или может пришла им в голову разумная мысль  вернуться какой-нибудь серьезный каталог с нормальным саппортом?
Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск Samba 4.19.0"  +/
Сообщение от Аноним (32), 05-Сен-23, 13:42 
А такие разве есть?
Ответить | Правка | Наверх | Cообщить модератору

42. "Выпуск Samba 4.19.0"  +1 +/
Сообщение от Аноним (40), 05-Сен-23, 15:52 
ldap был актуален во времена модемов, абонентских линий и 286-тых интелов. Сейчас это нелепый копролит.
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

70. "Выпуск Samba 4.19.0"  +1 +/
Сообщение от _ (??), 06-Сен-23, 23:30 
... который с лёгкостью заменяет ... заменяет с легкостью ... элегантные брюки.
ВНЕЗАПНА! LADP - это протокол!, "Эпический(С)" ты наш нумбер шесть :)
Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск Samba 4.19.0"  +/
Сообщение от Аноним (22), 05-Сен-23, 10:55 
>Active Directory 2012, 2012R2 и 2016

2016 год был 7 лет назад.

Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск Samba 4.19.0"  +1 +/
Сообщение от ad (??), 05-Сен-23, 12:25 
2016й лес это топ у windows ad
Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск Samba 4.19.0"  +/
Сообщение от Аноним (24), 05-Сен-23, 12:31 
Так то половина форток в окологосах и прочих шарагах ещё на каком-нибудь WinServer 2003 томятся, а остальным вообще не актуальны эти страдания)
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

48. "Выпуск Samba 4.19.0"  +/
Сообщение от BorichL (ok), 05-Сен-23, 17:40 
И что? У Мыкрософта вышло что-то новое и сверхценное для работы? У нас вроде 2012 ещё пашут во всю. Что купили, то и работает, какой смысл на каждую новую версию деньги выбрасывать, если для нашей работы там просто ничего интересного нет?
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

67. "Выпуск Samba 4.19.0"  +/
Сообщение от пох. (?), 06-Сен-23, 17:32 
cocамба 7 лет назад с величайшим трудом осилила совместимость с 2008, но не совсем.

(и лучше б она этого не делала, конечно - всего ничего оставалось третьей версии до работающего стабильного сервера)

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

71. "Выпуск Samba 4.19.0"  +/
Сообщение от _ (??), 06-Сен-23, 23:37 
пох - у вас с ихними - цели разные. А потому - и оценки произошедшего. Я к примеру давно плюнул, у меня линyпcы ___все___ в AD но как Member Server ...

пЫсЫ: кому интересно и в курсе - приснопамятный Centrify. Хотя мой PoC на SSSD тоже все тесты от вантуз теам - прошёл. Но первое - бохаче фичами :)

Ответить | Правка | Наверх | Cообщить модератору

73. "Выпуск Samba 4.19.0"  +/
Сообщение от пох. (?), 07-Сен-23, 09:54 
> пох - у вас с ихними - цели разные.

естественно. Те кто делали самбу 3 - скорее всего давно пиццей торгуют.

> и оценки произошедшего. Я к примеру давно плюнул, у меня линyпcы
> ___все___ в AD но как Member Server ...

вот это умела делать третья версия. И уже почти хорошо умела...но кому-то захотелось "чтоб как ввенде, но шва6о...то ись даром, as in free beer".


> пЫсЫ: кому интересно и в курсе - приснопамятный Centrify.

оне ж вроде - банкрот?

Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск Samba 4.19.0"  –1 +/
Сообщение от анон (?), 05-Сен-23, 14:06 
Пока спецы в треде, как лечить зависание пк и проводников при отвале cifs?
Ответить | Правка | Наверх | Cообщить модератору

74. "Выпуск Samba 4.19.0"  +/
Сообщение от пох. (?), 07-Сен-23, 09:55 
> Пока спецы в треде, как лечить зависание пк и проводников при отвале
> cifs?

ты чего, кнопку reset потерял? Вот та на системнике рядом со светящейся.


Ответить | Правка | Наверх | Cообщить модератору

77. "Выпуск Samba 4.19.0"  +/
Сообщение от анон (?), 08-Сен-23, 15:08 
> ты чего, кнопку reset потерял? Вот та на системнике рядом со светящейся.

Это не unix way


Ответить | Правка | Наверх | Cообщить модератору

78. Скрыто модератором  +/
Сообщение от Аноним (-), 09-Сен-23, 02:37 
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

38. "Выпуск Samba 4.19.0"  +3 +/
Сообщение от Аноним (38), 05-Сен-23, 14:58 
Новость переведена плохо, видимо, человеком, который не знает зачем всё это нужно. Это "зайчатки" поддержки kerberos compound authentication.

In particular Samba will issue Active Directory "Claims" in the PAC,
for member servers that support these, and honour in-directory
configuration for Authentication Policies and Authentication Silos.

The primary limitation is that while Samba can read and write claims
in the directory, and populate the PAC, Samba does not yet use them
for access control decisions.

В частности, Samba будет добавлять утверждения Active Directory (Claims) внутрь PAC (Privilege Account Certificate) для доменных серверов, которые это поддерживают и будет учитывать конфигурацию каталога для политик аутентификации и контейнеров политик (Authentication Policies and Authentication Silos).

Основное ограничение в том, что Samba может читать и записывать утверждения каталога и передавать их в PAC, но не способна принимать решения по авторизации относительно утверждений.

Пояснения:
PAC - это расширенный подписанный блок данных, который прилетает совместо с билетом (ticket) и используется для нужд авторизации (не аутентификации) на целевой сервер.

Современный Kerberos (реализации от 10 лет и моложе) поддерживает аутентификацию и авторизацию на основе утверждений (Claims-based identity). Если описывать в двух словах, то приложение может аутентифицировать и авторизовывать относительно дополнительных полей карточки каталога не синхронизируя каталог на себя. Вот у вас есть приложение у него есть своё понимание пользователя, например в БД, и тех столбцов, которые выступают в качестве полей-атрибутов. Есть 2 способа как интегрировать такое приложение со службой каталогов:
1) Интеграция здорового человека
- Создать учетную запись в каталоге и назначить ей SPN, разрешив ограниченное делегирование пользователей на сервисе приложения, чтобы радостно слать Kerberos-запросы на KDC и обрабатывать предъявленные билеты.

- Построить внутри приложения только те структуры данных (каталоги или таблицы БД), которые специфичны для приложения, а пользователей отдать в каталог, возможно расширив его схему, если полей каталога не хватает

- Получать значения атрибутов из каталога (PAC) совместно с билетом Kerberos, чтобы на этапе аутентификации получать значения атрибутов для дальнейшего использования внутри приложения. Если роли авторизации динамичны и ими управляет приложение, то тогда эти значения атрибутов из PAC можно использовать для нужд авторизации в том числе

- Если роли авторизации внутри приложения предопределены, то нужно создать объекты контейнеры (группы, сайты и прочее) на стороне каталога и произвести взаимно-однозначное соответствие. Зачастую получается так, что даже для динамически меняющихся приложений администратор приложения создаёт новую роль в приложении и привязывает её к контейнеру в каталоге

2) Интеграция курильщика
- Заводится пользовательская учётная запись в каталоге с огромными привилегиями
- Приложение не использует Kerberos, аутентифицируя своим способом ("на основе форм"), производя олицетворение (impersonation). Приложение приняло строки форм и пошло выписывать билеты на KDC от лица другого пользователя
- Повышенные привилегии нужны на чтение, а иногда и запись, почти на весь каталог, потому что приложение будет фильтравать LDAP и выкачивать к себе в базу интересующие атрибуты и объекты по расписанию.
- Такое приложение способно вынести роли авторизации на каталог, но оно будет ходить и каждый раз проверять само относительно каталога или кэша каталога в базе

Исторически поставщиком утверждений всегда был протокол SAML, он же реализует политики авторизации, он же их вменяет (вместо Kerberos Ticket у вас SAML Assertion). Каталог при этом может быть полностью интегрирован с политиками авторизации так, что Kerberos KDC отдаёт свои билеты во внутреннюю сеть, а SAML в веб-приложения при этом построены SAML PEP и SAML PDC полностью интегрированные с контнейнерами политик внутри службы каталогов.
Начиная с версии леса Windows Server 2012 Active Directory активно просовывает атрибуты в PAP и посылает вместе с билетами. Если раньше у вас Kerberos поддерживал только те данные, которые прислал KDC, то в свежих версиях можно просунуть еще и дополнительные атрибуты. Это значит, что вам не надо городить инфраструктуру SAML для формирования инфраструктуры в парадигме "политика безопасности, как бизнес-процесс", если там типовое получение и проверка атрибутов из каталога. Теперь у вас есть еще и Kerberos, который вам всё и так пришлёт. Это не только упрощает жизнь на крупных развертываниях, но еще и позволяет реализовать концепцию BYOD (bring your own device).

Все эти атрибуты в PAP чаще всего нужны как раз для BYOD и авторизации устройств и их местоположения. Например, корпоративный портал показывает только все функции и поля если вы зашли с корпоративного доменного компьютера, но даёт ограниченный функционал, если вы зашли со своего личного компьютера из дома или с офисного ноутбука. Или, например, портал показывает разные вещи на главной странице в зависимости от того из какого офиса вы вошли в систему. Пользователь при этом один и тот же.

Главное, что протокол SMB3 всё это умеет и может давать доступ к каталогу с учетом этих атрибутов, потому что ACL на фаловом сервере проверяет атрибуты из PAP.
Теперь к вопросу про то что наконец-то начала делать Samba. Она научилась с этим немножечко работать как DC, но как файловый сервер она этим пользоваться пока не способна.

Вообще для поддержки современных версий AD требуется еще и тонна объектов для BYOD по регистрации устройств, которые можно сделать доверенными, если есть действительный клиентский сертификат в хранилище на устройстве,.. но у меня есть сомнения, что Samba покусится на эти службы Active Directory, потому что это уже кусок Federation Services.

Если вы думаете, что всё это как-то шибко сложно и не нужно никому, то ни фига. Это просто в Linux с этим исторически всё плохо. Вообще, от современных разработчиков требуется поддержка протоколов децентрализированной аутентификации и авторзации не только для корпоративных функций, но также и для облачных сервисов. Облачно-ориентированные протоколы вроде OpenID Connect и OAuth2 требуют от разработчика того же самого: написать приложение с расчетом на то, что аутентификацию и, возможно, авторизацию держит сторонняя служба, а приложения получает подписанные сертификатами объекты от клиентского устройства пользователя, внутри которых находятся утверждения. Ну то есть claims-based приложение. В этом случае вместо билетов с PAP у вас JSON Web Token (JWT). Кстати, OAuth2 это отдельный фреиворк по авторизации, он всё что я описывал выше по связке Kerberos и SAML в разрезе авторизации он не умеет и не должен, он облачный, а не корпоративный. Он не умеет вменять политики авторизации для приложений и не формирует из приложений домены, но может быть интегрирован на бекенде с каталогами и базами для реализации схожих задач. Можно завести свои scope и просовывать туда утверждения из другого каталога или базы, где они радостно вычисляются на основании рядом стоящей корпоративной архитектуры. При желании можно использовать один и тот же каталог, просто расширив схему. Ну вот так вот оно и сделано в Active Directory для BYOD в версии схемы 2012R2+. Эта схема даёт стоковую интеграцию с устверждениями в OAuth2, даёт возможность регистрировать устройство как доверенное. Даёт возможность приложениям решить, что разрешено на таких доверенных, но удаленных устройствах.

P.S. Пока писал всё это аж ностальгия пробрала, будто очутился опять 2014-ом году. Ох уж эта реализация новинок десятилетней давности,.. но лучше поздно, чем никогда.

Ответить | Правка | Наверх | Cообщить модератору

59. "Выпуск Samba 4.19.0"  +/
Сообщение от Аноньимъ (ok), 06-Сен-23, 07:28 
Как там ядерный самбо поживает?
Ответить | Правка | Наверх | Cообщить модератору

72. "Выпуск Samba 4.19.0"  +/
Сообщение от _ (??), 07-Сен-23, 03:54 
А такой разве есть? Или ты ничтоже сумляще так ведёрный cifs окрестил?
Ответить | Правка | Наверх | Cообщить модератору

76. "Выпуск Samba 4.19.0"  +/
Сообщение от Аноним (32), 07-Сен-23, 13:47 
ksmbd
Ответить | Правка | Наверх | Cообщить модератору

75. "Выпуск Samba 4.19.0"  +/
Сообщение от пох. (?), 07-Сен-23, 09:56 
> Как там ядерный самбо поживает?

плохо - разработчик еще от пятничной порки за exfat не отлежался. Как спина и ж0па зарастут - выпорют еще и за cocaмбу, что плохо веслал и галера вообще не едет.

Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру