The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

09.08.2011 17:10  Релиз Samba 3.6.0

Увидел свет первый стабильный релиз новой ветки Samba 3.6, в которой доведена до готовности к промышленному внедрению поддержка протокола SMB2, используемого в Windows Vista и Windows 7, добавлен новый модуль для анализа трафика, изменены некоторые влияющие на безопасность настройки по умолчанию и существенно переработана поддержка печати.

Кроме того, продолжается работа по обеспечению плавного слияния кодовых баз веток Samba 3 (winbindd и код файлового сервера) и Samba 4 (контроллер домена). В будущем планируется выпустить единый многофункциональный продукт Samba 4, который будет поддерживать бесшовную миграцию с Samba 3 и сможет выступать в роли файлового сервера, сервера печати, сервера идентификации (winbind) и совместимого с Active Directory контроллера домена.

Ключевые изменения, представленные в Samba 3.6.0:

  • Поддержка SMB2 признана полностью функциональной. Через SMB2 могут работать все возможности Samba, за одним исключением - не поддерживается изменение квот при помощи утилит управления квотами Windows. Поддержка SMB2 не включена по умолчанию. Для активации SMB2 в секции "[global]" файла smb.conf необходимо указать "max protocol = SMB2". По умолчанию работа через SMB2 будет включена после окончательного подтверждения стабильности реализации SMB2 в результате оценки работы реальных систем, перешедших на новый протокол в Samba;
  • Добавлен новый анализатор трафика SMB Traffic Analyzer (SMBTA), поддерживающий вторую версию протокола VFS-модулей, в которой реализовано шифрование, передача нескольких аргументов и упрощенный для разбора формат. Для управления SMBTA используется утилита smbta-util. SMBTA позволяет осуществить мониторинг и сбор статистики о потоках данных пользователей, работе Samba-сервисов или целых доменов. В отличие от сетевых анализаторов, SMBTA не перехватывает трафик, а получает информацию через VFS-интерфейс (Virtual File System) Samba, являясь полностью прозрачным для пользователей и не влияя на эффективность пересылки;
  • Полностью переписан и подвергнут рефакторингу код обработки очередей печати (Spoolss) и реализации RAP-команд управления печатью (Remote Administration Protocol). Все связанные с печатью операции теперь выполняются через RPC-интерфейс Spoolss, что позволило в одном месте сконцентрировать код всех связанных с подсистемой печати проверок, убрав все обработчики особых ситуаций из основного кода печати.

    Для хранения любых данных в Spoolss и других компонентах системы печати задействованы RPC-интерфейсы winreg. Т.е. вместо TDB-файлов использован интерфейс Registry, что позволит обращаться к данным принтера и Windows-клиентам, используя стандартный для них и на 100% совместимый RPC-интерфейс winreg. Процесс миграции с TDB-файлов максимально автоматизирован и будет автоматически вызван при первом запуске (также можно провести миграцию вручную, используя команду "net printer migrate"). В будущем планируется вынос реализации спула печати в отдельный фоновый процесс, что позволит увеличить модульность системы и даст возможность не использовать лишний код, в ситуации кода поддержка печати не требуется;

  • Продолжена работа по внутренней реструктуризации, нацеленная на увеличение разделения внутренних подсистем, что в конечном итоге должно привести к ускорению сборки, сокращению размера исполняемых файлов и оптимизации зависимостей;
  • Добавлен бэкенд для работы с квотами на NFS-разделах в Linux. Разработка базируется на ранее созданной реализации для платформ Solaris и FreeBSD. Бэкенд позволяет samba передавать корректную информацию о наличии свободного места на импортируемых NFS-разделах, используемых для размещения samba-разделов;
  • Внутренние изменения метода работы с локальной базой пользователей в Winbind. Вместо вызова функций passdb для получения информации о локальных пользователях и группах используются обращение через внутренние неименованные каналы (samr и lsa rpc pipe). Причина изменения связана с желанием использование единого подхода во всех компонентах инфраструктуры, что позволяет вынести больше кода Winbind в совместно используемые библиотеки;
  • Изменение настроек по умолчанию, связанных с безопасностью:
    
    
       client ntlmv2 auth = yes
       client use spnego principal = no
       send spnego principal = no
    
    

    Опция 'client ntlmv2 auth = yes' запрещает использовать NTLM-аутентикацию при работе в режиме клиента (вместо устаревшего протокола NTLMv1 используется более криптостойкий протокол NTLMv2, базирующийся на хэшах HMAC-MD5). Изменение затрагивает только входящие в состав Samba утилиты, такие как smbclient и winbind, но не влияет на работу CIFS-клиента, встроенного в Linux-ядро.

    Опция 'client use spnego principal = no' указывает на то, что для запроса билета в Kerberos клиентский софт samba (smbclient, winbind) будет использовать "CIFS/имя хоста", что близко к поведению Windows при работе с Kerberos, вместо ранее практикуемого полного доверия к предоставляемым сервером хинтам, поддержка которых была прекращена начиная с Windows 2008. Для налаживания работы со всеми клиентами, все псевдонимы (alias) сервера должны быть записаны как servicePrincipalName в Active Directory. Опция 'send spnego principal = no' введена для отражения изменений в Windows 2008, больше не отправляющем principal-хинты;

  • Переработан способ маппинга пользовательских идентификаторов c целью увеличения гибкости определения правил и обеспечения более простого и понятного процесса конфигурирования. Основные изменения связаны с выносом кода, ответственного за сопоставление с unix-идентификаторами, в отдельные idmap-бэкенды tdb, tdb2 и ldap. Код выделения unix id теперь привязан к правилам сопоставления (sids_to_unixids). В каждом idmap-бэкенде используется свой механизм создания idmap unixid. Из winbindd API удалены методы, связанные с сохранением и удалением сопоставлений идентификаторов. Команда "net idmap dump/restore" теперь вместо работы с winbindd напрямую обращается к базам данных. В настоящий момент обеспечена поддержка бэкендов tdb и tdb2, пока отсутствует поддержка ldap. Признаны устаревшими параметры конфигурации "idmap uid", "idmap gid" и "idmap range", вместо них следует использовать "idmap config * : range" и "idmap config * : backend";
  • Начальная реализация Endpoint Mapper для Samba, работающего как DNS-сервер, но для портов. Т.е. при необходимости подсоединения к определенному RPC-сервису через TCP/IP запрос к Endpoint Mapper позволяет узнать номер порта для соединения по имени сервиса. В настоящий момент код еще не до конца протестирован и не активирован по умолчанию. Для включения необходимо использовать настройку "rpc_server:epmapper = daemon" в smb.conf.
  • Добавлены новые директивы конфигурации smb.conf (в скобках значение по умолчанию):
    • "async smb echo handler" (No)
    • "client use spnego principal" (No)
    • "ctdb locktime warn threshold" (0)
    • "log writeable files on exit" (No)
    • "multicast dns register" (Yes)
    • "ncalrpc dir"
    • "send spnego principal" (No)
    • "smb2 max credits" (128)
    • "smb2 max read" (1048576)
    • "smb2 max trans" (1048576)
    • "smb2 max write" (1048576)
    • "username map cache time" (0)
    • "winbind max clients" (200)
  • Прекращена поддержка директивы "idmap alloc backend".


  1. Главная ссылка к новости (http://lists.samba.org/archive...)
  2. OpenNews: Вышла тринадцатая альфа версия Samba 4.0.0
  3. OpenNews: Релиз Samba 3.5.0
  4. OpenNews: Samba 3.4.0 доступна для загрузки
  5. OpenNews: Последние тенденции в развитии проекта Samba
  6. OpenNews: Статус развития проекта Samba: ветки Samba 3 и Samba 4 будут объединены
Лицензия: CC-BY
Тип: Программы
Ключевые слова: samba
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.4, Funt (?), 20:54, 09/08/2011 [ответить] [показать ветку] [···]    [к модератору]
  • –2 +/
    что ж совсем неплохо ждем 4-ку, тогда win2k3-8 можно будет выкидывать
     
     
  • 2.5, metallic (ok), 20:57, 09/08/2011 [^] [ответить]    [к модератору]
  • +2 +/
    Не надо их никуда выкидывать, когда самба 4 выйдет - вин2к8 уже поддерживаться не будет производителем, т.е. сама выкенится
     
     
  • 3.24, emfs (ok), 19:15, 20/08/2011 [^] [ответить]    [к модератору]
  • +/
    А когда планируют зарелизить 4 версию?
     
     
  • 4.25, Andrey Mitrofanov (?), 13:45, 21/08/2011 [^] [ответить]    [к модератору]
  • +/
    Тьма! http://wiki.samba.org/index.php/Samba4/FAQ#When_will_Samba_4.0.0_be_released.
     
  • 1.6, Аноним (6), 21:41, 09/08/2011 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    > пока отсутствует поддержка ldap

    это в смысле теперь контроллер домена NT4-style не сможет в LDAP пользователей хранить? или это о чем-то другом речь?

     
     
  • 2.10, ptr (??), 09:49, 10/08/2011 [^] [ответить]    [к модератору]  
  • +/
    Получается так :( По крайней мере сейчас соответствие между SID UnixID хранится непосредственно в записи пользователя. По крайней мере классы inetOrgPerson, posixAccount,
    shadowAccount и sambaSamAccount привязаны к этой одной записи.
    В таком раскладе, лично мне такая Samba абсолютно не интересна.
     
  • 1.8, Аноним (-), 02:16, 10/08/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Если вкратце: SMB2 до конца не допилили, idmap сломали. Не самый удачный релиз.
    Надеюсь, дальше будет лучше.
     
  • 1.9, stalker37 (?), 09:47, 10/08/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Эм... самба теперь совсем не дружит с  LDAP?
     
  • 1.11, metallic (ok), 10:18, 10/08/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    А на практике этот самый SMB2 что даст? Это как-то на производительности скажется или что? Проще говоря зачем оно мне?
     
     
  • 2.12, ptr (??), 10:34, 10/08/2011 [^] [ответить]    [к модератору]  
  • +1 +/
    > А на практике этот самый SMB2 что даст? Это как-то на производительности
    > скажется или что? Проще говоря зачем оно мне?

    На производительности скажется положительно. Особенно на высокоскоростных линках с большой задержкой. Так как SMB1 не позволял послать новую команду, пока не получен ответ на предыдущую, а SMB2 позволяет.
    Так же существенно выростет скорость на высокоскоростных линках (гигабит и выше), за счет снятия ограничения на размер блока в 64К. Теперь допустимы блоки до 4 гигабайт. То есть, большие файлы копироваться будут заметно быстрее.
    Ну для меня еще интересна поддержка symbolic links.

     
     
  • 3.13, metallic (ok), 10:36, 10/08/2011 [^] [ответить]    [к модератору]  
  • +/
    > Так же существенно выростет скорость на высокоскоростных линках (гигабит и выше), за
    > счет снятия ограничения на размер блока в 64К. Теперь допустимы блоки
    > до 4 гигабайт. То есть, большие файлы копироваться будут заметно быстрее.

    Вот это интересно, у меня как раз гигабитная сетка и высокая нагрузка на самбу. Для увеличения размера блока надо самому указывать какой-то параметр в конфиге или оно по умолчанию включено?

     
     
  • 4.14, ptr (??), 10:55, 10/08/2011 [^] [ответить]    [к модератору]  
  • +/
    >> Так же существенно выростет скорость на высокоскоростных линках (гигабит и выше), за
    >> счет снятия ограничения на размер блока в 64К. Теперь допустимы блоки
    >> до 4 гигабайт. То есть, большие файлы копироваться будут заметно быстрее.
    > Вот это интересно, у меня как раз гигабитная сетка и высокая нагрузка
    > на самбу. Для увеличения размера блока надо самому указывать какой-то параметр
    > в конфиге или оно по умолчанию включено?

    По идее, клиент с сервером должны сами договариваться о размере блока, если raw read = yes в smb.conf. Точнее, если не стоит raw read = no, так как уже давно оно yes по-умолчанию. Естественно, XP и ниже больше чем на 64К не согласятся. Samba без поддержки SMB2 тоже. А вот есть ли еще какой-то параметр на это влияющий, я не в курсе.

     
     
  • 5.15, metallic (ok), 11:01, 10/08/2011 [^] [ответить]    [к модератору]  
  • +/
    > По идее, клиент с сервером должны сами договариваться о размере блока, если
    > raw read = yes в smb.conf. Точнее, если не стоит raw
    > read = no, так как уже давно оно yes по-умолчанию. Естественно,
    > XP и ниже больше чем на 64К не согласятся. Samba без
    > поддержки SMB2 тоже. А вот есть ли еще какой-то параметр на
    > это влияющий, я не в курсе.

    Понятно, т.е. при "встрече" клиента поддерживающего SMB2 (7, виста) и сервера (samba >3.6), они сами "договорятся" об увеличении блока?

     
     
  • 6.16, ptr (??), 11:44, 10/08/2011 [^] [ответить]    [к модератору]  
  • +/
    > Понятно, т.е. при "встрече" клиента поддерживающего SMB2 (7, виста) и сервера (samba
    > >3.6), они сами "договорятся" об увеличении блока?

    Договорится 2008 сервер с вистой или семеркой. А договорится ли Samba 3.6 вместо 2008-го я не проверял и утверждать не берусь, пока сам не проверю.

     
     
  • 7.17, metallic (ok), 11:45, 10/08/2011 [^] [ответить]    [к модератору]  
  • +/
    А как это проверить можно? Как узнать по какому протоколу обмен идет в данный момент? Снифером заголовки глядеть?
     
     
  • 8.18, ptr (??), 11:54, 10/08/2011 [^] [ответить]    [к модератору]  
  • +/
    > А как это проверить можно? Как узнать по какому протоколу обмен идет
    > в данный момент? Снифером заголовки глядеть?

    А на фига? Я проверять буду просто сравнивая скорость копирования больших файлов в nul с опцией max protocol = SMB2 и без нее.

     
  • 1.19, Аноним (19), 16:57, 10/08/2011 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    In SMB 2 1 this maximum data unit was increased from 64 kilobytes KB to 1 mega... весь текст скрыт [показать]
     
     
  • 2.20, ptr (??), 10:12, 11/08/2011 [^] [ответить]    [к модератору]  
  • +/
    По-моему, мы говорим о разных вещах. На 10 гигабитных сетях и более скоростных MTU можно использовать не 1500, и даже не 9000, а вплоть до мегабайта. И действительно, поддержка MTU более 64К появилась только в SMB 2.1. Если кто пользуется 10 гигабиткой пусть порадуется.

    А вот размер блока, пересылаемого на один запрос клиента раньше был лимитирован 2-х байтным полем длины - 64К. В SMB2 это поле увеличено до 4-х байт. Никаких ограничений на размер запрашиваемого блока в спецификации нет.

     
     
  • 3.21, Аноним (19), 13:00, 11/08/2011 [^] [ответить]    [к модератору]  
  • +/
    Да, все верно.
     
  • 1.22, Денис (??), 10:19, 12/08/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А прозрачного монтирования еще не запилили ? чтобы обходиться без smbnet + fuse
    Вот чтобы тот же самый функционал что и в smbnet тока чтобы в ядре был.
     
     
  • 2.23, Andrey Mitrofanov (?), 11:30, 12/08/2011 [^] [ответить]    [к модератору]  
  • +/
    cifs модуль ядра [linux] не является частью пакета samba.

    Насколько я ничего в этом не понимаю, кто его пилит вообще непонятно, но внимания ему уделяется немного. Новых разработок и фич не видно вовсе. Возможно, я что-то пропустил.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor