The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

21.09.2017 23:31  Выпуск Samba 4.7.0

После шести месяцев разработки опубликован релиз Samba 4.7.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).

Ключевые изменения в Samba 4.7:

  • Стабилизированы средства для создания контроллеров домена, работающих в режиме только для чтения (RODC, Read-Only Domain Controller). Ранее поддержка RODC находилась в категории экспериментальных возможностей. В Samba 4.7.0 проведена работа по устранению критических ошибок и проблем с совместимостью, что позволило перевести режим в разряд рекомендованных к использованию;
  • После четырёх лет разработки в Samba реализована поддержка компиляции и запуска Active Directory с MIT Kerberos (вместо Heimdal Kerberos). Использование MIT Kerberos активируется опцией "--with-system-mitkrb5" в скрипте configure и требует наличия как минимум MIT Kerberos версии 1.15.1 и установки пакеов krb5-devel и krb5-server. По сравнению со сборкой с Heimdal пока отсутствует поддержка PKINIT, S4U2SELF/S4U2PROXY и RODC;
  • Добавлены средства для аудита механизмов аутентификации и авторизации, позволяющие сохранять в логе детальную информацию о входах пользователей, включая IP-адрес клиента, имя пользователя, тип операции и сопутствующие параметры. Для записи данных аудита в лог введены два новых класса отладочной информации: "auth_audit" и "auth_json_audit" для обычных текстовых логов и записей в формате JSON;
  • LDAP-сервер для контроллера домена Active Directory переведён на многопроцессную модель работы и теперь может одновременно запускать несколько процессов-обработчиков;
  • Внесены изменения в поведение утилиты 'smbclient': Прекращён вывод баннера 'Domain=[...] OS=[Windows 6.1] Server=[...]' при соединении с первым сервером. Максимальная версия протокола по умолчанию повышена до "SMB3_11", что позволяет использовать 'smbclient' с серверами без поддержки SMB1, но по умолчанию не задействует unix-расширения SMB1. Добавлена новая команда 'deltree' для рекурсивного удаления дерева каталогов;
  • Обеспечено применение полной блокировки всей БД LDB на чтение для обеспечения согласованности данных при выполнении операций поиска в LDAP и репликации (в прошлых выпуска применялась блокировка на уровне записей, что могло приводить к состоянию гонки при переименовании или удалении и сбоям при репликации и поиске);
  • Изменён диапазон сетевых портов, используемых в сервисах RPC. Вместо портов "1024-1300" теперь применяются порты "49152-65535" по аналогии с Windows Server 2008 и более новыми выпусками. Для изменения диапазона портов можно использовать опцию "rpc server dynamic port range";
  • Добавлена возможность хэширования паролей при помощи алгоритмов SHA-256 и SHA-512 вместо применения обратимого шифрования в атрибуте supplementalCredentials. Для генерации хэшей реализована опция 'password hash userPassword schemes', а также добавлены средства для извлечения хэшей в утилиту 'samba-tool';
  • При выполнении команды подсоединения к контроллеру домена ("samba-tool domain join") через RPC обеспечено создание записей A и GUID в DNS, а также динамической генерации элемента mname в записи SOA;
  • Существенно увеличена производительность поиска в Active Directory и репликации информации о членах группы. Ускорение обеспечено за счёт сохранения в БД отсортированных атрибутов, привязанных к членам группы, на разбор которых раньше тратилось много ресурсов CPU. В итоге, операции поиска существующих членов группы теперь выполняются в два раза быстрее, чем в прошлых выпусках Samba. Также увеличена производительность поиска непроиндексированных данных в LDAP и разбор списков управления доступом;
  • При генерации самоподписанных сертификатов для LDAPS теперь применяется алгоритм SHA256 вместо SHA1;
  • Представлена порция улучшений в компоненте CTDB, отвечающем за работу кластерных конфигураций, в том числе добавлен новый тип БД "replicated", реализована переменная конфигурации CTDB_NFS_CHECKS_DIR и запрещено использование разных версий CTDB в кластере;
  • При сборке на системах x86_64 реализована поддержка процессорных инструкций AES для ускорения шифрования и создания цифровых подписей в SMB3. Для включения следует использовать сборочную опцию "--accel-aes=intelaesni";
  • По умолчанию активирован параметр конфигурации "strict sync", обеспечивающий безопасный способ сброса буферов на диск при выполнении запросов на синхронизацию незаписанных данных в smbd;
  • Опция 'ntlm auth' переименована в 'ntlmv2-only' и расширена поддержкой режимов 'mschapv2-and-ntlmv2-only' (разрешает MSCHAPv2, но запрещает NTLMv1) и 'disabled' (запрещает аутентификацию NTLM и смену пароля).


  1. Главная ссылка к новости (https://lists.samba.org/archiv...)
  2. OpenNews: Выпуск Samba 4.6.0
  3. OpenNews: Релиз Samba 4.5.0
  4. OpenNews: Раскрыты детали уязвимости Badlock в Samba
  5. OpenNews: Релиз Samba 4.4.0 с поддержкой многоканального SMB3
  6. OpenNews: Релиз Samba 4.3.0 с поддержкой SMB-расширений, появившихся в Windows 10
Лицензия: CC-BY
Тип: Программы
Ключевые слова: samba
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 00:42, 22/09/2017 [ответить] [смотреть все]
  • –4 +/
    лучше бы домашнюю группу реализовали.
     
     
  • 2.3, Аноним, 02:21, 22/09/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +41 +/
    ^
    ловите норкомана
     
  • 2.56, Led, 23:19, 22/09/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +4 +/
    Тебе не о домашней, а продлённой группе думать нужно И там же домашку и делать ... весь текст скрыт [показать] [показать ветку]
     
  • 1.2, foi, 02:19, 22/09/2017 [ответить] [смотреть все]  
  • +/
    Я надеюсь, что теперь работа с smb шарами по протоколу выше 1 не будет вызывать спорадическую i/o error
     
     
  • 2.25, evkogan, 08:17, 22/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Она и так уже не вызывает, по крайней мере в качестве клиента Пользуйте ядро по... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, Онаним, 02:23, 22/09/2017 [ответить] [смотреть все]  
  • +/
    Кто знает, подскажите: а есть ли вообще какие-нибудь внятные альтернативы Active Directory? Скажем если в сети все или почти все компы на Linux - поднимать виндосервер или его самба-имитацию кажется извратом, но как ещё можно реализовать централизованную базу пользователей и ресурсов?
     
     
  • 2.6, LDAP, 02:29, 22/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    LDAP?
     
     
  • 3.37, пох, 12:57, 22/09/2017 [^] [ответить] [смотреть все]  
  • +/
    kerberos - иначе какая ж она централизованная И получаем тот же AD, только ... весь текст скрыт [показать]
     
  • 3.69, Аноним, 17:49, 23/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Это не продукт, а технология Чел хотел готовый бесплатный продукт где не надо... весь текст скрыт [показать]
     
  • 2.11, weter, 04:40, 22/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Никак Если все компы - линукс, то вам пора читать про FreeIPA А вот если почти... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, Alex_Gluck, 06:06, 22/09/2017 [^] [ответить] [смотреть все]  
  • +/
    А можно пруф где говорится что винду в домен теперь нельзя ввести?
     
  • 3.19, Anonimous, 06:39, 22/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Логичнее сервис под винду написать
     
  • 3.20, Anonimous, 06:41, 22/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    >Разработчик Red Hat
    >Написана на Python, JavaScript[1]

    Ужас

     
  • 3.31, Аноним, 10:49, 22/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    https ru wikipedia org wiki FreeIPA говорит прямо противоположное FreeIPA нац... весь текст скрыт [показать]
     
     
  • 4.35, Sabakwaka, 11:50, 22/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    FreeIPA поддерживает винду ЧЕРЕЗ САМБУ!
     
     
  • 5.70, Аноним, 17:51, 23/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Точно через самбу Не через АД Поддерживает то оно на бумаге или парой кликов д... весь текст скрыт [показать]
     
  • 2.21, Аноним, 06:55, 22/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    У нас в сети были и Windows и Linux Все было завязано реализовано на OpenLDAP ... весь текст скрыт [показать] [показать ветку]
     
  • 2.22, Anonimous, 06:59, 22/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –4 +/
    А зачем? АД выполняет свою работу вполне хорошо
     
     
  • 3.74, пох, 18:57, 24/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    > А зачем?

    это сладкое слово "халява"...

     
  • 2.66, Andrey Mitrofanov, 12:00, 23/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    I В качестве альтернативы контроллера домена Active Directory сервер предостав... весь текст скрыт [показать] [показать ветку]
     
  • 2.68, Аноним, 17:48, 23/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    freeIPA
    Линуксы АД и не поддерживают. Лишь притворяются через костыли.
     
  • 2.75, Аноним, 00:59, 25/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    NIS (YP) + NFS. С кучей граблей, зато нативно. Работает только на *nix.
     
     
  • 3.77, _, 17:02, 25/09/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Дети Не слушаейте старого извращенца NFS нынешние одмины не осиливают, но есл... весь текст скрыт [показать]
     
     
  • 4.78, Аноним, 21:59, 26/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Вы мне льстите. :D

    > КРС

    Крупного рогатого скота? Это с какой стати?

     
  • 1.5, mumu, 02:26, 22/09/2017 [ответить] [смотреть все]  
  • +/
    Для тех кому лень читать простыню:
    Долгожданная поддержка RODC + багфиксы.
     
     
  • 2.33, _KUL, 11:05, 22/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Самый мёд ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.52, mumu, 22:56, 22/09/2017 [^] [ответить] [смотреть все]  
  • +/
    А поддержка dns там как реализована Он должен стоять на машине с самбой А если... весь текст скрыт [показать]
     
  • 2.38, ананим.orig, 13:17, 22/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    вот это важнее что означает, что в шапке, центоси и тд дистрах поддержка в кач... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.44, DmA, 20:40, 22/09/2017 [^] [ответить] [смотреть все]  
  • +/
    оно и так было,требовалось только удалять перед установкой kerberos-mit
     
  • 1.7, qsdg, 03:41, 22/09/2017 [ответить] [смотреть все]  
  • –3 +/
    Слушайте, как выпилить эту самбу из Linux Mint Мне никогда в жизни не нужно был... весь текст скрыт [показать]
     
     
  • 2.8, руслан, 03:52, 22/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Закрой файрволлом.
     
     
  • 3.10, Онаним, 04:35, 22/09/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Выглядит примерно как резиновые штаны в качестве средства от поноса, честно гово... весь текст скрыт [показать]
     
     
  • 4.12, Онаним, 04:41, 22/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Только не в Альте, а в Минте, пардон, оговорился "по Фрэйду" :-]
     
  • 4.14, iPony, 05:39, 22/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Им уже прям на лопате готовый systemd дали для этого. А всё мало...

     
  • 4.18, Аноним, 06:28, 22/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    а чем systemctl disable service не подходит PS find -name samba 124 ... весь текст скрыт [показать]
     
  • 4.34, Sabakwaka, 11:35, 22/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Avahi то чем мешает??

     
     
  • 5.36, пох, 12:53, 22/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    минимум дважды его ломали В корпоративных и нормально настроенных домашних сетя... весь текст скрыт [показать]
     
     
  • 6.40, Аноним, 17:38, 22/09/2017 [^] [ответить] [смотреть все]  
  • +/
    mdns из коробки мегаудобен, не знаю чего все агрятсЯ на это Понятно, что если... весь текст скрыт [показать]
     
     
  • 7.47, пох, 22:07, 22/09/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    у меня дома - инфраструктура, настроенная админом С изолированными сегментами д... весь текст скрыт [показать]
     
  • 4.71, Аноним, 17:56, 23/09/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    gt оверквотинг удален Терпи Это ж открытая система где все можно изменить ... весь текст скрыт [показать]
     
  • 2.9, leap42, 03:56, 22/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    man iptables
     
  • 2.13, iPony, 05:36, 22/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Не уверен про подделку под названием Минт Но вообще, она должна быть по дефолту... весь текст скрыт [показать] [показать ветку]
     
  • 2.16, Аноним, 06:00, 22/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    apt purge samba сделать религия не позволяет Или systemctl stop smbd service ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.23, Аноним, 07:17, 22/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Я точно в linux mint не знаю, но если гвоздями не прибили читай прямой линк на ... весь текст скрыт [показать]
     
  • 2.27, пох, 09:05, 22/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –5 +/
    лучше бы ты учился ui завязан на клиентские библиотеки которые из-за depende... весь текст скрыт [показать] [показать ветку]
     
  • 2.30, Аноним, 10:03, 22/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    sudo apt purge s mb и или использовать нормальный дистрибутив ... весь текст скрыт [показать] [показать ветку]
     
  • 2.32, Аноним, 10:53, 22/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Ответ капитанский, очевидно удалить её из списка автозапускаемых сервисов ... весь текст скрыт [показать] [показать ветку]
     
  • 1.15, iCat, 05:50, 22/09/2017 [ответить] [смотреть все]  
  • +/
    Хорошо, что проект развивается.
    Кто-нибудь может поделиться опытом экспоуатации Samba в качестве сервера AD?
     
     
  • 2.24, Andrew, 08:01, 22/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    В продакшене начиная с версии 4 0alpha18 Сеть небольшая, около 100 рабочих стан... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.26, iCat, 08:28, 22/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Чем управляешь Политики, юзеры, logon-скрипты и т д ... весь текст скрыт [показать]
     
  • 2.28, kadafy, 09:42, 22/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В продуктиве с версии 4. Работает как часики. 200 машин.
     
  • 2.29, Aleks, 09:46, 22/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Мы тоже на CentOS используем samba в качестве AD PDC и BDC Ставится из исходни... весь текст скрыт [показать] [показать ветку]
     
  • 2.39, SysA, 16:48, 22/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Если используешь только базовые функции - то проблем нет, все как бы работает Н... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.41, ананим.orig, 18:33, 22/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    2008г2 вообще-то Да-да Без 2016 ну никуда же Что за жизнь без 2016 то И как ... весь текст скрыт [показать]
     
     
  • 4.43, пох, 19:34, 22/09/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    наоборот, вполне понятно как жили - 2010й год 2008R2 , сервера подключаются гиг... весь текст скрыт [показать]
     
     
  • 5.46, ананим.orig, 21:54, 22/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Что и требовалось доказать, сэнкс Зыж А к примеру поверх ceph смогёшь вперед за... весь текст скрыт [показать]
     
     
  • 6.48, пох, 22:24, 22/09/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    ну и ты предлагаешь сеть строить на файловых, почтовых, коммуникационных, менедж... весь текст скрыт [показать]
     
     
  • 7.50, ананим.orig, 22:48, 22/09/2017 [^] [ответить] [смотреть все]  
  • +/
    не распарсил но если что, то сабж вполне себе сегодняшний и нафига ему лицензи... весь текст скрыт [показать]
     
     
  • 8.54, пох, 23:04, 22/09/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    ты спрашивал - зачем именно 2016 - тебе объяснили, зачем А вот совместимость ... весь текст скрыт [показать]
     
     
  • 9.57, ананим.orig, 23:21, 22/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    для лицензий достойный ответ или я что важное пропустил куда не плюнь, одни г... весь текст скрыт [показать]
     
     
  • 10.64, пох, 09:27, 23/09/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    то есть ни слова не понял Ну в общем я не удивлен, уровень знаний типичного люб... весь текст скрыт [показать]
     
     
  • 11.67, ананим.orig, 12:05, 23/09/2017 [^] [ответить] [смотреть все]  
  • +/
    вот и переход на личночти не удивлен что ещё ждать для потребителя стеклянных ... весь текст скрыт [показать]
     
  • 5.63, ., 00:57, 23/09/2017 [^] [ответить] [смотреть все]  
  • +/
    пох - ты о чём ... весь текст скрыт [показать]
     
     
  • 6.65, пох, 09:36, 23/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    вроде они кастрированную версию сервера по оемским каналам раздавали почти беспл... весь текст скрыт [показать]
     
  • 5.72, Аноним, 18:05, 23/09/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    ШТА Бесплатная серверная винда Откуда ты это взял ... весь текст скрыт [показать]
     
     
  • 6.73, пох, 12:37, 24/09/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    один дилер хепе на ушко нашептал, что это у них был такой ответ UCS C-series ... весь текст скрыт [показать]
     
  • 4.53, ананим.orig, 23:03, 22/09/2017 [^] [ответить] [смотреть все]  
  • +/
    ззыж кому надо 8212 https wiki samba org index php AD_Schema_Version_Suppor... весь текст скрыт [показать]
     
     
  • 5.55, пох, 23:07, 22/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    как ты понимаешь, 2012r2 вполне может работать DC в общем лесу с 2016 - не смо... весь текст скрыт [показать]
     
     
  • 6.58, ананим.orig, 23:27, 22/09/2017 [^] [ответить] [смотреть все]  
  • +/
    верно. но кто говорит, что самба должна в вантуз втыкаться, а не наоборот?
     
     
  • 7.60, пох, 23:39, 22/09/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    здравый смысл А, впрочем, о чем я, это ж опеннет нет, ты правда рискнешь вот... весь текст скрыт [показать]
     
  • 2.42, Алексей, 18:37, 22/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    сервер на freebsd 11.1-RELEASE-p1 samba4 больше 100 windows машин и около 10 unix.
     
  • 2.45, Вася, 21:25, 22/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    ~120 виндовых машин. Контроллер на Debian 8.9 и интегрированная в AD файлопомойка отдельным инстансом.
    Пришлось немного попотеть с DDNS через dhcpd в процессе настройки, а так все норм. Админю через RSAT.
    Единственный нюанс - я не завидую тем виндовым эникеям которые будут это админить после меня. Хотя я думаю что смигрировать на виндовый контроллер будет не сложно если что. Правда там тоже свой бубен нужен ввиде поэтапной миграции начиная с 2008r2.
     
     
  • 3.49, виндовый эникей, 22:34, 22/09/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    > Единственный нюанс - я не завидую тем виндовым эникеям которые будут это
    > админить после меня. Хотя я думаю что смигрировать на виндовый контроллер

    да ладно, чего там сложного- снесем все нахрен, и настроим заново.
    Все равно у тебя там ни scсm, ни scm/sct, ни еще чего осмысленного, одни немудрящие права на файлопомойке. А пароли юзерам и так  полезно иногда менять - особенно после увольнения очередного куль-админа.

    > будет не сложно если что. Правда там тоже свой бубен нужен
    > ввиде поэтапной миграции начиная с 2008r2.

    да мы хлам как-то не коллекционируем.

     
     
  • 4.76, dima, 12:25, 25/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Зачем sccm? Если есть ClusterSSH.
     
     
  • 5.80, пох, 23:06, 26/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    > Зачем sccm? Если есть ClusterSSH.

    для управления первой парой сотен виндовых машин он тебе очень пригодится, ага.

     
  • 1.81, iga, 03:51, 20/10/2017 [ответить] [смотреть все]  
  • +/
    Всем привет! Может кто знает, когда в портах FreeBSD эта замечательная samba появится?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor