После семи лет разработки, за которые было выпущено (http://ftp.samba.org/pub/samba/samba4/) 5 технологических предварительных выпуска и 21 альфа-версия, анонсирован (https://lists.samba.org/archive/samba-announce/2012/000257.html) переход проекта Samba 4 (http://wiki.samba.org/index.php/Samba4) на стадию бета-тестирования. Версия Samba 4.0 предоставляет полноценную реализацию контроллера домена и сервиса Active Directory, совместимых с реализациями в Windows 2000 и более новых версий. Разработчики предупреждают, что несмотря на завершённость стадии наращивая функциональности в проекте еще наблюдаются нерешённые проблемы со стабильностью, которые планируется устранить в процессе бета-тестирования. Поэтому Samba 4 пока не рекомендуется для промышленного внедрения.
Параллельно с Samba 4 развивается ветка Samba 3, нацеленная на обеспечение работы в роли клиента, члена домена, файлового сервера (SMB2), сервиса печати и сервера идентификации (winbind). В последние несколько лет проведена большая работа по выделению кода, общего для Samba 3 и Samba 4, в отдельные библиотеки, которые совместно используются обоими проектами. Samba 4 позиционируется как многофункциональный серверный продукт, в которых входят все последние достижения сообщества разработчиков Samba, в том числе реализация файлового сервера, развиваемая в ветке Samba 3.Ключевые возможности Samba 4.0-beta:
- Поддержка серверного окружения для обеспечения работы службы входа пользователей с использованием Active Directory, совместимого с серверами начиная с Windows 2000 и клиентами XP, Windows7 и Mac OS X. Samba 4 поддерживает полный набор операций для обеспечения входа клиентов в домен и подключения доменов. Поддерживается определение групповых политик (Group Policy);
- Обеспечение работы в роли контроллера домена (DC - Domain Controller), включая встроенные реализации LDAP-сервера и центра распространения ключей Kerberos (KDC - Kerberos Key Distribution Center), а также сервисов входа в стиле Samba3, работающих поверх протокола CIFS. Реализация поддерживает генерацию корректного сертификата Kerberos PAC (Privilege Attribute Certificate) и его включение в выдаваемые билеты Kerberos;
- Samba 4.0 поставляется с двумя отдельными реализациями файловых серверов. В настоящее время для всех операций по работе с файлами по умолчанию задействована реализация 'smbd', идентичная поддерживаемой в Samba 3.x. Для обеспечения работы файлового сервера в чистом виде, в состав входят и другие компоненты Samba 3.x, такие как nmbd, winbindd и smbpasswd. Реализация предоставляет полную поддержку семантики NTFS;
- Дополнительно в поставку входит реализация нового экспериментального файлового сервера 'NTVFS', который развивался в рамках цикла разработки Samba 4.0, и оптимизирован для соответствия требованиям контроллера домена Active Directory. NTVFS не только позиционируется для установки при развёртывании контроллера домена Active Directory, но и рассматривается как рабочий пример архитектуры NT-FSA, реализация которой в отдалённой перспективе заменит smbd;
- Служба DNS, являющаяся частью Active Directory, основана на использовании механизма BIND DLZ, реализованного в версиях DNS-сервера BIND 9.8 и 9.9. Взаимодействие компонентов построено на генерации файлов конфигурации для BIND в процессе работы Samba. Дополнительно развивается альтернативный встроенный DNS-сервер, поддерживающий минимально необходимый набор функций. Данный сервер пока находится в процессе доработки, но в будущем позволит обеспечить работу из коробки, без необходимости установки BIND.
- Для предоставления сервиса точного времени для Windows-клиентов, обеспечивается интеграция с проектом NTP;
- Предоставляется новый интерфейс для создания скриптов-дополнений на языке Python. Для подобных скриптов через специальный API предоставляется полный доступ ко внутренностям Samba 4. Например, многие из вспомогательных утилит и часть кода для обеспечения работы контроллера домена написаны на языке Python с использованием данного интерфейса;
- Для реализации возможного набора функций используется гибкая модель разделения на взаимодействующие между собой процессы. Взаимодействие всех внутренних компонентов производится в асинхронном неблокирующем режиме с использованием новой инфраструктуры удалённого вызова процедур RPC (PIDL). Поддерживаются гибкие средства для обеспечения горизонтального масштабирования c возможностью развёртывания Samba кластеров;
- Новая гибкая архитектура для ведения баз данных (LDB);
- Реализация базовой подсистемы обеспечения безопасности (GENSEC).
URL: https://lists.samba.org/archive/samba-announce/2012/000257.html
Новость: http://www.opennet.me/opennews/art.shtml?num=34018
Урра! Как пользователь альфы очень рад этому событию. Хотя у меня и так все прекрасно работает.
как она в роли bdc для Win2k8 r2?
> как она в роли bdc для Win2k8 r2?Фиг знает. Серверной винды не держу.
Альфа 17 работала в качестве BDC с Win2008R2.
А что вы понимаете в современном AD под BDC?
Архитектура с одним PDC (primary domain controller) и от нуля и более BDC (backup domain controller) была только в NT4-домене. Тогда любые изменения в объекты можно было вносить только на PDC, после чего они реплицировались на BDC.Но с внедрением Acitive Directory (Win2k-домен и новее) архитектура домена поменялась. Теперь нет одного единственного контроллера, на котором (и только на нём) можно вносить изменения. Теперь все контроллеры домена как бы равнозначны, изменения в объекты можно вносить на любом из них, после чего изменения реплицируются на остальные контроллеры. А значит понятия BDC в AD уже нет в принципе.
Есть, конечно, оговорка про некоторые роли контроллеров, для которых нужен единственный хозяин операций (пять FSMO-ролей), но с точки зрения изменения пользователей/компьютеров/контактов, групп, контейнеров, групповых политик, AD-интегрированных DNS-зон и др. все контроллеры теперь равнозначны.
> А что вы понимаете в современном AD под BDC?DC без FSMO-ролей.
Хотелось бы услышать мнение людей с опытом внедрения и эксплуатации. Как работает samba4 в качестве контроллера домена в такой сети, насколько надёжно, были ли случаи отказа основного сервера, как справлялась в одиночку, как потом репликации на основной контроллер после восстановления накатились.
>AD-интегрированных DNS-зон и др. все контроллеры теперь равнозначны.... до тех пор пока доступ к DC с нужной FSMO-role есть. А как нету - RO.
Ну да это тонкости, если сеть не на 3 континента можно до пензии и не наступить :)
> А как нету - RO.Пока не придёт админ с дубиной и не скажет seize :)
> Версия Samba 4.0 предоставляет полноценную реализацию контроллера домена и сервиса Active DirectoryНу наконец-то, не прошло и ста лет...
Лет через семь-десять зарелизят! Так раз к выходу Windows 12!
В списке рассылки анонсировали roadmap (выпуск беты каждые две-три недели). Но работы до окончательного релиза там еще много.
Ждем новые версии AD от микрософт, несовместимые со старыми.
Чего ждать предварительный релиз сервера номер 8 уже можно скачать с сайта микрософта.
И, да в домен 2003 у меня ввести его на правах второго контроллера не получилось.
> И, да в домен 2003 у меня ввести его на правах второго
> контроллера не получилось.а вы схему под работу 2008х серверов в принципе в этой роли расширяли? если нет, то не удивительно, что не получилось.
А где написано что надо? Сумления меня одолевают ....
собственно, насколько я знаю при разработке SAMBA 4 также принимали участие и сотрудники Microsoft. Логически можно предположить, что откладывание релиза на осень вполне совпадает с релизом Windows 8 и серверной редакции. Правда интересно, что это может дать. Просто этот релиз самбы будет уже не страшен восьмерке видимо поэтому и выпускают осенью.
> собственно, насколько я знаюто есть не знаешь
Немного не так. M$ передала спецификации протокола в общее пользование. Но этот факт ничего не значит. Например, формат MS Office так и не реализует полностью собственные спецификации. Впрочем, на 2012 не интересовался, может там уже и лучше.
Свои LDAP, Kerberos, DNS… Комбайнёры дохрена? Что мешает юзать готовое?
> Свои LDAP, Kerberos, DNS… Комбайнёры дохрена? Что мешает юзать готовое?Вам - Ъ-шность и нежелание читать документацию. Остальным - ничего.
> Вам - Ъ-шность и нежелание читать документацию. Остальным - ничего.А они как-то хотели отказаться от других лдап серверов и сделать своё, изкаробочное решение. Куча народа отложила кирпичей по этому поводу. Что-то поменялось?
Еще с поры самой первой технолоджи превью было оба два варианта. Девелопили и свой изкоробочный легковесный сервер, и пристежку на OpenLDAP. Собсно с той поры ничего и не поменялось.Просто набор фичей разный получается. Со встроенным из коробки но без бубна, а с тем-же OpenLDAP в нагрузку достаются вкусные плюшки OpenLDAP но бубна с ним на взлете зло больше.
Это в гетерогенной сети смотря что во что вонзать. Если венду в "чужую" инфраструктуру, то пжалста, юзай имеющийся в ней LDAP (под нетварь например можно это дело положить гладко, если сфероконичный пример брать). Ежели в вендовую инфраструктуру чо неродное, например пингвинячьи воркстэйшны со сквозным AAA - вот изкоробочный LDAP тебе, к PAM пристегивай и катайся.
То есть вот это вот уже не соответствует действительности https://wiki.samba.org/index.php/Samba4/LDAP_Backend#.28De.2... ? Где-то ещё в рассылках у них в прошлом году было обсуждение о выпиливании всего этого. Хорошо если одумались.
>Что мешает юзать готовое?Крайне хреновая взаимоинтеграция готового?
Теперь ей точно копец, серверной винде 2000
С 7-ой тоже дружит. На работе тестировали. Не все тогда работало. но многое. Win7 успешно в самбе 4 аутентифицировалась. По-видимому и с 8-ой подружится. ЕМНИП репликация не работала.
Просветите, плиз, чем оно лучше NFS в домашних условиях?
При чем тут NFS ?
> При чем тут NFS ?Речь о расшаренных ресурсах. К.О.
>> При чем тут NFS ?
> Речь о расшаренных ресурсах. К.О.если для вас NFS в частности и расшаренные ресурсы вообще есть одно и тоже - это печально
>если для вас NFS в частности и расшаренные ресурсы вообще есть одно и тоже - это печальноНе расстраивайтесь, К.О. повторяет: речь шла о расшаренных ресурсах.
И ещё раз: человек интересовался сравнением доступа к ресурсам через NFS и Samba(4).
>>если для вас NFS в частности и расшаренные ресурсы вообще есть одно и тоже - это печально
> Не расстраивайтесь, К.О. повторяет: речь шла о расшаренных ресурсах.
> И ещё раз: человек интересовался сравнением доступа к ресурсам через NFS и
> Samba(4).ну то есть между базой данных сетевых ресурсов (самбой 4) с помощью которой служба общих папок определяет права доступа и тупо технологией расшаривания каталогов, все же равенство?
поясните мне тогда, Ad (samba4) лучше ftp?
отвечаю, вам дома, хватит и 3 й самбы с гостевым входом, nfs дома вам не нужна
Я так и не решил для себя - Вы притворяетесь или на самом деле?>...и тупо технологией расшаривания каталогов
А Вы не тупите. ЭнЭфЭсом также называют и службу (server), которая обеспечивает доступ. Сюрпрайз?
>отвечаю, вам дома, хватит и 3 й самбы с гостевым входом, nfs дома вам не нужна
Мне ДОМА не надо ни того, ни другого. А на работе файловый сервер обеспечивает доступ одних и тех же ресурсов и по NFS, и по SMB. А Самба, если Вам угодно упорствовать в занудстве/тугодумию (ненужное не читать), это вообще латиноамериканский танец.
1) самба 4 волбще не для расшаривания папок, что тут не ясно? возможность применить ее при расшаривании каталогов это производное.2) самба это не 1 сервер, а минимум 3.
3) nfs это сервер, который для контроля прав может использовать unix pam, или например ad (samba)
> 1) самба 4 волбще не для расшаривания папок, что тут не ясно?
> возможность применить ее при расшаривании каталогов это производное.OMG! Но такая возможность есть же?! Вот чел и спросил про неё. В контексте вопроса это было предельно очевидно. Не для всех, как выясняется.
> 2) самба это не 1 сервер, а минимум 3.
> 3) nfs это сервер, который для контроля прав может использовать unix
> pam, или например ad (samba)И зачем это всё Вы сообщили? Вернитесь вверх по ветке, перечитайте Ваш вопрос и мой Вам ответ.
>> 1) самба 4 волбще не для расшаривания папок, что тут не ясно?
>> возможность применить ее при расшаривании каталогов это производное.
> OMG! Но такая возможность есть же?! Вот чел и спросил про неё.
> В контексте вопроса это было предельно очевидно. Не для всех, как
> выясняется.
>> 2) самба это не 1 сервер, а минимум 3.
>> 3) nfs это сервер, который для контроля прав может использовать unix
>> pam, или например ad (samba)
> И зачем это всё Вы сообщили? Вернитесь вверх по ветке, перечитайте Ваш
> вопрос и мой Вам ответ.Да, я имел в виду расшаренные папки: имеется медиа плеер Dune BD, с поддержкой UPnP, Samba, NFS и Ubuntu. Плеер к компу подключается через wi-fi router.
В ходе долгих мучений с самбой: доступ с плеера таки получился, но: файлы размером более 20Гб тормозят ужасно и русские буквы настроить так и не удалось.
UPnP: Установил MediaTomb, вроде все нормально, но тоже тормоза. В итоге использую только для музыки.
NFS: Работает без тормозов, с русскими буквами тоже все ок.
Вот я и думаю, в таком виде все нормально, нет ли каких подводных камней...
Ну тогда еще одна ступень занудства: не SMB а CIFS.
> Ну тогда еще одна ступень занудства: не SMB а CIFS.поясните свою фразу, вы признаете что ваш вопрос задан неудачно?
> Ну тогда еще одна ступень занудства: не SMB а CIFS.Предлагаю сторговаться на SMB/CIFS :)
Мне нравится более козырный вопрос: как мне отформатировать диск в NFS?
> Мне нравится более козырный вопрос: как мне отформатировать диск в NFS?отлично, поддерживаю, тоже интересно
1. Аккууратно взять диск за края.
2. Поместить его в NFS.
3. Отформатировать его.
Обязательно сделайте так
> Просветите, плиз, чем оно лучше NFS в домашних условиях?Ничем, и никогда не станет лучше.
> С 7-ой тоже дружит. На работе тестировали. Не все тогда работало. но
> многое. Win7 успешно в самбе 4 аутентифицировалась. По-видимому и с
> 8-ой подружится. ЕМНИП репликация не работала.Расскажите плз, как там дела с политиками? Пашут? Очень сильно хочется от вантуз-контроллера полуживого избавиться.
Нас не это интересовало. http://wiki.samba.org/index.php/Samba4/HOWTO#Implementing_Gr...
>Очень сильно хочется от вантуз-контроллера полуживого избавиться.Избавьтесь прямо сейчас, всё давно придумано и ждать не требуется.
>>Очень сильно хочется от вантуз-контроллера полуживого избавиться.
> Избавьтесь прямо сейчас, всё давно придумано и ждать не требуется.Есть такие слова типа "начальство", "юзеры"
и пр. по мелочи. Надо дальше объяснять или уже всё понятно? Буду грызть мануалы, вещь нужная.
> Есть такие слова типа "начальство", "юзеры"
> и пр. по мелочи. Надо дальше объяснять или уже всё понятно?
> Буду грызть мануалы, вещь нужная.Объяснять не надо, я всё это прошёл. Правда, руководство меня поддержало.
>> С 7-ой тоже дружит. На работе тестировали. Не все тогда работало. но
>> многое. Win7 успешно в самбе 4 аутентифицировалась. По-видимому и с
>> 8-ой подружится. ЕМНИП репликация не работала.
> Расскажите плз, как там дела с политиками? Пашут? Очень сильно хочется от
> вантуз-контроллера полуживого избавиться.Пашут.
Что со скоростью? Есть улучшения?
> Что со скоростью? Есть улучшения?отлично! не может тормозить ldap, на котором там все держится.
помоему это тролинг, и вам грозит задержание и штраф до 300000
Полноцкенно виндовое AD оно не заменит, если только в мелких конторах на 10-20 юзеров.
Будьте добры, пожалуйста, аргументируйте.
Тут и аргументировать нечего, итак все понятно. В небольших конторах, где экономят на всем и вся на samba многие и реализуют контроллеры домена и файловые сервера для вин сетей. В больших же организациях с филиалами и нормальным бюджетом на ИТ ни о каких самбах речи не идет используются только MS решения для вин сетей. Потому как админить приходится не два-три сервака а гораздо больше и структура сетей несколько иная, это очевидные вещи. Такова реальность и так будет всегда пока MS крепко держит корпоративный сектор. Вот и все.
> Тут и аргументировать нечего, итак все понятно. В небольших конторах, где экономят
> на всем и вся на samba многие и реализуют контроллеры домена
> и файловые сервера для вин сетей. В больших же организациях с
> филиалами и нормальным бюджетом на ИТ ни о каких самбах речи
> не идет используются только MS решения для вин сетей. Потому как
> админить приходится не два-три сервака а гораздо больше и структура сетей
> несколько иная, это очевидные вещи. Такова реальность и так будет всегда
> пока MS крепко держит корпоративный сектор. Вот и все.Это просто характеризует средний уровень админов. К сожалению.
К счастью. А то придет некое красноглазое чудо в организацию с 10000 рабочих станций и несколькими сотнями серверов и начнет "внедрять линукс во все поля", потом два года последствия разгребать придется.
> Тут и аргументировать нечего, итак все понятно. В небольших конторах, где экономят
> на всем и вся на samba многие и реализуют контроллеры домена
> и файловые сервера для вин сетей. В больших же организациях с
> филиалами и нормальным бюджетом на ИТ ни о каких самбах речи
> не идет используются только MS решения для вин сетей. Потому как
> админить приходится не два-три сервака а гораздо больше и структура сетей
> несколько иная, это очевидные вещи. Такова реальность и так будет всегда
> пока MS крепко держит корпоративный сектор. Вот и все.Два сервера OpenLDAP+Samba3 -- 36 branch offices, 500+ users
Легко тянут.
Правда есть один минус, нужно настраивать.
Для тех кому искаропки не подойдёт.
Мастер-мастер репликация нормально работает?
> Мастер-мастер репликация нормально работает?OpenLDAP же ... чего там может не работать?
> Два сервера OpenLDAP+Samba3 -- 36 branch offices, 500+ users
> Легко тянут.
> Правда есть один минус, нужно настраивать.
> Для тех кому искаропки не подойдёт.Для 500+ пользователей домен контроллер уровня NT4? Нет, конечно можно и таким извращенным способом существовать, но в нормальных организациях за такое увольняют сразу, даже скорее на работу не возьмут ибо такое красноглазие и фанатизм отсеиваются сразу при первом же собеседовании ну или даже на уровне прочтения резюме. Нормальный админ должен уметь пользоваться всеми инстументами необходимыми для решения той или иной задачи, а не фанатично с вытращенными глазами внедрять линуксы везде и вся, там где это не нужно.
в 2005-6 годах проводилась оптимизация доставшейся в наследство инфраструктуры файловых серверов на новел нетваре. По результатам исследования на 6 тыс. пользователей приходилось несколько сотен тысяч папок, 900 групп и около сотни контейнеров. Права раздавались всеми тремя способами - через группы, контейнеры, явным указанием пользователей в ACL. Да, ещё и эквивалент по правам использовался
-
в результате весь этот головняк был переделан на плоскую структуру с сотней групп, которыми только и раздавались права. И всё работало не хуже, а админилось на несколько порядков проще
-
эрго - даже предлагаемое самбой 3 построение плоской структуры вполне работоспособно и в крупных конторах - это прямой аналог сделанного на нетвари решения
> Будьте добры, пожалуйста, аргументируйте.АФАИК, Fast User Switching и Welcome Screen не поддерживает.
Это зашито в винду ХР. При введении в домен эти фичи автоматически отключаются и никак не вернуть из без выпинывания из домена. Prooflink: http://support.microsoft.com/default.aspx?scid=kb;en-us;279765
"However, Fast User Switching is not available on Windows XP Professional-based computers that are part of a domain network."
Вот сёмка умеет Fast User Switching и в домене. Welcome Screen не поддерживают в домене оба два.
> Полноцкенно виндовое AD оно не заменит, если только в мелких конторах на
> 10-20 юзеров.Если ее пристегнуть например к eDirectory то не только полноценно заменит, но еще и в плане гибкости развешивания прав оно родное AD на шишку насадит. Правда админить придется из двух консолей это чудо.
> Если ее пристегнуть например к eDirectory то не толькоУ тебя походу eDir ворованный :)
А то бы ты понИл что за его цену контора на 10-20 юзеров может целиком уйти в отпуск на пару лет :)
> А то бы ты понИл что за его цену контора на 10-20 юзеров может целиком уйти в отпуск на пару лет :)Внезапено, лицензия на одного юзера eDir 8.8.1 плюс один год priority maintenance стоит 80 американских центов.
Подскажите ленивому анонимусу. Есть ли готовый дистрбутив для тестирования или сразу самому собирать?
Есть, называется "Linux Server 2008 R2", только чтобы его скачать нужен дистрибутив с ftp-клиентом и дистрибутив с CD Burning, чтобы нарезать.
Для совсем ленивых. С веб-интерфейсом.
http://www.turnkeylinux.org/domain-controller
Интересно, 1c 7.7 на нее уже можно класть или там все так же ужасно как на самбе 3.0?
> Интересно, 1c 7.7 на нее уже можно класть или там все так
> же ужасно как на самбе 3.0?А что там ужасно? Работает.
> Интересно, 1c 7.7 на нее уже можно класть или там все так
> же ужасно как на самбе 3.0?1Цэ можно класть и на самбе 3. Что значит "ужасно"? Оно или работает, или не работает.
Вы в каком режиме с 1С работаете? Если просто Файловый режим(что скорее всего раз речь о samba) то всё прекрасно работает и намного быстрее чем на виндовой шаре(даже не знаю почему, но условия идентичные).
И некоторым даже oplocks не жмут...
>1Цэ можно класть и на самбе 3. Что значит "ужасно"? Оно или работает, или не работает.Ужасно, это когда один пользователь работает, а двое одновременно уже не могут из за торомозов. Причем вторая самба этим не страдала.
>Вы в каком режиме с 1С работаете? Если просто Файловый режим(что скорее всего раз речь о samba) то всё прекрасно работает и намного быстрее чем на виндовой шаре(даже не знаю почему, но условия идентичные).
Естественно речь именно о файловом варианте, и таки да -- в однопользовательском режиме работало нормально, не буду врать что быстрее -- не замерял (да и давно это было -- самба 3.0.21 была или что то типа того, точно помню дело было еще до отпочковывания 3.2)
>И некоторым даже oplocks не жмут...
Видимо как раз они мне и жали. Вертел тогда по всякому конфиг, курил форумы но ничего кроме толпы энтузиастов с аналогичным геморроем не нашел. Так и забил, водрузив шару на Windows XP.
Скажите люди, оно таки заработало приемлемо или таки нет?
> Ужасно, это когда один пользователь работает, а двое одновременно уже не могут
> из за торомозов. Причем вторая самба этим не страдала.Я такое видел с базами на XP и server 2003, там дело всегда было в кривых конфигурациях.
> Скажите люди, оно таки заработало приемлемо или таки нет?
Оно работает вполне себе хорошо. И вряд ли вы дождетесь плохих отзывов от тех, кто ее в самом деле использует.
> Оно работает вполне себе хорошо. И вряд ли вы дождетесь плохих отзывов
> от тех, кто ее в самом деле использует.Ага, спасибо
Есть такая вешь - самовнушение называется.
Кстати, тут no-dashi частично допилил свою задумку. Вдруг кому будет интересно http://www.linux.org.ru/forum/talks/7837883
У него там ошибка:
http://relay.logotek.ru/~viking/opendirectory/win-client-ins...
ODirectory.exe - собственно *оснвоной* модуль клиента