Представлен (http://permalink.gmane.org/gmane.network.samba.announce/275) корректирующий релиз Samba 3.6.10, в котором отмечено 22 исправления. Из наиболее значительных изменений отмечается:- Обеспечен корректный ответ на запросы FILE_STREAM_INFO;
- Устранён крах при выключении опции "default devmode";
- Устранены крахи, проявляющиеся на платформе Solaris при выборе режима "log level = 10";
- Устранены проблемы с наложением масок при установке ACL;
- Добавлена возможность принудительного обновления DNS через команду net;
- Обеспечена возможность работы lib/addns с bind9;
- Проведена оптимизация производительности SMB2;
- Устранена утечка сокетов при SMB-соединении к контроллеру домена.URL: http://permalink.gmane.org/gmane.network.samba.announce/275
Новость: http://www.opennet.me/opennews/art.shtml?num=35555
Мужики, а кому нить нужон плугин для Самбы, который делает из MySQL шары юзерам?- Раздельный вариант хранения - данные в кэше, атрибуты файлов в базе.
- HTTPS
- Авторизация на уровне mysql/самбы или всё вместе.
- Доп. плугин для авторизации через смарт-карты, отчепятки пальцов, таблетки, токены,...
- Доп. плугин для авторизации через RADIUS/TACACS/TACACS+Оно под версию 2.2+, а мне так в лом портировать на новые. :)
Может стоит предложить апстриму?2.2 конечно староват, но в апстриме вероятность найти того, кто займется портированием заметно больше, чем на Opennet-e.
Им там некогда, они там поднимают своё ЧСВ до уровня
резюме пригодного для приёма на работу в MS/Ciscо.
С таким подходом и тут не найдешь помошников
Кстати, Samba 4 уже RC6 вышел недавно, близится релиз..
Ага. На завтра запланирован.
Пруфлинк?
https://wiki.samba.org/index.php/Release_Planning_for_Samba_4.0
памперсы? слюнявчик? что-то ещё?
Все-таки решили базу тестеров увеличить. Samba 4.0 != samba 4.
во-первых чушь.
во-вторых тогда уж 4.0.0
Я в отличии от теоретиков её использую в сети с сотней компьютеров и знаю о чем пишу.
Я, в отличие от «интересных» практиков, её использую точно на тройке серверов с сотней клиентов и знаю о чём говорю.
Значит ты просто нагло врешь. Там навалом недоработок DNS сервера и множество других проблем, назвать релизом у меня язык не поворачивается.
>Хочешь самбу 4 - жри недо днс\керберос\что_там_ешё-лдап?вижу ты тот ещё знаток!
не большой ликбез — самбы может:
1. из днс — SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE (см. samba-tool)
2. лдап у неё свой, это да (и самое плохое, что порт 369 не сменишь), но! с опенлдап (и остальными реализациями) отлично интегрируется (при условии, что они работают на другом порту, если на той же машине)
3. цербера своего нет (!!!), для работы нужен либо mit-krb5, либо app-crypt/heimdal
вот пруф https://wiki.samba.org/index.php/Samba_4_OS_Requirements#Ker... (тамже ниже и про бинд)ещё будете утверждать, что вы НЕ «плаваете» в вопросе? вы вообще хоть раз самбу4 ставили?
сомневаюсь.
повторяю, там есть опция:dlz "AD DNS Zone" {
# For BIND 9.8.0
database "dlopen /usr/local/lib/samba/bind9/dlz_bind9.so";которая грузит свою зону, а бинд использует только как прокладку.
С openldap она уже давно не интегрируется!
Цербер у нее свой, либо хеймдал, а митовски
[сообщение отредактировано модератором]
а митовский не работает!
>С openldap она уже давно не интегрируется!интегрируется. и отлично интегрируется.
вон на сервере репликации бегают. и не плохо бегают.
>Цербер у нее свой, либо хеймдал, а митовскиа) Цербер у нее НЕ свой. Это брехня очевидная
б) Эого достаточно, чтобы поймать на брехне специалиста, который вдруг после того как его ткнули носом
>Хочешь самбу 4 - жри недо днс\керберос\что_там_ешё-лдап?вдруг вспомнил про bind и heimdal
> а) Цербер у нее НЕ свой. Это брехня очевидная
> б) Эого достаточно, чтобы поймать на брехне специалиста, который вдруг после того
> как его ткнули носомКерберос встроенный. Используются либы mit или heimdal, но KDC работает в процессе samba. Ткнули, да, носом. Вопрос: кого?
не передёргивай и не отвлекайся от темы, а именно:
>Хочешь самбу 4 - жри недо днс\керберос\что_там_ешё-лдап?так вот, либы от этого хуже не стали и не стали более более недо, чем были до этого.
а запускать сервер не обязательно в отдельном процессе (самба4 требует оригинальный heimdal? да)
Самбе нужны только либы, ну и хидеры если собирать надо. Сам сервер, конфиги и остальное не нужно.
Если в твоём дистре самба тянет heimdal KDC, это не проблемы самбы. Оно всё равно не используется.>(самба4 требует оригинальный heimdal? да)
только либы
libldap она тоже требует и?
Не уходи с темы, речь про недо<что-то_там>.
Это оно или нет?
Гы, это же ты юлишь, потому что не те(устаревшие) данные нагуглил.
Самба керберос != heimdal (общие библиотеки не делают ПО эквивалентным)
Самба керберос != MIT krb5
У самбы свой керберос.
какие именно данные я нагуглил?
что самба4 требует по зависимостям heimdal? а это так или нет? :Dещё раз, для слизких ужей, тема разговора:
>>Хочешь самбу 4 - жри недо днс\керберос\что_там_ешё-лдап?в каком месте heimdal и bind недо?
не знаю о чём ты.> цербера своего нет (!!!)
твоя цитата
>а) Цербер у нее НЕ свой. Это брехня очевидная
тоже
>интегрируется. и отлично интегрируется.Ты не интегрировал на RC, потому что openldap там давно не работает. И твоя писанина основана мануалах из интернетов.
Хеймдал-церберос идет с ней в комплекте со своими патчами.
>Ты не интегрировал на RC, потому что openldap там давно не работает.Идиот, ещё раз повторяю — вон работает. Реплицируются бызы пользователей.
>И твоя писанина основана мануалах из интернетов.да. которые я читал и применял.
и судя по тому, что ты смотришь на них, как баран на новые ворота, ты ни разу самбу4 не ставил.
потому что это первые источники с чего начинает любой, кто хочет поставить самбу4
и поскольку подход от самбы3 тут нифига не катит, то ЛЮБОЙ ставящий оказывается в этих мануалах.
ldif от openldap будет или нет?
Всё, это не лечится.
Марш на вики читать что такое ldif.
Еще раз, будет экспортированный ldif файл из опенлдапа. Да? Или нет?
вот сколько юзаю самбу бывали конечно необъяснимые глюки, падения и прочее (обновляемся обходим проблемы)но каждый раз, видя колличество закрытых ошибок, содрагаюсь от мысли сколько-же их там ещё 8-) может быть и насколько безглючная реализация CIFS в оригинале... умолчу где, надеюсь все поняли.
Мораль сей басни — Перестань читать ченджлоги и будет также сухо как в офтопике.
мораль сей басни в том что самбу юзают там где нет бабла на нормальный CIFS ну или как вариант идейные товарищи :) для которых нет альтернативы. однако и несмотря на то что уже давно не рыл в сторону реализации НОРМАЛЬНОГО RPC и ACL в самбе, думаю что в 4-ке если и произошли революционные изменения то от коммерческих аналогов они снова и снова отстают как это не прискогбно
>мораль сей басни в том что самбу юзают там где нет бабла на нормальный CIFS ну или как вариант идейные товарищи :)брехня и провокация. :D
а вот то, что абсолютно безидейные товарищи чувствуют свою задни… суше, когда голова в песке — вот это истинная правда. а то, что годами (и десятилетиями) эксплуатируются уязвимости, так что поделаешь? мозг то там же, в памперсе — http://www.securitylab.ru/news/368759.php
>24 февраля, 2009
>Для успешной эксплуатации уязвимости анонимным пользователем, требуется сетевой доступ к интерфейсу, позволяющему нулевые сессии ("\LSARPC"). Об уязвимости известно с 17 сентября 2008 года.
>однако и несмотря на то что уже давно не рыл в сторону реализации НОРМАЛЬНОГО RPC и ACL в самбе, думаю что в 4-ке если и произошли революционные изменения то от коммерческих аналогов они снова и снова отстают как это не прискогбнокак это не печально, но слуги мс так и не знают что такое НОРМАЛЬНОЕ RPC и ACL.
тем более что что-то «рыть» вообще не способны. http://samba-doc.ru/samba3example/03kerberos.html#kerbaclcont
а их попытки представить насквозь дырявую, съеденную вирусами винду более защищённой, чем опенсорс, это вообще смех - http://www.opennet.me/opennews/art.shtml?num=34935
>Первая критическая уязвимость проявляется только на платформе Windows и вызвана возможностью инициирования повреждения памяти ядра ОС из пользовательского приложения.поврежденя памяти ядра ОС из пользовательского приложения!!!
LOLOLOL
зыж
а да!
http://www.newcomtec.ru/g_news/02050news.html
>Корпорация Microsoft выпустила патч, устраняющий уязвимость в Server Message Block (SMB), сообщает IDG News. Эта уязвимость была обнаружена более семи лет назад.уязвимость была обнаружена более семи лет назад!!!
VKraft, твои содрагания случаем не судороги? :D
указанная тобою школьная ссылка на управление правами содержит "
11.3.4. Управление ACL (списками контроля доступа)Windows 200x
Samba должна переводить ACL Windows 2000 в ACL UNIX POSIX.
"
здесь описано то что и так всем известно. ты попробуй NFSv4 АCL нормально заведи с наследованием, хранением SID в FS....., удалённое управление по RPC и когда после месяца е_ли поймёшь что надо
пописать кода в сорцы чтоб там всё заработало не будешь кидать ссылки на FAQ for dummiez. я далеко не сторонник корпорации майкрсофт
как тут кто-то написал с красноглазием явным. у меня не много конечно и не мало 300 юзеров. клиентская чать сами понимаете виндоуз. так вот на одном из файловых серверов я поднял соляровский CIFS и несмотря на наличие в репортах багов (в самбе их просто очень много) не заглядывал под капот уже года полтора или даже два потому что есть куча других задач. код писать и реализации должны программисты и проетировщики, тестировать QA, промышленно эксплуатировать админы. можно скриптов дописать, можно приделать автоматизацию и прочее (в солярке не было квот пришлось через NIS/LDAP с шедулингом извращатся и доделывать) но в пределах возможностей.
>здесь описано то что и так всем известно. ты попробуй NFSv4 АCL1) ты мне не указывай что пробовать и я не скажу куда тебе идти.
2) речь про самбу, так что вопросы про nfs даже можешь не доставать из своей го… опы… или чем ты там думаешь
перед тем как кричать выучи матчасть и научись корректно разговаривать
вот будет полезно: http://sambaxp.org/fileadmin/user_upload/SambaXP2009-DATA/Ni...
почитай почитай
>ACLs with Samba on NFSv4 (Solaris)А ACLs_with_Windows_CIFS_on_NFSv4_(Win_Server).pdf есть?
речь идёт о списках контроля доступа в стиле списков контроля доступа которые реализованы в NFSv4 и которые один в один с NTFS ACL. так доходчивее?
а насчёт спецификаций и реализаций так статистически в системном и прикладном ПО на некое число строк кода есть определённое число ошибок и спорить где их больше а где меньше нет смысла тем более что если статистически уравнять число багов в каждой из реализаций (ЕСЛИ) то возможность атаки на любую из них примерно одинакова исходя из того что большая часть реализации для оптимайзинга перфоманса сделана ядерной или под высокопривелигированным пользователем что равно_уйственно. но теперь будем говорить об уровне функционала который реализован и я в самом первом своём посте говорил что он явно не дотягивает до коммерческих аналогов (при этом явно не указывая что именно (CIFS реализаций в т.ч. коммерческих акромя microsoft есть в природе)). и я это признаю с сожалением
разницу я знаю между кернел-спейс и суперпользователем и не только. тут смысловой контекст был в плане безопасности т.к. в подавляющем большинстве случаев процесс smbd запущен от имени суперпользователя root а права и возможности в системе (в системе по-умолчанию) у него в случае успешности атаки крайне высоки. однако исходя из положения о Вашей антинормальности в психическом смысле и то что троллинг у Вас вшит в биос мозга равно как и ФГМ (об этом говорит то в каком тоне были написаны мне посты), больше писать ничего не стану
что вы подразумеваете под нормальным CIFS?
"Необъяснимые глюки и падения" в Самбе? Странновато, однако, если это Самба 3х... Или буфера по умолчанию 8192 оставлены?
это ж евангилист, что вы хотите.
у них такая тактика — «сколько юзаю самбу бывали конечно необъяснимые глюки, падения и прочее» — авторитет же выступает, никакой конкретики, но авторитет.
и «глюки, падения и прочее» уже обсуждаются «парламентом», даже если их отродясь и не было. :Dзыж
>Или буфера по умолчанию 8192 оставлены?очень много и часто по-работе использую самбу3 (в том числе и как контроллер домена) — никаких глюков, падений и тд. НЕТ.
а различные параметры, типа указанных буферов, только позволяют повысить производительность под конкретный тип нагрузки. другими словами, тюнинг.
где-то с рк3 стал использовать самбу4 в продакшене, тоже никаких проблем (правда smbd от 3-ей использую), любая винда отлично входит в домен и не жалуется.
Нагнали FUDа про samba4. На самом деле:
1. В режиме самостоятельного одиночного AD DC она работает уже давно и стабильно. В том числе встроенный ДНС.
2. Недоработки связаны с репликацией и с ДНС, а особенно с репликацией ДНС.
3. Критичные косяки ДНС не связаны с dns-backend. То есть можно и bind использовать и встроенный ДНС с одинаковым успехом. ИМХО лучше и проще ― встроенный. Проблемы есть с репликацией зон и с управлением по RPC.
4. Зоны жёстко хранятся по образцу w2k8 в партиции ForestDnsZones. Соответственно полноценно использовать самбу в домене w2k3 и w2k без предварительной работы напильником в AD либо патчей ДНС не получится.
5. В релиз кандидатах регрессии случаются довольно часто, в частности rc6 невозможно ввести в домен. Баг опять же связан с партициями, хранящими ДНС зоны. В гите уже исправили, но ворнинги ещё выскакивают.
6. Релиз намечен на сегодня и судя по рассылке ребята действительно собираются это сделать. В связи с этим крайне активно работают над багами связанными именно с реализацией самостоятельного одиночного домен контроллера AD. Проблемы с репликацией и с ДНС в режиме нескольких DC они признают, подтверждают, но пока не фиксят.
7. В продакшне использовать кандидаты и первый релиз я бы не рекомендовал. Не смотря на то что альфы и первые беты были довольно стабильны, сейчас у них горячка и последствия могут быть непредсказуемыми. =)
НЕТ в AD DS репликации!!! Там делегирование.
>НЕТ в AD DS репликации!!! Там делегирование.ещё наркоман.
>>НЕТ в AD DS репликации!!! Там делегирование.
> ещё наркоман.Ну да все-таки есть, только своё кривое, несовместимое с LDAP.