После девяти месяцев разработки представлен (http://permalink.gmane.org/gmane.network.samba.announce/301) значительный выпуск Samba 4.1.0, продолживший развитие ветки Samba 4 (http://www.opennet.me/opennews/art.shtml?num=35571) с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 8.
Ключевые изменения (http://www.samba.org/samba/history/samba-4.1.0.html) в Samba 4.1:
- Обновлённый набор клиентских утилит и библиотек с поддержкой протоколов SMB2 и SMB3. Поддержка SMB3 работает только с серверами на базе Windows 2012, Windows 8 или Samba 4.x. По умолчанию в утилитах smbclient и smbcacls по-прежнему используется протокол SMB1, для соединения по протоколам SMB2 и SMB3 можно использовать опцию командной строки "-m SMB2/SMB3" (например,
"smbclient //server/share -Uuser%password -mSMB3") или указав в секции "[global]" файла smb.conf директиву "client max protocol = SMB2/SMB3". Следует иметь в виду, что при использовании SMB2 и SMB3 в наборе команд smbclient недоступны UNIX-расширения, которые пока не определены для данных протоколов;- Поддержка соединений с использованием шифрованного канала связи при соединении с серверами Windows и Samba по протоколу SMB3. Ранее шифрование было доступно только при использовании Unix-расширений протокола SMB1, теперь оно может быть применено и при соединении с Windows-серверами. Для включения шифрования можно использовать опцию "-e" при вызове smbclient, например, для соединения с Windows 2012 по протоколу SMB3 с шифрованием трафика можно указать "smbclient //Win2012Server/share -Uuser%password -mSMB3 -e";
- Новая система репликации содержимого базы данных контроллера домена, отличающаяся увеличением эффективности и надёжности работы. Новая реализация позволяет организовать репликацию базы с другими контроллерами домена, в том числе имеющими существенно изменённую схему данных (например, Windows 2012 DC или Windows DC с установленным Exchange);
- Поддержка выполнения операций копирования на стороне сервера (реализован SMB2-запрос FSCTL_SRV_COPYCHUNK по аналогии с Windows Server 2012). Таким образом клиент теперь может инициировать копирование файлов на сервере без их передачи по сети (ранее для копирования файл загружался на систему клиента, а затем опять переносился на сервер);
- Включение VFS-модуля для обеспечения интеграции с файловой системой Btrfs (включается через параметр "vfs objects = btrfs" в smb.conf). Модуль позволяет дополительно увеличить производительность операций копирования на стороне сервера при хранении данных на
Btrfs-разделах, за счёт использования возможности по хранению только одной копии данных для идентичных файлов с их разделением на уровне метаданных;- Удаление из состава Samba административного web-интерфейса SWAT. В качестве мотива называется недостаточно высокое качество кода с точки зрения безопасности. В текущем виде SWAT излишне доверяет действиям, инициируемым со стороны пользовательского браузера, что открывает возможности к проведению XSS и CSRF атак, направленных на инициирование скрытых действий от лица пользователя web-интерфейса. Для исключения подобных атак требуется переработка модели безопасности SWAT, но у SWAT отсутствует мэйнтейнер и не удалось найти заинтересованного в развитии проекта web-разработчика;
- Прекращена поддержка директив "password level" и "set directory";- Добавлена новая директива "use ntdb".
URL: http://www.samba.org/samba/latest_news.html#4.1.0
Новость: http://www.opennet.me/opennews/art.shtml?num=38137
Samba это хорошо, но сколько можно поддерживать уровень домена 2000. Такое ощущение, что сотрудники из M$, там не добро делают.
винда 2012 в каким доменом совместима? С nt 4 наверное?
"недобро" наверно?
А кто-нить сие в продакшн в больших компаниях использует интересеюно?
Пытался у себя завести.
Из проблем:
- нет никакой документации по конфигурированию, только общие инструкции без конкретики. приходилось смотреть исходники
- долго мучился с репликацией на 2003 сервер. опять же чтение исходников помогло
- после двухмесячной эксплуатации по непонятным причинам упал контроллер домена на 2003, а подключить новый до самбы не удалось. в исходниках рыться не было времени - поставил 2003 и пока все.
через годик думаю еще раз попробовать.
Ну и для кого это они делают, если даже такие самураи разобраться не могут?
> Ну и для кого это они делают, если даже такие самураи разобраться
> не могут?Значит это тот самурай, который без меча.
да не переживай, как доделают, даже обычные вендоадмины смогут разобраться
> - нет никакой документации по конфигурированию, только общие инструкции без конкретики. приходилось смотреть исходникиРазработчик случайно не Кузнецов?
Проплюсовал.
Надеюсь Вы задокументировали свой труд и сделали этот докУмент общедоступным?
> Надеюсь Вы задокументировали свой труд и сделали этот докУмент общедоступным?Задокументировал, описал все приколы, выложил здесь.
через несколько дней статья оказалась удаленной.
> Задокументировал, описал все приколы, выложил здесь.
> через несколько дней статья оказалась удаленной.Следовало добавить материал не в форум, а через форму добавления статей http://www.opennet.me/announce_tips.shtml (или хотя бы нажать на сообщении в форуме "Рекомендовать в FAQ"). В форуме, если на созданное обсуждение нет ответа 7 дней, то оно автоматически удаляется.
Я делал, с Ексчеджем, 1С, МС СКУЛ, репликации на другие сервера, всего порядка 600 пользователей, нареканий ни каких. Настраивается за 10 минут. Правда пакеты для cenoc и fedora собирал сам.
Юзаю больше года на двух машинах (PDC+BDC), несколько раз обновлял, текущая 4.0.8. Работает как атомные часы, завалилась единожды после обновления (не учел несовместимость ldb файлов старой и новой версии libldb). Доков <= 0.
> FSCTL_SRV_COPYCHUNKА с сервера на сервер (в одном домене) без копирования на ПК клиента?
> - Включение VFS-модуля для обеспечения интеграции с файловой системой Btrfs (включается
> через параметр "vfs objects = btrfs" в smb.conf)... возможности по хранению только одной копии данныхТобишь, просто поддержка дедупликации фс?
> - SWAT. В качестве
Жуткий макет конфигуратора. Так и не понял, что должен упрощать этот "интерфейс". Конфиг с примерами куда проще поправить.
ждём пятую самбу через 10 лет а пока все юзают оригинальный АД. тоже думал о самбе чтоб не покупать 2008-й но страшновато 3-я крутится в нескольких ролях а вот доверять репликацию каталога и групповых политик да ещё между оригинальной реализацией и среверсеной_наполовину ну реально стрёмно. в M$ под капотом такой космолёт что лучше-б вместо самбы пилили интеграцию юникс машин с централизацией конфигурации, аутентификации и файлсерверами на базе того же NFSv4 типа Landskape что в убунте с NIS вперемешку
> в M$ под капотом такой космолёт что лучше-б вместо самбы пилили
> интеграцию юникс машин с централизацией конфигурации, аутентификации и файлсерверами
> на базе того же NFSv4 типа Landskape что в убунте с NIS вперемешкуНекоторые пользуются http://altlinux.org/domain
> интеграцию юникс машин с централизацией конфигурации, аутентификации и файлсерверамиЧего тебе не хватает? SCM навалом (puppet, chef, cfengine, ansible - самые известные), керберос с лдапом есть, про NFS ты сам сказал.
полнокровные за бабло, если бесплатно то с ограничениями на число управляемых инстансов всё как всегда а полнофункционального аналога АД для юникс систем в свободном(во всех смыслах и по баблу ессно) виде нэт.
Да есть, есть - только ты не осилишь :)
Впрочем не расстраивайся - свою AD ты всё равно в лучшем, в предельном таки случае знаешь процентов на 10%, и неичё - сон же не потерял ...
Так вот у нас есть всё тоже (и даже больше и лучше) но сделано по другому и называется без префикса M$ Тебе выше честно _пытались_ объяснить :)
трололо.... причём явно необразован.
вы весьма самокритичны, хвалю
Использую с 2010 года, с времен альф 4.0 для сетей небольших компаний 50-100 человек -- можно смело использовать, сложные схемы не реализовывал. GPO естественно используются из-за этого и решился на эксперемент в 2010. Для простых фирм с одним доменом очень даже сносно работает. 4.0 -Linux AD только, а вся нагрузка на 3.6, которые исторически на FreeBSD. 4.0 довольно стабильная система, ни падала... Есть некоторые глюки при некоторых операциях, но пока все решается другими последовательностями действий ;-) Для небольших фирм и админа с руками -- можно использовать.
В продакшне с поздних альф на одном домене. Два DC, ~180 клиентских машин (WXP, W7), схема 2003 + некоторые кастомизации, BIND 9 в качестве DNS сервера. Был некоторый геморрой при изначальной миграции с 2003, есть косяки с некоторыми мелкомягкими утилитами администрирования (не критично, ибо и раньше преимущественно рулили через LDAP), реализованы не все мелкомягкие расширения LDAP (например, нет как минимум одного matching rule). Проблем с репликацией нет, GPO вообще не вызывал вопросов, в целом полет оцениваю на "отлично". Считаю, что проект вполне готов для внедрения в организациях средних размеров, но встроенный DNS использовать мы не стали, ввиду деревянности и забагованности на момент внедрения. Люто-бешено радует возможность в оффлайне править вообще что угодно и как угодно в любой партиции.
А как там обратную зону настроить?
Мы не используем встроенный DNS сервер, юзаем BIND_FLATFILES, разрешены только подписанные апдейты. В этом случае обратная настраивается так же, как и прямая (подампите траффик с вендов на предмет DNS UPDATE - станет понятней).
У нас единственные серьезные огорчения с BIND связаны с тем, что
1) либо в нем нельзя детально настроить ACL (на уровне сравнения KPN для произвольно выбранных записей, например), либо надо повторно rtfm. В мелкомягкой реализации это возможно.
2) нельзя принудительно ограничить максимальный TTL для произвольно выбранных записей (в венды вхардкодено 1200, даже если аренду выдавать на 5). Приходится ставить низкий expire в SOA. У мелкомягких, впрочем, тоже (для еще не созданных записей, по крайней мере).
> У нас единственные серьезные огорчения с BIND связаны с тем, что
> 1) либо в нем нельзя детально настроить ACL (на уровне сравнения KPN
> для произвольно выбранных записей, например), либо надо повторно rtfm. В мелкомягкой
> реализации это возможно.
> 2) нельзя принудительно ограничить максимальный TTL для произвольно выбранных записей
> (в венды вхардкодено 1200, даже если аренду выдавать на 5). Приходится
> ставить низкий expire в SOA. У мелкомягких, впрочем, тоже (для еще
> не созданных записей, по крайней мере).Может DLZ поможет? В этом случае правами на записи самба рулит, и acl, выставленный в оснастке DNS прекрасно должен работать.
Должен, да. Но, когда тестировали последний раз (примерно в районе 4.0.3) он все еще был малоюзабелен - у нас и оснастка периодически сваливалась (SOA, например, отредактировать было невозможно), и косяки с обновлениями встречались, и передача зон слейвам происходила не всякий раз. Тем не менее, очевидно, в будущем всё равно придётся переезжать на него.
А что насчет репликации папки sysvol между двумя DC? Из коробки это не работает.
Вроде сделали, даже wiki есть
Нет, не сделали. Вот что гласит упомянутое Wiki:"Samba AD currently doesn't provide support for SysVol replication. To achive this important feature in a Multi-DC environment, until it's implemented, workarounds are necessary to keep it in sync. This HowTo provides a basic workaround solution based on rsync."
Другими словами, предлагают прибить костыль из rsync. В принципе, на безрыбье, вариант. Пробовал его, еще на 4.0 релизе, но если Windows host цепляется за второй DC, без роли PDC - групповые политики не работали вообще. Интересно, как у коллеги выше постом в продакшене 180 win хостов? Предполагаю, что там политик нет вообще... видал и такой "продакшн".
> Предполагаю, что там политик нет вообще... видал и такой "продакшн".Меньше предполагайте, больше читайте. Еще раз: оба DC на Samba. GPO к разным OU прилинковано местами больше, чем хотелось бы. Регулируются разные аспекты, в т.ч. пути к WPAD, развертывание ПО, NT сервисы, сценарии входа-запуска-выхода-шатдауна и многое другое. И какого черта политики не должны работать, если их обрабатывают сами КЛИЕНТСКИЕ винды? В Вашем же случае проблема, скорее всего, была с пермишнами на сисволе, либо с его репликацией.
> А что насчет репликации папки sysvol между двумя DC? Из коробки это
> не работает.Оба DC физически в одной SAN. Sysvol на OCFS2.
года 4 назад в маленькой конторе юзал контроллер энти на самбе 3, только положительные эмоции. геморой с шрупповыми политиками был. а вообще, для серьезных масштабных задач, самбу страшно использовать. как ни как, разработка то мелкомягких, и при чем закрытая, а разрабы самбы все равно всех тонкостей ни когда не узнают.
отличная новость, главное как раз вовремя, на неделе предстоит тотальный апгрейд
> отличная новость, главное как раз вовремя, на неделе предстоит тотальный апгрейдИ как, даже чаю^Wобкатываться не станете?
Жаль, что после банкротства Novell. eDirectory не была передана свободному сообществу. Думаю это сильно бы пошатнуло позиции Active Directory.
а не подскажете, есть ли уже нормальные (и подробные, и работающие) инструкции по миграции с АД 2003 на 4 самбу?
У меня на тестовой сети виртуалок вроде все работает, но ни в какую не пашет добавление в днс своих записей клиентами, если ДНС сервер BIND. Из логов ясно только, что update не проходит, с любым уровнем дебага на бинде. :(
Со встроенным ДНС самбы смущают кривые ответы сервера, хотя записи добавляются в прямую зону, в обратную нет.
Как-то ДНС руками вести не хочется в продакшене :)
Сам же и пофиксил, плотно взявшись за выяснение причин. :)
Кто столкнется - проверьте версию kerberos, в моем случае heimdal был старый, с кривым gssapi.
> Кто столкнется - проверьте версию kerberos, в моем случае heimdal был старый,
> с кривым gssapi.Может иметь смысл сообщить самбистам, чтоб ругались на стадии configure.
>> Кто столкнется - проверьте версию kerberos, в моем случае heimdal был старый,
>> с кривым gssapi.
> Может иметь смысл сообщить самбистам, чтоб ругались на стадии configure.Х.з. У меня heimdal 1.1 из состава FreeBSD. Тут скорее вопрос к мейнтейнеру порта бинда, чтобы можно было его привязать к хеймдалу из портов, а не из базы.
Я сам пока не сообразил как это правильно починить. :)
..но у SWAT отсутствует мэйнтейнер и не удалось найти заинтересованного в развитии проекта web-разработчика;..
Ребята кто тоже заинтересован пишите.
Интересно, может ли Webmin стать заменой SWAT?
> Интересно, может ли Webmin стать заменой SWAT?SWAT это рудиментарный отросток..... избавляйтесь от привычки конф-ровать ч-з это.....
По теме.
Кто-нибудь тэстил сие детище в связке FreeBSD10+Samba4.1(DC)+1C8? Интересует, что там с блокировками? Кто-нибудь поднимал кластер 1C? Как обстоят дела с LACP?
> Кто-нибудь тэстил сие детище в связке FreeBSD10+Samba4.1(DC)+1C8?На фре нет, но делал тут по случаю сборки на альте с samba4-DC: http://fly.osdn.org.ua/~mike/iso/test/ (regular-server-samba4-*.iso); тж. http://www.altlinux.org/SambaAD
>> Кто-нибудь тэстил сие детище в связке FreeBSD10+Samba4.1(DC)+1C8?
> На фре нет, но делал тут по случаю сборки на альте с
> samba4-DC: http://fly.osdn.org.ua/~mike/iso/test/ (regular-server-samba4-*.iso);
> тж. http://www.altlinux.org/SambaADИнтересно, а как с "??" по блокировкам 1С да и как оно вообще ALT-ишное? Доволен?
Соблазн обрести SMB3 .... ждём-пождём результат
> Интересно, а как с "??" по блокировкам 1СВот с чем не сталкивался где-то с 2001...
> да и как оно вообще ALT-ишное? Доволен?
Здесь решил озвучить не как "всё срочно бросайте и перепрыгивайте", а как относительно удобный вариант на "пощупать воду" samba4-DC (версия там пока 4.0.21). По крайней мере в этой исошке подобрано всё нужное для подъёма самбового AD, в который получается засунуть win7/8 без патчей реестра.
Хоть это и эксперимент, замечания и пожелания по образам всё так же принимаются.
Samba 4.1 интересует. В 4.0.* нет поддержки SMB3, без него 2012r2 рвёт самбу в тряпки по производительности. С 4.0.3 убил массу времени на разгон.... и тюнил и кластер поднимал....
не выжать из неё больше.