После 6 месяцев разработки представлен релиз Samba 4.22.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2008 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 11. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind)...Подробнее: https://www.opennet.me/opennews/art.shtml?num=62841
Какую крайнюю версию схемы леса поддерживает, затащили ли 88 или все еще 69 это предел?
4.19 and later
https://wiki.samba.org/index.php/Raising_the_Functional_Levels
https://wiki.samba.org/index.php/AD_Schema_Version_Support
2008 так и остался пределом?
Всё остальное - беспредел...
https://wiki.samba.org/index.php/Raising_the_Functional_Levels
>>и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентовс ХП под qemu работает?
Есть у кого-нибудь кейс, как поднять сабж, рядом с виндовым доменом? Хочу постепенно уйти с винды в организации.
man samba
Не правда Ваша. В man очень мало информации. И man конкретно по самбе вообще куций.
Что бы настроить домен советую официальный сайт, там довольно исчерпывающая информация. И маны тоже есть. И примеры настройки для разных ролей
Главное не читать статьи в интернете. Максимум для чего их можно использовать это в ознакомительных целях. Даже если статья 2025 информация в ней года 15 если не раньше.
В основном выдаёт на сайты ALT Linuxm и Астра Линукс. .
Хотелось бы понимать на сколько вообще юзабельно, из того что бегла прочитал, много ограничений и не всё реализовано, с другой стороны может в новой версии уже появилось.
Также хочется пошаговый алгоритм действий на русском языке, под какой-нибудь популярный дистрибутив, вроде Убунту.
Как сказано выше - на сайте самбы есть исчерпывающий мануал как поднять контроллер домена. Подобное есть и для убунты. И для арча. Разница разве в том как и какие ставить пакеты. Да, есть нюансы, пару раз сталкивался, что требуется отдельно доставлять какой-то пакет (типа nssswitch) который вроде как опциональный, но без него не работает.
Очень зависит от дистра, некоторые фичи скомпилированная для дистра самба может не поддерживать, потому что майнтейнеры так решили, кроме того надо понимать что надо на выходе, поднимать через sssd или winbind, но сейчас многие дистры поддерживают автоматическую настройку, вот с этого и стоило бы начать
>многие дистры поддерживают автоматическую настройку,Многие это какие?
Есть подробное руководство от Alt Linux - "Доменная инфраструктура на базе Samba. Руководство администратора"
зачем? спокойная жизнь надоела, гемора захотелось?
уже много лет как перешел с MS AD на Samba AD (сеть порядка 30 компов с виндой и несколько линукс-серверов, авторизующих юзеров через AD). работает прекрасно (т-т-т).
На каком дистре?
> На каком дистре?Oracle Linux 8.10
Но лучше на дебиане поднимать, чтобы вручную не пересобирать после каждого апдейта
А не поделитесь опытом как такое же на 30000 компов с виндой сделать? А то все с поддержкой, за деньги, дистрибутивы на основе самбы то там то тут отваливались даже на тестах.
> дистрибутивы на основе самбыА шо цэ такэ? (С)
А у нас есть разные отечественные замены службы каталогов. Всё как в офтопике, но лучше(с) Странно что обычно не аплайнс отдают а дисрибутив где это примотано скотчем с какими-то птачами от себя. Но тако есть.
> на 30000 компов с виндойПри таком бюджете - почему не пользуете native AD?
Ну только если вы - госы и вам Ымпортозамещать ... нут так там и форточки на десктопах заместить придётся :)Короче сферический таск в вакууме...
Мой дорогой друг я понимаю что вам не знаком 187 ФЗ. Ознакомьтесь.
А после этого осознание что под него попадает любой, более-менее значимый бизнес в РФ. И следовательно - он обязан импортозаместиься, если не хотят попасть под уголовку.
Так что сейчас по презрительно у отношению к импортозамещению однозначно идентифицируются гордые админы локалхоста, которых к серьезным системам не подпускают на пушечный выстрел.
А я и не устаю повторять, что импортозамещение, это не просто слова, это уже свершившийся факт. Оказывается что и частный бизнес попадает под это, интересно.
Частный с самого начала подпадал, местами. Вопрос как провести категорирование. Если вы не можете откатегорировать так что мимо 187 проходить - ну наймите безов получше. Которые по закону вам распишут почему не надо замещаться.
А потом придут ребята из контролирующих органов и скажут куда эти обоснования надо засунуть...
Уже проходили с оптимизацией налогов...
Приходили. И только что надо то и оставили под категорией. В чём проблема?
Даже больше скажу. Можно использовать облака некоторые, и туда засунуть всё с категорией. И это официально, и большое перекладывание ответственности. Но такое не стали делать - меньше доверия облаку. Будь оно хоть как утверждено официально.
Ну так импортозамещай все! Зачем тебе АД? Втыкай на комы линукс, IPA в качестве каталогов и вперед.
А ты считал сколько стоит решение от мс и сколько от самба+что там для рабочих мест за деньги? Бесплатное как бы не дороже выходит. Ну и падать по возможностям управления и беспроблемность с уровня ак сейчас до уровня 90х не охота.
Штрафы, уголовка и ликвидация бизнеса - это как альтернатива отказа от импортозамещения.Кстати бесплатно - не выйдет. Опенсорц - не прокатывает, если его нет в реестре отечественного ПО. Так что придется покупать у астры/редоса/альта...
Ты какой-то слишком нервный. Альтернатива это обоснование почему отечественное не устраивает. В кии оно не прокатит. В обычной сети пока всё ок.
А бесплатно я естественно употребил в ироничном смысле. Большинство комментаторов пока с реальной жизнью не сталкивалось. И не в курсе что можно официально применять, сколько оно стоит, какое оно по поддержке.
> как такое же на 30000 компов с виндой сделать?1) разбить на 100+ подсетей по функциональности и территории.
2) каждую подсеть отрабатывать по отдельности.
3) ресурсы необходимые в нескольких или всех подсетях, делать не через самбу.
как-то так.
1 по сетям естественно побито, хотел бы посмотреть как это в плоской сети А класса работает, да.
2 что значит по отдельности? 100+ сайтов и 2*количество сайтов контроллеров самба? И как с надежностью и управляемостью такого решения? Или вы решили своих нищих линух родственников пристроить из аула? Типа было 10 виндовых мышевозителей, они не круты. Надо 110 консольщиков из конотопа.
3 а, то есть надо не 110 консольщиков, 1110 для управления. Понял, вопросов больше не имею.Не стоит думать что это вопрос в вакууме, такие сети были, есть и будут. И как они управляются я видел. Рассказам 30+ компов я верю на самаба, что же не верить. Как с масштабированием и работой в больших сетях никто не хочет рассказать.
Так сделай самбу на 30000 компов. Это ж опенсорс! Потом нам расскажешь как получилось.
Да не, я лучше в форточку покурю и посмеюсь как остальные делают. Версии с поддержкой и за деньги я уже понаблюдал.
> А не поделитесь опытом как такое же на 30000 компов с виндой
> сделать? А то все с поддержкой, за деньги, дистрибутивы на основе
> самбы то там то тут отваливались даже на тестах.нет, не поделюсь - такого опыта нет, к сожалению.
расскажите, а что на таком масштабе происходит с Самбой и в какой момент? разработчикам писали, они ответили что-нибудь?
Да что угодно. Особенно когда используешь продукты расширяющие стандартную схему. Ошибки при работе с каким-нибудь объектом в случайный момент времени. Разница между результатами некоторых действий в офтопике и самбе. Другие продукты от мс связанные жестко с доменом могут выкаблучиваться как угодно(можно поискать как exchange скрещивать с самба). Логи изредка швыряют проблемы репликации но потом всё хорошо. Ответственные в курс дела были введены, если вы понимаете о чём я.
> Да что угодно. Особенно когда используешь продукты расширяющие стандартную схему. Ошибки
> при работе с каким-нибудь объектом в случайный момент времени. Разница между
> результатами некоторых действий в офтопике и самбе. Другие продукты от мс
> связанные жестко с доменом могут выкаблучиваться как угодно(можно поискать как exchange
> скрещивать с самба). Логи изредка швыряют проблемы репликации но потом всё
> хорошо.ясно, спасибо
> Ответственные в курс дела были введены, если вы понимаете о чём я.
не уверен, что понял
> сеть порядка 30 комповВ такой сети можно скриптом все аккаунты завести на всех машинах и не возиться с доменом вообще. Неудивительно, что работает. С 300 или не дай боже 3000 работать будет?
Не, ну тут даже самба лучше скриптов. На десятки, сотню компов и пользователей я поверю. А вот дальше могут быть нюансики.
Работает 3000+ компов, подцеплен почтовый сервис postfix и др. корпоративные сервисы, дистр Дебиан, 8 лет полет нормальный. Репликацию нужно мониторить на всяк а так без проблем.
Жить можно, набив опыт и порешав некоторые нюансы. Но для шаринга драйверов принтеров нужно держать виндовую машинку. Загрузится драйвер в самбу или нет зависит от (производителя, версии, модели, расположения звёзд). И не пытайтесь его туда запихнуть если сразу не залился. "Вот вам моя мудрость" (с)
Надо же! 8-о
Я уже конечно давненько с AD на sambe не сталкивался, но раньше проблем не было. Там же тупая скрытая фало-шара для них и всиО? ...
google this:
samba domain member
Если у вас нет чего-то типа леса, доверия между лесами, особо сложных заморочек с GP, то можно спокойно прыгать. Для маленьких организаций, где нужна в основном авторизация и файловые шары с принтерами, самба была вполне юзабельна и в нулевых. 4-ка просто принесла ранее недоступные плюшки, которые то отваливались, то терялись. Сам базовый набор: авторизация, шара/принтер - работал всегда.
Но если есть живая лицуха и нет жёсткого требования по импортозамещению, и всё хозяёство ещё и хорошо работает, то вопрос: ЗАЧЕМ?
Установка Samba AD+DDNS+DHCPD, почтового Сервера на основе Postfix+Dovecot, Apache2+PHP8+SSL, phpMyAdmin, PostfixAdmin, Roundcube, VSFTPd на OpenSuSE Leap 15.5 за 15 минут.
Лет 10 назад ты был бы первый парень на деревне! :)
А теперь такое на [inverted строну света] никому не нужно :-\
> никому не нужноза всех не отвечай!
Для начинающих будет полезно... установил, а потом копайся, изучай - сломал, быстро восстановил и т.д...
не открываю ту ссылку дай-ка догадаюсь хоть по паре вещей. Там не рассказано как gmsa учетки использовать и как правильно настроить kerberos делегирование?
> ... не рассказано как gmsa учетки использовать и как правильно настроить kerberos делегирование...а это и небыло целью! ... для этого есть гугля!
:-)))
Какой гугля? Большинство к этому относится как к магии. И дальше они никуда не пойдут. Зато как чаеки орут везде: лин-лин-лин-лин. Было бы гораздо полезней если к каждому пункту ты ссылки указывал вот типа такого https://en.hackndo.com/kerberos/
Group Managed Service AccountsSamba 4.21 adds support for gMSAs (Group Managed Service Accounts), completing support for Functional Level 2012.
https://wiki.samba.org/index.php/Samba_Features_added/change...
Kerberos Claims, Authentication Silos and NTLM authentication policies
https://wiki.samba.org/index.php/Samba_Features_added/change...,_Authentication_Silos_and_NTLM_authentication_policies:-)))
О, добавили недавно. Ты гляди-ка, больше наверное не надо отдельного сервиса под gmsa держать. И надеюсь оно работает адекватно. А не как корзина в смешенном домене. Текст они могут писать какой угодно, что реально из этого работает.
PS Описание как kerberos работает по моей ссылке расписано для людей.
> И надеюсь оно работает адекватно..."не читал, но осуждаю!"
напиши разработчикам самбы, что они все дебилы и с гордым видом продолжай работать на винде!
Линюкс тебе не нужен!
:-)))
Чел, ты наверное очень горд что смог статью про разворачивание за 15 минут самбы написать? С тобой нормально кажется до сих пор общались.
Давай в ответ я немножко про себя расскажу. Последние несколько лет я занимаюсь проверкой импортозамещения с целью переезда на отечественное. Либо открытое. С линуксом работал ещё с 9х годов. Этих самб, фриип и на их основе наделенных вариантов уже много штук перепробовал. В вариантах всевозможных - от чистой самбы, фриипы, до смешанных окружений фриипа + самба + вин. Даже просто полчаса поработать с этим хватает. Проблемы сыпятся со всех сторон. Сейчас эту вещь можно использовать в смешанной среде примерно как rodc. То есть даже если она настоящий контроллер ни за что и никогда на ней не производить работу. Проблемы иначе огребешь. Тебе сейчас рассказали где оно может всплыть. А у тебя гордыня - я осилил за 15 минут бешплатно сделать то что другие за деньги неделя делают. Не, оно так не работает.
Смайликов побольше напиши, смайликов. Испанский стыд прямо.
> То есть даже если она настоящий контроллерСамба никогда небыла НАСТОЯЩИМ контроллером и не будет!
Это такой костыль между юникс системами виндос системами. И ты это знаешь!
Пытаться из юникс системы сделать полноценную виндос систему - гиблое дело.
Или оставаться в виндос или установить юникс систему без костылей!
ЗЫ: .. а скриптом за 15 минут - это скорее учебное пособие для начинающих!
... хотя для небольших фирм до 50 человек (коих несть числа) вполне рабочая система.
ЗЗЫ: и побольше юмора и поменьше обид!:-)))
> Самба никогда небыла НАСТОЯЩИМ контроллером и не будет!вот щас разработчикам 4й версии обидно получилось!
> Пытаться из юникс системы сделать полноценную виндос систему - гиблое дело.
Внезапно, smb протокол не разработан для windows (она тогда была - оболочка дешовая, а не операционная система, не под что было).
Более того, ради AD вендепоганой пришлось втащить кучу изначально вообще-то юниксных решений, от ldap до kerberos (про ip уж не говорю)
У них тут слепое пятно. Основа полностью заложена в институтах и опенсурс. И на тебе, до сих пор мс не могут догнать.
Если очень хорошо подумать это просто позор на всё коммунити. Не смочь за несколько десятков лет собрать готовое решение. А сейчас пытаться безнадежно повторить от офтопика. И это ещё не упоминаем такие вещи как фриипа - где ou не нужно, reldap - не нужен нам мастер-мастер и т.д.
ну так причина понятна - лудший друк опенсорса не спешит помогать, сам себя обгонять, потому что ему такое и даром не нать.А кенгуры австралийские, за аспирантские и потом видимо профессорские зарплаты промежду прочей антинаучной деятельностью - шмагли...вотъ. Прямо даже удивительно что и это-то шмагли.
Но меня больше удивляет другое - зачем вообще они кинулись импортозамещать в своей австралии именно AD, вместо того чтоб наоборот развивать идеи третьей самбы, как standalone fileserver для тех кому AD не нужен, потому что слишком мелкие, или наоборот - есть нормальный AD, потому что большие и менять его не собираются, но на данном конкретном сервере не нужна windows.
> --enable-rust- Здрасьте!
- Перепиши на расте!
зря ты так - тут как раз не переписали, а, уникальный (нет) случай - прослойку к прокладке написали с нуля.
Просто любопытно, кто-нибудь, юзает ли, сабж без виндового домена?
Сочетается ли с доменов на 2019 винде?
Юзает.
Насчет 2019й не понял.
Вообще нужен роадмап по замещению инфры на сервисах Майкрософта опенсорсными.
ОС у нас теперь сервис? Просто для меня сервис - это удаленное по, к которому я не могу получить доступ без сети. С окнами такого нет, можно просто отключить её и всё продолжит работать
Тс-сс, тихо тока никому не слова. Они не знают что такое Network File System.
> Тс-сс, тихо тока никому не слова. Они не знают что такое Network
> File System.https://learn.microsoft.com/en-us/windows-server/administrat...
> https://learn.microsoft.com/en-us/windows-server/administrat...ты, главное, пользоваться этим не пытайся. И вот на сервере - особенно. Не, скопировать пару файликов с умирающего древнего nas, не умеющего нормально в самбу (или умеющего в такую что с допустимыми уровнями безопасности уже не подключишься) - годится.
> Тс-сс, тихо тока никому не слова. Они не знают что такое Network
> File System.знаем - бесполезное ненужно, устаревшее на 30 лет. Даже от ftp в сегодняшней жизни больше проку.
совместимого с реализацией Windows 2008так эт, нынче год 2025
Ты сейчас удивишься, но достаточно старых win server используется внутри предприятий. Просто там нет смысла их менять, пока это всё не умрёт окончательно(кора вечна) и обычно не торчит в сеть
Так там и сосамбу ставить смысла нет. Потому что во-первых на коре твоей вечной не запустится ни один моднявый дистрибутив, во-вторых все равно работать не будет.