После шести месяцев разработки увидел свет (https://lists.samba.org/archive/samba-announce/2016/000372.html) значительный выпуск Samba 4.4.0 (http://www.samba.org/), продолживший развитие ветки Samba 4 (https://www.opennet.me/opennews/art.shtml?num=35571) с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).Ключевые изменения (http://www.samba.org/samba/history/samba-4.4.0.html) в Samba 4.4:
- Экспериментальная поддержка многоканального расширения SMB3 (протокол SMB3 Multi-Channel), позволяющего клиентам устанавливать несколько соединений для передачи данных в рамках одного SMB-сеанса. Например, при обращении к одному файлу операции ввода/вывода могут распределяться сразу по нескольким открытым соединениям. Данный режим позволяет повысить пропускную способность и увеличить устойчивость к сбоям. Для включения SMB3 Multi-Channel в smb.conf следует установить опцию "server multi channel support", которая отключена по умолчанию. Так как режим ещё не полностью протестирован на системах с большой нагрузкой, и может содержать недоработки, его не рекомендовано использовать в рабочих конфигурациях;- Поддержка асинхронной обработки flush-запросов от клиентов SMB2/3, которые более не блокируют обработку других запросов. Отключение асинхронного сброса буферов можно активировать при помощи опции 'strict sync';
- Переписан модуль WINS nsswitch, который переведён на использование библиотеки libwbclient для формирования WINS-запросов. Упрощён код и решены проблемы с потреблением памяти. Для разрешения WINS-имён при помощи nss_wins теперь обязателен запуск winbind.- В smbd прекращена поддержка сборочной опции '--with-aio-support', так как разработчики отказались от POSIX-RT aio в пользу pthread_aio;
- Добавлена возможность выполнения команды "samba-tool sites" для БД на другом сервере (адрес URL LDB передаётся через опцию '-H');
- Для команды "samba-tool domain demote" реализована опция '--remove-other-dead-server', позволяющая удалить внешний нефункционирующий контроллер домена;
- Добавлена команда "samba-tool drs clone-dc-database" для реплицирования начального клона домена, без вхождения в него (команда разработана для отладочных целей);
- В утилиту pdbedit добавлена опция '--set-nt-hash', позволяющая установить пароль пользователя, указав шестнадцатеричную строку nt-hash. Посмотреть хэши паролей можно при помощи команды 'pdbedit -vw';
- Утилита smbstatus расширена возможностью показа состояния цифровых подписей и шифрования для сеансов и разделов (share);
- В smbget вместо раздельного задания имени пользователя и пароля через опции -u и -p, введена унифицированная опция "-U username[%password]";
- В s4-rpc_server добавлена реализация backupkey на базе GnuTLS;
- В ntlm_auth добавлена опция '--offline-logon', разрешающая использование прокэшированных паролей при неоступности контроллера домена.
- В состав включен новый модуль vfs_offline для перевода всех файлов в состояние offline, что может быть полезно для шар, смонтированных поверх сетевой ФС;
- Большая порция улучшений в компоненте CTDB, отвечающем за работу кластерных конфигураций:
- Реализована новая схема параллельного восстановления БД, позволяющая избежать взаимных блокировок в smbd и увеличивающая скорость восстановления.
- Налажена установка в произвольные директории, заданные на этапе сборки (решены проблемы при установке samba в /usr/local);- CTDB_DBDIR может принимать значение tmpfs[:<tmpfs-options>] для размещения TDB в tmpfs;
- Прекращено использование настройки CTDB_NATGW_SLAVE_ONLY, вместо которой все узлы должны полагаться на опцию "slave-only" в CTDB NAT;
- Добавлен скрипт 05.system для мониторинга за ресурсами, позволяющий отслеживать проблемы с производительностью или различны отклонения. Настройка производится через переменные CTDB_MONITOR_FILESYSTEM_USAGE, CTDB_MONITOR_MEMORY_USAGE и
CTDB_MONITOR_SWAP_USAGE;
- Удалён скрипт 62.cnfs, функциональность которого доступна через штатное обращение к mmaddcallback;- Параметр конфигурации EventScriptTimeoutCount переименован в
MonitorTimeoutCount;- В утилите ctdb прекращена поддержка опции "-n all", так как она корректно поддерживалась не во всех командах. Вместо неё следует использовать формат "ctdb ip all";
- Из поставки удалены VFS-модули vfs_smb_traffic_analyzer и vfs_scannedonly из-за отсутствия заинтересованных в их поддержке сопровождающих.
Кроме того, можно отметить анонс (https://www.sernet.de/en/news/news-detail/detail/badlock-ank.../) критической уязвимости "Badlock (http://badlock.org/)", которая затрагивает почти все версии Windows и Samba. Информация о проблеме и патчи для её устранения будут раскрыты 12 апреля. Проблема выявлена одним из разработчиков Samba и свявзана с фундаментальными проблемами протокла SMB, не специфичными для конкретных реализаций. Проблема отмечается как очень опасная, до такой степени, что Microsoft и Samba договорились выпустить обновления одновременно.URL: https://lists.samba.org/archive/samba-announce/2016/000372.html
Новость: http://www.opennet.me/opennews/art.shtml?num=44099
Блин, не было печали.
Так это получается не только файловые сервера надо патчить, но и всех виндовых клиентов у которых в большинстве своём сам сервис samba работает.
Жесть какая.
Выбрал дерьмовый протокол — страдай
А что еще он мог выбрать для виндовых клиентов?
В уяндексе тестировали и не для вендовых. По локалке smb показывает себя лучше всего...
да, абсолютно верно. samba под линуксом уже лет десять как работает лучше nfs на той же машине. даже если клиенты линуксовые, да.
Раньше была родная реализация протокола NFS от Микрософт, либо можно было стронними клиентами NFS пользоваться! Под dos даже были nfs клиенты в своё время...
Для файловых шар можно использовать десятилетиями отлаженный NFS протокол, или есть куча других систем типа альтернативных.
Для дел печати наверно легко использовать протокол CUPS, заодно никаких проблем ни с Юниксами, ни с МАкОС не будет.
Микрософтовский nfs клиент очень нестабильный, хоть и уделывал самбу по скрорости на маленьких файлах.
> Для файловых шар можно использовать десятилетиями отлаженный NFS протокол, или есть куча
> других систем типа альтернативных.Может и отлаженный ,только специалистов по его готовке нету :-(
Я не знаю от чего (от фазы луны не зависит проверял если что )NAS сервак у меня на работе
то работал с нормальной скоростью по NFS3 ,то переключался на протокол NFS2 c дикими тормозами . От клиентов не зависело ,от нагрузки не зависело ,перезагрузка клиентов и сервера не всегда помогала :-(.Проблем с сетью не было ,пришлось переключиться на SMB2 с юниксовыми расширениями ,скорость всегда оставалась стабильной ,т.е мощности NAS сервера хватало за глаза .
tcpdump бы запустил и разобрался, а так конечно, по фазе луны погадал, лабовоху протер, шины по пинал. Хреновая машина не едет.
Это не аналог самбы, оно не умеет даже доступ разграничивать. Лишь бы пунуть.
> Это не аналог самбы, оно не умеет даже доступ разграничивать. Лишь бы
> пунуть.Зависит от реализации сервера ,есть реализации с поддержкой списков ACL и возможностью разграничивать скорость .Когда то видел вообще надстройку к самбе что бы реализовывать nfs ,жалко автор плагина забросил работу .В NFS 4 появилось - обозреватель ресурсов ,разграничение ресурсов ,возможность делать кластера ,шифрование .Только что то ажиотажа нет ,как и специалистов в сложных случаях способных помочь .
> можно использовать десятилетиями отлаженный NFS протокол,на солярисе можно. под винду, дос и юникс -- удовольствие сомнительное.
> или есть куча других систем типа альтернативных.
ага, их аж три всего в природе. smb, afp да nfs. ну, четыре если плюс webdav.
> на солярисе можно. под винду, дос и юникс -- удовольствие сомнительное.здесь юникс -- это linux да bsd, разумеется. очень вероятно, что в других коммерческих юниксах nfs также работает получше, чем на них. я имел дело только с солярисом и скажу, что разница существенная.
> А что еще он мог выбрать для виндовых клиентов?ssh/sftp
Если тебе от этого станет хоть чуточку легче, то сервера под фрёй.
С ней в этом случае проще лишь потому, что обновляемых серверов гораздо меньше чем клиентов.
А вот с клиентами то.... Да ещё и под ХРю искать надо будет от встраиваемой редакции заплаты.Беда.
Но плачешь-то ты от обновлений венды, в том числе и экспи, не так ли?
Не плачу точно, а вот то что предстоит на виндовых клиентах чего-то чинить не сильно радует.
А что принципиально не так с виндовыми клиентами и в частности ХРными? Только линукс, только хардкор? :)
А что по поводу уязвимости в реализации smb от apple?
>> После шести месяцев разработки... с полноценной реализацией...
>> Ключевые изменения в Samba 4.4:
>> Экспериментальная поддержка...Так что с тыблочной реализацией тоже всё в порядке, не переживай.
>Экспериментальная поддержка многоканального расширения SMB3 (протокол SMB3 Multi-Channel),значит ли это то, что теперь когда один пользователь откроет два разных файла на каждый файл будет (на стороне сервера) создаваться свой PID, а не теперь как сейчас когда на десяток файлов один и тот же pid идет.
Или будут другие фичи, которые позволят прибить блокировку на один файл, не прибивая всю пользовательскую smb-сессию ?
>>Экспериментальная поддержка многоканального расширения SMB3 (протокол SMB3 Multi-Channel),
> значит ли это то, что теперь когда один пользователь откроет два разных
> файла на каждый файл будет (на стороне сервера) создаваться свой PID,
> а не теперь как сейчас когда на десяток файлов один и
> тот же pid идет.
> Или будут другие фичи, которые позволят прибить блокировку на один файл, не
> прибивая всю пользовательскую smb-сессию ?samba-tool processes. Узнаем) но не думаю что пиды разные будут)
Сейчас очень плотно тестирую каждые версии,т.к. в компании пишу кастыли для внедрения домена. Прослушал выступление от одного разработчика red hat по самбе и понял,что перспектива будет тогда,когда вы датите денег на разработку ОПРЕДЕЛЕННЫХ ФУНКЦИЙ самбы. в общем,кто ждет обширного развития этого проекта - обломитесь. в релиах вы будете получать только то, что выгодно тем,кто платит. Использую сборки sernet. ибо немцы пишут этот форк лучше. Кстати, прошу помощи и идеи для меня. Что можно еще воплотить интересного на самбе? сейчас имею Ad+ldap+msdfs+sysvol. кластер не интересен.
dns- внешний. столкнулся даже с такой проблемой - надо после сборки с опцией BIND9_DLZ поменять TTL в записях. И что я вижу? samba-tool не поддерживает. Приходится через windows DNS оснастку менять и то путем удаления и заново ввода.
"в компании пишу кастыли для внедрения домена"
"перспектива будет тогда,когда вы датите денег"
"кто ждет обширного развития этого проекта - обломитесь""Что можно еще воплотить интересного на самбе?"
Вы ждёте совета - какие ещё кАстыли внедрить?
> Вы ждёте совета - какие ещё кАстыли внедрить?Хватит уже ругать такой весь из себя хороший протокол имени MS!
(да, я в курсе про NetBIOS, это уже далеко не то)
> dns- внешний. столкнулся даже с такой проблемой - надо после сборки с
> опцией BIND9_DLZ поменять TTL в записях. И что я вижу? samba-tool
> не поддерживает. Приходится через windows DNS оснастку менять и то
> путем удаления и заново ввода.именно кАстыли. от слова custom. какие еще возможности домена интересно задействовать на самбе?
> Кстати, прошу помощи и идеи для меня.
> Что можно еще воплотить интересного на самбе?Вдруг да пригодится в этом ключе: https://lists.altlinux.org/mailman/listinfo/samba (а про разработчика -- речь случайно не о Саше Боковом?)
Он. Классно рассказал про перспективы, что я аж всплакнул над своей учестью
> кАстыли
> от слова custom
>
> учестьюОт слова chest видимо?
от слова честь
Как пафосно! :) Но было ли на чем плакать?
>в релиах вы будете получать только то, что выгодно тем,кто платитЛюбопытно стало, кто догадался заплатить за SMB3 Multi-Channel?
Да 3 версия просто обязаны быть априори. Встает вопрос так, что на реализацию полную домена - нет сил. а вот узкие моменты вполне можно реализовать быстрее в рамках проекта
>Использую сборки sernet.Разве их распространяют бесплатно?
предыдущая версия вроде доступна для скачивания
4.2 да, но это старье, эх придется собирать из исходников, а времени на это нет
>> Так как режим ещё не полностью протестирован на системах с большой нагрузкой и может содержать недоработки, его не рекомендовано использовать в рабочих конфигурациях;Интересно узнать кто и как использует самбу на больших нагрузках (> 1000 сессий).
Думаю winbind раком встанет просто.
А с чего ты взял, что большие нагрузки начинаются именно с 1000?
> А с чего ты взял, что большие нагрузки начинаются именно с 1000?Ок, кол-во одновременных сессий >1000
>> А с чего ты взял, что большие нагрузки начинаются именно с 1000?
> Ок, кол-во одновременных сессий >1000Оно и при одном подключении упирается рогом и нифига не использует весь канал (даже 100мбит) Какие тыщи? Акстись!
>>> А с чего ты взял, что большие нагрузки начинаются именно с 1000?
>> Ок, кол-во одновременных сессий >1000
> Оно и при одном подключении упирается рогом и нифига не использует весь
> канал (даже 100мбит) Какие тыщи? Акстись!Оно это что? Причем тут канал? Я про работу winbind вообщето
За место winbind можно использовать sssd или nlcd.
> многоканальногоЗначит ли это, что самбу можно будет использовать как библиотеку MS SCVMM?
Кстати: Analyzing Samba with PVS-Studio on Linux - http://emacsdump.blogspot.ru/2016/03/running-pvs-studio-on-s...
Что еще раз подтверждает: анализов кода много не бывает. Не обязательно pvs, но ради выявления таких ляпов надо чекать
> совместимого с реализацией Windows 2000Шел 2016 год...
ну и пусть себе идет, Вы тоже хотите ? на юг это туда >>>
Мне всегда казалось юг - туда ↓
ну так мы пользуемся одним старьем, вот Linux является клоном Unix( которой больше 40 лет ), только с кучей дров, поддержкой x86/x86-64 и большей производительностью
скромно из-за угла: репликацию sysvol допилили...?
Нет мы еще не допилили, патчи приветствуем https://github.com/samba-team/samba/pulls
а поддержки протокала windows search так и нет..
Вангую появление эксплоитов и новых ботов до того как опубликуют патчи
> Экспериментальная поддержка многоканального расширения SMB3Одни словом мультиплексирование фреймов как в HTTP/2.0
Когда там портируют Самбу на любого windows клиента, вот тогда и будет удар поддых Микрософту :
Опять и снова этот пиар с отдельным названием для дыры, сайтом и логотипом вместо простенького номера cve или мсовского бюллетеня (раз это их тоже затронуло).
Всегда было интересно в каких компаниях это используют, обычно такое внедрять не дают.
Там, где начальство дубовое, а админ ставит файлопомойку на страйп
ну и шого там етот пресловутый бэдлок?