https://www.opennet.me/openforum/vsluhforumID3/107056.html Доступны (http://permalink.gmane.org/gmane.network.samba.announce/364) корректирующие выпуски Samba 4.3.6, 4.2.9 и 4.1.23 (https://www.samba.org/), в которых устранены две уязвимости:<br><br><br><br><br>- CVE-2015-7560 (https://www.samba.org/samba/security/CVE-2015-7560.html) - аутентифицированный клиент может обойти ограничения ACL. Использовав UNIX-расширения протокола SMB1 пользователь может создать символическую ссылку на файл или директорию, доступ к которым ограничен. Затем при помощи SMB1 без UNIX-расширений пользовоатель может перезаписать содержимое данного файла или директории, обратившись к ним через созданную ссылку. Проблема проявляется во всех выпусках, начиная с 3.2.0. В качестве обходных путей защиты можно запретить использование UNIX-расширений ("unix extensions = no" в секции "[global]") или ограничить протокол версией SMB2 ("server min protocol = SMB2" в секции "[global]").<br><br><br><br>- CVE-2016-0771 (https://www.samba.org/samba/security/CVE-2016-0771.html) - уязвимость во встроенной DNS-сервере, пост https://www.opennet.me/openforum/vsluhforumID3/107056.html#38 Sat, 12 Mar 2016 08:40:56 GMT &gt; Перевод ADC с Samba4 на свежекупленный WinServer (шаг <br>&gt; весьма логичный в конкретно Вашей ситуации)<br><br>Не логичный. Выбор Майкрософта при наличии любой альтернативы -- признак некомпетентности. Тем более когда альтернатива СПО.<br> https://www.opennet.me/openforum/vsluhforumID3/107056.html#37 Sat, 12 Mar 2016 08:14:44 GMT &gt; Нет, переход был связан с сокращением долгосрочных расходов на поддержку парка ПК и серверов. Я же написал, что дело в эконом. выгоде по железу и ЗП персоналу.<br><br>Те же яйца, только в профиль. К Samba4 и ее возможностям Ваше решение имеет весьма косвенное отношение. Вам оказалось экономически выгодно перейти на использование терминального решения, и Вы купили WinServer именно для использования в качестве терминального сервера. Перевод ADC с Samba4 на свежекупленный WinServer (шаг весьма логичный в конкретно Вашей ситуации) был лишь следствием, и вряд ли мог "сразу уменьшить головную боль в несколько раз", в чем Вы настойчиво пытаетесь всех нас здесь убедить...<br> https://www.opennet.me/openforum/vsluhforumID3/107056.html#36 Fri, 11 Mar 2016 18:37:33 GMT &gt;&gt;По-итогу, насколько я могу судить, единственной серьезной причиной перехода на Windows Server<br><br>Нет, переход был связан с сокращением долгосрочных расходов на поддержку парка ПК и серверов. Я же написал, что дело в эконом. выгоде по железу и ЗП персоналу. Если Вы сможете убедить руководство вбухать лишние 800 т.р. в обновление парка ПК ради того, чтобы остаться на опенсорсном продукте, то я могу позавидовать доходам Вашей компании.<br><br>И еще раз повторюсь - Samba достойный продукт, но... всегда есть выбор.<br> https://www.opennet.me/openforum/vsluhforumID3/107056.html#35 Fri, 11 Mar 2016 08:58:13 GMT &gt; Я же не говорю, что Samba4 плохая и не нужно её использовать.<br><br>Вообще-то именно это Вы и сказали несколько постов назад. По-крайней мере мне трудно по-другому интерпретировать вот эту Вашу фразу:<br><br>&gt;&gt; Мигрировали в январе с Samba 4.x на Win2012R2 (40 ПК) - сразу уменьшилась головная боль в несколько раз.<br><br>По-итогу, насколько я могу судить, единственной серьезной причиной перехода на Windows Server, в вашем случае, было то, что сервер Вы и так уже купили. Причем купили не потому, что Вам не хватало каких-то возможностей Samba4 как ADC, а потому, что Вам нужен был терминальный сервер.<br> https://www.opennet.me/openforum/vsluhforumID3/107056.html#34 Fri, 11 Mar 2016 05:11:57 GMT &gt;&gt;Организации с миллионами объектов вляпываются в необходимость ручной поддержки некрософтом по совершенно специальному прейскуранту. Просто чтоб Вы понимали цену этому предположению.<br><br>Я это прекрасно понимаю, работал в организации где в свое время мы мигрировали с Novell NetWare 6.5 на WinSrv2008 (&gt;500 офисов по стране, &gt;6500 ПК)<br><br>&gt;&gt;В работе. Вас как затронуло, кстати?<br><br>Нас не затронуло, но одного знакомого у которого были какие-то самописные серверные костыли под MIT реализацию это тормознуло, но это частный случай и довольно редкий.<br> https://www.opennet.me/openforum/vsluhforumID3/107056.html#33 Fri, 11 Mar 2016 04:55:55 GMT Это не сильно известные ограничения Samba4, на wiki.samba.org эти данные разбросаны на многих страницах и новичку их найти довольно сложно.<br><br>Я же не говорю, что Samba4 плохая и не нужно её использовать. Samba4 очень достойный продукт для замены DC от MS, но в некоторых случаях использовать Samba4 выйдет себе дороже, в моем случае более выгодно было перейти на терминальные решения от MS и использовать лицензионную WinSrv2012R2 (лиц.для образов учреждений).<br>Если сильно интересно почему мы перешли на MS и какая в этом для нас была выгода, то могу рассказать. Если вкраце, то в той организации где был переход за 7-8 лет использования Samba3 и Samba4 на файловом сервере из-за недосмотра предыдущих админов образовался огромный бардак с правами, в сети образовалось 2 DC на Samba3 и Samba4, неправильно был спроектирован домен на Samba4 и чтобы решить эту задачу без остановки работы компании было принято решение перенести файловую помойку на WinSrv2012R2 попутно наведя в ней порядок, нормально выдать права на основе https://www.opennet.me/openforum/vsluhforumID3/107056.html#32 Wed, 09 Mar 2016 20:13:51 GMT &gt; 1. Максимальный размер базы данных Samba ограничен 4 Гб, см. ограничение tdb, <br>&gt; то есть для крупных организаций, c сотнями тысяч объектов в каталоге <br>&gt; AD, переход на Samba может оказаться невозможным.<br><br>Организации с миллионами объектов вляпываются в необходимость ручной поддержки некрософтом по совершенно специальному прейскуранту. Просто чтоб Вы понимали цену этому предположению.<br><br>&gt; - Отсутствует функция SID Filtering, отказ от нее существенно снижает уровень<br>&gt; безопасности при организации доверительных отношений; <br><br>Кстати, у нас есть некоторые проработки на тему фильтров при синхронизации, можно поднять, если кому ещё понадобятся.<br><br>&gt; 8. Отсутствие поддержки MIT Kerberos; <br><br>В работе. Вас как затронуло, кстати?<br><br>&gt; 11. Можно продолжать и далее, но зачем?<br><br>Ну почему -- мне, например, интересно. :) В той части, что по существу.<br> https://www.opennet.me/openforum/vsluhforumID3/107056.html#31 Wed, 09 Mar 2016 20:06:06 GMT &gt; Лучше бы сосредоточили усилия на безопасности, обеспечении масштабируемости<br><br>Поищите про кластерную самбу.<br><br>&gt; По производительности (мои личные измерения) файловый сервер(дефолтные настройки)<br>&gt; уступает микрософтовскому вдвое - после тюнинга процентов на 5-10.<br><br>Надеюсь, понимаете, что без методики тестирования сойдёт максимум за надпись на сарае (мой опыт, кстати, ровно противоположен).<br> https://www.opennet.me/openforum/vsluhforumID3/107056.html#30 Wed, 09 Mar 2016 20:03:44 GMT &gt; Подскажите пожалуйста те, кто имеет опыт использования 4 самбы,<br>&gt; является ли она сейчас полноценной заменой виндового АД контроллера ?<br><br>См., например,<br>http://www.altlinux.org/SambaAD<br>http://lists.altlinux.org/mailman/listinfo/samba<br>