Опубликован (https://lists.samba.org/archive/samba-announce/2019/000471.html) релиз Samba 4.10.0 (http://www.samba.org/), продолживший развитие ветки Samba 4 (https://www.opennet.me/opennews/art.shtml?num=35571) с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).Ключевые изменения (http://www.samba.org/samba/history/samba-4.10.0.html) в Samba 4.10:
- В KDC и Netlogon добавлена поддержка модели запуска процессов "pre-fork", позволяющей поддерживать пул заранее запущенных процессов-обработчиков. Значение по молчанию параметра 'prefork children' в smdb.conf увеличено с 1 до 4;- В реализации модели pre-fork обеспечен автоматический перезапуск сбойных процессов. Задержки между попытками повторного запуска определяются через параметры "prefork backoff increment" (по умолчанию 10 секунд) и "prefork maximum backoff" (по умолчанию 120 секунд) - при каждой новой попытке время перед повторным запуском увеличивается на "prefork backoff increment" пока не достигнет значения "prefork maximum backoff" (для значений по умолчанию раскладка задержек будет следующей: 0, 10, 20, ..., 120, 120, ...);
- В стандартной модели запуска процессов, применяемой по умолчанию для ответвления новых процессов ldap и netlogon при поступлении новых запросов, реализована возможность ограничения максимального числа запущенных процессов (лимит регулируется параметром 'max smbd processes' в smb.conf, по умолчанию значение 0, т.е. без ограничений);
- Обеспечена полноценная поддержка языка Python 3. Поддержка Python 2 пока сохранена, но по умолчанию при сборке теперь используется Python 3 (Python 3.4+). Для сборки с Python 2 требуется установка переменной окружения: "PYTHON=python2 ./configure; PYTHON=python2 make". Сборка samba-биндингов возможна одновременно для Python 3 и Python 2 через указания флага 'configure --extra-python=/usr/bin/python2'. В ветке Samba 4.11 планируется прекратить поддержку Python 2 для биндингов и поднять требования к версии до Python 3.6;
- Добавлена команда 'samba-tool gpo backup', позволяющая экспортировать из домена набор объектов GPO (Group Policy Objects) в формате XML. Также добавлена команда 'samba-tool gpo restore' для импорта обобщённых данных GPO из XML;
- В команду 'samba-tool domain backup' добавлена поддержка опции 'offline', позволяющей безопасно создавать резервные копии локальной БД контроллера домена напрямую с диска. Новый метод не требует запуска Samba, работает быстре и включает дополнительные детали о внутренней структуре хранилища;- Добавлена команда 'samba-tool group stats', выводящая сводные сведения о распределении пользователей между группами в домене. Существующая команда 'samba-tool group list --verbose' расширена данными о числе пользователей в каждой группе;
- Для LDAP изменено (https://wiki.samba.org/index.php/Paged_Results) поведение расширения Paged Results (https://www.ietf.org/rfc/rfc2696.txt), позволяющего частями обрабатывать результаты запросов с разбиением данных на страницы. Обработка страничных запросов в Samba приведена в соответствие с поведением серверов Windows (раньше разные страницы в выборке отдаваться на основе неизменного статического слепка БД, а сейчас учитывают изменения в БД, полученные с момента прошлого страничного запроса);
- В выводимых в JSON-лог сообщениях аутентификации добавлено отображение идентификатора события ("eventId", код успешного или не успешного входа) и типа входа ("logonType", интерактивный, сетевой и незащищённый сетевой). В сообщениях о смене пароля и изменении участия в группе также теперь отображается "eventId" (пароль изменён, пароль сброшен, добавлен/удалён член группы). Изменён формат JSON-записей (убран префикс "JSON message_type:");
- В утилиту samba-tool добавлена поддержка протокола SMBv2 (ранее samba-tool не мог подключаться к внешнему контроллеру домена, на котором был отключен SMBv1);
- Добавлен новый VFS-модуль glusterfs_fuse, позволяющий увеличить производительность при обращении через Samba к разделам с GlusterFS, примонтированным с применением механизма FUSE (Filesystem in Userspace). Для повышения производительности модуль напрямую извлекает информацию об именах файлов через запрос расширенных атрибутов в ФС. Для включения ускорения достаточно добавить glusterfs_fuse в параметр "vfs objects". Новый модуль не заменяется собой vfs_glusterfs, а лишь предлагает альтернативный механизм доступа к разделам Gluster;
- Объявлены устаревшими и будут удалены в следующей ветке Python-биндинги к SMB client. Удаление повлияет на пользователей, использующих собственные утилиты с 'from samba import smb';
- Из-за наличия потенциальных проблем с безопасностью возможность сборки MIT Kerberos для AD DC переведена (https://wiki.samba.org/index.php/Running_a_Samba_AD_DC_with_...) в разряд экспериментальных опций и требует явного указания в configure флага "--with-experimental-mit-ad-dc";
- Удалён скрипт samba_backup, вместо которого следует использовать команду 'samba-tool domain backup offline'.
URL: ёнhttps://lists.samba.org/archive/samba-announce/2019/000471.html
Новость: https://www.opennet.me/opennews/art.shtml?num=50357
Всегда удивляло, что файловые серверы с Samba сетевой шарой (хоть Windows, хоть например из последнего QNAP, даже если через SSH) не позволяют узнать, с какого IP пользователь заблокировал файл. А только его логин.
Это фича. Полная анонимность, свобода, никаких телеметрий, IP никому не сливается.
враньё.
smbstatus отлично показывает
smbstatus
?
не знаю ещё как сабж, а 4.9.5 порадовал.
рекомендую
А что, в самом деле есть кто-то, кто её в режиме контроллера домена использует?
конечно на планете кто-нибудь да найдётся.
На какой именно?
Почему бы и нет?
Я использовал на предыдущей работе. Проблемы были только с правами доступа к файлам.
Т.е. с основной функциональностью?
Есть ситуации типа есть 1200 машин, а денег нет, но вы держитесь. На хабре была статья.
Использую. Аптайм домена уже года 3-4. Полёт нормальный.
С 2011 года используется.
Еще с альфы.
Потом проапгрейдил до 4.4.5.
Проблем нет.
Даже групповые политики работают.
Ещё как.http://altlinux.org/SambaDC не просто так расписали ;-)
использовали. Лет 7, пользователей порядка 200. Года 3 назад прекратили накатывать обновления на сервер, т.к. самба падала... Апгрейд ее тоже убивал. Пока думали как мигрировать на посвежее - оно при очередной перезагрузке просто не поднялось. Специалистов по самбе быстро найти не удалось, поэтому - все.
> Из-за наличия потенциальных проблем с безопасностью возможность сборки MIT Kerberos для AD DC переведена в разряд экспериментальных опций и требует явного указания в configure флага "--with-experimental-mit-ad-dc";"Какая жаль".
Полная поддержка системного MIT Kerberos в Samba, выступающей в роли RODC с выделенным административным пользователем - это просто мечта. Но пока, видимо нет.
когда уже наконец Samba научится объявлять о себе Windows 10 клиентам без SMB1.0 так чтоб бедные пользователи видели её (в Explorer/Network)?
пользакам такое видеть не надо, создайте им политику (через саму Самбу) по подключению сетевого диска Зю и всё
Для совместимости, чтобы все видели всех, можно:
1. В компонентах Windows поставить SMB 1.0
2. В smb.conf поставить минимального клиента 1.0
Годная конфигурация, особенно для совместимости с WannaCry и быстрого развёртывания троянов. )
> WannaCry и быстрого развёртывания трояновПод Linux?
В том числе...
https://www.guardicore.com/2017/05/samba/Ну 27 лет протоколу SMBv1. Его уже везде повыкидывали (нормальные).
Не вводите в заблуждение. WannaCry - только под Windows. Хотя надеюсь, что информацию, которую Вы тут публикуете, вряд ли кто всерьез воспринимает.
если обновления не ставить - то тебе никакая конфигурация не поможет.
wannacry как бе уязвимость не столько в протоколе, сколько в корявой реализации.
Тщательнейшим образом скопипасченной кенгуроидами (впрочем, они и не умели и не могли по другому, и опять же у них не было цели сделать ентер-прайс квалити, у них была цель "как-то научиться добираться до файлов с виндовой системы")
> объявлять о себе Windows 10 клиентам без SMB1.0научись читать и узнаешь много удивительного
Это проблема?
конечно это проблема. только не пиши в ответ вздор типа "это-же opensource - взял да дописал что тебе надо"
Это-же opensource - взял да дописал что тебе надо.
Неплохо.. очень неплохо.
Но я бы больше порадовался SMBv3 с шифрованием траффика.Кстати коннект с самбе происходит намного быстрее чем к виндовому серверу.
# smbstatus
Samba version 4.9.5
PID Username Group Machine Protocol Version Encryption Signing
----------------------------------------------------------------------------------------------------------------------------------------
...
...
3546 <sensored> <sensored> <sensored>(ipv4:<sensored>:54402) SMB3_11 - partial(AES-128-CMAC)
...
зыж
man smb.conf
smb encrypt (S)
This parameter controls whether a remote client is allowed or required to use SMB encryption. It has different effects depending on whether the connection uses SMB1 or SMB2
and newer:
· If the connection uses SMB1, then this option controls the use of a Samba-specific extension to the SMB protocol introduced in Samba 3.2 that makes use of the Unix
extensions.
· If the connection uses SMB2 or newer, then this option controls the use of the SMB-level encryption that is supported in SMB version 3.0 and above and available in
Windows 8 and newer.
This parameter can be set globally and on a per-share bases. Possible values are off (or disabled), enabled (or auto, or if_required), desired, and required (or mandatory). A
special value is default which is the implicit default setting of enabled.
прошу заметить:
> · If the connection uses SMB1, then this option controls the use of a Samba-specific extension to the SMB protocol introduced in Samba 3.2 that makes use of the Unix extensions.т.е. самба умела это ещё тогда, когда вантуз не умел.
А вот про Unix extensions, я понимаю это как поддержку POSIX ACL и POSIX Extended Attribures. SMBv1 с Unix extensions это умел, а как обстоит дело у SMBv3?
.. см. 2.12 выше
реальный коннект (юзвернэйм заменен с ip только. ибо нефиг)
Не умеет. Но активно пилят.
Всегда и везде:"sudo apt-get purge samba*"
Это идеал. Но в реале приходится поддерживать гетерогенную сеть.
Она по-умолчанию не установлена. Танк починить решил?
Зависит от сборки Linux. Так что в такой постановке все правы.
как LDAP backend только встроенный LDAP сервер или научили уже OpenLDAP работать с Samba 4?
глубина твоего вопроса воистину непостижима1. для интеграции Samba с OpenLDAP уже десятелетия есть схема (samba.schema)
2. никакого встроенного LDAP-сервера в Samba никогда не было и нет
2. LDB is the database engine used within Samba. LDB is an an embedded LDAP-Like database library, but not completely LDAP compliant.
>embedded
>LDAP-Likeэто ни разу не LDAP-server.
если что-то выглядит как LDAP-server, работает как LDAP-server и нормально общается с ldapsearch, ldapadd и ldapmodify -- то это скорее всего и есть LDAP:)
Нет, в этом выглядещем как "LDAP" нет основного - межсерверного взаимодействия/синхронизации.
Не знаю, что имеется ввиду под "межсерверного взаимодействия", но мультимастер репликация там вполне есть и даже работает как между самбовыми контроллерами, так и между самбами и виндой. Но да, с каким-нибудь openLDAP пореплицироваться не получится, но я слабо представляю зачем бы это понадобилось в данном контексте.:)
Для полноценной репликации не хватает реализации DFSR со стороны самбы и сейчас это реализуется с помощью костылей разной степени кривости, но и в этом направлении работы ведутся
то-есть по-твоему "embedded LDAP-Like database library" представляет собой "встроенный LDAP сервер"? научись сначала читать!
"Это больше чем факт! Это было на самом деле!" (с) :)
Для ПОЛНОЦЕННОЙ работы с Samba 4 - OpenLDAP эти схемы уже озвученные десятилетия использоваться не могут. Нет специфичных для MS расширений. Их нет в стандартах RFC 4511.
А та поделка, которая юзается для LDAP в SAMBA - в энтерпрайзе использоваться не может. Ну и вывод напрашивается сам собой - тянуть для LDAP решения и как-то их синхронизировать готов только полный извращенец.
Я имею в виду использование полноценного Active Directory/Kerberos и централизованного управления пользователя группами. А samba.schema это NT4 domain controller с устаревшими средствами аутентификации типа NTLM и иже с ними. "Выводя samba.schema" на kerberos - лишаешься централизованного управления пользователями.
А можно, если не трудно, чуть конкретней: в какой-конфигурации и что именно не получается сделать? Просто я немного причастен к использованию (не в продакшене пока) самбы и как конроллера и как реплики в окружении с виндовыми контроллерами и то, что я видел выглядело как рабочее. Т.е. и аутентификация через керберос и использование стандартных виндовых оснасток для управления пользователями/группами/политиками работают без нареканий. Некоторые вещи можно делать прямо через samba-tool (хоть и сильно ограниченный набор действий) Репликация между контроллерами работает (не считая костылей с sysvol, но они тоже как-то работают, хоть и больно:)
В сильно замудрённых конфигурациях стенды не гоняли пока, потому и интересно, как вашу проблему воспоспроизвести, чтоб починить попытаться, либо до апстрима донести.
PS. Если это касалось использования самбы с внешним LDAP-сервером, то да. Там наверное всё плохо и лучше так не делать действительно.:)
только w2k srvr или может заменить 2к8?
И что там в 2к8, чего нет в 2к?
Например, в NT 6.0 появился как раз SMB 2.0.
Ненавижу Самбу. Это костыль by design и концептуально, со всеми вытекающими.
"Не ради истины, а ради правды" - в реализации MS так и есть из-за дыр и сомнительных фич.
Лучше бы самбу никогда и не придумывали. NFS тоже мусор.
Придешь на какую-нибудь работу с ограничением по бюджету и железу, и будешь молиться на тот же NFS. Сколько он тебе денег и нервов сэкономит.
главное, чтобы эта работа была первой, ну вот как у тебя?
потому что кто трахался с nfs и при этом работал с той же самбой - будут молиться разьве что за упокой первой.> Сколько он тебе денег и нервов сэкономит.
тебе? А, тогда извиняюсь за первую фразу - ты, походу, лохов разводишь, а не сам такой?
А экономия дядиных денег за счет моего геморроя - это именно лоховство и есть.И да, не ходите на работы "с ограничениями по бюджету и железу" (в переводе - "слепите что-нибудь из дерьма и палок, выжеспециалисты, а мы вам будем звонить трижды за ночь, потому что палки все время разваливаются")
впрочем, даже при этих вводных, надо делать что-то очень странное, чтобы nfs тебе что-то там наэкономила, а не наоборот.
Даже если это соляркина nfs, которую хотя бы не надо вручную полировать нулевочкой.
Какой-то юношеский максимализм. Скажем так, в своем городе милионнике, тоже очень трудно найти специалиста, не который работает, а который знает как работают технологии.
По-моему, нет ничего плохого, что военка, авиа, космос и др. области работают и развивают вещи с прошлых десятилетий. И твое современное за полгода, и может за 5 лет не полетит. Пусть теперь более молодые поработают. Также и ИТ, все лучше и лучше, легче.
Теперь к черному, белому, и к дожитому серому. Если на крупном предприятии это проблема, то на маленьком это экономия.Если ты устал, сядь, попей чайку и вперед.
> Какой-то юношеский максимализм. Скажем так, в своем городе милионнике, тоже очень трудно
> найти специалиста, не который работает, а который знает как работают технологии.это вот и заметно по уровню коммента (если это один и тот же аноним)
> Теперь к черному, белому, и к дожитому серому. Если на крупном предприятии
> это проблема, то на маленьком это экономия.наоборот - если на крупном предприятии еще могут быть и реальные поводы использовать nfs, а не более современные разработки (например, мы используем. точнее, мы уже пять лет не можем прибить тварь) и, самое главное - редкие и дорогостоящие специалисты, действительно владеющие знанием как оно [не]работает в конкретно этой вот позе - то на маленьком это п-ц, и после отбытия учредившего его самоучки-без-мотора в прекрасное далеко - хорошо если предприятие выживет.
А вот сдохшую винду ему поднимет весьма доступный и по цене, и в количестве, обычный вендоадмин, со сдохшей сасамбой чуть сложнее, потому что там сложнее отличить того, который поднимет, от того, который добьет, но, в целом, тоже гораздо проще чем с nfs.
Напомнил, стоят на каждом этаже товарищи с масками и предметом похожими на а...,
и то радостное чувство, когда у тебя в серверной samba)
то радостное чувство, когда серверная вообще на другом континенте, и там не сосамба, а вполне себе лицензионный софт, ага.правда, если на каждом этаже товарищи в намордниках, но, почему-то, без поводков - лучше бы тебе самому перебираться на другой континент, потому что бизнесу, кажется, в любом случае наступает амбец.
Сами-то чего не перебираетесь, или "у нас в поводках"?
> Сами-то чего не перебираетесь, или "у нас в поводках"?ну так появление подобных персонажей в тех бизнесах, где я последние годы работаю - ну, как бы это намекнуть... в общем, от невероятного до совсем невозможного.
> вполне себе лицензионный софтКакой? Пример дай.
> в реализации MS так и есть из-за дыр и сомнительных фич.Здрасьте. Вообще дырявая реализация с версией SMBv1 сильно сделана совместно с IBM.
SMBv2 и боле новые же сильно переработаны и отличаются от первой версии.https://blogs.technet.microsoft.com/josebda/2008/12/09/smb2-.../
Неужто все уязвимости пофиксили в предыдущих выпусках? Или просто все выкуплены онределенными конторами?
Хозяйке на заметку:---
Samba DC в качестве второго контроллера в домене AD Windows 2012R2 и перемещаемые папки для клиентов на Windows и Linux
--- https://habr.com/ru/post/450572/