После шести месяцев разработки опубликован (https://lists.samba.org/archive/samba-announce/2017/000420.html) релиз Samba 4.7.0 (http://www.samba.org/), продолживший развитие ветки Samba 4 (https://www.opennet.ru/opennews/art.shtml?num=35571) с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).Ключевые изменения (http://www.samba.org/samba/history/samba-4.7.0.html) в Samba 4.7:
- После четырёх лет разработки в Samba реализована (https://wiki.samba.org/index.php/Running_a_Samba_AD_DC_with_...) поддержка компиляции и запуска Active Directory с MIT Kerberos (вместо Heimdal Kerberos). Использование MIT Kerberos активируется опцией "--with-system-mitkrb5" в скрипте configure и требует наличия как минимум MIT Kerberos версии 1.15.1 и установки пакеов krb5-devel и krb5-server. По сравнению со сборкой с Heimdal пока отсутствует поддержка PKINIT, S4U2SELF/S4U2PROXY и RODC;
- Добавлены (https://wiki.samba.org/index.php/Setting_up_Audit_Logging) средства для аудита механизмов аутентификации и авторизации, позволяющие сохранять в логе детальную информацию о входах пользователей, включая IP-адрес клиента, имя пользователя, тип операции и сопутствующие параметры. Для записи данных аудита в лог введены два новых класса отладочной информации: "auth_audit" и "auth_json_audit" для обычных текстовых логов и записей в формате JSON;- LDAP-сервер для контроллера домена Active Directory переведён на многопроцессную модель работы и теперь может одновременно запускать несколько процессов-обработчиков;
- Внесены изменения в поведение утилиты 'smbclient': Прекращён вывод баннера 'Domain=[...] OS=[Windows 6.1] Server=[...]' при соединении с первым сервером. Максимальная версия протокола по умолчанию повышена до "SMB3_11", что позволяет использовать 'smbclient' с серверами без поддержки SMB1, но по умолчанию не задействует unix-расширения SMB1. Добавлена новая команда 'deltree' для рекурсивного удаления дерева каталогов;- Обеспечено применение полной блокировки всей БД LDB на чтение для обеспечения согласованности данных при выполнении операций поиска в LDAP и репликации (в прошлых выпуска применялась блокировка на уровне записей, что могло приводить к состоянию гонки при переименовании или удалении и сбоям (https://bugzilla.samba.org/show_bug.cgi?id=12858) при репликации и поиске);
- Изменён диапазон сетевых портов, используемых в сервисах RPC. Вместо портов "1024-1300" теперь применяются порты "49152-65535" по аналогии с Windows Server 2008 и более новыми выпусками. Для изменения диапазона портов можно использовать опцию "rpc server dynamic port range";
- Стабилизированы средства для создания контроллеров домена, работающих в режиме только для чтения (RODC, Read-Only Domain Controller). Ранее поддержка RODC находилась в категории экспериментальных возможностей. В Samba 4.7.0 проведена работа по устранению критических ошибок и проблем с совместимостью, что позволило перевести режим в разряд рекомендованных к использованию;
- Добавлена возможность хэширования паролей при помощи алгоритмов SHA-256 и SHA-512 вместо применения обратимого шифрования в атрибуте supplementalCredentials. Для генерации хэшей реализована опция 'password hash userPassword schemes', а также добавлены средства для извлечения хэшей в утилиту 'samba-tool';
- При выполнении команды подсоединения к контроллеру домена ("samba-tool domain join") через RPC обеспечено создание записей A и GUID в DNS, а также динамической генерации элемента mname в записи SOA;
- Существенно увеличена производительность поиска в Active Directory и репликации информации о членах группы. Ускорение обеспечено за счёт сохранения в БД отсортированных атрибутов, привязанных к членам группы, на разбор которых раньше тратилось много ресурсов CPU. В итоге, операции поиска существующих членов группы теперь выполняются в два раза быстрее, чем в прошлых выпусках Samba. Также увеличена производительность поиска непроиндексированных данных в LDAP и разбор списков управления доступом;
- При генерации самоподписанных сертификатов для LDAPS теперь применяется алгоритм SHA256 вместо SHA1;
- Представлена порция улучшений в компоненте CTDB, отвечающем за работу кластерных конфигураций, в том числе добавлен новый тип БД "replicated", реализована переменная конфигурации CTDB_NFS_CHECKS_DIR и запрещено использование разных версий CTDB в кластере;- При сборке на системах x86_64 реализована поддержка процессорных инструкций AES для ускорения шифрования и создания цифровых подписей в SMB3. Для включения следует использовать сборочную опцию "--accel-aes=intelaesni";
- По умолчанию активирован параметр конфигурации "strict sync", обеспечивающий безопасный способ сброса буферов на диск при выполнении запросов на синхронизацию незаписанных данных в smbd;
- Опция 'ntlm auth' переименована в 'ntlmv2-only' и расширена поддержкой режимов 'mschapv2-and-ntlmv2-only' (разрешает MSCHAPv2, но запрещает NTLMv1)
и 'disabled' (запрещает аутентификацию NTLM и смену пароля).URL: https://lists.samba.org/archive/samba-announce/2017/000420.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=47245
лучше бы домашнюю группу реализовали.
^
ловите норкомана
> лучше бы домашнюю группу реализовали.Тебе не о домашней, а продлённой группе думать нужно. И там же домашку и делать.
Я надеюсь, что теперь работа с smb шарами по протоколу выше 1 не будет вызывать спорадическую i/o error
Она и так уже не вызывает, по крайней мере в качестве клиента. Пользуйте ядро поновее.
Кто знает, подскажите: а есть ли вообще какие-нибудь внятные альтернативы Active Directory? Скажем если в сети все или почти все компы на Linux - поднимать виндосервер или его самба-имитацию кажется извратом, но как ещё можно реализовать централизованную базу пользователей и ресурсов?
LDAP?
> LDAP?+kerberos - иначе какая ж она "централизованная".
И получаем тот же AD, только "всем хуже".(включая и бесконечные дырья что в лдапе, что в хеймдале)
Ну и зачем, спрашивается, старались?
> LDAP?Это не продукт, а технология. Чел хотел готовый (бесплатный) продукт где не надо писать скриптв и шарить в консольке.
Никак. Если все компы - линукс, то вам пора читать про FreeIPA.
А вот если почти все, то альтернатив для АД нет. Из FreeIPA выпилили возможность ввести в домен винду. А так как без винды все равно никуда (дезигнеры, конструкторы, экономисты), то остается только Samba. Даже если у тебя всего 15 компьютеров под управлением виндовс и под 80 на линуксе... 8(
А можно пруф где говорится что винду в домен теперь нельзя ввести?
Логичнее сервис под винду написать
>Разработчик Red Hat
>Написана на Python, JavaScript[1]Ужас
https://ru.wikipedia.org/wiki/FreeIPA говорит прямо противоположное "FreeIPA нацеливается на поддержку не только для компьютеров на базе Linux и Unix, но и Microsoft Windows и Apple Macintosh компьютеров тоже."
P.S. За наводку спасибо, до этого момента про него не знал.
FreeIPA поддерживает винду ЧЕРЕЗ САМБУ!
> FreeIPA поддерживает винду ЧЕРЕЗ САМБУ!Точно через самбу? Не через АД?
Поддерживает то оно на бумаге или парой кликов дает настроить синхронищацию пользоваталей и всего остального с самбой?
У нас в сети были и Windows и Linux. Все было завязано реализовано на OpenLDAP (работает, проверено).
А зачем? АД выполняет свою работу вполне хорошо
> А зачем?это сладкое слово "халява"...
> Кто знает, подскажите: а есть ли вообще какие-нибудь внятные альтернативы Active Directory?[I]"В качестве альтернативы контроллера домена Active Directory сервер предоставляет [,,,]"[/I]
--https://www.basealt.ru/products/alt-server/Вот только беда: они не пишут, что альтернатива таки _внятная_. Наверное, потребуется доработка напильником[I]!
freeIPA
Линуксы АД и не поддерживают. Лишь притворяются через костыли.
NIS (YP) + NFS. С кучей граблей, зато нативно. Работает только на *nix.
Дети! Не слушаейте старого извращенца!
NFS нынешние одмины не осиливают, но если найдёте головастого то ещё "туды-сюды" ...
А NIS должен быть просто запрещён к эксплуатации по статье за из*****ание КРС! :-ЕУж лучше самба! По крайней мере хоть будет у кого спросить :-\
Вы мне льстите. :D> КРС
Крупного рогатого скота? Это с какой стати?
Для тех кому лень читать простыню:
Долгожданная поддержка RODC + багфиксы.
>При выполнении команды подсоединения к контроллеру домена ("samba-tool domain join") через RPC обеспечено создание записей A и GUID в DNS, а также динамической генерации элемента mname в записи SOAСамый мёд!!!
А поддержка dns там как реализована? Он должен стоять на машине с самбой? А если виндовый уже где-то стоит, то самба с ним работает?
вот это важнее:
> После четырёх лет разработки в Samba реализована поддержка компиляции и запуска Active Directory с MIT Kerberos (вместо Heimdal Kerberos).что означает, что в шапке, центоси и тд. дистрах поддержка в качестве контролера домена появится из каробки.
оно и так было,требовалось только удалять перед установкой kerberos-mit
Слушайте, как выпилить эту самбу из Linux Mint? Мне никогда в жизни не нужно было, но похоже весь UI на ней завязан. Или хотя бы выключить, а то регулярно в ней дыры находят, наверно самое дырявое место в моей системе.
Закрой файрволлом.
Выглядит примерно как резиновые штаны в качестве средства от поноса, честно говоря. При отсутствии вариантов это выход, конечно, но крайне печально, что в модных нынче дистрибутивах (что Альт этот, что Убунту) не предусмотрена возможность отключения ненужных служб. Вот сижу сейчас на Ubuntu LTS, гляжу в процессы, а там 2 демона Avahi, 3 демона Zeitgeist, 6 демонов Evolution (никогда в жизни ничем этим не пользовался и не хочу), ещё всякие ненужные штуки типа update-notifier, на Альте ещё и Самба эта, и запретить всему этому запускаться (не говоря уже о том, чтобы удалить вообще) нет никаких штатных вариантов. В винде и то лучше: выбрал ненужный сервис в списке, ткнул "Disable" и готово, а тут только прикрыться фаерволом и терпеть...
Только не в Альте, а в Минте, пардон, оговорился "по Фрэйду" :-]
Им уже прям на лопате готовый systemd дали для этого. А всё мало...
а чем systemctl disable service не подходит?PS
# find / -name "*samba*" | xargs rm -rf
Avahi то чем мешает??
> Avahi то чем мешаетминимум дважды его ломали. В корпоративных и нормально настроенных домашних сетях, где нет монокультуры маков - нахрен не нужен. В untrusted - опасен.
пользы при этом - даже там где он может работать - значительно меньше чем от страшной-ужасной самбы. (которая, скорее всего, если не делать специальных телодвижений, представлена исключительно клиентом, но нашему шкoльнику сие невдомек)
mdns из коробки мегаудобен, не знаю чего все агрятсЯ на это. Понятно, что если инфраструктура настроена админом, то в этом нет необходимости. Но дома самое оно
> Понятно, что если инфраструктура настроена админом, то в этом нет необходимости.
> Но дома самое оноу меня дома - инфраструктура, настроенная админом.
С изолированными сегментами для шибкоумных микроволновок, гостевых мабил с "дорогим" траффиком и ip-телефонии. Собственно, где еще имела бы смысл пресловутая сасамба с ее недо-поддержкой AD ?
А было б дома только и занятия, что фоточки с ипхона перебросить на ипад - тогда, конечно, сошел бы и rendezvous. Правда, шибко-умный телевизор его, наверное, не поддерживает, не смотря на весь свой линукс унутре.
>[оверквотинг удален]
> При отсутствии вариантов это выход, конечно, но крайне печально, что в
> модных нынче дистрибутивах (что Альт этот, что Убунту) не предусмотрена возможность
> отключения ненужных служб. Вот сижу сейчас на Ubuntu LTS, гляжу в
> процессы, а там 2 демона Avahi, 3 демона Zeitgeist, 6 демонов
> Evolution (никогда в жизни ничем этим не пользовался и не хочу),
> ещё всякие ненужные штуки типа update-notifier, на Альте ещё и Самба
> эта, и запретить всему этому запускаться (не говоря уже о том,
> чтобы удалить вообще) нет никаких штатных вариантов. В винде и то
> лучше: выбрал ненужный сервис в списке, ткнул "Disable" и готово, а
> тут только прикрыться фаерволом и терпеть...Терпи. Это ж открытая система где все можно изменить... ну или хотя бы где-то написано для чего весь этот мусор в системе.
Еще спроси зачем у тебя bind на декстопах стоит да еще и запускается.
man iptables
Не уверен про подделку под названием Минт.
Но вообще, она должна быть по дефолту отключена. В Ubuntu так.
apt purge samba сделать религия не позволяет?
Или systemctl stop smbd.service && systemctl mask smbd.service
Я точно в linux mint не знаю, но если гвоздями не прибили (читай прямой линк на либу самбы или еще хуже - статический линк), то обычно самбу можно легко снести - полностью удалить сервис и ее утилиты. При этом софт останется работоспособным но samba в ней работать не будет. Чтобы зависимости не поломались в системе останутся установленными пакеты samba-common, samba-common-bin (возможно еще какие-то), которые не содержат рабочих бинарников самбы.
> Слушайте, как выпилить эту самбу из Linux Mint?лучше бы ты учился...
> но похоже весь UI на ней завязан
ui завязан на клиентские библиотеки (которые из-за dependency hell вполне могут притащить и сервер, ну это линукс, у нас все так) - поскольку есть примерно миллион мест, где в качестве имени файла можно набрать smb://гдетотам или даже вовсе //service/resource
и ломать это ради недоучившихся школьников с зачатками паранойи никто не намерен.разумеется, это вжопенсорсе, и никто не мешает пересобрать весь мир самому без поддежки сасамбы - теоретически, это, наверное, даже возможно штатными средствами практически во всем софте. Но тебе это не по уму. Иначе бы ты не задавал подобных вопросов.
> Или хотя бы выключить
она очень навряд ли даже в "linux mint" включена из коробки (хотя у альтернативно-одаренных "ready for desktop" всякое возможно). Но ты даже этого проверить не умеешь. А я понятия не имею, как именно в минте называется сервис, притаскивающий nmbd/smbd, так что не подскажу.
> наверно самое дырявое место в моей системе.
самое дырявое - nfs, просто ты до этого еще не дочитал свой учебник.
> Слушайте, как выпилить эту самбу из Linux Mint?sudo apt purge s?mb*
и\или использовать нормальный дистрибутив.
>Или хотя бы выключитьОтвет капитанский, очевидно удалить её из списка автозапускаемых сервисов.
Хорошо, что проект развивается.
Кто-нибудь может поделиться опытом экспоуатации Samba в качестве сервера AD?
В продакшене начиная с версии 4.0alpha18. Сеть небольшая, около 100 рабочих станций. Работает как часики.
> В продакшене начиная с версии 4.0alpha18. Сеть небольшая, около 100 рабочих станций.
> Работает как часики.Чем управляешь? (Политики, юзеры, logon-скрипты и т.д.)
В продуктиве с версии 4. Работает как часики. 200 машин.
Мы тоже на CentOS используем samba в качестве AD. PDC и BDC. Ставится из исходников, правда, но работает стабильно. Рулить можно из консоли, есть приложения для андроидов (почему бы и нет) и RSAT на одной виртуалке. GP и т.п. плюшки работают, на новые машинки сразу накатываются нужные программы с настройками.
> Хорошо, что проект развивается.
> Кто-нибудь может поделиться опытом экспоуатации Samba в качестве сервера AD?Если используешь только базовые функции - то проблем нет, все как бы работает. Но у меня опыт отрицательный, поскольку инфраструктура сложная, АД используется не только как ЛДАП, доменных контроллеров много (3 в офисе и по 2 на каждый ДЦ). Планировалось контроллеры в ДЦ делать на Самбе и подключить к имеющимуся AD Forest в офисе, но так и не удалось сделать Самбу полноценным контроллером (проблемы синхронизацией и пр.) - игрался до версии 4.5.
Полагаю, что проблема в том, что Самба 4 эмулирует винду 2000, а у нас 2012 была с умирающим 2008, а сейчас все перевели на 2016 уже.
Так что могу предположить, что если везде будет только Самба и устраивает функционал вин2000, то все будет работать без проблем. Если же нет - то лучше не терять времени на попытки скрестить "коня и трепетную лань"(С).
> Полагаю, что проблема в том, что Самба 4 эмулирует винду 2000,2008г2 вообще-то
> а у нас 2012 была с умирающим 2008, а сейчас все перевели на 2016 ужеДа-да.
Без 2016 ну никуда же.
Что за жизнь без 2016 то. И как раньше жили не понятно.
> Без 2016 ну никуда же.
> Что за жизнь без 2016 то. И как раньше жили не понятно.наоборот, вполне понятно как жили - 2010й год (2008R2), сервера подключаются гигабитными линками к свитчу, самые крутые - двумя, клиенты вообще не выше 100, да и диски в тех серверах не особо способны отдать больше чем тянет сетевуха. Сети простые и плоские как блин, самые крутые - имеют отдельный "серверный vlan".
сегодня "сервер" - это лезвие в блэйде, от него до "клиента" вполне может быть 40G (а у кого-то и 100), потому что клиент тоже ни разу не "десктоп", внутри вполне могут быть виртуальные сервера в количестве энцать штук, здравствуй геморрой с vxlan, ну и масса других милых мелочей.
Не кажется ли вам, что таки да - пора бы уже и серверную операционку немножечко обновить?правда, конкретно DC в 2016 не особо далеко уехал за эти восемь лет, но, поскольку самба по сей день догоняет и никак не догонит ту самую R2 (rodc, если что, это даже не r2, это 2008 образца 2008го года - и вот, только-только фича перестала быть экспериментальной), то результат вполне очевиден.
Но вот зачем ребятам понадобился этот троллейбус - неясно, виртуалка 2016 с этим самым DC на сегодня, по-моему, все еще бесплатна. И работает, в отличие от догоняющих.
> правда, конкретно DC в 2016 не особо далеко уехал за эти восемь лет, но, поскольку ...Что и требовалось доказать, сэнкс.
Зыж
А к примеру поверх ceph смогёшь вперед забегающую настроить?
Не?
Ну а насколько они отличаются видно даже тут —
> Уязвимость также затрагивает системы Microsoft на базе Active Directory, например, Windows Server 2008, в которых повторено некорректное поведение протокола. MIT Kerberos проблеме не подвержен, как не подвержены проблеме и исполняемые файлы Samba, собранные с MIT Kerberos.
>> правда, конкретно DC в 2016 не особо далеко уехал за эти восемь лет, но, поскольку ...
> Что и требовалось доказать, сэнкс.ну и ты предлагаешь сеть строить на файловых, почтовых, коммуникационных, менеджмент серверах на 2016 (это вот все категорически не хочется получить 2008го года издания, я еще хорошо помню, какое оно было), а DC "так и быть" оставить восьмилетней давности, на случай если внезапно зачешется подключить к ним еще и самбу для комплекта? (кстати, я не уверен что можно получить сегодня легальную лицензию на 2008r2 без танцев, жертвоприношений и искренней веры, а стоить будет как золотая, поскольку там нет халявы с dc-only role) Оно даже заведется, наверное...
> А к примеру поверх ceph смогёшь вперед забегающую настроить?
э... у меня, наверное, нет столько ненужных данных. Вы там что у себя храните такое, что сбросить в ceph не жалко? (не надо мне про циску, они это продают, а не сами используют)
> Ну а насколько они отличаются видно даже тут —
странно что ты не вспомнил вместо этого wannacry и совершенно аналогичную мартовскую дыру в сасамбе - которую даже тоже кто-то успел поэксплойтить, хотя и с меньшим шумом в прессе - денег у целевой аудитории, разумеется, нема.
> ну и ты предлагаешь сеть строить на файловых, почтовых, коммуникационных, менеджмент серверах на 2016 (это вот все категорически не хочется получить 2008го года издания, я еще хорошо помню, какое оно было), а DC "так и быть" оставить восьмилетней давности, на случай если внезапно зачешется подключить к ним еще и самбу для комплекта? (кстати, я не уверен что можно получить сегодня легальную лицензию на 2008r2 без танцев, жертвоприношений и искренней веры, а стоить будет как золотая, поскольку там нет халявы с dc-only role) Оно даже заведется, наверное...не распарсил. но если что, то сабж вполне себе сегодняшний. и нафига ему лицензии — х/з.
разве что откаты.
>...(не надо мне про циску, они это продают, а не сами используют)вау.
> странно что ты не вспомнил вместо этого wannacry и совершенно аналогичную мартовскую дыру в сасамбе - которую даже тоже кто-то успел поэксплойтить, хотя и с меньшим шумом в прессе - денег у целевой аудитории, разумеется, нема.странно другое, а именно то, что ты так и не понял кто там у кого что берет и кто кого догоняет.
кто первый дыры закрывает в этих 2-х сортах одного и того же Д....
если что, то сабж вполне себе работает не хуже мелкого. и я тут такой не один (см. коменты ниже)
> не распарсилты спрашивал - "зачем именно 2016" - тебе объяснили, зачем.
А вот совместимость всего этого с "сегодняшней" самбой, с грехом пополам дохромавшей до совместимости с виндой восьмилетней давности аж два дня назад - низачем, да. Ее удел - мелкие лавочки с краденой виндой на рабочих местах. Там она сравнительно адекватна, только нуегонах там работать. Забавно, кстати, что если не винда, то вообще непонятно, что ставить - третью самбу, не имевшую примерно половины проблем четвертой, доломали и бросили, apple не в счет, а больше ничего нормально работающего с per-user authorization в этих ваших линуксах не изобрели.> если что, то сабж вполне себе работает не хуже мелкого
на сеточках в сто юзеров с единственной файлопомойкой в качестве предоставляемого сервиса? Ну да, ну да...
А прикрутить к сложной сети, не с единственным доменом, да еще и территориально распределенной - у товарищей, как видим, не получилось. Думаю, нет смысла намекать, что у них квалификация явно получше твоей?
>> не распарсил
> ты спрашивал - "зачем именно 2016" - тебе объяснили, зачем.для лицензий?
достойный ответ. или я что важное пропустил?
> Ее удел - мелкие лавочки с краденой виндой на рабочих местах.
>..
> на сеточках в сто юзеров с единственной файлопомойкой в качестве предоставляемого сервиса? Ну да, ну да...куда не плюнь, одни грефы и чубайсы вокруг.
может вы нам расскажете какой такой страшный ldap, цербер, и дднс по 100гбс кровьизноса нужен?
не? шары? а?!!! вон оно что, михалыч. счаз будем сетевой стэк никсов сравниватьсамому не смешно?
ну нахрена мне по smb/cifs протоколу это гонять?
если я самбу разверну только уже для оконечного клиента.
поверх clvm/zfs/ceph/lustre/...(нужное подчеркнуть)
с рдма/инфинити/прочими поэтесами на свой кошелек?
это в вантузе только так и всё.
> для лицензий?то есть ни слова не понял? Ну в общем я не удивлен, уровень знаний типичного любителя самбы.
> куда не плюнь, одни грефы и чубайсы вокруг.
ты не поверишь, но крупных контор в общем-то "куда ни плюнь".
Хорошие датацентры вон забиты так, что всунуть куда-то пяток-десяток своих стоек - уже проблема.> может вы нам расскажете какой такой страшный ldap, цербер, и дднс
> по 100гбс кровьизноса нужен?
> не? шары? а?!!! вон оно что, михалыч. счаз будем сетевой стэк никсова самба-то у тебя не для шар, а исключительно для лдапа?
сетевой стек-то может и хороший (хотя чем дальше в лес, тем сомнительней успехи), а вот с сетевыми fs, под которыми где-то должна быть локальная - беда-бедой. nfs should be enough for all (and forever), лучшее (полуработающее) решение завязано на тот же kerberos...> ну нахрена мне по smb/cifs протоколу это гонять?
> если я самбу разверну только уже для оконечного клиента.чувак, "шары" как бы намекают, что оно нужно одновременно не одному клиенту. Причем "клиент" нынешний тоже непростой пошел, это все чаще - терминальный сервер (а то и распределенный кластер), соответственно, жреть он ни разу не пресловутые 100мегабит.
> поверх clvm/zfs/ceph/lustre/...(нужное подчеркнуть)
как добьешься успеха на юзеров так с полторы тыщи - приходи рассказывать. Только паузу сделай годик-два, а то оно обычно-то разваливается не в первые полгода.
А то обычно 'успехи' в этих направлениях связаны с новыми модными "микросервисами" и прочим ненужно-ненужно, которое, когда наворачивается, деплоят заново, иногда даже невидимо для персонала, так, для общей статистики где-то есть график "столько раз упало-отжалось". А чтоб с этим живые люди работали - как-то все больше сказки для самых маленьких.
> это в вантузе только так и всё.
у него-то как раз с rdma все в порядке еще лет семь назад было. Раньше я не видел, а так может и десять. Только это ни разу не то место, из которого вырастает самба.
> то есть ни слова не понял? Ну в общем я не удивлен, уровень знаний типичного любителя самбы.вот и переход на личночти. не удивлен.
что ещё ждать для потребителя стеклянных бус.
> а самба-то у тебя не для шар, а исключительно для лдапа?почти что.
вернее она у меня для шар на кусок фс, для оконечного пользователя.
всё остальное — лдап, цербер, дднс, радиус есть и без подeлoк мс. и работает супер надежно.
да! и этой инфраструктуре точно не нужен широкий канал, чтобы метаданные гонять.
канал нужен только для передачи данных. точка.ну или иди и объясняй создателям люстр, зетфс, цлвм и пр. как они ерyндoй занимаются.
про дыpы — пой громче. вон ссыль тебе уже привели. они если и есть, то только там где мс в стандарты покапалась. и то у самбы cлямзилo. и кто там первый папа.
они вот LM-hash недавно только закрыли. а NT-hash, который не что иное как MD4-hash в кодировке UTF-16, вообще не убрать.
MD4, Карл!
и он тут сидит и рассказывает как хорош в ширпотребе дoширaк.зыж
> у него-то как раз с rdma все в порядке еще лет семь назад было.да ты не мне. ты в топ500 объясняй, умник.
ззыж
все что мне нужно было бы от самбы, так это нормальная репликация базы пользователей из нормального лдапа в самбу. и всё.
пусть даже в виде схем, понятных вантузу.
но поскольку там хэш пароля по стандартам мс (т.е. акромя NT-hash ничего не умеет), то результат закономерен. (для ленивых https://lists.samba.org/archive/samba-technical/2015-Decembe... как поставить пароль из cli)
алё! привет отделу маркетинга!
>виртуалка 2016 с этим самым DC на сегодня, по-моему, все еще бесплатна.пох - ты о чём?
>>виртуалка 2016 с этим самым DC на сегодня, по-моему, все еще бесплатна.
> пох - ты о чём?вроде они кастрированную версию сервера по оемским каналам раздавали почти бесплатно. (почти, потому что там же еще юзерские лицензии нужны, за которые, правда, никто тоже вживую не платил) Ставится (ну канеш) в hyper-v, ну так там ему самое и место.
но тут я пою с чужих слов, мне-то от oem'ов бесплатная вмварь с редхатами досталась, просто "чтоб было что сразу выбросить".
> Но вот зачем ребятам понадобился этот троллейбус - неясно, виртуалка 2016 с
> этим самым DC на сегодня, по-моему, все еще бесплатна.ШТА? Бесплатная серверная винда? Откуда ты это взял?
> ШТА? Бесплатная серверная винда? Откуда ты это взял?один дилер хепе на ушко нашептал, что это у них (был?) такой ответ UCS C-series. Разумеется, для этого надо было купить у него железа на энцать килоуе, но, собственно, тебе по любому надо на чем-то это запускать, почему бы и не хепе.
ззыж
> Полагаю, что проблема в том, что Самба 4 эмулирует винду 2000,кому надо — https://wiki.samba.org/index.php/AD_Schema_Version_Support
The official Active Directory (AD) schema versions are:
Windows Server Version Directory Schema Version
Windows Server 2016 87
Windows Server 2012R2 69
Windows Server 2012 56
Windows Server 2008R2 47
Windows Server 2008 44
Windows Server 2003R2 31
Windows Server 2003 30
Windows 2000 13
Samba supports the following Active Directory schema versions:
Samba Version Highest Supported Schema Version
4.5 and later 69 *
4.0 - 4.4 47
* Experimental support. To report problems, click https://bugzilla.samba.org.
> кому надо — https://wiki.samba.org/index.php/AD_Schema_Version_Supportкак ты понимаешь, 2012r2 вполне может работать DC в общем "лесу" с 2016 - не смотря на разные версии AD. Да и 2008r2 тоже, скорее всего (во всяком случае, не помню прямого запрета так делать).
Так что эти цифирки, к сожалению, еще не все.
верно. но кто говорит, что самба должна в вантуз втыкаться, а не наоборот?
> верно. но кто говорит, что самба должна в вантуз втыкаться, а не
> наоборот?здравый смысл? А, впрочем, о чем я, это ж опеннет...
нет, ты правда рискнешь вот всю эту хреновину - ad forest во всей его красе, наверняка с разделением полномочий по подразделениям, размазанный по куче офисов и нескольким датацентрам, соответственно, далеко не с первыми сотнями авторизующихся пользователей (и непользователей) - делать на самбе?
Теоретически, наверное, возможно.
сервер на freebsd 11.1-RELEASE-p1 samba4 больше 100 windows машин и около 10 unix.
~120 виндовых машин. Контроллер на Debian 8.9 и интегрированная в AD файлопомойка отдельным инстансом.
Пришлось немного попотеть с DDNS через dhcpd в процессе настройки, а так все норм. Админю через RSAT.
Единственный нюанс - я не завидую тем виндовым эникеям которые будут это админить после меня. Хотя я думаю что смигрировать на виндовый контроллер будет не сложно если что. Правда там тоже свой бубен нужен ввиде поэтапной миграции начиная с 2008r2.
> Единственный нюанс - я не завидую тем виндовым эникеям которые будут это
> админить после меня. Хотя я думаю что смигрировать на виндовый контроллерда ладно, чего там сложного- снесем все нахрен, и настроим заново.
Все равно у тебя там ни scсm, ни scm/sct, ни еще чего осмысленного, одни немудрящие права на файлопомойке. А пароли юзерам и так полезно иногда менять - особенно после увольнения очередного куль-админа.> будет не сложно если что. Правда там тоже свой бубен нужен
> ввиде поэтапной миграции начиная с 2008r2.да мы хлам как-то не коллекционируем.
Зачем sccm? Если есть ClusterSSH.
> Зачем sccm? Если есть ClusterSSH.для управления первой парой сотен виндовых машин он тебе очень пригодится, ага.
Всем привет! Может кто знает, когда в портах FreeBSD эта замечательная samba появится?