LINUX.ORG.RU

Проект Samba4 перешел в стадию бета-тестирования

 , ,


1

2

После 6 лет разработки проект, в успешное завершение которого почти никто не верил, переходит в стадию бета-тестирования.

Samba4 — это полноценный контроллер домена Active Directory, способный работать в unix-like системах.

Первая, так называемая технологическая (Technology Preview) сборка Samba4 была выпущена еще в январе 2006 года, за это время над проектом Samba4 совместно работали специалисты из таких компаний как SerNet, Redhat, Novell, Microsoft и многих других.

В рамках проекта Samba4 разработчикам стало доступно множество кода, тестовых утилит и спецификаций протоколов Microsoft. В списке рассылки разработчиков Samba за 2 последних года появилось множество отчетов о миграции с Samba3 и успешной работе предыдущих версий Samba4 для сотен клиентских систем и тысяч пользователей.

Несмотря на то, что в этой бета-версии нет некоторой части необходимого функционала, этот функционал доступен, поскольку совместно с Samba4 сервером может работать сервер Samba3, который входит в состав этого выпуска.

Одна из целей данного бета-выпуска — проверить качество совместной работы части функционала Samba4 с частью функционала Samba3.

Новые, по сравнению с Samba3, возможности:

  • Контроллер Active Directory, включая возможности групповых политик (Group Policy) и работу в качестве дополнительного AD контроллера в уже существующем домене Windows.
  • Kerberos-сервер.
  • LDAP-сервер.

Важные, но пока отсутствующие в Samba4 возможности. Для их работы используется сервер Samba3:

  • Поддержка просмотра и разрешения имен NetBIOS.
  • Работа в качестве клиента домена (AD domain member).
  • Функциональность сервера печати (Print Server).

>>> Технические подробности (англ.)

★★★★★

Проверено: tazhate ()
Последнее исправление: Silent (всего исправлений: 2)

*запуская VB интересно, на сколько сложная штука) и сколько бубнов надо

Stiven
()

Все там прекрасно работает...при некотором усилии можно и ексченчь вставить...и винды 2008 как секондари ставятся и мигрировать проще простого - ставишь и добавляешь ролей...потом убираешь винды, клиенты даже не заиечают...

anonymous
()
Ответ на: комментарий от zgen

У m$ задача была — спиздить хорошие идеи (ldap, kerberos) и сделать свои кривые реализации, что бы vendor locking навязывать всем и вся. Вот зачем по этому пути пошли самбисты, не понятно... Видать будут и дальше m$ помогать навязывать их vendor locking. Видать в этом и заключалась помощь m$ — сделать из замечательного проекта неюзабельное, глючное говно. Да я прочитал всю переписку самбистов о решении выпилить ldap backend, внятного объяснения почему они это сделали я не нашёл. Зато нашёл подтверждение факта невладения ключевыми разрабами предметной областью: камент про отсутствие динамического обновления схем в лдапе(возражение на то, что это пиздёж, осталось неотвеченным); камент про отсутсвие транзакции; про отсутсвие репрликации... ввообщем перлов там много. В-общем, настоятельно советую забыть всем про существование такого проекта как samba4, он умер.

anonymous
()
Ответ на: комментарий от anonymous

Видать будут и дальше m$ помогать навязывать их vendor locking

Они будут помогать людям избавится от vendor locking. Половина windows server полетят в топку (вместе с клиентскими лицензиями), как только AD можно будет пользоваться без ms.

Зато нашёл подтверждение факта невладения ключевыми разрабами предметной областью

Ну дык конечно - специалист-анонимус с ЛОРа, проектант высшей категории, сеньор девелопер минимум 20 OSS проектов с объемом кода в миллионы строк, ключевой диванный аналитик вещает, что samba4 не нужна.

Мы все поняли, не тупые, нам повторять не нужно.

zgen ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Вся соль в «помощи» Микрософт любым открытым проектам заключается именно в таком вот подходе. Не надо ждать какого-то чуда или честной игры от транснационального монстра манагеров и пропихивателей.

anonymous
()
Ответ на: комментарий от zgen

Половина windows server полетят в топку (вместе с клиентскими лицензиями), как только AD можно будет пользоваться без ms.

Ну так и пользуйся, кто не дает? И почему только половина?

anonymous
()
Ответ на: комментарий от anonymous

Ну так и пользуйся, кто не дает?

Буду пользоваться.

И почему только половина?

Потому что другая половина, это всякие Sharepoint Portal'ы, Microsoft Exchange'и и прочие серверы приложений 1C.

zgen ★★★★★
() автор топика
Ответ на: комментарий от zgen

Потому что другая половина, это всякие Sharepoint Portal'ы, Microsoft Exchange'и и прочие серверы приложений 1C.

Насчет первых двух возможно Samba4 и будет востребована (хотя все это - отмирающие технологии и будущее точно не за ними), а вот упоминание 1С тут явно не в тему (если говорить про 1С7.7 - 1С8.2, а не про игрушки 1С). :)

anonymous
()
Ответ на: комментарий от anonymous

а вот упоминание 1С тут явно не в тему

Если вы все так хорошо знаете, то зачем спрашивать? O_o

zgen ★★★★★
() автор топика
Ответ на: комментарий от zgen

Если вы все так хорошо знаете, то зачем спрашивать? O_o

Извиняюсь, больше не буду. Мир, дружба, жвачка! :))

anonymous
()

Fedora опять зажгла не подеццки!

MIT Kerberos 5 Support =======================

Fedora is using MIT Kerberos implementation as its Kerberos infrastructure of choice. Samba 4 build in Fedora is using MIT Kerberos implementation in order to allow system-wide interoperability between both desktop and server applications running on the same machine.

At the moment Samba 4 Active Directory Domain Controller implementation is not available with MIT Kereberos. FreeIPA and Samba Team members are currently working on Samba 4 MIT Kerberos support as this is a requirement for a GNU/Linux distribution integration of Samba 4 AD DC features.

We have just finished migrating the file server and all client utilities to MIT Kerberos. The result of this work is available in samba4-* packages in Fedora. We'll provide Samba 4 AD DC functionality as soon as its support of MIT Kerberos KDC will be ready.

In case of further questions do not hesitate to send your inquiries to samba4-owner@fedoraproject.org

AVL2 ★★★★★
()
Ответ на: комментарий от mx__

Ну так круто же. Самбу4 допилят тогда когда она будет вязаться с ИПА. Т.е. не нужно будет синхронизировать Самба4-свой-лдап и ИПА.

ну так взяли и поломали пакет. Какой смысл в самбе, в которой нет, собственно, самбы?

AVL2 ★★★★★
()
Ответ на: комментарий от zgen

95% контор полностью наплевать на какие-то стандарты. Им не нужна интеграция всего и вся, им нужно чтобы компы в домен заходили.

Я конечно извиняюсь, но 95% контор нахер не нужен домен как таковой.

И товарищ выше был прав, утверждая, что самба без чистого ldap-бакэнда тоже не нужна, поскольку способствует распространению этой гадости. Или вы всерьёз думаете, что разработчики самбы способны перехватить вектор развития у мелкософта?

anonymous
()
Ответ на: комментарий от anton_jugatsu

100500% нужна лицензия для подключения ПК к домену. Другой вопрос, что это объезжается легко, но по факту МС хочет за это денюжков.

Если Samba4 заработает стабильно - Вендекопец! Во всяком случае я соглашусь, что в небольших организациях и среднем бизнесе в топку пойдет очень много окон.

Если еще под это дело появятся гуевые консоли для хомячков, то.....

anonymous
()
Ответ на: комментарий от anton_jugatsu

Чтоб комп в домен ввести нужна доп. лицензия? Вы точно ничего не путаете?

Вы ссылку читали? Нет? Там черным по белому написано.

Линупсоиды блин, только кричать умеют, что что-то не нужно, а разбираться в предмете не умеют.

zgen ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Или вы всерьёз думаете, что разработчики самбы способны перехватить вектор развития у мелкософта?

Вы всерьез думаете, что у разработчиков samba когда-нибудь стояла такая цель?

zgen ★★★★★
() автор топика
Ответ на: комментарий от zgen

О, нет, им бы догнать сначала. Но тогда мы ещё больше попадаем в зависимость от стека мелкософта.

anonymous
()
Ответ на: комментарий от anonymous

Но тогда мы ещё больше попадаем в зависимость от стека мелкософта.

Не MS стек никому не нужен -> samba нужна только в гетерогенной сети, и клиентами её будут ОС со стеком MS.

zgen ★★★★★
() автор топика
Ответ на: комментарий от DRVTiny

Ага, у меня сейчас коллега в конторе насаждает ровно такую схему («аккаунт vpupkin для домена», «аккаунт pupkin-va для почты» ) чуть не дословно.

spqr ★★★
()
Ответ на: комментарий от anonymous

MS-only стек не нужен ещё больше.

Нужен он тебе лично или нет - у тебя бизнес спрашивать не будет. Уже потрачено N денег на клиентские компы с ОС, на проф. приложения win32. Тут пришел анонимус и сказал, что это не нужно, что это надо выкинуть, а работать надо на калькуляторах. Там MS стека нет.

Как бизнес скажет, так и будет. Сможешь profit в реальных $$ показать при отказе от MS - хорошо. Нет - пшёл отсюда со своими «предложениями».

zgen ★★★★★
() автор топика
Ответ на: комментарий от zgen

ага

Бизнес сказал MS в 2005 году. Нету аналогичной возможностям 2k8r2 самбы. О чем вообще разговор? Если внимательно читать саму новость - то видно, что обещается максимум допконтроллер в домен, подпорка. Все равно первый контроллер в виндовом домене на винде, сцуко. Об чем холевар на три страницы?

anonymous
()
Ответ на: ага от anonymous

Если внимательно читать саму новость

Еще раз перечитайте. Внимательно.

zgen ★★★★★
() автор топика
Ответ на: ага от anonymous

О чем вообще разговор? Если внимательно читать саму новость - то видно, что обещается максимум допконтроллер в домен, подпорка. Все равно первый контроллер в виндовом домене на винде, сцуко. Об чем холевар на три страницы?

бредовенько.

AVL2 ★★★★★
()
Ответ на: ага от anonymous

Перечитал. И?

Плохо прочитал. Samba4 м.б. самостоятельным AD, а может и в составе AD windows.

zgen ★★★★★
() автор топика
Ответ на: комментарий от spqr

Ага, у меня сейчас коллега в конторе насаждает ровно такую схему («аккаунт vpupkin для домена», «аккаунт pupkin-va для почты» )

Передай ему от меня лично хорошего яду с ядрёным напалмом. Задолбали уже такие «практики», честное слово. Мне кажется, у таких практиков одна цель профессиональной деятельности - пораньше свалить до хаты, поэтому нужно как можно скорее и как можно больше делать то, что говорит начальство, а думалку выключать, чтоб она палки в колёса не вставляла по пути в родные пенаты. Брр...

DRVTiny ★★★★★
()
Ответ на: комментарий от anonymous

Если Samba4 заработает стабильно

Этого не случится, ибо разрабы неадекватны. Они 4 года пилили велосипеды, вместо того, что бы заюзать стабильные, хорошо отлаженные сервисы, а теперь ещё 4 года будут пытаться их хоть как-то стабилизировать. Вон у мс с их толпами индусов это нифига не получилось, а у этих и ресурсов-то нет таких.

anonymous
()
Ответ на: комментарий от DRVTiny

Передай ему от меня лично хорошего яду с ядрёным напалмом. Задолбали уже такие «практики», честное слово. Мне кажется, у таких практиков одна цель

А что если у конторы три домена, big-corp.net big-corp.ru и big-corp.com

Для пупкина нужно, чтобы поста была во всех трех доменах, а для иванова, только в @big-corp.ru ну и так далее?

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

ля пупкина нужно, чтобы поста была во всех трех доменах, а для иванова, только в @big-corp.ru ну и так далее?

У пупкина 1 uid и 3 alias'а, а у иванова 1 uid и 1 alias.

zgen ★★★★★
() автор топика
Ответ на: комментарий от zgen

У пупкина 1 uid и 3 alias'а, а у иванова 1 uid и 1 alias.

Не факт. они хотят разные ящики для входящих в imap.

И да, пупкин сотрудник big-company (с доступом к другим ресурсам), а Иванов приглашеный специалист, который просто пишет с ящика в @big-company.ru.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Не факт. они хотят разные ящики для входящих в imap.

сортировка на сервере положит входящие в разные папки

И да, пупкин сотрудник big-company (с доступом к другим ресурсам), а Иванов приглашеный специалист

Набор objectclass'ов и полей определит, к каким сервисам можно пупкину, а каким иванову.

zgen ★★★★★
() автор топика
Ответ на: комментарий от zgen

сортировка на сервере положит входящие в разные папки

угу, еще и sieve на входящие нагрузим, будем их вручную прописывать и сопровождать. И исходящие на клиентах бегать настривать.

Набор objectclass'ов и полей определит, к каким сервисам можно пупкину, а каким иванову.

Угушеньки, устроим свалку из юзеров и не-юзеров, придумаем себе работу на сто лет вперед, чтобы только какой-нибудь ананимус на лоре порадовался и подрочил на стройную структуру жирных гирлянд объектов в едином дереве.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

будем их вручную прописывать и сопровождать.

Их сопровождать не надо - дефолтовый скрипт пишется 1 раз и применяется ко всем пользователям.

И исходящие на клиентах бегать настривать.

А 10 ящиков per user настраивать кто будет?

Угушеньки, устроим свалку из юзеров и не-юзеров

Свалка из юзеров и не-юзеров, это по 10 аккаунтов на пользователя размазанных по всему дереву. Если я вижу аккаунт - значит пользователь есть. Я глядя на 1 аккаунт сразу точно знаю, к каким сервисам (а их десятки) есть доступ. Я блокируя 1 аккаунт точно знаю, что больше никакого доступа никуда и нигде нет.


Вам надо 10 паспортов выдать, чтобы в метро предъявляли 1, на улице другой, при входе на охраняемую терроторию 3й и т.д.

Хотя бы тысяча пользователей и предоставляемых на них сервисов штук 30-50, ты внезапно узнаешь последствия своих решений и перестанешь лишний раз вопить.

zgen ★★★★★
() автор топика
Ответ на: комментарий от AVL2

И да, 1 пароль на все сервисы, меняется в одном месте. Самим пользователем, там, так и тогда, когда ему удобно.

zgen ★★★★★
() автор топика
Ответ на: комментарий от zgen

Их сопровождать не надо - дефолтовый скрипт пишется 1 раз и применяется ко всем пользователям.

да конечно. дефолтным не получится. У кого-то одна стандартная папка входящие, а у кого-то три.

Извернуться можно, но это в любом случае изврат.

А 10 ящиков per user настраивать кто будет?

Ну если у него реально десять ящиков? Их один раз завел и готово.

Свалка из юзеров и не-юзеров, это по 10 аккаунтов на пользователя размазанных по всему дереву. Если я вижу аккаунт - значит пользователь есть.

ага, но в АД предприятия его нет, то есть быть не должно, поскольку он не сотрудник.

Хотя бы тысяча пользователей и предоставляемых на них сервисов штук 30-50, ты внезапно узнаешь последствия своих решений и перестанешь лишний раз вопить.

Все идет от задачи. Если множество пользователей и однотипные ситуации, то да, централизованное дерево с одной учеткой и кучей атрибутов выглядит лучше.

А если пользователей мало, зато нужно гибкость что песец, то все наоборот.

AVL2 ★★★★★
()
Ответ на: комментарий от zgen

И да, 1 пароль на все сервисы, меняется в одном месте. Самим пользователем, там, так и тогда, когда ему удобно.

и нет, потому что потеряв свой парол от портала или почты на обычном снифере в макдональдсе, наш дорогой юзер сольет и свой удаленный доступ в сетку и свой вход на сервера и свой десктоп и все остальные 100500 сервисов.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

В общем Вы правы, что на каждый сервис нужен свой пароль, но в реальности пользователи поставят один и тот же. Будете техническими мерами навязывать им разные, будут записывать и отставлять бумажку на рабочем столе. Лучше зарубить доступ извне совсем. А если очень нужно то по отдельной учеткой с очень ограниченными правами.

anonymous
()
Ответ на: комментарий от anonymous

Все идет от задачи!

Нет серебряной пули. Я вот пришел уже к полному осознанию, что в ldap нельзя, да и не нужно хранить первичную базу данных на сервисы и пользователей. И по причине (относительной) ущербности LDAP и по причине ущербности самой идеи использования одной и той же БД и для ведения этих данных и для их использования в отдельно взятых сервисах типа AD, ftp, sip, адресная книга, dhcp ит.д.

Очевидно, что в одной программе нельзя учесть все столь разные требования к легкости, надежности, функциональности и производительности. И столь же очевидно, что взлом такой базы - дело времени и только.

Нужна база для ведения данных. Гибкая, функциональная, с доступом по всем анализам всех жидкостей человека, шифрацией и резервированием данных шопесец.

И система репликации отедьно взятых полей в базы сервисов. В том числе, в ldap, в том числе, в разные ветки и с дублированием всего и вся. Но чтобы в базе сервиса было только то, что ему нужно и было в полном объеме на локалхосте.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Поработаешь лет 5-10 хотя бы в средних размеров компании - приходи, поговорим еще раз.

zgen ★★★★★
() автор топика
Ответ на: комментарий от zgen

Поработаешь лет 5-10 хотя бы в средних размеров компании - приходи, поговорим еще раз.

да уже. можно приходить?

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

да уже. можно приходить?

Управляешь учетками пользователей? Сколько их?

zgen ★★★★★
() автор топика
Ответ на: комментарий от anton_jugatsu

Какие ещё клиентские лицензии? Может лицензия на серверную винду?

To legally access this server software, a Client Access License (CAL) may be required.

sv75 ★★★★★
()
Ответ на: комментарий от AVL2

Тут мы подходим к самому интересному: к тому, что вообще LDAP к доменам не имеет ни малейшего отношения. DNS-запись хоста dc=host,dc=domain,dc=com - это не только нормально, это, вообще говоря, и единственно верно. А вот насчёт pupkin'а... Если его куда-то и нужно поместить, то в структуру организации, а не в домен: в cn=Engineers,ou=Staff,o=RogaKopyta,l=Moscow,c=RU а не в: cn=Engineers,ou=Staff,dc=roga-kopyta,dc=com В домене человеку делать действительно нечего, коль скоро он не часть логической структуры домена. И да, поиск ведётся начиная с _произвольной_ базы и по _атрибутам_, ни одна вменяемая программа не требует какой бы то ни было чётко определённой структуры DN (Zimbra хоть и требует, но она и считает, что это типа её личный каталог, поэтому-де кому не нравится - пусть всё сами руками ставят и настраивают). И уж если есть какая-то мощная необходимость запихать почтовый аккаунт (НЕ пользователя) в домен, то в записи такого объекта не должно быть атрибутов, дублирующих информацию о человеке. На информацию о человеке можно, например, сослаться, предварительно конечно озаботившись reference integrity.

DRVTiny ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.