Представлен релиз Samba 4.18.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2008 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 11. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind)...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58764
Вопрос прост: что ещё сломали в этом релизе?
(каждый долбаный релиз приходится что-то подкручивать, потому что опять отломалось. то маппинг юзеров в ад. то xattrs оказываются включенными по умолчанию и флаги летят в звезду вместе с работой tortoisesvn на виндах. то ещё чего)
А нафига ты их ставишь-то все более и более новые и улучшайканые? В твоем дистрибутиве нет стабильной версии (убунта, чтоль?)Если что - реально существенные и не обходящиеся настройками проблемы в самбе бывают в среднем раз в пару лет, и то не во всякой конфигурации это реально опасно (вот нету у меня на самбиных шарах пресловутых симлинков и понаделать их некому и нечем).
Многие при этом решаются однострочным патчем который самому несложно сбэкпортировать.
Последняя задница с маппингом юзеров не решалась вообще никак.
Сейчас допилили.
я ж говорю - самба это не тот софт который с годами становится лучше. Поскольку цели их проекта весьма далеки от твоих.
Не, там дело не в цыле. Там наспех заткнули уябзвимость, не подумав о последствиях.
Там by design протокол состоит из уязвимостей (майкрософт жи).
Так что лучше просто отказаться от самбы и жизнь станет проще.
Неплохая весчь. Я лично ей пользовался лет 10 назад, чтоб подключиться к расшаренному диску с кинцом, который кто-то раздавал в общаге. Тогда я открыл для себя сериал Доктор Хаус. Все благодаря Samba. Общага вообще много всего для меня открыла нового, но об этом я расскажу как-нибудь в следующий раз.
Ждём с нетерпением!
> в версии 4.18 примерно в три раза снижены накладные расходы при обработке блокировок для конкурирующих операций с файловыми путями. В итоге производительность операций открытия и закрытия файлов доведена до уровня Samba 4.12.Вот это я понимаю, прогресс!
Зато ж безопастно теперь!(Хакер ждет-ждет, не дожидается, что-то грустит и уходит не солоно хлебавши.)
Безопастно будет когда на Rust перепишут.
Не будет.
Принтер Canon 2022 года самбовскую шару не видит, а шару на винде видит. Причем винда видит самбовскую шару. Чудеса.
Это потому что у кэнона внутри тоже самба. Но немного не совсем совместимой версии, поскольку обновлялась давно.Попробуй понизить версию - почти наверняка поможет.
(Потом можешь начать гадать на ченжлоге, какая из безопастных улучшаек тебе все поломала.)
> Принтер Canon 2022 года самбовскую шару не видит, а шару на винде
> видит. Причем винда видит самбовскую шару. Чудеса.Догадываюсь, потому что discovery от samba не зависит вообще никак. Как и от SMB, как протокола.
Не понятно как принтер должен видить шару? Наоборот принтер может быть расшаренным для клиентов. МФУ должна видить общую папку для того чтобы бросать туда сканы документов.
Гы-гы:
$ LANG=C gpg --verify samba-4.18.0.tar.asc samba-4.18.0.tar
gpg: Signature made Ср 08 мар 2023 15:26:44 MSK
gpg: using RSA key 81F5E2832BD2545A1897B713AA99442FB680B620
gpg: Good signature from "Samba Distribution Verification Key <samba-bugs@samba.org>" [expired]
gpg: Note: This key has expired!
Primary key fingerprint: 81F5 E283 2BD2 545A 1897 B713 AA99 442F B680 B620Ключик-то истёк
Ну истёк и истёк. Это как-то меняет тот факт, что подпись правильная?
Надо следить-с за своими ключами
Нет, но намекает.
что на белок-истеричек всем пофиг.
я конечно все понимаю.
но за 20 лет гнушники так и не придумали альтернативу smb протоколу?
nfs не предлагать это некроподелие еще хуже смб
А они вообще свое хоть что-нибудь придумали?
> А они вообще свое хоть что-нибудь придумали?systemd от соляриса стырили.
99% гну софта - клоны закрытого.
От винды. На солярисный больше даже упсpaт был похож чем это.
Солярисный - просто (черезмерно хитровыделанный) механизм запуска демонов (причем - нормальных демонов, а не вот этого всего, которое неосиляторам control terminal detach создано)
А тут именно какввенде - самостартующие "сервисы" (и это тоже виндовый термин) делающие хз что хз как без возможности контроля и управления, какие-то "сессии" (и еще один) и миллиард невменяемой неведомой х-ни лезущей во все уголки системы.Венда-то понятно зачем это делает - у нее типовой пользователь только плеваться в экран умеет. Кто такого к солярке-то подпустит и зачем ему, в общем-то?
Насчёт виндовой идеи это правильно. Насчёт неуправляемости юнитов это неправда.
Что-то не то они тырят всё время. Вот, когда стырят от винды реестр - будт счастье. А пока - конфигов как мух.
а шо не так с НФС? скорость работы на уровне скорости НЖМД, на кодировку и спецсиволы пофиг, в отличии от смб. Когда за 20 лет микрософт запилит нормальную реализацию протокола?
это тралинг?
ну скажи что да....
Ага, и при малейших затупах в сети намертво вешает машину. Про флаги монтирования можешь не расказывать - всё пробовано-перепробовано.
Недавно настроил себе нас, как только отваливается роутер при перегреве и из локалки исчезает самба сервер, то после этого монтированый cifs ставит раком пк в проводнике. Или, когда на торенте суперсид и до машины не достучаться даже через кос. C nfs пока не заморачивался, лень ldap настраивать. Т.к. у меня Эскобар.
> Ага, и при малейших затупах в сети намертво вешает машину. Про флаги
> монтирования можешь не расказывать - всё пробовано-перепробовано.Есть такое, увы. И по мне так это единственный недостаток. SMB при "затупах" хоть и не виснет, но вполне себе отваливается. Зато более быстрый отклик, особенно при работе с кучей мелких файлов, в отличие от смб.
Подвешивает и то и другое, лол. Попробуй вырубить ноут с mount -cifs при отвале сети :D Скорее батарея сядет или добежишь провод переткнуть.
Вообще-то NFSv4.2 вполне себе хорош и по функционалу не уступает SMBv3. Но только если мы говорим про 4.2 и не ниже. Опять же, если вы им пользуетесь на какой-то-BSD или её проприетарной версии. В Linux у вас:
медленные ACL в юзерспейсе, потому что Linux и ACL - это старый скандал. Так называемые "POSIX ACLs", которые не являются частью стандарта POSIX, а лишь черновиком, который Linux взял и реализовал в своём видении. В итоге в ядре есть убогая реализация ACL, которая не годится ни для SMB ни для NFS. Причем и те и лругие разработчики давно препирались с разработчиками ядра. NT ACL и NFSv4 ACL можно замапить друг в друга почти один к одному. Потеряется редко используемый функционал NT ACL, который в протоколе SMB отразится так, что нельзя будет выдавать доступ к папке на основе утверждений, переданных со стороны KDC внутрь тикета. Кстати это и есть одно из важных отличий чем SMB от свежайших NFS. Протокол Kerberos 5 способен дописывать в билеты (ticket) утверждения (claims) получаемые, например, из LDAP-атрибутов пользователя в каталоге. Это используется в двух ситуациях:
1. Нужно разрешить пользователю доступ к файлу, если его имя находится в такой-то группе безопасности И
LDAP-атрибут department равен тому-то. Редко используется, потому что можно не использовать атрибуты для этого, а сделать через группы. Это даже будет быстрее для службы каталогов по производительности.
2. Нужно разрешить доступ пользователю к файлу, если его имя находится в такой-то группе безопасности И
группа компьютерной учетной записи с которой было обращение к KDC на доступ к шаре состоит в группе компьютеров такой-то.
Вот это встречается чаще и активно сочетается с аналогичными правилами на стороне корпоративных веб-SSO. Важная функция для bring your own device метода работы с устройствами, когда нужно разрешить доступ к файлу в зависимости от локации в которой расположена рабочая станция.> Когда за 20 лет микрософт запилит нормальную реализацию протокола?
Какого? NFS? Боюсь, что не скоро. Он очень большой и сложный, настолько же функциональный как SMB с небольшими отличиями. Это чудовищный труд - писать и отлаживать драйверы такой сложности. Ну то есть пока крупный клиент им не заплатит, оно в Windows не продвинется.
А что касается NFS... Там люди много нехорошего пишут про NFS и зря. Нужно разделять NFS как протокол в принципе и его конкретная реализация в ОС... Реализация NFS в Windows и в Linux настолько убогая, что из открытых ОС, я пойду лучше FreeBSD поставлю. Держать файловые сервера на Linux и вообще сервера хранения - себя не уважать.
>Какого? NFS? Боюсь, что не скоро.Ну вообще-то давно было, оказывается и сейчас есть
https://learn.microsoft.com/ru-ru/windows-server/storage/nfs...
только производительность оставляла желать лучшего>ACL,LDAP
Но не всем нужна файлопомойка як на виндовс. Иногда аклы не имеют никакого значения, т.к. юзер 1, какой-нибудь сервис или БД внутри DMZ.
> Вообще-то NFSv4.2 вполне себе хорош и по функционалу не уступает SMBv3.complete trust _хосту_ вместо user credentials уже сумели превозмочь? Ах, все еще нет? Ну лет через двадцать напомните о себе еще разок, посмотрим-послушаем.
Ну и отдельно предлагается к изучению что такое nfs-ganesha и какие явления в современном ИТ вызвали к жизни этого монстра с оторванной головой.
(обратите внимание, что у самбы нет такой проблемы - в том числе и для кластерных систем. Хотя это не помешало им повторить тот же подвиг с ломанием всех плагинов, но на восемь лет позже.)
>> Когда за 20 лет микрософт запилит нормальную реализацию протокола?
> Какого? NFS? Боюсь, что не скоро.да нормальная у них реализация. Для interoperability без хватания звезд с неба - хватает (да, используем).
Правда четвертая версия протокола там только на бумаге. И...тадам, да, опять complete host trust.> Это чудовищный труд - писать и отлаживать драйверы такой сложности.
ты не поверишь, справились аспиранты какого-то второразрядного универа, я уже начисто забыл и название и универ - но у них была работающая реализация именно 4 под винду. Гуглите и обрящете.
Умерла за полной невостребованностью, а авторы, видать, в постдоки перешли и забили, как и первоначальные авторы postgres :-(
sshfs через fuse. медленно и безопастно.
вот что надо было в ядро брать вместо smb/cifs.
> альтернативу smb протоколу?читаем "альтернативные файлопомойки". пишем:
1) ... см выше
2) приватное облако. WebDAV. глючность чуть поменьше сосамбы. пролазит везде куда пролазит https.
3) приватные git репозитории. безопастность поменее, тормоз, зато история версий.
4) rsync туда-сюда-обратно и наоборот. ничего не скажу.
лол, это вообще не альтернативы ибо шо вебдав, шо рсинк(который тут вообще не причем) требует сначала скачать файло целиком,к себе на локальный диск, а потом позволит его пользовать.проведи простой эксперимент. Закачай 10гб видеофайлик и попробуй его воспроизвести. Тогда и поймешь в чем отличие.
ну или еще интереснее экспериментик
закачай на свой вебдав гугл/яндекс/мейлру диск 10гб файл
поменяй в нем ровно один байт в hex редакторе в каком-нибудь far, или шо там модно сейчас, понаблюдай разницу.
> свой вебдав гугл/яндекс/мейлруочень толсто. сало оно такое. дальше тролли себя сам.
1) это не мой вебдав.
2) яндекс и мэйлру делали все, чтобы вебдав испохабить и затормозить,
чтобы юзера предпочли их фирменные клиенты. про гуглаг ничего не скажу.
> полная трассировка Python-стекаХммм... Давно с Самбой не соприкасался. Не знал, что её переписали на Питоне.
Изрядненько - samba-tool лет пятнадцать уж точно есть. И да, он всегда был на пихоне.
Чего бы управляшку не написать на быстроязычке... ой, правда уже три раза пришлось переписывать на чуть-чуть другую его версию, но зато быстро.
Уффф... как хорошо, что мне с этим по работе не возиться.
Да, виндовый домен все же с винды попроще управляется.А для пошарить папочку с хомепроном этот тул необязателен, как и вся четвертая cocaмба в целом.
Этот тул вообще не обязателен. Раз я как-то без него выжил и даже о нём не знал :D
Но надо поглядеть. А то вдруг нейроно-часов сэкономит...
Это для управления AD. Тебе не нужно. (Раз ты о нем не знал - нет у тебя никакого AD.)
Реализацию SMBv3 уже стабилизировали?
https://docs.kernel.org/filesystems/cifs/ksmbd.htmlПока видимо нет. Ну тогда ждем-с... потому что то что из себя представляет Samba Server с его простите за выражение Winbind - это оторвать и выкинуть просто.
Интересно, что самба с собой сделает после того как SMBv3 стабилизируется в ядре? Выкинет свою реализацию или будет NIH...
Всю одессу удовлетворяет, одного его не удовлетворяет.samba server - работает, в отличие от сасуневской поделки в ведре. Которую еще и дописать-то толком не успели, а дыры затыкать уже пришлось.
> Интересно, что самба с собой сделает после того как SMBv3 стабилизируется в ядре?
ничего. Существование в л@п4ат0m ведре кривой куцей кастрированной подделки никак не повлияет на разработчиков самбы - они там пусть и странные, но по хорошему упор0тые, и в том числе не собираются стать еще одной лин00ps-only несуразицей.
Да, сюрприз, самба используется не только в ненужном ненужно, это по-настоящему переносимый софт, в отличие от современных л@п4атоподелок.
С нуля можно поднять AD?
Мущина, проснитесь, вы того...С 4.0 можно. Собственно, вся четвертая ветка изувечена ради этого.
P.S. документацию придется прочитать
Я не сплю) Просто поинтересовался послучаю спустя 15 лет)
>С 4.0 можно. Собственно, вся четвертая ветка изувечена ради этого.Вообще то можно было уже с поздней 3 версии.Но пришлось бы заморачиваться с интеграцией LDAP+падчи .