Il s'est passé trois mois depuis la dernière alpha officielle et bien que le rythme des publications se soit ralenti, le nombre de mises à jour est assez important. Samba 4 reste un projet dynamique. Les changements les plus importants depuis la précédente dépêche sont :
- Utilisation d'un nouveau build system : waf, qui permet d'avoir un calcul des dépendances bien plus juste qu'avec make, l'avantage direct pour l'utilisateur est une réduction d'un facteur 10 de la taille d'une installation de samba 4 (900 Mo contre 90 Mo), car il n'y a plus besoin de linker 10 fois le même fichier .o pour être sûr qu'il soit bien intégré dans les différentes configurations possibles ;
- Une implémentation pratiquement complète des fonctions nécessaires au fonctionnement de pam_winbind et libnss_winbind, ce qui permet entre autre d'avoir accès aux UID/GID d'un utlisateur windows du coté serveur (Samba mappe tous les utilisateurs Windows vers des UID différents). Cela permet de voir le nom propriétaire d'un fichier plutôt que son UID (ie. 300000001) ;
- Ajouts d'options dans la commande samba-tool pour manipuler les ACLs NT sur le serveur, pour par exemple être capable de définir un jeu d'ACLs complexes sans avoir à utiliser un client windows ;
- Une amélioration dans la gestion des mises à jours dynamiques de nom DNS et l'introduction d'un script de synchronisation pour rajouter les entrées DNS nécessaires lors de la promotion d'un serveur au rôle de contrôleur de domaine ;
- Mise à jour de la version d'heimdal (l'implémentation kerberos utilisée par samba) ;
- La gestion des referrals DFS, qui sont utilisés par les clients Windows pour localiser les serveurs qui servent les partages netlogon et sysvol (entre autres) ;
- Mise à jour du script de mise à jour des provisions samba, upgradeprovision, afin de permettre une mise à jour fiable de pratiquement toutes les provisions créées depuis la version alpha 8 ;
- Implémentation de la fonction contrôleur en lecture seule (RODC) quasiment à 100% ;
- Ajout de nombreuses fonctions à la commande samba-tool (anciennement net).
En outre, de nombreuses corrections de bogues ont été effectuées et le nombre d'installations en production est passé d'une poignée à plusieurs dizaines, dont certaines de plusieurs centaines d'utilisateurs.
Et après ? Les grandes fonctions qui ne sont pas dans la version alpha14 sont :
- RBKP, alias "remote backup key protocol", derrière ce nom barbare se cache une fonction clef des contrôleurs de domaines Active Directory. Celle-ci permet à un utilisateur de pouvoir toujours décrypter la (ou les) clé(s) privée(s) de ses certificats même si le mot de passe du compte Windows change (du fait de la politique de sécurité) (Windows utilise un dérivé du mot de passe de l'utilisateur pour (de)crypter les clés privés d'un certificat, tout ceci est expliqué dans le lien "DPAPI" en bas de cet article) ;
- FRS, alias "file replication protocol", protocole de réplication de fichiers d'un même partage sur différents serveurs, ce protocole est utilisé automatiquement par un contrôleur Windows pour répliquer des partages sysvol et netlogon qui contiennent respectivement les politiques de sécurité (GPO) et les profiles itinérants (roaming profiles) ;
- DFS-R, alias "distributed filesystem replication", c'est le successeur de FRS, il est plus fiable et possède une meilleure granularité.
L'implémentation de RBKP est déjà réalisée, mais le code n'a pas encore rejoint le "repository" central. Par contre l'implémentation de FRS et/ou DFS-R n'a pas encore commencé. Si le coeur en dit au lecteur de linuxfr, la liste samba-technical est prête à recevoir vos patchs !
Aller plus loin
- Samba (69 clics)
- Télécharger le tarball alpha 14 (31 clics)
- Précédente dépêche (33 clics)
- Waf (18 clics)
- DPAPI (8 clics)
# Prometteur
Posté par xavier Granveaux . Évalué à 5.
L'installation et intégration est encore quelque peu ardue et tricky, mais le résultat laisse entrevoir de belles perspectives pour l'intégration de stations windows...
Chapeau bas à l'équipe.
[^] # Re: Prometteur
Posté par Larry Cow . Évalué à 6.
Parce que vu les soucis que numéro sept m'apporte dans un AD 2003, je me dis que dégager Windows Server pourrait tout à fait se défendre...
[^] # Re: Prometteur
Posté par ekacnet (site web personnel) . Évalué à 4.
J'ai souvent une VM windows 7 qui joint mes domaines samba4 lors de mes tests, donc oui windows 7 peut joindre un domaine samba4.
D'autres utilisateurs sur la liste samba-technical et sur le channel #samba-technical (sur irc.freenode.org) ont reporté des succès avec le couple w7/s4. Je sais aussi qu'il y a quelques problèmes de GPO avec S4 si on n'active pas la gestion des referrals DFS (host msdfs=yes dans le smb.conf) car w7 "oublie" de s'identifier parfois sinon j'ai pas eu vent d'autres problèmes.
[^] # Re: Prometteur
Posté par ekacnet (site web personnel) . Évalué à 1.
Pourquoi cela doit déplaire aux intégristes du libre ? Car ça permet de remplacer certaines briques de logiciel propriétaire par des logiciels libres ?
Je connais un cas d'une personne qui a migré son installation Kerberos Mac OS X (basée sur l'implémentation heimdal de kerberos) vers S4 et ceci bient que n'ayant 0 machines Windows.
Active Directory dans le concept est une intégration intéressante de Kerberos et de LDAP et la mise en oeuvre me semble plus simple qu'une solution à base d'un autre serveur LDAP + d'un KDC kerberos séparé.
»L'installation et intégration est encore quelque peu ardue et tricky
Peux tu développer ? As tu fais part sur les listes de ton retour d'expérience ?
[^] # Re: Prometteur
Posté par xavier Granveaux . Évalué à 2.
- Le fonctionnement de samba4 est très basé sur du DNS, tout comme l'AD en général d'ailleurs. La partie BIND est quelque peu délicate je trouve. J'ai pas trouvé comment faire ca proprement avec 2 DC. Maintenant, si quelqu'un a de la doc pour cette partie, je suis preneur. Mais basé sur le 'howto samba4', dépasser l'install d'un DC est pas claire.
[^] # Re: Prometteur
Posté par ekacnet (site web personnel) . Évalué à 1.
Je dirais que rien ne t'empèche de faire du LDAP+NFS+Kerberos avec samba4, et sinon peut être que SMB ou SMB2 sont plus adaptés à tes besoins
»- Le fonctionnement de samba4 est très basé sur du DNS, tout comme l'AD en général d'ailleurs. La partie BIND est quelque peu délicate je trouve. J'ai pas trouvé comment faire ca proprement avec 2 DC. Maintenant, si quelqu'un a de la doc pour cette partie, je suis preneur. Mais basé sur le 'howto samba4', dépasser l'install d'un DC est pas claire.
Ok bon point la partie bind est un peu sensible, je dirais que c'est la faute de bind ;-), blague à part samba 4 nécéssiste une version assez récente de bind (car avant une partie de la gestion kerberos était cassée) et avec un paramétrage assez précis. L'installation (provision) fait en sorte de simplifier les choses mais c'est pas 100% parfais (tout comme ça ne le serait pas si samba 4 reposait sur un KDC externe pour la gestion de la partie kerberos, et tout comme c'est un peu sensible si tu veux utiliser 389ldap ou openldap comme backend pour la partie LDAP).
Ensuite quand tu as plus d'un DC, et bien c'est sûr que bind ne sait pas faire du multi-maitre tu va assez vite tomber sur un os. Je pense que la situation va changer bientôt car une partie de l'équipe a décidé d'implémenter un mini serveur DNS pour gérer proprement les enregistrements DNS du domaine AD. Il est fort possible que d'autres ajoute samba 4 comme backend pour bind pour les enregistrements du domaine AD.
[^] # Re: Prometteur
Posté par dest . Évalué à 3.
# WAF?
Posté par jice (site web personnel) . Évalué à 1.
# Glissement de 's'
Posté par Davy Defaud . Évalué à 3.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.