Comments 72
Последний раз я использовал самбу 8 лет назад. Сегодняшнее развитие этого продукта вызывает слезы радости!
Максимальный размер базы данных Samba ограничен 4 Гб

Ну, судя по тому, что это выяснилось спустя три года после выхода, можно сделать простой вывод: для инсталляций с одним доменом (а большего самба же толком и не умеет) этих 4 Гб более чем достаточно.
Благодаря преемственности в подходах к реализации службы каталога Active Directory (разработчики Samba использовали открытые спецификации Microsoft), клиентами домена на базе Samba могут быть рабочие станции с операционными системами Microsoft Windows XP-2012R2...

А линуксовые станции отменили?..
линукс не может быть полноценным участником виндовс домена в связи с принципиально иной моделью безопасности. В каком-то упрощенном виде — безусловно.
Линуксовые станции удобнее заводить в «домен» FreeIPA, там действительно все политики заточены под Linux. А в FreeIPA настроить доверительные отношения с существующей AD (выглядит в AD как cross-forest trust). Таким образом, на линуксовых клиентов не нужны лицензии CAL, а все остальные плюшки в наличии. Недавно на OSSDEVCONF-2015 был хороший доклад по этой теме.
Можно еще несколько вопросов?

Как дела с Sites?
Может ли том с SYSVOL на SAMBA участвовать в доменном DFS Namespace?
Реализованы ли Application Partitions?
Как разрешаются коллизии объектов каталога и тома SYSVOL?
Можно ли авторитативно восстанавливать объекты?
Поддерживается ли резервное копирование/восстановление SAMBA в каких либо продуктах резервного копирования?
  • Сайты Active Directory поддерживаются — проверял.
  • DFS — не реализован вообще.
  • Application Partition реализованы.
  • Что вы подрозумеваете под коллизией SYSVOL и объектов каталога?
  • Авторитативное востановление не тестировал, но думаю, что с ним проблем возникнуть не должно.
  • Насколько мне известно, нативного резевного копирования Samba ADDC нет, но т.к. вся конфигурация находится в «плоском» виде, настроить план резервного копирования и востановления вполне возможно, более того, разработчики Samba предлагают делать резервные копии путем выполненя простых операций копирования в реальном времени.
Если будет интересно, могу рассказать немного про DFS. И что скрывается за этим в samba4, в отдельной статье на хабре.
Сайты Active Directory поддерживаются — проверял

Это хорошо. Вместе со всем прилагаемым — bridgehead, ISTG, расписанием репликации?
Или это просто объекты-пустышки?

Что вы подрозумеваете под коллизией SYSVOL и объектов каталога


Два администратора исправляют один объект GPO или LDAP

Авторитативное востановление не тестировал, но думаю, что с ним проблем возникнуть не должно

То есть имеет место что-то вроде ntdsutil?
Это хорошо. Вместе со всем прилагаемым — bridgehead, ISTG, расписанием репликации?
Или это просто объекты-пустышки?

bridgehead, ISTG на уровне объектов поддерживаются, но учитывая то, что KCC реализован в виде скрипта Python пока это рабоатет не коректно. Расписание репликации работает.

Два администратора исправляют один объект GPO или LDAP

Сущесвующий механизм репликации SYSVOL предполагает использование rsync и one way replication т.е. изменение должны выполняться на одном сервере и реплицироваться на другие. Если что-то пойдет не так, коллизии несомненно возникнут.

То есть имеет место что-то вроде ntdsutil?

Поторопился с ответом — данный сценарий не проверял, точно могу сказать, что аналогичных Windows механизмов авторитативного востановления в Samba нет. Постораюсь смоделировать процесс резервного копирования и востановления и подготовить небольшую статью.
Очень, очень нужна статья по резервированию samba. Лучше в виде двух DC, с rsync. Буду рад если позовёте в статью.
Отсутствие полноценной поддержки RODC
А можно чуть подробнее, что работает, а что нет?

И еще вопрос, с 1С не тестировали (Windows аутентификация)?

А можно чуть подробнее, что работает, а что нет?

В части RODC, в TODO List есть задачи по реализации: RODC Filtered Attribute Set и Credential Caching.
И еще вопрос, с 1С не тестировали (Windows аутентификация)?

Не тестировали, но думаю, что работать будет.
«После установки Exchange могут возникнуть проблемы с репликацией». Уточните пожалуйста про проблемы. Там две ссылки. Первая за 2012 год и там ничего про Exchange. Вторая описывает ситуацию «в домен с AD на Samba ставят Exchange» и получают проблемы. А если у меня уже есть установленный Exchange и я поднимаю AD на Samba? Вроде нет криминала?
Microsoft Exchange требует для работы сервер глобального каталога в локальном сайте.
Для SAMBA может быть два варианта:
1. LDAP сервер вообще не отдает глобальный каталог через порт 3268
2. LDAP сервер отдает через порт 3268 нечто только отдаленно напоминающее GC. С учетом того, что PAS не поддерживается (хотя больше — не меньше), мало ли какие могут быть еще проблемы.

Если у вас уже стоит Exchange, то разбавлять имеющуюся сеть контроллерами SAMBA — дело сомнительное. CAL вы уже де-факто должны были купить, а серверная лицензия стоит довольно смешных 500$. Смешных потому что если вы не будете брать в штат Linux-специалиста под сугубо эту задачу, вы установите еще минимум 12 Windows серверов. )) Так проявляются Total cost of ownership.
Внесу небольшую ясность:
1. LDAP сервер вообще не отдает глобальный каталог через порт 3268
По 3268 Samba отдает глобальный каталог — можно подключиться и посмотреть через ADSI.
2. LDAP сервер отдает через порт 3268 нечто только отдаленно напоминающее GC.
Тут согласен!
Стоит отметить, что Samba-сообщество активно работает над OpenLDAP реализацией базы и отдельным разделом для глобального каталога.
Заузим задачу — в сайте с Exchange будут только виндовые сервера. Включая GC
Надо тестировать, вашу конкретную конфигурацию с конкретными настройками Exchange.
Вы так и хотите на ближайшем расширении схемы в CU Exchange завалить весь лес? )
Подумайте о горных лыжах, парашютном спорте, автогонках. )
Я пытаюсь найти людей, которые уже что-то такое делали. Пока вижу одного, который поднимал в тестовом окружении.Поэтому это все предположения. С чего ему заваливаться?
А с MS гопниками от бизнеса все равно пора что-то делать…
Спасибо за разъяснение. Все это очень интересно, на самом деле.
С одной стороны, не реализована половина функционала Windows Server 2000.
С другой стороны, что хотеть от Open Source реализации — спасибо, что она вообще есть.

Но чем я больше всего восхищался в Microsoft, что они исхитряются взять какую-то довольно банальную технологию, сделать на ней прорывной продукт — и стричь купоны ДЕСЯТИЛЕТИЯМИ.
Ну что такого, в этой AD. LDAP каталог реплицируемый, Kerberos, капелька DFS, минимум репликации. Но какая реализация.
Сверху прилетает и multi-master DNS, и встроенная PKI, и чего-там-у-них-только-нет-в-этой-AD.
> Стоит отметить, что Samba-сообщество активно работает над OpenLDAP реализацией базы и отдельным разделом для глобального каталога.

Разработчики вроде же говорили, что это никак невозможно?
Разработчики вроде же говорили, что это никак невозможно?


Разработкой данного функционала занимается гражданинка Болгарии Надежда Иванова. Презентация на эту тему была на LdapCon 2015. Я думую, у специалистов samba и openldap, всё получится.
Уже лучше. В сайте с Exchange samba не будет. Самба будет в отдельных сайтах для регионах. И глобальный каталог на нее я не планировал.
Насчет экономики решения все значительно сложнее. В плане лицензирование по SPLA, а там никаких CAL — только куча денег за сервера. Если же просто тратить денег, то на 8 филиалов это уже $4K. В филиале 4-5 человек. Если вы считаете что это копейки — я рад за вас и вашу компанию.
По поводу копеек вопрос дискуссионный, предположим, что на одного годного инженера в Германии такую сумму компания потратит за месяц, но бизнес есть бизнес, не будем считать чужие деньги.

У Microsoft есть неприятное такое свойство — или вы продаетесь ей целиком, или никак. То есть если у вас Microsoft завелся в компании, они потихоньку вытянут из вас денег по максимуму. Всякие попытки схитрить обычно кончаются ничем. Эти господа уже давно за вас все продумали, чтобы вы в процессе не экономили и не соскочили по дороге.
особых проблем построения гибридного окружения кроме упорости подчиненного ИТ персонала («MS ворева, ничего больше изучать не будем, лучшие решения в округе» при том что последние годы все сводиться к накатке ничем не отличающихся от предыдущих версий привычного ПО) не вижу…
А зачем вам в филиалах серверы Exchange? Разве нельзя держать одни сервер в центральном офисе и подключаться к нему удаленно через OWA и/или MAPI over HTTP? Вполне рабочее решение.
В филиалах (если внимательно читать мои пассажи) только DC и файл-сервер. DC потому что связь там где сидят филиалы такая «супекачественная» и провайдеры такие «надежные»…
я уже запутался. Если в филиалах у вас экченжа нет, то зачем считать цену его внедрения? И если есть сотовая связь, то этого хватит. Почта это не система мгновенных сообщений. Даже скорее нет, чем да.
Еще раз. Распределенная сеть, AD, Exchange, 8 филиалов. В филиалах свои сайты, вин-сервер как DC и файл-помойка. Потому что «такие хорошие каналы в центр». Хочется филиальные вин-сервера заменить на самбу.
Я тестировал аналогичный сценарий, с установленным Exchage и вводом Samba в Windows-домен. Одна из служб Exchange (не помню название) при обращении к Samba-контроллеру переходила в останов и репликация в направлении от Samba-контроллера к Windows завершалась с ошибкой werr_ds_dra_schema_mismatch при этом разделы schema были идентичны.
Б-р-р. А зачем Exchange обращаться на самба-контроллер? У него же в настройках забиты контроллеры с которыми он общается.
По умолчанию стоит автоматический выбор, но, да, можно задавать вручную.
А вообще тут есть кто-нибудь у кого в одном домене AD на винде и на самбе? Очень хочу филиалы все на линукс перевести ибо при нынешних ценах на овес держать там WinServer'а просто неоправдано дорого. Сисадмины отбиваются и кричать «лучше тебя посадят, чем мы Линукс будем поднимать».
Мы так сделали в одной организации для эксперимента (самба в виде Zentyal Community Edition). В общем, если AD нужен для централизованной аутентификации и политик, самбы достаточно. Всё управление с винсервера. Зентиал — это убунту с доппакетами, взял на себя ещё роль сервера, куда складываются резервные копии виндов (ntbackup-ом или как оно там называется).
Немного есть. Если получится решить возникшую проблему, я отпишу в отдельной статье про очень большой подводный камень, возникающий при определённых обстоятельствах.
в процессе работ была установлена экономическая выгода в сравнении ТОС винды и гибридной среды с самбой? Если да, то какая?
Берем стоимость серверной винды и множим на количество филиалов. Вот и выгода. Для себя я ее посчитал выше. И By the way c 1 сентября цены на винду на 15-20% поднимаются. Как объявил MS «в связи с огромным количеством новых фич»
По факту: цены не поднялись до сих пор, вроде ни на рубль! (Имею ввиду серверные Windows + CAL)

Очень интересно посмотреть как samba будет работать с сайтами!

Если у вас куча филиалов, вы реально думаете, что samba справится..?
Хм… уже анонсирован подъем с 1 января 2016. гугл вывалит кучу ссылок. Вот например.
lenta.ru/news/2015/11/03/microsoft
Рост за 2015-2016 год 30% с лишним. Вам этого мало?

Насчет филиалов — вот и проверим.
Не все так однозначно. С 1 января 2016 цены изменятся потому что рубль продолжает обесцениваться. Здесь MS можно сказать только спасибо, потому что держат ценник в рублях и сами принимают на себя курсовые риски партнеров. Если играется конкурс, и курс скакнет — у партнеров все будет в порядке.

В лоб экономию считать слишком просто. Всегда мы ходим вокруг TCO, а это и рабочее время, и безопасность, и функциональность. Продукты Microsoft в этом отношении зачастую — золотая середина в соотношении цена/качество(TCO).
«Спасибо» MS можно сказать только за то что своей ценовой политикой она вышибает клиентов в неправовое поле. Если рубль упадет до 100 за бакс у меня контора только на MS лицензии работать будет. Спасибо можно сказать 1Су, который цену все-таки не поднимает. И, я понимаю, что проблемы негров шерифов из MS не волнуют. Но легче мне от этого не становиться.
И кстати на лицензии на Axapta и прочий MBS цены не поднимают. Почему? Потому что есть конкуренция…
Это все очень хорошо. но падение курса они все равно активно отыгрывают.
если вы заключили контракт, никто вам ничего не отыграет. Повторюсь, МС она из немногих компаний, фиксирующих цену для региона на указанный период. И менять лицензии надо крайне редко. Например, сейчас и 2003 AD прекрасно выполняет свои функции. Функционал же 2012 R2 AD должен быть востребован. В ином случае он нафик не сдался.
Детский сад какой -то… «МС она из немногих компаний, фиксирующих цену для региона на указанный период». Период закончился — цены поднялись. По софтлайновским рассылкам можно даже отследить на сколько они поднимаются и как отыгрывается падение рубля. Вы хотите сказать что фиксация цен на период и есть отсутствие роста цен? По этой логике коммуналка в России тоже не растет. Она же фиксируется до следующего повышения…
согласен. Попробуйте представить, что за лицензии МС вы заплатили один раз. Это ведь не коммуналка, которая платится всегда.
Я могу не представлять. Я уже заплатил. Но в результате реорганизации, которую провели собственники, должен платить опять. И возможно через пару лет опять. Посему решил двинуть на SPLA. А там представлять совсем не выходит — надо платить всегда. И кстати, люди из MS, совсем не понимают как это можно без Software Assurance жить…
не понял. Вы заплатили, а провели собственники и платить вам. А почему не собственникам?
Но вы не получаете полный аналог. Поэтому такой подсчет несколько странен. Плюс вам нужен специалист по линуксу, который тоже не бесплатен. А толковый специалист стоит дорого.
Толковый специалист по AD не дешевле. А он всё равно нужен. Тут on par, и если функционал типа эксченджа не требуется, реально различается только стоимость софта.
Просматривая свои записки по подъему Lync2013 и Exch2013 хочу заметить, что то что винду легче и проще крутить чем Линукс давно стало мифом. И судя по последним анонсом от MS — дальше будет только хуже.
PS
Эх попробовать puppet или chef негде. Есть сильно подозрение что кроме AD и Office (ну и лени и инертности пользователей и ИТ стаффа) ничего у MS не осталось.
О чём я и говорю. А ещё я поражаюсь, что кто-то ещё до сих пор верит в бредни про TCO из мокросовтовых рекламок. Видимо сами никогда не считали. Если честно посчитать TCO, мокросовт реально получается раза в три дороже.
Но получается, что к стоимости отсутствия функционала самбы надо еще прибавить з.п. специалиста, который будет ее обслуживать. Поэтому расчет выгоды исходя из «нет лицензий» ошибочный в своей сути. А если сюда добавить отсутствие каких-либо критериев кроме субъективных предыдущих работодателей качества линуксового специалиста, цена возрастает на порядок.
Я не понимаю почему надо обязательно «прибавить з.п. специалиста, который будет ее обслуживать.». Потому что виндовс-специалистам лень учить Линукс? или потому что эту мантру постоянно повторяют люди из MS? Кто-то заметил у нас безумный спрос на виндовс-админов на рынке? Покажите где, пожалуйста.
PS
А главное я не понимаю почему вопрос по интеграции AD на samba и windows (как впрочем и любой вопрос на миграции на линукс) постоянно переходить в плоскость «а давайте посчитаем»?.. Причем реальных расчетов никто из поклонников Windows не дает (и, да, у меня сейчас корпоративная сеть на Winodws, но это не повод ничего другого не пробовать). Хабр технический ресурс — давайте тут поговорим про техническую часть. Про что кстати была и оригинальная статья.
Могу прочитать мантру и про специализацию. Любой продукт той же Microsoft настолько сложен, что один специалист вряд ли будет экспертом более чем в одном, иногда двух продуктах.
Распыляя экспертизу на несколько продуктов, а в вашем случае платформ — получаем посредственные знания или в целом, или по направлению.

Техническая часть заключается в том, что домен AD на базе родных продуктов MS поднимается, расширяется, обслуживается значительно быстрее, чем на SAMBA. При этом качество продукта близко к безупречному, сравните с чудовищным списком недоделок у SAMBA.

Вам хочется неделями заниматься кроссплатформенным SAMBA/MS AD траблшутингом? С перспективой отката всех контроллеров на недельный бекап? Никто не в праве вам это запретить. Особенно если это ваш бизнес. Но если ваш бизнес в другом, не распыляйте усилия.

Действительность заключается в том, что AD SAMBA — все еще продукт для энтузиастов. И может никогда не станет другим. Да, в простой сети он вполне заменяет продукты MS. Прекрасно. Но в сложной сети он не работает. Досадно.
Вы статью с реальным описанием проблем сделайте на эту тему. Будем очень благодарны.
Использую samba4 в продакшене. Её, и только её. Скоро может напишу статью, про то, как можно очень круто попасть с samba4. То что и случилось у нас в общем то… — При том, мы попали в samba, и похоже по-настоящему попали, и теперь даже при желании с неё свалить будет очень не просто. Но в целом, samba4 — работает у нас уже не первый год. И так и будет продолжать работать. Для плоского домена, без эксченджей — она вполне подходит.

Если у вас используется эксчендж — то в филиалах, у вас будет только windows. Написано же в документации, что samba не сможет работать с изменённой схемой ldap.

Хотя чёрт его знает, если ничего кроме шар не надо, может и прокатит… Но… :)
Я так понял при работающей samba схему менять не надо… А не вообще с измененной… Пойду еще раз перечитаю…
а если кратко, в чем попадалово? Разве с нее нельзя мигрировать на полноценный MS AD?
Разве с нее нельзя мигрировать на полноценный MS AD?
В настоящий момент, я пришёл именно к такому выводу.
Но вы не используете ее в смешанной среде, иначе смысл.

Расскажите вашу историю, хотя бы коротко.
Если не поленюсь, отпишу статью-заметку. Пока не буду раскрывать подробностей. :) Название статьи, дам достаточно провокативное, так что я думаю, если темой интересуетесь — не пропустите!
так техническая часть не может отрываться от вопроса «оно тебе вообще зачем?». Самба в роли догоняющего и переход на нее обусловлен не техническими причинами, а лишь финансовыми. Или есть другие аргументы, кроме финансовых? Озвучите?
вернемся к специалистам. Если виндовс админ будет учить линукс, то за счет чего и кого? В нормальной ситуации компания должна будет приобрести для виндового админа курсы, на которые он будет ходить с отрывом от производства. Получается, что в будущее инвестируется за счет отсутствия админа на работе, но с сохранением ему з.п. плюс цена курсов (и не одних). И все это в итоге значительно повысит ценность сотрудника, которому придется платить з.п. ощутимо больше, т.к. держать его будет ощутимо меньше. И при таких наспех накиданных расходах что самба предложит взамен? Как окупит вложения?
Может… Будем считать что я маньяк. Но в общем и целом предлагаю дискуссию прекратить. По делу уже давно ничего.
Only those users with full accounts are able to leave comments. Log in, please.