samba как ad - какой самый годный дистрибутив сейчас?

IMHO, любой дистрибутив подойдет, Samba довольно стабильный продукт. Но лично я бы под AD брал серверный дистрибутив (Debian stable, CentOS, Ubuntu в серверной редакции).

https://wiki.calculate-linux.org/ru/cds

Если ты гентушник, то лучше ставить Gentoo Hardened, подключить оверлей калкулате и с него поставить скрипты настройки и администрирования сервера.

Я хочу 4.10.x samba, но не могу найти нигде её в этих дистрибутивах. Кроме васянских сборок. В этом суть топика, ребят.

Там что было раньше не вменяемое, на подобии samba3 + ldap отдельно, или даже кучу ldap, для каждого сервиса свой. Оно уже не так всё сейчас?

Я хочу 4.10.x samba

apt-cache show samba | grep samba_4* 
Filename: pool/main/s/samba/samba_4.9.11+dfsg-1_amd64.deb
========================><+++++++++++++++++++++++++++++++
OS - aptosid

4.10 такого свежака пока нет.

Я хочу 4.10.x samba

Если вариант обождать - не подходит, то вероятно компилировать самостоятельно. В gentoo эта версия уже есть.

# emerge -pv samba

These are the packages that would be merged, in order:

Calculating dependencies... done!
[ebuild   R    ] net-fs/samba-4.10.5::gentoo  USE="acl ads client cups gnutls json ldap pam syslog systemd winbind zeroconf -addc -addns -ceph -cluster -debug (-dmapi) -fam -gpg -iprint -profiling-data -python -quota (-selinux) (-system-heimdal) -system-mitkrb5 -test" ABI_X86="32 (64) (-x32)" PYTHON_SINGLE_TARGET="python3_5 -python3_6 -python3_7" PYTHON_TARGETS="python3_5 -python3_6 -python3_7" 0 KiB

Если вариант обождать - не подходит

Не то чтобы не подходит... Мне подойдёт вариант даже samba 4.9, но с перспективой что там будет 4.10. В ubuntu LTS не завозят, в samba+, платить смысла не вижу.

emerge -pv samba

Я чёт очкую... :) Там поди собирают её две колеки :) Мне потребно, чтобы я потом смог обновляться в случае чего. Gentoo мне кажется это не совсем про стабильность такой штуки как samba

Я хочу 4.10.x samba, но не могу найти нигде её в этих дистрибутивах. Кроме васянских сборок.

Что мешает собрать ее самому? Под любой дистрибутив, хоть Debian с производными, хоть CentOS...

Gentoo мне кажется это не совсем про стабильность такой штуки как samba

Со стабильностью у Gentoo все в порядке. Но для сервера это не лучший выбор, как, впрочем, и любой rolling-дистрибутив...

CentOS

CentOS категорически не подойдет, у них самба собрана без поддержки домена из-за несовместимой реализации kerberos. Ну и в целом, шапка свой собственный домен продвигает.

Если вам нужна самба с AD на CentoOS/RedHat, то тут либо самому собирать и поддерживать, либо покупать пакеты у Sernet.

у них самба собрана без поддержки домена

Так все равно пересобирать придется (см. выше). Спеки для rpm отредактировать не так уж и сложно...

из-за несовместимой реализации kerberos.

Начиная с версии 4.7 это уже неактуально:

On an Active Directory (AD) domain controller (DC), Samba uses an external application to provide 
Kerberos support. In version 4.6 and earlier, Samba only supported the Heimdal Kerberos implementation 
for the Key Distribution Center (KDC). For this reason, vendors of operating systems that only support MIT 
Kerberos could not provide packages with AD DC-capabilities. On these operating systems you can build 
Samba or use 3rd-party packages with AD DC support to set up a DC, but Samba can not be fully integrated 
into operating systems that use MIT Kerberos.

Samba 4.7 and later supports building Samba with MIT Kerberos. Distributions, which previously did not provide 
AD DC-aware Samba packages because they use MIT Kerberos, are now able to provide such packages. 
For details about migrating a Samba DC, for example, from self-compiled to packages, see Migrating a Samba 
Installation.

А здесь речь о 4.10 идет...

либо покупать пакеты у Sernet.

А вот этого я вообще не понимаю - платить деньги за редактирование нескольких строчек в spec-файле...

Что мешает собрать ее самому?

Отсутствие опыта и наличие других задач.

CentOS категорически не подойдет, у них самба собрана без поддержки домена из-за несовместимой реализации kerberos. Ну и в целом, шапка свой собственный домен продвигает.

Если вам нужна самба с AD на CentoOS/RedHat, то тут либо самому собирать и поддерживать, либо покупать пакеты у Sernet.

О как..! Спасибо! Даже не буду смотреть в эту сторону (rhel), тогда.

А вот этого я вообще не понимаю - платить деньги за редактирование нескольких строчек в spec-файле...

В этом то и тонкость. Кто и как их отредактировал. Я точно не смогу грамотно этого сделать. По сему и создан данный топик. С вопросом, может есть что-то стабильное, поддерживаемое вне сернета?

А почему бы для вантузоидов не собрать сервер AD на игровой приставке? А не париться с настройкой самбы, которая только вантузоидам же и нужна...

В этом то и тонкость. Кто и как их отредактировал.

Детальные инструкции можно найти на сайте Samba по ссылке, которую я приводил выше. Ничего сложного там нет.

Я точно не смогу грамотно этого сделать.

Вам так или иначе все равно придется это делать ;). Вы же не собираетесь ставить какой-нибудь Arch на машину, выполняющую роль контроллера домена? А в серверных дистрибутивах нужной Вам версии пока нет...

в убунту можно РРА подключить:

https://launchpad.net/ubuntu/ source/samba/2:4.10.0 dfsg-0ubuntu2

думаю, для серверов тоже актуально.

Вам так или иначе все равно придется это делать ;). Вы же не собираетесь ставить какой-нибудь Arch на машину, выполняющую роль контроллера домена? А в серверных дистрибутивах нужной Вам версии пока нет...

Всё верно, по этому и спросил, что есть может где её толково собирают. Я не хочу изучать как надо собирать deb пакеты, начиная с такого сложного продукта как samba. У меня сотни машин сейчас под samba 4.1 в качестве единственного AD, мне нужно обновиться, и я не готов экспериментировать.

думаю, для серверов тоже актуально.

Сейчас 4.10.6 актуальная samba. Я не готов ставить 4.10.0. Так как, полагаю что первый релиз в новой ветке, наверняка весьма бажный. Но в 4.10, есть годные вещи, которые мне не помешают.

Некто, собрал, конечно: http://apt.van-belle.nl/debian/dists/ ...

Я не помню, какая там версия самбы в centos 7, но факт в том, что там в пакетах тупо нету утилиты samba-tool, необходимой для деплоя AD DC. Возможно, развернуть контроллер домена можно и без нее, но я на этом моменте просто решил воспользоваться ubuntu server.
Может в CentOS 8 будет как-то по-другому, но он пока не вышел.

Действительно, прочитал про это. Всё из-за kerberos, но вроде в samba появилась поддержка оного. В общем спасибо что про rhel поведали)

ставь FreeBSD, там 4.10.5 есть

Будто есть какие-то преимущество перед гентой. Их нет, одни недостатки. А все проблемы с гентой от весёлых флагов компилятора, если не экспериминтировать с lto/graphite и прочими нестабильными штуками, проблемы в ебилдах достаточно редкие и легкоисправляемые. Человеку который в 1 раз видит генту всерьёз использовать её конечно противопоказано тоже.

Я не хочу платить, я не хочу собирать сам, я хочу надежный стабильный дистрибутив и чтоб оно там само обновлялось и были самые свежие версии.

Так не бывает. Чем-то надо жертвовать. Либо ты платишь деньги и за тебя все делают, либо ты делаешь все сам, тратя свое время, либо на тебе экспериментируют в нестабильных дистрибутивах и васяновых сборочках, без нормальных гарантий надежной работы и обновлений.

Либо пользуешься более старой версией, и ждешь когда новую завезут в нормальные дистрибутивы.

# eix samba
[I] net-fs/samba
     Доступные версии:      3.6.24-r1[1] 3.6.24-r1[2] 4.5.16^t ~4.7.12-r1^t 4.8.6-r2^t ~4.8.6-r3^t ~4.8.12^t ~4.9.9^t ~4.9.11^t ~4.10.2^t ~4.10.4^t ~4.10.5^t {acl addc addns ads ceph client cluster cups debug dmapi fam gnutls gpg iprint json ldap pam profiling-data python quota selinux syslog system-heimdal +system-mitkrb5 systemd test winbind zeroconf ABI_MIPS="n32 n64 o32" ABI_RISCV="lp64 lp64d" ABI_S390="32 64" ABI_X86="32 64 x32" KERNEL="linux" PYTHON_SINGLE_TARGET="python3_5 python3_6 python3_7" PYTHON_TARGETS="python2_7 python3_5 python3_6 python3_7"}
     Установленные версии:  4.8.6-r2^t(12:04:38 11.07.2019)(acl client cups fam ldap pam system-mitkrb5 systemd winbind -addc -addns -ads -ceph -cluster -debug -dmapi -gnutls -gpg -iprint -python -quota -selinux -syslog -system-heimdal -test -zeroconf ABI_MIPS="-n32 -n64 -o32" ABI_RISCV="-lp64 -lp64d" ABI_S390="-32 -64" ABI_X86="32 64 -x32" KERNEL="linux" PYTHON_TARGETS="python2_7")
     Домашняя страница:     https://www.samba.org/
     Описание:              Samba Suite Version 4

В дереве Gentoo есть 4.10.5.

Я не помню, какая там версия самбы в centos 7

Я тоже не помню, но это и неважно - все равно нужно собирать свой пакет ;).

но факт в том, что там в пакетах тупо нету утилиты samba-tool, необходимой для деплоя AD DC. Возможно, развернуть контроллер домена можно и без нее

В любом случае нужна пересборка пакета Samba.

Поймите меня правильно, я ни в коем случае не агитирую Вас ставить именно CentOS. Более того, на Вашем месте я бы выбрал Debian (просто потому, что лучше с ним знаком).

Речь идет о том, что наиболее разумным выходом является выбор серверного дистрибутива в качестве основы контроллера домена. А раз так, то по сути выбор сводится к трем дистрибутивам - CentOS, Debian и Ubuntu в серверной редакции. При этом все эти дистрибутивы содержат более старую версию Samba, чем Вам необходимо. А раз так, то независимо от Вашего выбора пакет придется собирать самостоятельно.

Т. е. неважно, как исходно собрана Samba в том или ином дистрибутиве, есть там поддержка AD или нет...

С точки зрения сборки, IMHO, большой разницы между rpm- и deb-пакетами нет. По сборке и тех, и других вариантов существует куча документации, разобраться с ними несложно. Так что на мой взгляд, эта разница несущественна.

А вот что может быть важно, так это сроки поддержки, тут CentOS вне конкуренции...

мне нужно обновиться, и я не готов экспериментир

Обновляться не нужно. Нужно просто добавить второй контроллер домена с новой Samba, убедиться, что репликация прошла успешно (прогнать все доступные тесты), и после этого уже обновлять исходный KD. При этом если что-то пойдет не так, Вы всегда сможете грохнуть свежевведенный KD и попробовать другой вариант.

Основная проблема Gentoo на сервере - это необходимость постоянных обновлений. Нельзя просто поставить ее и забыть на несколько лет, ставя по крону обновления безопасности, как в случае с Debian или CentOS.

Обновляться не нужно. Нужно просто добавить второй контроллер домена с новой Samba, убедиться, что репликация прошла успешно (прогнать все доступные тесты), и после этого уже обновлять исходный KD. При этом если что-то пойдет не так, Вы всегда сможете грохнуть свежевведенный KD и попробовать другой вариант.

Я немного хочу по-другому сделать на самом деле:

• Я хочу samba 4.10.6 (с новой версией ldb), поднять на новом сервере.
• Сделать репликацию (я так понимаю, это называется сайт?).
• Выключить старый КД.
• Оставить новый КД единственным.
• Если что-то пойдёт не так: я просто верну старый КД.

И ещё забыть о вопросе на несколько лет. Крайний раз я занимался вопросом samba в 2014 году, когда поставил sernet samba 4.1. Сейчас, так-как у меня всё больше и больше компьютеров, иногда samba стала грохаться (я так понимаю, причина в этом). Большой объем трафика идёт от alfresco + squid. Я сделал автоперезапуск samba. - Теперь оно падает раз в пол года / раз в год. Но оно иногда может упасть ночью, и это не очень приятно. Надо это как-то мониторить и т.д. В общем, наверное, имеет смысл немного обновиться.

Оставить новый КД единственным.

Очень странное решение в свете того, что Вы написали.

Но оно иногда может упасть ночью, и это не очень приятно.

Два КД решают в том числе и эту проблему.

Очень важное замечание: самба не умеет реплицировать sysvol между DC без сторонних костылей. Мы держим 2 DC и регулярно ходим по этим граблям, но надежного решения так и не придумали. Когда что-то ломается, приводим sysvol в адекватный вид руками.

Очень важное замечание: самба не умеет реплицировать sysvol между DC без сторонних костылей. Мы держим 2 DC и регулярно ходим по этим граблям, но надежного решения так и не придумали. Когда что-то ломается, приводим sysvol в адекватный вид руками.

Что меняется в sysvol? Я так понимаю там только файлы политик выбрасываются, софт для разворота и всё. Или там что-то постоянно меняется? Чем реплицируете?

Два КД решают в том числе и эту проблему.

Согласен. Хочу понять что по репликации sysvol.

Очень странное решение в свете того, что Вы написали.

Да в целом, текущая samba работает годами, если бы не падала иногда, цены б ей не было. Сейчас хочу обновить samba, это раз. А потом уже можно было бы добавить точно такую же, такой же версии, для надёжности. Мне сейчас хочется уйти от sernet сборки, на что-то более стандартное.

«Реплицируем» rsync-ом, как рекомендовано в мануале самбы. Но проблема в том, что периодически что-то начинает происходить не так. В нашем случае это не критично, т.к. политик очень мало, а установка софта не используется вовсе, но все равно неприятно.

А как оно вообще работает когда два AD? Все изменения делаете на первом КД, и просто на второй проваливается? Никаких хитростей нету? Мы используем для установки софта samba. В целом - всё гуд. Чем вы софт разворачиваете? Сколько машин в домене?

Все банально: софт не разворачиваем. Нет необходимости. Все досталось уже в готовом виде, просто ввели машины в домен. Их всего-то штук 70, и в перспективе должно остаться только 20... Остальные будут заменены на специализированые сертифицированные и опечатанные по самое немогу АРМ, которые будут работать в отдельной сети с ИСПДн и будут не нашей проблемой.

А так да, изменения сделанные на одном КД автоматически дублируются на втором. За исключением изменений sysvol. Ну в смысле, sysvol синкается время от времени, но тут возможны накладки, к сожалению.

Понял, спасибо. :)

Я софт иногда обновляю, у меня есть: pidgin, firefox, 1С и прочее непотребство. :)

Установленные версии: 4.8.6-r2^t(12:04:38 11.07.2019)

# eix -I samba
     Installed versions:  4.10.6^t(04:47:02 11.07.2019)

:)

Эх... Любят же дразнить гентушники. :)

4.10.x samba

FreeBSD 12.0-RELEASE:

samba410-4.10.5
samba46-4.6.16_3
samba47-4.7.12_2
samba48-4.8.12_3

А линукс — это для того, чтобы в r/unixporn скриншотики постить.