Le logiciel libre Samba, qui permet de partager des ressources dans un environnement mixte Windows/Linux/Unix, revient dans une version 4.5. Elle propose de nombreuses améliorations, dont certaines importantes pour la sécurité.
Samba est un logiciel open source connu. Il est issu du travail d’implémentation du protocole SMB de Microsoft, par rétroingénierie. Son objectif initial est de permettre la mise à disposition de ressources (fichiers, imprimantes, etc.) depuis des machines Linux et Unix, pour qu’elles soient accessibles depuis des postes Windows.
Une sécurité plus stricte par défaut
La nouvelle version 4.5, qui vient de paraître, apporte bon nombre de nouveautés. À commencer par un changement important pour la sécurité : par défaut, seule la version 2 du protocole NTLM sera activée, via NTLMSSP. La version 1 n’est plus utilisée, mais l’utilisateur garde le contrôle et peut le réactiver en modifiant le paramètre « ntlm auth » et en rebasculant sur « yes ».
Parmi les nouveautés apportées par cette version, signalons tout d’abord le support du contrôle « LDAP_SERVER_NOTIFICATION_OID » pour le serveur LDAP, qui lui permettra d’interroger la base de données Active Directory pour y détecter des changements. Les mécanismes de cache Lease de SMB 2.1 sont de la partie (actives par défaut), et les verrous OFD (Open File Description) remplacent les POSIX sous Linux.
Amélioration des performances et de la restauration de fichiers
Le module KCC sera désormais utilisé par défaut pour la réplication entre les contrôleurs de domaine en établissant des connexions spécifiques. La réplication n’aura plus besoin d’être complète et Samba promet une amélioration significative des performances sur les grands domaines. Toujours dans ce chapitre, la réplication RDS se veut beaucoup plus efficace avec les attributs liés, particulièrement là encore dans les grands domaines.
En mode contrôleur de domaine Active Directory, les performances ont par ailleurs été améliorées, surtout pour tout ce qui touche à la couche LDAP. Samba 4.5 autorise également la « tombstone reanimation », qui permet de restaurer des objets effacés avec leur identifiant (SIF ou GUID) original. Signalons enfin de nombreuses améliorations dans le domaine des SmartCards.
La liste des nouveautés est particulièrement longue et peut être consulté depuis l’historique des versions sur le site officiel, où l’on trouvera également le lien de téléchargement.
Commentaires (68)
#1
Sympa, moins facile à installer et configurer qu’un AD mais moins cher et plus performant/scalable, dommage que les grosses boîtes ne jurent que par M$; heureusement certaines ont franchi le cap
#2
#3
Il faut plutôt le comparer à du pNFS :) Les grosses boites ont besoin de quelque chose qui marche sans problème qui est connu, etc. Pas facile de remplacer toute la partie IT car les techniciens/admins ne maitrisent l’administration Linux.
" />
Récemment un ami admin MS de longue date a franchi le cap avec l’accord de sa boite, il m’a dit j’ai l’impression être retourné a l’âge de pierre (pour de l’admin système orienté entreprise bien sûr)
#4
C’est vrai. Microsoft offre un support allant de la journée jusqu’à la minute qui suit l’appel. Ce n’est pas chez le libre qu’on trouve ça. Red Hat et Suse(Novell) n’offrent qu’un support pour l’OS lui-même mais beaucoup de logiciels linux n’ont qu’une communauté et un forum en guise de support.
#5
“par rétroingénierie” … pour la petite histoire . C’est grâce à une pression sur Microsoft que les libristes de Samba ont pu obtenir les spécifications du protocole SMB. Dés ce jour la version 4 a pu être mise sur les rails avec ce bon en avant majeur (La partie AD, DNS etc etc.)
On peut gérer un controleur de domaine Samab 4.x avec les mmc de Microsoft : c’est donc conséquent.
Sans pression sur Microsoft on en serait encore à faire encore et toujours de la rétroingénierie (bien que certaines parties doivent encore être floutées volontairement par MS) et surement pas une V4 aussi intéressante.
Les pressions grâce au RGI, entre autre (référentiel général d’interopérabilité) ont beaucoup aidé aussi … certains de nos combat aboutissent.
#6
Arrêtes de dire des sottises et pratiques en peu, avant de causer :
http://www.ledufakademy.fr/?p=330
il faut à peine 4 de commandes pour installer et lancer son premier domaine !
apt-get install ntpdate
apt-get install ntp
apt-get install samba
samba-tool domain provision –use-rfc2307 –interactive
et ensuite tu réponds aux 4 ou 6 questions : c’est dure !
#7
#8
#9
vas y argumentes : je suis MCSE, donc j’écoute.
#10
#11
Ce qui est puissant, c’est surtout le couple AD + Exchange, qui permet de fournir un socle complet pour une IT d’entreprise ( users, , GPO, mails, calendriers,…).
#12
lol : écoutes même quand tu as des PFE dans tes murs … souvent ils sont sec devant des gros pètes : j’ai fait le debugage du DFS sur un infra de plus de 40 .000 postes …
Ca c’est réglé à Seattle de façon pas trés glorieuse.
MS france ce sont avant tout des commerciaux , aux mieux des technico commerciaux. Des vrais tehc. chez MS France ils sont très trés rare : ultra pris en plus.
#13
Bien vrai, après je sais pas trop mais il y a peu-être une alternative a Exchange dans le monde libre ? (peu-être LDAP ? sans grande conviction)
#14
bah, c’est sûr qu’entre la description des prestations et ce qui est réellement offert, il y a toujours de la déception chez le client.
#15
#16
#17
mouaih.
#18
#19
puissant …. ah ah. les mots à la ricaine , en quoi c plus puissant qu’un obm, dolbarr, egroupware, odoo (etc!) couplé à un annuaire LDAP ou AD en samba 4 ?
je suis certifié Exhcange (cursus MCSE)donc ca m’intéresse en fait.
#20
postfix, sendmail …
#21
#22
C’est plutôt à nrz d’argumenter non ? C’est lui qui sort une “vérité universelle” sur les AD.
#23
ouaih et quand ca merde .. ben clic ou pas clac : tu n’as aucun fichier de conf ou autres lignes de codes pour comprendre ou débugguer : là t’es souvent dans la merde. Même chez MS ils le sont.
C’est dire.
Mais bon chacun ..sa … merde comme on dit en gauloisie !
#24
Je connais les deux (AD 2012R2 et EOLE) et je préfère la propreté de EOLE de très loin.
#25
tu comprends mon côté “fervent défenseur du libre” ?
la techno oui y’a bcp d’avantages quand on maitrise GNU/Linux : mais pas que !
Ca ferait du boulot pour nos gosses. Et c’est tellement passionnant de pouvoir tout maitriser et tout comprendre , si on veut comprendre bien sur !
Mais c’est le job des informaticiens. notre métier.
Windows , ne m’en parlait pas. je ne mange plus du mais ogm moi, je mange bio local.
#26
Il y a aussi des distributions Linux en clic clic qui permette d’administrer Samba 4 comme Zentyal.
#27
ils sont bien les gars d’EOLE !
des mecs pointus calés … ouaih c’est bien ça.
un sacré vivier à dijon.
Vous savez que chez MS france ils veulent vous faire la peau : vous les faites horriblement chier !
(j’ai mes sources, enfin elles datent de 2015)
http://pcll.ac-dijon.fr/eole/services/statistiques-de-deploiement/
#28
Puissant dans le sens :
Je ne dis pas qu’il est impossible de faire la même choses avec d’autres groupware ou que c’est la meilleure solution existante, je dis que pour l’exploitation, ce sont de bons produits, avec pas mal de personnes ayant des compétences dessus.
Tu es MCSE, tu devrais donc connaitre les forces de ces produits.
#29
Pour le côté performant/scalable oui je dois avouer que Samba c’est puissant. MCSE aussi mais suite au basculement de la boîte ils me payent la LP-3 que je vais passer bientôt
#30
#31
Déception ?
oh.
tu connais le prix d’un PFE ?
… vaut mieux pas.
Des ventilateurs , surtout des évangélistes qui sont là pour rassurer les costards cravatte , qui paient et qui ne pipent rien aux technos.
Quand on veut monter une infra en GNU/Linux ils faut des bons pas des ventilateurs … ils sont bons à l’EN (bien que leur propre chef essaie de les massacrer), ils sont bons à la Gend. national.
#32
#33
quoi ???
du proprio obscur : précise je comprends pas stp.
#34
Bonjour,
Chez Tranquil IT Systems (spécialiste SaMBa4 et WAPT), cette nouvelle est perçue avec plaisir car nous avons migré plusieurs gros clients à SaMBa4 (>3000 postes et plusieurs dizaines de sites) et certaines des fonctionnalités annoncées en 4.5 sont vraiment attendues, même si nous avions trouvé des solutions de contournement jusqu’à présent.
Nous finançons en partenariat avec un client le support pour le RODC dans SaMBa4, donc d’autres excellentes nouvelles sont à prévoir dans les prochains mois.
Pour la notion de facile/difficile, clairement SaMBa4 gagne. Cependant il gagne pour d’autres raisons que celles énoncées (plus grande flexibilité, plus d’API, meilleurs retours de logs). Il peine dans d’autres situations exceptionnelles (relations d’approbation quand elles sont strictement justifiées, réseaux avec plusieurs dizaines de milliers de personnes), mais pareils nous avons aidé quelques personnes bien placées à prendre conscience de ce manque fonctionnel et les choses devraient bientôt commencer à bouger.
Enfin, pour parler de Microsoft, leur environnement concurrentiel a totalement changé ces dernières années (Google, Apple, cloud) et leur moins pire allié aujourd’hui est devenu le libre. Nous participons à la conférence SaMBaXP tous les ans et nous observons une collaboration étroite entre les ingénieurs MS et les équipes SaMBa.
Vincent CARDON
#35
Non , si je puis me permettre AD est une alternative à LDAP …
Novell faisait du TRES BON LDAP bien avant Microsoft (annuaire x501 donc standard ldap pour MS ca commence en 1999-2000 avec win2000)
#36
Vos tutoriels sont juste EXCELLENTS ! (cf. mes sources)
Faites bosser cette boite de diou !!!
#37
veinard.
" />
Mais attention certif. ca veut pas dire “bon” … après faut pratiquer plein pot , hein !
#38
#39
c’est vrai mais …
quand tu crées un utilisateur TU dois d’abord créer le compte dans AD avant de pouvoir créer sa bal . Sorry.
Ou alors capture écran hein !
les Groupware libre offrent aussi cette possibilité de créer l’utilisateur et dans la messagerie et dans le ldap et la pour le coup en simultané.
Rien de bien exceptionnel.
#40
Y’a un an quand je m’étais servi des paquets y’avait pas les samba-tools dedans ce qu’obligeait à les compiler par toi même. Ca plus les options de compilation différentes suivant l’usage.
C’était ca : (sans compter les 2⁄3 bugs)
https://dev.tranquil.it/wiki/SAMBA_-_Installation_d%27un_AD_Samba4_pour_un_nouve…
Ensuite faut que t’y rajoute 10 DC et que tu l’administre tous les jours pour voir la différence avec un AD.
Par contre grosse communauté sur la ML, merci beaucoup à eux. Mais c’est vrai que quand tu viens du monde MS ou une simple recherche google résout ton problème ça peut faire un choc.
#41
M’avais sauvé la vie les gars, je vous serais reconnaissant à jamais
" />
#42
#43
Ca, c’est quand tu crées une BAL :
http://www.hostingpics.net/viewer.php?id=171144createuser.png
Et du coup, tu peux créer l’utilisateur, définir l’OU…
Bref, oui les autres font pareil, mais la question n’est pas là. Je me répète, je ne dis pas que c’est le meilleur, mais on ne peut en nier la qualité, ni les avantages.
Pour le support, si une entreprise rencontre un problème sur son AD/Exchange, elle peut taper à la porte de n’importe quelle SSII et aura des techniciens à dispo.
Pour les alternatives, les SSII feront peut-être Sogo mais pas Zimbra, Eole mais pas egroupware…
Et ça, c’est une “raison de costard-cravate” qui n’est tout de même pas dénué d’intelligence.
D’une manière plus générale, je n’aime pas trop le principe de “l’opensource à tout prix”. C’est un critère important, mais de mon point de vue, quand l’entreprise nous demande de faire un choix technique, la licence n’est pas le seul critère, et je préconiserai un logiciel proprio si celui -ci apporte un réel gain par rapport à son alternative libre.
Par exemple, actuellement il y a du Windows ET du linux dans ma boite. Le meilleur des deux mondes, suivant le besoin.
#44
Y’a de tout SSII, ESN, multinational, PME, start-up, conseil, régi, support.
Et en fonction de chacun de ses éléments, t’obtiens une situation différente.
Étant dans une SSII/conseil de 25 salariés dans l’identité je me porte vraiment vraiment très très bien merci pour moi. Et j’ai vraiment aucune envie d’aller bosser chez MS, Oracle ou autre. Mais alors vraiment pas.
#45
Le paradoxe, en dév, c’est qu’on ne produit quasiment qu’avec des produits libres. En tout cas, c’était le cas dans toutes les boîtes que j’ai vu. On fait avec du libre (on n’y participe surtout pas, pas le temps) et on est dans un univers non-libre. Du coup on se retrouve à devoir jongler avec des environnements hétérogènes pour le dév et c’est pas forcement facile.
#46
Y’a aussi des sociétés qui vivent du support pour le propriétaire. MS fait exprès de laisser le marché des PME aux SSII. Ce qui permet à MS de continuer à être proposé par les SSII, et aux SSII de continuer à se faire de l’argent sur les services microsoft.
Et les SSII ont pas cette notion open-source/proprio puisqu’elles se font de l’argent sur les 2 en prestation, en support, en licence, voir en administration. Donc on propose des solutions suivants le besoin du client.
#47
#48
ok, compris : j’ai déjà connu ce genre de merde. C’est pas simple à gérer.
#49
on l’avait fait en 2009 sous AD avec une interface WEb.
donc rien d’hallucinant.
#50
1 an ? regardes mon article il date de plus vieux : sous quelle distrib as tu tenté le coup ?
C’est ce que je dit au gars qui veulent faire de la prod. : Debian sinon rien.
Ou alors on repart sur du redhat, suse .
Les compil pour de la prod. faut arrêter 5 seconde sans dec. …à moins d’avoir un armée de mexicains pour maintenir Proprement le truc !
Pis c complexe de compiler un truc dans un distrib fonctionnant par dépôt, on peut tout péter à tout moment, et en prod. c niet !
Aprés les gentoo etc .. je ne suis pas assez calé sur genre de distrib.
Pour un déploiement massif plus de 100 DC, je suis sec avec SAMBA. pas d’experience car pas eu de demandes aussi ! Mais sur du full Mirosoft , ben je peux te dire que j’ai vu plus et … ca bug pas mal parfois !
Vincent de IT TRANQUIL est mieux à même de causer … lui ! ;-)
#51
Celui qui met du Gentoo en Prod est soit un fou soit un génie
" />
" />
Mais la boite a intérêt à le garder et à faire évoluer la science pour l’empêcher de mourir !
Gentoo je m’en passerais jamais pour pouvoir bricoler mais je ne fournirais jamais cette solution à un client
#52
#53
#54
#55
La seule différence étant qu’il n’y a strictement aucune demande pour des compétences “Gentoo” sur le marché
" />
#56
#57
Make sure that you use a recent Samba and note, that not all
distributions currently ship Samba packages, with Active Directory
Domain Controller capabilities. One of the reasons is, that some
distributions are based on MIT Kerberos, while Samba (currently) only
supports Heimdal Kerberos. E. g. Red Hat operating systems (RHEL,
CentOS, Fedora, etc.) are affected. In this case, choose one of the
other install options.
https://wiki.samba.org/index.php/Setup_a_Samba_Active_Directory_Domain_Controlle…
Après j’ai pas essayé avec les paquets sernet.
#58
Beaucoup d’entreprises offrent des services d’integration et de support pour des logiciels libres.
#59
#60
#61
#62
#63
#64
#65
j’ai fait 2 ans de sys admin as400 : cette becane est un monstre (au bon sens du terme) … mais c trés cher !!
#66
En revanche il y a quelques rares demandes en France pour du FreeBSD pour ceux qui veulent compiler, c’est plus présent à l’étranger (Netflix, Yahoo…). Les gens qui iront chercher ca sont ceux qui ont suffisament graté sur al couche industrialisation pour aller économiser 5-15% de perfs en optimisation serveur par serveurs (et à l’échelle d’un DataCenter ca joue)
Concernant l’aspect LDAP/AD, attention à la comparaison, un AD ce n’est pas une alternative à LDAP c’est un LDAP enrichi avec un couche SMB qui permet de gérer des utilisateurs mais également des politiques distribuées non pas via LDAP mais via SMB.
#67
du tout :) mais cela a engendré 7 pages de commentaires héhé.
Il est simple à installer, comme AD, mais à administrer, c’est un poil plus complexe dans le sens ou il n’y a pas de cliquodrome embarqué et qu’il faudra soit installer les outils M$ d’administration sur un Windows, soit être hyperperformant sur les commandes vu la complexité d’une usine comme AD
#68
Merci pour la réponse
" />
" />
Pour LDAP équivalent à l’AD je savais, je pensais juste qu’il y avait un pseudo LDAP exchange possible mais du coup non