Samba est l’implémentation libre du protocole SMB de Microsoft pour les distributions Linux et globalement les systèmes Unix. La version majeure 4.0, désormais disponible, apporte de nombreuses améliorations et en particulier la gestion d’Active Directory.
Compatibilité Active Directory : le bond en avant
Samba est le nom de l’implémentation totalement libre du protocole Server Message Block (SMB) de Microsoft. Ce dernier est utilisé par Windows depuis de nombreuses années pour les partages de ressources, tels que les fichiers et imprimantes. Samba permet notamment aux distributions Linux d’accéder à ces ressources, mais il permet également à une machine de s’intégrer à un domaine Windows.
La version 4.0 de Samba était en préparation depuis une dizaine d’années, faisant de cette mouture majeure une nouveauté assez attendue. Et pour cause : Samba 4.0 intègre la compatibilité avec les domaines Active Directory de Microsoft. Cette fonctionnalité, apparue avec Windows 2000, est globalement un service d’annuaire LDAP (Lightweight Directory Access Protocol) autorisant des services d’identification et d’authentification de manière centralisée.
La compatibilité complète Active Directory était un enjeu crucial pour Samba car l’arrivée de Windows 2000 a marqué une évolution très nette des domaines Windows. De fait, selon les développeurs, le travail a été fait avec l’aide de Microsoft qui a fourni la documentation nécessaire. Le service « samba » assure maintenant le rôle de serveur LDAP, de serveur DNS, de serveur Kerberos pour la gestion des clés de sécurité, de serveur NTP (Network Time Protocol), de serveur RPC (Remote Procedure Call) et évidemment de serveur de fichiers.
Contraintes et points particuliers
Comme le précise LinuxFR cependant, la compatibilité de Samba 4 avec Active Directory obéit à plusieurs conditions. D’une part, un seul domaine doit être présent dans la forêt, une forêt représentant l’élément de plus haut niveau regroupant les domaines. D’autre part, Samba 4.0 peut être approuvé par un domaine, mais ne peut pas lui-même en approuver un. Enfin, Samba 4.0 ne peut être que le seul contrôleur de domaine dans son propre domaine.
Plusieurs points intéressants sont en outre à souligner. Par exemple, Samba 4.0 gère les stratégies de groupes (GPO). L’administrateur peut directement en créer pour qu’elles soient répercutées sur l’ensemble des machines du domaine. Les mêmes fonctionnalités que les serveurs Windows sont proposées et les ACL (Access Control List) par exemple sont bien sûr de la partie.
Mais le point le plus important de cette compatibilité Samba 4.0 est sans aucun doute celle de Kerberos et de toute la sécurité qui en découle. Avec elle, un administrateur peut tout à fait créer un domaine Active Directory 100 % Samba dans lequel une machine Windows 7 par exemple pourra s’intégrer de manière transparente. Situation inverse : une machine Linux équipée de Samba 4.0 pourra intégrer un domaine Active Directory géré par Windows Server 2000, 2003, 2008 et 2008 R2.
En-dehors de la compatibilité Active Directory qui reste la nouveauté la plus conséquente, d’autres apports ont été réalisés. Les administrateurs pourront ainsi créer plus facilement des scripts Python via une nouvelle interface dédiée. Plus globalement, Samba 4.0 ajoute la compatibilité pour les 2.1 et 3.0 (en partie) du protocole SMB de Microsoft. Dans les deux cas, le service pourra gérer l'équilibrage de charge, autrement dit la capacité à basculer les calculs entre plusieurs serveurs pour répartir le travail.
Samba 4.0 est une branche à part
Autre précision importante : Samba 4.0 n’est pas à proprement parler un successeur direct de la branche 3.X. Les développeurs continueront à travailler indépendamment sur les deux. D’ailleurs, une version 3.5.20 a été publiée aujourd’hui même, alors que la 4.0 est disponible depuis quelques jours. Il s’agit en outre d’une manière de s’assurer que les utilisateurs classiques ne passeront pas tout de suite à la nouvelle mouture majeure si les éléments gérés précédemment suffisent toujours. En effet, toute nouvelle version importante comporte son lot de problèmes, bien que selon LinuxFR, les retours en termes de stabilité soient très bons actuellement.
Samba 4.0 est disponible gratuitement depuis son site officiel. Comme les autres versions avant lui, le service est publié sous licence GPLv3.
Commentaires (23)
#1
Bon ben très bonne nouvelle, c’est pas comme si un client en aurait eu besoin il y a 2 ans pour migrer son infra
" />
" />)
Maintenant à voir si en plus de remplacer un Active Directory on peut aussi substituer la partie authentification forte avec gestions des clés et certificats avec la PKI qui va bien (et conserver l’authentification Kerberos parce qu’il y a toujours des départements farceurs
#2
Tout bon ça…
Il y a encore des restrictions par rapport à la belle époque des Domaines NT où les machines Samba pouvaient très bien être PDC avec des serveurs Windows à côté qui ne bronchaient pas en contrôleurs secondaires, mais c’est un grand pas en avant pour la réunification des 2 mondes Unix et Windows.
#3
Plusieurs Distribution l’utilise déjà, a savoir Zentyal , dans peut de temps ClearOs et d’autre arriveront. Le point négatif pour l’instant est qu’il faut utilisé la console MMC de Microsoft pour pouvoir se servir des GPO et autre . Une console équivalente a celle de Microsoft (MMC) est en cours de développement par Canonical et ne fonctionnera que sur Ubuntu serveur avec interface graphique ou par interface web pour la dernière version en cours de dev. Il reste plus qu’a attendre.
#4
Est-ce que ces contraintes sont temporaires ou définitives? notamment le trust uni-directionnel ?
#5
Oh oui, enfin plus de galère sur des domaine hétérogène (enfin presque). C’est le début d’une nouvelle ère… (enfin reste plus que 4 jours avant la fin du monde
" />…)
#6
Vu ça il y a quelques jours… C’est bien.
Mais c’est une version 4.0.0. Donc il est urgent d’attendre la 4.1.x
#7
#8
Je teste ça !
Bien hâte de voir ce que ça va donner ! :)
#9
Bonne nouvelle, en attendant de voir ce que cela va donner en pratique.
Je suis étonné tout de même que Microsoft ait donné un coup de main. En tout cas c’est bien.
#10
#11
#12
#13
#14
Trop tard, beaucoup ont investi pour laisser de côté Samba et s’installer sur AD durant un sacré bout de temps
" />
#15
Dans un environnement très coloré MS, j’aurais du mal à mettre un DC sous Samba.
" />
Je me vois bien appeler le support MS en leur expliquant que j’ai 50 DC Windows et 3 Samba
Par contre, très bonne idée le support de la V3 du protocole.
#16
#17
#18
#19
Ben justement, c’est en cours (de migration hein, pas de licenciement) et pour quelques centaines de clients.
" />
" />
Et ce n’est pas parce que c’est stable, qu’il ne faut pas prendre le temps de tester et valider avant de mettre en prod.
#20
#21
Ben pour le moment il fonctionne très bien chez moi ce p’tit Samba 4.
" />
" />
Par contre, la migration n’est pas encore faite, donc je ne peux pas prédire comment ça va tourner quand on va monter en charge.
Mais dans tous les cas, les 2 seront synchro, donc au pire, si Samba ne tient pas le coup, le 2008 reprendra le relais derrière.
Y’a pas de raisons de se biler.
#22
ça c’est une bonne nouvelle, c’était attendu depuis looooongtemps !
#23