Blog

Seit Kurzem sind die SAMBA+ Software-Pakete der SerNet auch für das Unix-Betriebssystem AIX von IBM verfügbar. SAMBA+ AIX kann als Subskription mit einer Laufzeit von 1, 3 oder 5 Jahren im SAMBA+ Shop erworben werden. Die Verwaltung der Subskription sowie der Download von SAMBA+ AIX erfolgen über das Open-Source-System OPOSSO.

Ein entscheidender Vorteil der AIX-Pakete von SerNet liegt in der minimierten Abhängigkeit zu Third-Party-Libraries oder anderen externen Paketquellen. Erreicht wird dies, indem SAMBA+ AIX aus einem Tar-Archiv mit einem Installationsskript besteht. Das unterscheidet SAMBA+ AIX von rpm-basierten Paketen auf dem Markt, die häufig Abhängigkeitsprobleme mitbringen und teils wenig getestet sind.

Mit der Bereitstellung der AIX-Pakete reagiert SerNet auf verschiedene Kundenanfragen. Für AIX-Systeme mussten die Samba-Software bislang aufwändig selbst kompiliert werden. In der Vergangenheit hat das Samba-Team der SerNet dabei bereits häufiger Unterstützung geleistet und individuelle Anpassungen übernommen. Dies wird nun durch die ausgiebig getesteten und gewarteten SAMBA+ AIX-Software-Pakete obsolet.

Bei SerNet hat in erster Linie Björn Jacke, langjähriges Mitglied des internationalen Samba Teams, an den AIX-Paketen gearbeitet. Er hat bereits viele Erfahrungen mit der Portierung der SAMBA-Software für verschiedene Unix-Distributionen bzw. AIX-Anpassungen auf Kundenanfrage gesammelt. Von diesem Know-how können nun Abonnenten der SAMBA+ AIX-Pakete profitieren.

Volker Lendecke, SerNet-Mitbegründer und langjähriges Mitglied des Samba-Teams hielt auf der diesjährigen SDC EMEA (30. Januar 2019 - Tel Aviv, Israel) einen Vortrag zum Thema "Integrating Storage Systems into Active Directory with winbind". Die Aufzeichnung ist auf YouTube verfügbar: https://youtu.be/w_r27Ono9TI (Direktlink).

Aus dem Abstract
Die meisten Umgebungen nutzen Active Directory als primäre Authentifizierungs- und Autorisierungsquelle. Benutzer und Gruppen werden dort gespeichert. Jedes Speichersystem muss die Benutzer auf irgendeine Weise authentifizieren und autorisieren. Samba's winbind bietet eine Lösung zur nahtlosen Integration mit Active Directory unter Verwendung der gleichen Mechanismen, die ein nativer Windows-Client verwendet. Es bietet eine API zur Authentifizierung von Benutzern und zum Abrufen von Autorisierungsinformationen wie z. B. Gruppenmitgliedschaften von authentifizierten Benutzern. Außerdem kann es sich in jede Art von Mapping-Schema von Windows- und Unix-Principals integrieren und von dort aus Windows-Benutzer in die Unix-Benutzerdatenbank integrieren.

Dieser Vortrag gibt einen Überblick über die API, die Storage-Anbieter und Integratoren nutzen können, um auf die Dienste von winbind zuzugreifen. Diese API ist unter der LGPL und nicht unter der GPL lizenziert, so dass sie keine Lizenzbeschränkungen für die Speichersoftware mit sich bringt, die sie verwendet.

Lernziele:

1. Active Directory-Authentifizierungsmechanismen
2. Windows/Unix ID-Zuordnung
3. Praktische API-Beschreibung für den Zugriff auf Active Directory
4. Folien als PDF herunterladen.

Download Folien als PDF.

Samba-Entwickler von SerNet hielten Vorträge auf der diesjährigen SDC - Storage Developer Conference (24. bis 27. September 2018 in Santa Clara, Kalifornien/USA). Die Videoaufzeichnungen von der Konferenz sind jetzt auf YouTube verfügbar.

Hier sind die Links:

• Stefan Metzmacher: "Samba SMB-Direct Status Update"

• Ralph Böhme: "Implementing Persistent Handles in Samba"

• Volker Lendecke: "Clustered Samba Scalability Improvements"

SerNet hat die ersten SAMBA+-Pakete der 4.9er-Reihe freigegeben. Diese Pakete sind für verschiedene SUSE- und Red Hat-Plattformen sowie für Debian GNU/Linux und Ubuntu verfügbar. Eine der neuen Funktionen in Samba 4.9 ist die verbesserte Unterstützung für vertrauenswürdige Domänen, wenn Samba als Active Directory Domain Controller (AD DC) läuft. Diese wesentliche Verbesserung wurde durch ein Sponsoring von SerNet ermöglicht.

Darüber hinaus enthält die neue 4.9er Serie viele Verbesserungen und Features, die in den Samba 4.9.0 Release Notes. dokumentiert sind.

Verbesserte Unterstützung für vertrauenswürdige Domänen (als AD DC)

Die Unterstützung für vertrauenswürdige Domänen/Forests wurde weiter verbessert. Externe Domain-Trusts sowie transitive Forest-Trusts werden nun in beide Richtungen (inbound und outbound) für Kerberos- und NTLM-Authentifizierung unterstützt. Stefan Metzmacher, langjähriges Mitglied des Samba-Teams und geschätzter SerNet-Kollege, hat an diesem Thema gearbeitet. SerNet hat dies durch ein Entwicklungssponsoring in sechsstelliger Höhe möglich gemacht.

Die folgenden Features sind in 4.9 neu (im Vergleich zu 4.8):

• Es ist jetzt möglich, Benutzer/Gruppen einer vertrauenswürdigen Domäne in Domänengruppen hinzuzufügen. Die Gruppenmitgliedschaften werden an Vertrauensgrenzen erweitert.
• foreignSecurityPrincipal-Objekte (FPO) werden jetzt automatisch erstellt, wenn Mitglieder (als SID) einer vertrauenswürdigen Domäne/eines vertrauenswürdigen Waldes zu einer Gruppe hinzugefügt werden.
• Mit den 'samba-tool group *members'-Befehlen können Mitglieder als fremde SIDs angegeben werden.


Allerdings gibt es derzeit noch ein paar Einschränkungen:

• Beide Seiten des Trusts müssen sich gegenseitig voll vertrauen!
• Es werden keine SID-Filterregeln angewendet!
• Das bedeutet, dass DCs der Domäne A Domänen-Admin-Rechte in Domäne B gewähren können.
• Selektive (CROSS_ORGANIZATION) Authentifizierung wird nicht unterstützt. Es ist zwar möglich, einen solchen Trust zu erstellen, aber KDC und winbindd ignorieren sie.
• Samba kann weiterhin nur in einem Forest mit nur einer einzigen Domäne betrieben werden.

CTDB-Änderungen und weitere Hinweise

Aufgrund größerer Änderungen sollten Anwender einen Blick in die Samba-Versionshinweise werfen, um den Abschnitt "CTDB-Änderungen" und die Anweisungen sorgfältig zu lesen, wenn sie CTDB verwenden. Der Konfigurationsstil wurde überarbeitet. Die Konfiguration muss migriert werden, um CTDB mit der neuen Version zu betreiben. Das Konfigurationsmigrationsskript, das dabei helfen kann, die alte CTDB-Konfiguration in den neuen Stil zu migrieren, ist unter /usr/share/ctdb/scripts/config_migrate.sh in den neuen Paketen gespeichert. Das Skript nimmt die Konfigurationsdatei /etc/default/sernet-samba-ctdb und erstellt ein Verzeichnis mit einer neuen Beispielkonfiguration. Wenn CTDB Samba-Dienste verwaltet, zeigt die erstellte Datei commands.sh, wie die Ereignisskripte aktiviert werden können.

Dies ist die erste Veröffentlichung von SAMBA+ Paketen für die Samba 4.9 Release-Serie. Wir empfehlen, vor dem Upgrade gründlich zu testen und die Release Notes sorgfältig zu lesen! Mit der Veröffentlichung von Samba 4.9 ändern frühere Release-Serien ihren Status wie folgt: Samba 4.8 geht in den Wartungsmodus über, Samba 4.7 geht in den reinen Sicherheitsrelease-Modus über. 

Außerdem werden die neuen 4.9-Pakete für einige Distributionen nicht mehr verfügbar sein. Bitte werfen Sie einen Blick in das SAMBA+ HowTo auf OPOSSO.

Die diesjährige SDC - Storage Developer Conference findet vom 24. bis 27. September 2018 in Santa Clara (Kalifornien/USA) statt. SerNet unterstützt die von der SNIA ausgerichtete Veranstaltung wieder als Silbersponsor. Wir werden mit einem Vertriebsteam und vielen Informationen rund um SAMBA+, insbesondere mySAMBA+, vor Ort sein.

Außerdem wird unser Samba-Entwicklerteam anwesend sein und die folgenden Vorträge halten:

• Stefan Metzmacher: Er wird seinen Vortrag "Samba SMB-Direct Status Update" am Dienstag, 25. September, von 13:00 bis 13:50 Uhr im Raum Winchester halten. 
• Ralph Böhme: Sein Vortrag "Implementing Persistent Handles in Samba" findet am Dienstag, 25. September, von 15:05 bis 15:55 Uhr im Raum Winchester statt. 
•  Volker Lendecke: Am Mittwoch, 26. September, präsentiert er im Raum Winchester "Verbesserungen der Skalierbarkeit von geclustertem Samba".