Comments 12
Разворачиваем актуальную версию Astra Linux 1.8.1.12 на ядре 6.1 (на ядре 6.6 не работает ZFS из коробки)
sudo apt install linux-headers-$(uname -r) kmod
sudo apt install zfsutils-linux
sudo modprobe zfs/lib/modules/6.6.28-1-generic/kernel/zfs/zfs/zfs.ko version:2.1.11-1
Хочется задать вопрос специалистам из ГК Astra ну вот какого ......
За Астру не топлю, но по работе приходится иметь дело.
Может имеет смысл почитать wiki.astralinux?
https://wiki.astralinux.ru/display/doc/Samba
sudo apt install fly-admin-samba
Samba + FreeIPA аутентификация пользователей Samba в Kerberos
https://wiki.astralinux.ru/pages/viewpage.action?pageId=44893460
Сетевая файловая система NFS
https://wiki.astralinux.ru/pages/viewpage.action?pageId=27362314
"...Защищенной сетевой файловой системой для работы с информацией ограниченного доступа в Astra Linux Special Edition является Samba SMB/CIFS.
При работе в Astra Linux Special Edition с включенной политикой мандатного управления доступом (МРД) и обработкой информации ограниченного доступа применять сетевую файловую систему NFS для хранения данных в общем случае не рекомендуется..."
Я вообще топлю за две вещи одна незаконная (пока следствие не завершено и суд не прошел), но нужная =))). А вторая это внедрение отечественных решений т.к. отката на западный софт не будет. Что некоторые (98% коллег и руководителей) осознать не могут...
Спасибо за то что обратили внимание на статьи в Wiki Asta нужно было их действительно накидать в статью.
Но при этом...
По инструкциям из AstraWiki сотрудники реализовать сервисы не могут =( Пройдя обучение и СДАВ экзамен работать с Астрой не могут... @Johan_Palych вот вы как представитель внутренней кухни астры скажите.... кого должен бить вендор или те кто заплатили за Астру? Почему дармоеды, за обучение которых контора заплатила, получили сертификаты были допущены до инфраструктуры и когда её завалили было выяснено что они нифига не знают и не имеют навыков работы с Linux?!!!
Тот сервис что разворачивает ALDPro в частности 2.3 неудовлетворительно по функционалу, Есть надежда на ALDPro 2.4, но пока руки недошли его развернуть... (ALD pro это тоже нифига не решение клац-клац и готово там тоже английский нужно знать и читать форумы по отечественному решению FreeIPA при оплаченной поддержке Астры)
Я видел момент с инструкцией по установке на ядре 6.6. Подскажите вот вы взяли ISO установились с него загрузились на ядре 6.6 и у вас ZFS работает без ошибок при выполнении действий из инструкции? у меня оно тоже ставилось, но не работало. На моменте тестирования с ядром 6.6 сделан вывод что пока рано =( (возможно тогда была 1.8.1.6) но вообще пакет ZFS в репозиториях был для ядра максимум 6.2 и видимо от того и не хотел работать с 6.6.
sudo apt install linux-headers-$(uname -r) kmod
sudo apt install zfsutils-linux
sudo modprobe zfs
А вот так сейчас работает у меня и ещё пары пытавшихся
Кстати а с какого инсталлятора ставили? возможно состав моделей установки отличается
fly-admin-samba - сваливается в ошибку если в домен MS AD (ошибка временная) астра была введена штатными средствами агента (astra-ad-sssd) от астры....
Также утилита бесполезна в домене MS AD, нужно добавлять минимум группы из домена + нужен конфиг самбы, чтобы работало, а на это утилита неспособна. Если у вас fly-admin-samba тянет пользователей и группы то подскажите, что сделали т.к. штатно утилита управляет только локальными пользователями и группами.
Вообще вся задумка вокруг ZFS это про реально реализованные права доступа по модели NFSv4 на см. на нативную реализацию в TrueNAS Scale (Debian 12) работает уже несколько лет, про дедупликацию (у меня на некоторых серверах она 1 к 5-6.5 т.е. используется 1Tb хранилища вместо 5-6.5 Tb), длинные имена файлов - которые можно перенести из Windows не трогая пользователей к примеру (переезд 1С у которой БД частично файловая иногда, может крайне неприятно удивить... ), ну и регистра независимость... сложно пользователя объяснить, что A<>a.
Я понимаю что есть мандатная система контроля всего в Астре. Но она просто соответствует тому что можно сделать правами по модели NTFS/NFSv4 при этом она не совместима с Windows и другими "российскими" ОС + администрировать её просто сущий ад. Хотя из за особенностей как раз этого администрирования "накосячить" с правами чуть сложнее тут согласен. У неё есть своя ниша пусть там и работает. Давайте предположим что нам потребуется в 3 раза увеличить штат администраторов для внедрения "Отечественных" решений а не в 10. У нас некоторый дефицит квалифицированных кадров даже для Windows где нажмите далее 5 раз, потом готово.
Извините кочерга для менеджмента отечественных вендоров так сильно раскалилась..... ночер общения с продукцией российских вендоров бодрит....
вот вы как представитель внутренней кухни астры
Упаси господи. Просто занимаюсь Линуксом с конца 90-х(раньше было просто хобби)
В Астре опакетили zfs.ko version:2.1.11-1 - zfs-6.1.90-1-generic и zfs-6.6.28-1-generic. Зачем - не знаю.
"ZFS Version: zfs-2.1.11-1+b2 *** Compatible Kernels: 3.10 - 6.2"
Должна нормально работать версия 2.2.6-1~bpo12+3 из bookworm-backports
apt-get --purge remove zfs-6.6.28-1-generic; apt-get purge ~c
Добавляем репу:
sudo cat <<EOF | sudo tee /etc/apt/sources.list.d/bookworm-backports.list
deb http://deb.debian.org/debian/ bookworm-backports main contrib non-free non-free-firmware
EOF
Установка ключей:
apt install debian-archive-keyring; apt update
apt-get install --reinstall -t bookworm-backports zfsutils-linux zfs-dkms zfs-zed libzfs4linux
modprobe -v zfs
Перезагрузка
Смотрим загружаемые модули
lsmod | grep 'zfs\|spl'; modinfo zfs/lib/modules/6.6.28-1-generic/updates/dkms/zfs.ko.zst version:2.2.6-1~bpo12+3
Да уж...
Права доступа реализуются, конечно же, через cal, которые самба поддерживает лет 20.
А для ZFS лучше вообще не линукс тогда.
Согласен для ZFS лучше бы взять BSD систему типа MacOS или FreeBSD... Вообще почти все коммерческие реализации *nix кроме пожалуй HREL и "российских" продуктов имеют полноценные файловые права. С правами хранящимися в Samba есть проблемки как ими управлять? Как после завершения перехода на отечественную инфраструктуру подключить по NFS сохранением прав? как из файлового сервера сделать комбайн что отдаёт всем протоколам которые требует бизнес с учётом прав?
для ZFS лучше бы взять BSD систему типа MacOS или FreeBSD
MacOS - это MACH-система, скорее. Есть еще разные варианты OpenSolaris/Illumos - OmniOS, например.
С правами хранящимися в Samba есть проблемки как ими управлять?
Самба, ЕМНИП, показывает права только сетевым клиентам. С ACL все права видны, конечно, везде.
NFS сохранением прав
NFSv4 + krb5
позволяют такое сделать. Юзеров, опять же, можно держать в LDAP, и у кербероса бэкэнд тоже там может быть.
А что взять, если не линукс?
Реализация zfs в bsd теперь вместе с линуксом в openzfs.
Брать "скорее мёртвый форк" солярис? А зачем, если в openzfs сейчас самая активная разработка zfs идёт?
Имхо, "для zfs брать не линукс" - это уже из разряда баек, которые деды рассказывают.
"в Windows создатель папки/файла это просто создатель "для галочки" кто создал. В Linux создатель имеет большие полномочия чем просто пользователь которому разрешен RWX. Главнее создателя только root! " (с) В Win владелец файла-папки имеет права устанавливать ЛЮБЫЕ разрешения для этого файла-папки, даже если по текущим он вообще никаких прав не имеет (даже просмотр), но является владельцем. В Linux аналогично.
Безусловно вы правы, но в Linux права может устанавливать Создатель и Root а в Windows, создателя можно лишить данного преимущества. Помимо прочего вот вы Enterprise Administrator заходите на файловый сервер Astra и думаете поменять права на папку которую создал пользователь... но не можете вам нужно стать Root чтобы были полномочия это сделать в Windows это не так и 99% админов из Windows попадают в ступор.
Интересно, можно эти "99% ... попадают в ступор" считать как некоторый косвенный показатель профессионального уровня тех, кто решил развернуть файловый сервер на Astra Linux не изучив "матчасть"?
Ведь дело тут не в Linux. Под Администратором Предприятия пошли на файловый сервер? Уже здесь страшно становиться. А потом ещё и у Администратора Предприятия есть права вот так прямо менять пользовательские папки на файловом сервере?
Я думаю, эти люди впадают в ступор и при виде инфраструктуры число под Windows, если при её создании привлекали хотя бы одного системного администратора.
Каким образом владельца файла в win можно лишить данного "преимущества"?
Делал подобное через FreeIPA+Samba. Чем меньше зависимостей, тем лучше. Знай всегда, что будет обнова, которая что-нибудь да сломает.
Реализуем сервис файлового сервера на Astra Linux