Возможности и ограничения Samba 4 как контроллера домена Active Directory



Введение


Изначально, Samba представляла собой пакет программ, которые позволяют обращаться к сетевым дискам и принтерам на различных операционных системах по протоколу SMB/CIFS, но, начиная с версии 4 в Samba, была реализована возможность выступать в роли контроллера домена и аналога сервиса Active Directory.

Несмотря на то, что Samba 4 является неплохим решением для замены служб Active Directory Domain Services и в ней реализована значительная часть функциональности AD, она, все же, имеет ряд существенных ограничений, которые могут стать критичными при внедрении и эксплуатации решения в продуктивной среде.

В данной статье мы постараемся ответить на вопрос, насколько хороша может быть такая замена и с какими проблемами и ограничениями можно столкнуться.

Возможности Samba


Устанавливая Samba и базовые сетевые службы (DNS, NTP, Kerberos…) на один из Linux-дистрибутивов вы получаете следующую функциональность:

  1. Контроллер домена Active Directory:
    •Служба Аутентификации на базе Kerberos v5;
    •LDAP-совместимая служба каталогов c возможностью репликации по DRS;
    •Сервер управления групповыми политиками;
    •DNS-сервер на базе BIND, обеспечивающий безопасную динамическую регистрацию имен.
  2. Файловый сервер.
  3. Сервер печати.

Благодаря преемственности в подходах к реализации службы каталога Active Directory (разработчики Samba использовали открытые спецификации Microsoft), клиентами домена на базе Samba могут быть рабочие станции с операционными системами Microsoft Windows XP-2012R2. В качестве инструментов управления доменными службами Active Directory, реализованными на Samba, могут быть использованы привычные системным администраторам Microsoft Remote Server Administration Tools.

Кроме того, Samba является программным обеспечением с открытым исходным кодом и распространяется по лицензии GPL, а это в конечном счете позволяет:

  1. Снизить риски, связанные с использованием импортного программного обеспечения (для госучреждений это будет особенно актуально с первого января 2016 года).
  2. Снизить совокупную стоимость владения информационной системой.

Для небольших и средних организаций, которые планируют организовать домен для хранения и поиска информации об объектах информационных систем, а также для организаций, которые по ряду причин планируют переход на СПО, Samba может быть неплохой альтернативой Microsoft Active Directory.

Но всем ли так хороша Samba и действительно ли она позволяет полностью закрыть функционал Active Directory? Постараемся ответить на этот вопрос.

Ограничения Samba


Общую информацию по ограничениям функциональности AD в реализации Samba можно найти и в вики-базе знаний на wiki.samba.org, но данные там придется собирать по крупицам, и далеко не все ограничения будут упомянуты.

Описанные ограничения, действительны для актуальной, на момент написания статьи версии Samba 4.3.1.

И так, начнем с функциональных ограничений:

Максимальный размер базы данных Samba ограничен 4 Гб


Ограничение максимального размера базы данных Samba связано с 32-битной архитектурой tdb. Для крупных организаций, c сотнями тысяч объектов в каталоге Active Dirtectory, переход на Samba может оказаться невозможным. (Кстати, информация о данном ограничении появилась 13 ноября 2015, спустя почти 3 года после выхода Samba 4.0 и то, в основном, благодаря активным обсуждениям в mailing list).

Доверительные отношения (forest/domain trust)


Наиболее полная реализация доверительных отношений появилась в версии Samba 4.3, тем не менее, в ней присутствует ряд существенных ограничений:

  • Поддерживаются только двухсторонние доверительные отношения;
  • Отсутствует функция SID Filtering, отказ от нее существенно снижает уровень безопасности при организации доверительных отношений;
  • Не поддерживается добавление пользователей или групп из доверенного домена «А» в группы домена «В». Данное ограничение делает невозможным применение Samba 4 в сколько-нибудь больших инсталляциях, требующих отношений доверия.

Поддержка многодоменной структуры/поддержка поддоменов


Поддержка многодоменной структуры отсутствует, как на уровне кода, так и на уровне базы данных Samba. Фактически, в Samba нет реализации глобального каталога (при запросе глобального каталога производится редирект в общий LDAP-каталог).

Если вы создаете поддомен на базе Samba, или вводите Samba в состав домена второго уровня, записи о других доменах и корневом домене будут потеряны, а «благодаря» ограничениям в поддержке фантомных объектов, работа в многодоменной среде может быть весьма нестабильной. К сожалению, на любые вопросы к сообществу в mailing list вы будете получать ответы типа:
«We would also like to improve Samba to scale up, and to support more diverse domain structures, but it isn't a small task.
Sorry,»


Репликация SYSVOL


Несмотря на то, что групповые политики полноценно функционируют в Samba (за исключением политики паролей, назначаемых на конкретное организационное подразделение), из-за отсутствия поддержки протоколов DFS-R и FRS, репликацию SYSVOL придется проводить в ручном режиме, или при помощи скрипта. Информация о настройках rsync для репликации между контроллерами Samba есть на сайте wiki.samba.org.

По вопросам реализации репликации SYSVOL между Windows контроллером домена и samba — можете писать мне на почту.

Поддержка KCC


В Release notes к Samba 4.3.0 заявлено, что разработчики приблизились к реализации KCC, в соответствии с открытой спецификацией Microsoft, на деле же, стоит приготовиться к многочисленным ошибкам в журналах событий и созданию/корректировке графа репликации вручную.

Другие ограничения


  • Отсутствие полноценной поддержки RODC;
  • Отсутствие поддержки контроллеров домена на базе Windows Server 2012 и Windows 2012 R2 совместно с Samba в роли AD DC;
  • Отсутствие поддержки MIT Kerberos;
  • Проблемы в реализации модуля репликации DRS*;
  • Проблемы при репликации расширений схемы (Schema Extension) **.

*В части реализации DRS, большинство функций работает корректно, но есть ряд ограничений, с которыми можно ознакомиться на странице DRS_TODO_List.

**Несмотря на то, что расширение схемы является штатной операцией, после ее выполнения, результат может быть весьма неожиданным. Например, может появиться ошибка werr_ds_dra_schema_mismatch. Вообще, данная ошибка может возникать даже когда схемы совпадают, но раскрытие этой темы требует отдельно написанной статьи, поэтому, сейчас мы не будем заострять на этом внимание.

Стоит учитывать, что в уже реализованных функциональных модулях присутствуют баги, и судя по оживленной переписке в mailing list их весьма немало (подробнее можно почитать на сайте bugzilla.samba.org).

Поддержка различных приложений


Помимо функциональных ограничений, у Samba AD DC также имеются ограничения, связанные с функционированием ряда приложений и служб. На тестовом полигоне мной были протестированы некоторые базовые инфраструктурные сервисы. С результатами тестирования можно ознакомиться ниже.

Все приложения были протестированы в базовой конфигурации. Глубокий анализ природы возникновения ошибок не проводился.
Приложение Результат тестирования Перечень проверок
Microsoft Exchange Server 2003/2010/2013 Не поддерживается* Установка
Запуск служб
Microsoft SQL Server 2012R2 Поддерживается Установка (в том числе и в отказоустойчивой конфигурации с Failover cluster)
Создание групп доступности
Аутентификация пользователей
Citrix Xen App 6.5 Поддерживается* Установка
Запуск опубликованного приложения
Применение политик Citrix
Применение перемещаемых профилей пользователей
Microsoft System Center Configuration Manger 2007 Поддерживается* Установка
Функционал отчетности
Удаленный доступ к рабочему столу

*Комментарии:

  • Microsoft Exchange Server 2003/2010/2013

После установки Exchange могут возникнуть проблемы с репликацией. Службы, необходимые для функционирования Exchange, у меня не запустились. Подробнее с проблемой можно ознакомиться по следующим ссылкам Ссылка 1 и Ссылка 2.

  • Citrix Xen App 6.5

После успешной установки Citrix Xen App, у меня возникли проблемы с репликацией, проблема оказалась в некорректном регистре для записи SPN (с описанием похожей проблемы можно ознакомиться тут).

  • Microsoft System Center Configuration Manger 2007

Удаленный доступ к рабочему столу у меня так и не заработал из-за ошибки идентификации в DCOM.

В целом, приложения, которые используют Active Directory исключительно для аутентификации, должны работать в домене под управлением Samba без особых проблем, но протестировать их работу на полигоне все же стоит.

Выводы


Если подвести итог, получается, что у Samba AD DC имеется довольно много ограничений, которые могут стать серьезной проблемой при крупных внедрениях. В тоже время Samba, на текущий момент, является наиболее зрелой открытой заменой Active Directory и службы каталогов в целом. Решение активно развивается благодаря наличию коммерческой поддержки со стороны зарубежных компаний, а также интеграции с облачными сервисами (использование Samba в Amazon) и интересу к продукту со стороны интеграторов — все это дает основание надеяться на скорейшее разрешение всех имеющихся проблем и доработку необходимой функциональности.

Similar posts

Ads
AdBlock has stolen the banner, but banners are not teeth — they will be back

More

Comments 72

    +5
    Последний раз я использовал самбу 8 лет назад. Сегодняшнее развитие этого продукта вызывает слезы радости!
      +9
      Максимальный размер базы данных Samba ограничен 4 Гб

      Ну, судя по тому, что это выяснилось спустя три года после выхода, можно сделать простой вывод: для инсталляций с одним доменом (а большего самба же толком и не умеет) этих 4 Гб более чем достаточно.
        0
        Благодаря преемственности в подходах к реализации службы каталога Active Directory (разработчики Samba использовали открытые спецификации Microsoft), клиентами домена на базе Samba могут быть рабочие станции с операционными системами Microsoft Windows XP-2012R2...

        А линуксовые станции отменили?..
          0
          линукс не может быть полноценным участником виндовс домена в связи с принципиально иной моделью безопасности. В каком-то упрощенном виде — безусловно.
            0
            Линуксовые станции удобнее заводить в «домен» FreeIPA, там действительно все политики заточены под Linux. А в FreeIPA настроить доверительные отношения с существующей AD (выглядит в AD как cross-forest trust). Таким образом, на линуксовых клиентов не нужны лицензии CAL, а все остальные плюшки в наличии. Недавно на OSSDEVCONF-2015 был хороший доклад по этой теме.
            +1
            Можно еще несколько вопросов?

            Как дела с Sites?
            Может ли том с SYSVOL на SAMBA участвовать в доменном DFS Namespace?
            Реализованы ли Application Partitions?
            Как разрешаются коллизии объектов каталога и тома SYSVOL?
            Можно ли авторитативно восстанавливать объекты?
            Поддерживается ли резервное копирование/восстановление SAMBA в каких либо продуктах резервного копирования?
              +1
              • Сайты Active Directory поддерживаются — проверял.
              • DFS — не реализован вообще.
              • Application Partition реализованы.
              • Что вы подрозумеваете под коллизией SYSVOL и объектов каталога?
              • Авторитативное востановление не тестировал, но думаю, что с ним проблем возникнуть не должно.
              • Насколько мне известно, нативного резевного копирования Samba ADDC нет, но т.к. вся конфигурация находится в «плоском» виде, настроить план резервного копирования и востановления вполне возможно, более того, разработчики Samba предлагают делать резервные копии путем выполненя простых операций копирования в реальном времени.
                +1
                Если будет интересно, могу рассказать немного про DFS. И что скрывается за этим в samba4, в отдельной статье на хабре.
              0
              Сайты Active Directory поддерживаются — проверял

              Это хорошо. Вместе со всем прилагаемым — bridgehead, ISTG, расписанием репликации?
              Или это просто объекты-пустышки?

              Что вы подрозумеваете под коллизией SYSVOL и объектов каталога


              Два администратора исправляют один объект GPO или LDAP

              Авторитативное востановление не тестировал, но думаю, что с ним проблем возникнуть не должно

              То есть имеет место что-то вроде ntdsutil?
                +1
                Это хорошо. Вместе со всем прилагаемым — bridgehead, ISTG, расписанием репликации?
                Или это просто объекты-пустышки?

                bridgehead, ISTG на уровне объектов поддерживаются, но учитывая то, что KCC реализован в виде скрипта Python пока это рабоатет не коректно. Расписание репликации работает.

                Два администратора исправляют один объект GPO или LDAP

                Сущесвующий механизм репликации SYSVOL предполагает использование rsync и one way replication т.е. изменение должны выполняться на одном сервере и реплицироваться на другие. Если что-то пойдет не так, коллизии несомненно возникнут.

                То есть имеет место что-то вроде ntdsutil?

                Поторопился с ответом — данный сценарий не проверял, точно могу сказать, что аналогичных Windows механизмов авторитативного востановления в Samba нет. Постораюсь смоделировать процесс резервного копирования и востановления и подготовить небольшую статью.
                  0
                  Очень, очень нужна статья по резервированию samba. Лучше в виде двух DC, с rsync. Буду рад если позовёте в статью.
                0
                Отсутствие полноценной поддержки RODC
                А можно чуть подробнее, что работает, а что нет?

                И еще вопрос, с 1С не тестировали (Windows аутентификация)?
                  0

                  А можно чуть подробнее, что работает, а что нет?

                  В части RODC, в TODO List есть задачи по реализации: RODC Filtered Attribute Set и Credential Caching.
                  И еще вопрос, с 1С не тестировали (Windows аутентификация)?

                  Не тестировали, но думаю, что работать будет.
                    +1
                    1С — работает без проблем.
                    0
                    «После установки Exchange могут возникнуть проблемы с репликацией». Уточните пожалуйста про проблемы. Там две ссылки. Первая за 2012 год и там ничего про Exchange. Вторая описывает ситуацию «в домен с AD на Samba ставят Exchange» и получают проблемы. А если у меня уже есть установленный Exchange и я поднимаю AD на Samba? Вроде нет криминала?
                      0
                      Microsoft Exchange требует для работы сервер глобального каталога в локальном сайте.
                      Для SAMBA может быть два варианта:
                      1. LDAP сервер вообще не отдает глобальный каталог через порт 3268
                      2. LDAP сервер отдает через порт 3268 нечто только отдаленно напоминающее GC. С учетом того, что PAS не поддерживается (хотя больше — не меньше), мало ли какие могут быть еще проблемы.

                      Если у вас уже стоит Exchange, то разбавлять имеющуюся сеть контроллерами SAMBA — дело сомнительное. CAL вы уже де-факто должны были купить, а серверная лицензия стоит довольно смешных 500$. Смешных потому что если вы не будете брать в штат Linux-специалиста под сугубо эту задачу, вы установите еще минимум 12 Windows серверов. )) Так проявляются Total cost of ownership.
                        0
                        Внесу небольшую ясность:
                        1. LDAP сервер вообще не отдает глобальный каталог через порт 3268
                        По 3268 Samba отдает глобальный каталог — можно подключиться и посмотреть через ADSI.
                        2. LDAP сервер отдает через порт 3268 нечто только отдаленно напоминающее GC.
                        Тут согласен!
                        Стоит отметить, что Samba-сообщество активно работает над OpenLDAP реализацией базы и отдельным разделом для глобального каталога.
                          0
                          Заузим задачу — в сайте с Exchange будут только виндовые сервера. Включая GC
                            0
                            Надо тестировать, вашу конкретную конфигурацию с конкретными настройками Exchange.
                              0
                              Вы так и хотите на ближайшем расширении схемы в CU Exchange завалить весь лес? )
                              Подумайте о горных лыжах, парашютном спорте, автогонках. )
                                0
                                Я пытаюсь найти людей, которые уже что-то такое делали. Пока вижу одного, который поднимал в тестовом окружении.Поэтому это все предположения. С чего ему заваливаться?
                                А с MS гопниками от бизнеса все равно пора что-то делать…
                              0
                              Спасибо за разъяснение. Все это очень интересно, на самом деле.
                              С одной стороны, не реализована половина функционала Windows Server 2000.
                              С другой стороны, что хотеть от Open Source реализации — спасибо, что она вообще есть.

                              Но чем я больше всего восхищался в Microsoft, что они исхитряются взять какую-то довольно банальную технологию, сделать на ней прорывной продукт — и стричь купоны ДЕСЯТИЛЕТИЯМИ.
                              Ну что такого, в этой AD. LDAP каталог реплицируемый, Kerberos, капелька DFS, минимум репликации. Но какая реализация.
                              Сверху прилетает и multi-master DNS, и встроенная PKI, и чего-там-у-них-только-нет-в-этой-AD.
                                0
                                > Стоит отметить, что Samba-сообщество активно работает над OpenLDAP реализацией базы и отдельным разделом для глобального каталога.

                                Разработчики вроде же говорили, что это никак невозможно?
                                  0
                                  Разработчики вроде же говорили, что это никак невозможно?


                                  Разработкой данного функционала занимается гражданинка Болгарии Надежда Иванова. Презентация на эту тему была на LdapCon 2015. Я думую, у специалистов samba и openldap, всё получится.
                                0
                                Уже лучше. В сайте с Exchange samba не будет. Самба будет в отдельных сайтах для регионах. И глобальный каталог на нее я не планировал.
                                Насчет экономики решения все значительно сложнее. В плане лицензирование по SPLA, а там никаких CAL — только куча денег за сервера. Если же просто тратить денег, то на 8 филиалов это уже $4K. В филиале 4-5 человек. Если вы считаете что это копейки — я рад за вас и вашу компанию.
                                  +2
                                  По поводу копеек вопрос дискуссионный, предположим, что на одного годного инженера в Германии такую сумму компания потратит за месяц, но бизнес есть бизнес, не будем считать чужие деньги.

                                  У Microsoft есть неприятное такое свойство — или вы продаетесь ей целиком, или никак. То есть если у вас Microsoft завелся в компании, они потихоньку вытянут из вас денег по максимуму. Всякие попытки схитрить обычно кончаются ничем. Эти господа уже давно за вас все продумали, чтобы вы в процессе не экономили и не соскочили по дороге.
                                    0
                                    особых проблем построения гибридного окружения кроме упорости подчиненного ИТ персонала («MS ворева, ничего больше изучать не будем, лучшие решения в округе» при том что последние годы все сводиться к накатке ничем не отличающихся от предыдущих версий привычного ПО) не вижу…
                                    0
                                    А зачем вам в филиалах серверы Exchange? Разве нельзя держать одни сервер в центральном офисе и подключаться к нему удаленно через OWA и/или MAPI over HTTP? Вполне рабочее решение.
                                      0
                                      В филиалах (если внимательно читать мои пассажи) только DC и файл-сервер. DC потому что связь там где сидят филиалы такая «супекачественная» и провайдеры такие «надежные»…
                                        0
                                        я уже запутался. Если в филиалах у вас экченжа нет, то зачем считать цену его внедрения? И если есть сотовая связь, то этого хватит. Почта это не система мгновенных сообщений. Даже скорее нет, чем да.
                                          0
                                          Еще раз. Распределенная сеть, AD, Exchange, 8 филиалов. В филиалах свои сайты, вин-сервер как DC и файл-помойка. Потому что «такие хорошие каналы в центр». Хочется филиальные вин-сервера заменить на самбу.
                                  0
                                  Я тестировал аналогичный сценарий, с установленным Exchage и вводом Samba в Windows-домен. Одна из служб Exchange (не помню название) при обращении к Samba-контроллеру переходила в останов и репликация в направлении от Samba-контроллера к Windows завершалась с ошибкой werr_ds_dra_schema_mismatch при этом разделы schema были идентичны.
                                    0
                                    Б-р-р. А зачем Exchange обращаться на самба-контроллер? У него же в настройках забиты контроллеры с которыми он общается.
                                      0
                                      По умолчанию стоит автоматический выбор, но, да, можно задавать вручную.
                                  +1
                                  А вообще тут есть кто-нибудь у кого в одном домене AD на винде и на самбе? Очень хочу филиалы все на линукс перевести ибо при нынешних ценах на овес держать там WinServer'а просто неоправдано дорого. Сисадмины отбиваются и кричать «лучше тебя посадят, чем мы Линукс будем поднимать».
                                    0
                                    Да, сисадмины — они такие СИСАДМИНЫ… :-)
                                      0
                                      Мы так сделали в одной организации для эксперимента (самба в виде Zentyal Community Edition). В общем, если AD нужен для централизованной аутентификации и политик, самбы достаточно. Всё управление с винсервера. Зентиал — это убунту с доппакетами, взял на себя ещё роль сервера, куда складываются резервные копии виндов (ntbackup-ом или как оно там называется).
                                        0
                                        Вот уже интереснее. Сколько юзеров, сколько сайтов, есть ли exchange?
                                        0
                                        Немного есть. Если получится решить возникшую проблему, я отпишу в отдельной статье про очень большой подводный камень, возникающий при определённых обстоятельствах.
                                        0
                                        в процессе работ была установлена экономическая выгода в сравнении ТОС винды и гибридной среды с самбой? Если да, то какая?
                                          0
                                          Берем стоимость серверной винды и множим на количество филиалов. Вот и выгода. Для себя я ее посчитал выше. И By the way c 1 сентября цены на винду на 15-20% поднимаются. Как объявил MS «в связи с огромным количеством новых фич»
                                            0
                                            По факту: цены не поднялись до сих пор, вроде ни на рубль! (Имею ввиду серверные Windows + CAL)

                                            Очень интересно посмотреть как samba будет работать с сайтами!

                                            Если у вас куча филиалов, вы реально думаете, что samba справится..?
                                              0
                                              Цены не поднялись, ну и что? Оно и не было никогда особо дёшево.
                                                +1
                                                Хм… уже анонсирован подъем с 1 января 2016. гугл вывалит кучу ссылок. Вот например.
                                                lenta.ru/news/2015/11/03/microsoft
                                                Рост за 2015-2016 год 30% с лишним. Вам этого мало?

                                                Насчет филиалов — вот и проверим.
                                                –1
                                                Не все так однозначно. С 1 января 2016 цены изменятся потому что рубль продолжает обесцениваться. Здесь MS можно сказать только спасибо, потому что держат ценник в рублях и сами принимают на себя курсовые риски партнеров. Если играется конкурс, и курс скакнет — у партнеров все будет в порядке.

                                                В лоб экономию считать слишком просто. Всегда мы ходим вокруг TCO, а это и рабочее время, и безопасность, и функциональность. Продукты Microsoft в этом отношении зачастую — золотая середина в соотношении цена/качество(TCO).
                                                  +1
                                                  «Спасибо» MS можно сказать только за то что своей ценовой политикой она вышибает клиентов в неправовое поле. Если рубль упадет до 100 за бакс у меня контора только на MS лицензии работать будет. Спасибо можно сказать 1Су, который цену все-таки не поднимает. И, я понимаю, что проблемы негров шерифов из MS не волнуют. Но легче мне от этого не становиться.
                                                    0
                                                    И кстати на лицензии на Axapta и прочий MBS цены не поднимают. Почему? Потому что есть конкуренция…
                                                      0
                                                      У МС цены в рублях и фиксируются до следующих анонсов
                                                        0
                                                        Это все очень хорошо. но падение курса они все равно активно отыгрывают.
                                                          0
                                                          если вы заключили контракт, никто вам ничего не отыграет. Повторюсь, МС она из немногих компаний, фиксирующих цену для региона на указанный период. И менять лицензии надо крайне редко. Например, сейчас и 2003 AD прекрасно выполняет свои функции. Функционал же 2012 R2 AD должен быть востребован. В ином случае он нафик не сдался.
                                                            0
                                                            Детский сад какой -то… «МС она из немногих компаний, фиксирующих цену для региона на указанный период». Период закончился — цены поднялись. По софтлайновским рассылкам можно даже отследить на сколько они поднимаются и как отыгрывается падение рубля. Вы хотите сказать что фиксация цен на период и есть отсутствие роста цен? По этой логике коммуналка в России тоже не растет. Она же фиксируется до следующего повышения…
                                                              0
                                                              согласен. Попробуйте представить, что за лицензии МС вы заплатили один раз. Это ведь не коммуналка, которая платится всегда.
                                                                0
                                                                Я могу не представлять. Я уже заплатил. Но в результате реорганизации, которую провели собственники, должен платить опять. И возможно через пару лет опять. Посему решил двинуть на SPLA. А там представлять совсем не выходит — надо платить всегда. И кстати, люди из MS, совсем не понимают как это можно без Software Assurance жить…
                                                                  0
                                                                  не понял. Вы заплатили, а провели собственники и платить вам. А почему не собственникам?
                                                                    0
                                                                    Не я лично — у меня нет таких денег. А компания.
                                                    0
                                                    Но вы не получаете полный аналог. Поэтому такой подсчет несколько странен. Плюс вам нужен специалист по линуксу, который тоже не бесплатен. А толковый специалист стоит дорого.
                                                      0
                                                      Толковый специалист по AD не дешевле. А он всё равно нужен. Тут on par, и если функционал типа эксченджа не требуется, реально различается только стоимость софта.
                                                        +1
                                                        Просматривая свои записки по подъему Lync2013 и Exch2013 хочу заметить, что то что винду легче и проще крутить чем Линукс давно стало мифом. И судя по последним анонсом от MS — дальше будет только хуже.
                                                        PS
                                                        Эх попробовать puppet или chef негде. Есть сильно подозрение что кроме AD и Office (ну и лени и инертности пользователей и ИТ стаффа) ничего у MS не осталось.
                                                          0
                                                          причем тут простота?
                                                            0
                                                            О чём я и говорю. А ещё я поражаюсь, что кто-то ещё до сих пор верит в бредни про TCO из мокросовтовых рекламок. Видимо сами никогда не считали. Если честно посчитать TCO, мокросовт реально получается раза в три дороже.
                                                            –2
                                                            Но получается, что к стоимости отсутствия функционала самбы надо еще прибавить з.п. специалиста, который будет ее обслуживать. Поэтому расчет выгоды исходя из «нет лицензий» ошибочный в своей сути. А если сюда добавить отсутствие каких-либо критериев кроме субъективных предыдущих работодателей качества линуксового специалиста, цена возрастает на порядок.
                                                              +1
                                                              Я не понимаю почему надо обязательно «прибавить з.п. специалиста, который будет ее обслуживать.». Потому что виндовс-специалистам лень учить Линукс? или потому что эту мантру постоянно повторяют люди из MS? Кто-то заметил у нас безумный спрос на виндовс-админов на рынке? Покажите где, пожалуйста.
                                                              PS
                                                              А главное я не понимаю почему вопрос по интеграции AD на samba и windows (как впрочем и любой вопрос на миграции на линукс) постоянно переходить в плоскость «а давайте посчитаем»?.. Причем реальных расчетов никто из поклонников Windows не дает (и, да, у меня сейчас корпоративная сеть на Winodws, но это не повод ничего другого не пробовать). Хабр технический ресурс — давайте тут поговорим про техническую часть. Про что кстати была и оригинальная статья.
                                                                +1
                                                                Могу прочитать мантру и про специализацию. Любой продукт той же Microsoft настолько сложен, что один специалист вряд ли будет экспертом более чем в одном, иногда двух продуктах.
                                                                Распыляя экспертизу на несколько продуктов, а в вашем случае платформ — получаем посредственные знания или в целом, или по направлению.

                                                                Техническая часть заключается в том, что домен AD на базе родных продуктов MS поднимается, расширяется, обслуживается значительно быстрее, чем на SAMBA. При этом качество продукта близко к безупречному, сравните с чудовищным списком недоделок у SAMBA.

                                                                Вам хочется неделями заниматься кроссплатформенным SAMBA/MS AD траблшутингом? С перспективой отката всех контроллеров на недельный бекап? Никто не в праве вам это запретить. Особенно если это ваш бизнес. Но если ваш бизнес в другом, не распыляйте усилия.

                                                                Действительность заключается в том, что AD SAMBA — все еще продукт для энтузиастов. И может никогда не станет другим. Да, в простой сети он вполне заменяет продукты MS. Прекрасно. Но в сложной сети он не работает. Досадно.
                                                                  0
                                                                  Вы статью с реальным описанием проблем сделайте на эту тему. Будем очень благодарны.
                                                                    0
                                                                    Использую samba4 в продакшене. Её, и только её. Скоро может напишу статью, про то, как можно очень круто попасть с samba4. То что и случилось у нас в общем то… — При том, мы попали в samba, и похоже по-настоящему попали, и теперь даже при желании с неё свалить будет очень не просто. Но в целом, samba4 — работает у нас уже не первый год. И так и будет продолжать работать. Для плоского домена, без эксченджей — она вполне подходит.

                                                                    Если у вас используется эксчендж — то в филиалах, у вас будет только windows. Написано же в документации, что samba не сможет работать с изменённой схемой ldap.

                                                                    Хотя чёрт его знает, если ничего кроме шар не надо, может и прокатит… Но… :)
                                                                      0
                                                                      Я так понял при работающей samba схему менять не надо… А не вообще с измененной… Пойду еще раз перечитаю…
                                                                        0
                                                                        а если кратко, в чем попадалово? Разве с нее нельзя мигрировать на полноценный MS AD?
                                                                          0
                                                                          Разве с нее нельзя мигрировать на полноценный MS AD?
                                                                          В настоящий момент, я пришёл именно к такому выводу.
                                                                          0
                                                                          Но вы не используете ее в смешанной среде, иначе смысл.

                                                                          Расскажите вашу историю, хотя бы коротко.
                                                                            0
                                                                            Если не поленюсь, отпишу статью-заметку. Пока не буду раскрывать подробностей. :) Название статьи, дам достаточно провокативное, так что я думаю, если темой интересуетесь — не пропустите!
                                                                      0
                                                                      так техническая часть не может отрываться от вопроса «оно тебе вообще зачем?». Самба в роли догоняющего и переход на нее обусловлен не техническими причинами, а лишь финансовыми. Или есть другие аргументы, кроме финансовых? Озвучите?
                                                                      вернемся к специалистам. Если виндовс админ будет учить линукс, то за счет чего и кого? В нормальной ситуации компания должна будет приобрести для виндового админа курсы, на которые он будет ходить с отрывом от производства. Получается, что в будущее инвестируется за счет отсутствия админа на работе, но с сохранением ему з.п. плюс цена курсов (и не одних). И все это в итоге значительно повысит ценность сотрудника, которому придется платить з.п. ощутимо больше, т.к. держать его будет ощутимо меньше. И при таких наспех накиданных расходах что самба предложит взамен? Как окупит вложения?
                                                                        0
                                                                        Может… Будем считать что я маньяк. Но в общем и целом предлагаю дискуссию прекратить. По делу уже давно ничего.

                                                          Only users with full accounts can post comments. Log in, please.