Journal Samba4 disponible en RC

Posté par  . Licence CC By‑SA.
Étiquettes :
27
17
sept.
2012

Salut cher Journal,
Je prends la plume aujourd'hui pour parler d'une nouvelle récente que je suis surpris de ne pas avoir encore vue publiée ou commentée.
Depuis quelques jours en effet, Samba4 est disponible en version RC1.

Petit rappel de ce qu'est Samba4:
Il s'agit d'un nouveau projet de l'équipe samba dont le but est d'augmenter encore la compatibilité avec les environnements de Microsoft avec des briques libres. Samba4 permet ainsi de jouer le rôle de contrôleur de domaine.
Cette version intègre également toutes les fonctionnalités de son aïeul Samba3 et peut donc jouer le rôle de serveur de fichier membre d'un Domaine, avec en prime du support de SMB2 et SMB2.1 le support des premières fonctionnalités de SMB3.

Un domaine Microsoft étant massivement appuyé sur LDAP et le système DNS, Samba4 intègre également son propre serveur LDAP et son propre serveur DNS pour un déploiement plus rapide et intégré (même s'il est possible de s'appuyer sur un LDAP ou un Bind existant).

Après des années de développement, le projet, qui était passé en phase beta en juin (voir lien), passe donc aujourd'hui en RC.
D'un point de vue technique, je suis plutôt emballé par cette nouvelle, et impressionné par l'efficacité de la chose. Pour le tester régulièrement depuis de nombreux mois, il est aujourd'hui presque plus facile de monter un domaine avec samba4 qu'avec un serveur windows.

Mais la question que je me pose est : le projet n'arrive-t-il pas trop tard ? Est-ce d'ailleurs parce que les équipes de samba s'en rendent également compte qu'ils accélèrent à ce point la sortie de la finale ?
En effet, à l'heure du tout Cloud, est-ce que samba4 à encore une place ?

A mon sens, la cible de samba4 est principalement les PME qui n'ont pas les moyens de sortir l'artillerie AD Microsoft et qui pourraient bénéficier des avantages de la gestion d'un environnement bureautique MS grâce à un Domaine à bas coût.
Mais avec l'arrivée prochaine de Windows8 qui permet d'authentifier un PC dans le cloud, de faire du roaming profile dans le cloud, et de conserver toute sa configuration bureautique dans le cloud, ne risque-t-on pas de voir rapidement toutes les PME basculer vers ce mode de gestion, afin de ne plus avoir à se préoccuper de l'infrastructure informatique ? Dans ce cas, à qui servira samba4 (si ce n'est quelques amateurs éclairés) ?
Quand on voit comme le mail dans le cloud (hotmail/gmail/outlook.com) a largement supplanté les infra mail locale pour ce type d'entreprise, je ne vois pas ce qui les retiendrait d'en faire autant pour la bureautique.
Apple et sa vision a-t-il complètement gangréné l'informatique, au point de nous faire regretter l'époque où Microsoft représentait le mal ? - inspiré d'un autre Journal, mais j'aime l'idée -

Annonce de la RC1
HOWTO configure Samba4
Journal de sortie de la béta

  • # Pourquoi faire simple quand on peut faire compliqué?

    Posté par  (site web personnel) . Évalué à 2.

    Il s'agit d'un nouveau projet de l'équipe samba dont le but est d'augmenter (…) Cette version intègre également toutes les fonctionnalités de son aïeul Samba3

    En plus court et plus compréhensible : il s'agit d'une nouvelle version d'un projet existant.

    • [^] # Re: Pourquoi faire simple quand on peut faire compliqué?

      Posté par  . Évalué à 3.

      Je trouve que vu le scope, c'est un peu plus que seulement une nouvelle version.
      Samba 3.5 et 3.6 sont des nouvelles version
      Samba4 est quasiment un nouveau projet, de la même équipe de développement.
      Mais chacun peut interpréter la chose comme il l'entend.

      • [^] # Re: Pourquoi faire simple quand on peut faire compliqué?

        Posté par  (site web personnel) . Évalué à 4.

        Samba 4 := Samba 4 + Samba 3
        
        

        En effet, la partie serveur de fichier n'était pas au point et comme le projet n'avançait pas… il a été décidé d'intégrer samba 3 dans samba 4 pour la distribution de fichier.

        Au final, samba 4, coté opérationnel, c'est un active directory coté annuaire (kerberos + stratégie de groupe).

        Avec la dynamique actuelle, on aura oublié bientôt tout cela, car l'équipe de développement à bosser très dur pour rendre tout cela transparent ;-)

  • # samba 4 profite aussi aux particuliers

    Posté par  (site web personnel) . Évalué à 6. Dernière modification le 17 septembre 2012 à 08:53.

    N'est-il pas dangereux pour une PME de confier la totalité de ses données à une entreprise pas forcément soumise aux mêmes lois ?

    Samba4 sera toujours utile aux particuliers qui ont au sein du même réseau local, possèdent des machines Windows et Linux.

    https://link-society.com - https://kubirds.com - https://github.com/link-society/flowg

    • [^] # Re: samba 4 profite aussi aux particuliers

      Posté par  . Évalué à 2.

      C'est ce que je crains en fait.
      Que la cible ne devienne que les quelques geek un peu bricoleurs et curieux, et que cette grosse évolution du projet n'ait pas l'essort et ne touche pas la cible qu'il mérite comme c'est le cas avec le projet samba actuel.
      Avec ce que prépare MS, je pense que d'ici quelques mois/années, tous les particuliers qui ont un win8 se loggueront avec leur identifiant live sur tous leurs PC.
      En gros, un mélange entre iCloud et un AD mondial confié à MS … l'avenir quoi.

      • [^] # Re: samba 4 profite aussi aux particuliers

        Posté par  (site web personnel) . Évalué à 1.

        Que la cible ne devienne que les quelques geek un peu bricoleurs et curieux,

        C'était déjà le cas avant (les gens "normaux" installent du MS).
        Aucun changement.

        • [^] # Re: samba 4 profite aussi aux particuliers

          Posté par  . Évalué à 8.

          C'est tout à fait vrai et vrai. À part quelques banques mineures qui n'ont pas plus d'une agence ; quelques universités d'oubliettes qui n'ont pas plus de 2 étudiants — morts, cela va de soi — ; quelques collectivités genre ministère de la porte qu'on ne prend pas ; quelques sociétés sans envergure qui ne vendent qu'un zéphyr inaudible ; quelques Ong utopistes militant pour le respect de la cosse du haricot indigo ; quelques labos souffreteux attendant patiemment leur mise à mort : personne, j'écris bien personne, ne se sert de samba. À part donc quelques geeks un peu bricoleurs et curieux.
          YMMD, once again.

        • [^] # Re: samba 4 profite aussi aux particuliers

          Posté par  . Évalué à 4.

          Non, aujourd'hui samba est utilisé massivement dans beaucoup d'appliances, et il y a un vrai marché autour (il n'y a qu'à voir ce que font Qnap et Synology par exemple).
          Les utilisateurs ignorent bien entendu utiliser du samba, mais le produit n'en demeure pas moins largement déployé.
          J'avoue que j'espérais un essor de petites appliances avec du samba4 à l'intérieur pour arriver à la même réussite qu'avec samba3: professionnaliser l'offre.

          • [^] # Re: samba 4 profite aussi aux particuliers

            Posté par  (site web personnel) . Évalué à 1.

            Je vais préciser donc ma pensée :
            Je ne pense pas que la taille de la cible change avec le cloud (ceux ayant un NAS compatible SMB vont rester avec un NAS compatible SMB, ou si ils vont vers le cloud, ils demanderont à ce que le cloud soit compatible SMB et donc Samba sera toujours utilisé et donc sponsorisé par des entreprises).
            Le cloud ne fait que déporter le stockage, mais ne change pas le besoin de protocole, le risque de Samba est que SMB ne soit plus demandé, mais c'est à mon avis une autre histoire.

            • [^] # Re: samba 4 profite aussi aux particuliers

              Posté par  . Évalué à -1.

              OK, dans ce cas-ci, je te rejoins totalement, surtout pour l'histoire du protocole dans le cloud (ToutOverHTTP)

              Cependant, dans mon imagination ahurie, j'imagine plutôt que ceux, PME ou particuliers, qui ont un NAS à la maison basculeront plus vite sur authentification avec un compte live.com + stockage Samba local que authentification AD samba4 locale + stockage samba local.

              D'autant plus vrai selon moi que Win8 arrive à grands pas, et que l'authentification dans le cloud est la grosse nouveauté : sans aucune infra, chaque particulier/PME peut avoir l'équivalent d'un domaine grâce au cloud, et utiliser et gérer simplement une flotte de PC à domicile.
              Séduisant sur papier, gratuit donc facile à expérimenter, et je pense que pour beaucoup, quand ils y auront goûté, ils ne regarderont plus ailleurs.

              Cloud pour l'authentification + NAS local pour les données sera peut-être le meilleur compromis pour les PME …

            • [^] # Re: samba 4 profite aussi aux particuliers

              Posté par  . Évalué à -9.

              Inutile de préciser ta pensée, ce que tu dis c'est de la merde.

        • [^] # Re: samba 4 profite aussi aux particuliers

          Posté par  (site web personnel) . Évalué à 3.

          Pas que. On trouve du samba dans pas mal d'écoles/collèges/lycées (via le packaging Sambaedu).

          Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN

  • # le cloud certaine entreprise n'en veulent pas

    Posté par  (site web personnel) . Évalué à 9.

    Certaine entreprise ne sont pas d'accord de laisser sortir leurs données de leur mûr.
    Y a deux ans j'ai remanié le système de sauvegarde dans la boite ou je bosse.
    J'avais proposé à mon directeur de faire une copie avec rsync sur un de serveur dédié qui se trouve chez ovh.
    Refus catégorique pas question de laisser sortir nos données.
    Donc depuis je fait du rsync entre deux bâtiments de l'entreprise.

    Les entreprises qui on un savoir faire (dans mon cas c'est dans la machine outils) et un secret de fabrication, ne veulent pas entendre parler de cloud.

    Samba 4 peut être intéressant pour nous.

    • [^] # Re: le cloud certaine entreprise n'en veulent pas

      Posté par  (site web personnel) . Évalué à 2.

      En tant que responsable info il est hors de question que je confie les données de notre société à un prestataire sur lequel je n'ai aucun contrôle. Et le cloud c'est bien mais le jour ou la connexion internet saute poufff plus rien, alors si c'est pour mettre un cache local autant gérer en internet les données.

      Accessoirement Samba ne gère pas que les données, il gère aussi l'authentification. Dans samba 4 il y a les normalement la gestion des GPO et plein d'autres truc intéressant.

      Avec un domaine AD il faut une licence Windows, les licences accès client donc le cout est quand même bien élevé.

      Born to Kill EndUser !

    • [^] # Re: le cloud certaine entreprise n'en veulent pas

      Posté par  . Évalué à 2.

      Comment aurait fait ton entreprise si elle n'avait pas eu un 2ème bâtiment pour faire une sauvegarde hors site? Ce qui est le cas de pas mal de PME, non?

      Je me dis, qu'elle aurait surement fait appel à un prestataire externe. Équivalent à ce qu'on appelle du "cloud" maintenant…

      Ou pas de sauvegarde, ce qui est autrement plus problématique.

      Si vous avez des idées, je suis preneur…

      • [^] # Re: le cloud certaine entreprise n'en veulent pas

        Posté par  . Évalué à 3.

        Faire une sauvegarde chiffrée sur un serveur externe, et/ou entreposer des disques durs ailleurs.

        « En fait, le monde du libre, c’est souvent un peu comme le parti socialiste en France » Troll

        • [^] # Re: le cloud certaine entreprise n'en veulent pas

          Posté par  . Évalué à 0.

          Je confirme. Le cloud dans le médical par exemple c'est pas encore vendu tout cuit (et tant mieux).
          Je doute que les PME de plus de 30 machines hétérogènes se passent d'un AD d'ici peu.
          Quand A samba4, en test/prod depuis quelques mois dans notre parc, ça tient très bien la route.
          Les ACL, pas plus de souci qu'avec Samba3 bien sûr.
          Les GPO fonctionnement bien aussi a condition d'installer la console compatible win7/2008
          Le SSO marche bien avec les applis web et un apache un peu configuré, pour le reste pas testé.
          Le DNS interne (ou pas) renvoie des réponse quand on lui demande.

          Je prédit une longue vie à l'AD Samba, et pis ça m'arrangerait bien d'ailleurs !

  • # Le problème de base reste : les ACL

    Posté par  . Évalué à -3.

    Le gros frein qui traîne, c'est l'impossibilité avec du Linux d'avoir des ACL qui tiennent la route en entreprise.

    On veut que le dossier "compta" soit accessible en lecture/écriture pour le personne du groupe "compta" et le groupe "direction", et en lecture seule pour le groupe "finance" et le groupe "RH".
    On veut que le dossier "production" soit en lecture/écriture pour tout le monde, mais accès interdit pour le groupe "interim".

    Il y a également l'héritage ou non des ACL, c'est très pratique.

    • [^] # Re: Le problème de base reste : les ACL

      Posté par  (site web personnel) . Évalué à 2.

      Avec la couche samba c'est tout à fait possible.

      Born to Kill EndUser !

    • [^] # Re: Le problème de base reste : les ACL

      Posté par  (site web personnel) . Évalué à 6. Dernière modification le 17 septembre 2012 à 11:03.

      Euh, tout ce que tu demandes est possible avec les ACLs standards…

      Par contre, les ACLs NTFS sont effectivement plus évoluée pour la raison suivante:
      http://linuxfr.org/forums/linuxg%C3%A9n%C3%A9ral/posts/acls-posix-vs-acls-ntfs

      • [^] # Re: Le problème de base reste : les ACL

        Posté par  . Évalué à 2.

        tout ce que tu demandes est possible avec les ACLs standards

        Chaque fois que je demande un exemple, personne n'est en mesure d'un pondre un. Aujourd'hui serait le grand jour ?
        On me donne des liens, mais franchement je n'y trouve rien qui réponde à la question. Je suis peut-être mauvais, c'est une possibilité à envisager.

        Pour le dossier "compta" et le dossier "production", je fais comment concrètement ?

        • [^] # Re: Le problème de base reste : les ACL

          Posté par  (site web personnel) . Évalué à 10.

          On veut que le dossier "compta" soit accessible en lecture/écriture pour le personne du groupe "compta" et le groupe "direction", et en lecture seule pour le groupe "finance" et le groupe "RH".

          $ setfacl -m g:compta:rwx compta
          $ setfacl -m g:direction:rwx compta
          $ setfacl -m g:finance:r-x compta
          $ setfacl -m g:RH:r-x compta

          • [^] # Re: Le problème de base reste : les ACL

            Posté par  (site web personnel) . Évalué à 3.

            Et pour les acl par défaut, mettre d: devant l'ACL, les fichiers créés dans les répertoires auront automatiquement ces autorisations.

            Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN

          • [^] # Re: Le problème de base reste : les ACL

            Posté par  . Évalué à 2.

            On veut que le dossier "compta" soit accessible en lecture/écriture pour le personne du groupe "compta" et le groupe "direction", et en lecture seule pour le groupe "finance" et le groupe "RH".

            Perso pour les ACL, c'est encore une des rares choses que je fais en graphique à partir d'un poste windows (sur mon samba 4a16 qui tourne depuis 1 an).

            • [^] # Re: Le problème de base reste : les ACL

              Posté par  (site web personnel) . Évalué à 2. Dernière modification le 18 septembre 2012 à 10:09.

              Et ca te gonfle pas qu'ils revalident l'ensemble des ACLs même quand tu rajoutes une connerie et que tu décoches partout ou c'est marqué récursif ?

              Perso, même sur les serveurs Windows, je fais avec icacls parce qu'il fait ce que je lui demande.

              • [^] # Re: Le problème de base reste : les ACL

                Posté par  (site web personnel) . Évalué à 1.

                Moi je fais avec xcacls, via des scripts Python (je préfère au vbs).

                J'en profite d'ailleurs : quand je défini mes acls via xcacls, elles sont bien appliquées et prises en compte, sauf pour l'Access-Based Enumeration qui n'en tient pas compte.

                C'est à dire que même en ayant les droits sur les dossiers, ils n'apparaissent pas.

                Le seul moyen que j'ai trouvé pour le moment, c'est de re-valider les ACLs à la main, via l'interface graphique de Windows. Ce qui bien sûr ne m'arrange pas vraiment puisque j'utilisais un script pour les définir…

                De plus, ça corrige le problème, mais ça ne m'explique pas pourquoi.

                Quelqu'un à une idée ?

                There is no spoon...

                • [^] # Re: Le problème de base reste : les ACL

                  Posté par  (site web personnel) . Évalué à 2.

                  J'ai trouvé !!!

                  Après quelques recherches sur internet et sur les conseils d'un collègue, j'ai modifié mes scripts afin d'utiliser icacls en lieu et place d'xcacls. Icacls est recommandé chaudement par Microsoft dans le cas d'un 2008 et avec du Win7. De plus, il est BEAUCOUP plus rapide que xcacls.vbs et moins buggé.

                  Malgré mes espoirs de résoudre au passage mon problème, celui-ci se posait toujours.

                  Mais cette modification m'a apporté de nouvelles données : l'existence dans icacls de droits qui m'étaient jusqu'alors inconnus et non accessibles via les utilitaires graphiques de gestion des ACLs de Microsoft.
                  Parmi lesquels, le droit "Synchronize".

                  Bien que je n'ai pas encore bien saisi son utilité, j'ai remarqué que les dossiers dont le refus explicite de suppression du dossier seulement avait été positionné avec mon script, avaient également un refus explicite du fameux droit Synchronize dans la même ACE.
                  Les dossiers dont les ACLs avaient été éditées "à la main" n'avaient que le refus du Delete.
                  Et comme par hasard, les premiers n'étaient pas visibles lorsque l'Access Based Enumeration était active et inaccessibles sous Win7, alors que les seconds l'étaient.

                  Après de nouvelles recherches, j'ai trouvé comment refuser uniquement le Delete, sans toucher au Synchronize : il faut utiliser le paramètre "DE" au lieu de "D" dans icacls.

                  Tout con.
                  Sauf que ce paramètre n'existe pas officiellement et n'est pas documenté.

                  Et on trouve encore le moyen de me demander pourquoi préférer l'open-source…

                  There is no spoon...

  • # NAS

    Posté par  . Évalué à 2.

    Je me trompe peut-être mais il me semble que samba est utilisé dans la majorité des NAS utilisant un noyau Linux, non ?
    Et comme les NAS deviennent, doucement, de plus en plus grand public, Samba a encore de beaux jours devant lui.

    • [^] # Re: NAS

      Posté par  (site web personnel) . Évalué à 5.

      Moi je dirais que vu que Active Directory a encore de beau jour devant lui, samba aussi…

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.