Введение
Изначально, Samba представляла собой пакет программ, которые позволяют обращаться к сетевым дискам и принтерам на различных операционных системах по протоколу SMB/CIFS, но, начиная с версии 4 в Samba, была реализована возможность выступать в роли контроллера домена и аналога сервиса Active Directory.
Несмотря на то, что Samba 4 является неплохим решением для замены служб Active Directory Domain Services и в ней реализована значительная часть функциональности AD, она, все же, имеет ряд существенных ограничений, которые могут стать критичными при внедрении и эксплуатации решения в продуктивной среде.
В данной статье мы постараемся ответить на вопрос, насколько хороша может быть такая замена и с какими проблемами и ограничениями можно столкнуться.
Возможности Samba
Устанавливая Samba и базовые сетевые службы (DNS, NTP, Kerberos…) на один из Linux-дистрибутивов вы получаете следующую функциональность:
- Контроллер домена Active Directory:
•Служба Аутентификации на базе Kerberos v5;
•LDAP-совместимая служба каталогов c возможностью репликации по DRS;
•Сервер управления групповыми политиками;
•DNS-сервер на базе BIND, обеспечивающий безопасную динамическую регистрацию имен. - Файловый сервер.
- Сервер печати.
Благодаря преемственности в подходах к реализации службы каталога Active Directory (разработчики Samba использовали открытые спецификации Microsoft), клиентами домена на базе Samba могут быть рабочие станции с операционными системами Microsoft Windows XP-2012R2. В качестве инструментов управления доменными службами Active Directory, реализованными на Samba, могут быть использованы привычные системным администраторам Microsoft Remote Server Administration Tools.
Кроме того, Samba является программным обеспечением с открытым исходным кодом и распространяется по лицензии GPL, а это в конечном счете позволяет:
- Снизить риски, связанные с использованием импортного программного обеспечения (для госучреждений это будет особенно актуально с первого января 2016 года).
- Снизить совокупную стоимость владения информационной системой.
Для небольших и средних организаций, которые планируют организовать домен для хранения и поиска информации об объектах информационных систем, а также для организаций, которые по ряду причин планируют переход на СПО, Samba может быть неплохой альтернативой Microsoft Active Directory.
Но всем ли так хороша Samba и действительно ли она позволяет полностью закрыть функционал Active Directory? Постараемся ответить на этот вопрос.
Ограничения Samba
Общую информацию по ограничениям функциональности AD в реализации Samba можно найти и в вики-базе знаний на wiki.samba.org, но данные там придется собирать по крупицам, и далеко не все ограничения будут упомянуты.
Описанные ограничения, действительны для актуальной, на момент написания статьи версии Samba 4.3.1.
И так, начнем с функциональных ограничений:
Максимальный размер базы данных Samba ограничен 4 Гб
Ограничение максимального размера базы данных Samba связано с 32-битной архитектурой tdb. Для крупных организаций, c сотнями тысяч объектов в каталоге Active Dirtectory, переход на Samba может оказаться невозможным. (Кстати, информация о данном ограничении появилась 13 ноября 2015, спустя почти 3 года после выхода Samba 4.0 и то, в основном, благодаря активным обсуждениям в mailing list).
Доверительные отношения (forest/domain trust)
Наиболее полная реализация доверительных отношений появилась в версии Samba 4.3, тем не менее, в ней присутствует ряд существенных ограничений:
- Поддерживаются только двухсторонние доверительные отношения;
- Отсутствует функция SID Filtering, отказ от нее существенно снижает уровень безопасности при организации доверительных отношений;
- Не поддерживается добавление пользователей или групп из доверенного домена «А» в группы домена «В». Данное ограничение делает невозможным применение Samba 4 в сколько-нибудь больших инсталляциях, требующих отношений доверия.
Поддержка многодоменной структуры/поддержка поддоменов
Поддержка многодоменной структуры отсутствует, как на уровне кода, так и на уровне базы данных Samba. Фактически, в Samba нет реализации глобального каталога (при запросе глобального каталога производится редирект в общий LDAP-каталог).
Если вы создаете поддомен на базе Samba, или вводите Samba в состав домена второго уровня, записи о других доменах и корневом домене будут потеряны, а «благодаря» ограничениям в поддержке фантомных объектов, работа в многодоменной среде может быть весьма нестабильной. К сожалению, на любые вопросы к сообществу в mailing list вы будете получать ответы типа:
«We would also like to improve Samba to scale up, and to support more diverse domain structures, but it isn't a small task.
Sorry,»
Репликация SYSVOL
Несмотря на то, что групповые политики полноценно функционируют в Samba (за исключением политики паролей, назначаемых на конкретное организационное подразделение), из-за отсутствия поддержки протоколов DFS-R и FRS, репликацию SYSVOL придется проводить в ручном режиме, или при помощи скрипта. Информация о настройках rsync для репликации между контроллерами Samba есть на сайте wiki.samba.org.
По вопросам реализации репликации SYSVOL между Windows контроллером домена и samba — можете писать мне на почту.
Поддержка KCC
В Release notes к Samba 4.3.0 заявлено, что разработчики приблизились к реализации KCC, в соответствии с открытой спецификацией Microsoft, на деле же, стоит приготовиться к многочисленным ошибкам в журналах событий и созданию/корректировке графа репликации вручную.
Другие ограничения
- Отсутствие полноценной поддержки RODC;
- Отсутствие поддержки контроллеров домена на базе Windows Server 2012 и Windows 2012 R2 совместно с Samba в роли AD DC;
- Отсутствие поддержки MIT Kerberos;
- Проблемы в реализации модуля репликации DRS*;
- Проблемы при репликации расширений схемы (Schema Extension) **.
*В части реализации DRS, большинство функций работает корректно, но есть ряд ограничений, с которыми можно ознакомиться на странице DRS_TODO_List.
**Несмотря на то, что расширение схемы является штатной операцией, после ее выполнения, результат может быть весьма неожиданным. Например, может появиться ошибка werr_ds_dra_schema_mismatch. Вообще, данная ошибка может возникать даже когда схемы совпадают, но раскрытие этой темы требует отдельно написанной статьи, поэтому, сейчас мы не будем заострять на этом внимание.
Стоит учитывать, что в уже реализованных функциональных модулях присутствуют баги, и судя по оживленной переписке в mailing list их весьма немало (подробнее можно почитать на сайте bugzilla.samba.org).
Поддержка различных приложений
Помимо функциональных ограничений, у Samba AD DC также имеются ограничения, связанные с функционированием ряда приложений и служб. На тестовом полигоне мной были протестированы некоторые базовые инфраструктурные сервисы. С результатами тестирования можно ознакомиться ниже.
Все приложения были протестированы в базовой конфигурации. Глубокий анализ природы возникновения ошибок не проводился.
| Приложение | Результат тестирования | Перечень проверок |
| Microsoft Exchange Server 2003/2010/2013 | Не поддерживается* | Установка Запуск служб |
| Microsoft SQL Server 2012R2 | Поддерживается | Установка (в том числе и в отказоустойчивой конфигурации с Failover cluster) Создание групп доступности Аутентификация пользователей |
| Citrix Xen App 6.5 | Поддерживается* | Установка Запуск опубликованного приложения Применение политик Citrix Применение перемещаемых профилей пользователей |
| Microsoft System Center Configuration Manger 2007 | Поддерживается* | Установка Функционал отчетности Удаленный доступ к рабочему столу |
*Комментарии:
- Microsoft Exchange Server 2003/2010/2013
После установки Exchange могут возникнуть проблемы с репликацией. Службы, необходимые для функционирования Exchange, у меня не запустились. Подробнее с проблемой можно ознакомиться по следующим ссылкам Ссылка 1 и Ссылка 2.
- Citrix Xen App 6.5
После успешной установки Citrix Xen App, у меня возникли проблемы с репликацией, проблема оказалась в некорректном регистре для записи SPN (с описанием похожей проблемы можно ознакомиться тут).
- Microsoft System Center Configuration Manger 2007
Удаленный доступ к рабочему столу у меня так и не заработал из-за ошибки идентификации в DCOM.
В целом, приложения, которые используют Active Directory исключительно для аутентификации, должны работать в домене под управлением Samba без особых проблем, но протестировать их работу на полигоне все же стоит.
Выводы
Если подвести итог, получается, что у Samba AD DC имеется довольно много ограничений, которые могут стать серьезной проблемой при крупных внедрениях. В тоже время Samba, на текущий момент, является наиболее зрелой открытой заменой Active Directory и службы каталогов в целом. Решение активно развивается благодаря наличию коммерческой поддержки со стороны зарубежных компаний, а также интеграции с облачными сервисами (использование Samba в Amazon) и интересу к продукту со стороны интеграторов — все это дает основание надеяться на скорейшее разрешение всех имеющихся проблем и доработку необходимой функциональности.
Комментарии (72)
merlin-vrn
09.12.2015 23:59+9Максимальный размер базы данных Samba ограничен 4 Гб
Ну, судя по тому, что это выяснилось спустя три года после выхода, можно сделать простой вывод: для инсталляций с одним доменом (а большего самба же толком и не умеет) этих 4 Гб более чем достаточно.
shweew
10.12.2015 09:23Благодаря преемственности в подходах к реализации службы каталога Active Directory (разработчики Samba использовали открытые спецификации Microsoft), клиентами домена на базе Samba могут быть рабочие станции с операционными системами Microsoft Windows XP-2012R2...
А линуксовые станции отменили?..
Just_Wah
11.12.2015 13:33линукс не может быть полноценным участником виндовс домена в связи с принципиально иной моделью безопасности. В каком-то упрощенном виде — безусловно.
cruxacrux
11.12.2015 16:16Линуксовые станции удобнее заводить в «домен» FreeIPA, там действительно все политики заточены под Linux. А в FreeIPA настроить доверительные отношения с существующей AD (выглядит в AD как cross-forest trust). Таким образом, на линуксовых клиентов не нужны лицензии CAL, а все остальные плюшки в наличии. Недавно на OSSDEVCONF-2015 был хороший доклад по этой теме.
gotch
10.12.2015 10:20+1Можно еще несколько вопросов?
Как дела с Sites?
Может ли том с SYSVOL на SAMBA участвовать в доменном DFS Namespace?
Реализованы ли Application Partitions?
Как разрешаются коллизии объектов каталога и тома SYSVOL?
Можно ли авторитативно восстанавливать объекты?
Поддерживается ли резервное копирование/восстановление SAMBA в каких либо продуктах резервного копирования?
Xsomius
10.12.2015 11:10+1- Сайты Active Directory поддерживаются — проверял.
- DFS — не реализован вообще.
- Application Partition реализованы.
- Что вы подрозумеваете под коллизией SYSVOL и объектов каталога?
- Авторитативное востановление не тестировал, но думаю, что с ним проблем возникнуть не должно.
- Насколько мне известно, нативного резевного копирования Samba ADDC нет, но т.к. вся конфигурация находится в «плоском» виде, настроить план резервного копирования и востановления вполне возможно, более того, разработчики Samba предлагают делать резервные копии путем выполненя простых операций копирования в реальном времени.
VGusev2007
13.12.2015 00:26+1Если будет интересно, могу рассказать немного про DFS. И что скрывается за этим в samba4, в отдельной статье на хабре.
gotch
10.12.2015 11:59Сайты Active Directory поддерживаются — проверял
Это хорошо. Вместе со всем прилагаемым — bridgehead, ISTG, расписанием репликации?
Или это просто объекты-пустышки?
Что вы подрозумеваете под коллизией SYSVOL и объектов каталога
Два администратора исправляют один объект GPO или LDAP
Авторитативное востановление не тестировал, но думаю, что с ним проблем возникнуть не должно
То есть имеет место что-то вроде ntdsutil?Xsomius
10.12.2015 13:26+1Это хорошо. Вместе со всем прилагаемым — bridgehead, ISTG, расписанием репликации?
Или это просто объекты-пустышки?
bridgehead, ISTG на уровне объектов поддерживаются, но учитывая то, что KCC реализован в виде скрипта Python пока это рабоатет не коректно. Расписание репликации работает.
Два администратора исправляют один объект GPO или LDAP
Сущесвующий механизм репликации SYSVOL предполагает использование rsync и one way replication т.е. изменение должны выполняться на одном сервере и реплицироваться на другие. Если что-то пойдет не так, коллизии несомненно возникнут.
То есть имеет место что-то вроде ntdsutil?
Поторопился с ответом — данный сценарий не проверял, точно могу сказать, что аналогичных Windows механизмов авторитативного востановления в Samba нет. Постораюсь смоделировать процесс резервного копирования и востановления и подготовить небольшую статью.VGusev2007
13.12.2015 00:33Очень, очень нужна статья по резервированию samba. Лучше в виде двух DC, с rsync. Буду рад если позовёте в статью.
ComodoHacker
10.12.2015 15:05Отсутствие полноценной поддержки RODC
А можно чуть подробнее, что работает, а что нет?
И еще вопрос, с 1С не тестировали (Windows аутентификация)?Xsomius
10.12.2015 17:04
А можно чуть подробнее, что работает, а что нет?
В части RODC, в TODO List есть задачи по реализации: RODC Filtered Attribute Set и Credential Caching.
И еще вопрос, с 1С не тестировали (Windows аутентификация)?
Не тестировали, но думаю, что работать будет.
DonAlPAtino
10.12.2015 16:36«После установки Exchange могут возникнуть проблемы с репликацией». Уточните пожалуйста про проблемы. Там две ссылки. Первая за 2012 год и там ничего про Exchange. Вторая описывает ситуацию «в домен с AD на Samba ставят Exchange» и получают проблемы. А если у меня уже есть установленный Exchange и я поднимаю AD на Samba? Вроде нет криминала?
gotch
10.12.2015 17:08Microsoft Exchange требует для работы сервер глобального каталога в локальном сайте.
Для SAMBA может быть два варианта:
1. LDAP сервер вообще не отдает глобальный каталог через порт 3268
2. LDAP сервер отдает через порт 3268 нечто только отдаленно напоминающее GC. С учетом того, что PAS не поддерживается (хотя больше — не меньше), мало ли какие могут быть еще проблемы.
Если у вас уже стоит Exchange, то разбавлять имеющуюся сеть контроллерами SAMBA — дело сомнительное. CAL вы уже де-факто должны были купить, а серверная лицензия стоит довольно смешных 500$. Смешных потому что если вы не будете брать в штат Linux-специалиста под сугубо эту задачу, вы установите еще минимум 12 Windows серверов. )) Так проявляются Total cost of ownership.Xsomius
10.12.2015 17:20Внесу небольшую ясность:
1. LDAP сервер вообще не отдает глобальный каталог через порт 3268
По 3268 Samba отдает глобальный каталог — можно подключиться и посмотреть через ADSI.
2. LDAP сервер отдает через порт 3268 нечто только отдаленно напоминающее GC.
Тут согласен!
Стоит отметить, что Samba-сообщество активно работает над OpenLDAP реализацией базы и отдельным разделом для глобального каталога.DonAlPAtino
10.12.2015 17:43Заузим задачу — в сайте с Exchange будут только виндовые сервера. Включая GC
Xsomius
10.12.2015 18:19Надо тестировать, вашу конкретную конфигурацию с конкретными настройками Exchange.
gotch
10.12.2015 19:07Вы так и хотите на ближайшем расширении схемы в CU Exchange завалить весь лес? )
Подумайте о горных лыжах, парашютном спорте, автогонках. )DonAlPAtino
11.12.2015 09:04Я пытаюсь найти людей, которые уже что-то такое делали. Пока вижу одного, который поднимал в тестовом окружении.Поэтому это все предположения. С чего ему заваливаться?
А с MS гопниками от бизнеса все равно пора что-то делать…
gotch
10.12.2015 19:03Спасибо за разъяснение. Все это очень интересно, на самом деле.
С одной стороны, не реализована половина функционала Windows Server 2000.
С другой стороны, что хотеть от Open Source реализации — спасибо, что она вообще есть.
Но чем я больше всего восхищался в Microsoft, что они исхитряются взять какую-то довольно банальную технологию, сделать на ней прорывной продукт — и стричь купоны ДЕСЯТИЛЕТИЯМИ.
Ну что такого, в этой AD. LDAP каталог реплицируемый, Kerberos, капелька DFS, минимум репликации. Но какая реализация.
Сверху прилетает и multi-master DNS, и встроенная PKI, и чего-там-у-них-только-нет-в-этой-AD.
Balek
10.12.2015 23:43> Стоит отметить, что Samba-сообщество активно работает над OpenLDAP реализацией базы и отдельным разделом для глобального каталога.
Разработчики вроде же говорили, что это никак невозможно?Xsomius
12.12.2015 14:37Разработчики вроде же говорили, что это никак невозможно?
Разработкой данного функционала занимается гражданинка Болгарии Надежда Иванова. Презентация на эту тему была на LdapCon 2015. Я думую, у специалистов samba и openldap, всё получится.
DonAlPAtino
10.12.2015 17:41Уже лучше. В сайте с Exchange samba не будет. Самба будет в отдельных сайтах для регионах. И глобальный каталог на нее я не планировал.
Насчет экономики решения все значительно сложнее. В плане лицензирование по SPLA, а там никаких CAL — только куча денег за сервера. Если же просто тратить денег, то на 8 филиалов это уже $4K. В филиале 4-5 человек. Если вы считаете что это копейки — я рад за вас и вашу компанию.gotch
10.12.2015 19:16+2По поводу копеек вопрос дискуссионный, предположим, что на одного годного инженера в Германии такую сумму компания потратит за месяц, но бизнес есть бизнес, не будем считать чужие деньги.
У Microsoft есть неприятное такое свойство — или вы продаетесь ей целиком, или никак. То есть если у вас Microsoft завелся в компании, они потихоньку вытянут из вас денег по максимуму. Всякие попытки схитрить обычно кончаются ничем. Эти господа уже давно за вас все продумали, чтобы вы в процессе не экономили и не соскочили по дороге.DonAlPAtino
11.12.2015 09:07особых проблем построения гибридного окружения кроме упорости подчиненного ИТ персонала («MS ворева, ничего больше изучать не будем, лучшие решения в округе» при том что последние годы все сводиться к накатке ничем не отличающихся от предыдущих версий привычного ПО) не вижу…
Just_Wah
11.12.2015 13:38А зачем вам в филиалах серверы Exchange? Разве нельзя держать одни сервер в центральном офисе и подключаться к нему удаленно через OWA и/или MAPI over HTTP? Вполне рабочее решение.
DonAlPAtino
12.12.2015 18:11В филиалах (если внимательно читать мои пассажи) только DC и файл-сервер. DC потому что связь там где сидят филиалы такая «супекачественная» и провайдеры такие «надежные»…
Just_Wah
13.12.2015 22:28я уже запутался. Если в филиалах у вас экченжа нет, то зачем считать цену его внедрения? И если есть сотовая связь, то этого хватит. Почта это не система мгновенных сообщений. Даже скорее нет, чем да.
DonAlPAtino
14.12.2015 09:21Еще раз. Распределенная сеть, AD, Exchange, 8 филиалов. В филиалах свои сайты, вин-сервер как DC и файл-помойка. Потому что «такие хорошие каналы в центр». Хочется филиальные вин-сервера заменить на самбу.
Xsomius
10.12.2015 17:15Я тестировал аналогичный сценарий, с установленным Exchage и вводом Samba в Windows-домен. Одна из служб Exchange (не помню название) при обращении к Samba-контроллеру переходила в останов и репликация в направлении от Samba-контроллера к Windows завершалась с ошибкой werr_ds_dra_schema_mismatch при этом разделы schema были идентичны.
DonAlPAtino
10.12.2015 17:37Б-р-р. А зачем Exchange обращаться на самба-контроллер? У него же в настройках забиты контроллеры с которыми он общается.
DonAlPAtino
10.12.2015 16:38+1А вообще тут есть кто-нибудь у кого в одном домене AD на винде и на самбе? Очень хочу филиалы все на линукс перевести ибо при нынешних ценах на овес держать там WinServer'а просто неоправдано дорого. Сисадмины отбиваются и кричать «лучше тебя посадят, чем мы Линукс будем поднимать».
merlin-vrn
10.12.2015 19:48Мы так сделали в одной организации для эксперимента (самба в виде Zentyal Community Edition). В общем, если AD нужен для централизованной аутентификации и политик, самбы достаточно. Всё управление с винсервера. Зентиал — это убунту с доппакетами, взял на себя ещё роль сервера, куда складываются резервные копии виндов (ntbackup-ом или как оно там называется).
VGusev2007
13.12.2015 00:35Немного есть. Если получится решить возникшую проблему, я отпишу в отдельной статье про очень большой подводный камень, возникающий при определённых обстоятельствах.
Just_Wah
11.12.2015 13:32в процессе работ была установлена экономическая выгода в сравнении ТОС винды и гибридной среды с самбой? Если да, то какая?
DonAlPAtino
12.12.2015 18:15Берем стоимость серверной винды и множим на количество филиалов. Вот и выгода. Для себя я ее посчитал выше. И By the way c 1 сентября цены на винду на 15-20% поднимаются. Как объявил MS «в связи с огромным количеством новых фич»
VGusev2007
13.12.2015 00:39По факту: цены не поднялись до сих пор, вроде ни на рубль! (Имею ввиду серверные Windows + CAL)
Очень интересно посмотреть как samba будет работать с сайтами!
Если у вас куча филиалов, вы реально думаете, что samba справится..?DonAlPAtino
14.12.2015 09:14+1Хм… уже анонсирован подъем с 1 января 2016. гугл вывалит кучу ссылок. Вот например.
lenta.ru/news/2015/11/03/microsoft
Рост за 2015-2016 год 30% с лишним. Вам этого мало?
Насчет филиалов — вот и проверим.
gotch
13.12.2015 13:27-1Не все так однозначно. С 1 января 2016 цены изменятся потому что рубль продолжает обесцениваться. Здесь MS можно сказать только спасибо, потому что держат ценник в рублях и сами принимают на себя курсовые риски партнеров. Если играется конкурс, и курс скакнет — у партнеров все будет в порядке.
В лоб экономию считать слишком просто. Всегда мы ходим вокруг TCO, а это и рабочее время, и безопасность, и функциональность. Продукты Microsoft в этом отношении зачастую — золотая середина в соотношении цена/качество(TCO).DonAlPAtino
14.12.2015 09:24+1«Спасибо» MS можно сказать только за то что своей ценовой политикой она вышибает клиентов в неправовое поле. Если рубль упадет до 100 за бакс у меня контора только на MS лицензии работать будет. Спасибо можно сказать 1Су, который цену все-таки не поднимает. И, я понимаю, что проблемы негров шерифов из MS не волнуют. Но легче мне от этого не становиться.
DonAlPAtino
14.12.2015 09:25И кстати на лицензии на Axapta и прочий MBS цены не поднимают. Почему? Потому что есть конкуренция…
Just_Wah
14.12.2015 10:19У МС цены в рублях и фиксируются до следующих анонсов
DonAlPAtino
14.12.2015 11:33Это все очень хорошо. но падение курса они все равно активно отыгрывают.
Just_Wah
14.12.2015 13:06если вы заключили контракт, никто вам ничего не отыграет. Повторюсь, МС она из немногих компаний, фиксирующих цену для региона на указанный период. И менять лицензии надо крайне редко. Например, сейчас и 2003 AD прекрасно выполняет свои функции. Функционал же 2012 R2 AD должен быть востребован. В ином случае он нафик не сдался.
DonAlPAtino
14.12.2015 13:58Детский сад какой -то… «МС она из немногих компаний, фиксирующих цену для региона на указанный период». Период закончился — цены поднялись. По софтлайновским рассылкам можно даже отследить на сколько они поднимаются и как отыгрывается падение рубля. Вы хотите сказать что фиксация цен на период и есть отсутствие роста цен? По этой логике коммуналка в России тоже не растет. Она же фиксируется до следующего повышения…
Just_Wah
14.12.2015 15:05согласен. Попробуйте представить, что за лицензии МС вы заплатили один раз. Это ведь не коммуналка, которая платится всегда.
DonAlPAtino
14.12.2015 15:52Я могу не представлять. Я уже заплатил. Но в результате реорганизации, которую провели собственники, должен платить опять. И возможно через пару лет опять. Посему решил двинуть на SPLA. А там представлять совсем не выходит — надо платить всегда. И кстати, люди из MS, совсем не понимают как это можно без Software Assurance жить…
Just_Wah
14.12.2015 16:00не понял. Вы заплатили, а провели собственники и платить вам. А почему не собственникам?
Just_Wah
13.12.2015 22:25Но вы не получаете полный аналог. Поэтому такой подсчет несколько странен. Плюс вам нужен специалист по линуксу, который тоже не бесплатен. А толковый специалист стоит дорого.
merlin-vrn
14.12.2015 08:52Толковый специалист по AD не дешевле. А он всё равно нужен. Тут on par, и если функционал типа эксченджа не требуется, реально различается только стоимость софта.
DonAlPAtino
14.12.2015 09:18+1Просматривая свои записки по подъему Lync2013 и Exch2013 хочу заметить, что то что винду легче и проще крутить чем Линукс давно стало мифом. И судя по последним анонсом от MS — дальше будет только хуже.
PS
Эх попробовать puppet или chef негде. Есть сильно подозрение что кроме AD и Office (ну и лени и инертности пользователей и ИТ стаффа) ничего у MS не осталось.merlin-vrn
14.12.2015 13:54О чём я и говорю. А ещё я поражаюсь, что кто-то ещё до сих пор верит в бредни про TCO из мокросовтовых рекламок. Видимо сами никогда не считали. Если честно посчитать TCO, мокросовт реально получается раза в три дороже.
Just_Wah
14.12.2015 10:17-2Но получается, что к стоимости отсутствия функционала самбы надо еще прибавить з.п. специалиста, который будет ее обслуживать. Поэтому расчет выгоды исходя из «нет лицензий» ошибочный в своей сути. А если сюда добавить отсутствие каких-либо критериев кроме субъективных предыдущих работодателей качества линуксового специалиста, цена возрастает на порядок.
DonAlPAtino
14.12.2015 11:38+1Я не понимаю почему надо обязательно «прибавить з.п. специалиста, который будет ее обслуживать.». Потому что виндовс-специалистам лень учить Линукс? или потому что эту мантру постоянно повторяют люди из MS? Кто-то заметил у нас безумный спрос на виндовс-админов на рынке? Покажите где, пожалуйста.
PS
А главное я не понимаю почему вопрос по интеграции AD на samba и windows (как впрочем и любой вопрос на миграции на линукс) постоянно переходить в плоскость «а давайте посчитаем»?.. Причем реальных расчетов никто из поклонников Windows не дает (и, да, у меня сейчас корпоративная сеть на Winodws, но это не повод ничего другого не пробовать). Хабр технический ресурс — давайте тут поговорим про техническую часть. Про что кстати была и оригинальная статья.gotch
14.12.2015 12:59+1Могу прочитать мантру и про специализацию. Любой продукт той же Microsoft настолько сложен, что один специалист вряд ли будет экспертом более чем в одном, иногда двух продуктах.
Распыляя экспертизу на несколько продуктов, а в вашем случае платформ — получаем посредственные знания или в целом, или по направлению.
Техническая часть заключается в том, что домен AD на базе родных продуктов MS поднимается, расширяется, обслуживается значительно быстрее, чем на SAMBA. При этом качество продукта близко к безупречному, сравните с чудовищным списком недоделок у SAMBA.
Вам хочется неделями заниматься кроссплатформенным SAMBA/MS AD траблшутингом? С перспективой отката всех контроллеров на недельный бекап? Никто не в праве вам это запретить. Особенно если это ваш бизнес. Но если ваш бизнес в другом, не распыляйте усилия.
Действительность заключается в том, что AD SAMBA — все еще продукт для энтузиастов. И может никогда не станет другим. Да, в простой сети он вполне заменяет продукты MS. Прекрасно. Но в сложной сети он не работает. Досадно.DonAlPAtino
14.12.2015 14:03Вы статью с реальным описанием проблем сделайте на эту тему. Будем очень благодарны.
VGusev2007
14.12.2015 15:45Использую samba4 в продакшене. Её, и только её. Скоро может напишу статью, про то, как можно очень круто попасть с samba4. То что и случилось у нас в общем то… — При том, мы попали в samba, и похоже по-настоящему попали, и теперь даже при желании с неё свалить будет очень не просто. Но в целом, samba4 — работает у нас уже не первый год. И так и будет продолжать работать. Для плоского домена, без эксченджей — она вполне подходит.
Если у вас используется эксчендж — то в филиалах, у вас будет только windows. Написано же в документации, что samba не сможет работать с изменённой схемой ldap.
Хотя чёрт его знает, если ничего кроме шар не надо, может и прокатит… Но… :)DonAlPAtino
14.12.2015 15:54Я так понял при работающей samba схему менять не надо… А не вообще с измененной… Пойду еще раз перечитаю…
Just_Wah
14.12.2015 15:59а если кратко, в чем попадалово? Разве с нее нельзя мигрировать на полноценный MS AD?
VGusev2007
14.12.2015 16:30Разве с нее нельзя мигрировать на полноценный MS AD?
В настоящий момент, я пришёл именно к такому выводу.
gotch
14.12.2015 16:10Но вы не используете ее в смешанной среде, иначе смысл.
Расскажите вашу историю, хотя бы коротко.VGusev2007
14.12.2015 16:31Если не поленюсь, отпишу статью-заметку. Пока не буду раскрывать подробностей. :) Название статьи, дам достаточно провокативное, так что я думаю, если темой интересуетесь — не пропустите!
Just_Wah
14.12.2015 13:01так техническая часть не может отрываться от вопроса «оно тебе вообще зачем?». Самба в роли догоняющего и переход на нее обусловлен не техническими причинами, а лишь финансовыми. Или есть другие аргументы, кроме финансовых? Озвучите?
вернемся к специалистам. Если виндовс админ будет учить линукс, то за счет чего и кого? В нормальной ситуации компания должна будет приобрести для виндового админа курсы, на которые он будет ходить с отрывом от производства. Получается, что в будущее инвестируется за счет отсутствия админа на работе, но с сохранением ему з.п. плюс цена курсов (и не одних). И все это в итоге значительно повысит ценность сотрудника, которому придется платить з.п. ощутимо больше, т.к. держать его будет ощутимо меньше. И при таких наспех накиданных расходах что самба предложит взамен? Как окупит вложения?DonAlPAtino
14.12.2015 14:04Может… Будем считать что я маньяк. Но в общем и целом предлагаю дискуссию прекратить. По делу уже давно ничего.
nikitasius
Последний раз я использовал самбу 8 лет назад. Сегодняшнее развитие этого продукта вызывает слезы радости!