abbra

То, о чем мы с Андреасом рассказывали на SambaXP, теперь доступно в git master Samba и выйдет в рамках Samba 4.0 beta1. Хорошая отметка после полутора лет работы, из которых я полноценно поучаствовал в последних шести месяцах.

Теперь нужно доделать куски во FreeIPA и собрать пакеты.

8-11 мая в Гёттингене (Германия) прошла конференция SambaXP (http://sambaxp.org). В год проходит несколько мероприятий, на которых собирается большинство разработчиков Samba и SambaXP -- главная из них в Европе. Конференция была впервые организована в 2002 компанией SerNet, расположенной в Гёттингене, и вот уже 11 лет радует встречами разработчиков, производителей решений на основе Samba и их пользователей.

( подробный отчет )

PDF-ка нашего доклада на SambaXP: http://abbra.fedorapeople.org/freeipa.pdf

Доклад начнется где-то через час. Увы, выложить демо в ЖЖ пока не представляется возможным, но во время доклада мы его покажем. Надеюсь, что к июню все фрагменты будут доступны в Fedora (18?).

Пока одной строкой:

• Брэдли Кун из Free Software Conservancy рассказал о том, как проходят юридические разбирательства по нарушению GNU GPL в США, поскольку он и есть тот юрист, который эту работу ведет.


• Микрософт переименовала SMB 2.2 в SMB 3.0. C точки зрения производительности это будет самая быстрая сетевая файловая система. В их тестах они получили 5.7 гигабайта в секунду на FC (54Gbps) при уменьшении нагрузки на стороне клиента. Ждите в Windows Server 2012 Storage Platform в конце этого года.


• Samba Team работает над поддержкой SMB3. Был продемонстрирован ролик копирования DVD с Самбы по SMB3 с параллельным вырубанием Самбы и прозрачной миграцией копирования на другой узел в кластере. Клиент только замер на пару секунд и продолжил копировать, никаких ошибок. Полная реализация ожидается тоже не ранее конца 2012 года. В это время в рассылке samba-technical@ китайский чувак из EMC пытается собрать smbtorture4, чтобы тестировать EMCшную реализацию SMB3 и утверждает, что их продукт выйдет в этом году. У них что, тестов продукта своих нет?


• OpenChange продемонстрировал практически работающий сервер Exchange под GNU/Linux на базе Samba4 и SoGo, с которым работает по нативному протоколу нативный виндовый Outlook самой распоследней версии. "Практически работающий" из-за того, что он еще в некоторых ситуациях падает.

Через час у нас вечеринка, потом надо дописать свой доклад. Может быть в пятницу смогу написать подробнее.

В субботу рано утром мы выехали из дома и после 12.5 часов пути добрались до Рованиеми. Дорога к полярному кругу хорошая и свободная, потому что все желающие заехали еще в пятницу вечером на четырехдневные выходные, посвященные вальпургиевой ночи. По сути, единственное неудобство вызвала трасса между Ии и Рануа, где сложный характер ландшафта так взолновал асфальт, что заявленные 80км/ч пришлось ехать на 60км/ч, чтобы успеть увернуться от многочисленных ям и вспучившихся асфальтовых бугров. Да еще успевать реагировать на вылезающие на трассу оленьи стада -- в Лапландии стоит зима и все леса еще в снегу, единственные расчищенные от снега зоны расположены по обочинам дорог. Снега на дорогах нет, а по обочинам доступна прошлогодняя трава и мох, так что олени ленятся и далеко от дороги не уходят, предпочитая стоять на сухом и жевать траву.
( Read more... )

Есть какая-то справедливость в том, что г-н, так много усилий приложивший для лоббирования проголливудских законов в Российской Федерации, в очередной раз получил отказ в американской визе.

Согласно пункту 3.1.5.16 спецификации MS-FSA, "объектное хранилище ДОЛЖНО выставить Open.File.SecurityDescriptor в InputBuffer". Как результат, том NTFS должен хранить как есть данные, записанные приложением в DACL файла. Размер одной записи в ACL -- до 64Кб. Если учесть, что обычными средствами увидеть содержимое этих дополнительных записей невозможно, то вышеописанное представляет собой идеальный способ сокрытия данных на томах WinFS.

Такие дела, в изложении Микрософт: http://lists.samba.org/archive/samba-technical/2012-April/082770.html

Интересно, в специализированном ПО для forensic analysis этот случай учитывается? Если нет, то когда будет учитываться? На постсоветском пространстве эксперты соответствующего профиля о таком знают? А свядомые догадываются?

Теперь это реализовывать в Самбе... Bug for bug, feature for feature. :)

1 katun 16 tun 9 winal и еще по мелочи

Скелет начинает обрастать мясом. Одной из важных частей будущего FreeIPA v3.0 является возможность настраивать доверительные отношения с доменами Active Directory. Все это для того, чтобы пользователи FreeIPA и пользователи AD считались в обеих системам доверенными и не надо было их между собой синхронизировать. Теоретически, для того, чтобы это все работало, необходимо "лишь" использовать Kerberos. Проблема в том, что AD считает необходимым атрибутом доверительных отношений ответы по тем протоколам, которые она использует для своей внутренней деятельности. То есть, в первую очередь CLDAP и CIFS, причем так, что контекстуально информация, переданная по одному каналу (например, Kerberos протокол) должна быть понятна и в рамках запросов, использующих другие протоколы (CLDAP, LSA RPC). Это означает, что сервер Kerberos и другие службы как бы работают под одним крылом.

Для решения этой проблемы в Samba4 уже давно реализуются свой LDAP-сервер (и CLDAP в нем) и свой встроенный Kerberos-сервер (на основе Heimdal). Для того, чтобы внешние реализации LDAP и Kerberos могли бы обеспечить аналогичную функциональность, необходимо научить Samba отдавать некоторые операции наружу. В CIFS для этого теоретически существует end-point mapper, аналогичный RPC map для Sun RPC. То есть, один порт слушается smbd, а затем приходящие запросы раскидываются на обработчиков в отдельных процессах. На реализацию работающего диспетчера внешних обработчиков ушло несколько лет в Samba3, этот код стал стабильным относительно недавно.

Для того, чтобы установить доверительное отношение между двумя доменами достаточно не так и много вызовов. Создается пароль для доверительного отношения и, используя необходимые административные привилегии, отправляются два запроса LSA RPC CreateTrustedDomainEx2 -- к нашему серверу домена и к сервер доверяемого домена. Фактически, из основных требований здесь только административный доступ к чужому домену. В Samba3 в утилите net есть специальный раздел 'net rpc trust', который позволяет установить это самое доверие вручную. Утилита предполагает, что она запущена на своем же сервере с правами привилегированного пользователя, поскольку при работе ей требуется запись в некоторые базы данных Samba3, права на запись в которые выданы только руту, а открывает эти базы она самостоятельно.

В случае FreeIPA сам сервер FreeIPA, который занимается настройкой остальных сущностей, запущен как WSGI процесс, работающий под непривилегированным пользователем. При обращении к нему по XML-RPC или JSON со стороны клиента происходит делегирование имеющегося пользовательского билета Kerberos, на основании которого сервер FreeIPA и обращается к различным службам от имени этого пользователя. Службы в этом случае должны понимать авторизацию силами Kerberos, но сами по себе они работают тоже под непривилегированными пользователями, отличными от того, под которым работает WSGI процесс. Коммуникация между процессами идет средствами Unix domain sockets. То есть, использовать net rpc trust для установления доверительного отношения не получится, поскольку утилита net, запущенная из под пользователя apache, не сможет открыть напрямую соответствующую привилегированную базу, права на доступ к которой есть только у root. Впрочем, если бы они были у кого-то другого, это тоже было бы невозможно без принудительной выдачи прав на запись пользователю apache, что ломает всю стройную картину разделения прав.

У Samba4 есть автоматически генерируемые питоновые модули для довольно большой часть внутренних библиотек. Эти модули позволяют реализовать практически весь функционал 'net rpc trust' самостоятельно, обращаясь из кода на Питоне, запущенного под каким угодно пользователем, к соответствующим CIFS серверам, в том числе и локальному, работающему на том же сервере, что и FreeIPA. Беда только в том, что все эти модули не имеют нормальной документации и довольно неустойчивы к некорректным данным.

Это было введение. После некоторого количества итераций и патчей, как к FreeIPA, так и к Samba, удалось, наконец, реализовать подход, при котором все операции по установлению доверительных отношений выполняются из-под непривилегированного пользователя с применением делегированного билета администратора. Вот как выглядит простой запрос информации о домене (LSA RPC OpenInfoPolicy2), необходимый для определения параметров для заполнения запросов на установление доверительных отношений:( Read more... )

Осталось дописать вызовы для установления доверительных отношений в код модуля FreeIPA и большая часть функционала для FreeIPA v3.0 будет реализована.

На следующей неделе в Брно (Чехия) пройдет конференция разработчиков Fedora Project, http://fedoraproject.org/wiki/DeveloperConference2012. Поскольку я там буду и мой доклад будет в самом начале первого дня, появляется шанс послушать остальные выступления, не отвлекаясь на подготовку презентации и демонстраций.

Поэтому, принимаются пожелания -- что послушать и о чем впоследствии написать заметку в этом журнале?