[devel] Новая Samba в Сизифе и p9

[Evgeny Sinelnikov]

Здравствуйте.

вс, 18 авг. 2019 г. в 06:09, Михаил Новоселов <mikhailnov at altlinux.org>:
>
> Доброго дня! Есть пара вопросов.
>
> 07.06.2019 1:52, Evgeny Sinelnikov пишет:
> > Здравствуйте,
> >
> > в сизиф (а следом и в p9) подготовлена новая сборка samba:
> > #230473 TESTED #6 [test-only] sisyphus samba.git=4.10.3-alt2
> >
> > Ключевые изменения:
> > - сборка в пакете проводится дважды - на MIT и Heimdal Kerberos.
> > - вся клиентская обвязка запакована на MIT
> Подскажите, то, что клиентская обвязка на MIT Kerbeos, решает ли
> какие-то конкретные проблемы, где это решение подтверждено?

Конкретная проблема была в том, что smbclient и всё, что слинковано с
libsmbclient стало слинковано с Heimdal.

> > - Heimdal сборка целиком уложена в пакет samba-dc
> > - в репозитории появляется samba-dc-mitkrb5 (конфликтует с samba-dc)
> > - на DC теперь работает клиентская обвязка также, как на клиенте
> > - бинарники на Heimdal прибиты по путям к /usr/lib64/samba-dc через RPATH
> > - конфликтные запускаемые файлы разложены через альтернативы
> >
> > Мы сегодня успешно прошли базовый набор интеграционных тестов на этой
> > конфигурации. Я готов отправлять эту сборку, рассчитываю на отклики и
> > разумную критику.
> >
> > На текущий момент у нас в сизифе вся самба, хоть и из одного пакета,
> > но вся собрана на Heimdal. Новая сборка, несмотря на все сложности,
> > решает две задачи:
> > - исправляет возможность использования MIT Kerberos на клиентах
> > (включая keyutils и PERSISTENT credential cache в ядре);
> А как keyutils и PERSISTENT credential cache связаны с Samba? Сейчас
> изучаю логику работы монтирования cifs с авторизацией по krb5, в нем
> участвуют ядро, cifs-utils (cifs.upcall), keyutils, но связи с samba не
> вижу.

Именно потому, что libsmbclient не был слинкован с MIT "PERSISTENT
credential cache" и перестал работать.

Когда пакетов было два - samba и samba-DC, то они собирались
по-разному. Клиентская версия samba с MIT, а DC'шая - с Heimdal. Когда
же сборка стала из одного пакета в районе samba-4.9.2-alt3, то стало
всё через Heimdal. Теперь всё, как раньше, только из одного пакета, в
котором samba собирается дважды.

> > - позволяет выполнить те же настройки на самих DC (что означает, и
> > работоспособность SSSD).
> >
> >
> > PS: в релизе 4.10.4 обнаружена регрессия, с которой нужно разбираться
> > - сломался join, проблема выглядит вот так (от варианта сборки - MIT
> > или Heimdal - не зависит):
> >
> > $ sudo net ads join -UAdministrator%PASSWORD --no-dns-updates
> > Failed to join domain: failed to join domain 'DOMAIN.ALT' over rpc:
> > None of the information to be translated has been translated.
> >
> Если правильно понял, вы это решили коммитом
> http://git.altlinux.org/gears/s/samba.git?p=samba.git;a=commitdiff;h=fa7d288637e7d7100c3e03f28c71735f6640bee0

Нет, это про другое:
https://bugzilla.samba.org/show_bug.cgi?id=14007

Это просто регрессия, которую мы отловили и исправили.



-- 
Sin (Sinelnikov Evgeny)