abbra: (Speaker Rabbit)
Отписался о прошедшей конференции SambaXP: https://vda.li/en/posts/2015/05/23/SambaXP-report/

Делать русскоязычную версию пока не хочу -- надо ли?
abbra: (Speaker Rabbit)
На последней линуксовке в году рассказал о том, что мы готовим для Fedora 21. Даже демо отработало, чего не было уже давно. Без демо-эффекта не обошлось, но в целом все получилось. Видео обещали выложить, а слайды доступны тут: http://talks.vda.li/2013/12-mlug/
abbra: (Speaker Rabbit)
В Fedora 18 "вдруг" наткнулся на то, что Firefox переключился по умолчанию на встроенный просмотровщик PDF, PDFjs. Как и многие другие поделия из мира Latin-1, он не лишен прелестей, которые достаются нам даром:
Read more... )
abbra: (Speaker Rabbit)
Самба 4.0 вышла. Я в это время ехал в Хельсинки, чтобы отпраздновать это событие на рождественской вечеринке бывших нокийских коллег, на которую пришло около тысячи человек. Почти девять лет, а учитывая работу Триджа в IBM research до публикации, то и все десять.

Поздравляю всех, кто причастен и кто занимается системным и сетевым администрированием. Понятно, что работы непочатый край, но это достаточно важный этап, как с точки зрения конечного продукта, так и с точки зрения взаимодействия отрасли, монополистов в ней и правовых структур, ограничивающих их поведение.

Год назад не было понятно, выйдет ли Самба 4.0. Объем работы был по-прежнему настолько велик, что никто не мог точно сказать ничего, кроме "выйдет, когда будет готова". За год удалось главное -- обуздать разработку, подорванную кризисными изменениями в вовлеченности разных компаний, поставив ее под контроль и предсказуемый график выпуска, а также привлечь новых заинтересованных волонтеров извне для регулярного тестирования и написания документации. В случае инфраструктурного ПО довольно сложно гарантировать непрерывное тестирование новых версий -- очень быстро удачно внедренное становится заложником принципа "работает -- не трогай". В том числе, работа волонтеров обеспечила совместимость обновлений между новыми версиями, которые выдавала "на гора" команда разработчиков.

Самба 4.0 -- это веха не только для самих разработчиков и пользователей. Это прежде всего веха во взаимоотношениях в отрасли.

В 2007 году десятилетняя тяжба между Микрософт и Еврокомиссией, в которой Samba Team была важнейшим свиделем, оставшимся в процессе до самого конца, дала плоды в виде публичного описания протоколов сетевой инфраструктуры Microsoft под лицензией, позволяющей свободную реализацию. Первоначальная свободная реализация протоколов Active Directory была к тому моменту уже написана, но детали поведения всегда важны и, как оказалось, без такого внешнего использования многие из этих деталей были задокументированы неверно.

Принуждение силой со стороны Еврокомиссии пошло также на пользу и Микрософт. Система тестирования протоколов Samba Team (smbtorture) позволила выявить многие ошибки, которые собственные средства Микрософт не находили, а также подтолкнула к новым исследованиям в тестировании сложных протоколов. Микрософт даже написала и предложила апстриму документацию по smbtorture, разумеется, под свободной лицензией. Каждый год в Редмонде проходит Interop lab, в рамках которой инженерные команды из Микрософт и Samba Team тестируют собственные реализации против друг друга, а также общаются напрямую. Архитекторы и руководители разработки Windows Server каждый год присутствуют на ключевой конференции Samba Team, SambaXP, а разработка новых редакций протокола SMB учитывает нужды альтернативных реализаций.

Я далек от мысли, что эти взаимоотношения идеальны и не тешу себя мыслью, что джедаи смогли обуздать империю. Однако хотелось бы, чтобы и другие сражения в отрасли приносили пользу не только компаниям, которые в них вовлечены, но и обществу в целом. История создания Самба 4.0 показывает, что даже в сложной и не такой внешне впечатляющей и "инстаграммной" области, где битвы во многом проходят за закрытыми дверьми и под руководством неведомых лоббистов в государственных структурах, возможно продвижение общественных в противовес сиюминутным интересам.
abbra: (Default)
На ЛОРе анонсировали некий проект по созданию аналога Active Directory для не-Windows. Проект как проект, автору придется еще многое понять и выяснить, а также реализовать. Я обратил внимание на то, что у него "не срослось" с FreeIPA, поэтому он решил написать самостоятельно, используя тот же 389-ds и MIT krb5 в качестве базиса. Посмотрел я на патчи, зацепился взглядом за патчи к MIT krb5 KDC, которые добавляют поддержку нечувствительных к регистру идентификаторов (case-insensitive principals). Вот патч, можете оценить сами: http://relay.logotek.ru/~viking/opendirectory/patches/krb5-1.9-mscompat.patch

Зацепился я за этот по той причине, что для FreeIPAv3 я как раз делал поддержку нечувствительных к регистру идентификаторов. Вот она: http://git.fedorahosted.org/git/?p=freeipa.git;a=commitdiff;h=cbb1d626b913a7ce802150aa15bda761c9768695. Особенность задачи в том, что сравнивать "нечувствительно" идентификаторы необходимо только при обработке TGS запросов и только, если KDC разрешает это делать, указав специальный флаг. Во всех остальных случаях это чревато проблемами с безопасностью, которые Артемий игнорирует. Ну и особенность LDAP схемы для хранения базы данных идентификаторов Керберос в том, что оба атрибута krbPrincipalName и krbCanonicalName в схеме определены как EQUALITY caseExactIA5Match SUBSTR caseExactSubstringsMatch, что не дает возможности поиска в базе нечувствительно к регистру, а принудительно приводить к нижнему регистру перед сохранением нельзя, потому что это сломает софт, использующий поиск по этим атрибутам непосредственно в LDAP.

Далее автор заявляет, цитирую:
Но даже эта "связка" [FreeIPA] не позволит вам без мата или бешеной доли везения сделать например такую простую вещь как smbclient -L windowshost.company.com -k.

Что же происходит, когда мы хотим сделать упомянутую простую вещь? Read more... )
abbra: (Default)
То, о чем мы с Андреасом рассказывали на SambaXP, теперь доступно в git master Samba и выйдет в рамках Samba 4.0 beta1. Хорошая отметка после полутора лет работы, из которых я полноценно поучаствовал в последних шести месяцах.

Теперь нужно доделать куски во FreeIPA и собрать пакеты.
abbra: (Default)
8-11 мая в Гёттингене (Германия) прошла конференция SambaXP (http://sambaxp.org). В год проходит несколько мероприятий, на которых собирается большинство разработчиков Samba и SambaXP -- главная из них в Европе. Конференция была впервые организована в 2002 компанией SerNet, расположенной в Гёттингене, и вот уже 11 лет радует встречами разработчиков, производителей решений на основе Samba и их пользователей.

подробный отчет )
abbra: (Default)
PDF-ка нашего доклада на SambaXP: http://abbra.fedorapeople.org/freeipa.pdf

Доклад начнется где-то через час. Увы, выложить демо в ЖЖ пока не представляется возможным, но во время доклада мы его покажем. Надеюсь, что к июню все фрагменты будут доступны в Fedora (18?).
abbra: (Default)
Пока одной строкой:
  • Брэдли Кун из Free Software Conservancy рассказал о том, как проходят юридические разбирательства по нарушению GNU GPL в США, поскольку он и есть тот юрист, который эту работу ведет.

  • Микрософт переименовала SMB 2.2 в SMB 3.0. C точки зрения производительности это будет самая быстрая сетевая файловая система. В их тестах они получили 5.7 гигабайта в секунду на FC (54Gbps) при уменьшении нагрузки на стороне клиента. Ждите в Windows Server 2012 Storage Platform в конце этого года.

  • Samba Team работает над поддержкой SMB3. Был продемонстрирован ролик копирования DVD с Самбы по SMB3 с параллельным вырубанием Самбы и прозрачной миграцией копирования на другой узел в кластере. Клиент только замер на пару секунд и продолжил копировать, никаких ошибок. Полная реализация ожидается тоже не ранее конца 2012 года. В это время в рассылке samba-technical@ китайский чувак из EMC пытается собрать smbtorture4, чтобы тестировать EMCшную реализацию SMB3 и утверждает, что их продукт выйдет в этом году. У них что, тестов продукта своих нет?

  • OpenChange продемонстрировал практически работающий сервер Exchange под GNU/Linux на базе Samba4 и SoGo, с которым работает по нативному протоколу нативный виндовый Outlook самой распоследней версии. "Практически работающий" из-за того, что он еще в некоторых ситуациях падает.


Через час у нас вечеринка, потом надо дописать свой доклад. Может быть в пятницу смогу написать подробнее.
abbra: (Default)
Согласно пункту 3.1.5.16 спецификации MS-FSA, "объектное хранилище ДОЛЖНО выставить Open.File.SecurityDescriptor в InputBuffer". Как результат, том NTFS должен хранить как есть данные, записанные приложением в DACL файла. Размер одной записи в ACL -- до 64Кб. Если учесть, что обычными средствами увидеть содержимое этих дополнительных записей невозможно, то вышеописанное представляет собой идеальный способ сокрытия данных на томах WinFS.

Такие дела, в изложении Микрософт: http://lists.samba.org/archive/samba-technical/2012-April/082770.html

Интересно, в специализированном ПО для forensic analysis этот случай учитывается? Если нет, то когда будет учитываться? На постсоветском пространстве эксперты соответствующего профиля о таком знают? А свядомые догадываются?

Теперь это реализовывать в Самбе... Bug for bug, feature for feature. :)
abbra: (Default)
На следующей неделе в Брно (Чехия) пройдет конференция разработчиков Fedora Project, http://fedoraproject.org/wiki/DeveloperConference2012. Поскольку я там буду и мой доклад будет в самом начале первого дня, появляется шанс послушать остальные выступления, не отвлекаясь на подготовку презентации и демонстраций.

Поэтому, принимаются пожелания -- что послушать и о чем впоследствии написать заметку в этом журнале?
abbra: (Default)
Выложил на http://abbra.fedorapeople.org/freeipa-extensibility.html первый драфт руководства для разработчика FreeIPA по написанию расширений. Еще полировать и полировать, но это уже что-то, что можно использовать в качестве руководства, чтобы читать имеющийся код и понимать что в нем к чему.

Смена погоды убивает голову.
abbra: (Default)
Выложил на http://abbra.fedorapeople.org/freeipa-extensibility.html первый драфт руководства для разработчика FreeIPA по написанию расширений. Еще полировать и полировать, но это уже что-то, что можно использовать в качестве руководства, чтобы читать имеющийся код и понимать что в нем к чему.

Смена погоды убивает голову.

Hat off

Oct. 14th, 2011 10:18 pm
abbra: (Default)
В память о Деннисе Ритчи, Red Hat снимает шляпу.

Hat off

Oct. 14th, 2011 10:18 pm
abbra: (Default)
В память о Деннисе Ритчи, Red Hat снимает шляпу.
abbra: (Default)
Картина маслом в здоровом апстриме: два сотрудника Red Hat добавляют поддержку Ubuntu поверх только что сделанной платформизации FreeIPA (делалась для добавления поддержки systemd, над которой я работаю уже третью неделю), а бывший сисадмин университета Аалто, перейдя в Canonical, берется за добавление отсутствующих и исправление присутствующих пакетов.

Ради развлечения почитайте увлекательную инструкцию "как заставить все это взлететь на Ubuntu Oneiric"
abbra: (Default)
Картина маслом в здоровом апстриме: два сотрудника Red Hat добавляют поддержку Ubuntu поверх только что сделанной платформизации FreeIPA (делалась для добавления поддержки systemd, над которой я работаю уже третью неделю), а бывший сисадмин университета Аалто, перейдя в Canonical, берется за добавление отсутствующих и исправление присутствующих пакетов.

Ради развлечения почитайте увлекательную инструкцию "как заставить все это взлететь на Ubuntu Oneiric"
abbra: (Default)
Конечные автоматы бывают разные. Есть генераторы исходного кода по схемам-описаниям, есть табличные исполнители, а есть неявные конечные автоматы. Они сложнее, но читаются как детективный роман -- со множеством веток предположений и откатов на исходные позиции, а так же с необходимостью найти на них время. Неявные конечные автоматы в разных проектах -- это то, что одновременно удерживает от прихода новых участников (нужно уметь раскручивать детективный сценарий) и позволяет глубже понять, что и как задумывалось. Разгадав очередной автомат, получаешь вполне осязаемое удовлетворение.
Два примера )
abbra: (Default)
Конечные автоматы бывают разные. Есть генераторы исходного кода по схемам-описаниям, есть табличные исполнители, а есть неявные конечные автоматы. Они сложнее, но читаются как детективный роман -- со множеством веток предположений и откатов на исходные позиции, а так же с необходимостью найти на них время. Неявные конечные автоматы в разных проектах -- это то, что одновременно удерживает от прихода новых участников (нужно уметь раскручивать детективный сценарий) и позволяет глубже понять, что и как задумывалось. Разгадав очередной автомат, получаешь вполне осязаемое удовлетворение.
Два примера )
abbra: (Default)
Выпустили FreeIPA 2.1. Это первый релиз с начала моей работы над проектом. В релиз вошел уже описанный ранее hbactest -- команда для тестирования работоспособности правил доступа к различным службам.

Параллельно коллеги выпустили бету RHEV 3, в описании которой The Register отметил и нас:
You can still use Microsoft's Active Directory for authentication of users and access to resources on the network, but Red Hat is also allowing customers to go all-red and use its own Enterprise IPA (which is not a hoppy beer*, but rather an identity manager based on LDAP and Kerberos).
* (IPA у британских и американских любителей пива однозначно ассоциируется с Indian Pale Ale).

Впереди работа над FreeIPA 3.0 -- помимо общих усовершенствований основу составит поддержка доверенности между доменами (cross-domain trusts). Надеюсь, что в обновление стабильной ветки (2.1) успею дописать поддержку других дистрибутивов, начатую вот здесь. В первую очередь для клиентской стороны, потому что серверная требует серьезного участия со стороны дистрибутиво-делателей.

Примером может служить недавний выпуск обновления по безопасности curl. В curl в рамках этого обновления оторвали возможность делегирования билетов Kerberos от клиента к серверу. И это правильно -- но только в том случае, когда неизвестно, можно ли этому серверу доверять. Клиент FreeIPA использует XML-RPC для доступа к серверу FreeIPA. Реализовано это средствами библиотеки xmlrpc-c, которая внутри использует libcurl для предоставления транспорта. Библиотека xmlrpc-c позволяет, если libcurl собран с поддержкой GSSAPI, делегировать имеющиеся билеты на сервер. Когда в libcurl эту поддержку "вырвали", то клиент FreeIPA (а их два -- консольный и административный интерфейс в браузере) не смог общаться с сервером.

Поскольку первоначальное исправление было связано с потенциальной проблемой с безопасностью, потребовалось доказать апстриму libcurl, что поддержку GSSAPI нужно вернуть хотя бы опицонально (дать возможность пользователю API решать, можно ли делегировать билеты или нет). Ушло несколько недель и на то, чтобы патч, возвращающий поддержку GSSAPI (уже в опциональном виде) был принят в апстрим -- libcurl очень серьезно относится к совместимости своего API с предыдущими версиями. В конце концов, все это было сделано и добавлено.

Как результат, необходимо было:
  1. собрать новую версию libcurl
  2. добавить патч к xmlrpc-c для поддержки опционально GSSAPI в libcurl
  3. исправить код, использующий xmlrpc-c, чтобы использовать опциональную поддержку GSSAPI
  4. собрать все это для Fedora 14 (обновления), 15 (обновления), 16, RHEL5 (обновления), RHEL6 (обновления)
  5. Вспомнить, что некоторые утилиты использовали утилиту curl для общения и подразумевали делегирование билетов -- значит, надо добавить поддержку этой опции в curl, собранный с новым libcurl
  6. собрать новый curl в Fedora 14 (обновления), 15 (обновления), 16, RHEL5 (обновления), RHEL6 (обновления)
Понятно, что почти все эти действия подразумевают также привязывание сборочных зависимостей и зависимостей в пакетах к правильным версиям пакетов libcurl и xmlrpc-c, поскольку иначе вся машинерия не будет работать и количество отчетов о странных ошибках в стиле "оно просто не работает" будет огромным. Эта типичная работа создателей дистрибутивов совместно с апстримными проектами -- особенно для тех случаев, когда эти проекты имеют развесистые зависимости на другие проекты. Времени на такую координацию уходит много, особенно когда ответственные мейнтейнеры в отпусках или слабо доступны.

Такие дела.

Profile

abbra: (Default)
abbra

April 2016

S M T W T F S
     12
3456789
1011121314 1516
17181920212223
24252627282930

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Oct. 20th, 2017 05:57 pm
Powered by Dreamwidth Studios