CIFS: curious information funneled sometimes

На ЛОРе анонсировали некий проект по созданию аналога Active Directory для не-Windows. Проект как проект, автору придется еще многое понять и выяснить, а также реализовать. Я обратил внимание на то, что у него "не срослось" с FreeIPA, поэтому он решил написать самостоятельно, используя тот же 389-ds и MIT krb5 в качестве базиса. Посмотрел я на патчи, зацепился взглядом за патчи к MIT krb5 KDC, которые добавляют поддержку нечувствительных к регистру идентификаторов (case-insensitive principals). Вот патч, можете оценить сами: http://relay.logotek.ru/~viking/opendirectory/patches/krb5-1.9-mscompat.patch

Зацепился я за этот по той причине, что для FreeIPAv3 я как раз делал поддержку нечувствительных к регистру идентификаторов. Вот она: http://git.fedorahosted.org/git/?p=freeipa.git;a=commitdiff;h=cbb1d626b913a7ce802150aa15bda761c9768695. Особенность задачи в том, что сравнивать "нечувствительно" идентификаторы необходимо только при обработке TGS запросов и только, если KDC разрешает это делать, указав специальный флаг. Во всех остальных случаях это чревато проблемами с безопасностью, которые Артемий игнорирует. Ну и особенность LDAP схемы для хранения базы данных идентификаторов Керберос в том, что оба атрибута krbPrincipalName и krbCanonicalName в схеме определены как EQUALITY caseExactIA5Match SUBSTR caseExactSubstringsMatch, что не дает возможности поиска в базе нечувствительно к регистру, а принудительно приводить к нижнему регистру перед сохранением нельзя, потому что это сломает софт, использующий поиск по этим атрибутам непосредственно в LDAP.

Далее автор заявляет, цитирую:

Но даже эта "связка" [FreeIPA] не позволит вам без мата или бешеной доли везения сделать например такую простую вещь как smbclient -L windowshost.company.com -k.

Что же происходит, когда мы хотим сделать упомянутую простую вещь? ( Read more... )

Пока одной строкой:

• Брэдли Кун из Free Software Conservancy рассказал о том, как проходят юридические разбирательства по нарушению GNU GPL в США, поскольку он и есть тот юрист, который эту работу ведет.


• Микрософт переименовала SMB 2.2 в SMB 3.0. C точки зрения производительности это будет самая быстрая сетевая файловая система. В их тестах они получили 5.7 гигабайта в секунду на FC (54Gbps) при уменьшении нагрузки на стороне клиента. Ждите в Windows Server 2012 Storage Platform в конце этого года.


• Samba Team работает над поддержкой SMB3. Был продемонстрирован ролик копирования DVD с Самбы по SMB3 с параллельным вырубанием Самбы и прозрачной миграцией копирования на другой узел в кластере. Клиент только замер на пару секунд и продолжил копировать, никаких ошибок. Полная реализация ожидается тоже не ранее конца 2012 года. В это время в рассылке samba-technical@ китайский чувак из EMC пытается собрать smbtorture4, чтобы тестировать EMCшную реализацию SMB3 и утверждает, что их продукт выйдет в этом году. У них что, тестов продукта своих нет?


• OpenChange продемонстрировал практически работающий сервер Exchange под GNU/Linux на базе Samba4 и SoGo, с которым работает по нативному протоколу нативный виндовый Outlook самой распоследней версии. "Практически работающий" из-за того, что он еще в некоторых ситуациях падает.

Через час у нас вечеринка, потом надо дописать свой доклад. Может быть в пятницу смогу написать подробнее.