Tâche #8273
Scénario #16674: Mettre à niveau la configuration Samba pour Scribe et Horus 2.6
Revoir les nouvelles variables
Description
Suite à la nouvelle version de samba, des options ont étés modifié (comme "lanman auth" qui pose problème pour le proxy authentifié) ou ajouté.
Il faudrait voir si ce paramétrage est correct.
Différence dans les options par défaut entre 2.3 et 2.4 :
client NTLMv2 auth = No
client NTLMv2 auth = Yes
Option smb.conf ajouté sur la version 2.4 à vérifier :
client use spnego principal = No
send spnego principal = No
log writeable files on exit = No
ctdb locktime warn threshold = 0
smb2 max read = 65536
smb2 max write = 65536
smb2 max trans = 65536
smb2 max credits = 8192
username map cache time = 0
allow insecure wide links = No
async smb echo handler = No
multicast dns register = Yes
winbind max clients = 200
ncalrpc dir = /var/ncalrpc
winbind max domain connections = 1
scannedonly:allow_nonscanned_files = True
idmap config * : backend = tdb
print notify backchannel = Yes
print ok = No
Demandes liées
Révisions associées
Remplacement des directives syslog dépréciées
Ref: #8273 @1h
Historique
#1 Mis à jour par Joël Cuissinat il y a presque 8 ans
- Temps estimé mis à 3.00 h
- Tâche parente mis à #16674
- Distribution
EOLE 2.4supprimé
#2 Mis à jour par Joël Cuissinat il y a plus de 7 ans
- Restant à faire (heures) mis à 3.0
#3 Mis à jour par Scrum Master il y a plus de 7 ans
- Statut changé de Nouveau à En cours
- Début mis à 13/12/2016
#4 Mis à jour par Scrum Master il y a plus de 7 ans
- Assigné à mis à Klaas TJEBBES
#5 Mis à jour par Klaas TJEBBES il y a plus de 7 ans
lanman auth = yes
Sans cette option l'authentification NTLM fonctionne correctement avec Amon 2.6 et Scribe 2.6.
#6 Mis à jour par Klaas TJEBBES il y a plus de 7 ans
enable privileges = No
On doit laisser cette option car sans elle, ESU ne se lance pas. #14453
#7 Mis à jour par Klaas TJEBBES il y a plus de 7 ans
On peut remplacer :
syslog only = yes syslog = 0
par :
logging = syslog@0
#8 Mis à jour par Gilles Grandgérard il y a plus de 7 ans
1°) ntlmv2 & spnego
client NTLMv2 auth = Yes client use spnego principal = No send spnego principal = No
The impact of 'client ntlmv2 auth = yes' is that by default we will not use NTLM authentication as a client ! (samba >= 3.6 )
Default >3.6.0: client NTLMv2 auth = Yes > inutile
Default >3.6.0: client use spnego principal = no > inutile
Default >3.6.0: send spnego principal = no > inutile (removed)
2°) log writeable
log writeable files on exit = No
Default >3.6.0: log writeable files on exit = No > inutile
3°) CTDB1048576
ctdb locktime warn threshold = 0
On n'utilise pas le cluster !
Defautl >3.6.0: ctdb locktime warn threshold = 0 ==> inutile
4°) limitation taille paquet smb2
smb2 max read = 65536 smb2 max write = 65536 smb2 max trans = 65536 smb2 max credits = 8192
ces valeurs sont pour NTLM v1 !
Default >3.6.0: smb2 max credits = 128
Default >3.6.0: smb2 max read = 8388608
Default >3.6.0: smb2 max trans = 8388608
Default >3.6.0: smb2 max write = 8388608
laisser les valeurs par défaut
5°)
username map cache time = 0
Default >3.6.0: username map cache time = 0 ==> inutile
6°) Wide Links
allow insecure wide links = No
Normalement, a utiliser avec "wide links = Yes" (ce qui n'est pas le cas)
"Setting allow insecure wide links to true disables the link between these two parameters, removing this protection and allowing a site to configure the server to follow symlinks (by setting wide links to "true") even when unix extensions is turned on."
N'est pas ce que l'on fait avec les liens 'groupes', ....
Default >3: allow insecure wide links = no > a voir
7°)
async smb echo handler = No
This parameter specifies whether Samba should fork the async smb echo handler. It can be beneficial if your file system can block syscalls for a very long time. In some circumstances, it prolongs the timeout that Windows uses to determine whether a connection is dead.
Default >3.6: async smb echo handler = no > inutile
8°) Multicast DNS
multicast dns register = Yes
Default >3.6: multicast dns register = yes ==> inutile
9°) winbind
winbind max clients = 200 winbind max domain connections = 1
This parameter specifies the maximum number of clients the winbindd(8) daemon can connect with.
Default >3.6: winbind max clients = 200
Default >3.6.0: winbind max domain connections = 1 ==> inutile, mais a voir "winbind max domain connections = 10"
10°)
ncalrpc dir = /var/ncalrpc
11°)
scannedonly:allow_nonscanned_files = True
12°) Idmap
idmap config * : backend = tdb
ok a garder
13°) print
print notify backchannel = Yes print ok = No
#9 Mis à jour par Gilles Grandgérard il y a plus de 7 ans
Pour rappel :
https://www.samba.org/samba/history/samba-4.4.0.html
Parameter Name Description Default -------------- ----------- ------- aio max threads New 100 ldap page size Changed default 1000 server multi channel support New No interfaces Extended syntax
https://www.samba.org/samba/history/samba-4.3.0.html
Parameter Name Description Default -------------- ----------- ------- logging New (empty) msdfs shuffle referrals New no smbd profiling level New off spotlight New no tls priority New NORMAL:-VERS-SSL3.0 use ntdb Removed change notify Changed to [global] kernel change notify Changed to [global] client max protocol Changed default SMB3_11 server max protocol Changed default SMB3_11
https://www.samba.org/samba/history/samba-4.2.0.html
Parameter Name Description Default -------------- ----------- ------- allow nt4 crypto New no neutralize nt4 emulation New no reject md5 client New no reject md5 servers New no require strong key New yes smb2 max read Changed default 8388608 smb2 max write Changed default 8388608 smb2 max trans Changed default 8388608 winbind expand groups Changed default 0
https://www.samba.org/samba/history/samba-4.1.0.html
Parameter Name Description Default -------------- ----------- ------- acl allow execute always New False password level Removed set directory Removed use ntdb New No
https://www.samba.org/samba/history/samba-4.0.0.html
Parameter Name Description -------------- ----------- acl compatibility Removed allow dns updates New announce as Removed announce version Removed cldap port New client max protocol New client min protocol New client signing Changed default dcerpc endpoint servers New dgram port New directory security mask Removed display charset Removed dns forwarder New dns update command New force security mode Removed force directory security mode Removed homedir map Changed default kernel oplocks Changed default kernel share modes New kpasswd port New krb5 port New nbt client socket address New nbt port New nsupdate command New ntp signd socket directory New ntvfs handler New paranoid server security Removed pid directory New printer admin Removed rndc command New rpc big endian New samba kcc command New security mask Removed send spnego principal Removed server max protocol New server min protocol New server role New server services New server signing Changed default share backend New share modes Removed smb2 max read Changed default smb2 max write Changed default smb2 max trans Changed default socket address Removed spn update command New time offset Removed tls cafile New tls certfile New tls crlfile New tls dh params file New tls enabled New tls keyfile New unicode New web port New winbindd privileged socket directory New winbind sealed pipes New winbindd socket directory New
#10 Mis à jour par Joël Cuissinat il y a plus de 7 ans
- Assigné à changé de Klaas TJEBBES à Joël Cuissinat
- % réalisé changé de 0 à 30
- Restant à faire (heures) changé de 3.0 à 1.5
#11 Mis à jour par Joël Cuissinat il y a plus de 7 ans
Klaas a écrit :
Concrètement, concernant la réduction de smb.conf de Scribe/Horus, on peut remplacer :
syslog only = yes > syslog = 0
par :logging = syslog@0C'est tout ce que j'ai trouvé, le reste on en a besoin.
#12 Mis à jour par Joël Cuissinat il y a plus de 7 ans
- Sujet changé de Revoir les nouvelles variables 2.4 à Revoir les nouvelles variables
#13 Mis à jour par Joël Cuissinat il y a plus de 7 ans
- Statut changé de En cours à Résolu
- % réalisé changé de 30 à 100
- Restant à faire (heures) changé de 1.5 à 0.5
#14 Mis à jour par Joël Cuissinat il y a plus de 7 ans
=> eole-fichier 2.6.1-3
#15 Mis à jour par Laurent Flori il y a plus de 7 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 0.5 à 0.0
#16 Mis à jour par Joël Cuissinat il y a plus de 6 ans
- Lié à Scénario #22604: Étude Seth/Scribe - option 1 : utilisation d'Eole-AD ajouté