Good Riddance!
Durante o último ano e meio aturei o Windows Services for Unix até ao limite da minha paciência mas agora acabou-se! Acabaram-se os serviços que "apodrecem" e os hacks sobre hacks para os obrigar a funcionar.
Tudo isto começou com o Server for NFS, que um dia deixou de aceitar mudanças nas permissões a partir dos clientes Linux, depois o servidor de NIS entrou numa espécie de corrida com o User Name Mapping, o que obrigou a criar uma série de dependências artificiais nos serviços para os convencer a arrancar, e finalmente o mesmo Server for NIS deixou de propagar alterações para o servidor secundário Linux que entretanto tinha sido colocado em funcionamento.
Com a saída recente do Service Pack 1 para o Windows 2003 descobriu-se que este iria quebrar o SFU e que, para o evitar, era preciso ligar para a Microsoft para pedir (implorar) um hotfix - ou então reinstalar e reconfigurar o SFU usando a versão - completa - mais recente (ah... ah... ah...).
Isto foi a gota de água... Agora os clientes Linux autenticam-se directamente no Active Directory (por LDAP) e as homes são servidas de forma completa e transparente pelo servidor Linux usando Samba 3 com autenticação por Kerberos.
No final das contas este setup até é bastante mais fácil de configurar do que eu pensava. A única coisa de que me arrependo é de não o ter feito há mais tempo.
Sendo assim, as únicas coisas que sobram do SFU são os atributos extra que acrescentou ao schema do AD, e talvez o mecanismo que faz com que a alteração da password do Windows altere também imediatamente a password de Unix (que é guardada num atributo diferente).
Se ao menos o Samba já conseguisse funcionar como Active Directory, com Group Policies e tudo...
PS: o ponto negativo disto é que já não posso estar constantemente a usar o SFU para dizer mal da Microsoft...
Tudo isto começou com o Server for NFS, que um dia deixou de aceitar mudanças nas permissões a partir dos clientes Linux, depois o servidor de NIS entrou numa espécie de corrida com o User Name Mapping, o que obrigou a criar uma série de dependências artificiais nos serviços para os convencer a arrancar, e finalmente o mesmo Server for NIS deixou de propagar alterações para o servidor secundário Linux que entretanto tinha sido colocado em funcionamento.
Com a saída recente do Service Pack 1 para o Windows 2003 descobriu-se que este iria quebrar o SFU e que, para o evitar, era preciso ligar para a Microsoft para pedir (implorar) um hotfix - ou então reinstalar e reconfigurar o SFU usando a versão - completa - mais recente (ah... ah... ah...).
Isto foi a gota de água... Agora os clientes Linux autenticam-se directamente no Active Directory (por LDAP) e as homes são servidas de forma completa e transparente pelo servidor Linux usando Samba 3 com autenticação por Kerberos.
No final das contas este setup até é bastante mais fácil de configurar do que eu pensava. A única coisa de que me arrependo é de não o ter feito há mais tempo.
Sendo assim, as únicas coisas que sobram do SFU são os atributos extra que acrescentou ao schema do AD, e talvez o mecanismo que faz com que a alteração da password do Windows altere também imediatamente a password de Unix (que é guardada num atributo diferente).
Se ao menos o Samba já conseguisse funcionar como Active Directory, com Group Policies e tudo...
PS: o ponto negativo disto é que já não posso estar constantemente a usar o SFU para dizer mal da Microsoft...
Carlos Rodrigues - 19.4.05 |
permalink
"era preciso ligar para a Microsoft para pedir (implorar) um hotfix"
Não percebo que problemas tens tu, mas é só ligar para a MS e pedir o Hotfix xpto, nunca vi ninguem ter de implorar...
"Agora os clientes Linux autenticam-se directamente no Active Directory (por LDAP) e as homes são servidas de forma completa e transparente pelo servidor Linux usando Samba 3 com autenticação por Kerberos"
Claro se era só isto já o podias ter feito à muito, é super simples e funciona. Nunca leste um whitepaper da MS sobre a integração com Unixes? Tens lá os cenários todos, aqui não tenho a referência à mão, mas no site encontras facilmente.
Victor
Por
Anónimo, em 19 Abril, 2005 13:05
Se o SFU tem problemas com o Windows 2003 SP1, se a Microsoft actualizou o pacote com este hotfix, porque não simplesmente disponibilizá-lo para download? Podia não ser muito complicado telefonar para lá, mas foi a desculpa para eu perder uma tarde de trabalho a livrar-me dele.
Quanto ao whitepaper (se se pode chamar whitepaper a um documento com mais de 300 páginas), eu já o tenho aqui impresso.
Por acaso está bastante explicativo, a Microsoft está a aprender...
PS: não podia ter feito há muito porque não funcionava com versões anteriores ao Samba 3, mas já o poderia ter feito, de facto (como eu disse no post). Mas como deves compreender, mexer no que está a funcionar (mesmo que colado com fita-cola) implica sempre pensar duas vezes.
Por
Carlos Rodrigues, em 19 Abril, 2005 13:44
"Se o SFU tem problemas com o Windows 2003 SP1, se a Microsoft actualizou o pacote com este hotfix, porque não simplesmente disponibilizá-lo para download?"
Simples, porque estes hotfixes não possuem testes de regressão, e por isso não consegues garantir que não venha acrescentar ou a gerar falhas em cenários ou ambientes não conhecidos. Outra vantagem do ponto de vista do planeamento do futuro, ficas a saber onde está instalado e quem depende dele, para que quando decidires o que fazer mais à frente, tenhas em atenção o impacto que pode ter na tua base instalada.
Victor
Por
Anónimo, em 19 Abril, 2005 14:54
Eu vou repetir, porque talvez não tenhas percebido da primeira vez: a Microsoft actualizou o SFU disponível para download com este hotfix.
Portanto, a justificação das regressões não pega. Se fosse por medo de quebrar qualquer coisa, a versão para download não tinha sido alterada.
Agora se me dizes que é para saber isto ou aquilo acerca da utilização que as pessoas estão a fazer do SFU, até aí já eu tinha chegado e digo-te que no máximo só me deu mais motivação para fazer o que fiz.
Por
Carlos Rodrigues, em 19 Abril, 2005 21:04
Claro se era só isto já o podias ter feito à muito, é super simples e funciona. Nunca leste um whitepaper da MS sobre a integração com Unixes? Tens lá os cenários todos, aqui não tenho a referência à mão, mas no site encontras facilmente.
Em primeiro lugar, não é uma configuração "super simples". Para quem sabe configurar um cliente LDAP e PAM, é simples. Mas só para esses.
Em segundo lugar esse whitepaper da Microsoft não "tem lá os cenários todos". Não refere, por exemplo, o uso do Samba como file server num domínio Active Directory (ou em qualquer outro cenário, diga-se de passagem). Para fazer as coisas bem feitas é preciso que o filesystem em Linux tenha ACLs activas e que o Samba faça o mapeamento das ACLs do Windows para o Linux. Nada do outro mundo, mas nada que a Microsoft explique.
João Fraga
Por
Anónimo, em 19 Abril, 2005 23:42
Em primeiro lugar, não é uma configuração "super simples". Para quem sabe configurar um cliente LDAP e PAM, é simples. Mas só para esses.
João desculpa não me pareceu rocket science colocá-lo a funcionar à primeira, lendo os documentos certos.
Em segundo lugar esse whitepaper da Microsoft não "tem lá os cenários todos". Não refere, por exemplo, o uso do Samba como file server num domínio Active Directory (ou em qualquer outro cenário, diga-se de passagem)...
Sorry, vou dizê-lo de outra forma, tem os cenários todos relativos ao acesso a recursos numa infra-estrutura Microsoft, o que é natural, normalmente não vês um fornecedor a falar dos produtos dos outros... Mas o que quis dizer foi que colocar os sistemas a interoperar é relativamente simples, fui também "levado" na relativização, pelos cenários onde tive de o fazer a ideia era obter o single-sign-on e os recursos estavam do lado Windows, onde colocar isto a funcionar é verdadeiramente trivial.
Victor
Por
Anónimo, em 20 Abril, 2005 01:55
a Microsoft actualizou o SFU disponível para download com este hotfix.
Não tinha percebido não, ok.
Mesmo assim penso que a razão tem a ver com a politica de disponibilização de hotfixes, isto é, não existe nenhum hotfix disponibilizado pela ms, a não ser através do site para clientes com acordos de suporte (aí também é controlada a sua disponibilização), ou através dos centros de suporte, pelos motivos que disse anteriormente.
Neste caso particular farias o download de um produto que não funcionaria instalado num sistema actualizado, daí eles provavelmente terem optado pela sua inclusão.
Percebo a tua irritação, mas basicamente parece-me a execução de uma politica (com a qual até concordo, embora isso não interesse para nada) da empresa.
Victor
Por
Anónimo, em 20 Abril, 2005 02:23
tem os cenários todos relativos ao acesso a recursos numa infra-estrutura Microsoft, o que é natural, normalmente não vês um fornecedor a falar dos produtos dos outros...
Neste caso não seria nada de extraordinário... Se eles explicam como colocar clientes Linux (e outros) a autenticar-se num servidor Microsoft, seria apenas natural que explicassem como colocar um servidor Samba a funcionar de forma transparente numa rede Microsoft. O Samba não anda por aí a ser usado apenas em máquinas Linux... algumas (muitas) appliances NAS também o usam (se bem que se pode argumentar que na maioria dos casos o utilizador não vai mexer directamente na configuração do Samba, mas tal pode ser necessário).
Por
Carlos Rodrigues, em 20 Abril, 2005 13:38