> Какой изысканный невероятный бред. Линукс не перестаёт удивлять.Изысканный и невероятной бред - это комментарии к этой новости. Если понять как работают некоторые вещи, то и удивляться перестанете.
Во-первых, SMB - это очень большой протокол, который среди прочего реализует сетевую файловую систему. Схожий протокол, NFS и его серверная реализация в пространстве ядра (knfsd.ko) сколько существует?
Во-вторых, не надо путать протокол SMB и Samba 4.
Я позволю себе вам напомнить, что Samba 3 != Samba 4. Это 2 совершенно разных сервера выполняющих разные задачи. Samba 3, ныне покойная, являлась реализацией протокола SMB, NetBT, WINS и многих других частей устаревшего сетевого стека времен Windows 9x. Не забывайте, что SMB не порождает ни одноранговую сеть ни "Сетевое окружение" не занимается именами, не ведет листинг хостов и тем более не держит на себе ничего что связано с печатью. А между прочим Samba реализует внутри себя тонну служб Windows включая, например, Winbind - посредственную реализацию аутентификации и авторизации. Ну и не забываем про то что Samba испокон веков занимается трансляцией ACL (Маленькое подмножество NT ACL в то что умеет ядро ОС, под которую она собрана).
Samba 4 - это вообще монстр, цель которого, лично мне не ясна, но оно включает в себя огромное количество функций Active Directory и позволяет порождать керберос-реалм... вот это всё ну вообще не рядом с SMB.
Когда читаешь комментарии тут, сразу понятно, что народ путает еще 2 вещи:
1. SMB в изначальном IBM-овском исполнении в связке с NetBIOS. Он известен как SMB1 или CIFS
2. Обновленные SMB исполнении от Microsoft, которому не нужны технологии прошлого века от IBM. SMB 2+
Исторически Samba пыталась реализовать старый SMB1 и ей это удалось. Затем пришел SMB 2, который просто добавили, потому что он проще. А вот SMB 3 содержит внутри себя много функций, которые нельзя производительно реализовать в юзерспейсе. Прежде всего отказоустойчивость (костылики вроде DFS канули в лету), Multichannel для возможности лить данные через конвергентные сетевые адаптеры, утилизируя их целиком, а также поддержка RDMA и организация доставки програмно определяемого стораджа S2D (Storage Space Direct). Вот в юзерспейсе SMB3 банально не имеет смысла.
Дополнительно, нужно отметить что SMB1 официально не поддерживается совместно с SMB3.1. Свежайшая версия стандарта откажется работать с SMB1 прямо на уровне предаутентификации и потребует выключения его поддержки. Нет ничего плохого в том, что он наконец-то заработает в ядре, где ему и место. Samba тут не при чем, это другое. Реализация SMB в Samba - это лишь малая часть её функционала, который накапливался почти 30 лет.
Если говорить про настоящий бред, который происходит в ядре Линукс - это "поддержка ACL". Это касается не только SMB в ядре, но и посредственной поддержки NFS. Дело в том, что в Linux используется недоразумение под названием "Posix ACL", которые официально не входят в стандарт Posix не были приняты и не существуют за пределами Linux. NFS, например, использует NFSv4 ACL свои собственные, а SMB использует SDDL (Security Descriptor Definition Language), который объявляет 256-битные дескрипторы безопасности, идентификаторы в форме S-1-x-xx-xxxxx-xxxxx-xxx на 128 bit и вместе с ними DACL/SACL. И вот ни NFSv4 ACL, ни NT ACL никак не конвертируются в "Posix" ACL, ввиду ограниченности последних. При этом NFSv4 и NT очень близки за тем лишь исключением, что NT ACL поддерживает внутри себя условия проверки утверждений, пришедших из билетов Kerberos 5. То есть, можно просунуть атрибуты LDAP внутрь билетов. Это используется, например, для того чтобы предоставлять доступ пользователю только в том случае, если запрос авторизации поступил с доменного компьютера, который содержится в такой-то такой-то группе ну или там плюс еще какой-то атрибут. Этим функционалом ACL можно пренебречь, на самом деле, ввиду гигантского объема требований (ресурсы и сеть) к топологии развертывания и опять же не имеет отношения к самому главному - передаче данных по сети.
Сообщество Samba одни из тех кто и ACL хотел поменять на нормальные, хоть бы родные для NFS, по-барабану, что не полная поддержка все луче чем то что есть. В случае переноса реализации SMB в ядро, Samba как минимум начнет работать также как NFS. Тоже плохо (ACL и безопасность в юзерспейсе), но всяко лучше чем то что есть.
P.S. Дырки в безопасности о которых все так любят писать - это наличие поддержки SMB1 в пакетах samba-server в дистрибутивах. MS выпилил всем современным вендам этот копролит, а тут получается ни SMB3 не поддерживается ни SMB1 полностью выпилить нельзя. Мрак.
