[Eisfair_dev] Wichtige Änderung in Samba 4.13

Fr Okt 16 17:47:14 CEST 2020

Hallo Olaf,

Olaf Jaehrling wrote:

>> ich habe mir schonmal angesehen, was die Samba-Leute in der Version 4.13
>> 
>> Zunächst wird der zugehörige Code nicht mehr standardmäßig im Core von
>> Samba stecken, sondern übergangsweise durch ein Modul zur Verfügung
>> stehen und dann wohl in jeder Share einzeln statt global zu aktivieren
>> wäre, (4.13) bevor es dann irgendwann ganz verschwindet.
> 
> Ich würde es begrüßen wenn du das Modul zur Verfügung stellen würdest.

Das reicht nicht, denn - wenn ich es richtig sehe - muss die Option dann in
die einzelne Share-Sektion wandern, also nur für eine Übergangszeit neue
Konfigurationsoptionen einzufügen, finde ich suboptiomal.

Wenn, dann stelle ich nur das Modul zur Verfügung und man könnte dann mit
dem sambaexpert-Modul die zusätzliche Option in den gewünschten Shares
setzen.

> Alle meine Shares jetzt von 0 auf 100 umzustellen wäre für mich zu
> fehleranfällig. Bisher hat sich eigentlich jeder daran gehalten den
> Nutzern Zeit zu geben auf evlt. Änderungen zu reagieren.

Ich rede doch garnicht von morgen oder übermorgen.

Wenn man google mit der Option "wide links" findet man deutliche Hinweise
darauf, dass diese Option eine Risiko darstellt.

Wird sind noch bei der 4.11er-Serie. Die 4.12.8 bekomme ich wegen eines
fehlenden Perl-Moduls derzei (wie auch 4.13.0) nicht übersetzet, möchte
aber in der nächsten Zeit schon ein wenig damit spielen.

> Denk auch an die User, die evlt. gar nicht mitbekommen, dass sich da so
> was grundlegendes ändert. Die würden dann vllt. asap keine Möglichkeit
> haben das umzustellen.

Wer es heute nicht liest, wird es auch in einem halben Jahr nicht tun.

Ich plane jetzt auch keine kurzfristigen Umstieg, sondern weise darauf, dass
dies kommen wird - meine Zielvorstellung wäre vielleicht in 6 Monaten.

Hängt auch davon ab, ob die 4.12/4.13er-Sambaserie (größere) Änderungen am
Paket erfordert; solche würden es zeitlich strecken, aber die 4.11. wird
auch irgendwann auslaufen.

> BTW finde ich genau diese Funktion mit am schönsten an Samba. Genau
> diese Möglichkeit fehlt mir bei nfs, weshalb ich auch bei linux-clients
> die Laufwerke mittels Samba und nicht per NFS einbinde. So ist es ohne
> Probleme möglich innerhalb verschiedener Home-Laufwerke ein Link auf ein
> gemeinsam genutztes Share zu setzen. Man sollte nie vergessen, dass die
> meißten Nutzer aus der Windowswelt kommen (zumindest @work) und man dort
> auch viel mit "Verknüpfungen" arbeitet um von einem Share mal flux ins
> Nächste zu hüpfen.

Es hilft nichts, denn die Option wird es (möglicherweise ab 4.14.x) in Samba
nicht mehr geben, wenn, was geplant ist, auch das übergangsweise zur
Verfügung gestellt Modul aus dem Samba-Code zu entfernen.

Samba-Admins müssen das in absehbarer Zeit zwingend über "mount bind" lösen:

"For this release, the code implementing the insecure "wide links = yes"
functionality has been moved out of the core smbd code and into a separate
VFS module, vfs_widelinks. Currently this vfs module is implicitly loaded
by smbd as the last but one module before vfs_default if "wide links = yes"
is enabled on the share (note, the existing restrictions on enabling wide
links around the SMB1 "unix extensions" and the "allow insecure wide links"
parameters are still in force). The implicit loading was done to allow
existing users of "wide links = yes" to keep this functionality without
having to make a change to existing working smb.conf files.

Please note that the Samba developers recommend changing any Samba
installations that currently use "wide links = yes" to use bind mounts
as soon as possible, as "wide links = yes" is an inherently insecure
configuration which we would like to remove from Samba. Moving the
feature into a VFS module allows this to be done in a cleaner way
in future."

-- 
Gruß Marcus
[eisfair-Team]