FreeBSD an Samba-Domäne
- Ersteller rMarkus
- Erstellt am
Also so spontan: http://www.bsdforen.de/showthread.php?t=2174
Ist zwar schon a bisserl alt aber sonst sehr gut!
Ist zwar schon a bisserl alt aber sonst sehr gut!
0815Chaot
FreeBSD/sparc64-Tüftler
Ganz spontan: Frage nicht verstanden.overle schrieb:
Geht aus Prinzip nicht, da die Samba-Paßwortdatenbank nicht den Pfad zum UNIX-Heimatverzeichnis enthält. Daher dürfte es wohl auch kein PAM-Modul zur Authentifizierung gegen SMB geben (habe jedenfalls keines gefunden).markus.r schrieb:
Geht so auch nicht. Du brauchst auf jeden Fall zuerst ein anderweitig erreichbares UNIX-Heimatverzeichnis, danach kannst du mit mount_smbfs und einer ~/.nsmbrc hantieren.markus.r schrieb:
Tip: Nimm für UNIX-Rechner auch UNIX- und keine Windows-Technik. NIS und NFS sind Standardkrempels. LDAP und AFS sind besser, brauchen aber Know-How.
rMarkus
Chuck The Plant
0815Chaot schrieb:
Danke für die Antwort.
NIS und NFS setzen wir im Betrieb für Linux-Clients ein und meine Erfahrungen waren durchweg schlecht:
NFS bietet keine wirkliche Sicherheit, da man das durch einfaches setzen der UID auf irgendeinem Client aushebeln kann. NIS war damals schon nur ein schlechter Behelf für das Verteilen der Passwd.
Diese Technik macht nur Sinn, wenn sowohl Server als auch Client im Vetrauensbereich sind und keine Manipulation möglich sind, was man bei Desktoprechnern ausschliessen kann.
LDAP ist sicher die Generallösung aber für mein Heim-Szenario doch stark übertrieben. AFS ist nach meinen Informationen auf weltweit verstreute Dateiablage hin optimiert und eher für den Hochschulbereich oder multinationales Unternehmen, wenn es ausgereift wäre.
Gibt es kein Zwischending, was ähnlich wie Samba funktioniert?
Soweit ich das gesehen habe, dann unterstützt FreeBSD im Gegensatz zu Linux die Unix-Erweiterungen im Samba-Filesystem. Evtl. kann man ja Samba mit einer anderen Single-Sign-On-Lösung verheiraten?
Nur die Performance scheint jedoch gering zu sein.
Gibt es ein schönes Beispiel für die ~/.nsmbrc ?
Danke
Zuletzt bearbeitet:
rMarkus
Chuck The Plant
Ich habe mal nach anderen Dateisystemen gesucht:
GFS (Global File System)
Coda
Intermezzo
Ich muss mich da selbst noch mal einlesen und die Frage stellt sich noch, was davon überhaupt unter FreeBSD (Server und Client) überhaupt unterstützt wird.
GFS und Intermezzo scheinen jedoch ähnlich übertrieben wie AFS zu sein. Evtl. lassen sich aber auch mit solchen Dingen einfachere Szenarios abbilden.
Ich persönlich bin kein wirklicher Freund von UDP-Systemen, da bei diesen die Netzwerkkarten nicht wirklich viel Arbeit der CPU abnehmen können.
Oder ist modernes NFS evtl. doch nicht so übel?
GFS (Global File System)
Coda
Intermezzo
Ich muss mich da selbst noch mal einlesen und die Frage stellt sich noch, was davon überhaupt unter FreeBSD (Server und Client) überhaupt unterstützt wird.
GFS und Intermezzo scheinen jedoch ähnlich übertrieben wie AFS zu sein. Evtl. lassen sich aber auch mit solchen Dingen einfachere Szenarios abbilden.
Ich persönlich bin kein wirklicher Freund von UDP-Systemen, da bei diesen die Netzwerkkarten nicht wirklich viel Arbeit der CPU abnehmen können.
Oder ist modernes NFS evtl. doch nicht so übel?
0815Chaot
FreeBSD/sparc64-Tüftler
Wie ich schrieb: NIS und NFS sind Standard, nix wirklich Tolles, aber ohne großen Aufwand einzurichten. Einigermaßen sicher sind NIS+ und NFS4, die aber beide noch nicht vollständig in FreeBSD integriert sind. Du könntest dich an einer Bastellösung mit NIS/NFS über einen SSH-Tunnel und Private Keys versuchen, wenn du mehr Sicherheit willst.
Oder aber du greifst du anderen Diensten, wie LDAP und AFS, die sind dann eben von Haus aus sicherer, aber schwieriger zu konfigurieren.
Alternativen dazu:
Ein weiteres Verfahren zur Benutzerauthentifizierung wäre Kerberos, Anleitung gibt's im FreeBSD-Handbuch. Die MIT-Implementierung verteilte aber Tickets gleich für einen ganzen Rechner, keine Ahnung, wie das mittlerweile aussieht und wie sich Heimdal da verhält. Aus dem Grunde verwende ich Kerberos jedoch nicht, daher MCSE (Must Call Someone Else
)
Was die Dateisysteme angeht, wäre vielleicht security/sfs einen Blick wert. Mit ein paar Tricks bekommt man das wohl auch auf hostbasierte Authentifizierung konfiguriert. Das habe ich allerdings selbst noch nicht ausprobiert.
Entscheide selbst, welche Anforderungen du für den Heimgebrauch hast.
Oder aber du greifst du anderen Diensten, wie LDAP und AFS, die sind dann eben von Haus aus sicherer, aber schwieriger zu konfigurieren.
Alternativen dazu:
Ein weiteres Verfahren zur Benutzerauthentifizierung wäre Kerberos, Anleitung gibt's im FreeBSD-Handbuch. Die MIT-Implementierung verteilte aber Tickets gleich für einen ganzen Rechner, keine Ahnung, wie das mittlerweile aussieht und wie sich Heimdal da verhält. Aus dem Grunde verwende ich Kerberos jedoch nicht, daher MCSE (Must Call Someone Else
)Was die Dateisysteme angeht, wäre vielleicht security/sfs einen Blick wert. Mit ein paar Tricks bekommt man das wohl auch auf hostbasierte Authentifizierung konfiguriert. Das habe ich allerdings selbst noch nicht ausprobiert.
Entscheide selbst, welche Anforderungen du für den Heimgebrauch hast.
rMarkus
Chuck The Plant
Muss nochmal was dazu fragen:
* NFS schafft bei mir 2,3 MB/s beim Kopieren mit mc
* Samba schafft bei mir unter 2 MB/s mit mc
* FTP knapp 5 MB/s
* SCP 1,4 MB/s
Client: FreeBSD 5.3, K6-2-450, UDMA/100 IDE, 3Com 905B-TX (100 MBit)
Server: Suse Linux 9.3, Athlon XP 2.4, UDMA/133 IDE, 3Com 940 (1GBit)
Das Netzwerk besteht aus High-End Komponenten mit mehrfachen Gigabit-Links und Layer3 Switchen.
Warum ist das so lahm, vor allem im Vergleich zu SCP.
* NFS schafft bei mir 2,3 MB/s beim Kopieren mit mc
* Samba schafft bei mir unter 2 MB/s mit mc
* FTP knapp 5 MB/s
* SCP 1,4 MB/s
Client: FreeBSD 5.3, K6-2-450, UDMA/100 IDE, 3Com 905B-TX (100 MBit)
Server: Suse Linux 9.3, Athlon XP 2.4, UDMA/133 IDE, 3Com 940 (1GBit)
Das Netzwerk besteht aus High-End Komponenten mit mehrfachen Gigabit-Links und Layer3 Switchen.
Warum ist das so lahm, vor allem im Vergleich zu SCP.
cat1510
Well-Known Member
markus.r schrieb:
NFS bei mir 11 MB/sec durchweg 10,5.
Samba: 8.8 MB/sec
scp und ftp habe ich keine Lust gehabt....
Denke da ist ein anderer Fehler...
Vieleicht ist ein K6-2-450 ein bisserl lahm...
Hier nix mit High End und 4 Layer Switch,
Nur 2200 Sempron mit 512 MB.
Ganze Net nur 100Mbit.
CAT
0815Chaot
FreeBSD/sparc64-Tüftler
Kannst du eine Fehlkonfiguration des Netzwerks ausschließen? In welchem Modus laufen die Netzwerkkarten?markus.r schrieb:
Bei SCP dürfte die CPU am Anschlag sein, nicht weiter bedenklich. Bei NFS muß aber mehr drin sein, mein Server ist ein P166MMX und der bringt 9 - 10 MB. NFS kann man aber sehr schön auf dem Client optimieren:markus.r schrieb:
Code:
mount -t nfs -o tcp -r 32768 -w 32768 ...Wahrscheinlich läuft bei dir aber eher was beim Netzwerkequipment schief.
rMarkus
Chuck The Plant
Ja, kann ausgeschlossen werden.0815Chaot schrieb:
U.A. da die Windowsmaschine nebenan 11,x MB/s mit gleichem Server und FTP schaffte.
Alle auf voller Geschwindigkeit und Full-Duplex.0815Chaot schrieb:
Code:
Client:
xl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=9<RXCSUM,VLAN_MTU>
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
Server:
eth1: network connection up using port A
speed: 1000
duplex mode: fullBei SCP war auch zu erwarten, dass die CPU bis an den Anschlag geht und der Durchsatz unten ist, da der komplette Datenstrom noch entschluesselt werden muss. Gerade deshalb wundere ich mich über die Samba und NFS-Werte, denn die sind nicht deutlich besser.
Bringt der P166MMX denn 9-10 MB mit NFS oder Samba?
Samba soll ja angeblich auch wie FTP 100% der "Leitung" ausnutzen können.
Welchen Chipsatz hat denn das P166MMX-Board bzw. wie ist die andere Ausstattung?
Das Board des Test-Clienst ist ein Asus P5A-B mit ALI Aladdin 5 Chipsatz, was damals unter OS/2 auch schon miese IO-Performance hatte im Zummenhang mit Busmaster. Das VIA MVP3-Board ist auch nicht besser.
zu Cat1510:
Die Athlon/Sempron-Boards haben mit der IO-Performance Intel aufgeschlossen. Welche Hardware hat denn der andere Rechner?
Nachtrag:
Der K6 schafft mit dem Benchmarkprogramm netstrain folgende Werte :
recv'd: 140M, 5741.1K/s total, 5740.7K/s current
sent: 272M, 5628.8K/s total, 5643.2K/s current
Die Werte sind zwar nicht toll, liegen aber weit über meinen Samba und NFS-Werten.
Zuletzt bearbeitet:
rMarkus
Chuck The Plant
LDAP ist sicher die Lösung.
Aber mit NFS habe ich da noch meine Probleme, denn dessen Sicherheitsmechanismen kann man sehr einfach aushebeln.
Oder sind aktuelle Implementationen nicht mehr anfällig für folgendes Szenario:
1. Es gibt ein NFS-Server.
2. In einen Client wird einfach eine Freesbie, Knoppix oder MS-DOS mit PC-NFS gebootet und die UID und GID passend zum Server gesetzt.
3. Alle Daten sind so frei zugänglich
Nach meiner Meinung erübrigt solch eine Lücke jede Sign-On-Lösung.
Gerade im Zeitalter der großen Netze, des Internets und des W-Lans kann man nicht ausschliessen, dass man alle Netzteilnehmer gegen "Fremdbooten" schützen kann und reisst so alle Toore zu allen NFS-Server auf.
Aber mit NFS habe ich da noch meine Probleme, denn dessen Sicherheitsmechanismen kann man sehr einfach aushebeln.
Oder sind aktuelle Implementationen nicht mehr anfällig für folgendes Szenario:
1. Es gibt ein NFS-Server.
2. In einen Client wird einfach eine Freesbie, Knoppix oder MS-DOS mit PC-NFS gebootet und die UID und GID passend zum Server gesetzt.
3. Alle Daten sind so frei zugänglich
Nach meiner Meinung erübrigt solch eine Lücke jede Sign-On-Lösung.
Gerade im Zeitalter der großen Netze, des Internets und des W-Lans kann man nicht ausschliessen, dass man alle Netzteilnehmer gegen "Fremdbooten" schützen kann und reisst so alle Toore zu allen NFS-Server auf.