Pull to refresh

Comments 60

По поводу ведения учеток по убунту: а не проще на самбе поднять домен и сделать на убунту авторизацию через pam_winbind?
Пробовал делать такую связку LDAP -> машины с убунтами… В принципе всё работает, но машины очень «доменнозависимые» становятся. Если пропадает связь до PDC (домена), то все машины «колом» встают, и работать на них нереально… Плюс общая скорость работы когда ubuntu авторизуется через ldap заметно ниже чем standalone-версия (проверенно на практике)
А как вообще убунты работают c LDAP? Какие преимущества кроме централизованного логина и удобного шаринга папок это дает?
В ldap можно хранить что угодно, настройки приложений и т.п. Дергать эти настроечки можно стартовыми скриптами. А домен поднимать нет необходимости, можно просто LDAP сервис поднять.
Ну ещё можно добавить централизованный backup и обмен сообщениями, но даже перечисленных Вами преимуществ более чем достаточно, когда сеть начинается от 100 машин.
спасибо за совет, обязательно попробую применить, но заводить домен для 15-20 пользователей пока не было надобности. Разве только для эксперимента и дальнейшего изучения.
Я вообще стрелляюсь. У нас централизовали контроллер домена. Если нет с ним связи сеть медленно начинает деградировать. Управлять тоже сетью просто невозможно, т.к. то там доступа нет, то там. К тому же даже пользователи в одном кабинете оказываются в 3-4 разных группах, т.к. одни числятся в областном центре, вторые и третьи в другом городе и разных группах и четвёртые уже местные.
P.S. К сожалени AD. В любом случае что-то централизовать на количестве ПК до 30 штук не вижу смысла.
<trolling>Конечно — намного проще, чем остаться на виндах и развенуть AD</trolling>
Вы не представляете насколько такое решение облегчает жизнь эникею (или админу, которому приходится быть эникеем).
А причины могут быть разные.
Облегчает сильнее, чем AD с групповыми политиками в виндовой сети?
Хватит троллить, здесь не сравнивают AD и самбу, а обсуждают управление линуксовыми машинами.
Я о тормозах, зависаниях и постоянных ребутах на каждый чих, которые затрудняют работу людей из отдела продаж. Имеется в виду лицензионный Windows 7 с включенным обновлением.

Опыт работы в конторе, где «все на линаксах» показал, что эникею там вообще делать почти нечего.

Вы хотите об этом поговорить? Я не очень.

А вы не пробовали машинки в нерабочее время обновлять? Для этого есть такие штуки, как wake on lan, например… или вы думаете, что под Linux secuirty-патчи прямо в реальном времени применяются?

В общем, причина высосана из пальца. Тем более странно, что в вашем офисе нет бухгалтерии с 1С, клиент-банками и криптопро, а также менеджеров, использующих excel-листы с макросами, площадок для элекронных торгов, открывающихся только в IE версии 6.0, рабочего места секретаря с вентафаксом и проприетарной софтиной для управления АТС. А ещё почти наверняка есть охранник, который смотрит на картинку с камер видеонаблюдения (Videoguard, например), сынишка директора, которому нужно поиграть в крузис, дизайнер, которому нужен фотошоп и торгового партнера, который притащил презентацию в поверпоинт.

Да и если сравнивать офисную работу в Linix и Windows, то невольно приходится сравнивать офисные пакеты и средства выгрузки документов в них. И в процессе этих размышлений мне представляется такое невероятное количество геморроя, что боевые мысли по поводу Linux на десктопах благополучно развеиваются.

А шлюз, файловый сервер, IP-телефония, бэкапы, почта — всё на Ubuntu Server стоит себе, и никаких проблем. Такие дела.
Извиняюсь за дикое количество опечаток и пропущенных запятых — у меня винда упала, переустанавливал просто наболело уже (с).
В текущей конторе у меня Windows на рабочих станциях и я понимаю зачем оно там. Так что, вы зря негодуете. :)
Но свалить все на терминальный сервер, как у автора статьи — заманчивая идея.

Тоже есть ньюансы, проброс usb к примеру. Флешки еще ходо бедно можно монтировать, а вот работать с со всякими rutokenами или принтерами со сканерами, для которых нет нормальных линуксовых дров (например canon), невозможно. Аппаратных usb over ip не напасешся. Свободный usbip сыроват. У самого офис на thinstation и терминале, поэтому говорю не понаслышке.
Как недавно прочитал:
Canon и терминальный сервер — несовместимы
Вообще то, нормальные люди в три клика настраивают обновления машин в не рабочее время.
А переустановку винды они тоже в нерабочее время делают, чтобы перестала тормозить «от старости»?
Вот тут вчера топик промелькнул. Про инвентаризацию компов в сети с помощью PowerShell. В котором человек приводил какие-то многоэтажные скрипты на этом самом повершелле для того, чтобы узнать, что за процессоры / диски / память стоят у него на компах в сети. Молодец человек, но дело не в этом.
Дело в том, что к тому топику нет ни одного комментария, в котором бы было написано «это три строки на bash, виндовз — мастдай». Нет таких комментов. Потому что люди занимаются всоим делом, изобретают что-то делятся с единомышленниками — дак за раби бога! Что им мешать-то?
И стоит появиться топику про администрирование Linux-сетей — как тут же появляется System32 сотоварищи и начинается «На виндовз все гораздо легче! Линкус — говно! AD наше все!»
System32, ты — тролль. У меня монитор весь жирный от твоих высказываний уже.
> Вот тут вчера топик промелькнул. Про инвентаризацию компов в сети с помощью PowerShell. В котором человек приводил какие-то многоэтажные скрипты на этом самом повершелле для того, чтобы узнать, что за процессоры / диски / память стоят у него на компах в сети

А мог бы поставить SCCM — и сделать все за пару кликов мыши.

> И стоит появиться топику про администрирование Linux-сетей — как тут же появляется System32 сотоварищи

Между прочим, за некоторыми линукс-фанатами подобные грешки тоже числятся. Я лишь пытаюсь вышибить клин клином — уравновесить линукс-пропаганду своей пропагандой.

> System32, ты — тролль. У меня монитор весь жирный от твоих высказываний уже.
Я, между прочим специально поставил тег trolling — чтобы вы могли настроить фильтр и сохранить мониторы в чистоте :)
Интересная схема. Можно только пару вопросов:
1) адресация статитчная или dhcp?
2) количество пользователей/компьютеров?

Со своей стороны могу поделиться решением по удалённому управлению linux-машин в локальной сети. У нас на работе (примерно 350 машин) на сотне стоит ubuntu. IP-адреса выдаются по dhcp. На каждом системнике написан hostname маркером (вида «news-01»). По запуску ubuntu стартует скрипт, который скидывает на сервер время входа, hostname, логин… Таким образом узнаю на каком ip-шнике какая машина сидит, у всех включено дефолтное vnc. Подключаюсь — правлю проблему.

Если понадобится скрипт такой — могу скинуть.
1) адресация конечно же dhcp с привязкой по маку. Все знакомые устройства разбиты на группы, всем новым выдается адрес из выбранного диапазона.
2) количество пользователей в разные времена варьирует, но всегда было в диапазоне 10-50. Т.е. масштабы не велики.
За предложение со скриптом спасибо, но думаю у меня пока хватает желания и умений пилить что-то самому, а вот от идей по автоматизации или идей по устройству процессов автоматизации — от этого не откажусь!
Относительно недавно делал проект офисной сети для друзей, тоже обсуждалась возможность посадить людей за убунты, а частьсофта вынести в терминалки. В итоге решили что сопровождать и обучать сотрудников будет слишком проблемно для местных админов.

Решение принято следующее, почти всех пользователей посадили за тонкие клиенты (HP T5000 старенькие) + wtware и кластер из двух Hyper-V и iscsi на дебиане. преимуществ из этого вышло масса:
1. энергоптребление тонкого клиента в несколько раз меньше чем у полноценного компа (бесперебойник дольше держит и затраты на электроэнергию ниже)
2. в случае сбоя питания, работу не нужно делать заново после восстановления питания пользователь продолжает работу с того же места
3. удобство администрирования (админу достаточно RDP доступа на сервер терминалов)
4. безопасность (флешки отключены, стороннее ПО не установить и пр.)
5. если тонкий клиент умирает, замена ему ставится через 5-10 минут (пока аникей несет железку менть, админ правит два конфига) и пользователь продолжает работу с того же места.

Доступ в интернет с тонких клиентов строго по белому списку сайтов (squid) никакого NAT для них нет.
Ну а тем кому нужен прожордивый софт типа фотошопа и доступ на все сайты просто ставится полноценный комп (ну штук пять таких наберется из 60-ти).
Как-то кустарно получается, особенно момент с апачем, у которого административные права на все и вся. Конечно если это прячется за шлюзом и фаерволом риск не велик, но все же советую посмотреть в сторону puppet и openldap.
Поддерживаю!
Нужно смотреть в сторону более высокоуровнего решения.
puppet + mcollective намного упростят вам жизнь.
либо использовать cssh/pssh — тынц
Ещё была какая-то утилита как раз для того, чтобы было проще управлять группой компов. То ли шеф, то ли кок. Что-то с поварсвом связанное. Может кто вспомнит название.
А почему бы вместо того чтоб пускать апач от админа не взять apache2-itk в котором только этот вхост пустить из-под админа? Либо же вообще — cgi-скрипт на котором стоит setuid.
Доработок можно провести массу, я в топике изложил концепцию, подход другими словами. И да, изобретение велосипеда происходит от недостатка грамотности, признаюсь (это всем тем, кто уже указал путь решения через ldap, большое спасибо).
Называется chef, тут была пара статей на тему «готовки».
Интересная идея, но я бы не мучался с Apache, а сделал бы набор скриптов, положил бы их в папку на сервере и делал бы к примеру так sh SoftUpdate 192.168.0.50. Такой подход поможет делать однотипные действия на всех компах (засунуть IP в цикл и выполнить для каждого). Как-то так.
Вы не поняли «фишки». Ведь если сайт («страница с кнопками и менюшками», по-простому) доступен просто из интернета, то администрировать сеть можно с любого девайса, на котором есть браузер, просто авторизовавшись, как на любом другом сайте! Другой вопрос, что нужно проработать все типичные задачи, протестировать и отладить, но у каждого свои запросы. И да, я не претендую на статус изобретателя! Я просто высказал вариант, как можно, и какие это дает удобства.
А в чем проблема поставить SSH туда, где есть браузер? Да и онлайн-ssh клиентов сейчас вагон с тележкой. Но это все усложняет. А можно ведь и СМС-ки слать ;)
А если на сервер-шлюз поставить ssh, то администрировать сеть можно с любого девайса, на который можно поставить ssh клиент. А для выполнения команд на нескольких машинах есть clusterssh.
И еще один вопрос… Насколько вы уверены в безопасности самописного CGI скрипта, который выполняется аж под суперпользователем. Тут впору ограничивать доступ с одного единственного IP адреса (а не мечтать об администрировании из любого места в интернете).
Речь о том, чтобы закрыть доступ к скрипту. Впрочем, он у вас наверняка закрыт базовой авторизацией апача.
Кстати да, при basic авторизации пароль передается открытым текстом. Так что https в этом случае может быть и правильно применять. Просто вся схема кажется мне ненадежным велосипедом и примером, как делать НЕ надо.
Уточните ненадежное место, пожалуйста. Велосипед? Наверное таки да, но все минусы, которые до сих пор были озвучены, как то мелковаты, по сравнению с перспективой Собственного интерфейса для администрирования (громковато, правда) сети, понятного домохозяйке. И если уж совсем на чистоту, то получилось так: сначала я придумал то, что описано в топике, и лишь потом нашел и просмотрел вебмин, и только в камментах мне рассказали еще и о кухне с рецептами (chef).
Тем более если подумать, то у вас в схеме получилось одно очень узкое место. Если ПК с реальным IP, читай шлюз каким-то образом взломают (а такой вариант полностью исключать тоже нельзя), то мгновенно получат доступ ко ВСЕМ компьютерам в локальной сети.

Предотвратить это можно двумя способами:
а) не хранить открытые ключи ssh на шлюзе;
б) генерировать ключи, защищенные паролем.

Нет, это не паранойя.
Апач вешается на не 80 порт внутри сети с пробросом на шлюзе, как вариант + https, думаю, хватит. Поламать можно, наверное, все и ваша паранойя мне искренне не понятна.
А цена вопроса? Ну и количество клиентов тоже интересно.
Просто в небольших сетях цена виндовых терминальных лицензий не окупает удобство использования/администрирования сервера терминалов.
Так там вроде рублей 900-1200 стоит одна лицензия конкурирующая, если не ошибаюсь.
1000 — это на подключение к серверу вообще (CAL)
терминальная (RDS CAL) — в районе 3000, при чем это не отменяет наличия CAL.

Плюс стоимость самого сервера терминалов. Плюс лицензии на всякие там офисы все равно по количеству юзеров покупаются…

В общем, на небольших количествах машин варианты «толстый windows-клиент» или «линукс-клиент + виндовый сервер терминалов» по цене отличаются очень слабо.
Офигеть. Я думал CAL — это все виды подключений. А сервер терминалов — сама серверная винда.
Умеет же эта компания за каждое шевеление мезинцем тонны $$$ рубить…

Как-то звонил в Microsoft Russia, мне манагер не смог вменяемо объяснить какие лицензии мне нужны для этого.
Это еще что, так эти лицензии еще 2х типов: На пользователя или на устройство.
Это как раз самое простое. :)
Грубо говоря, есть у вас контроллер домена и десяток клиентов — на каждого надо CAL. Но вообще, для работы они не требуются, это просто бумажки, самому серверу пофиг, сколько у него клиентов.
А вот терминальные лицензии активируются у MS и на сервере их фиксированное количество. Ну плюс некоторое количество временных.
Но, а если в расчет брать удобство администрирования. Админить один терминальный сервер или кучку виндовых машин — разные вещи.
Если эти машины в домене, то админить их несложно. А вот если нет, то приходится выдумывать черт знает что, как у автора поста.
Ставить на каждый клиентский комп webmin и заводить в кластер пробовали?
А для управления локальными сервисами подойдет monit.
Я согласен, Webmin с кластером — самое простое и удобное решение.
Для централизованной LDAP-авторизации и samba-домена отлично подходит Zentyal (бывший eBox), который можно установить и настроить за 30 минут.
1С 8.2 уже давно нативно работает на linux.
Многие «специальные» программы легко запускаются под Wine 1.3, в том числе и IE6.
Автоматический учёт оборудования и софта и helpdesk легко настраивается при помощи связки GLPI и OCS Inventory 2.
> Автоматический учёт оборудования и софта
Если я вас верно понял и речь идет о сборе статистики по оборудованию и процессам, а не о инвентаризации, то отлично подойдет zabbix, сделали типовой шаблон для linux, включили авто-обнаружение и в путь, тут и графики, и тригеры, информирующие о проблемах (смсками, в почту или жабер) и т.д.
Когда это 1С8.2 стала нативно работать под linux?
Это Веб Клиент для его нормальной работы нужна полная поддрежка управляемых форм в конфигураци, в УУП например в настоящее время поддержка не реализованна до конца. А для тех у кого конфигурация переписанная нужно не мало работы для програмиста чтобы заработал базовый функционал через веб клиент!
Sign up to leave a comment.

Articles