Comments 60
По поводу ведения учеток по убунту: а не проще на самбе поднять домен и сделать на убунту авторизацию через pam_winbind?
или ldap и pam_ldap
Пробовал делать такую связку LDAP -> машины с убунтами… В принципе всё работает, но машины очень «доменнозависимые» становятся. Если пропадает связь до PDC (домена), то все машины «колом» встают, и работать на них нереально… Плюс общая скорость работы когда ubuntu авторизуется через ldap заметно ниже чем standalone-версия (проверенно на практике)
А как вообще убунты работают c LDAP? Какие преимущества кроме централизованного логина и удобного шаринга папок это дает?
В ldap можно хранить что угодно, настройки приложений и т.п. Дергать эти настроечки можно стартовыми скриптами. А домен поднимать нет необходимости, можно просто LDAP сервис поднять.
Ну ещё можно добавить централизованный backup и обмен сообщениями, но даже перечисленных Вами преимуществ более чем достаточно, когда сеть начинается от 100 машин.
спасибо за совет, обязательно попробую применить, но заводить домен для 15-20 пользователей пока не было надобности. Разве только для эксперимента и дальнейшего изучения.
Я вообще стрелляюсь. У нас централизовали контроллер домена. Если нет с ним связи сеть медленно начинает деградировать. Управлять тоже сетью просто невозможно, т.к. то там доступа нет, то там. К тому же даже пользователи в одном кабинете оказываются в 3-4 разных группах, т.к. одни числятся в областном центре, вторые и третьи в другом городе и разных группах и четвёртые уже местные.
P.S. К сожалени AD. В любом случае что-то централизовать на количестве ПК до 30 штук не вижу смысла.
P.S. К сожалени AD. В любом случае что-то централизовать на количестве ПК до 30 штук не вижу смысла.
<trolling>Конечно — намного проще, чем остаться на виндах и развенуть AD</trolling>
Вы не представляете насколько такое решение облегчает жизнь эникею (или админу, которому приходится быть эникеем).
А причины могут быть разные.
А причины могут быть разные.
Облегчает сильнее, чем AD с групповыми политиками в виндовой сети?
Хватит троллить, здесь не сравнивают AD и самбу, а обсуждают управление линуксовыми машинами.
Я о тормозах, зависаниях и постоянных ребутах на каждый чих, которые затрудняют работу людей из отдела продаж. Имеется в виду лицензионный Windows 7 с включенным обновлением.
Опыт работы в конторе, где «все на линаксах» показал, что эникею там вообще делать почти нечего.
Вы хотите об этом поговорить? Я не очень.
Опыт работы в конторе, где «все на линаксах» показал, что эникею там вообще делать почти нечего.
Вы хотите об этом поговорить? Я не очень.
А вы не пробовали машинки в нерабочее время обновлять? Для этого есть такие штуки, как wake on lan, например… или вы думаете, что под Linux secuirty-патчи прямо в реальном времени применяются?
В общем, причина высосана из пальца. Тем более странно, что в вашем офисе нет бухгалтерии с 1С, клиент-банками и криптопро, а также менеджеров, использующих excel-листы с макросами, площадок для элекронных торгов, открывающихся только в IE версии 6.0, рабочего места секретаря с вентафаксом и проприетарной софтиной для управления АТС. А ещё почти наверняка есть охранник, который смотрит на картинку с камер видеонаблюдения (Videoguard, например), сынишка директора, которому нужно поиграть в крузис, дизайнер, которому нужен фотошоп и торгового партнера, который притащил презентацию в поверпоинт.
Да и если сравнивать офисную работу в Linix и Windows, то невольно приходится сравнивать офисные пакеты и средства выгрузки документов в них. И в процессе этих размышлений мне представляется такое невероятное количество геморроя, что боевые мысли по поводу Linux на десктопах благополучно развеиваются.
А шлюз, файловый сервер, IP-телефония, бэкапы, почта — всё на Ubuntu Server стоит себе, и никаких проблем. Такие дела.
В общем, причина высосана из пальца. Тем более странно, что в вашем офисе нет бухгалтерии с 1С, клиент-банками и криптопро, а также менеджеров, использующих excel-листы с макросами, площадок для элекронных торгов, открывающихся только в IE версии 6.0, рабочего места секретаря с вентафаксом и проприетарной софтиной для управления АТС. А ещё почти наверняка есть охранник, который смотрит на картинку с камер видеонаблюдения (Videoguard, например), сынишка директора, которому нужно поиграть в крузис, дизайнер, которому нужен фотошоп и торгового партнера, который притащил презентацию в поверпоинт.
Да и если сравнивать офисную работу в Linix и Windows, то невольно приходится сравнивать офисные пакеты и средства выгрузки документов в них. И в процессе этих размышлений мне представляется такое невероятное количество геморроя, что боевые мысли по поводу Linux на десктопах благополучно развеиваются.
А шлюз, файловый сервер, IP-телефония, бэкапы, почта — всё на Ubuntu Server стоит себе, и никаких проблем. Такие дела.
Извиняюсь за дикое количество опечаток и пропущенных запятых — у меня винда упала, переустанавливал просто наболело уже (с).
В текущей конторе у меня Windows на рабочих станциях и я понимаю зачем оно там. Так что, вы зря негодуете. :)
Но свалить все на терминальный сервер, как у автора статьи — заманчивая идея.
Но свалить все на терминальный сервер, как у автора статьи — заманчивая идея.
Тоже есть ньюансы, проброс usb к примеру. Флешки еще ходо бедно можно монтировать, а вот работать с со всякими rutokenами или принтерами со сканерами, для которых нет нормальных линуксовых дров (например canon), невозможно. Аппаратных usb over ip не напасешся. Свободный usbip сыроват. У самого офис на thinstation и терминале, поэтому говорю не понаслышке.
Вообще то, нормальные люди в три клика настраивают обновления машин в не рабочее время.
Вот тут вчера топик промелькнул. Про инвентаризацию компов в сети с помощью PowerShell. В котором человек приводил какие-то многоэтажные скрипты на этом самом повершелле для того, чтобы узнать, что за процессоры / диски / память стоят у него на компах в сети. Молодец человек, но дело не в этом.
Дело в том, что к тому топику нет ни одного комментария, в котором бы было написано «это три строки на bash, виндовз — мастдай». Нет таких комментов. Потому что люди занимаются всоим делом, изобретают что-то делятся с единомышленниками — дак за раби бога! Что им мешать-то?
И стоит появиться топику про администрирование Linux-сетей — как тут же появляется System32 сотоварищи и начинается «На виндовз все гораздо легче! Линкус — говно! AD наше все!»
System32, ты — тролль. У меня монитор весь жирный от твоих высказываний уже.
Дело в том, что к тому топику нет ни одного комментария, в котором бы было написано «это три строки на bash, виндовз — мастдай». Нет таких комментов. Потому что люди занимаются всоим делом, изобретают что-то делятся с единомышленниками — дак за раби бога! Что им мешать-то?
И стоит появиться топику про администрирование Linux-сетей — как тут же появляется System32 сотоварищи и начинается «На виндовз все гораздо легче! Линкус — говно! AD наше все!»
System32, ты — тролль. У меня монитор весь жирный от твоих высказываний уже.
> Вот тут вчера топик промелькнул. Про инвентаризацию компов в сети с помощью PowerShell. В котором человек приводил какие-то многоэтажные скрипты на этом самом повершелле для того, чтобы узнать, что за процессоры / диски / память стоят у него на компах в сети
А мог бы поставить SCCM — и сделать все за пару кликов мыши.
> И стоит появиться топику про администрирование Linux-сетей — как тут же появляется System32 сотоварищи
Между прочим, за некоторыми линукс-фанатами подобные грешки тоже числятся. Я лишь пытаюсь вышибить клин клином — уравновесить линукс-пропаганду своей пропагандой.
> System32, ты — тролль. У меня монитор весь жирный от твоих высказываний уже.
Я, между прочим специально поставил тег trolling — чтобы вы могли настроить фильтр и сохранить мониторы в чистоте :)
А мог бы поставить SCCM — и сделать все за пару кликов мыши.
> И стоит появиться топику про администрирование Linux-сетей — как тут же появляется System32 сотоварищи
Между прочим, за некоторыми линукс-фанатами подобные грешки тоже числятся. Я лишь пытаюсь вышибить клин клином — уравновесить линукс-пропаганду своей пропагандой.
> System32, ты — тролль. У меня монитор весь жирный от твоих высказываний уже.
Я, между прочим специально поставил тег trolling — чтобы вы могли настроить фильтр и сохранить мониторы в чистоте :)
Интересная схема. Можно только пару вопросов:
1) адресация статитчная или dhcp?
2) количество пользователей/компьютеров?
Со своей стороны могу поделиться решением по удалённому управлению linux-машин в локальной сети. У нас на работе (примерно 350 машин) на сотне стоит ubuntu. IP-адреса выдаются по dhcp. На каждом системнике написан hostname маркером (вида «news-01»). По запуску ubuntu стартует скрипт, который скидывает на сервер время входа, hostname, логин… Таким образом узнаю на каком ip-шнике какая машина сидит, у всех включено дефолтное vnc. Подключаюсь — правлю проблему.
Если понадобится скрипт такой — могу скинуть.
1) адресация статитчная или dhcp?
2) количество пользователей/компьютеров?
Со своей стороны могу поделиться решением по удалённому управлению linux-машин в локальной сети. У нас на работе (примерно 350 машин) на сотне стоит ubuntu. IP-адреса выдаются по dhcp. На каждом системнике написан hostname маркером (вида «news-01»). По запуску ubuntu стартует скрипт, который скидывает на сервер время входа, hostname, логин… Таким образом узнаю на каком ip-шнике какая машина сидит, у всех включено дефолтное vnc. Подключаюсь — правлю проблему.
Если понадобится скрипт такой — могу скинуть.
1) адресация конечно же dhcp с привязкой по маку. Все знакомые устройства разбиты на группы, всем новым выдается адрес из выбранного диапазона.
2) количество пользователей в разные времена варьирует, но всегда было в диапазоне 10-50. Т.е. масштабы не велики.
За предложение со скриптом спасибо, но думаю у меня пока хватает желания и умений пилить что-то самому, а вот от идей по автоматизации или идей по устройству процессов автоматизации — от этого не откажусь!
2) количество пользователей в разные времена варьирует, но всегда было в диапазоне 10-50. Т.е. масштабы не велики.
За предложение со скриптом спасибо, но думаю у меня пока хватает желания и умений пилить что-то самому, а вот от идей по автоматизации или идей по устройству процессов автоматизации — от этого не откажусь!
Относительно недавно делал проект офисной сети для друзей, тоже обсуждалась возможность посадить людей за убунты, а частьсофта вынести в терминалки. В итоге решили что сопровождать и обучать сотрудников будет слишком проблемно для местных админов.
Решение принято следующее, почти всех пользователей посадили за тонкие клиенты (HP T5000 старенькие) + wtware и кластер из двух Hyper-V и iscsi на дебиане. преимуществ из этого вышло масса:
1. энергоптребление тонкого клиента в несколько раз меньше чем у полноценного компа (бесперебойник дольше держит и затраты на электроэнергию ниже)
2. в случае сбоя питания, работу не нужно делать заново после восстановления питания пользователь продолжает работу с того же места
3. удобство администрирования (админу достаточно RDP доступа на сервер терминалов)
4. безопасность (флешки отключены, стороннее ПО не установить и пр.)
5. если тонкий клиент умирает, замена ему ставится через 5-10 минут (пока аникей несет железку менть, админ правит два конфига) и пользователь продолжает работу с того же места.
Доступ в интернет с тонких клиентов строго по белому списку сайтов (squid) никакого NAT для них нет.
Ну а тем кому нужен прожордивый софт типа фотошопа и доступ на все сайты просто ставится полноценный комп (ну штук пять таких наберется из 60-ти).
Решение принято следующее, почти всех пользователей посадили за тонкие клиенты (HP T5000 старенькие) + wtware и кластер из двух Hyper-V и iscsi на дебиане. преимуществ из этого вышло масса:
1. энергоптребление тонкого клиента в несколько раз меньше чем у полноценного компа (бесперебойник дольше держит и затраты на электроэнергию ниже)
2. в случае сбоя питания, работу не нужно делать заново после восстановления питания пользователь продолжает работу с того же места
3. удобство администрирования (админу достаточно RDP доступа на сервер терминалов)
4. безопасность (флешки отключены, стороннее ПО не установить и пр.)
5. если тонкий клиент умирает, замена ему ставится через 5-10 минут (пока аникей несет железку менть, админ правит два конфига) и пользователь продолжает работу с того же места.
Доступ в интернет с тонких клиентов строго по белому списку сайтов (squid) никакого NAT для них нет.
Ну а тем кому нужен прожордивый софт типа фотошопа и доступ на все сайты просто ставится полноценный комп (ну штук пять таких наберется из 60-ти).
Как-то кустарно получается, особенно момент с апачем, у которого административные права на все и вся. Конечно если это прячется за шлюзом и фаерволом риск не велик, но все же советую посмотреть в сторону puppet и openldap.
Поддерживаю!
Нужно смотреть в сторону более высокоуровнего решения.
puppet + mcollective намного упростят вам жизнь.
либо использовать cssh/pssh — тынц
Нужно смотреть в сторону более высокоуровнего решения.
puppet + mcollective намного упростят вам жизнь.
либо использовать cssh/pssh — тынц
Ещё была какая-то утилита как раз для того, чтобы было проще управлять группой компов. То ли шеф, то ли кок. Что-то с поварсвом связанное. Может кто вспомнит название.
Промахнулся с ответом вам…
А почему бы вместо того чтоб пускать апач от админа не взять apache2-itk в котором только этот вхост пустить из-под админа? Либо же вообще — cgi-скрипт на котором стоит setuid.
Называется chef, тут была пара статей на тему «готовки».
спасибо, действительно очень много материала есть по вашей ссылке, а именно вот эта статья
Интересная идея, но я бы не мучался с Apache, а сделал бы набор скриптов, положил бы их в папку на сервере и делал бы к примеру так sh SoftUpdate 192.168.0.50. Такой подход поможет делать однотипные действия на всех компах (засунуть IP в цикл и выполнить для каждого). Как-то так.
Вы не поняли «фишки». Ведь если сайт («страница с кнопками и менюшками», по-простому) доступен просто из интернета, то администрировать сеть можно с любого девайса, на котором есть браузер, просто авторизовавшись, как на любом другом сайте! Другой вопрос, что нужно проработать все типичные задачи, протестировать и отладить, но у каждого свои запросы. И да, я не претендую на статус изобретателя! Я просто высказал вариант, как можно, и какие это дает удобства.
А в чем проблема поставить SSH туда, где есть браузер? Да и онлайн-ssh клиентов сейчас вагон с тележкой. Но это все усложняет. А можно ведь и СМС-ки слать ;)
А если на сервер-шлюз поставить ssh, то администрировать сеть можно с любого девайса, на который можно поставить ssh клиент. А для выполнения команд на нескольких машинах есть clusterssh.
И еще один вопрос… Насколько вы уверены в безопасности самописного CGI скрипта, который выполняется аж под суперпользователем. Тут впору ограничивать доступ с одного единственного IP адреса (а не мечтать об администрировании из любого места в интернете).
hhtps не спасет?
Речь о том, чтобы закрыть доступ к скрипту. Впрочем, он у вас наверняка закрыт базовой авторизацией апача.
Кстати да, при basic авторизации пароль передается открытым текстом. Так что https в этом случае может быть и правильно применять. Просто вся схема кажется мне ненадежным велосипедом и примером, как делать НЕ надо.
Уточните ненадежное место, пожалуйста. Велосипед? Наверное таки да, но все минусы, которые до сих пор были озвучены, как то мелковаты, по сравнению с перспективой Собственного интерфейса для администрирования (громковато, правда) сети, понятного домохозяйке. И если уж совсем на чистоту, то получилось так: сначала я придумал то, что описано в топике, и лишь потом нашел и просмотрел вебмин, и только в камментах мне рассказали еще и о кухне с рецептами (chef).
Тем более если подумать, то у вас в схеме получилось одно очень узкое место. Если ПК с реальным IP, читай шлюз каким-то образом взломают (а такой вариант полностью исключать тоже нельзя), то мгновенно получат доступ ко ВСЕМ компьютерам в локальной сети.
Предотвратить это можно двумя способами:
а) не хранить открытые ключи ssh на шлюзе;
б) генерировать ключи, защищенные паролем.
Нет, это не паранойя.
Предотвратить это можно двумя способами:
а) не хранить открытые ключи ssh на шлюзе;
б) генерировать ключи, защищенные паролем.
Нет, это не паранойя.
А цена вопроса? Ну и количество клиентов тоже интересно.
Просто в небольших сетях цена виндовых терминальных лицензий не окупает удобство использования/администрирования сервера терминалов.
Просто в небольших сетях цена виндовых терминальных лицензий не окупает удобство использования/администрирования сервера терминалов.
Так там вроде рублей 900-1200 стоит одна лицензия конкурирующая, если не ошибаюсь.
1000 — это на подключение к серверу вообще (CAL)
терминальная (RDS CAL) — в районе 3000, при чем это не отменяет наличия CAL.
Плюс стоимость самого сервера терминалов. Плюс лицензии на всякие там офисы все равно по количеству юзеров покупаются…
В общем, на небольших количествах машин варианты «толстый windows-клиент» или «линукс-клиент + виндовый сервер терминалов» по цене отличаются очень слабо.
терминальная (RDS CAL) — в районе 3000, при чем это не отменяет наличия CAL.
Плюс стоимость самого сервера терминалов. Плюс лицензии на всякие там офисы все равно по количеству юзеров покупаются…
В общем, на небольших количествах машин варианты «толстый windows-клиент» или «линукс-клиент + виндовый сервер терминалов» по цене отличаются очень слабо.
Офигеть. Я думал CAL — это все виды подключений. А сервер терминалов — сама серверная винда.
Умеет же эта компания за каждое шевеление мезинцем тонны $$$ рубить…
Как-то звонил в Microsoft Russia, мне манагер не смог вменяемо объяснить какие лицензии мне нужны для этого.
Умеет же эта компания за каждое шевеление мезинцем тонны $$$ рубить…
Как-то звонил в Microsoft Russia, мне манагер не смог вменяемо объяснить какие лицензии мне нужны для этого.
Это еще что, так эти лицензии еще 2х типов: На пользователя или на устройство.
Грубо говоря, есть у вас контроллер домена и десяток клиентов — на каждого надо CAL. Но вообще, для работы они не требуются, это просто бумажки, самому серверу пофиг, сколько у него клиентов.
А вот терминальные лицензии активируются у MS и на сервере их фиксированное количество. Ну плюс некоторое количество временных.
А вот терминальные лицензии активируются у MS и на сервере их фиксированное количество. Ну плюс некоторое количество временных.
Но, а если в расчет брать удобство администрирования. Админить один терминальный сервер или кучку виндовых машин — разные вещи.
Ставить на каждый клиентский комп webmin и заводить в кластер пробовали?
А для управления локальными сервисами подойдет monit.
А для управления локальными сервисами подойдет monit.
Я согласен, Webmin с кластером — самое простое и удобное решение.
Для централизованной LDAP-авторизации и samba-домена отлично подходит Zentyal (бывший eBox), который можно установить и настроить за 30 минут.
1С 8.2 уже давно нативно работает на linux.
Многие «специальные» программы легко запускаются под Wine 1.3, в том числе и IE6.
Автоматический учёт оборудования и софта и helpdesk легко настраивается при помощи связки GLPI и OCS Inventory 2.
Для централизованной LDAP-авторизации и samba-домена отлично подходит Zentyal (бывший eBox), который можно установить и настроить за 30 минут.
1С 8.2 уже давно нативно работает на linux.
Многие «специальные» программы легко запускаются под Wine 1.3, в том числе и IE6.
Автоматический учёт оборудования и софта и helpdesk легко настраивается при помощи связки GLPI и OCS Inventory 2.
> Автоматический учёт оборудования и софта
Если я вас верно понял и речь идет о сборе статистики по оборудованию и процессам, а не о инвентаризации, то отлично подойдет zabbix, сделали типовой шаблон для linux, включили авто-обнаружение и в путь, тут и графики, и тригеры, информирующие о проблемах (смсками, в почту или жабер) и т.д.
Если я вас верно понял и речь идет о сборе статистики по оборудованию и процессам, а не о инвентаризации, то отлично подойдет zabbix, сделали типовой шаблон для linux, включили авто-обнаружение и в путь, тут и графики, и тригеры, информирующие о проблемах (смсками, в почту или жабер) и т.д.
Когда это 1С8.2 стала нативно работать под linux?
Таки да!
Sign up to leave a comment.
Администрирование сети компьютеров с Ubuntu через web-интерфейс