В тылу врага. Внедрение

    События происходят за садовым кольцом в стандартной фирме, использующей, в основном, решения от Microsoft, не выделяясь в этом плане на фоне остальных. С некоторых пор в фирме работает линуксоид, который терпеть не может работать в ОС Windows.

    При всей нелюбви к юзабилити, предоставляемым продуктами небезызвестной корпорации, линуксоиду необходимо интегрироваться в сеть для осуществления деятельности, за которую он будет получать зарплату. В частности ему будет необходимо работать с почтой, обмениваться файлами через общие папки, открывать документы MS Office.



    Kerberos


    Так как сеть использует технологию Active Directory, то первым делом, после установки Linux на свою машину, следует поставить библиотеки и утилиты Kerberos — библиотеки скорее всего притянутся сами через зависимости.

    Тут следует учесть, что Патрик Волькердинг не уважает Kerberos, или по крайней мере не уважал, но как вы успели заметить я не собираюсь рассказывать линуксоиду как ему устанавливать пакеты или как ему пересобрать всю систему для поддержки чего либо.

    Если вы не знакомы с Kerberos, то советую прочесть теоретические основы, это бывает полезно для понимания процесса и для отлова ошибок.

    Мои примерные настройки /etc/krb5.conf:

    [libdefaults]                            
            default_realm = DOMAIN.LOCAL        
    
    # The following krb5.conf variables are only for MIT Kerberos.
            kdc_timesync = 1                                      
            ccache_type = 4                                       
            forwardable = true                                    
            proxiable = true                                      
    
    [realms]
            DOMAIN.LOCAL = {
                    kdc = 192.168.0.1
                    kpasswd_server = 192.168.0.1
                    default_domain = domain.local   
            }                                    
    
    [domain_realm]
        domain.local=DOMAIN.LOCAL
        .domain.local=DOMAIN.LOCAL
    


    Выполним kinit my_account_name, введем пароль и получим билет. Или не получим по одной из кучи причин, главная из которых разъехавшееся время. В случае необходимости ставим ntpd, для поддержания времени в актуальном состоянии, что рекомендуется.

    Почтовый клиент


    В качестве почтового клиента (MUA) я использую Kmail — поддерживает и NTLM и Kerberos (GSSAPI). Ответственно заявляю — GSSAPI + Exchange + Kmail работает. Использовать следует Kmail последней версии, ввиду серьезного прогресса в юзабилити, а также элементарной правки ошибок.

    Вообще я использую весь Kontact, но полной интеграции с Exchange у него пока нет, и я рад, что в нашей фирме не пользуются возможностями Exchange не относящимися к почте. Впрочем команда KDE обещает решить этот вопрос и интегрироваться по полной.

    С фронтов Gnome сообщают об Evolution, но, как я понял, в данном решении используется OWA, и вряд ли работает с Exchange 2007. Впрочем я уверен, что в комментариях будет более точная информация.

    Офисный пакет.



    Да, любой линуксоид знает, что OpenOffice.org не очень стабильная программа. С документами MS Office она чаще всего справляется, но это не гарантировано. Latex и сотоварищи конечно вне конкуренции, но обосновать это еще как то можно в научной среде, в офисе же придется надеяться, что OOo не подведет.

    В особо клинических случаях существует возможность установить Ms Office под Wine/CrossOver. Я пока до клинической ситуации не дошел.

    Samba, расшариваемся



    Для создания собственной общей папки ставим Samba (для собирающих руками — включите поддержку AD).
    И вот так выглядит /etc/samba/smb.conf, смесь настроек по умолчанию для дистрибутива и моих:

    [global]                                                                         
       workgroup = DOMAIN
       server string = %h server (Linux)                                     
       dns proxy = no                                                                
    realm = DOMAIN.LOCAL                                                                
    security = ADS                                                                   
    password server = 192.168.0.1
       log file = /var/log/samba/log.%m                                              
       max log size = 1000                                                           
       syslog = 0                                                                    
       panic action = /usr/share/samba/panic-action %d                               
       encrypt passwords = true                                                      
       passdb backend = tdbsam                                                       
       obey pam restrictions = yes                                                   
       unix password sync = yes                                                      
       passwd program = /usr/bin/passwd %u                                           
       passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
       pam password change = yes                                                                                         
    map to guest = bad user                                                                                              
       idmap uid = 10000-20000
       idmap gid = 10000-20000
       template shell = /bin/nologin
       winbind enum groups = yes
       winbind enum users = yesХодим по общим папкам
       winbind nested groups = Yes
       usershare allow guests = yes
    [share]
       path = /home/deepwalker/share
       guest ok = no
       browseable = yes
       writable = yes
       create mask = 0666
       directory mask = 0777
    [printers]
       comment = All Printers
       browseable = no
       path = /var/spool/samba
       printable = yes
       guest ok = no
       read only = yes
       create mask = 0700
    [print$]
       comment = Printer Drivers
       path = /var/lib/samba/printers
       browseable = yes
       read only = yes
       guest ok = no
    


    Также не забываем включить winbind в /etc/nsswitch.conf:

    passwd:         compat winbind
    group:          compat winbind
    ...
    


    Winbind нам нужен для авторизации пользователей — можно выставлять доступ к общим папкам отдельным пользователям.

    Ходим по общим папкам


    С билетом Kerberos на руках особой сложности это не представляет. Есть два пути, которые я опробовал — fusesmb и встроенные возможности KDE. Fusesmb позволяет работать с файлами «на месте» не только приложениями KDE/Gnome, но и любым другим. Встроенные возможности KDE, с другой стороны, предоставляют простой способ быстренько осмотреться и скачать необходимое для дальнейшей работы.

    Существует еще mount.cifs, но я так и не сумел заставить его работать с Kerberos. Но по сути моя тяга к Kerberos не всегда и не везде оправдана, так что возможно кому то подойдет этот вариант.

    На этом все. Если линуксоиду не хватает чего либо еще — пишите в комментариях, решим миром/хабром.

    Похожие публикации

    Средняя зарплата в IT

    113 000 ₽/мес.
    Средняя зарплата по всем IT-специализациям на основании 10 037 анкет, за 2-ое пол. 2020 года Узнать свою зарплату
    Реклама
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее

    Комментарии 65

      +16
      Линуксоид говорит спасибо за хорошую статью :)
      • НЛО прилетело и опубликовало эту надпись здесь
          +1
          Вы данные операции на память проделываете?
          • НЛО прилетело и опубликовало эту надпись здесь
              +1
              А integrated login sled (lum) + novell client тоже сможете по памяти?:)
              • НЛО прилетело и опубликовало эту надпись здесь
                  0
                  Оспаривать ваше утверждение можно долго.
                  • НЛО прилетело и опубликовало эту надпись здесь
                      +2
                      а с какого года вы не дружите с Русским? ;)
                      • НЛО прилетело и опубликовало эту надпись здесь
        +3
        почему бы не использовать likewise open для интеграции с АД?
          0
          Я как то смотрел его — ну ничего особенного полезного там не нашел — мне samba/kerberos вполне хватило.

          Но! Вообще вещь хорошая, потому как ставится проще, и познаний в настройке Kerberos, как я понял, не требует. В общем плюс за напоминание.
          +2
          отлично! большое спасибо!
            –19
            оказавшись в такой ситуации, я не видел абсолютно никакого смысла интегрироваться в виндовс-сеть. для мен яэто была пустая трата времени

            и не хотелось смешивать священный линукс с этой… даже не хочу произносить это слово.
              +1
              да-да, и деньги, заработанные с помощью этой непроизносимой штуки, тоже грязные и вообще некошерные ;)
              Знаю я одну фирму, весь офис на линуксах, частично даже своей сборки дистрибутив, знаете, что делают? Винды и антивири клиентам ставят, среди прочего.
              +5
              ну как бы…
              мое имхо) статья неполноценна.
              допустим что такое kinit my_account_name, для чего нужен билет, что такое mount.cifs, расшифровать конфиги было бы очень хорошо…
              Все это было давным давно на генту-вики, причем более подробно и понятно.
              Стремление конечно полезно и поощряемо, но было бы неплохо дополнить и расширить статью, для совсем уж новичков) А то поставят себя pdc ненароком и завалят всю сеть)
                +1
                А ей и не надо быть полноценной — детальное описание каждого шага в сети продублировано десятки раз.
                Также и на моем блоге — deepwalker.blogspot.com/

                Но узнать куда конкретно копать — вполне подходящее творение.
                +12
                Я понимаю, что статья про Линукс и про то как интегрировать Линукс с исконно Windows-сервисами, но все равно, отношение у вас какое-то предвзятое, линкусойд — это что болезнь? Нормальный, адекватный человек, оказавшись в компании, у которой корпоративная политика направлена в сторону Windows скажет, что Windows г**но, я Линуксойд, я не буду работать?

                «и не хотелось смешивать священный линукс с этой… даже не хочу произносить это слово. », а это уже похоже на фанатизм, не в обиду.

                На работе я использую Windows, потому что от политики компании я уйти не могу, ну не могу и все тут, дома я работаю на Mac OS, потому что эта операционная система для меня подходит как никогда. Все просто, удобно, логично и надежно.

                Настоящий профессионал всегда адаптируется в той среде, в которую попал и не будет как ребенок кричать, что это г**но, а это конфетка.

                Техническая часть статьи хорошая. Спасибо.

                P.S. Линуксойды, минусуйте, получайте удовольствие ;)
                  +3
                  Вопрос в другом. Вот я, например, привык работать в Linux и вполне возможно, чтобы обучение новой ОС займёт больше времени, чем настройка, о которой говорится в статье. Вопрос, опять же в выборе и удобстве, а не религии, типа «на работе только Windows» :)
                    0
                    Так я наоборот призываю к тому, что религии как таковой быть не должно, каждый выбирает то, что ему нравится, главное, чтобы это не превращалось в фанатизм :) Я на работе использую Windows лишь по тому, что другого там быть не может (на рабочем ПК), а дома я могу делать все что угодно, хоть в Windows 3.11 сидеть, хотя это тоже фанатизм, наверно :)))
                  • НЛО прилетело и опубликовало эту надпись здесь
                      0
                      Понимаешь, не всегда компания даст тебе делать то, что ты хочешь, потому что ты не дома, правильно? У крупных компаний своя политика, причем жесткая с точки зрения использования ресурсов. Поэтому тебе просто не дадут использовать в качестве базовых инструментов то, что ты хочешь (Windows, Linux). Выбор прост, либо работать в этой компании и адаптироваться, либо не работать и искать компанию, где на это закрывают глаза, например как твоя. Каждому свое :)
                      • НЛО прилетело и опубликовало эту надпись здесь
                      0
                      Я бы добавил, что вместо занятия делом автор тратит рабочее время на создание препятствий и их преодоление. Без какой либо пользы для работодателя, похоже.
                        +3
                        Вы знакомы с автором и его деятельностью? Думается мне нет.

                        По роду моей деятельности, моя производительность в разы лучше в родной среде.
                        • НЛО прилетело и опубликовало эту надпись здесь
                        0
                        А зачем, собственно, адаптироваться к среде, которая вам не нравится, когда можно адаптировать среду, которая вам нравится под окружение в которое вы попали? И волки сыты и овцы целы. Нет? Нужно обязательно пересиливать себя, работая в неудобной среде и постоянно переключая контексты типа работы-дом? Это признак профессионализма? По-моему, это признак банальной ленности мышления и узости кругозора. Что профессионалу непростительно.
                          0
                          у меня дома линукс, на работе винда. Переключения контекста вообще никакого не происходит. Везде один и тот же файрфокс и опенофис. Часто на работе использую МС Офис, ну и что? Для обычных действий у простого человека проблем с переключением не может возникнуть. ИМХО, разумеется.
                          ПС. Занимаемся внедрением ОпенСорс и обучением персонала. Примеров масса, когда люди особо не парятся что и как… лишь бы АдинЭс работала… ну и многие напрягаются от ОпенОфиса…
                            +1
                            Ну, лично меня одна только невозможность в венде номального копи-паста средней кнопкой мыши, да невозможность подвесить рус-лат на любимую кнопку… не то, чтобы напрягает, но заставляет несколько раз ругнуться про себя неприличным словом. А ведь таких мелочей очень много. Так с какого хера я должен подстраиваться под неудобную мне венду, если я могу настоить удобный мне линукс для полноценной работы в соответствующем окружении??? Смысл какой? Шоб було? Да кому оно надо? Мне — точно нет.
                              0
                              Точно! Без нормальной консоли работать не могу. Особенно без Yakuake.
                                0
                                Было аналогично, пока я не заметил, что любимый многими, и соответственно, часто входящий в офисный пакет программ Punto Switcher умеет вешать переключение рус-лат на альтернативные клавиши, скажем, привычный мне капслок.

                                По копипасту средней кнопкой мыши распространённого решения я пока не нашёл.

                                Но на практике, мало где дадут просто взять и поставить удобную себе систему, будь то линукс, фря, мак или что-то ещё — корпоративный стандарт-с. Управляемость инфраструктурой и тому подобное.
                                  0
                                  Да, это для тех, кто любит потом приставать в администраторам и петь о проблемах. Такие попадаются и с виндой — любители понаставить всякой фигни типа файрволов, а потом парить мозг администраторам.

                                  Так вот — я таких сразу посылал в лес. Или вы под нашим контролем, или ваши проблемы нас не касаются вообще. В случае если ваши проблемы начинают растекаться по сети — отключение и служебка директору.

                                  Это был первый вариант. Второй — безопасность на предприятии. Ну тут суть в том, что к ИТ специалисту такие претензии предъявлять бесполезно — он вас пошлет еще дальше. Нормальный специалист вынесет любую информацию десятком разных способов, хоть все позакрывайте. Поэтому какой смысл к нему приставать? Это вменяемый человек, который несет ответственность за свои действия, да и вообще — он сам этой сетью управляет в той или иной степени. Если же человек творит что то невменяемое, просто увольте его.

                                  Ни у кого же не возникает мысли запрещать программисту пользоваться VS или vim-ом.
                                    0
                                    С переключением раскладки на винде по любой кнопке отлично справляется keyla, весящая 243 KB, работает даже на Win8 стабильно. Первое, что я делаю при установке винды — перевешиваю переключение Ru-En на привычный CapsLock, а Ru-En-Uk остается на Alt+Shift.

                                    А вот про копирование средней кнопкой очень интересно, ведь в линуксе изначально 2 буфера обмена, а в винде один. Если кто разбирался — подскажите, буду очень благодарен, пусть и с костылями.
                              0
                              Человек который работает в операционной системе — это пользователь. а линуксоид — это за##от малолетний, который по форумам орет «венда сакс».(с) bash.org.ru
                                0
                                Ни к чему повторять глупость. Линуксоид это пользователь ОС Linux. А малолетний за№;%т это красноглазик, и пользоваться он может чем угодно.
                                0
                                не очень понятно как вменяемый человек потративший время на обучение технологии X окажется в компании где без технологии Y никак?! Он, простите, зачем будет время своё в корзину выбрасывать?
                                0
                                Мысли поставить Линукс на рабочем месте были давно, но отсутствие возможности юзать MS Exchange и IE делает это невозможным.
                                  0
                                  Добавлю, что IE нужен исключительно для ms project
                                    +1
                                    IEs4Linux? VirtualBox?
                                      0
                                      Спасибо, попробую IEs4Linux.
                                        0
                                        Несколько лет назад как раз для msp я использовал IE вообще из-под чистого wine. Все работало, ну кроме странностей со шрифтами и видом меню. Еще могу посоветовать wiki.winehq.org/winetricks, решает сразу массу проблем.
                                  0
                                  Т.е. samba/kerberos может заменить контоллер домена(Win Server)? Или я чет не понял, если можно, киньте плиз ссылочку для изучения. И сильно не пинайте, я начинающий админчик :(.
                                    +1
                                    deepwalker.blogspot.com/ почитайте, хотя не уверен, что пишу понятно.

                                    Контроллер AD на Samba сейчас сделать невозможно. Эта возможность реализуется в Samba4, которая весьма долго находится в весьма недопиленом состоянии. В принципе это вообще некий полигон для отладки новых возможностей Samba, так что скоро его ждать и не стоит.
                                      0
                                      Спасибо, пойду изучать =)
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                      0
                                      Почитаем
                                      0
                                      А ещё бывает линуксоиду приходиться печатать на каком-нибудь экзотическом принтере…
                                        –1
                                        мда… линук для всех
                                          –1
                                          винда для линуксоидов
                                        • НЛО прилетело и опубликовало эту надпись здесь
                                            –1
                                            Intel 965GM на DELL 1525 под Ubuntu Hardy кому-нибудь удалось заставить работать нормально?
                                            после апгрейда до интерпида всё стало ещё хуже, старые игры стали дико грузить видяху и ноут ребутался от перегрева
                                            реинсталил интерпид с нуля — та же фигня
                                            поставил альфа джанти — та же фигня ))

                                            каждый раз при попытке собрать MESA драйвер из git-clona с офф сайта интела, где сорцы лежат — иксы рушатся. там зависимостей надо компилить штук 60 и в итоге БРЯК

                                            в общем из ленни так и не удалось поставить драйвер нормально

                                            а вот федора 10 все сама поставила =)
                                            но прямо скажем КДЕ 4.2 сыроват

                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                –1
                                                О да, пендальф. бери-ка свой жезл и уебывай из топика, невежда.

                                                > На этом все. Если линуксоиду не хватает чего либо еще — пишите в комментариях, решим миром/хабром.

                                                просто так я бы спрашивать не стал. Да и форумов и гуглов полным полно облазил за несколько месяцев.

                                                вообще судя по твоему резюме в твоей инфе за свои 5 лет ты даже прыжка не сделал в своей сфере, конечно, откуда тебе взять ума дать дельнйы совет, вместо того как пиздануть чо-нить не по делу

                                                ненавижу вот таких как ты
                                                  0
                                                  Понимаете ли, есть такое понятие как «оффтопик», то есть вы напсиали сообщение не относящееся к теме топика. Для обсуждения вашей проблемы вам бы следовало завести тему на форуме Ubuntu, есть русскоязычный с достаточно продвинутыми ребятами.

                                                  Вторая ошибка — вы очень нервно восприняли простой и правильный ответ. Суть в том, что никто вам не обязан оказывать поддержку. Если вам помогают — это жест доброй воли и свободного времени (которое кстати специалист мог употребить и гораздо более эффективно), если вам отказывают — смиритесь, специалистам ваш вопрос не интересен.

                                                  Далее — вы где то потеряли Intrepid, прыгнув резко через релиз. В то же время у меня такие же проблемы с рабочей системой — Q3 временами подтормаживает. Я собрал ядро 2.6.28 из комплекта джаунти, вроде стало порезвее.
                                              0
                                              Патрик конечно бох и слака рулез, но идти против коллектива всегда тяжело.
                                                0
                                                Зачем же против? Вместе, но слегка по своему. Просто создаем себе привычное окружение и устанавливаем связи с окружающим миром.
                                                0
                                                Статья похожа на общий план действий для личного пользования: когда-то делал вот так, значит надо искать здесь. Но она же указывает в каком направлении «копать». Сложно дать однозначную оченку. Скорее — хорошо, нежели — плохо.
                                                  0
                                                  Эх, ещё бы Lotus Domino Designer и Administrator под linux сделали…
                                                    0
                                                    За Kerberos спасибо, но смысл использования Exchange как простого почтовика мне не ясен.
                                                      0
                                                      Ну такова корпоративная политика Москвы.
                                                    0
                                                    За домены .local хочеться конкретно ****ть! На работе провайдер (!!!!) держит у себя где-то в сети домен .local. Из-за этого автопоиск принтеров не работает в CUPS. И ещё некоторые плюшки.
                                                      0
                                                      Поднимите свой DNS и отдайте ему зону local, а провайдерские dns над ним поставьте.

                                                        0
                                                        ооо… зона .local — служебная. её не должно быть в DNS ВООБЩЕ.

                                                        она используется Zeroconf
                                                          0
                                                          Пруф можно, что я в своей локальной сети не могу использовать зону .local.
                                                      0
                                                      «В тылу врага»… Если всюду видишь врагов, люди видят врага в тебе. Шутки шутками, а вот представьте, что админ Вашей виндовой сети написал статью про «врага» линуксоида.

                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                      Самое читаемое