unixforum.org
Централизованное управление в сети Linux (Вопроc централизованного управления клиентскими станциями)
Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС для молодых и начинающих системных администраторов.
Централизованное управление в сети Linux
Сообщение lamaboy » 17.04.2017 14:15
Не так давно начал свою деятельность в роли помошника системного администратора. Поставили задачу, перелопатил много статей, но так и не нашел оптимального варианта для решения задачи. Да есть хорошая статья » Достойный контроллер домена на Linux. (Подробный HowTo), MDS, Ldap, Samba, Postfix, SQU «, но она больше подходит под win парк, да и ей уже 9 лет.
Вопрос централизованного управления клиентскими станциями, что-то вроде ActiveDirectory c наворотами под Linux. Что надо:
1. Решение должно позволить любому человеку на любом компьютере загрузить свое рабочее окружение Linux и работать
2. Все программы должны запускаться на клиенте а не на сервере.
3. По возможности 2х факторная авторизация, возможно с использованием USB токенов.
4. Управление софтом и обновлениями удалено. Т.е я на сервере установил софт, добавил его нескольким пользователям и сделал для них конфиги/настроил софт. И они могут пользоваться.
5. Надо придумать как убрать зависимость от сервера, т.е к примеру я сел за комп ввел свои данные, подгрузилась моя ОС, тут падает сервер. И вот тут работа должна продолжиться. Т.е должен быть какой-то кеш на комьютере пользователя. Чтобы при неработающем сервере он мог войти под собой, если уже входил под собой раньше
Заранее не судите строго, я нуб
Централизованное управление рабочими станциями Linux Mint
Не так давно начал свою деятельность в роли помошника системного администратора. Поставили задачу, перелопатил много статей, но так и не нашел оптимального варианта для решения задачи.
Вопрос централизованного управления клиентскими станциями, что-то вроде ActiveDirectory c наворотами под Linux. Что надо:
1. Решение должно позволить любому человеку на любом компьютере загрузить свое рабочее окружение Linux и работать
2. Все программы должны запускаться на клиенте а не на сервере.
3. По возможности 2х факторная авторизация, возможно с использованием USB токенов.
4. Управление софтом и обновлениями удалено. Т.е я на сервере установил софт, добавил его нескольким пользователям и сделал для них конфиги/настроил софт. И они могут пользоваться.
5. Надо придумать как убрать зависимость от сервера, т.е к примеру я сел за комп ввел свои данные, подгрузилась моя ОС, тут падает сервер. И вот тут работа должна продолжиться. Т.е должен быть какой-то кеш на комьютере пользователя. Чтобы при неработающем сервере он мог войти под собой, если уже входил под собой раньше
Заранее не судите строго, я нуб T_T
Система оркестрации + загрузка по сети?
Да, но при этом данные должны храниться и у клиента и на сервере (синхронизироваться).
Вариант с разовым приглашением спеца для настройки, после чего ты будешь все просто поддерживать не рассматривается?
Вариантов-то и впрямь много, можно даже самоделку замутить. Вот только времени на освоение займет много, да и в процессе все можно так разломать.
Со временем проблемм нет, его много т.к задача не срочная (есть в запасе как минимум месяца 3-4). Да и хочется самому все сделать ибо в этом деле я новичек, а развиватся надо. Просто не могу найти определенный вектор движения.
Ну и ладно, у тебя же отказоустойчивый кластер. Все эти педальные синхронизации — дно и удел говноедов.
$$,$$$.$$
это стоимость нужного софта.
а так да, можешь все делать сам.
Так что побаивайся «простых парней», предлагающих тебе(нубу) что-то такое поискать и сделать на коленке.
Заранее не судите строго, я нуб T_T
подожди, сейчас из чулана появится парочка старых пней3, как раз когда МарьИвановна в кабинете в обморок упала и её по скорой увезли, так вот , она за ними работала.
ms windows server 2016,
http://www.citrix.ru/products/
и дальше по накатанной.
Deleted ( 17.04.17 16:42:16 MSK )
Последнее исправление: RTP 17.04.17 16:44:32 MSK (всего исправлений: 1)
А так тебя ждут очень на redhat.com, ubuntu.com;
сдается мне у них есть такие решения.
Нубу-помощнику (кхе-кхе, нет ли тут набития скора) дали работу начальника отдела, который ответственно принимает решение о растрате бюджета ИТ отдела.
А, ну да, у Canonical точно что-то такое было. Нагуглил — Landscape.
Со временем проблемм нет, его много т.к задача не срочная (есть в запасе как минимум месяца 3-4).
ха-ха, ну как сказать, уже пора подыскивать более вменяемую контору.
Вот-вот, поэтому когда слышишь что очередной уникум с должностью на предприятии с умным видом заявляет о необходимости «зёленому» поискать решение.
Что то от тебя желчью так и прет. Обидел кто?
К сожалению не всякая контора может позволить себе вкладывать большие деньги в свою ит-инфроструктуру.
Я всё понимаю, но когда не имея денег даже на оплату админа, давать «зелёному» какие-то такие поручения, типа заработай мне денег, а я с тобой не поделюсь.
На складе жигули, сделай мерседес. 🙁
Причем такое кроилово приведет к бегству зеленого, и поиску очередного Васи, который уже сделает на винсервере, за который заплатят.
Так а можно хоть отдаленно организовать подобную схему на линукс с применением только бесплатного софта.
В предыдущем сообщении я забыл вопросительный знак поставить. Это был вопрос.
А я вот не знаю, как-то даже не задавался вопросом.
Тут много чего кидали: и оркестрацию, и ансибл, и может много чего есть, но думаю мелкая контора просто утонет в этой мути.
2. Все программы должны запускаться на клиенте а не на сервере.
Программы в ходят в это «рабочее окружение» или они есть на всех рабочих местах?
я сел за комп ввел свои данные, подгрузилась моя ОС, тут падает
то есть ты хочешь грузить каждому пользователю свою ОС, а не только $HOME с конфигами и веселыми обоями?
Задача вполне выполнимая. По-моему это отличная возможность прокачать «зеленому» свои скиллы. Если время не поджимает и есть полная свобода выбора, то это должно быть даже интересно.
только в случае если все клиентские машины всегда online.
ну первое что в голову приходит это ldap + настроенный lib_pam на клиентах, который при авторизации через ldap создает домашний каталог пользователя в котором уже лежит .profile, вытягивающий по rsync все настройки пользователя с сервера.
C установкой и обновлением софта чуть хитрее. Если компьютеры все время включены, то можно действительно использовать системы оркестрации, тот же ansible. А если нет, то надо придумывать механизм, который при включении компьютера (и по cron’у) вытаскивает с сервера список того, что надо установить и собственно устанавливает — это отличная возможность изучить bash (или python).
И система управления этим зоопарком нужна — набор скриптов на сервере, который создает по требованию список нужного софта, пользователей и группы. Можно к этому и web-интерфейс написать, но это уже другая история.
Но имхо не для «зеленого». Если только действительно нет готовых решений. Говориться про вариант «сервер не доступен», т.е. логин с паролем пользователя должны при первом входе «кэшироватся» на локальном компе, т.е. сама авторизация должна быть следующей если сервер доступен проверяем на нем если нет ищем локально.
Далее двунаправленная синхронизация профилей, сервер упал, пользователь поработал на более чем одном компе, сервер поднялся.
1. как поступать на всех компах все закешированные профили в сторону сервера синхронизировать?
2. И что делать в случае конфликтов?
В этой части пишу по опыту использования os x сервера с мобильными пользователями, пункт 1 у них реализован так — когда залогинился на устройстве тогда и синхронизируем, пункт 2 — пользователю вылетает уведомление для принятия решения какой файл оставить. Так вот даже эта, вроде бы не один год работающая система, со временем стала выдавать «чудеса на виражах» в части синхронизации. Вобщем с недавних пор забили на это.
А стоит ли синхронизировать?, поднимаем 4 nfs — он вроде умеет с паролями работать через керберос и просто подмонтируем нужную папу в home. Все равно юзеры не копируют к себе файлы, а всегда пытаются работать с шары на прямую не смотря на размеры.
Какой Вы интересный, так «каждый дурак может» и то решение не факт что хорошее (учитывая проблемы nfs)
начал свою деятельность в роли помошника системного администратора
Поставили задачу . централизованного управления клиентскими станциями
Мой тебе совет: «вали от туда, юный падаван»
имею опыт работы с виндовыми перемещаемыми профилями — если есть возможность — то от них надо избавлятся. Кроме попоболи админу ничего хорошего не будет: некоректно отключая машины, пользователи часто рушили синхронизацию, в результате профиль блокировался (из-за нарушения прав на папки, часто бывали потери данных) и винда создовала новый профиль. В итоге приходилось удалять новый, востанавливать права на старый — а это время. Кроме того можно не по nfs, а по samba или sshfs
Молодому и зеленому дали задание сваять актив директори на линукс минте не ожидая результатов. Тут имхо только слепой не заметит бюджетную организацию. О каких деньгах ты говоришь?
ну он же не сказал что это бюджетная.
🙂
тогда пусть ищет заменители импорта, не проблема.
Спасибо за инф.Буду изучать LDAP
Я кстати выше подобное про os x тоже написал, не айс оказалось, хотя поначалу работало довольно долго (не один год) без особых глюков. Но когда дошло до потерь данных (затирала измененные файлы старыми версиями), похоронил.
ссылочку можно почитаю.Это c nfs? Я б такую систему на 4 самбе пытался сделать, а папки подмонтировал, отменив кеширование.
Нет я про мобильные профили в os x писал Централизованное управление рабочими станциями Linux Mint (комментарий)
Да, и они файлики через afp гоняют.
А насчет nfs это немного другая тема, на нестабильных каналах возникают глюки, в стабильной локалке пока (это наверное лет 17) проблем замечено не было.
У нас изначальная идея была почти как у ТС, т.е. у пользователя есть ноут (ноуты), есть iMac, ноут используется не всегда где есть инет, т.е. кеширование и синхронизация позже, плюс человек из филиала может приехать и сесть за свободный iMac (чисто ради удобства из-за большого экрана) и профиль синхронизируется. Но со временем стало все больше глюков появляться, когда дошло до потерь данных, похоронили и забыли.