LINUX.ORG.RU
решено ФорумAdmin

Доменная сеть

 ,


1

3

Оставили мне в наследство контору, точнее сетевое хозяйство. Как оно работает - ..й его знает.

В общем ситуация у меня такова:
0. Есть доменная сеть, везде виндовсы, один контроллер + около сотни юзернеймов.
1. Каждый юзернейм может со своим логином/паролем войти с любого ПК.
2. Есть общая сетевая шара, у каждого юзера есть каталог в этой шаре, каждый юзер может писАть только в свой каталог, читать может с любого.
3. Есть сервер, туда ходят по рдп, юзера туда пускает по его же логину/пассворду.
4. Контроллер диктует групповые политики - юзерам обрезано часть функционала виндовса.

Что нужно сделать:
0. Максимально уменьшить количество виндовсов в сети.
1. Сделать контроллер на линухе.
2. Сделать шару на линухе.
3. Не потерять существующий функционал, т.е. юзеры должны иметь возможность логиниться на любом ПК под управлением линуха, юзеры должны иметь к доступ к шаре.
4. Нужна возможность управлять всеми линух-машинами сразу, т.е. ставить/обновлять/удалять пакеты, что-то вроде глобального ссш.
5. Подключить к чисто линуховой сети виндовые машины которые нельзя сменить на линух по причине спец. софта.

Ребята, я даже не знаю в какую сторону копать :(



Последнее исправление: Bubublik (всего исправлений: 1)

Я не совсем понимаю, зачем в линуксовой сети домен, но:

1) Вам нужна samba4 (именно 4) или openldap для учета пользователей. На клиентских машинах необходимо настроить pam_ldap для авторизации в домене.

2) Вариантов овер9000. Та же самба, можно nfs, можно sftp, можно вообще ftp - тысячи их. Я бы сказал, nfs удобнее всего в данном случае.

3) Логиниться с любого компа - из-за ldap запросто. Но синхронизации пользовательской информации просто так не будет, надо изобретать

4) ansible/chef/puppet/saltstack, нужное подчеркнуть. Если совсем не знакомы с подобными системами - советую ansible, у него порог вхождения самый низкий.

5) samba4, насколько я помню, полностью эмулирует Active Directory, так что виндовую машину туда закинуть труда не составит.

l0stparadise ★★★★★
()

calculate linux вроде рекламируют что у них много всяких штук для совместной сети линукса и виндовса, посмотри у них.

Solonix ★★★
()

Боюсь контроллер вам трогать не стоит, насколько я помню samba еще не допилили до уровня ад, кроме того вам нужно еще и групповыми политиками заниматься, там тоже все пока вроде печально. Кроме того если все это - ваша личная инициатива, или же устные пожелания начальства - то тем более не стоит. А вот чем точно стоит заняться - это выяснением наличия лицензий на все ПО и полного комплекта лицензий подключения, и если их нет то закупкой их, а если начальство против - то подумать об увольнение. Но идея с полной линуфикацией скорее всего провалится.

Silerus ★★★★
()
Ответ на: комментарий от Silerus

Ну, инициатива начальства, письменная с выставленными сроками. На всё виндовое естественно лицензий нету, обшманал все закупки за последние 5 лет - на софт не потрачено ни копейки.

Bubublik
() автор топика
Ответ на: комментарий от l0stparadise

Я не совсем понимаю, зачем в линуксовой сети домен

Будьте добры, просветите по этому поводу

Bubublik
() автор топика
Ответ на: комментарий от Bubublik

Я вам сочувствую

  1. Пользователи вас будут саботировать
  2. Если переносимые профили не критичны - стоит от них отказаться, сделать такое можно, но сопровождать гемор
  3. Акл существует на линуксах, насколько работает не знаю, возможно можно обойтись вообще без домена
  4. В остальном самба Вам в помощь
Silerus ★★★★
()

Имхо, в такой ситуации стоит вообще отказаться от AD.

Поднять какой-нибудь корпоративный портал (OnlyOffice, Liferay, Alfresco), файлопомойку перетащить туда. На хосты вместо винды накатить какой-нибудь минт или бубунту и сделать вход на них вообще без пароля. Юзеры смогут с любого компа через браузер ходить на портал.

Для управления зверюшником, как уже писали выше, использовать ansible или puppet. Хотя в таком сценарии там и управлять особо не чем.

afanasiy ★★★★
()
Ответ на: комментарий от Silerus

С первым согласен. А если даже не саботировать, то просто нещадно тупить и дергать по каждому пустяку.

Zhbert ★★★★★
()
Ответ на: комментарий от Zhbert

Ну весь приказ цитировать не буду, но "...сроком до 01.06.2018 провести внедрение операционных систем семейства Linux на рабочие станции сотрудников... ...провести процедуру перехода с ОС Виндовс на ОС Линукс во всех узлах внутренней сети предприятия... ...обеспечить функционирование рабочих станций с специализированным ПО не имеющим аналогов в ОС Линукс..."

Bubublik
() автор топика
Ответ на: комментарий от afanasiy

Ввод пассворда юзернеймом обязателен, это требование вытекает с какого-то приказа ещё 90х годов + ISO. Браузерная файлопомойка не вариант - я пожалуй эту файлопомойку буду кроном монтировать каждому юзеру после входа в ОС.

Bubublik
() автор топика
Ответ на: комментарий от Zhbert

А чем на компах занимается подавлющее большинство пользователей? Какой софт пользует?

В основном офис + любой редактор изображений. В некоторых стоит софт для доступа к гос. реестрам + бух.ПО. Пару людей плотно пользуют фотошоп, корел. В общей сложности из сотни ПК более-менее «спец.ПО» использует человек двадцать.

В общую шару падают входящие документы (бумажка зашла, отсканилась, упала каждому в папочку в шаре), от туда же они выходят.

По поводу тупить - да, согласен, но это меня не парит, так как приказ о переходе на линухи имеет пункт наподобие "...кому не нравится - идет лесом..."

Bubublik
() автор топика
Ответ на: комментарий от Bubublik

Это Вам так кажется, что кому не нравится идет лесом, на практики все выходит по другому. Начините с либре, за неделю посомотрите как изменится рабочий процесс. о фотошоп+корел - это достойный повод для статьи ук, советую быть крайне внимательным. Кроме того имею печальный опыт, люди работающие с этим инструментами, крайней не любят учится чемуто новому.

Silerus ★★★★
()
Ответ на: комментарий от Bubublik

Реализовывая этот приказ вы просто загубите работающую сеть, потом вас же в этом и обвинят. Нужно или объяснять руководству губительность этих действий, или увольняться.

afanasiy ★★★★
()
Последнее исправление: afanasiy (всего исправлений: 1)
Ответ на: комментарий от afanasiy

Нужно или объяснять руководству губительность этих действий, или увольняться.

0. Приказ к нам пришел с «министерства добрых дел», его не выполнение равнозначно увольнению сразу нескольких людей.
1. Увольняться как-то не охота...

Но это уже совсем другая история (с)

Bubublik
() автор топика
Ответ на: комментарий от afanasiy

Я в принципе не вижу ничего особо страшного (пока что). В моих планах переводить на линух по 3-4 вместе сидящих человека в неделю. Потихоньку тестить новое не ломая старого.

Bubublik
() автор топика
Ответ на: комментарий от Bubublik

Я так понимаю Вы в гос организацию устроились и если это так - то тут, как нигде более очень развито кумовство. Вот жертвой этого кумовства вы можете стать, перебежав дорогу какой-нибудь доброй «знакомой» вашего начальства,перездом ее на os linux

Silerus ★★★★
()
Ответ на: комментарий от Silerus

Вот жертвой этого кумовства вы можете стать...

0. Лучше я уволюсь став «жертвой кумовства», что мало вероятно.
1. ИМХО но искать причины почему что-то не делать - увы, я лучше буду искать возможность выполнить поставленную задачу.
2. Я не устроился, я в ней проработал ХХХ лет :)

Bubublik
() автор топика
Ответ на: комментарий от Bubublik

В таком случае вам дали ответ на все вопросы в первом же посте.

samba4

afanasiy ★★★★
()
Ответ на: комментарий от Bubublik

файлопомойку буду кроном монтировать каждому юзеру после входа

autofs

sin_a ★★★★★
()

в какую сторону копать

Очевидно в сторону самбы, но этот план сильно пахнет извратом и гемором. Еще у астры, вроде, было что-то типа своего самобытного AD. Насколько оно работоспособно - не скажу.

kravzo ★★
()
Последнее исправление: kravzo (всего исправлений: 1)
Ответ на: комментарий от Bubublik

Тут остается только пробормотать, за какие ж грехи Вас так. Ну да ладно. Я не отговариваю Вас, я придупреждаю на личном опыте. Мой опыт вполне удачный, но в моем случае был только частичный переезд, тогда гендир на it деньги не жалел и нас прикрывал. Но и скандалов было достаточно. Но вот все сломать и перейти на новые рельсы, одномоментно не удастся. Кроме того может возникнуть точка не возврата, когда назад дороги не будет. Особенно эта проблема, когда денег нет, крутитесь как можете. - К чему я это, оцените свои возможности, в первую очередь железные, в идеале надо построить вторую сеть отладить и переключить на нее пользователей, перезд linux/unix like требует большого опыта (особенно в работе с пользователями).

Silerus ★★★★
()
Ответ на: комментарий от Bubublik

Как оно работает - ..й его знает.
Я не устроился, я в ней проработал ХХХ лет :)

anonymous
()

0. Максимально уменьшить количество виндовсов в сети.

а смысл менять, если работает? Знаешь, сколько граблей ты огребёшь при переводе инфраструктуры и сколько огребут сами работники?

darkenshvein ★★★★★
()
Ответ на: комментарий от Bubublik

тут варианта два:
1. на тачки пользователей линукс, тогда виндосервер сам становится не нужен
оставить часть самых нужных виндовых машин и АД-коня, купив к ним лицензии.

darkenshvein ★★★★★
()

Здоровенный такой надводный булыжник-это обучение пользователей. Обьясни начальству, что тебе понадобится аудитория с проектором/большим экраном и минимум 2 недели времени по пару часов в день, чтобы провести курсы «как запускать браузер в линукс» и прочие базовые вещи, которые могут быть совсем неочевидны для тех, кто видит линь в первый раз. Можно конечно перетаскивать по кускам, как ты планируешь, но готовься к тому, что это растянется на месяцы. (переводил так 50 человек, «ментора» по линуксу пришлось нанимать со стороны ибо составить програму обучения-это отдельный трэш).

Pyzia ★★★★★
()

Что нужно сделать:

Зачем?

thesis ★★★★★
()
Ответ на: комментарий от Pyzia

но готовься к тому, что это растянется на месяцы.

так всё нормально, у него в приказе срок до лета следующего года

сроком до 01.06.2018 провести внедрение операционных систем семейства Linux

NightOperator ★★★
()

При таком ресурсе времени можно черта лысого создать с нуля.

1. Ставите отдельную машину, на нем поднимаете шару и сервер.

2. Зеркалите на ней существующий виндовый сервер.

3. Наиболее продвинутому и безропотному отделу меняете рабочие места на линуксовые и обкатываете.

4. На каком софте вы это сделаете - неважно, в каком вам проще. Главное требование - психологическое. Логика работы юзера, форма и расположение окошек логина и софта должны быть максимально похожи на существующие.

5. Обкатав, меняете рабочие места остальным

vaddd ★☆
()
Ответ на: комментарий от vaddd

Если подобрать похожие под винду темы, то переезд может пройти проще.

Deleted
()

Как сделали мы в 2013м.
Сервера Windows AD оставили. (все в лицензии)
Linux машины входят в AD через pbis-open.
Юзера на Linux особо в шарах с авторизацией не нуждались, ходили по IPшнику.
перевели от 1000 до 1500 рабочих мест.

doctor-ua
()

нда, тут пожелать успеха/удачи будет явно мало...

Что нужно сделать:

вот кому это нужно, вот тот пусть и делает

targitaj ★★★★★
()

Ребята, я даже не знаю в какую сторону копать :(

копай в сторону смены работы, это лучшее решение в твоём случае

targitaj ★★★★★
()
Ответ на: комментарий от targitaj

Вот из-за таких заявлений ОН и откладывется.
Ведь может как всё сложиться : ТС ставит всем линуксы, юзеры носят его на руках, начальство повышает ЗП.

Deleted
()
Ответ на: комментарий от Deleted

Более вероятен другой вариант

юзеры выносят его за дверь на руках, начальство повышает ЗП всем оставшимся за счёт ТС

Но с другой стороны, если ТС сможет грамотно объяснить в процессе/после внедрения, что он исполнитель, а не автор и инициатор идеи, то может быть уволят и не его.

NightOperator ★★★
()

Посмотрите в сторону Calculate Linux. У нас стояли ровно те же задачи 11 лет назад - пересадить всех с винды добавив поддержку совместной работы, обеспечить единую авторизацию, хранение профилей пользователей на сервере, доступ к терминальному виндовому софту, быструю настройку профиля пользователя с почтой, мессенджером. Если будут вопросы, пишите в IRC, телеграм или на форуме сайта.

Lautre ★★★★★
()

Чую, что у кого-то из главнюков тупо в жопе засвербило. Просто так работающую сеть шатать не станут. И запнется всё на середине, когда начнут шатать системы с чисто виндовым софтом или с сфотом, линуксовые аналоги которого отсутствуют или непомерно кривые.

Я бы на твоём месте поднял несколько виртуалок для эмуляцию будущей сети и тренировался на них.

Radjah ★★★★★
()
12 апреля 2018 г.

Ура товарищи! Я решил этот гемор!

Получилось примерно так (все ОСи - деб):
0. Поднял мусорку;
1. Потихоньку ставил деб людям, мусорка монтируется автоматом, при чем rw на свою шару, ro на всё остальное;
2. Юзернеймы логинятся каждый со своего ПК (уломал начальство, что логин отовсюду - нах не нужен);
3. По поводу логинов/паролей - помогли мне навоять скрипт который сначала пишет в сетевой чат (в личку) что заффтро будет заменён пароль на ХХХХХ, по окончанию роб. дня меняет пароли. Это происходит единожды в месяц. Такой гемор нужен по нормам ISO;
4. Вынды которые остались в строю управляются старым контроллером, пока оно работает - не трогаю.

В результате юзеры весьма неплохо отнеслись к линухам :)

Bubublik
() автор топика
Ответ на: комментарий от l0stparadise

1) Вам нужна samba4 (именно 4) или openldap для учета пользователей. На клиентских машинах необходимо настроить pam_ldap для авторизации в домене.

В SAMBA4 нет поддержки OpenLdap.

kostik87 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.