LINUX.ORG.RU
ФорумAdmin

Линукс в школе - несколько небольших проблем


0

0

Предыстория.

Я работаю учителем информатики в одной московской школе. У нас имеется два комп. класса(12 и 25 компов), в которых до недавнего времени был установлен WinXP(пиратский), комны управлялись доменом и все были довольны.

После истории с Поносовым высший комсостав школы забеспокоился("а у нас компьютеры лицензионные?"), но до конца прошлого учебного года решил таки ничего не делать. А в начале этого года директор просто запретил использовать комп. классы пока "не купим Виндовс".

Т.к. мне проводить занятия по информатике в обычных классах немного не с руки, я установил в комп. классах Kubuntu(сам ей пользуюсь), настроил локальный репозитарий софта и учу детей. Особых проблем не возникло, но об этом напишу позднее(оформлю в виде блога), сейчас нет времени.

Внимание, вопрос!

Все в принципе нормально, но есть несколько вещей, которые напрягают:

1. Как(и чем) можно централизованно управлять установленным софтом на всех машинах;

2. Как лучше сделать централизованную авторизацию(думаю использовать старый win-сервер с доменом, хотя он тоже весьма пиратский);

3. Т.к. везде используется КДЕ, то может быть есть какие нибудь средства централизованного управления его настройками пользовательских окружений(по аналогии с Windows-доменом) - редактирование програмного меню, тема оформления и т.п.;

Прощу прощения за много букв=)

>Как(и чем) можно централизованно управлять установленным софтом на всех машинах;

Я делал так. Написал скрипт, который пробегал по всем рабочим станциям, подключался к ним под root по ssh и выполнял нужные мне действия с ПО: установка дополнительных репозитариев, установка ПО, изменение прав доступа и т.д. Таким образом, на всех ЭВМ были выполнены одинаковые команды.

>2. Как лучше сделать централизованную авторизацию(думаю использовать старый win-сервер с доменом, хотя он тоже весьма пиратский);

Я использую NIS - Yellow pages (yserv, ypbind). Скорее всего - он есть в дистрибутиве. Единственная проблема - домашние директории. Если завести нового пользователя в NIS-домене, он не сможет работать по-нормальному на рабочих станциях, на которых для него не создана домажняя директория. То есть, директории надо либо создавать вручную (вышеупомянутым скриптом) или использователь автоматическое монтирование automount (в SuSE этим занимается скрипт /etc/init.d/autofs)

Noldor
()
Ответ на: комментарий от Noldor

> Я делал так. Написал скрипт, который пробегал по всем рабочим станциям, подключался к ним под root по ssh и выполнял нужные мне действия с ПО: установка дополнительных репозитариев, установка ПО, изменение прав доступа и т.д. Таким образом, на всех ЭВМ были выполнены одинаковые команды.

Ну в крайнем случае сделаю такой вариант, но хотелось бы что нибудь понадежнее. Т.к. если, например, какая либо машина выключена, то на ней нужно будет запускать скрипт отдельно, слабоватый feedback и отчетность т т.п.

Набрел тут на puppet, вроде бы это то, что нужно. Может кто нибудь его пользовал, какие впечатления?

it-partizan
() автор топика
Ответ на: комментарий от a_andry

> Как по мне лучше от win-домена лучше избавиться. Если совсем уж нужно - делайте его на самбе.

Совсем избавится не выйдет т.к. некоторые компы в администрации и у учителей в других кабинетах на винде, и они тоже используют домен, так что скорее всего будем дружить с Win2003-доменом

it-partizan
() автор топика

>2. Как лучше сделать централизованную авторизацию(думаю использовать старый win-сервер с доменом, хотя он тоже весьма пиратский);

Аунтетификация на LDAP, Kerberos, *SQL. C авторизацией несколько посложнее, не решается в общем случае. В AD можно добавить дополнительные схемы для авторизации а-ля unix.

Вот например, с помощью быстрого поиска по гуглу: http://developer.novell.com/wiki/index.php/HOWTO:_Configure_Ubuntu_for_Active...

ЗЫ: Winbind для твоей задачи использовать не обязательно, он немного для другого.

ЗЗЫ: Сначала разберись что такое LDAP и Kerberos.

Macil ★★★★★
()

1) Самое простое - скрипт, выполняющий список операций посредством последовательного подключения по SSH к каждому компу 2) NIS для изолированных сетей нормально, но учитывая ребяческую любознательность, пароли они вытащат очень скоро. Я бы поднял PDC На samba+ldap, тем самым решив проблему единой AA для Linux и Windows.

bromantik
()

2) может ldap?
Noldor: а не проще ли сделать что б при успешной авторизации создавался хомяк средствами pam`а к примеру?

CuB ★★
()
Ответ на: комментарий от CuB

Тоже думаю про LDAP, но с виндовс-машинами что делать?

Пока остановился на AD для хранения пользовательских аккаунтов и puppet для централизованного админинга!

it-partizan
() автор топика

центролизованная авторизация - это просто. 2 действия.

1. Поднимаешь ldap. 2. Говоришь машинам использовать ldap вместо локальных файлов.

для централизованной авторизации и управления пользователями хватает на 100%. Если нужно что-то более серьёзное вроде active directory - нужно смотреть в сторону Novell eDirectory или подобной вроде штуки от redhat. Но повторюсь, для задач управления пользователями ldap'а за глаза хватает.

С софтом не скажу, сам в подобной ситуации использую ltsp (это если вы о покупки оборудования забеспокоитесь вдруг и у вас будет линукс - погляди. Позволяет использовать устаревшее оборудование, но нужен будет сервер. Т.е. можно будет оставить старые компы и купить сервер.)

AndreyKl ★★★★★
()
Ответ на: комментарий от AndreyKl

AD это LDAP для авторизации и Kerberos для аутентификации. eDirectory - то же самое, только поддерживает больше протоколов аутентифкации и предназначена для хранения большого количества данных приложений. Все остальное - маркетинговый буллшыт.

Т.е. получай данные из них хоть ladpsearch'ем... Единственная проблема, которая у меня вознкала при взамодействии с Win2k3 AD - экспорт керберосовских keytab'ов из-под винды.

Еще есть RedHat (Fedora) Directory Server - он бесплатный и Apache Directory Server. Лучше смотреть на них, вместо OpenLDAP, хотя бы из-за графических утилит для их конфигурирования.

Macil ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.