munkahelyi/ iskolai linux hálózat felépítése

Hálózatok általános

Azt kérdezném, hogy hogyan lehet fölépíteni egy munkahelyi vagy egy iskolai linux hálózatot Debiannal. A username/password központi szerveren van tárolva, de bármelyik géphez leülve be lehet jelentkezni.
Mert pl. a Debian a telepítéskor kérdez egy username/password kombinációt az adott géphez, de azt az adott gépet töb ember fogja használni.
Ez hogy van megoldva?

  • 2302 megtekintés

A NIS és NFS természetesen működő megoldás, leginkább UNIX/Linux környezetben. 2017-ben azonban gyorsan felmerül majd az igény, hogy a fájlokat el lehessen érni más oprendszerről, okostelefonról, tabletről, a hitelesítést lehessen intergrálni levelezéshez és más szolgáltatásokhoz, az adminisztrációt GUI-val lehessen végezni, stb...

Én éppen ezért leginkább LDAP címtárra építenék, és Samba interfészt (is) adnék kifele. Hogy kell-e domain környezet vagy sem, az egy következő kérdés, a Samba mindenesetre alapból is szépen illeszthető LDAP-hoz, ha pedig konzerv full-featured integráció kell, akkor ott vannak a Zentyal és társai.

Aha. És a bejelentkező képernyőn hogy oldod azt meg, hogy a username/password az LDAP címtárból legyen intézve és ne a lokális gépen? A bejelentkező képernyőt kezelő szoftvernek SDDM, GDM, KDM ismernie kell az LDAP-t, nem? Az lenne jó, hogyha telepítéskor a telepítő megkérdezné, hogy a hálózatban van-e LDAP szerver és ha van, akkor hogy érhető el.

____________________________________
Ha vita van, számoljanak órajelciklusokat. Egyesével.

"A bejelentkező képernyőt kezelő szoftvernek SDDM, GDM, KDM ismernie kell az LDAP-t, nem?"

Ezzel nem lesz probléma. Az /etc/pam.d/ könyvtárban van egy fájl, amiben be lehet állítani, hogy ldap alapján hitelesítsen bejelentkezéskor. Ehhez kell egy megfelelően kitöltött /etc/ldap.conf fájl, hogy "ismerje" az LDAP szervert.

"Az lenne jó, hogyha telepítéskor a telepítő megkérdezné, hogy a hálózatban van-e LDAP szerver és ha van, akkor hogy érhető el."

Tök felesleges, utólag is pikk-pakk beállítható...

--

nTOMasz
"The hardest thing in this world is to live in it!"

A gép alap autentikációját fogod átállítani a local user-ről ldap-ra, a bejelentkező felület egy feljebb lévő réteg, azt már nem kell piszkálni. Tudtommal azért annyira nem out of the box-ok ezek a dologok, hogy a telepítésnél egy Debian-nak ezt rögtön megadd, kicsit azért kell matatni vele telepítés után.

Linux platformon kb. a '90-es évek vége óta nagyjából minden PAM-ot használ beléptetésre, a PAM pedig egy mozdulattal beállítható LDAP-ra.

Szerencsére lehet beállítani fallback metódusokat is, tehát ha az LDAP szerver elérhetetlen, akkor is van mód belépni pl. a rendszergazdáknak más authentikációs forrásból.

( render_elek v | 2017. 03. 11., szo – 14:28 )

egy iskolai linux hálózatot Debiannal

régi álmom, de ahol nálam megbukott:
Egyeztettél a felhasználókkal is?!?

Ma egy iskolában, ha van valakinek felhasználói ismerete (majdnem mindenkinek), akkor az win alatt van.

Amikor át akartam térni, tűzzel-vassal ellenezték.
A tankönyvekben is erős win-orientációt látok látok, így nem csak a tanárok által használt gépeken nem tudtam kivitelezni.

Ha viszont egy haladó szellemű iskolával van dolgod, akkor nagyon-de-nagyon irigyellek.

Lehet, hogy dual-boot környezetről van szó...?

A környezetemben van olyan középiskola, ahol konkrét igény volt az alternatíva megteremtése - csináltunk mindenhová dual boot-ot. Az más lapra tartozik, hogy nagyjából ketten vannak az 500+ felhasználó közül, akik néha bebootolják.

Az érettségi elvileg évek óta bonyolítható Windows és Linux platformon egyaránt, ennek ellenére azt tapasztaltuk, hogy az érettségi feladatok megoldása alapjaiban véve Windows platformra vannak kihegyezve, tehát helyzeti hátrányba kerül, aki nem Windows-on csinálja. (Meg lehet csinálni Linux-on is, de általában időben és macerában is több - ez pedig vizsga-körülmények között jellemzően nem kívánatos.)

( bazso | 2017. 03. 11., szo – 14:58 )

https://help.ubuntu.com/community/Autofs

Ne NIS-t használj, ugyan egyszerű de nagyon elavult, ha mindenképpen ezt szeretnéd akkor is NIS+.
De szépen működik CIFS + LDAP alapon is

De jogos a hozzászólás fölöttem, felhasználóid ennyire haladó szelleműek? :)

( sibike | 2017. 03. 11., szo – 18:05 )

Ha gyorsan eredményt akarsz elérni, akkor nézd meg a FreeIPA megoldást. Ez egy integrált LDAP+Kerberos megoldás, funkcionalitásban hasonló a Windows AD-hoz.

+1, bár én "csak" RHEL (5, 6, 7) környezetben használtam production-ben (~3800 user, úgyhogy kellett némi ldap-tuningolás is).
Van néhány előfeltétel, de az normális hálózatban teljesül/teljesíthető. Gyakorlatilag egz kerberos-alapú SSO-t valósít meg, és ugyanúgy, mint Windows AD esetén, az IPA-t is előbb alaposan átgondolva meg kell tervezni (hánz IPA szerver és hova, milyen host és usergroup-ok (nin-posix/posix), ha netán van az IPA mellett egy AD, akkor el lehet gondolkodni a trust használatán, stb.

( Oops | 2017. 03. 12., v – 06:46 )

Nekem ment és sokáig élt. Már nem vagyok ott az intézményben, de úgy 5-6 évet lenyomott. Azóta más vezetés, más informatikai gárda van.
1) Kell a vezetés teljes bizalma
2) Először csak a diákgépek, egy év hibakeresés
3) Teljesen vegyes háló, folyamatosan hangsúlyozva, hogy ha veszne wines gépeket, jöhetnek

És a megoldás sok részlete http://raerek.blogspot.hu/2015/10/nyilt-forraskodu-operacios-rendszerek…, illetve a blog más részein.

( SzBlackY | 2017. 03. 12., v – 07:52 )

Mert pl. a Debian a telepítéskor kérdez egy username/password kombinációt az adott géphez

A standard telepítő kérdez, ha Expert módban indítod, már rákérdez előtte, hogy akarsz-e egyáltalán usert létrehozni.

Gondolom ha központosítva van, akkor N>1 gépre fogod telepíteni, úgyhogy javaslom nézz utána, hogy a központosított telepítésre milyen lehetőségeid vannak (https://wiki.debian.org/AutomatedInstallation és https://www.debian.org/releases/stable/i386/apb.html). Innentől már csak az a kérdés, hogy milyen központosítást használsz, annak megfelelően kell belerugdosni a preseed fájlba a megfelelő parancsokat, hogy a reboot után már működjön (*: fentebb írta zeller az SSSD-t, úgyhogy überelem egy kicsit: realmd, sajnos még eléggé piroskalap-közeli [még csak ott találkoztam vele :) ], ott még igazából azt se feltétlenül kell tudnod, hogy milyen domain, egy sima 

realm join foo.bar.example.org

és 

realm enable foo.bar.example.org

megoldja :) )

Ha nem ragaszkodsz a Debianhoz, akkor nézd meg egyrészt az openSUSE-t (a Yast-ban össze tudsz kattintgatni egy teljes telepítőrendszert és hozzá a konfigot, amit telepít a központi auth-tal együtt), másrészt a CentOS-t/Fedora-t, mert ők (is) tisztán a Winnel szemben pozicionálják magukat, épp ezért vannak kulcsrakész megoldásaik (FreeIPA, hozzá az SSSD/realmd a témánál maradva).

--
Ha viszont Win és Linux alól is ugyanazokat a usereket akarod használni, akkor érdemes lehet megnézned a Samba4-et, vagy ahogy zeller mondta, a FreeIPA + Windows domain trust (minden évben promózzák a SambaXP-n, hogy egyre jobb), ehhez viszont azt hiszem a "túloldalon" Windows Server kell (csak changelog szinten követem, de úgy rémlik, a Samba-ban csak bízni lehet, ő még kicsit bizalmatlan :) )

Szóval igen, marha sok lehetőséged van, és utólag nehéz az átjárás köztük, úgyhogy érdemes előre kipróbálni mindent.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)