[Sysadmins] rouming profile на linux (ALM-2.4)

[Sysadmins] rouming profile на linux (ALM-2.4)

[Dank Bagryantsev]

Здравствуйте.

Есть сеть из нескольких компьютеров linux-desktop и много
пользователей ("гуляющих", т.е. не сидящих за постоянным компьютером),
необходимо сделать единую/общую проверку паролей в сети и для каждого
пользователя свой desktop, почту, www, сетевую home-папку (возможно
частичное копирование профиля пользователя на локальную машину и
последующей синхронизацией при выходе?). Т.е. какой-то аналог rouming
profile в win. Желательна совместимость с win-клиентами по сетевым
ресурсам.

Я предполагаю, что для авторизации необходимо использовать samba в
режиме PDC. Но как заставить linux-клиентов авторизироваться через
samba при входе в KDE?

В качестве samba-сервера используется слабый компьютер, поэтому
варианты с X-терминалами нежелательны... 

Кто-нибудь похожее делал? Куда "копать"? Что почитать?

-- 
С уважением,
 Dank

Re: [Sysadmins] rouming profile на linux (ALM-2.4)

[Dank Bagryantsev]

Здравствуйте.

Похоже по аутентификации надо смотреть в сторону OpenLDAP...
Я правильно понимаю, что при входе в KDE можно использовать OpenLDAP
для проверки пользователя?

А вот как правильней/лучше работать с профилями/данными пользователя
надо хорошо обдумать...

-- 
С уважением,
 Dank

Re: [Sysadmins] rouming profile на linux (ALM-2.4)

[Ivan Fedorov]

[-- Attachment #1: Type: text/plain, Size: 1271 bytes --]

Dank Bagryantsev пишет:
> Здравствуйте.
> 
> Есть сеть из нескольких компьютеров linux-desktop и много
> пользователей ("гуляющих", т.е. не сидящих за постоянным компьютером),
> необходимо сделать единую/общую проверку паролей в сети и для каждого
> пользователя свой desktop, почту, www, сетевую home-папку (возможно
> частичное копирование профиля пользователя на локальную машину и
> последующей синхронизацией при выходе?). Т.е. какой-то аналог rouming
> profile в win. Желательна совместимость с win-клиентами по сетевым
> ресурсам.
> 
> Я предполагаю, что для авторизации необходимо использовать samba в
> режиме PDC. Но как заставить linux-клиентов авторизироваться через
> samba при входе в KDE?
> 
> В качестве samba-сервера используется слабый компьютер, поэтому
> варианты с X-терминалами нежелательны... 
> 
> Кто-нибудь похожее делал? Куда "копать"? Что почитать?
> 

Даю наводки:

Для домашних папок NFS (лучше сразу постараться юзать NFSv4) и automount
4-ой версии - в нем есть возможность задания шаблонов монтирования.

Для хранинения пользователей нынче модно пользовать LDAP. В данном
случае видимо OpenLDAP.

А для "авторизации в KDE" надо изучить PAM и NSS.

Hint: http://wiki.sisyphus.ru/, http://freesource.info/


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 254 bytes --]

Re: [Sysadmins] rouming profile на linux (ALM-2.4)

[Marat Khayrullin]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Dank Bagryantsev пишет:

> В качестве samba-сервера используется слабый компьютер, поэтому
> варианты с X-терминалами нежелательны... 

Жаль. Иначе идеально подошел бы ltsp.ru. Аналог MSWin TerminalServer.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFEMrparXNe38sq3YYRAjkwAJ9WogmW7cTS9IWooNbTnHDdxdiGIwCfWXqz
PfL404AZJpvxSJytcBDhi3o=
=raEX
-----END PGP SIGNATURE-----

Re: [Sysadmins] rouming profile на linux (ALM-2.4)

[Avramenko Andrew]

Я реализовывал подобную схему.
У меня были и Windows и Linux клиентские компы.
При включение Linux-компьютеров автоматически монтировалась шара с 
линуксовыми профилями. Для совместимости по uid использовался nss_ldap, 
можно было через idmap делать. Для аутентификации использовался pam_winbind.

Если нужна совместимость с Windows-машинами, можно расшарить эти профили 
еще и через самбу, правда фигня получится.

Re: [Sysadmins] rouming profile на linux (ALM-2.4)

[Dank Bagryantsev]

Здравствуйте.

Вы писали 5 апреля 2006 г., 9:39:31:

AA> Я реализовывал подобную схему.
AA> У меня были и Windows и Linux клиентские компы.
AA> При включение Linux-компьютеров автоматически монтировалась шара с 
AA> линуксовыми профилями.

Т.е. монтировались шара со _всеми_ профилями до входа какого-либо
пользователя? И потом, после входа пользователя, он просто работал со
своей папкой по сети не залезая в чужие?
Для расшаривания применялся NFS?

AA> Для совместимости по uid использовался nss_ldap,
AA> можно было через idmap делать. Для аутентификации использовался pam_winbind.

AA> Если нужна совместимость с Windows-машинами, можно расшарить эти профили
AA> еще и через самбу, правда фигня получится.

-- 
С уважением,
 Dank

Re: [Sysadmins] rouming profile на linux (ALM-2.4)

[Avramenko Andrew]

Dank Bagryantsev wrote:
> Здравствуйте.
> 
> Вы писали 5 апреля 2006 г., 9:39:31:
> 
> AA> Я реализовывал подобную схему.
> AA> У меня были и Windows и Linux клиентские компы.
> AA> При включение Linux-компьютеров автоматически монтировалась шара с 
> AA> линуксовыми профилями.
> 
> Т.е. монтировались шара со _всеми_ профилями до входа какого-либо
> пользователя? И потом, после входа пользователя, он просто работал со
> своей папкой по сети не залезая в чужие?
> Для расшаривания применялся NFS?
> 

Именно так. Монтировались все. Но ведь права на папки не зря придумали. 
В чужие даже при большом желание он залезть не может.

Именно этим обусловлен NFS, а не smbfs

Re: [Sysadmins] rouming profile на linux (ALM-2.4)

[Michael Shigorin]

On Tue, Apr 04, 2006 at 05:27:15PM +0300, Dank Bagryantsev wrote:
> Есть сеть из нескольких компьютеров linux-desktop и много
> пользователей ("гуляющих", т.е. не сидящих за постоянным компьютером),
> необходимо сделать единую/общую проверку паролей в сети и для каждого
> пользователя свой desktop, почту, www, сетевую home-папку (возможно
> частичное копирование профиля пользователя на локальную машину и
> последующей синхронизацией при выходе?)

Вот всё-таки может быть проще сгородить терминал-сервер
(того, что сейчас можно купить, с гигом памяти минимум на пять
пользователей хватит, а то и на десять), чем таскать барахло по
сети.  Обязательно чья-то добрая душа плюхнет туда авишку или
двести метров почты и синхронизироваться оно будет медленно и
печально, это когда синхронизация таки будет сделана...

> В качестве samba-сервера используется слабый компьютер, поэтому
> варианты с X-терминалами нежелательны... 

Файл-сервер и терминал-сервер -- разные.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] rouming profile на linux (ALM-2.4)

[Dank Bagryantsev]

Здравствуйте, Michael.

Вы писали 5 апреля 2006 г., 15:27:55:

>> Есть сеть из нескольких компьютеров linux-desktop и много
>> пользователей ("гуляющих", т.е. не сидящих за постоянным компьютером),
>> необходимо сделать единую/общую проверку паролей в сети и для каждого
>> пользователя свой desktop, почту, www, сетевую home-папку (возможно
>> частичное копирование профиля пользователя на локальную машину и
>> последующей синхронизацией при выходе?)

MS> Вот всё-таки может быть проще сгородить терминал-сервер
MS> (того, что сейчас можно купить, с гигом памяти минимум на пять
MS> пользователей хватит, а то и на десять), чем таскать барахло по
MS> сети.

Да понятно это... Терминал-сервер был бы хорошим вариантом...
НО: пользователей ~30-40 на 10 стационарных компьютеров и есть
приходящие с ноутбуками (win). Закупать технику в обозримом
будущем там не будут, а то что есть - 128-256 ОЗУ...

MS> Обязательно чья-то добрая душа плюхнет туда авишку или
MS> двести метров почты и синхронизироваться оно будет медленно и
MS> печально, это когда синхронизация таки будет сделана...

Отож... Там в основном почта будет...
Так, а какой почтовый клиент хранит письма в отдельных файлах
(Thunderbird?)? Может rsync и синхронизация по файлам? Хотя думаю
можно и через IMAP как-то это решить.

>> В качестве samba-сервера используется слабый компьютер, поэтому
>> варианты с X-терминалами нежелательны... 

MS> Файл-сервер и терминал-сервер -- разные.

-- 
С уважением,
 Dank

Re: [Sysadmins] rouming profile на linux (ALM-2.4)

[Michael Shigorin]

On Wed, Apr 05, 2006 at 04:03:11PM +0300, Dank Bagryantsev wrote:
> MS> Вот всё-таки может быть проще сгородить терминал-сервер
> MS> (того, что сейчас можно купить, с гигом памяти минимум на пять
> MS> пользователей хватит, а то и на десять), чем таскать барахло по
> MS> сети.
> Да понятно это... Терминал-сервер был бы хорошим вариантом...
> НО: пользователей ~30-40 на 10 стационарных компьютеров и есть
> приходящие с ноутбуками (win). Закупать технику в обозримом
> будущем там не будут, а то что есть - 128-256 ОЗУ...

Если их можно хотя бы по кучкам порастаскивать, то трое на 256 с
лёгкой средой (у нас icewm+rox... но это не без специфики)
работают чуть ли не веселей, чем каждый на 128.  Это если надо
openoffice/seamonkey.

KDE3.4+ на 128M само по себе жить будет, в т.ч. с konqueror,
но другим особенно не даст; особенно OOo.  В принципе, KOffice
полегче и текущий похож на живого даже, но поддерживать заметно
больше одной десктопной системы на Sisyphus не могу пожелать.

> MS> Обязательно чья-то добрая душа плюхнет туда авишку или
> MS> двести метров почты и синхронизироваться оно будет медленно и
> MS> печально, это когда синхронизация таки будет сделана...
> Отож... Там в основном почта будет...  Так, а какой почтовый
> клиент хранит письма в отдельных файлах (Thunderbird?)? Может
> rsync и синхронизация по файлам? Хотя думаю можно и через IMAP
> как-то это решить.

Исключительно через IMAP, если с нескольких мест.  Вместо rsync 
в таких случаях начинать думать всё равно лучше с NFS.

Сейчас эти десять-пятнадцать одновременных пользователей ложатся
без особых извращений на Athlon64 с гигом-другим и двумя дисками
в зеркале, который стоит до полутыщи баксов; головной боли со
схемой, о которой спрашиваете, будет как минимум в сравнимом
денежном выражении, если время что-то стоит.  IMHO.

Возможен чуточку другой вариант, если сами машинки живые --
память перебрасывается с наиболее дохлых по CPU/MB/HDD на
наиболее шустрые (где это получается), чтобы получалось не менее
256M; на такие можно сажать локальных пользователей.  Оставшиеся 
на ободранных по памяти хоть до 32M терминалах ходят на TS.

Если есть хоть одна машинка, в которую можно насовать памяти хотя
бы до полугига имеющимися (или разменянными на барахолке) и в
которой хотя бы порядка 2GHz процессор (Celeron считается, но
невесело) -- то это тоже вполне вариант.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/