Linux for workgroups ?!

[ZanY]

Hoppas nu inte denna tråd spårar ur till datorkrigstråd, det är inte alls min mening...

 

Jag satt och klurade lite tillsammans med en kollega. Vi är bägge windowstekniker i grunden, så jag känner att vi behöver lite mer input. Därav denna tråd.

 

Att Linux (eller liknande *nix OS) är användbart i vissa tillämpningar är uppenbart. Specifika tjänster, speciellt inom nätverksområdet, brukar det oftast vara starkt på. Bra exempel är brandvägg, proxy, smtp-server osv. Här ser jag definitivt Linux starka sida och har en del erfarenhet av att jobba med det i dessa miljöer.

Nu börjar det även bli aktuellt med Linux på skrivborden. Själva användargränsnitten är det (inte längre) något fel på. Applikationerna har trillat in de senaste åren och det mesta man kan kräva av en arbetsplats finns numer i minst version 1.0.

 

Men... hur bygger man enkelt en infrastruktur baserat på Linux. Vilka produkter behövs för att få motsvarande funktionalitet man har i sin Windows-domän?

Självklart gäller det att hålla isär MS produkter med referensramarna. Det är lätt att halka in i tänket att MS är referens, vilket naturligtvis inte är fallet.

Jag undrar alltså till exempel hur man numer hanterar användardatabasen. NIS och NIS+ känns inte så jätte-häftigt, kan man sköta det med en LDAP-katalog?

Hur delar man filer och skrivare? Fungerar det bra med grupprättigheter och delegerat ansvar?

Användarnas profiler brukar ju sparas i hemkatalogen på Linux. Fungerar det bra? Finns det någon cachningsfunktionalitet eller behövs det inte?

Hur löser man utrullning av applikationer? Finns det något sätt att styra vad klienterna får göra på sin PC (motsvarande GPO)?

Om vi nu har användarna i en LDAP-katalog, finns det inbygt stöd att autentisiera mot den från MySQL, Apache, Squid och andra produkter man kan tänkas använda i sin infrastruktur.

 

Tanken är alltså att bygga en infrastruktur helt utan MS-produkter. Vad använder man då istället?

Nästan lika viktigt som vad man använder är hur man gör det. Att alla drifttekniker i miljön måste vara programmerare håller inte. Själv har jag svårt att inse hur svaret "-Skriv en liten modul för det bara..." skulle fungera för små till medelstora företag. Jag är alltså ute efter (mer eller mindre) paketerade standardlösningar

 

/Mn

 

[inlägget ändrat 2003-10-16 19:38:36 av ZanY]

[Bj0rN]

Lustigt, jag funderade själv i samma banor tidigare idag. Men i mitt fall tänkte jag mer på mitt egna nätverk hemma. Jag har samlat på mig en hel del datorer; 4 servrar, 2 workstations och en HTPC finns nu i mitt hem och det börjar kännas lite jobbigt att uppdatera lösenord på alla maskiner då jag byter det. (Jag måste ju ha samma lösenord på alla maskiner eftersom det är för jobbigt att komma ihåg olika för alla system.) Dessutom är det kanske inte så bra ur säkerhetssynpunkt...

 

Det första man tänker på är ju antingen NIS(+), Samba, eller Kerberos och vill man göra det lättast för en maskinpark med flera olika plattformar (som min) så ligger väl en domän på en sambaburk bäst till. Jag har själv inte gjort någonting med mina tankar eftersom det var först idag jag kom på att det borde vara smart att göra en sådan här konfiguration hemma, dock vet jag att det finns program för utrullning av programvara under *nix.

 

Ximian, som nyligen blev uppköpta av Novell har en produkt som heter Red Carpet som tydligen ska fungera bra för utrullning av programvaror över flera burkar i större nätverk. Jag har själv inte testat det för det ändamålet, men jag har en gång i tiden använt det till att hålla en Mandrakeburk uptodate, och det var riktigt smidigt. Jag har dock för mig att Red Carpet är ett system som bara hanterar RPM filer (rätta mig om jag har fel), och det kan ju vara lite olyckligt om man hellre använder sig av någon annan linux/BSD variant som inte kör RPM.

I och med köpet av Ximian så kan man ju även tänka sig att Novell vill slå sig in på just marknaden över användarhantering och liknande i *nix världen.

 

I övrigt går det ju precis som du säger att scripta utrullning av programvara. De flesta distributioner har ju även kompetenta uppdateringsprogram som ser till att maskinerna får de senaste säkerhetspatcharna, så den biten är ju löst.

 

Jag kommer nog själv gå på Samba spåret, att helt enkelt låta en Samba server agera NT domän och på så vis kunna logga in via den servern på både Windows maskiner (lägga in burkarna i Samba domänen), och Linux maskinerna (via PAM_SMB).

 

Finns det möjligen någon här på Eforum som har erfarenhet i det här området som ZanY beskriver?

 

--

Some say I am crazy.. but the Voices in my head disagree...

 

[ZanY]

Jag kommer nog själv gå på Samba spåret, att helt enkelt låta en Samba server agera NT domän och på så vis kunna logga in via den servern på både Windows maskiner (lägga in burkarna i Samba domänen), och Linux maskinerna (via PAM_SMB).

Visst är det en möjlig lösning. Samba är ganska bra på att prata med NT-domäner (har aldrig testat att låta den vara PDC dock)

Men, i mitt fall ville jag ju se om det går att lösa utan att ha Windows på skrivborden. Då verkar det vara en omväg att ha en NT-domän.

 

En inställning man ofta märket hos Linux-fanatiker är: "Titta, nu gör vi något nästan lika bra som MS".

Jag tänker då på projekt av typen OpenExchange och Samba. Här sitter man länge och väl och försöker bygga samma funktionalitet som någon redan har byggt (i detta fall MS). Sedan utbrister man "Kolla här! Vi kan nu göra nästan 80% av det Exchange kan".

Inte ens om produkten kunde göra precis det Exchange kan vore den lätt att sälja. Varför välja en produkt som försöker efterlikna en annan, då känns det naturligare att välja originalet. Att licensen är billigare (eller gratis) spelar inte så stor roll. Det får inte plats så många konsulttimmar i en Exchange-licens.

Nej, det behövs något annat som sälj-pitch. Lägg krutet på att göra egna bra produkter istället för att göra "killers" till MS-produker.

 

I och med köpet av Ximian så kan man ju även tänka sig att Novell vill slå sig in på just marknaden över användarhantering och liknande i *nix världen.

Det här är intressant. Det verkar som om Novell ska överge sitt Netware-OS och köra eDirectory på Linux-servrar istället. Men hur beter en Linux-klient i ett Novellnät, någon som har erfarenheter?!

 

/Mn

 

[Bj0rN]

Jag tänker då på projekt av typen OpenExchange och Samba. Här sitter man länge och väl och försöker bygga samma funktionalitet som någon redan har byggt (i detta fall MS). Sedan utbrister man "Kolla här! Vi kan nu göra nästan 80% av det Exchange kan".

Nja, jag håller nog inte med i ditt resonemang här. Samba utvecklades väl för att kunna mappa upp shares på Windows maskiner från *nix klienter/servrar. Inte för att uppnå 80% av funktionaliteten och säga "Titta, jag kan oxå".

 

I OpenExchange fallet tror jag att utvecklarna kör det hela för att få ett alternativ till Exchange, Exchange är ju trots allt en bra produkt som finns på väldigt många företag. JAg vet att jag själv inte skulle bli ledsen om det kom ett alternativ till Exchange som klarar samma saker, och kanske till och med blir bättre. Konkurrens är bara bra IMHO. Jag tror snarare att detta är ett sätt att få administratörer att kunna välja vilken plattform de vill för sina workgroup servrar.

 

Fast det var ju inte riktigt det här som tråden skulle handla om, jag väntar med spänning på fler synpunkter om bra sätt att lösa originalfrågan på.

 

--

Some say I am crazy.. but the Voices in my head disagree...

 

[johan pålsson]

Intressant frågeställning.

 

Jag skulle personligen satsat en slant på NDS (edirectory), det har funnits till Unix åtminstone 5-6 år och betraktas väl förmodligen som en mogen produkt.

 

Men, det kostar pengar och det kanske inte ingick i ekvationen ?

 

Vill man ha "gratis" går man förmodligen på Open Ldap och sätter sig därefter och läser en massa HOWTO:s, Ex:

 

http://www.bayour.com/LDAPv3-HOWTO.html

 

 

Vad det gäller applikationshantering har Novell en produkt som heter "Zenworks", den bör kunna hjälpa dig att leda dina användare "vänligt men bestämt" :-)

 

 

Om det blir populärt med homogena Linux-miljöer kommer vi rätt så fort att se alternativa produkter som löser ovanstående, det brukar ju ta ganska lång tid från att ett OS blir populärt till att de "polerade" kringprodukterna dyker upp (ta NT som exempel).

 

 

 

Mvh

 

/Johan

 

[ZanY]

Jag skulle personligen satsat en slant på NDS (edirectory), det har funnits till Unix åtminstone 5-6 år och betraktas väl förmodligen som en mogen produkt.

Intressant!

Linux-maskinerna litar på (och låter sig kontrolleras) av eDirectory alltså. Konstigt att man aldrig har sett eller hört om det.

Finns det mer info? (Är lite för fredagstrött för att planlöst surfa på novell.com)

 

/Mn

 

[johan pålsson]

Linux-maskinerna litar på (och låter sig kontrolleras) av eDirectory alltså

 

Det räcker nog inte med bara Edirectory, du måste nog komplettera med Zenworks för att uppnå det du kan med policys under Windows.

 

Däremot räcker det med Edirectory för kontohanteringen.

 

. Konstigt att man aldrig har sett eller hört om det

 

Det har varit en rätt så anonym produkt avsedd främst för större Unixinstallationer, Linuxversionen är nog rätt ny.

 

Det finns en utvärderingsversion på:

http://www.novell.com/products/edirectory/evaluation.html

 

Dokumentation här:

http://www.novell.com/documentation/lg/edir87/index.html

 

 

Men, tyvärr har jag själv aldrig kört Edirectory under Unix, det ser dock ut (i dokumentationen) som att man relativt enkelt kan komma igång om man är van NDS.

 

Har plockat ner utvärderingsversion för Linux, vore kul att skaka liv i de gamla NDS-kunskaperna :-)

 

 

/Johan

 

[johan pålsson]

Jag tänker då på projekt av typen OpenExchange och Samba. Här sitter man länge och väl och försöker bygga samma funktionalitet som någon redan har byggt (i detta fall MS). Sedan utbrister man "Kolla här! Vi kan nu göra nästan 80% av det Exchange kan".

 

Fast, Samba har ju varit bra i och med att man kunnat erbjuda fil och print för windowsklienter på "riktig" hårdvara :-)

Numera finns det ju X86-maskiner med acceptabel prestanda (särskilt dual) och bra tillförlitlighet men inte för några år sen.

 

Hursomhelst, både Samba och Open Exchane baseras ju på det faktum att Windows är det förhärskande klientoperativsystemet, dvs. att man anpassar serverprogramvaran till att likna något som windows/outlook direkt kan ansluta sig mot.

 

Personligen ser jag gärna att saker och ting är transparenta, dvs. att man enkelt kan ersätta något av ett visst märke med någon annat av ett annat märke.

 

Det kan ju exempelvis så att en leverantör börjar trassla eller till och med gå i konkurs, hur skönt är det inte då att kunna ersätta den programvaran utan att användarna märker något eller att man måste installera om massvis av klient-pc ?

 

Motsatsen till transparens är väl Novell Netware där man varit tvungen att anpassa klienten (mha. en klientprogramvara) för att kunna ansluta sig.

 

 

/Johan

 

 

[ZanY]

Det har varit en rätt så anonym produkt avsedd främst för större Unixinstallationer, Linuxversionen är nog rätt ny.

Om jag tolkar det hela rätt så är det endast eDirectory-servern som kan gå på Linux. Det jag funderar över är om Linux-klienter kan prata (och kontrolleras av) NDS ?!

(eller tolkade jag dokumnetationen fel?)

 

/Mn

 

[CCSE+]

Hejsan,

 

Utan att starta ett OS krig, så ser jag att det är enbart Windows människor som har svarat än så länge.

 

Unix har, sedan länge, innan Windows 1.0, haft nått som heter yellowpages. Detta är numera omdöpt till NIS och den varianten som du vill köra är NIS+, som har en del extra funktioner, men framför så har den support för kryptering överallt..

 

Sen har både Squid och Apache support för LDAP, MySQL vet jag inte, men har svårt att tro att den inte skulle ha det.

 

[Helen Bengtsson]

Hej!

 

Jag tror att han redan visste att NIS existerar. Jag har aldrig jobbat med NIS+, men vad jag läst är att ingen ändå använder det?!

 

Själv försöker jag få till en konfiguration där man har alla användare i en LDAP-katalog, de flesta tjänster har faktiskt LDAP-stöd, tex Samba, Apache, POP servrar (tex Courier), och framförallt pam-modulen i Linux. LDAP-servern kan också utnyttjas tex för addresslistor till NS messenger eller Outlook.

 

Ldap kan använda SSL för säker transport. Och, som ni säkert redan vet, Active Directory i Windows är en LDAP server!

 

Vad gäller användarnas hemkataloger tycker jag att det funkar bra med att ha dem på en NFS-server, och använder autofs för att montera den automatiskt. Då kan man också implementera en automatisk backup av användarnas filer. Vi använder både Samba och NFS hos oss eftersom vi har både Linux och Windows, och använder olika grupper (precis som i WIndows) för att kontrollera access till filer.

 

Det är svårt att helt undanhålla användarna root-lösenordet på deras lokala maskiner eftersom man lätt bootar maskinen till single-user mode och byter ut det.

 

Tyvärr måste jag säga att när man börjar göra konfigurationer som inte är helt standard så får man ofta räkna med att kompilera om kod, patcha mjukvara med nya moduler etc. Men å andra sidan hittar man för det mesta hjälp på groups.google.com.

 

Helen

 

 

[johan pålsson]

Unix har, sedan länge, innan Windows 1.0, haft nått som heter yellowpages. Detta är numera omdöpt till NIS och den varianten som du vill köra är NIS+, som har en del extra funktioner, men framför så har den support för kryptering överallt..

 

Men, NIS+ finns väl bara i klientversion för Linux ??

Och, hur vanligt är det överhuvudtaget med NIS i miljöer som INTE inkluderar en eller flera solarismaskiner ?

 

Förresten, om du läst på lite bättre hade du vetat att edirectory inte är windows ;-)

 

 

/Johan

 

 

[FH]

"Det är svårt att helt undanhålla användarna root-lösenordet på deras lokala maskiner eftersom man lätt bootar maskinen till single-user mode och byter ut det."

 

Det är inga problem att minska den risken betydligt med lösenordskyddad LILO och skyddad BIOS så man inte kan byta bootmedia.

 

Låser man sen fast/in lådorna lite snyggt så ska det mycket till för att man ska få problem just med detta.

 

För mer info om lösenord och LILO/Single user se:

 

http://lists.isb.sdnpk.org/pipermail/plug-list/2003-June/000552.html

 

 

 

 

[Bj0rN]

Utan att starta ett OS krig, så ser jag att det är enbart Windows människor som har svarat än så länge.

Nej.

 

--

Some say I am crazy.. but the Voices in my head disagree...

 

[ZanY]

Tack Helen för ett bra svar. Välkommen till eForum!

 

Själv försöker jag få till en konfiguration där man har alla användare i en LDAP-katalog, de flesta tjänster har faktiskt LDAP-stöd, tex Samba, Apache, POP servrar (tex Courier), och framförallt pam-modulen i Linux. LDAP-servern kan också utnyttjas tex för addresslistor till NS messenger eller Outlook.

Detta låter mycket intressant. Du har med andra ord förstått precis vad det är jag är ute efter.

En PAM-modul är en bra bit påväg, men som jag förstått det så är det endast autentisieringen den fixar. Jämför man med ett Active Directory så får användaren en Kerberos-biljett (Token) som sedan presenteras såfort man begär åtkomst till någon resurs. Antingen lokalt eller på nätverket. Gör PAM-modulen det, eller finns det andra sätt att implementera det? Vad jag är ute efter är alltså det gamla hederliga rollbaserade säkerhetstänket som man (jag är van vid från 'den andra sidan'.

Vi använder både Samba och NFS hos oss eftersom vi har både Linux och Windows, och använder olika grupper (precis som i WIndows) för att kontrollera access till filer.

Också intressant! Jag har vid några tillfällen försökt implementera Samba på ett 'bra' sätt, trots hjälp av diverse unix-gurus har det aldrig blivit bra.

Som jag förstått det ligger själva problemet i att Unix-världen inte har en lika utbyggd hantering av ACLs som Windows har. Det finns helt enkelt för få bit'ar att sätta rättigheter med. Sålänge man bara har Windowsklienter har vi lyckats låta Samba hantera rättigheterna helt och hållet, oberoende av vad NFS tycker och tror. Det fungerar så länge det endast är administratörer som har rätt att NFS-montera filsystemen. Men hur löser man det i en miljö utan Windows? Jag vill såklart ha åtminstonde en del av de möjligheter jag har i Windows när det gäller att sätta ACL'er på kataloger och filer.

 

Tyvärr måste jag säga att när man börjar göra konfigurationer som inte är helt standard...

Precis. Här ser åtminstonde jag en stor fördel för MS. Som driftstekniker behöver man 'bara' kunna AD utan och innan och sedan går det ganska fort att sätta sig in i de kundspecifika delarna. Här behöver Linux-världen bättra på sig rejält om man ska ha en chans bland kunder som inte har råd att utveckla själva. Komihåg att det går ganska många MS Licenser på 40 timmars anpassad utveckling, då är ändå inte driften inräknad.

 

/Mn

 

[zerblat]

Det finns stöd för ACL i nyare versioner av Linux (http://acl.bestbits.at), men svjv måste man patcha kärnan. Det blir bättre iom 2.6.

 

Du kan även använda Kerberos i Linux om du vill det. Ett alternativ till NFS/Samba är att använda AFS (http://www.openafs.org), ett riktigt distribuerat filsystem (även om det lär vara lite knepigt att installera; har inte gjort det själv).

 

[Helen Bengtsson]

En PAM-modul är en bra bit påväg, men som jag förstått det så är det endast autentisieringen den fixar. Jämför man med ett Active Directory så får användaren en Kerberos-biljett (Token) som sedan presenteras såfort man begär åtkomst till någon resurs. Antingen lokalt eller på nätverket. Gör PAM-modulen det, eller finns det andra sätt att implementera det?

 

PAM ska även kunna sköta authorization, men jag har inte testat det (än). Tex Directory Administrator (http://diradmin.open-it.org/) säger såhär om sitt stöd för authorization:

 

"Setting host-based access control policies (supported by PAM_LDAP)

Directory administrator supports the use of host records to allow or deny login to users based on hosts."

 

Men vad gäller filer så har jag inte sett något liknande utan antar att man får nöja sig med en ägare och en grupp. Kanske det "zerblat" skriver om kan vara något.

 

Sålänge man bara har Windowsklienter har vi lyckats låta Samba hantera rättigheterna helt och hållet, oberoende av vad NFS tycker och tror. Det fungerar så länge det endast är administratörer som har rätt att NFS-montera filsystemen. Men hur löser man det i en miljö utan Windows?

 

Om man har central styrning av användare (genom NIS eller LDAP) så bör rättigheter på filer fungera även med NFS. Det gäller dock att se till att man inte får en krock mellan uid och gid på lokala och nätverksanvändare, tex att man skapar en användare "localuser" som har uid=501: Om det finns en användare som exporteras genom tex NIS som heter "nisuser" men har samma uid, så kommer "localuser" kunna skriva och läsa "nisuser":s filer (NFS-monterade). (Rätta mig gärna om jag har fel.)

 

Om man använder automount för montering av de filsystem användarna behöver så har man inget behov av att tillåta mount manuellt. Automount (eller autofs som paketet väl kallas) monterar automatiskt en katalog när den behövs, tex för att användaren gör "ls <katalog>".

 

Helen

 

[Spray]

Det stämmer att eDirectory nu finns till Linux. Novell har köpt SUSE och släppt sin Beta för Linux Services som är ett första initiativ till att ge Linux mervärde med nuvarande Novell-produkter. De verkar kunna bli en av de starkaste på proffs-marknaden för Linux.

 

Jag provade några av tjänsterna i deras beta häromdagen och de verkar vara en god bit påväg redan. Jag installerade RedHat och sedan Ximian Desktop från deras site och därefter Linuxtjänsterna. Kanske inte riktigt rätt eftersom jag kör både desktop och Linux Services i samma installation men ändå...

 

Kolla och ladda ned betan på:

http://beta.novell.com/public.jsp

eller läs mer på:

http://www.novell.com/sv-se/linux/

 

Med Red Carpet från Ximian kan man hantera mjukvaruberoenden på ett bra sätt och den fri varianten fungerar fint. Behöver man hantera detta inom företaget och lägga på egna applikationer för Linux finns en kommersiell variant.

 

En riktig fullfjädrad applikationsserver för J2EE finns också i Novells Linux Services.

 

Det verkar som om de stöder två distributioner (SUSE och RedHat).

 

Ganska mycket av tjänsterna som jag behövt verkar ligga med här:

http://www.novell.com/linux/nterprise_linux_services.html