Перемещаемые профили пользователей - как?

[vovansystems]

Администрирую windows серверы, никсы использую для решения специфических задач (веб-сервер, маршрутизация). Есть необходимость перевести сеть предприятия на никс (серверы и клиенты), но как реализовать некоторые полезные вещи к которым привыкли пользователи - непонятно. Было бы замечательно, если бы ктонить дал ссылку на книгу/руководство (можно по английски) как построить аналог виндовс домена на никсах.

Конкретно же спрошу так - как реализовать перемещаемые профили (т.е. логин через сеть, копирование домашней папки на винт) и перенаправление папок (это когда мои документы - ссылка на папку на сервере и при входе не копируются) в никсах?

[oper777]

Администрирую windows серверы, никсы использую для решения специфических задач (веб-сервер, маршрутизация). Есть необходимость перевести сеть предприятия на никс (серверы и клиенты), но как реализовать некоторые полезные вещи к которым привыкли пользователи - непонятно. Было бы замечательно, если бы ктонить дал ссылку на книгу/руководство (можно по английски) как построить аналог виндовс домена на никсах.

Достойный контроллер домена на Linux. (Подробный HowTo)
Аналоги Active Directory или централизованное управление сетью

Конкретно же спрошу так - как реализовать перемещаемые профили (т.е. логин через сеть, копирование домашней папки на винт) и перенаправление папок (это когда мои документы - ссылка на папку на сервере и при входе не копируются) в никсах?

Конкретно перемещаемые профили задаются в секции [Profiles] файла /etc/samba/smb.conf

[vovansystems]

Ознакомился с материалами по теме. Очень много информации, но к сожалению так и не нашёл решения, которое меня бы устраивало. Ближе всего то, что описано здесь http://help.ubuntu.ru/wiki/централизованное_управление_linux, но NIS вне зашифрованного тоннеля фактически равнозначен собственноручной передаче всем хэшей паролей и имён пользователей (а внутри тоннеля, если использовать тот же NFS, будет малая производительность.. если же НФС вынести за тоннель а в него маршрутизировать только трафик NIS, то это неэлегантно, а значит неправильно).

Насчёт перемещаемый профилей. Существует проблема в терминологии линукс-пользователей. Перемещаемый профиль windows (roaming profile) - это домашний каталог пользователя, который копируется на клиентский компьютер при логине в домен и копируется назад при выходе. Перенаправление папок - это когда "мои документы" - ведут на сервер (ссылка на \\server\home\user\docs например). Соответственно, при малейших проблемах с сетью перенаправленные папки оказываются недоступны, но поскольку остальная часть профиля не перенаправленная, а именно перемещаемая, пользователь может создавать файлы на рабочем столе и программы будут запускать (их настройки скопированы).

1.Насколько я понял по никсами так не происходит. Честно говоря, механизм работы самбы мне не ясен, в отличие от NIS, который просто копирует /etc/passwd с сервера (где уже прописаны все юзеры домена и хэши их паролей) на клиентов и юзер в приглашении gnome под тем же ubuntu desctop выбирает своё имя и логинится (я упростил). Возможно вы сможете пояснить как происходит аналогичная процедура при использовании samba (pdc)?

2. Вариант с NFS или ещё с каким-либо сервисом, который позволяет смонтировать файлы в сети меня устроит, если будет возможность кешировать файлы профиля, чтобы если сервер ушёл в перезагрузку или сеть отвалилась на пару минут компьютеры клиентов не повисали намертво до их перезагрузки (как в случае Calculate linux). Возможно ли таким образом настроить кеширование и как это сделать?

З.Ы. акцентирую внимание что мы обсуждаем тему гомогенной linux сети. т.е. контроллер домена linux и все клиенты тоже под linux.

[Ленивая Бестолочь]

вы хотите иметь аналог перемещаемых профилей в гомогенной linux сети?

уточняю потому, что у вас жосткая каша в сообщении и я не уверен уже :-)

[vovansystems]

вы хотите иметь аналог перемещаемых профилей в гомогенной linux сети?

да.

или, если это невозможно (или слишком сложно реализовать) аналог перенаправления папок, но с каким-либо неглючным кешированием, чтобы при кратковременном отказе сети/сервера пользователь мог продолжить работу (т.е. настройки программ в домашней папке и т.п. были доступны).

(каша в сообщении отражает кашу у меня в голове после прочтения долгих страниц мануалов и хавту на тему я постараюсь формулировать свои мысли и вопросы чётче и даже обязаюсь использовать запятую )

[BIgAndy]

аналог перенаправления папок, но с каким-либо неглючным кешированием, чтобы при кратковременном отказе сети/сервера пользователь мог продолжить работу (т.е. настройки программ в домашней папке и т.п. были доступны).

Просто примонтируете в ~ пользовтеля - и будет счастьяе
Если нужно кеширование, используйте KIO.
Но NIS/NIS2 наиболее перспективное направление... Можно, конечно pamMysql/pamPgsql прикрутить или Kerberos+ldap, но это суровое и затратное по начальным настройкам решение.

(а внутри тоннеля, если использовать тот же NFS, будет малая производительность..

\\
С какого перепоя? накладные расходы не будут более 3-5%.

[vovansystems]

Просто примонтируете в ~ пользовтеля - и будет счастьяе
Если нужно кеширование, используйте KIO.

KIO это KIO Slaves? Десктопные системы - ubuntu c gnome, а там как я понимаю GVFS или что-то такое. Возможно ли реализовать кеширование там и на каком уровне?

Но NIS/NIS2 наиболее перспективное направление... Можно, конечно pamMysql/pamPgsql прикрутить или Kerberos+ldap, но это суровое и затратное по начальным настройкам решение.

Мне тоже понравилось как работает NIS и в настройке показалось проще чем другие варианты.

С какого перепоя? накладные расходы не будут более 3-5%.

в какой именно реализации? я думал в сторону OpenVPN (но в виндах там было ограничение в 10 мегабит/сек на tun устройство) или IPSEC с сертификатами (но я не знаю какую нагрузку будет генерировать такая реализация). Как посоветуете сделать?

[KiWi]

но в виндах там было ограничение в 10 мегабит/сек на tun устройство

10 мб/с -- скорость, которую показывает винда в свойствах. Всегда.
Но качать при этом может и 100мб/с.

[Ленивая Бестолочь]

возможно вам стоит прикинуть, насколько планируются перебои в работе сети и сервера.
если не сильно намного, то посмотрите очень внимательно на nfs. у неё много разных интересных опций.
можно добиться, чтобы, например при пропадании сети клиентское приложение "дожидалось" когда сеть поднимется.

также есть такая штука, как cachefs (это используется вместе с nfs), однако не знаю, насколько оно живо.

вообще решение с хоумами пользователей на nfs - это классика.
ещё очень в тему туда autofs прилепить, а к нему параметры в том не нисе хранить.

я бы старался этот вариант довести до ума, а не пытаться скопировать виндовую технологию.

p.s. если у вас сервер не один, а, скажем два, то можно попробовать с помощью multipath-инга реализовать бесперебойную схему.

[vovansystems]

возможно вам стоит прикинуть, насколько планируются перебои в работе сети и сервера.
если не сильно намного, то посмотрите очень внимательно на nfs. у неё много разных интересных опций.
можно добиться, чтобы, например при пропадании сети клиентское приложение "дожидалось" когда сеть поднимется.

установил NFS+NIS. тестировал. монтировал по-разному (и hard и soft и разный размер блока), но если домашняя папка юзера с настройками программ лежит на NFS шаре и выключить свитч, то тот же firefox намертво виснет (начинает ожидать), пока сеть не поднимется снова (+ несколько секунд, т.к. там интервал таймера удваивается каждый раз после предыдущей попытки для повторного соединения), а потом "отвисает" и работает дальше нормально. а такой вариант неприемлем, т.к. пользователь не может работать.

также есть такая штука, как cachefs (это используется вместе с nfs), однако не знаю, насколько оно живо.

насколько я погуглил, оно не живо.
т.е. если организовать кеширование папки desctop и файлов/папок с настройками программ (которые начинаются с точки), то проблема была бы решена. но как это реализовать?

UPD нашёл демон cachefilesd - он по идее умеет кешировать, если верить одному товарисчу. буду пробовать

UPD2 наконец сконфигурировал правильно. из профиля размером 21 метр при нескольких входах/выходах cachefilesd накешировал только 4.4 мегабайта. причём открытый файл на рабочем столе в gedit, после пропадания сети зависает - точно также как и уже открытый firefox. таким образом он не подходит в качестве решения данной задачи. (или я неправильно его настроил, но что там может быть неправильно, если кеширование началось - непонятно) ещё варианты?

[vovansystems]

как вариант как раз скопировать виндошную схему - засунуть в скрипт автозапуска синхронизацию профиля через rsync, а "мои документы" уже подключать каждому как нфс-шару. при выходе синхронизацию назад.

[Bizdelnick]

А FS-Cache не пробовали?

[Ленивая Бестолочь]

А FS-Cache не пробовали?

а это не одно и то же?

p.s. про файрфокс, в котором не может работать пользователь, когда вы свич выключили это забавный пример ;-)
думаю он и без nfs в нём не сможет работать.

[vovansystems]

А FS-Cache не пробовали?

FS-Cache - это и есть cachefilesd


Что касается CacheFS, то про неё нашёл интересные материалы, но как я понимаю, её применение тоже не решит проблему. Т.е. если NFS север становится недоступным, то система войдёт в ступор. Кеширование же призвано сократить кольчество RPC вызовов/трффика.

p.s. про файрфокс, в котором не может работать пользователь, когда вы свич выключили это забавный пример ;-)
думаю он и без nfs в нём не сможет работать.

давайте представим что в организации 2 свитча (или даже 3) и маршрутизатор подключен не к тому свитчу, что и NFS/NIS сервер

[Ленивая Бестолочь]

ещё посмотрите, есть такая система AFS и реализация - openAFS.
там кэш хранится локально, на отдельном разделе. я, честно говоря, её сам не использовал и при беглом гуглении не нашел, что будет, если "выключить свич", но, очень не исключено, что будет то, что вы хотите :)
вот у гентушников про установку сервера неплохо написано: http://www.gentoo.org/doc/ru/openafs.xml
а вот тут есть под дебиан: http://www.debian-administration.org/articles/610

[sciko]

Вспомнилось, что давным-давно была такая ФС InterMezzo с такой фичей, что если ресурс неожиданно пропадал из сети приложение могло продолжать с ним работать.
Вот только сдохла InterMezzo довольно давно. Вроде её приемником стала Lustre, но не уверен, что нужная ТС фича осталась.

[sash-kan]

если ресурс неожиданно пропадал из сети приложение могло продолжать с ним работать

ого, libastral? умели же предки!

[sciko]

Всё проще: оно просто качивало на локальный комп всё с чем хотел работать юзер и, когда он заканчивал, синхронизировал с удалённым сервером.

[sash-kan]

с чем хотел работать юзер

ну точно libastral

[vovansystems]

начал разбираться с OpenAFS и процесс чоень затянулся. пока нет времени хотя бы заставить работать. но сразу хочу сказать что для работы этой сетевой файловой системы нужен kerberos, а если настраивать его, то есть смысл отказаться и от NIS..

сейчас пытаюсь как раз сэмулировать поведение виндовых профилей и всё почти получилось, за исключением того, что пользователи NIS не имеют никаких прав на клиенской машине (т.е. сдром, управление звуком, питанием и т.п.) - как их ими наделить?
(пользователи входят в группу users 100 в домене нис, нужные карты/таблицы на мой взгляд распространяются)

[Ленивая Бестолочь]

нужен kerberos, а если настраивать его, то есть смысл отказаться и от NIS..

ненене, керберос предназначен для авторизации, а в нис вы храните другую всякую инфу, шелл, хоум, гекос и т.п.

никаких прав на клиенской машине (т.е. сдром, управление звуком, питанием и т.п.) - как их ими наделить?

включить в соответствующие группы, или изменить права на машинах.
группы можно запихать в nis.

[drBatty]

с чем хотел работать юзер

ну точно libastral

наверное оно ВСЁ качало...

[vovansystems]

нужен kerberos, а если настраивать его, то есть смысл отказаться и от NIS..

ненене, керберос предназначен для авторизации, а в нис вы храните другую всякую инфу, шелл, хоум, гекос и т.п.

понимаю. я о том, что из-за специфики работы, весь трафик NIS всё равно надо туннелировать в зашифрованом виде, а внутри тоннеля будет ещё и керберос. ну это так - мысли вслух.

никаких прав на клиенской машине (т.е. сдром, управление звуком, питанием и т.п.) - как их ими наделить?

включить в соответствующие группы, или изменить права на машинах.
группы можно запихать в nis.

пробовал по-разному. и вручную вписывать в /etc/group на клиентах и через "auth optional pam_group.so" в /etc/pam.d/gdm
и добавление в /etc/security/group.conf что-то типа
"*;*;*;Al0000-2400; audio,floppy,video,cdrom"

но аплет регулировки грокости всё равно под юзером из NIS не пашет. ubuntu 10.10 c gnome.

[Ленивая Бестолочь]

напишите groups <юзер-из-nis>
типа groups petya
и поглядите, есть ли там группа audio (я не уверен, что в убунте именно audio нужно, но наверно)