Переход офиса на Linux (Как перевести весь офис на linux)

[atwooo]

Всем доброго вечера.
Озадачился вопросом полного перехода на linux.
Сразу возникло много вопросов о чем я и хотел спросить у опытного сообщества. Буду благодарен за советы и полезные ссылки.

Вот что мы имеем.
У нас есть 3 физических сервера.
Сервер 1 (Сервер виртуализации) - установлен класический вариант vmware (Основной шлюз уже на linux, Сервер 2008R2 - Домен контроллер,
Сервер 2008R2 - Файловый сервер, Сервер 2008R2 - Терминальный сервер для внешних пользователей для работы с 1С)
Сервер 2 (Linux - (Хостинг - тут по понятным причинам делать ничего не надо)
Сервер 3 (1C Сервер) - тут понятно что делать но пока нет возможности что то делать

Рабочие станции используют (Win 7x64) - Из программ мы использует slack, word, excel, thunderbird, chrome ну и 1с конечно же!
На нескольких станциях есть ККТ ATOL 30Ф

Какие вопросы я хочу решить в первую очередь.
1. Мне нужно заменить систему виртуализации (Должен быть аналог vmware желательно с вебмордой для и простая панель управления)
2. Нужен сервер для управления пользователями и рабочими станциями. Если это будет веб морда то будет отлично но не обязательно.
Переносимые профиля, ценрализованное управление пользователями, правами и группами.
3. Управление программами на рабочих столах - Централизованное обновление и установка ПО. - Некий аналог WSUS от Microsoft.


Скорее всего будет предложения на тему редхата и всего остального коммерческого добра - к сожалению все коммерческое не рассматривается.

[Bizdelnick]

1. Посмотрите proxmox или oVirt.
2. Сейчас, вроде, FreeIPA в моде.
3. Не понял, о чём речь.

[atwooo]

Спасибо. Буду изучать.
По третьему пункту немного дописал хотелку для большей ясности.

[Bizdelnick]

Не видел WSUS, но из средств управления конфигурациями могу посоветовать глянуть saltstack или ansible.

[azsx]

1. По поводу proxmox. Настал момент, когда я стал противником бездумной виртуализации, но было время когдя я пользовался proxmox и начинающему его не советую. Там используется lvm, весьма необычный подход к файловой системе. Плюс программа "сама в себе". Рухнет всё в прекрасный момент и чо делать будет не понятно.
Советую поставить дебиан с графическим окружением, сверху настроить kvm и установить virt-manager.
3.В консоли никс на стороне админа лучше рулить всеми компами. Всё автоматизируется скриптами. Уверен, что в итоге будет значительно понятнее и работоспособнее, чем использовать аналоги wsus.
---
У меня было два опыта переезда, в одном отказались, во втором случае переехали с матами (потом я их обслуживать перестал, они всё сломали и отказались).
Очень рекомендую, пока клиенты на винде -- заменить им office на libre office. Также архиватор сменить. Условно говоря Ваш руководитель будет потрясён потоком негатива от юзеров.
Затем надо проверить совместимость оборудования с nix.
По мне так -- отказаться от фишек управления локальной сетью с домена.
А уже потом всех переводить

[Bizdelnick]

Там используется lvm, весьма необычный подход к файловой системе.

Нормальный подход, и вовсе не к файловой системе, а к блочным устройствам.

Плюс программа "сама в себе". Рухнет всё в прекрасный момент и чо делать будет не понятно.

Что значит «сама в себе»? Глубоко в него не вникал, но в код глядел — там всё вполне понятно. И уж точно не сравнить с закрытой вмварью.

Советую поставить дебиан с графическим окружением, сверху настроить kvm и установить virt-manager.

Во-первых, человек просил веб-морду (хотя, конечно, с учётом возможности удалённого управления libvirt это может быть излишне, но тогда надо уточнять, что virt-manager ставится не на ту же машину, а на любую рабочую станцию), во-вторых, такое решение не масштабируется на несколько нод, что при использовании в организации со временем может потребоваться. Ну и virt-manager далеко не идеален: многие вещи сделать не позволяет (приходится всё равно использовать virsh), да и памятью течёт со страшной силой.

[azsx]

ТС, Вы просто прочитайте это:

но в код глядел

ну тупо времени у админа не было как следует код pure C проштудировать, так посмотрел немного, выводы сделал.
---
Bizdelnick, LVM -- это очень необычно и после ntfs и после ext(3/4). У меня proxmox падал трижды и два раза из-за проблем с lvm, потом я стёр его и поставил дебиан.
Я virt-manager ставил на ту же машину, где виртуалки были. Память не текла. Очень удобно и сетку в графике настроите и машины создадите, установите, и в мир придумаете как их выпустить. Есть vnc-web.
Насчёт (в lvm можно сделать с работающей ноды снапшот, не прерывая работу виртуалки сделать полную копию вирт. машины) -- проще на 15 минут выключить гостя и скопировать 100 гигабайт, чем на полночи убить гостя (работать толком не будет). В том числе можно настроить скриптами.
Насчёт консоли согласен, без неё никак.
Насчёт масштабирования -- сразу сдаюсь. Рискну погадать, что Bizdelnick масштабирование бы и на моём варианте настроил бы.
Читайте книжки, чо...

[SLEDopit]

LVM -- это очень необычно и после ntfs и после ext(3/4). У меня proxmox падал трижды и два раза из-за проблем с lvm, потом я стёр его и поставил дебиан.

LVM это очень удобно. И это уровнем выше, чем ntfs и extX. С помощью LVM вы можете динамически изменять размеры разделом (часто прямо на лету) и вам не нужно беспокоиться, что вот у вас появилось место в конце диска, а вы не можете его использовать. Ну и всякие плюшки в виде снапшотов появляются и т.д. И уже сверху LVM накатывается файловая система.
Если вы пытались использовать LVM вместо файловой системы, то, возможно, проблема в этом.

[Bizdelnick]

ну тупо времени у админа не было как следует код pure C проштудировать, так посмотрел немного, выводы сделал.

Какой ещё pure C? Там perl вообще-то. Да и не возникнет у админа потребности туда лезть, скорее всего, если он документацию читать умеет. Я туда заглядывал не потому что что-то не работало, а потому что хотелось странного, и интересовала возможность допиливания под свои нужды.

[Bizdelnick]

Я virt-manager ставил на ту же машину, где виртуалки были. Память не текла.

Это на ту, которая у Вас на кухне на холодильнике стоит? Ну я рад, что Вам так удобно работать. Мне неудобно, поэтому у меня на рабочей машине virt-manager подключается к нескольким серверам, помимо локалхоста. И если его оставить работать на пару недель, отжирает несколько гигов памяти.

Очень удобно и сетку в графике настроите и машины создадите, установите, и в мир придумаете как их выпустить.

А вот такую банальную вещь, как автозапуск виртуалки при загрузке системы, уже не настроите.

[azsx]

perl / C. Особого значения не имеет. Вот суть:

не возникнет у админа потребности туда лезть, скорее всего

---

которая у Вас на кухне на холодильнике стоит?

Нет, это был рабочий компьютер. Его "особенностью" было то, что винчестеры на нём ваще толком не отключались.

Мне неудобно

Вы сейчас используете proxmox? Сборку iso поставили или как программу настроили?

автозапуск виртуалки

[Bizdelnick]

Вы сейчас используете proxmox? Сборку iso поставили или как программу настроили?

Нет, не использую. Для наших задач оказалось эффективнее написать свой велосипед поверх libvirt. Как настраивал, когда пробовал, уже не помню.

Про автозапуск — удивлён, раньше этого там не было. Видимо, сравнительно недавно добавили.

Вообще спор совершенно бессмысленный. Нельзя сравнивать инструменты, разные по своему назначению. libvirt и управлялки ею, будь то virt-manager, virsh или ещё что, — инструменты низкоуровневые, не умеют рулить несколькими нодами, делать шаблоны виртуалок и т. п. Для простых случаев их более чем достаточно, но если возникает потребность управлять кластером или запускать типовые виртуалки, они не годятся. Рекомендованные мной proxmox и oVirt (работающий поверх libvirt, если что) — инструменты более высокоуровневые, позволяют управлять не только несколькими нодами, но и группами нод, например, расположенными в разных датацентрах, мигрировать виртуалки между нодами, чтобы, скажем, перезагрузить ноду без простоя виртуалок, делать виртуалки из шаблонов и многое другое. Так что выбор прост: для простых случаев — libvirt, для сложных или имеющих тенденцию к усложнению в перспективе (у меня сложилось впечатление, что у ТС как раз такой случай) — что-то более навороченное.

[azsx]

Видимо, сравнительно недавно добавили.

В наши годы время относительно. Лет 5 назад было.
зы
я также не понимаю о чём спор. Допустим сегодня ставим 1 хозяина на 5 гостей. А через месяц будет 10 хозяев в разных ДЦ с кучей виртуалок.
Тем более надо учиться вручную из консоли ими управлять. Запустить всё в графике, посмотреть что можно и нужно делать и писать в коноли.
Поверьте дилетанту -- proxmox это epic fail.

[Bizdelnick]

Поверьте дилетанту -- proxmox это epic fail.

Принципиально не верю дилетантам. ☺
Про proxmox, может быть, и поверил бы, ибо не так близко с ним знаком, но сопутствующее высказывание про LVM не позволяет.

[azsx]

Там используется lvm, весьма необычный подход к файловой системе.

Правильнее было написать:
Там используется lvm, весьма необычный подход к логическому разбиению разделов винчестера.
?

Принципиально не верю дилетантам.

Вы признаёте, что в написанном Вами участке кода могут быть логические ошибки? Или такого не бывает никогда?

[Bizdelnick]

Правильнее было написать:
Там используется lvm, весьма необычный подход к логическому разбиению разделов винчестера.
?

Правильно было бы почитать, как работает LVM, тогда ничего необычного, непонятного, странного и т. п. в нём не осталось бы.

Вы признаёте, что в написанном Вами участке кода могут быть логические ошибки? Или такого не бывает никогда?

Ошибки есть в любом коде (и не только коде). От квалификации автора зависит только их частота.

[atwooo]

1. Посмотрите proxmox или oVirt.
2. Сейчас, вроде, FreeIPA в моде.
3. Не понял, о чём речь.

Пощупал чуть чуть proxmox и решил остановиться на нем. Вполне годня и очень приятная штука.
Относительно FreeIPA тут тоже все прикольно но есть моменты которые я не понял как делать.
К примеру дает ли она возможность делать переносимые профили?
Или например как заставить пользовательскую машину понимать куда ей ходить за авторизацией...к примеру на виндовой структуре есть процедура где нужно машину ввести в домен... как это происходит с FreeIPA я не очень понял.
Если есть какие инструкции и мануалы, буду очень благодарен.

[Bizdelnick]

К примеру дает ли она возможность делать переносимые профили?

Вместо переносимых профилей обычно шарят домашние каталоги пользователей по NFS. К FreeIPA это прямого отношения не имеет.

Или например как заставить пользовательскую машину понимать куда ей ходить за авторизацией...к примеру на виндовой структуре есть процедура где нужно машину ввести в домен... как это происходит с FreeIPA я не очень понял.

Я написал, что FreeIPA нынче в моде, но не писал, что мне доводилось её настраивать. ☺
Почитайте тут, ничего очень уж специфичного для RH там быть не должно (IdM — это и есть FreeIPA).

[atwooo]

Разобрался. Огромное спасибо. Очень толковый мануал.
Уже все развернул уже получилось зайти и все ок!

Теперь другой вопрос.
Не получается запустить sudo команды от пользователя которого я создал в freeipa
Может есть у кого понимание как нужно давать пользователю разрешение на sudo?

[Bizdelnick]

Может есть у кого понимание как нужно давать пользователю разрешение на sudo?

Это прописывается в /etc/sudoers. Если речь о redhat-based системах, то там, кажется, по умолчанию права есть у группы wheel, а в debian-based — у группы sudo. Просто надо добавить пользователя в неё.

[enalesck]

Очень рекомендую, пока клиенты на винде -- заменить им office на libre office.

Libre тормозит в calc и недостаточно правильно открывает/создаёт doc/docx. Я перешел с либре/опен на wps office и рассматриваю onlyoffice (тоже неплохой).

[atwooo]

Может есть у кого понимание как нужно давать пользователю разрешение на sudo?

Это прописывается в /etc/sudoers. Если речь о redhat-based системах, то там, кажется, по умолчанию права есть у группы wheel, а в debian-based — у группы sudo. Просто надо добавить пользователя в неё.

Это я знаю. Но в рамках FreeIPA это как то по другому делается.

[Bizdelnick]

в рамках FreeIPA это как то по другому делается.

sudo работает не в рамках FreeIPA, а на локальной машине. Во FreeIPA можно только настроить членство в группах (я так думаю; ведь можно, да?).

[atwooo]

Если я правильно понимаю тут вопрос не в группах (да можно)
Там можно создать целую политику на sudo причем в политике можно указать кто и на каких хостах и может даже на каких группах хостов какие команды может выполнять через sudo.

Но к сожалению заставить работать это я не могу(