URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 2334
[ Назад ]

Исходное сообщение
"Сеть полностью построена на базе Linux, реальность или вымысле?"

Отправлено Ice_of_Heart , 18-Май-10 17:08 
Добрый день соучастники.

Вопрос такой, рассматриваю варианты организации сети где будут присутствовать только Linux  машины(хотя возможность виндузятникам нужно оставить).

Для Desktop машин выбрал дистриб - Ubuntu.
Для сервера все же выбрал OpenSuse т.к. опыта работы намного больше с rpm-based

Что требуется реализовать:

1) DHCP (тут вопросов нет)
2) DNS (тут вопросов нет)
3) Сетевая авторизация, т.е. необходимо что бы с любого компьютера в сети пользователь мог зайти под своим логином/паролем.
4) Сетевые шары - зашел он под своим логином/паролем - ему примонтировались личные директории.
5) Права доступа классика
Пользователь входит в группу, которой назначены права доступа к тому или иному ресурсы + что бы можно было отдельно для пользователя добавлять какие то роли.
6) Принт-сервер - (CUPS) наверное...


Так вот не знаю как наилучшим образом сделать 3,4,5 пункты.

Если есть материал скиньте пжлст, или скажите где можно почитать про это (хорошие статейки), а так же интересуют примеры успешного внедрения.


Сеть от 10-40 компов.


Содержание

Сообщения в этом обсуждении
"Сеть полностью построена на базе Linux, реальность или вымыс..."
Отправлено Ice_of_Heart , 18-Май-10 17:18 
Интересуют только бесплатные решения и примеры их внедрения (отказоустойчивость).
+ еще небольшое пожелание... нужно чтобы пользователями можно было управлять через какой то интерфейс (создание,удаление, блокировка и т.д.) ибо через консоль умереть можно забыв что то сделать.

"Сеть полностью построена на базе Linux, реальность или вымыс..."
Отправлено alienrom , 18-Май-10 18:30 
>Интересуют только бесплатные решения и примеры их внедрения (отказоустойчивость).
>+ еще небольшое пожелание... нужно чтобы пользователями можно было управлять через какой
>то интерфейс (создание,удаление, блокировка и т.д.) ибо через консоль умереть можно
>забыв что то сделать.

а не лучше ли организовать эти пункты через LDAP  ?


"Сеть полностью построена на базе Linux, реальность или вымыс..."
Отправлено Zl0 , 18-Май-10 18:36 
Kerberos5 + ldap + Autofs

Все уже работает давно


"Сеть полностью построена на базе Linux, реальность или вымыс..."
Отправлено Ice.of.Heart , 18-Май-10 19:30 
>Kerberos5 + ldap + Autofs
>
>Все уже работает давно

Кербос + лдап знаком а вот про автофс пошел читать)


"Сеть полностью построена на базе Linux, реальность или вымыс..."
Отправлено начинающиий , 18-Май-10 23:20 
Добавлю пару слов из того с чем сталкивался.
>3) Сетевая авторизация, т.е. необходимо что бы с любого компьютера в сети
>пользователь мог зайти под своим логином/паролем.

а. NIS - самое простое, но сейчас редко используется из-за проблем с безопасностью
аа. LDAP (и аутентификация, и авторизация)
ааа. LDAP (авторизация) + Kerberos (аутентификация)
аааа. Теримальный сервер и X-терминалы

>4) Сетевые шары - зашел он под своим логином/паролем - ему примонтировались
>личные директории.

а. NFS.
аа. Samba.
>5) Права доступа классика
>Пользователь входит в группу, которой назначены права доступа к тому или иному
>ресурсы + что бы можно было отдельно для пользователя добавлять какие
>то роли.

а. Обычные юниксовые права. В большинстве случаев при грамматной планировке достаточно, но если необходимы различные права на файловый рессуср более чем двум группам (А-полный доступ, Б-чтение, В-нет доступа), то этого уже не достаточно и можно использовать -
аа. ACL.
>Сеть от 10-40 компов.

Вариант 1. опенлдап + самба (без функций контроллера домена).
недостатки: 1) при монтировании нужен пароль юзера.
2) необходимо хранить две копии пароля в лдапе, для входа в систему (юниксовый) и для доступа к шаре (вендовый).

Вариант 2. опенлдап (аутент и авториз) + нфс (+ самба для вендовых юзеров).
основной недостаток - слабая безопасность, так что имея рутовый доступ на любой комп (или загрузив его с флешки) нетрудно получить доступ к любому раздаваемому по нфс ресурсу.

Вариант 3. керберос (аутент) + опенлдап (аврориз) + нфс (gssapi) (+ самба для вендовых юзеров).
недостаток - сложновато получается для 40 компов. Зато единая база паролей и безопасность на уровне.

Вариант 4. Терминалки.
Недостаток один, но может оказаться решающим - не получится использовать ресурсоемкие графические программы. Но сколько преимуществ - простота реализации и администрирования, замена компов: только распокавать и подключить сетевой кабель.


"Сеть полностью построена на базе Linux, реальность или вымыс..."
Отправлено Zl0 , 19-Май-10 13:21 
>Вариант 3. керберос (аутент) + опенлдап (аврориз) + нфс (gssapi) (+ самба
>для вендовых юзеров).
>недостаток - сложновато получается для 40 компов. Зато единая база паролей и
>безопасность на уровне.

Сложновато  надежно, правильно autofs-ldap + nfs4


"Сеть полностью построена на базе Linux, реальность или вымыс..."
Отправлено armnic , 23-Июн-10 08:39 
>> Есть ещё вариант Calculate Linux (на базе Gentoo) с неплохой пооддержкой

на сервер CDS
у клиентов CLD, CLDG (если понадобиться можно и винду)


"Сеть полностью построена на базе Linux, реальность или вымыс..."
Отправлено прохожий. , 13-Июл-10 00:18 
>Вариант 4. Терминалки.
>Недостаток один, но может оказаться решающим - не получится использовать ресурсоемкие графические
>программы. Но сколько преимуществ - простота реализации и администрирования, замена компов:
>только распокавать и подключить сетевой кабель.

Можно запускать терминальный сервер в режиме Xvnc. А станции запускают X и в нем в полноэкранном режиме vncviewer.