Бложики

В планах появилась линупсизация. Опыта по практическому, постоянному использованию Linux у меня не много (я имею ввиду – в качестве десктопной оси),  поэтому пришлось упорно гуглить. Гуглинг дал несколько вариантов, но не один стопроцентно не подходил. К счасть, хорошую наводку дал _21h_. Но..

Начнем с целей. Что нам нужно? Нам нужно заменить корпоративную инфраструктуру, построенную на Windows, на его Linux-аналоги. Притом такие аналоги, которые быстро разворачиваются и более-менее просты в освоении. Перечислим сервисы, необходимые и достаточные для корпоративной сети:

1) Единая авторизация.
В случае с Windows это, конечно же, служба каталогов Active Directory. Есть и другие решения, но в малых и средних предприятиях используется именно AD. Я хочу уехать в Екатеринбург и войти в ту же рабочую среду с тем же логином и паролем, что и в Томске.

2) Сетевые ресурсы (они же – шары и принтера).
Сетевыми папками и принтерами пользуются все. Можно это делать и на базе FTP сервисов, но это далеко не самое прозрачное и эффективное решение.

3) Почта.
Корпоративная почта – это наше всё. Для небольших организаций еще допустимо использовать сторонние службы типа Служб доменов Google, а вот крупные предпочитают держать свои почтовые сервера. Лучше всего это делается, конечно, на Microsoft Exchange. Основные функции – поддержка протокола IMAP, глобальный список адресов (GAL), календари, работа с пользователями службы каталогов (например, AD).

4) Система мгновенного обмена сообщениями (IM), желательно – с поддержкой аудио и видео
Для этих целей Microsoft предлагает MS Office Communications Server 2007 R2 (последняя версия) и MS Office Communicator 2007 R2. В нем есть IM и аудио конференции, текстовые/аудио/видео беседы между двумя пользователями. Так же есть удаленное управление/просмотр рабочего стола несколькими пользователями. Платный плагин от стороннего разработчика позволяет реализовывать видеоконференции. Разумеется, архивирование сообщений, модерация, кластеризация, блаблабла. И, опять-таки, работает с пользователями Active Directory.

5) Ограничение доступа к сетям интернет и интранет
За первое и второе в идеале отвечает Microsoft ISA 2006. В него встроен прокси и впн сервер с авторизацией в AD. Но т.к. для него нет нормальных плагинов для учета и тарификации трафика (в цивилизованных странах уже забыли что такое “оплата трафика по мегабайтам”, да) – использовать его в качестве прокси-сервиса затруднительно. Обычно это решается установкой Squid на слабенькую *nix машинку. А раз уж такая пьянка, то ISA для VPN – просто “обёртка” для встроенной в Windows Server службы RRA(S) – Routing and Remote Access (Service), служба маршрутизации и удаленного доступа – и вместо ISA можно использовать голый RRAS. Ну или сторонние решения. Если в организации используется оборудование Cisco, некоторые модели поддерживают свои VPN сервера и свои же клиента – Easy VPN Client, например. Ну, вернемся к нашим баранам.

Как же всё это добро заменить на Linux? Благодаря тому, что Linux не слишком популярен в корпоративных средах этой страны, многие замечательные решения остаются попросту не известными для windows-администраторов. Конечно, бесплатных 100% замен для того же MS Exchange я так и не нашел, но оно и не надо. Может быть настала пора вместо Exchange использовать два пакета, но предоставляющих более удобный интерфейс работы с почтой и отдельно – работы с календарями и назначенными заданиями?

Начнем с п.1 – службы каталогов. Для Linux есть реализация LDAP в виде OpenLDAP сервера. Для замены контроллера домена AD можно посмотреть Fedora Directory Server (в девичестве – Netscape Directory Server, он же 389 Directory Server), Sun Java System Directory Server и проч. Эти сервера позволяют включать в домен машины, а FDS – еще и реплицироваться с настоящими контроллерами AD на Windows. Насчет второго решения – не знаю.

Пункт 2й – сетевые шары – позволяет реализовать Samba. В общем-то, этого функционала мне достаточно.

Пункт третий – весьма важный. Т.к. я не очень разбирался в почтовых серверах, ни к какому конкретному решению у меня приязни нет.  Но доподлинно известно, что IMAP протокол поддерживают такие сервера как Courier, Cyrus, Dovecot. Что насчет глобального списка адресов – не знаю.

Пункт 4й может заменить джаббер. А в довесок к нему – клиент типа Pigin.

Для пятого пункта замен искать и не нужно – Squid и, например, OpenVPN. Вуаля.

Собирать все это в одну солянку, подготавливать дистрибутив, разбираться в конфигах и тонкостях – дело не самое простое, но необходимое. Однако все упирается в человеческий фактор. Будем честны – большинство тех, кто называет себя “администраторами Windows”, являются таковыми самую малость. Быстро обучить их не получится ну никак. Да и быстрого развертывания ожидать не стоит.

Поскольку в качестве десктопной оси я предполагал Ubuntu, то заглянул на #utr @RusNet поспрашивать – авось кто уже сталкивался с миграцией энтерпрайза. Г-н _21h_ мягко намекнул, что такая информация дается только в рамках договора с аутсорсинговой компанией, которая и будет заниматься миграцией за $$$, но направление, по доброте душевной, все-таки подсказал. И, о чудо, оно оказалось верным. Тыкнул же он меня в сторону Calculate Linux.  Процитирую хидер сайта:

Calculate Linux – это открытый проект по внедрению Linux повсеместно. Проект представляет свободный и легкий доступ ко всем возможностям Gentoo.

От заявления о повсеместном внедрении Linux я воспрял духом. От нахождения рядом в одном приложении слов “свободный и легкий” и “Gentoo” у меня неприятно сжался желудок.

Я не имею ничего против Gentoo. Но простым и удобным этот дистрибутив никак не назовешь. И уж точно не назовешь простой миграцию на него и приучение ходить в Генту обычных пользователей.

Но почитав документацию (которая, к слову, никак не структурирована и не полна) немного возрадовался – обещали практически золотые горы (с моей точки зрения) практически задарма.

Calculate Linux – это семейство дистрибутивов (если быть точным – 5), которое делится на 3 направления. Перечислим дистрибутивы.

1) Calculate Directory Server (CDS)
Вот он – наш контроллер домена на базе OpenLDAP. А так же включает Samba, Jabber (ejabberd), Proxy (Squid + Sarg для отчетов), антивирус (Clamd + Clamsmtpd), веб-сервер (apache 2.2), DNS (BIND) и DHCP сервер, почтовый сервер (Postfix + Dovecot), базу данных PostgreSQL. Может что-то еще. Но самое главное – все это настраивается автоматически и управляется через единую утилиту Calculate. С помощью одной и той же утилиты cl-useradd можно добавить пользователя в LDAP, Samba, Squid, почту. Да еще и реплицируется, используя rsync. Да еще и Windows-машины можно включать в домен.  Графических утилит и веб-интерфейса для администрирования, к сожалению, нет, но последнее (веб-интерфейс) есть в планах. На нем можно хранить профили пользователей, накатывать профили на рабочие станции CLD, делать бэкапы и много всякого такого. Шикарно.

2) Calculate Linux Desktop KDE (CLD)
Десктоп с графической оболочкой KDE и набором офисного софта. Можно хранить профили на сервере.

3) Сalculate Linux Desktop XFCE (CLDX)
То же самое, но с оболочкой XFCE. И XFCE и KDE рабочие столы в обоих дистрибутивах выглядят одинаково.

4) Calculate Linux Scratch (CLS)
Еще одна вкусность. Базовый дистрибутив для собственной сборки десктопной оси. Содержит минимальный набор пакетов, драйверов, библиотек, сорцы ядра и портежи. На его базе (с помощью всё той же утилиты) можно создать собственный десктопный образ, сделать из него ISO и зарезать на диск.

5) Calculate Linux Scratch GNOME (CLSG)
Тот же базовый дистрибутив, только содержит еще и урезанную версию Gnome (gnome-base/gnome-light).

В итоге, мы получаем нормальный дистрибутив Linux, с удобной установкой и настройкой сервисов (через утилиту calculate) и возможность удобного создания собственного образа. Вроде отвечает нашим задачам. Но, учитывая, что я еще изучаю дистрибутив, как обстоят дела на самом деле – вы узнаете после рекламной паузы.