gac*_*rux 5 networking linux desktop-management
我一直在考虑部署完全基于 Linux 的网络,包括服务器和台式机。
我熟悉 linux 服务器和 linux 桌面,但不熟悉向标准用户提供 linux 桌面。所以我期望遇到的问题是集中配置和用户管理、集中软件管理、安全策略等。
我想要的是任何必读的文档或书籍,或者来自社区的关于正在使用的软件或推荐发行版的建议,或者让我入门的其他信息。
Con*_*lls 11
最简单的配置是这样的:
服务器
构建一台或多台服务器:
一个“0 级”服务器,上面有一个 DNS 服务器,例如 BIND 和 NIS。NIS 是迄今为止最简单的 Unix/Linux 身份管理解决方案,从 Sun 工作站时代起就一直在使用。阅读有关 NIS 安全性的信息并确定这是否可以接受。在大多数情况下,它可以在防火墙后面使用,但不适用于面向公众的 Web 服务器。NIS 的优点是它非常简单,您可以合理地期望在几个小时内弄清楚如何设置它。管理也相当简单;看看NIS howto。
另一个为文件服务器运行 NFS 的服务器以及您需要的任何其他服务,例如邮件。此外,您可以将其用作 DNS 和 NIS 服务器的备份。除非您的负载很重,否则您可能不需要多于一台机器。单独的应用程序比它们的 Windows 应用程序更好地协同工作。
根据需要调整 NFS 服务器。SMTP 服务器(例如 postfix)和各种 IMAP 服务器和其他基础设施套件有多种选择。选择你觉得舒服的。
如果您有应用程序和数据库服务器,您可以在此服务器上安装轻负载的服务器。在更大的“通用”服务器上,您可以安装多个卷并将数据库卷放在它们自己的磁盘上。如果您使用的是 SAN,这将特别有吸引力。
在大多数情况下,您不需要每个应用程序一台服务器。Linux 应用程序倾向于在自己的空间中很好地运行,并且通常不会相互绊倒。通过避免不必要的服务器硬件扩散来节省管理和硬件成本。与使用更多小型服务器相比,使用较少的大型服务器可能会更好。
与 Windows 应用程序相比,虚拟机在这方面更胜一筹,因为 Windows 应用程序人们倾向于将每个应用程序部署在自己的服务器上。在 VM 上运行基础架构可能没有任何好处。这也保持简单。
如果您的应用程序负载较重,最好将其放在自己的服务器上,以免影响其他应用程序。这还允许您专门为该应用程序调整服务器。
工作站
使用安装在本地磁盘上的系统和安装在文件服务器上的 /home 来设置您的工作站。用户的主目录挂载在 NFS 服务器之外,并通过标准系统安全性进行保护。这种配置在历史上被称为“无数据”,它为您提供了一个单一的系统映像,可以跟随用户到任何没有本地状态的工作站。
如果有人需要大量本地数据存储,但要明确他们想要备份的任何内容都应复制到文件服务器,请在本地磁盘上保留一个暂存分区。
创建一个或多个 NFS 共享卷。当您的用户需要共享目录时,请创建这些目录并适当设置权限。
瞧:即时网络基础设施。这就像 linux 网络基础设施一样简单,而且这种类型的架构历来已扩展到整个大学校园。如果您需要更安全的身份验证,您可以使用 kerberos/LDAP 做一些事情,但这比 NIS 复杂得多。
旧版 Windows 互操作性
如果您的用户停留在 Windows 上,您有几个基本的解决方案:
终端服务:TS 或 citrix 客户端(例如 rdesktop 或 Linux citrix 客户端)可用于从终端服务器发布应用程序。
仿真:WINE/Crossover 或 VM 可用于在 Linux 桌面上运行 Windows 应用程序
替代:找到替代品(例如 OpenOffice for MS Office)并使用它。在许多情况下,您可以对 95% 的用户执行此操作,而让 5% 的绝对必须使用 Excel 的用户在 Windows 桌面上使用它。如果可能,请找到也可以在 Windows 上运行的替代品,以便将它们部署到需要混合架构的 Windows 桌面上。
Windows 桌面:使用 Samba,您可以发布用户的主目录,以便它们可以安装在 Windows 机器上。如果您有一类用户拥有无法模拟的旧版应用程序(可能是 Adobe Indesign 等内容创建应用程序),他们可以在本地运行 Windows 并使用 X 服务器(xming 或 Starnet 是最佳选择)来获得linux 应用程序。对此毫不留情——让用户证明他们的依赖,并制作一个商业案例来保留 Windows 桌面。
这里的关键是将 Windows 视为遗留系统。当且仅当没有可靠的应用程序替代品时,用户才能保留他们的 Windows 桌面 -并且在模拟中运行应用程序是不可接受的。 获得正确的网络互操作性允许您以分阶段的方式迁移用户,从而避免“大爆炸”部署的需要。
网络安全
根据需要为网络和 DMZ 添加防火墙。公共 SMTP 服务器可以外包给您的 ISP 或放置在 DMZ 中。但是,此区域中的服务器不应使用 NIS 进行身份验证。考虑将 OpenBSD 用于任何暴露于公共互联网的机器。如果您需要代理 Internet 连接,Squid 是规范的 Unix Web 代理软件。
“组策略”在 Linux 中没有直接等价物,因为当您集中安装用户目录时,该概念不相关。“组策略”不是必需的,而是基于 Windows 的单用户起源的 Windows 特定组合,其中用户身份和机器配置是一个非常重量级的结构。在 Windows 桌面之间迁移用户身份和权限是一件非常复杂的事情。
在 unix 派生系统上,所有每个用户的配置都作为文件存储在其主目录中。当用户登录他们的 .profile 时,会执行并在环境中显示每个用户的设置。如果他们设法破坏他们的环境,一个简单的脚本会将配置恢复到已知的默认值。单个非特权用户很难做一些破坏机器配置的事情。
有多种方法可以将更新推送到工作站。这些范围从系统自动从中央服务器下载更新的中央存储库(即桌面发行版现在执行此操作的默认方式)到更复杂的企业配置管理系统,例如 cfengine。