LINUX.ORG.RU
ФорумAdmin

Посоветуйте системы для централизованного управления АРМ в сети Linux

 , , , ,


1

3

Доброго времени суток, уважаемые ЛОРовчане.
Нужна ваша помощь в решении довольно обширного вопроса.

Есть некая организация (с более 100 АРМ), есть сервера.
Структура следующая:

  • Отдел № 1
    • АРМ-1
    • АРМ-2
    • АРМ-3 и т.д.
  • Отдел № 2
    • АРМ-4
    • АРМ-5
    • АРМ-6 и т.д.
  • Отдел № 3
    • АРМ-7
    • АРМ-8
    • АРМ-9 и т.д.

Ну и так далее, принцип я думаю Вы поняли.
Так вот, посмотрев в Интернете готовые реализации, я наткнулась только на это, но оно через чур замудренное.

Вообще нужно, чтобы АРМ-ы:
1. Использовали авторизацию не локальную, а серверную (это что-то вроде контроллера домена). То есть, пароль можно было менять на сервере, а не на каждом АРМ по отдельности.
2. Все политики и группы также брались с сервера (по принципу Active Directory). Причем допустим для каждого ОТДЕЛА свои права.
3. ПО (нужные пакеты) устанавливались в соответствии с white-list на сервере (сложно объяснить на пальцах). То есть, если в неком white-list прописан определенный пакет, то он автоматически устанавливается на АРМ (в соответствии с назначенными правами и привилегиями).

Прошу Вас, посоветуйте пожалуйста, как и на чем можно это реализовать, хотя бы частично.
И не советуйте реализацию по типу «тонкий клиент-сервер», это не подойдет по аппаратным возможностям сервера.
Я сама не особо знаю о всех существующих системах и пакетах и не особо понимаю, как и на чем можно это все реализовать.

Ах да, чуть не забыла. Реализация на deb-подобной системе.
Спасибо Вам большое заранее за конструктивные и полезные советы!

1. Использовали авторизацию не локальную, а серверную (это что-то вроде контроллера домена). То есть, пароль можно было менять на сервере, а не на каждом АРМ по отдельности.

Поднимаешь ldap сервер и настраиваешь авторизацию на всех Linux через этот ldap или поднимаешь контроллер домена на SAMBA и вводишь Linux машины в домен.

Для удобства управления можешь поднять отдельно для себя виртуалку с Windows, ввести её в samba домен и установить пакет с оснастками для администрирования.

2. Все политики и группы также брались с сервера (по принципу Active Directory). Причем допустим для каждого ОТДЕЛА свои права.

В случае LDAP или домена и группы и политики будут браться с сервера. А какие политики тебе нужны? В Linux нет таких политик как в Active Directory, всё на группах.

3. ПО (нужные пакеты) устанавливались в соответствии с white-list на сервере (сложно объяснить на пальцах). То есть, если в неком white-list прописан определенный пакет, то он автоматически устанавливается на АРМ (в соответствии с назначенными правами и привилегиями).

Тут либо разбираться про установку софта через ssh удалённо, но более правильный вариант использования ansible. Нужно на все Linux установить клиент, а далее на сервере уже только писать нужные конфигурации по выполнению команд на нужных тебе Linux системах.

infomeh ★★ ()
Ответ на: комментарий от infomeh

В случае LDAP или домена и группы и политики будут браться с сервера. А какие политики тебе нужны? В Linux нет таких политик как в Active Directory, всё на группах.

Ну если просто объяснить, то допустим ОТДЕЛ-1 имеет права на установку и использования определенного списка ПО, а ОТДЕЛ-2 - нет. То есть ОТДЕЛ-2 не может установить и запустить ПО, предназначенное только для ОТДЕЛ-1. Ну как-то так я хотела сказать.
Да, и спасибо Вам большое за подробное разъяснение на чем все это можно развернуть. Будем пробовать.

anonymous ()
Ответ на: комментарий от infomeh

И эту всю радость надо считать в деньгах. И по факту коробочная WinSERV-Стандарт эдишон выйдет дешевле, чем пляски с бубнами вокруг изучения одного из dir.servers.

Про скорость ввода в эксплуатацию вообще лучше промолчать.

lor-refugee ()
Ответ на: комментарий от lor-refugee

Поставь samba и настрой на нём контроллер домена, админить можно его с виртуалки с Windows, если не хочется разбираться как в консоли работать.

Ну либо можно поставить https://old.calculate-linux.org/main/ru/cds

Там есть утилиты для администрирования в графике.

infomeh ★★ ()
Ответ на: комментарий от anonymous

Ну если просто объяснить, то допустим ОТДЕЛ-1 имеет права на установку и использования определенного списка ПО

Ты видимо не понимаешь как устроен Linux. Если говорить про установку ПО, то пользователь должен обладать правами суперпользователя в системе, а это неправильно.

использования определенного списка ПО

То ПО, что ты поставишь пользователю на его ПК он и будет использовать. Если нужно разграничить права, то тогда создавай группы на целевой машине, делай владельцем бинарников соответствующего ПО эту группу и только этой группе разрешай запускать бинарники. Т.е. только пользователи, входящие в группы смогут запускать соответствующее ПО.

Установку ПО, назначение групп и прочее тебе придётся делать через ansible, в нём пишешь модули и в них указываешь какое ПО, какие настройки для какой Linux машины делать.

Установку ПО как на контроллере домена в зависимости от учётной записи, которая авторизуется на локальной машине, сделать не получится, по крайней мере я не знаю такого способа.

То есть ОТДЕЛ-2 не может установить и запустить ПО, предназначенное только для ОТДЕЛ-1. Ну как-то так я хотела сказать.

Перечитай ещё раз первое моё сообщение в теме. Я тебе там всё расписал, установку софта и разграничение прав делай через ansible, ну либо можешь сам написать скрипты и выполнять их через ssh, но правильнее ansible.

Установку софта сам пользователь делать не должен, у него не должно быть админских прав на машине.

Читай первоё моё сообщение, картина того, как ты хочешь сделать и как можно сделать в реальности отличается. Некоторые твои хотелки делаются другим способом и на другом уровне, читай все мои ответы.

infomeh ★★ ()
Ответ на: комментарий от infomeh

Вы не правы. В шин говорят можно легко настроить запрет на запуск любых приложух кроме разрешенных. В онтопике надо приложить усилия для этого, вариантов больше одно но все-таки это сложнее.

Но это уже его личный софт и систему и других пользователей он не затронет.

Ман шифровальщики( да хоть rm -rf), вот тут недавно очередная новость пролетела. Смонтирован какой-то общий ресурс у юзера, он запустил «бесплатно-без-смс» и понеслась.

anc ★★★★★ ()
Ответ на: комментарий от infomeh

Поставь samba и настрой на нём контроллер домена, админить можно его с виртуалки с Windows

прям труЪ линукс вей.

советую ман права доступа к файлам, ман sed, man ssh, man bash — такое построить на баше — одно удовольствие

pihter ★★★★ ()
Ответ на: комментарий от Shadow

Кто так сказал? Вы кажется не поняли.
Есть юзер Петя ему разрешено запускать Word, Excel, Outlook, все остальное низя.
Запретить же юзеру запуск bash,perl,php,etc если они есть в системе не решить простой установкой noexec на хомяк пользователя.
Видите разницу?

anc ★★★★★ ()

Уважаемые господа, я понимаю как я устроила холивар по этому поводу.
Но смысл я поняла.

Ты видимо не понимаешь как устроен Linux. Если говорить про установку ПО, то пользователь должен обладать правами суперпользователя в системе, а это неправильно.

Вопрос не в том, чтобы запретить кому-то что-то ставить, тем более если компьютеры отрезаны от Интернета, то они итак ничего не поставят из репозитория, а лишь в том, чтобы решить вопрос с массовой установкой необходимого ПО на все машины сразу, а не чтобы ходить и каждому вручную ставить пакеты.

Цель всего этого - упрощение жизни администраторам, а не ограничение в работе пользователям.

Devilette ()
Ответ на: комментарий от Devilette

Наиболее подходящая под задачу связка - Puppet / Forman в связке с каким-то из ldap решений. На развертывание, настройку можно закладывать от месяца.

Ранее пользовался хорошим инструментом, не знаю жив ли сабж - «cluster ssh »

sts0 ()