Linux Network Administration — Пляшем с бубном тру-шаманские танцы или личный опыт внедрения Samba на предприятии.

Большинство присутствующих на нашем замечательном ресурсе системных администраторов как минимум задумывались попробовать реализовать домен на правильной операционной системе или на её сестричке (BSD), наверняка есть и те, кто реализовал данное решение или напротив - полностью отказался. Здесь не очень уместно говорить о технической несостоятельности людей, отвечающих за сети на предприятии (если вдруг админ не справился с задачей в сабже), но однозначно стоит заметить, что очень и очень много зависит от специфики на производстве. Как и везде в IT, здесь необходимо смотреть на месте и прикидывать - стоит оно того, или не стоит.

Ну что это я все вокруг да около, давайте добавим немного конкретики... Итак, существует в прекрасном царстве предприятие. Оно ни большое и не очень маленькое. Всего 100 машин и с пол десятка серверов. Машины 99% работают на Windows XP и на 80% из них абсолютно одинаковая конфигурация (т.е. эти компьютеры универсальные, и любой из сотрудников может сесть за любой из компьютеров и не отказывать в себе ни в одной производственной радости). Все машины этого предприятия изначально находились в домене другой, большой и разухабистой конторы, и соответственно использовали сетевые ресурсы большого брата, пока в один прекрасный день их вежливо ни попросили закрыть дверь с другой стороны шлюза.

На машинах установлено уникальное ПО! Да да, именно то что вы подумали: написанное на коленке за 7 лет кучей разных программистов, капризное и вредное, норовящее постоянно зависнуть или вылететь, даже если сотрудник вдруг поведет мышку не в ту сторону. Но отказаться от него предприятие не в силах, ибо задачи очень специфичны а производственная схема невероятно сложна и требует не только качественного продукта, но и сложной системы контроля этого самого качества с сопутствующей переработкой довольно значительного количества статистической информации. К моему счастью, это ПО не зависит от домена, что несомненно сэкономило мне значительное количество времени и нервов.

Почему Samba? Все очень просто - не дали денег на Windows Server, и не дадут в ближайшем будущем точно. А пиратить на предприятии - мне свобода дороже (тачки на Windows XP честная лицензия если что). Кстати, ни в коем случае не думайте, что Samba 3.5 в полной мере способна заменить полноценный Active Directory Server - нужно быть либо любителем черного юмора, либо ничего не знать про AD, что бы так говорить(заметьте, что речь идет именно об Samba 3.5). И все же Samba - это уже что-то, чем совсем ничего.

Основная причина, по которой мне был необходим домен - возможность централизованного управления учётными записями пользователей, а также разграничение доступа к сетевым ресурсам (включая выход в интернет). Знаете, Samba с этими задачами прекрасно справляется.

Давайте я расскажу, как это выглядит у меня. На Samba поднят первичный контроллер домена уровня WindowsNT, для кошерного администрирования которого установлен и настроен Webmin. Webmin - это такая удобная веб-морда к серверу со всякими интересными плюшками. Собственно через нее можно управлять пользователями(в том числе и самбы), смотреть загруженность сервера, расшаривать сетевые каталоги и даже формировать правила для iptables и делать ещё кучу всяких обыденных штук не прибегая к помощи putty. Соответственно все машины входят в домен и пользователи могут логиниться в систему с любого рабочего места. Каждый пользователь имеет свой личный каталог на сервере, а также доступ к общедоступному сетевому диску. Помимо этого имеется еще пара файлопомоек на основе Unix-like систем, которые так же входят в домен. Насколько я знаю, webmin использует пакет smbtools для работы с доменными учетными записями, что не может не радовать.

Доступ в интернет предоставляется через прокси, построенном на связке Squid+SAMS c NTLM-авторизацией. Это значит, что я могу управлять доступом на основе доменных учётных записей и вести подробную статистику по каждому пользователю. SAMS предоставляет достаточно большое количество возможностей для ограничения доступа к определённым сайтам, назначение квот и нарезки скорости (последним я бы увлекаться не рекомендовал). SAMS имеет web-интерфейс и умеет строить графики и даже формировать няшные отчеты в PDF для вашего начальства. Но тут есть один большой недостаток: совсем недавно стало известно, что разработчики прекратили работы над SAMS и передают проект в руки сообщества, которое к сожалению кажется так и не отыщится.

Программное обеспечение по большей части своей самописанное, и как правило его обновление производится простым копированием сверху. Тем не менее у нас очень широко используется OpenOffice и LibreOffice, которые прекрасно устанавливается через msexec. Поэтому масштабное обновление ПО или установка оного с нуля в автоматическом режиме производится посредством PsTools и паре самописанных батников (здесь уже кто на что горазд, хочется - ставь msi, хочется - прописывай значения в реестр через reg-файл, это уже не важно, главное - пишешь один раз, а ставится оно на 70-100 машин уже само). Собственно вот так и живем.

Что со всем этим не так:
1. Не могу придумать способ, как управлять локальными политиками на уровне всего домена без непосредственного редактирования реестра. Если необходимо внести какие-либо изменения, приходится обходить все компьютеры и вносить изменения вручную.
2. Пока не получилось настроить нормальную синхронизацию времени между контроллером и рабочими станциями, в результате время местами разница на 2-3 минуты, что ни есть хорошо (чтение манов и гуглохождение в самом разгаре).
3. Для установки и обновления ПО нужно следить, что бы все машины были включены, что частенько обламывает получить полный кайф от своей крутости, ибо приходится поднимать пятую точку и делать предварительный обход.
4. Значительно более высокий порог вхождения, чем при использовании AD. Читать придется много, экспериментировать ещё больше.


Достоинства:
1. Халява. Действительно, помимо старого железа и трудочасов админа, больше не было вложено ни копейки. Впрочем, тут ещё надо посчитать, сколько они сэкономили. Правда с финансированием тут ситуация такая, что лучше делать потихоньку и на бесплатном ПО, чем работать ещё в 4 раза больше и надеятся, что тебе таки выделят деньги на некоторый необходимый софт.
2. Низкое потребление ресурсов - контроллер домена кушает 400мб, прокси - 170мб, шары и того меньше.
3. Отличный повод покапаться в недрах Windows машин и разобраться с множеством интересных проблем, которые несомненно в будущем облегчат вам жизнь..
4. Если еще немного почитать маны, то можно поднять домен с использованием OpenLDAP, что дает возможность прикрутить к домену еще и почту так же за бесплатно.
5. Повышенное ЧСВ от использования тру-софта.

На основании вышесказанного, можно сделать вывод, что если не придераться, то Samba вполне подойдет для небольших сетей (порядка 100 машин). При невозможности использовать MS AD, это является очень даже серьезным подспорьем в боевых буднях сисадмина и поможет сэкономить значительное количество времени, нежели вы попытаетесь обойтись совсем без домена.

Собственно вот и все, что касается моего небольшого опыта использования Samba на предприятии. За 3 месяца, пока эта штука у меня работает, я вполне доволен. Стабильно, дешево и сердито. Аж душа радуется =).

PS Если надумаете разворачивать домен на Samba, не забудьте развернуть вместе с первичным контроллером, ещё и вторичный.

PSS кто-нибудь уже смотрел Samba 4?

1

1320118622.409    677 10.xx.xx.xx TCP_MISS/200 189444 GET http://surgut-oxrana.ru/view/images/on_pages/fasad.png DOMAIN.LOCAL+ivanov-ig DIRECT/217.112.35.50 image/png

1

net time \\domain /set /yes