我一直在考虑部署完全基于Linux的networking,包括服务器和台式机。
我熟悉linux服务器和linux桌面,而不是为标准用户提供linux桌面。 所以我期待的问题是集中configuration和用户pipe理,集中软件pipe理,安全策略等。
我想要的是任何必须阅读的文档或书籍,或来自社区的build议,使用的软件或推荐的发行版,或其他信息,让我开始。
最简单的configuration是这样的:
服务器
build立一个或多个服务器:
具有DNS服务器(如BIND和NIS)的“0级”服务器。 NIS是迄今为止Unix / Linux最简单的身份pipe理解决scheme,自Sun工作站开始使用。 阅读有关NIS安全性,并决定是否可以接受。 在大多数情况下,可以在防火墙后使用,但不适用于面向公众的Web服务器。 NIS的优势在于它简单易行,您可以合理地预计如何在几个小时内完成设置。 pipe理也相当简单; 看看NIS的howto。
另一台为文件服务器运行NFS的服务器,以及所需的任何其他服务(如邮件)。 另外,您可以将其用作DNS和NIS服务器的备份。 除非你有很重的负担,否则你可能不需要一台以上的机器。 个别的应用程序一起玩,比他们的窗口更好。
根据需要调整NFS服务器。 有几个SMTP服务器(如后缀)和各种IMAP服务器和其他基础设施套件的选项。 select一个你感到满意的。
如果您有应用程序和数据库服务器,则可以在此服务器上安装轻度加载的服务器。 在较大的“通用”服务器上,您可以装载多个卷,并将数据库卷放在自己的磁盘上。 如果您使用SAN,这是特别有吸引力的。
在大多数情况下,您不需要每个应用程序一个服务器的服务器。 Linux应用程序往往在自己的空间中很好地玩,通常不会彼此绊倒。 通过避免不必要的服务器硬件扩散来节省pipe理和硬件成本。 你可能比较小的大型服务器更好。
与Windows应用程序相比,虚拟机在这方面的胜利不大,因为人们倾向于在自己的服务器上部署每个应用程序。 在虚拟机上运行基础架构可能没有任何好处。 这也保持简单。
如果你有一个负载很重的应用程序,你最好把它放在自己的服务器上,这样不会影响其他的应用程序。 这也可以让你调整服务器专门为该应用程序。
工作站
设置安装在本地磁盘上的系统和安装在文件服务器上的/ home的工作站。 用户的主目录挂载在NFS服务器上,并通过标准的系统安全保护。 这种configuration在历史上被称为“无数据”,并为您提供一个系统映像,可以跟踪用户到任何没有本地状态的工作站。
如果您有任何需要大量本地数据存储的人,请在本地磁盘上留下暂存分区,但要清楚说明,应备份的任何内容都应该复制到文件服务器。
创build一个或多个NFS共享卷。 当你的用户需要共享目录时,在这些目录上进行适当的设置。
Voila:即时networking基础设施。 这就像linuxnetworking基础设施一样简单,这种架构在历史上已经扩展到整个大学校园。 如果你需要更安全的身份validation,你可以用Kerberos / LDAP来做一些事情,但是这比NIS复杂得多。
传统的Windows互操作性
你的用户被困在窗户,你有几个基本的解决scheme:
terminal服务:可以使用TS或citrix客户端(如rdesktop或Linux citrix客户端)从terminal服务器发布应用程序。
仿真:WINE / Crossover或VM可用于在Linux桌面上运行Windows应用程序
replace:找一个替代品(例如OpenOffice for MS Office)并使用它。 在很多情况下,你可以用95%的用户来完成这个任务,让绝对必须有Excel的5%的用户在Windows桌面上使用它。 如果可能的话,find可以在Windows上运行的替代品,以便将它们部署到需要混合体系结构的Windows桌面。
Windows桌面:使用Samba,您可以发布用户的主目录,以便它们可以安装在Windows机器上。 如果您有一类使用旧版应用程序且不适合模拟(可能是Adobe Indesign等内容创build应用程序)的用户,则可以在本地运行Windows,并使用X服务器(xming或Starnet是最佳select) Linux应用程序。 对此无情 – 让用户certificate自己的依赖,并做一个商业案例,以保持Windows桌面。
这里的关键是将Windows视为一个遗留系统。 当且仅当应用程序没有可信的替代品时,用户才能保持其Windows桌面 – 并且在仿真中运行应用程序是不可接受的。 让您的networking互操作性正确,可以让您以分阶段的方式迁移用户,从而避免了“大爆炸”部署的需要。
networking安全
根据需要为networking和DMZ添加防火墙。 公共SMTP服务器可以外包给您的ISP或放置在DMZ中。 但是,此区域中的服务器不应使用NIS进行身份validation。 考虑将OpenBSD用于暴露于公共互联网的任何机器。 鱿鱼是规范unixnetworking代理软件,如果你有需要代理你的互联网连接。
“组策略”在Linux中没有直接的等价物,因为当集中安装用户目录时,这个概念是不相关的。 “组策略”不是一个要求,而是基于Windows的单用户起源的Windows特定的混合,其中用户身份和机器configuration是非常重量级的结构。 在Windows桌面之间迁移用户身份和权限是非常复杂的事情。
在unix派生的系统上,所有的用户configuration都作为文件存储在主目录中。 当用户login他们的.profile执行和每个用户设置出现在环境中。 如果他们设法破坏他们的环境,一个简单的脚本会将configuration恢复到一个已知的默认值。 个人非特权用户很难做出损害机器configuration的事情。
有多种方式将更新推送到工作站。 这些系统的范围从中央存储库到系统自动从中央服务器下载更新(即桌面发行版现在执行此操作的默认方式)到更复杂的企业configurationpipe理系统(如cfengine)。
我也对别人的话有兴趣 同时,请注意,您要find的一个非常大的障碍就是您的用户。
他们会很勉强,支持将会被非常简单的要求所淹没。
从服务器开始。 使服务器端的转换对用户透明。
此外,请确保首先testing您的所有硬件和应用程序(如果您需要Wine或VMware等),以便在部署之前解决任何兼容性问题和问题。
你当然应该build立一个中央的configurationpipe理(如puppet或cfengine )
当你通过他们所有的configuration,你会有以下好处:
那么我会尝试,并采取一个快速和肮脏的刺这个。 根据可用的资源,查看Linuxterminal服务器项目可能会有所帮助。 这将自行处理集中configuration和用户pipe理。
如果这不是一个选项(例如,如果您使用了很多旧的硬件,并没有一个强大的服务器),我会看看Fedora目录项目 。 它不会为您提供集中configuration,但会为您提供用户pipe理中所需的一切。