нужен совет по выбору созданию центрального сервера и интернет-шлюза
Сразу оговорюсь - я совсем недавно взялся за Linux, поэтому прошу (по возможности) дать более-менее подробные разъяснения по моему вопросу... Любым советам, так или иначе касающимся этой темы буду всячески рад.
Задача (минимальная) стоит такая - создать на базе генту центральный сервер + интернет-шлюз (c одним выходом в интернет) для сети небольшого (около 10 windows машин) предприятия. На базе windows я решал подобные задачи используя связку windows server + active directory + kerio winroute firewall, функциональность мне вполне устраивала. Попытаюсь разъяснить, что конкретно мне хотелось бы иметь:
Масштабируемость решения. То есть на первом этапе планируется реализовать только ограниченную функциональность сервера (DHCP сервер + DNS форвардер, user-specific internet access management (по-русски не знаю как это правильно сказать: маршрутизация, web-фильтрация, фильтрация по протоколам, мониторинг доступа в интернет/статистика по трафику, transparent прокси, поддержка NTLM-аутентификации через браузеры, bandwidth limiter) то есть стандартный набор..
Следующим этапом должно быть "введение в строй" сервисов почты и web, антивируса, резервного сервера, файлового и принт-сервера, 1C, а также организация VPN
Ну и в дальнейшем постепенный переход рабочих станций (если это будет возможным) с windows на linux
Хотелось бы сразу выбирать ПО с учетом и первоначальных и планируемых задач.
Заранее благодарю всех, кто сочтет возможным потратить время на полезные советы.
- Для комментирования войдите или зарегистрируйтесь
как ни крути, а железки нужны
как ни крути, а железки нужны 2 штуки
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
ну в будущем так и
ну в будущем так и предполагается что не менее 2 железок. А для сервера и интернет-шлюза я так полагал и одной хватит.. или я неправ? Можно поподробнее?
1Ц на интернет шлюзе ? О_О
1Ц на интернет шлюзе ? О_О
ну держать на 1 машине
я проблем не вижу.
разве что зачем вам это ?
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Цитата: 1Ц на интернет шлюзе
ну это так же как и файл/принт сервер ессно и подразумевалось на второй машине..
зачем поддержка NTLM-аутентификации через браузеры? а как вообще автоматическая аутентификация должна производиться с windows машин?
ну замечательно, может подскажете с чего начать построение сервера?
ну замечательно, может
С писания детального ТЗ, естественно.схема сети, полномочия юзеров , разграничение прав, раздача ИП, политика паролей .........
по софту что написали внизу, не читал, но вариантов не много
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
маршрутизация - iproute2,
маршрутизация - iproute2, netfilter(iptables)
web-фильтрация - squid, если сильно попотеть то и iptables поможет, но вариант прозрачного прокси предпочтительней
фильтрация по протоколам - squid(частично), iptables(layer 7 maybe)
мониторинг доступа в интернет/статистика по трафику - squid, iptables ulog
transparent прокси - squid
поддержка NTLM-аутентификации через браузеры - squid + samba_winbind
bandwidth limiter - squid, iproute2(ip qdisc)
С этого и начинайте, всего 2 пакета.
на тему остального:
web - apache, nginx, lighthttpd... и еще вагон
почта - postfix/sendmail(постфикс проще настраивается, но не менее функционален), dovecot, squirelmail(веб-морда)
антивирус - тут выбор прост: бесплатный clam, 90% поприетарных(nod, kasperskiy, avast...)
файл-сервер - samba, nfs, proftp
принтсервер - cups(будьте внимательнее с выбором оборудования)
VPN - OpenVPN ,PoPToP(pptpd), racoon
В принципе весь этот гамуз можно держать на одной машине. Единственное надо разобраться с фаерволом(iptables).
С 1С вопрос упирается в версию(7, 8) и тип(файловая, база данных): в зависимости от условий можно продолжать разговор.
С уважением.
В принципе весь этот гамуз
В принципе и детей можно делать пальцем, но не нужно - результат может огорчить
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
аргументы в студию.
аргументы в студию.
Вопрос 1С и баз данных не трогаем.
С уважением.
Kappac написал(а): аргументы
Элементарно - надо добавить дисков на файл-сервер, а гасится ВСЕ.
И т.д. и т.п...
допустим диски есть. Что
допустим диски есть. Что значит "гасится ВСЕ"?
С уважением.
Kappac написал(а): допустим
А подключать на ходу будете? :)
ну насчет файлового сервера
ну насчет файлового сервера могу сказать одно - из опыта моего знаю несколько причин, по которым он не должен быть на той же машине, где находятся остальные службы. Одна из них это конечно замена, другая связана с неравномерностью и величиной загрузки ФС, которая может (и влияет) на производительность остальных компонентов.. ну и наконец совершенно другие требования к оборудованию.. все это верно и для небольшой организации.
Если речь идет о файловом
Если речь идет о файловом сервере с высокой нагрузкой, то как минимум использование отдельных дисков с использованием грамотно подобранных файловых систем. В идеале, если требуется отказоустойчивость и заменяемость, пользоваться устройствами класса Dell MD 1000. Ничто не мешает держать самбу на одной машине со сквидой и iptables, достаточно вынести на отдельные диски данные.
С уважением.
согласен, однако я вел речь о
согласен, однако я вел речь о небольшой организации и о серверах собранных по большей части из обычного железа (вопрос финансов, конечно же). Я отмечал именно узкие места, на которые стоит потратить деньги.
Любая железка в системном
Любая железка в системном блоке узкое место - дефакто! На сегодняшний день на любые деньги можно найти внешнее хранилище, которое сделает хранение безопасней.
С уважением.
ну тут не соглашусь. если я
ну тут не соглашусь. если я вижу, что сервер никогда не использует, к примеру, 2Гб оперативки, то где здесь узкое место? Или например узким местом может быть сетевой интерфейс и нужно использовать link aggregation. Я имел в виду что мо моему опыту и в небольшой, подчеркиваю, организации, центральный сервер + файрвол использует сущие копейки ресурсов по сравнению с тем, когда с файловым сервером идет интенсивный обмен данными.
очень благодарен за подробный
очень благодарен за подробный ответ, но есть еще вопрос - подскажите хотя бы название технологий/продуктов, сходных по функционалу с active directory - я имею в виду централизованное управление пользователями/группами, аутентификацией, безопасностью и всем таким прочим..
АД в Линухе нет- но можно
АД в Линухе нет- но можно собрать подобие такой солянки дла __*nix__ машин.
Для винды пока все в зачаточном состоянии, в гентоо все еще в более зачаточном состоянии, чем в общем по дистрам *nix.
389+Kerberos+freeipa(+обвязка) = одно из немногих __безплатных_- решений, работающее сразу и с Лин , и с Вин машинами.
По слухам, я вроде бы единственный чел (в рунете), кто пытается пилить все это в гентоо
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Я пилил подобное, но немного
Я пилил подобное, но немного в другой связке: samba+kerberos+openldap. Работает идеально. В документации к самбе 3.4 речь шла о group policy и домене уровня 2003. Эту тему не проверял, но думаю, что вряд ли обманывают.
С уважением.
Уважаемый, вы разницу
Уважаемый, вы разницу понимаете ?
Имхо, нет
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Разницу чего с чем?
Вообще-то вопрос горячей замены даже не обсуждался, для файловой помойки - умолчание.
Моя практика подсказывает, что через 2 года жутко тяжело найти винты к масивам сервера, внешние хранилища выигрывают сроком поддержки.
З.Ы.
Можно еще не согласится из-за цены. Но тут надо смотреть на объемы и важность хранящихся данных.
З.З.Ы.
Объем моих ежедневно важных данных - 3.5 Тб(документы, базы данных, бекапы всего что есть в организации).
С уважением.
В репах Calculate`a есть
В репах Calculate`a есть отличный набор скриптов\утилит для обслуживание\разворачивания доменов на базе openldap, samba.
С уважением.
что такое домен, особенно на
что такое домен, особенно на базе
?
П.С Искренне не понимаю
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Домен в традициях АД. Я в
Домен в традициях АД. Я в домен под управлением openldap + samba ставил MS EXchange.
С уважением.
я упоминал домен и active
я упоминал домен и active directory скорее как централизованную модель хранения и управления учетными данными и правами в противоположность workgroups, оставляя за рамками иерархию и прочие подобные аспекты.. еще раз вернусь к тому, что мне действительно необходимо сразу и на ближайшее будущее - это:
1) централизованное хранение и управление пользователями и группами, которое может быть использовано всеми компонентами файрвола (то есть учет, фильтрация, маршрутизация итд на per-user/group основе) и, например, samb'ой как сетевой файловой системой - это, получается, задача openldap?
2) DNS/DHCP для внутренних машин и DNS-forwarder я так полагаю может работать и "само по себе"?
3) аутентификация в гетерогенной среде (подразумевается, что сервер(ы) будут только Linux, а рабочие станции - и Linux и Windows)
4) возможность развертывания на втором сервере аналога "резервного контроллера"
так что посоветуете использовать?
Все что Вы перечислили есть в
Все что Вы перечислили есть в связке самбы и опенлдап! Если Вы помните архитектуру Виндовых доменов, то там есть Schema Master Role и ЛДАП-сервер, все что надо на линуксе - это схемы! Схемы есть для всех перечисленных Вами задач.
Ответы:
1. ОпенЛДАП хранит в себе всю информацию о пользователях и службах, так же делает и ЛДАП-сервер Майкрософт. Самба выступает в роли домен-контролера.
2. Есть возможность реализовать DHCP/DNS частью домена(в лдап), как это сделано у Майкрософт:
equery u bind
- - ldap : Adds LDAP support (Lightweight Directory Access Protocol)
3. Аутентификация работает и в линукс и в виндоус, керберос обеспечит аутентификацию куда угодно, Виндоус-сервера поступают так же.
4. ОпенЛДАП имеют прекрасную поддержку синхронизации, позволяет строить леса, деревья...
Используйте OpenLDAP, Samba и набор скриптов от calculate.
Единственный минус, все графические тулзы для работы с доменом в линуксе, мягко говоря, не очень.
З.Ы. Документация по приведенным ссылкам отменная. Во всем остальном поможет гугл и форум..
З.З.Ы.
Интересные факты:
Windows - POSIX-совместимая ОС
Запросы в ЛДАП от майкрософт и в любой другой лдап сервер(ровно как и основные понятия) идентичны: Стандарт.
С уважением.
огромное спасибо, с этого и
огромное спасибо, с этого и начну. Единственное, что осталось выяснить - что из "файрволльного" набора будет работать с openldap? Это немаловажный момент, поскольку первым реализуемым функционалом планируется быть как раз таки интернет-шлюз+файрволл
Что, если не секрет вы хотите
Что, если не секрет, вы хотите с фаерволом реализовать?
С уважением.
Имхо, товарисч думает что
Имхо, товарисч думает что керио или ISA - это файер.Наверняка хочет DIP на L7 и тягание юзеров из лдапа и пассвордов из кербероса для открытия доступа :)
В линухе это не задача файера - файер заточен на L3 , неплохо умеет L2 (в случае езернета) и L4 , а остальное , как и положено, отдано в юзерспейс всяким проксям, ибо нефик тащить в ядро всякий мусор.
Приблуды конечно были - в виде обвязки скриптами на перле, но если так неймется , то радиус как раз для этого и придуман.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
что хочу реализовать? ну
что хочу реализовать? ну во-первых, как я уже сказал, это transparent proxy, фильтрация (по протоколам, web фильтрация), учет и отчеты по использованию трафика (по протоколам и по сайтам), bandwidth limiter. все это ессно по пользователям/группам. Если я вдруг неграмотно изъясняюсь, то вот примеры - для обычных пользователей разрешено например только http:80, плюс еще некоторые сервисы, для бухгалтеров дополнительно разрешен доступ к налоговым серверам, для менеджеров почта и IM, для всех кроме начальства и админов - общая вебфильтрация (например запрет соцсетей итд) и ограничение по скорости на скачивание больших файлов. Фильтрация по словам тоже полезная вещь - очень помогает против любителей порно например. Актуальна еще антивирусная проверка. Да, конечно большинство из этого - L7. Ну насчет аутентификации вроде решили что openldap и kerberos.
Так с помощью чего все это можно реализовать? )
как я уже сказал, это
squid с разными наворотам
iptables+iproute2
какой нубудь простенький типа биллинг
кламав к сквиду
завязывать все ручками :)
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Единственный минус, все
Единственный минус, все графические тулзы для работы с OpenLDAP в линуксе, мягко говоря, не оченьfixed
Как бы в гентоо из безплатных доступно как минимум 4 платформы, из опенсорца - 2, не считая разных вариаций на тему опенлдапа ( типа мандривы)
P.С мне так вполне хватает app-admin/389-ds-console и www-apps/389-dsgw для верчения лдапом .
П.С.С в рамках предложенной ТС задачи - глубоко пофиг на чем строить, хотя к ув. Kappac есть куча вопросов по архитектуре, но они (вопросы и сомнения) не в тему данного топика
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Это уже вопрос предпочтений
Это уже вопрос предпочтений, чем ворочать.
Лирика: я писал скрипты ради интереса.
На сколько я понимаю, эту тему можно закрыть.
Давайте обсуждать вопросы и сомнения - лишним не будет! Мне интересен опыт, в частности Ваш, в вопросе объединения "под одно крыло" разных систем.
С уважением.
Мои мысли по поводу
Мои мысли по поводу:
1. Корпусов нужно 2 (три):
- шлюз (iptables, squid, apache, pptpd)
- контроллер (novell eDirectory, eGroupware)
- хранилище (samba, BackupPC, ZABBIX)
2. eDirectory - в принципе не критично, можно MS AD, весь софт "лехко приспосабливается"
3. Софт с железки на железку "переселяется" не в пример MS, то есть машинки можно покупать не сразу "под потолок", а в режиме "последовательного замещения".
4. 1C нелегко, но ставится и работает под линукс, в серверном варианте с PostgreSQL (то есть под 1С-ку лучше 2 раздельных корпуса), клиенты цепляются с XP.
У меня работает вариант с MS AD (eDirectory готовлю "на закуску").
Грабли "труднорешаемые" только одни встретились: "У 1С-ки есть конфигурации, "генетически глючащие с Postgres," - так мне сказал сертифицированный специалист по 1С.
emerge Your world
Gentoogle