proNovell

Озаботились переходом на чистый Линукс в конторе. Поэтому возникли следующие вопросы:
1. Куда "маунтить" серверные каталоги? Т.е. у нас на сервере есть несколько "шар" - /project, /home, /public, /others, /trash - куда их подключать на рабочих станциях, чтобы это было в духе *nix, и чтобы пользователь смог их легко находить (не куда-нибудь в /etc или /proc).
2. Как скрыть каталоги, доступ к которым пользователю запрещен? Т.е. надо как на NetWare - нет доступа, ничего не видно. Сейчас каталог виден, но со знаком, что доступ к нему заблокирован. Желательно это сделать через протокол NFS, а не SMB. Потому как Самбу поднимать только ради этого нет желания.
3. На сервере планируется единый каталог всех пользователей в OpenLDAP. Авторизация на рабочих станциях будет проходить через него. Как обеспечить доступ к домашней директории на сервере? Т.е. надо, чтобы пользователь, войдя в систему работал "на своей машине". Т.е. примерно как перемещаемые профили на Windows плюс синхронизация "личных" каталогов между сервером и рабочей станцией. Думали по поводу rsync или (что еще лучше) iFolder. Последний, кстати, бесплатен? А то на сайте не могу найти про это упоминаний. Конечный эффект должен быть следующим - пользователь прилогинился, папки его появились и синхронизировались. Работает - синхронизация проходит раз в какое-то время (прозрачно). Разлогинился - папки все удалились, скопировавшись на сервер.
Можно, конечно, тупо "маунтить" /home с сервера вместо локального /home, но скорости не те при интенсивной работе (одновременно может работать до 50 пользователей со своими данными, сеть может "залечь").
4. Исходя из единой авторизации, справедливо ли утверждение, что регистрация на рабочей станции позволит пользователю "прозрачно" авторизоваться на сервере, т.е. получать доступ к разрешенным там каталогам. Или прийдется поднимать Kerberos?

1. На однопользовательской машине пользователя - почему бы не монтировать ему эти ресурсы в home (/proc - вообще "не настоящая" ФС).
2. Никак. NFS это не умеет.
3. Пишем скрипт, прописываем его в профиле, при загрузке он монтирует NFS, rsync'ает /home/user, демонтирует. Можно вместо монтирования/демонтирования использовать автомонтировщик. Думаю, существует какая-нибудь готовая утилита для этого.
4. Речь идет о nfs? Легко и никак одновременно. Вся его "аутентификация" сводится к сравниванию uid'ов юзера на сервере и юзера на клиенте. Т.е. если на сервере у пользователя vasya uid=12345, на клиенте uid=54321, но на файле в расшареной директории права только для vasya с uid=12345 (600), доступа этот клиент к файлу не получит. Если uid'ы совпадают - то получит. Соответственно, все uid'ы всех пользователей должны быть одинаковы на всех машинах и сервере чтобы nfs нормально работал.

1. Монтирование в /home?.... да, мы тоже к этому выводу пришли, чтобы пользователь не шарахался по всей файловой системе.
2. А вот с невозможностью невидить каталоги, к которым доступа нет, трудно смириться. Просто на одном из ресурсов каталогов около 200, но для конкретного пользователя редко доступно более 10... Но, с другой стороны, поднимать Самбу.... ой, неохота...
3. Интересно, а iFolder - таки стоит денег?
4. Понял, спасибо. Т.е. если будет единая идентификация через OpenLDAP, то все будет работать. ID пользователей будут одинаковыми при логине с любой машины.

1. Зачем по всей? Если пользователи собираются работать в GUI, то ко всему, что лежит внутри их домашней директории, доступ предельно прост. Более того, смонтировать-то можно куда-нибудь в /mnt, а пользователям разложить симлинки на эту директорию в их домашние директории.
2. Не знаком с ньюансами в вашей организации, но я очень сомневаюсь, что ваши пользователи будут использовать команду showmount, чтобы посмотреть список NFS-шар сервера. Более того, им всегда можно запретить доступ к этой команде. В отличие от SMB, в NFS нельзя просто так "зайти на сервер и посмотреть, что расшарено". Такое позволяет автомонтировщик, но по-умолчанию он обычно не используется.
3. Даже лучше! "The iFolder Enterprise Server version 3.5.x and greater has been open-sourced and is now generally available", информация здесь - http://www.ifolder.com/index.php/FAQ. Только, если я не ошибаюсь, без eDirectory iFolder жить не может.
4. Да, будут.

1. Решили маунтить все в /media. Это делает более стандартный и строгий вид дерева каталогов на рабочей станции. Т.е. все, что не свое (сетевые диски, usb-диски, компашки), все там.
2. Вопрос в следующем. При заходе пользователя на NFS-шару, пользователь видит все каталоги первого уровня. Их более 200, доступных менее 10... Грустно... долго искать, да и захламлено все.
3. Да, iFolder управляется через iManager. Что невесело. Так как поднимать кучу всего (eDir, iManager и т.п.) незачем. Тяжеловестное решение. Да и не запустилось оно у нас с первого раза, а дальше разбираться не стали - проще OpenLDAP доковырять.