Установка корпоративной рабочей станции Fedora 27
Linux, независимо от его вариаций, является операционной системой, наиболее часто используемой в серверной среде, и обычно мы видим, что многие конечные пользователи используют ее. Невозможно упустить из виду усилия участников сообщества Open Source, направленные на то, чтобы сделать Linux более удобным и удобным для пользователей, не являющихся джедаями. Эта работа была написана с упором на корпоративных конечных пользователей и корпоративную среду (SMB-малый-средний бизнес).
Контекстуализация
Linux Fedora является одним из лучших дистрибутивов и может считаться действительно стабильным для использования в производственной среде конечными пользователями. Первый выпуск был выпущен в 2003 году под названием Fedora Core 1 и был основан на Red Hat Linux, который стал базироваться в настоящее время.
Я решил написать эту статью о Fedora, потому что она дала хороший опыт и результаты в реальной производственной среде для опытных и начинающих пользователей с большим количеством корпоративных переменных, целей и действий.
Среда этой статьи состоит из присоединения к рабочей станции Fedora на контроллере домена, которым может быть Samba 4 или Microsoft Active Directory, настроить процесс аутентификации для пользователей домена и администраторов домена на рабочей станции, локально или удаленно через ssh.
В этой статье также упоминается о некотором проприетарном программном обеспечении для Linux, мы должны учитывать, что в реальной среде необходимо много ресурсов в соответствии с потребностями каждого бизнеса.
Отказ от ответственности
Эта статья была написана для конечных пользователей, и я не могу гарантировать, что все настройки будут работать в вашей среде, но я могу попытаться ответить на любые связанные с этим сомнения. Безопасность — еще одна важная тема, но в этой статье она не рассматривается.
Ресурсы
Есть несколько способов установить Fedora, в целях тестирования я рекомендую вам использовать виртуальную машину, вы можете использовать VirtualBox или любую другую среду виртуализации, если хотите, поэтому вы можете использовать физический компьютер. Предварительные требования для установки Fedora: процессор с тактовой частотой 1 ГГц или выше, 1 ГБ системной памяти и 10 ГБ свободного места на диске. Для завершения настройки вам нужен контроллер домена, я рекомендую Samba 4, но вы можете использовать Microsoft Active Directory.
Установка Федоры 27
Чтобы скачать Fedora 27, вы можете использовать прямую ссылку (https://etcher.io/).
На первом экране выберите опцию Start Fedora-Workstation-Live 27:
Выберите опцию «Установить на жесткий диск», чтобы начать установку:
Выберите язык и раскладку клавиатуры вашего компьютера:
Выберите вариант «Место установки» и выберите жесткий диск, который вы хотите установить, если у вас их несколько, и отметьте параметр «Автоматически настроить разбиение» и нажмите «Готово»:
Выберите вариант Начать установку:
Установите пароль root, теперь вам не нужно создавать пользователя. Локальный пользователь будет создан позже для предложений управления, помните, что этот компьютер будет присоединен к домену, и все пользователи из вашей сети смогут аутентифицироваться на этом компьютере.
Помните, всегда используйте надежный пароль.
По завершении установки нажмите кнопку «Выход».
Извлеките ISO или DVD и перезагрузите компьютер. Базовая установка выполнена.
После перезагрузки система войдет в систему автоматически, и вы сможете выполнить дополнительные настройки.
Первый экран относится к базовой конфигурации, и каждый пользователь при первом входе в систему может определить свои собственные настройки Fedora.
Выберите язык.
Выберите раскладку клавиатуры.
Включите службы определения местоположения, если вам это нужно.
Выберите часовой пояс.
Для дополнительного программного обеспечения включите репозитории источников проприетарного программного обеспечения:
Подключитесь к сторонним онлайн-сервисам Google, Nextcloud, Microsoft или Facebook.
Создайте локального пользователя, заполнив следующую форму. Только для совета, работа с пользователем root не является хорошей практикой. Для этой лабораторной работы имя пользователя — localuser:
Не используйте параметр «Настроить корпоративный вход».
Используйте надежный пароль, права администратора будут предоставлены новому пользователю автоматически.
Система готова к использованию.
Выберите «Начать использовать Fedora» и войдите в систему с локальным пользователем, чтобы продолжить настройку.
Первое, что нужно сделать после входа в систему, это открыть терминал и обновить систему. Запустите следующие команды и введите пароль:
[ ~]$ sudo su
[ localuser]# dnf update
Нажмите у и нажмите ввод. Первое обновление системы может быть медленным, наберитесь терпения. Обычно я перезагружаю систему после завершения обновления.
Установите дополнительные репозитории и пакеты в Fedora 27
Для достижения целей этой статьи нам необходимо установить дополнительные репозитории программного обеспечения и сторонние пакеты. Необходимые репозитории перечислены ниже, для их установки выполните следующие команды:
[ ~]$ sudo su
[ localuser]# dnf install http://download1.rpmfusion.org/free/fedora/rpmfusion-free-release-27.noarch.rpm
[ localuser]# dnf install https://go.skype.com/skypeforlinux-64.rpm
Приведенные ниже команды предназначены для настройки репозитория Google:
[ localuser]# rpm --import https://dl.google.com/linux/linux_signing_key.pub
[ localuser]# printf '%s\n' '[google-chrome]' 'name=google-chrome' 'baseurl=http://dl.google.com/linux/chrome/rpm/stable/x86_64' 'enabled=1' 'gpgcheck=1' 'gpgkey=https://dl.google.com/linux/linux_signing_key.pub' >/etc/yum.repos.d/google-chrome.repo
После настройки репозиториев выполните команду:
[ localuser]# dnf update
Теперь начните устанавливать список со всеми пакетами, которые нам нужны для этой установки Fedora, ниже я покажу, как легко установить все пакеты. В этом списке вы можете увидеть некоторые дополнительные пакеты, которые могут улучшить взаимодействие с пользователем, помимо системных пакетов, расширяющих возможности Fedora, которые будут использоваться для присоединения к Fedora 27 в сетевом домене.
samba
realmd
sssd
oddjob
oddjob-mkhomedir
adcli
samba-common-tools
krb5-workstation
openldap-clients
policycoreutils-python
samba-winbind-clients
samba-winbind
gnome-tweak-tool.noarch
java-openjdk
icedtea-web
unzip
thunderbird.x86_64
gimp
vim
gnome-music.x86_64
gnome-photos
p7zip
vlc
curl
cabextract
xorg-x11-font-utils
fontconfig
https://downloads.sourceforge.net/project/mscorefonts2/rpms/msttcore-fonts-installer-2.6-1.noarch.rpm
gscan2pdf.noarch
system-config-printer
tesseract.x86_64
tesseract-langpack-enm.noarch
libreoffice-langpack-en.x86_64
brasero.x86_64
nautilus-extensions.x86_64
brasero-nautilus.x86_64
nautilus-sendto.x86_64
nautilus-font-manager.noarch
gnome-terminal-nautilus.x86_64
nautilus-image-converter.x86_64
nautilus-search-tool.x86_64
sushi.x86_64
raw-thumbnailer.x86_64
Pinta.x86_64
dnf-automatic
dconf-editor
NetworkManager
Чтобы легко установить все пакеты, создайте файл со списком выше (по одному пакету в строке) и запустите:
[ localuser]# for i in `cat package.txt`; do dnf install -y $i; done
Установка может быть медленной, наберитесь терпения.
Включить автоматические обновления безопасности в Fedora 27
Рекомендуется включить автоматические обновления безопасности для операционной системы. Он обеспечивает множество исправлений ошибок и делает вашу систему более безопасной.
Чтобы настроить только обновления безопасности, отредактируйте с помощью vim файл /etc/dnf/automatic.conf и измените следующие параметры (нажмите «Вставить», чтобы изменить):
[ localuser]# vim /etc/dnf/automatic.conf
Конфигурационный файл должен выглядеть следующим образом. Измените значения строк upgrate_type и aply_updates, как показано ниже:
[commands]
# What kind of upgrade to perform:
# default = all available upgrades
# security = only the security upgrades
upgrade_type = security
random_sleep = 300
# Whether updates should be downloaded when they are available.
download_updates = yes
# Whether updates should be applied when they are available.
# Note that if this is set to no, downloaded packages will be left in the
# cache regardless of the keepcache setting.
apply_updates = yes
[emitters]
# Name to use for this system in messages that are emitted. Default is the
# hostname.
# system_name = my-host
# How to send messages. Valid options are stdio, email and motd. If
# emit_via includes stdio, messages will be sent to stdout; this is useful
# to have cron send the messages. If emit_via includes email, this
# program will send email itself according to the configured options.
# If emit_via includes motd, /etc/motd file will have the messages.
# Default is email,stdio.
emit_via = stdio
[email]
# The address to send email messages from.
email_from =
# List of addresses to send messages to.
email_to = root
# Name of the host to connect to send email messages.
email_host = localhost
[base]
# This section overrides dnf.conf
# Use this to filter DNF core messages
debuglevel = 1
Чтобы сохранить изменения в vim, нажмите ESC, wq! и введите.
После изменения файла необходимо включить расписание автоматических обновлений безопасности:
[ localuser]# systemctl enable dnf-automatic.timer
[ localuser]# systemctl start dnf-automatic.timer
Изменить имя компьютера в Fedora 27
Чтобы изменить имя хоста компьютера, выполните следующие команды (выберите нужное имя хоста, я использовал Workstation-Fedora27):
[ ~] sudo su
[ localuser]# hostnamectl set-hostname --pretty Workstation-Fedora27
[ localuser]# hostnamectl set-hostname --transient Workstation-Fedora27
[ localuser]# hostnamectl set-hostname --static Workstation-Fedora27
Чтобы проверить изменения, перейдите в настройки и нажмите детали.
Кроме того, вы можете проверить терминал, выполнив следующую команду:
[ localuser]# hostname
На выходе должно быть имя хоста, в данном случае Workstation-Fedora27.
Отключить SELinux (Linux с повышенной безопасностью) в Fedora 27
SELinux — это аббревиатура от Linux с улучшенной безопасностью. Это функция безопасности ядра Linux. Чтобы сделать эту статью более дружелюбной, я не рассказываю о настройке SELinux, мы отключили его, потому что я обнаружил некоторые проблемы с присоединением компьютера к домену с включенным SELinux. Кстати, если вы хотите узнать больше о безопасности и SELinux, вы можете найти хорошие статьи, объясняющие эту тему. Чтобы отключить SELinux, выполните команду:
[ localuser]# vim /etc/sysconfig/selinux
Измените значение параметра Enforcement на disabled, сохраните файл и перезагрузите компьютер.
Присоединяйтесь к Fedora 27 в Active Directory или SAMBA 4
Чтобы подключить рабочую станцию Fedora к Active Directory или Samba 4, вам необходимо обратить внимание на DNS вашей сети (имя доменного сервера), обычно первый DNS из сети является IP-адресом контроллера домена и доставляется на DHCP-сервер (динамический Протокол конфигурации хоста). Если в вашей сетевой среде используется статический IP-адрес, вы должны настроить его вручную на рабочей станции Fedora.
Чтобы проверить конфигурацию DNS в вашей сети, выполните следующую команду:
[ localuser]# nmcli device show
Вывод выглядит следующим образом:
GENERAL.DEVICE: enp0s3
GENERAL.TYPE: ethernet
GENERAL.HWADDR: 08:00:27:AA:5E:4F
GENERAL.MTU: 1500
GENERAL.STATE: 100 (connected)
GENERAL.CONECTION: enp0s3
GENERAL.CAMINHO CON: /org/freedesktop/NetworkManager/ActiveConnection/0
WIRED-PROPERTIES.CARRIER: active
IP4.ADDRESS[1]: 10.0.2.15/24
IP4.GATEWAY: 10.0.2.2
IP4.DNS[1]: 10.0.2.100 <<<< DOMAIN CONTROLLER IP ADDRESS
IP4.DNS[2]: 10.0.2.101
IP4.DNS[3]: 10.0.2.102
IP6.ADDRESS[1]: fe80::a84e:4e53:d696:ddc9/64
IP6.GATEWAY:
Если в выходных данных не отображается информация об IP-АДРЕСЕ DNS, вы можете добавить ее вручную в разделе «Конфигурация сети» в настройках системы или через терминал. Чтобы сделать это через терминал, выполните следующую команду и вставьте информацию, указанную выше:
[ localuser]# nmtui
Выберите параметр Редактировать соединение и ОК.
Заполните конфигурацию nmtui IPV4 в соответствии с информацией о вашей сетевой среде. Еще один полезный тест — попытка пропинговать имя вашего домена.
[[email localuser] # ping mylocaldomain.com
Чтобы присоединиться к рабочей станции Fedora в домене, выполните следующие команды:
[ localuser]# realm join --user=Administrator mylocaldomain.com
Примечание. Пользователь и домен являются примером, на этом этапе вам нужно использовать пользователя с правами для присоединения к Fedora на контроллере домена. Если вы хотите выйти из Fedora, используйте следующую команду:
[ localuser]# realm leave --user=Administrator mylocaldomain.com
Отредактируйте файл /etc/samba/smb.conf :
[ localuser]# vim /etc/samba/smb.conf
Добавьте в файл следующие строки:
[global]
realm = mylocaldomain.com
workgroup = mylocaldomain
dns forwarder = 10.0.2.100
security = ADS
template shell = /bin/bash
winbind enum groups = Yes
winbind enum users = Yes
winbind nss info = rfc2307
winbind use default domain = Yes
idmap config *:range = 50000-1000000
idmap config * : backend = tdb
store dos attribute = Yes
map acl inherit = Yes
vfs objects = acl_xattr
Сохраните изменения (в vim нажмите ESC и \wq!).
Чтобы включить кэш-логин, вам нужно настроить SSSD (System Security Services Daemon), для этого отредактируйте файл /etc/sssd/sssd.conf.
[ localuser]# vim/etc/sssd/sssd.conf
Основные строки, которые нам нужно изменить:
use_fully_qualified_names = False
fallback_homedir = /home/%
Файл SSSD выглядит следующим образом:
domains = mylocaldomain.com
config_file_version = 2
services = nss, pam
[domain/mylocaldomain.com]
ad_domain = mylocaldomain.com
krb5_realm = mylocaldomain.com
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%
access_provider = ad
Включить аутентификацию пользователя через SSH с Active Directory (SAMBA 4) Fedora 27
Чтобы настроить SSH для удаленной аутентификации пользователей домена, вам необходимо отредактировать следующий файл /etc/ssh/sshd_config:
[ localuser]# vim /etc/ssh/ssh_config
В конце файла укажите следующие строки:
AllowGroups wheel domain^admins domain admins domain?admins
UsePAM yes
Вы можете настроить группы по своему усмотрению (например, it_support).
Пользователи Sudoers и Active Directory (SAMBA 4) Fedora 27
Чтобы настроить пользователей домена как членов sudoers, отредактируйте файл /etc/sudoers:
[ localuser]# vim /etc/sudoers
Добавьте следующие строки:
%domain\ admins ALL=(ALL) ALL
%[username] ALL=(ALL) ALL
Вторую строку вы можете заполнить пользователями домена, которым требуются права администратора (например, %johnwoo ALL=(ALL) ALL).
Окно входа пользователя в системный сеанс Fedora 27
Когда мы работаем с Fedora 27 в домене, мы сталкиваемся с проблемой аутентификации, когда нам нужно выполнять действия, требующие прав администратора в графической среде (Gnome). Когда вы пытаетесь установить приложение с помощью инструмента «программное обеспечение», окно аутентификации отображается для аутентификации пользователя root или администратора. Изображение ниже иллюстрирует эту проблему:
Для отображения имени пользователя в поле аутентификации создайте файл 51.fedora-admin.conf в каталоге /etc/polkit-1/localauthority.conf.d/:
[ localuser]# touch /etc/polkit-1/localauthority.conf.d/51.fedora-admin.conf
[ localuser]# vim /etc/polkit-1/localauthority.conf.d/51.fedora-admin.conf
Добавьте в файл следующие строки:
[Configuration]
AdminIdentities=unix-group:admin;unix-group:Domain Admins;unix-user:0
После настройки все пользователи вашей сети смогут войти в систему с собственным именем пользователя и паролем для выполнения действий, которым требуются специальные права. Только пользователи в файле sudoers могут выполнять действия, которым требуются специальные права.
Аутентификация пользователей, не перечисленных в файле sudoers, завершится ошибкой.
Инструменты для повышения производительности Fedora 27
Инструменты повышения производительности, доступные для использования в Fedora 27, потрясающие. Поскольку офисные инструменты, такие как LibreOffice или Microsoft Office, могут быть установлены через PlayonLinux и могут удовлетворить потребности бизнеса. Ресурсы OCR (оптическое распознавание символов) доступны в Gscan2pdf, GimageReader, а также в Master PDF, который является лучшим инструментом для обработки PDF-файлов, который я знаю.
В средствах связи в Fedora 27 много ресурсов, доступны Skype, Empathy, Thunderbird, Facebook, Telegram, Twitter, Gnome Gmail, Ekiga Softphone и др.
Если вы работаете в какой-то области ИТ, Fedora — это швейцарский армейский нож. Существует множество инструментов для работы на высоком уровне с сетями (GNS3, Wireshark), разработкой программного обеспечения (Eclipse, Netbeans), средами поддержки конечных пользователей (клиенты RDP и VNC), тестами, созданием мультимедиа, веб-дизайном и т. д.
Кстати, все функции и производительность можно увеличить за счет использования Gnome Extensions, который предоставляет множество расширений для интеграции среды Gnome с множеством сервисов и установленных приложений, которые можно найти здесь https://extensions.gnome.org. .