Hola Habr! Hoy quiero hablar sobre mi propia experiencia traduciendo una estación de trabajo en Linux. El artículo no pretende tener una cobertura del 100% de todos los problemas y sus soluciones, pero aún habrá algunas recetas para mejorar la vida. También habrá una serie de flashbacks en el artículo, y si quieres sumergirte en los recuerdos conmigo, entonces te pido un gato.
En general, esta historia (y tal vez una serie de artículos, si es posible) primero quise calificarla como "las aventuras de un especialista de TI en un ambiente hostil".
Porque si trabaja en una gran empresa, la mayoría de los servicios de la compañía están diseñados para ser usuarios de Windows. Y si usted es un geek renegado de los Nyxes, es poco probable que el soporte técnico corporativo lo ayude a resolver problemas, aunque están lejos de ser
cero :
Si la respuesta a su problema no aparece en la primera página de resultados de búsqueda, entonces ya está. Ponerse en contacto con TP para obtener ayuda solo hará que ingresen su problema en el motor de búsqueda y lean la información del primer enlace del problema
O simplemente le dirán que esto no es factible. Cuando
gané la conferencia de Lync , un colega encantado me lanzó un enlace a un ticket en la mesa de servicio, que creó con el mismo problema hace aproximadamente un año. La resolución en el ticket fue tal que no puede usar la aplicación web para Lync, porque su
espalda es blanca, el eje no es compatible. Y no se han propuesto otras opciones para sortear este malentendido.
Descargo de responsabilidad
Algunos nos consideran oscuros como malvados. No! Somos justos Orgulloso, independiente y justo. Y decidimos todo por nosotros mismos.
Este texto no pretende mostrar cómo evitar las prohibiciones.
El artículo fue escrito como una ilustración de que en Linux es bastante posible existir en un entorno corporativo, aunque con cierto esfuerzo en la configuración de los programas necesarios para el trabajo.
A saber, correo y calendario. Porque en inglés, trueno es
trueno , y relámpago es
relámpago .
Si asocia una llamada pirata con el uso de software sin licencia, entonces no es así.
Coraline en el país de las pesadillas.
Primero, una pequeña introducción que explica los requisitos previos para el rechazo de los respiraderos. Para empezar, llevo trabajando en mi empresa más de 10 años y todos los cambios que tienen lugar en el ecosistema de TI tuvieron lugar ante mis ojos.
Primero, nos quitaron los derechos de administrador en las computadoras, lo que nos privó por completo de la capacidad de cambiar cualquier configuración que requiriera la escalada de privilegios. Pero como saben,
por cada tuerca difícil hay un tornillo roscado y nuestra respuesta a Chamberlain fue una unidad flash de arranque en la que se instaló el cambiador de contraseña Offline NT. Si es necesario, para hacer alguna acción por parte del administrador, inicié, restablecí la contraseña a la mía, fui a la carretilla localmente (y no al dominio) e hice las modificaciones necesarias. Todas estas acciones fueron necesarias porque en el siguiente reinicio, la contraseña del administrador fue revertida por las políticas de grupo del dominio.
El siguiente paso fue bloquear ICQ (sí, todavía había esos), Jabber y las redes sociales. Fue más fácil con los mensajeros: fue suficiente cambiar los puertos a SSL y habilitar el cifrado. Pero tuve que despedirme de las redes sociales, lo que hizo la vida un poco más aburrida. Aunque en el trabajo, en general, utilicé solo el complemento de mensajes para QIP Infium, para no perder los mensajes de vk, y no me senté en el servicio de noticias (que aún no parecía existir). Junto con el bloqueo de las redes sociales, más tarde se lanzó otro bloqueo de "contenido entretenido y prohibido", que a veces bloquea recursos útiles para el montón. Uno de mis colegas luchó durante mucho tiempo con el montaje de un proyecto de Java, ya que resultó que el problema era bloquear los repositorios necesarios de Maven en la red. Cualquier servicio en la nube (Google Drive, documentos, nube Yandex, etc.) e intercambiadores de archivos entraron en los prohibidos.
En algún momento, el portapapeles se bloqueó en sesiones de rdp y en vpn corporativo, la capacidad de abrir bolas de red en una PC que funciona. Copiar archivos se ha vuelto mucho más difícil, solo a través de una unidad flash USB. Pero también perdimos esto: los puertos USB en las computadoras, aunque no estaban soldados físicamente, sino que solo funcionaban como un cargador para teléfonos, cualquier unidad flash USB insertada estaba bloqueada por un antivirus.
Bueno, el toque final, que desbordó la copa de la paciencia, fue la restricción de lanzar programas solo desde "lugares permitidos". A lo largo de los años, he acumulado equipaje de varios software útiles (que vivían en una partición separada del sistema debido al hecho de que generalmente no era necesario instalarlo, sino simplemente copiarlo): empaquetadores / desempacadores, editores de recursos, editores hexadecimales, PE- editores, depuradores \ trazadores, un paquete completo de utilidades del sitio sysinternals que se ha hundido en el olvido, descompiladores (por ejemplo, DeDe para Delphi, JAD para java, ILspy para subred), etc.
No es que fuera un conjunto necesario para el trabajo, pero si ya comenzó a programar, es difícil detenerlo.
En general, los usuarios son muy sensibles a todo tipo de restricciones que se hacen "por su propio bien". Y yo, por supuesto, no fui la excepción.
Nos robaron, nos lo robaron, nuestro encanto
Y comencé a preparar un plan para la
desviación de la traducción del lugar de trabajo en Linux.
Todo será diferente cuando me convierta en dios
Aria de Raistlin Majere (musical The Last Test).El atractivo de Linux era que eras tu propio jefe. Usted configura los programas que necesita, controla todo lo que necesita. Pero como ya se mencionó anteriormente, usted también resuelve todos los problemas que surgen. Pero el beneficio ya no es cero, y la mayoría de los problemas que pueden surgir ya se han descrito y las soluciones están aquí en Habré o en foros temáticos sobre otros recursos.
¿Qué otras ventajas (en negrita) obtuve:
- ssh nativo (trabajo mucho en la consola con servidores y fue realmente muy bueno)
- shell nativo (antes de eso usé el entorno cygwin en Windows para ejecutar scripts de torre o scripts en pearl)
- Python y fabric nativos (se deduce de 1 punto, para el procesamiento masivo de la lista de servidores, el marco facilita mucho las tareas de rutina). Para que la fábrica opere dentro de Cygwin, Frankenstein se ensambló en forma de un agente ssh que toma la clave, se comunica con el agente de masilla (que ya está en la memoria) y la transfiere al subsistema Linux como si la clave estuviera cargada en el agente ssh nativo.
- git nativo (trabajar en un git debajo de windows es un dolor. incluso en cygwin, incluso dentro de su propio git bash dentro del entorno msys)
Cómo cambiar a Linux y dejar de quejarse empezar a vivir
En un momento, al probar el subsistema VDI del departamento de administración de Windows (llamémoslo así), surgió una encuesta sobre la posibilidad de traducir el departamento de desarrollo a Linux. Ya que somos los "conejillos de indias" más adecuados para esto. Y en la encuesta hubo puntos "sí, estoy listo, pero necesitaré ayuda" y "sí, estoy listo y no necesito ayuda". Bueno, elegí migrarme.
Instalar Linux en un automóvil que funciona no fue algo extra complicado. De antemano, se preparó una unidad flash de arranque con una imagen en vivo de la distribución requerida en el hogar, se seleccionó Linux Mint (la última en el momento de escribir la versión 19.2) por consejo de colegas que ya trabajaban en el departamento de administración del servidor.
La computadora no reaccionó al intento de arranque desde la unidad flash, porque El inicio rápido se habilitó en la PC y, en lugar de los mensajes de diagnóstico (donde esperaba ver una combinación para ingresar al BIOS), comencé a cargar Windows inmediatamente. Un rápido google con el nombre del modelo nettop mostró las claves para ingresar al BIOS y para ingresar al menú de arranque. Y cuando ingresé al BIOS, la primera sorpresa me esperaba: la ventana de ingreso de contraseña. Si se niega a ingresar la contraseña por Esc, entonces la configuración solo se podrá ver. Hmm, aquí está tu abuela y el día de San Jorge. Aunque no pude cambiar la secuencia de arranque, había una esperanza fantasma de ingresar al menú de arranque. Y seguro, en F8 fue posible elegir el dispositivo desde el cual arrancar.
Iniciamos desde la unidad flash USB, ejecutamos la instalación, luego seguimos las instrucciones del asistente de instalación. De las jambas perfectas, solo había 1: al particionar el disco, amablemente me informó que no tenía una partición para el cargador de arranque UEFI y tal vez no podría arrancar más tarde después de la instalación, a lo que le dije: “sí, crea, eres mejor que yo ya sabes ". Y esta elección me
costó lágrimas de sangre y una cierta cantidad de nervios gastados, porque en el arranque ahora solo tenía Linux. Más tarde, experimentalmente, descubrí que puedo reiniciar en Windows usando mi unidad flash USB de arranque muy indispensable, en la que se encuentra GRUB (hay un elemento de búsqueda bootmgr en todas las particiones y transferirle el control si se encuentra). Pero para ser honesto, desde el momento de la transición al lado oscuro, tal necesidad no ha surgido hasta ahora.
El trueno retumba, los relámpagos brillan en la noche
y un loco se para en una colina y grita
Ahora te atraparé en una bolsa y brillarás en ella
Realmente quiero que seas mía
Lo primero después de instalar el sistema que necesitaba para configurar el correo.
Mirando el correo web, por mí mismo, decidí que
OWA era un poco más que aburrido.
Mis pesadillas de OWA generalmente son escenarios infernales.
Bueno, este es el escenario promedio, porque hay muchas variaciones.
Se toma el correo, no se verifica, verifique, no se trata de mi OWA.
Toma todas las letras, las tira en la bandeja de entrada y comienza a filtrar.
Agrega una gran cantidad de solicitudes de reunión, archivos adjuntos, mensajes perdidos de Lync.
Diciendo en un susurro "wow ...", mientras el sudor ya está en su frente.
Cuando trato de agregar nuevas reglas de filtrado, amablemente me ofrece deshabilitar algo de las existentes, lo cual rechazo.
¿Necesito decir cuál es el desorden más salvaje en el correo?
Y como cliente de correo electrónico, se decidió usar Thunderbird. No daré toda la configuración aquí, el beneficio de los ejemplos está completo aquí en Habré, y en general en Internet. Solo observo algunos puntos.
Al conectar un buzón a través de IMAP, las carpetas no se muestran de forma predeterminada. Para que aparezcan las carpetas, debe suscribirse a ellas. Pero no pude mostrar la jerarquía (en mi cuadro he configurado una estructura de carpetas bastante ramificada donde las letras se ordenan por filtros). El máximo que resultó ser la visualización de elementos secundarios directos para Inbox. Lo cual es deprimente.
Una vez, deambulando por el wiki corporativo, encontré un artículo sobre el hecho de que hemos elevado el portal DavMail. Esta es la puerta de enlace, que es el
enlace entre la ciudad y el pueblo y le permite trabajar con servidores de Exchange para máquinas que no son de Windows. Traté de conectar IMAP a través de él y he aquí, inmediatamente mostré todas las carpetas con la jerarquía tal como se crearon antes. Una tarea había terminado. La siguiente tarea fue configurar la libreta de direcciones con sugerencias de dirección a medida que escribe. En el Thunderbird, la libreta de direcciones está configurada como un directorio ldap, y también la conecté primero a través de la puerta de enlace DavMail, pero luego resultó que esto también tenía sus inconvenientes (más sobre esto más adelante).
Los relámpagos me inician, qué pena que no pudiera
Bueno, el toque final para configurar el correo es un calendario / organizador para administrar las invitaciones a reuniones y planificar su día. En las últimas versiones, el complemento Lightning viene preinstalado inmediatamente, pero se requiere su configuración. DavMail exporta calendarios de Exchange en formato CalDav, lo primero que hice fue conectar este tipo de calendario. E inmediatamente descubrí las desventajas en su trabajo: se agregan invitaciones entrantes al calendario, pero no puedo agregar personas al mismo evento más tarde (reenviar la invitación a la reunión), si no soy el organizador.
Probé muchas opciones diferentes y lo único que pude hacer fue instalar el
complemento SFOA , que agrega la capacidad de descargar la invitación en forma de un archivo ics, que luego envié a otras personas. Hmm, no muy conveniente. Y luego encontré un complemento en la red para trabajar directamente con los calendarios de Exchange directamente. No está en la tienda de complementos y solo se puede instalar desde un archivo (enlace a github al final del artículo). Al instalar el complemento, el calendario comenzó a funcionar casi como en Outlook, al menos pude reenviar las reuniones normalmente como lo necesitaba, es decir. sin gestos innecesarios
Bueno, quien necesita libros sin fotos
Alice habló en el trabajo de Lewis Carroll.
Y estoy de acuerdo con ella hasta cierto punto. Especialmente si es una libreta de direcciones en su correo. Mientras usaba Outlook, generalmente comprobaba a quién enviaba correo usando las imágenes del destinatario que se mostraban allí en una información emergente emergente al pasar el mouse sobre la dirección. No hay forma de mostrar avatares desde el primer momento en el Thunderbird, pero la tienda tiene un complemento llamado
Awesome LdapInfoShow que le permite agregar estas cosas hermosas. La información sobre el complemento indica que la imagen se toma de un par de atributos en el directorio ldap (que se usa como la libreta de direcciones en la configuración de thunderbird), pero él mostró persistentemente el mensaje de que
no hay un servidor ldap disponible .
¡Maldición ese día cuando me senté detrás del volante de esta aspiradora!
Para averiguar las razones por las que muestra esto, tuve que ingresar nuevamente al código (descargué el repositorio del github del autor). Si trabaja con código abierto, esto también tiene sus ventajas. La razón era, en principio, simple, pero esto podría escribirse en las instrucciones de configuración. Al intentar obtener la foto del destinatario, el complemento verifica que el dominio de correo de la dirección coincida con el dominio ldap del servidor en la libreta de direcciones (y lo hice aparecer por IP), o que coincide con el nombre lógico del directorio ldap. Arreglé el nombre lógico como Las direcciones de directorio ldap en la compañía están en el dominio interno y no coinciden con el dominio de correo.
Pero si crees que corregir la configuración del complemento inmediatamente me dio avatares de los destinatarios, entonces estás equivocado. El mensaje de inaccesibilidad del servidor desapareció, pero los lugares para los avatares permanecieron vacíos en las letras. Y luego decidí ver qué me devuelve el servidor con la libreta de direcciones. Hay JXplorer para trabajar con ldap en la interfaz gráfica (no pude obtener LdapAdmin, al que estoy acostumbrado, a través del vino, varios artículos en los foros hablaron sobre la incompatibilidad de la implementación winldap32.dll en vine con otras aplicaciones de Windows). Y lo que vi: en los atributos de la libreta de direcciones emitidos por la puerta de enlace DavMail, no hay atributos con imágenes que vi si solo me conectara al controlador de dominio. Tuve que cambiar la libreta de direcciones para la conexión directa al controlador de dominio, pero al mismo tiempo corregir la solicitud por la cual el cliente realiza una solicitud de búsqueda de dirección (y que se utiliza para replicar la libreta de direcciones localmente en un archivo).
Y como un bono agradable, además de los avatares mismos, el complemento también aparece en la información emergente emergente cuando se desplaza a la dirección. Información sobre la persona. Se configura la salida del nombre de la publicación, departamento, teléfonos (trabajo y celular) y, en principio, cualquier información que se pueda obtener de los atributos de ldap por contacto. En esta configuración, Thunderbird no difiere prácticamente de Outlook, pero en mi opinión todavía lo supera en funcionalidad.
En una bola de cristal ves este mundo
Después de configurar los programas en la máquina de trabajo, surgió la cuestión de configurar sesiones remotas.
Debido a las limitaciones del firewall de la oficina, vnc no se pudo usar porque el puerto 5900 estaba cerrado, y verificar otros que estaban disponibles era vago. Los colegas sugirieron que puede usar xrdp, que funciona en el puerto rdp estándar y puede conectarse a él desde cualquier cliente: al menos en máquinas con Windows, al menos en Linux. Pero resultó que no todo está tan despejado. Cuando intenté ingresar a rdp, solo vi una pantalla negra después de ingresar mis credenciales en la ventana de autorización. Por algún milagro, se encontró una receta en el foro de menta para solucionar esta situación, la traigo aquí, también puede ser útil para alguien (uso el administrador de ventanas xfce, por lo que la receta correspondiente también se puede reemplazar con cualquier otra que use en casa):
echo "env -u SESSION_MANAGER -u DBUS_SESSION_BUS_ADDRESS xfce4-session" > ~/.xsession
2 , .
. ,
. , 2 . rdp sshd . , rdp.
« » , .
:
—
Exchange Calendar (Thunderbird extension)—
xrdp—
Lync:
1. . « »
2. - ()
3. . « »
4. « » (, )
5. « »
6. ()
7. « , »
8. « »
9.
10. «»
11. « »