Olá Habr! Hoje eu quero falar sobre minha própria experiência na tradução de uma estação de trabalho no Linux. O artigo não afirma ser 100% de cobertura de todos os problemas e suas soluções, mas ainda haverá algumas receitas para melhorar a vida. Também haverá vários flashbacks no artigo, e se você quiser mergulhar nas memórias comigo, peço um gato.
Em geral, nesta história (e talvez em uma série de artigos, se possível), primeiro quis chamar de "as aventuras de um especialista em TI em um ambiente hostil".
Porque se você trabalha em uma grande empresa, a maioria dos serviços da empresa é projetada para ser um usuário do Windows. E se você é um nerd renegado nos Nyxes, é improvável que o suporte técnico corporativo o ajude a resolver problemas, embora estejam longe de
zero :
se a resposta para o seu problema não aparecer na primeira página dos resultados da pesquisa, é isso. Entrar em contato com a TP para obter ajuda somente resultará na inserção do problema no mecanismo de pesquisa e na leitura das informações no primeiro link do problema.
Ou eles apenas dirão que isso não é viável. Quando
ganhei a conferência do Lync , um colega encantado me lançou um link para um ticket na central de atendimento, que ele criou com o mesmo problema cerca de um ano atrás. A resolução no ticket era tal que você não pode usar o aplicativo Web para Lync, porque suas
costas estão brancas, o eixo não é suportado. E nenhuma outra opção foi proposta para contornar esse mal-entendido.
Isenção de responsabilidade
Alguns nos consideram sombrios como maus. Não! Nós somos justos. Orgulhoso, independente e justo. E nós decidimos tudo por nós mesmos.
Este texto não pretende mostrar como burlar proibições.
O artigo foi escrito como uma ilustração de que no Linux é possível existir em um ambiente corporativo, embora com algum esforço na configuração dos programas necessários para o trabalho.
Ou seja, correio e calendário. Porque em inglês, trovão é
trovão e relâmpago é
relâmpago .
Se você associar uma chamada pirata ao uso de software não licenciado, isso não é verdade.
Coraline no país dos pesadelos
Primeiro, uma pequena introdução que explica os pré-requisitos para a rejeição de respiradouros. Para começar, trabalho na minha empresa há mais de 10 anos e todas as mudanças ocorridas no ecossistema de TI ocorreram diante de meus olhos.
Primeiro, os direitos de administrador nos computadores foram tirados de nós, o que nos privou completamente da capacidade de alterar as configurações que exigiam escalação de privilégios. Mas como você sabe,
para cada porca complicada existe um parafuso rosqueado e nossa resposta para Chamberlain foi uma unidade flash inicializável na qual o trocador de senha do NT offline foi instalado. Se necessário, para executar alguma ação do administrador, inicializei, redefini a senha para mim mesma, fui ao carrinho de mão localmente (e não no domínio) e fiz as modificações necessárias. Todas essas ações foram necessárias porque, na reinicialização seguinte, a senha do administrador foi revertida pelas políticas de grupo do domínio.
O próximo passo foi bloquear o ICQ (sim, ainda existiam), o Jabber e as redes sociais. Era mais fácil com os mensageiros - bastava mudar as portas para SSL e ativar a criptografia. Mas tive que me despedir das redes sociais, o que tornou a vida um pouco mais monótona. Embora no trabalho, em geral, usei apenas o plug-in de mensagem para o QIP Infium, para não perder as mensagens do vk e não fiquei no feed de notícias (que ainda não parecia existir). Juntamente com o bloqueio de redes sociais, mais tarde foi lançado outro bloqueio de "conteúdo divertido e proibido", que às vezes bloqueia recursos úteis para o heap. Um dos meus colegas brigou por um longo tempo com a montagem de um projeto java, como se viu, o problema era bloquear os repositórios maven necessários na rede. Quaisquer serviços em nuvem (google drive, documentos, nuvem Yandex, etc.) e trocadores de arquivos entraram nos proibidos.
Em algum momento, a área de transferência foi bloqueada nas sessões de RDP e na VPN corporativa, a capacidade de abrir bolas de rede em um PC em funcionamento. A cópia de arquivos se tornou muito mais difícil - apenas através de uma unidade flash USB. Mas também perdemos isso - portas USB em computadores, embora não fossem soldadas fisicamente, mas funcionassem apenas como um carregador para telefones, qualquer unidade flash inserida foi bloqueada por um antivírus.
Bem, o toque final, que transbordou a paciência, foi a restrição de lançar programas apenas de "lugares permitidos". Ao longo dos anos, acumulei bagagem de vários softwares úteis (que viviam separados da partição do sistema devido ao fato de que geralmente não precisavam ser instalados, mas apenas copiados): packers \ unpackers, editores de recursos, editores hexadecimais, PE- editores, depuradores \ rastreadores, um pacote completo de utilitários do site sysinternals que caiu no esquecimento, descompiladores (por exemplo, DeDe para Delphi, JAD para java, ILspy para sub-rede) etc.
Não que fosse um conjunto necessário para o trabalho, mas se você já começou a programar, é difícil parar.
Em geral, os usuários são muito sensíveis a todos os tipos de restrições feitas "para seu próprio bem". E eu, é claro, não era exceção.
Eles roubaram, roubaram de nós, nosso charme
E comecei a preparar um plano para o
desvio da tradução do local de trabalho no Linux.
Tudo será diferente quando eu me tornar um deus
Aria de Raistlin Majere (musical do último teste).O apelo do Linux era que você era seu próprio chefe. Você define quais programas precisa, controla tudo que precisa. Mas, como já mencionado anteriormente, você também resolve todos os problemas decorrentes. Mas o benefício agora não é mais zero e a maioria dos problemas que podem surgir já foi descrita e existem soluções no Habré ou em fóruns temáticos sobre outros recursos.
Que outras vantagens (negrito) recebi:
- ssh nativo (trabalho muito no console com servidores e foi realmente muito bom)
- shell nativo (antes disso eu usava o ambiente cygwin no windows para executar scripts de torre ou scripts em pearl)
- python nativo e tecido (segue a partir de 1 ponto, para processar em massa a lista de servidores, a estrutura facilita muito as tarefas rotineiras). Para que a fábrica opere no cygwin, Frankenstein foi montado na forma de um agente ssh que pega a chave, se comunica com o agente putty (que já está na memória) e o transfere para o subsistema Linux como se a chave fosse carregada no agente ssh nativo.
- git nativo (trabalhar em um git sob o Windows é uma dor. mesmo no cygwin, mesmo dentro de seu próprio git bash dentro do ambiente msys)
Como mudar para o Linux e parar de choramingar começar a viver
Ao mesmo tempo, ao testar o subsistema VDI do departamento de administração do Windows (vamos chamá-lo assim), surgiu uma pesquisa sobre a possibilidade de traduzir o departamento de desenvolvimento para o Linux. Uma vez que somos os "porquinhos-da-índia" mais adequados para isso. E na pesquisa houve pontos “sim, estou pronto, mas precisarei de ajuda” e “sim, estou pronto para ir e não preciso de ajuda”. Bem, eu escolhi me migrar.
Instalar o Linux em um carro que funcionava não era algo muito complicado. Com antecedência, uma unidade flash inicializável com uma imagem ao vivo da distribuição necessária foi preparada em casa; o Linux Mint (o mais recente no momento da versão 19.2) foi selecionado por recomendação de colegas que já trabalhavam no departamento de administração de servidores.
O computador não reagiu à tentativa de inicializar a partir da unidade flash, porque A inicialização rápida foi ativada no PC e, em vez de mensagens de diagnóstico (onde eu esperava ver uma combinação para entrar no BIOS), comecei a carregar o Windows imediatamente. Um rápido google com o nome do modelo nettop trouxe as teclas para entrar no BIOS e no menu de inicialização. E quando entrei no BIOS, a primeira surpresa me aguardou - a janela de entrada da senha. Se você se recusar a digitar a senha por Esc, as configurações só poderão ser observadas. Bem, aqui está sua avó e o dia de São Jorge. Embora eu não tenha conseguido alterar a sequência de inicialização, havia uma esperança fantasmagórica de entrar no menu de inicialização. E com certeza, no F8, foi possível escolher o dispositivo a partir do qual inicializar.
Inicializamos a partir da unidade flash USB, executamos a instalação e seguimos as instruções do assistente de instalação. Dos batentes perfeitos, havia apenas 1 - ao particionar o disco, ele gentilmente me informou que eu não tinha uma partição para o UEFI bootloader e talvez eu não pudesse inicializar mais tarde após a instalação, na qual eu disse a ele: “sim, crie, você é melhor que eu você sabe ". E essa escolha me
custou lágrimas de sangue e uma certa quantidade de nervos gastos, porque agora eu só tinha Linux. Mais tarde, experimentalmente, descobri que posso inicializar de volta no Windows usando a minha unidade flash USB inicializável muito indispensável, na qual o GRUB está (existe um item de pesquisa bootmgr em todas as partições e transfere o controle para ele, se for encontrado). Mas, para ser sincero, desde o momento da transição para o lado sombrio, a necessidade ainda não surgiu.
Trovões roncam, relâmpagos brilham na noite
e um louco fica em uma colina e grita
Agora eu vou te pegar em uma bolsa e você vai brilhar nela
Eu realmente quero que você seja minha
A primeira coisa depois de instalar o sistema, eu precisei configurar o correio.
Olhando para o webmail, decidi que o
OWA era um pouco mais do que aborrecido.
Meus pesadelos OWA geralmente são cenários infernais.
Bem, isso é sobre o cenário médio, porque há muitas variações.
O correio é recebido, não é verificado, verifique - não se trata do meu OWA.
Ele pega todas as letras, as joga na caixa de entrada e começa a filtrar.
Adiciona um grande número de solicitações de reunião, anexos, mensagens perdidas do Lync.
Dizendo em meio sussurro "uau ..", enquanto o suor já está na testa.
Quando tento adicionar novas regras de filtragem, gentilmente me permite desativar algo das existentes, que eu recuso.
Preciso dizer qual é a bagunça mais louca então pelo correio.
E como cliente de email, foi decidido usar o Thunderbird. Não vou dar toda a configuração aqui, o benefício dos exemplos está completo aqui no Habré e geralmente na Internet. Noto apenas alguns pontos.
Ao conectar uma caixa de correio via IMAP, as pastas não são exibidas por padrão. Para que as pastas apareçam, você precisa se inscrever nelas. Mas não consegui exibir a hierarquia (na minha caixa, configurei uma estrutura de pastas bastante ramificada onde as letras são classificadas por filtros). O máximo que acabou sendo é a exibição de filhos diretos na Caixa de entrada. O que é deprimente.
Certa vez, vagando pelo wiki corporativo, encontrei um artigo sobre o fato de termos criado o gateway DavMail. Esse é o gateway, que é o
link entre a cidade e a vila e permite que você trabalhe com servidores Exchange para máquinas não Windows. Tentei conectar o IMAP através dele e eis que, imediatamente, eu mostrei todas as pastas com a hierarquia como elas foram criadas antes. Uma tarefa terminou. A próxima tarefa foi configurar o catálogo de endereços com dicas de endereço enquanto você digita. No thunderbird, o catálogo de endereços é configurado como um diretório ldap, e eu também o conectei primeiro pelo gateway DavMail, mas depois percebi que isso também tinha suas desvantagens (mais sobre isso mais adiante).
O relâmpago me começa, que pena que eu não pude
Bem, o toque final para configurar o correio é um calendário / organizador para gerenciar convites para reuniões e planejar o seu dia. Nas versões mais recentes, o complemento Lightning é imediatamente pré-instalado, mas sua configuração é necessária. O DavMail exporta calendários do Exchange no formato CalDav, a primeira coisa que fiz foi conectar esse tipo de calendário. E eu imediatamente descobri as desvantagens em seu trabalho: convites recebidos para o calendário são adicionados, mas não posso adicionar pessoas ao mesmo evento posteriormente (encaminhar o convite para a reunião), se eu não sou o organizador. Tentei muitas opções diferentes e a única coisa que pude fazer foi instalar o
complemento SFOA , que adiciona a capacidade de fazer o download do convite na forma de um arquivo ics, que enviei para outras pessoas. Hmm, não é muito conveniente. E então encontrei um complemento na rede para trabalhar diretamente com os calendários do Exchange. Ele não está no repositório de complementos e só pode ser instalado a partir de um arquivo (link para o github no final do artigo). Ao instalar o complemento, o calendário começou a funcionar quase como no Outlook, pelo menos eu era capaz de encaminhar as reuniões normalmente conforme necessário, ou seja, sem gestos desnecessários.
Bem, quem precisa de livros sem fotos
Alice falou no trabalho de Lewis Carroll.
E eu concordo com ela até certo ponto. Especialmente se for um catálogo de endereços no seu e-mail. Enquanto eu usava o Outlook, normalmente verificava para quem eu enviava mensagens usando as imagens do destinatário mostradas em uma dica pop-up ao passar o mouse sobre o endereço. Não há como exibir avatares
prontos para uso no Thunderbird, mas a loja possui um complemento chamado
Awesome LdapInfoShow que permite adicionar essas coisas bonitas. As informações no complemento afirmam que a imagem é obtida de um par de atributos no diretório ldap (que é usado como o catálogo de endereços nas configurações do thunderbird), mas ele exibiu persistentemente a mensagem
sem servidor ldap disponível .
Porra naquele dia, quando me sentei atrás do volante deste aspirador de pó!
Para descobrir os motivos pelos quais ele exibe isso, tive que entrar no código novamente (baixei o repositório no github do autor). Se você trabalha com código aberto, isso também tem suas vantagens. O motivo era, em princípio, simples, mas isso poderia ser escrito nas instruções de configuração. Ao tentar obter a foto do destinatário, o complemento verifica se o domínio de email do endereço corresponde ao domínio ldap do servidor no catálogo de endereços (e eu o tinha listado por ip) ou se corresponde ao nome lógico do diretório ldap. Corrigi o nome lógico como Os endereços LDAP do diretório na empresa estão no domínio interno e não correspondem ao domínio de email.
Mas se você acha que corrigir as configurações do complemento imediatamente me deu avatares dos destinatários, então você está enganado. A mensagem de inacessibilidade do servidor desapareceu, mas os locais dos avatares permaneceram vazios nas cartas. E então eu decidi ver o que o servidor com o catálogo de endereços retorna para mim. Existe o JXplorer para trabalhar com o ldap na interface gráfica (não consegui obter o LdapAdmin, ao qual estou acostumado, através do wine, vários artigos nos fóruns falaram sobre incompatibilidade da implementação do winldap32.dll no Vine com outros aplicativos do Windows). E o que eu vi - nos atributos do catálogo de endereços emitido pelo gateway DavMail, não há atributos com imagens que eu vi se apenas me conectasse ao controlador de domínio. Eu tive que alterar o catálogo de endereços para conectar-se diretamente ao controlador de domínio, mas ao mesmo tempo corrigir a solicitação pela qual o cliente faz uma solicitação de pesquisa de endereço (e que é usada para replicar o catálogo de endereços localmente em um arquivo).
E como um bônus agradável, além dos próprios avatares, o complemento também aparece na dica de ferramenta pop-up ao passar para o endereço e outros itens adicionais. informações sobre a pessoa. É configurada a saída do nome da posição, departamento, telefones (comercial e móvel) e, em princípio, qualquer informação que possa ser obtida dos atributos ldap por contato. Nessa configuração, o thunderbird não difere praticamente do Outlook, mas, na minha opinião, ainda o ultrapassa em funcionalidade.
Em uma bola de cristal você vê este mundo
Depois de configurar os programas na máquina em funcionamento, surgiu a questão de configurar sessões remotas.
Devido às limitações do firewall do escritório, o vnc não pôde ser usado porque a porta 5900 foi fechada e a verificação de outras que estavam disponíveis era preguiçosa. Os colegas sugeriram que você pudesse usar o xrdp, que funciona na porta rdp padrão e conectar-se a ela a partir de qualquer cliente: pelo menos nas máquinas Windows, pelo menos no Linux. Mas, como se viu, nem tudo é tão sem nuvens. Quando tentei digitar rdp, vi apenas uma tela preta depois de inserir minhas credenciais na janela de autorização. Por algum milagre, uma receita foi encontrada no fórum mint para corrigir essa situação, eu a trago aqui, também pode ser útil para alguém (eu uso o gerenciador de janelas xfce, para que a receita correspondente também possa ser substituída por qualquer outra que você use em casa):
echo "env -u SESSION_MANAGER -u DBUS_SESSION_BUS_ADDRESS xfce4-session" > ~/.xsession
2 , .
. ,
. , 2 . rdp sshd . , rdp.
« » , .
:
—
Exchange Calendar (Thunderbird extension)—
xrdp—
Lync:
1. . « »
2. - ()
3. . « »
4. « » (, )
5. « »
6. ()
7. « , »
8. « »
9.
10. «»
11. « »