Instalace podnikové pracovní stanice Fedora 27

Linux, nezávisle na svých variacích, je operační systém nejpoužívanějším slovem v serverovém prostředí, obvykle můžeme vidět mnoho koncových uživatelů, kteří jej adoptují. Je nemožné pominout ohleduplnou snahu přispěvatelů komunity Open Source učinit Linux přátelštější a použitelnější pro uživatele, kteří nejsou Jedi. Tato práce byla napsána se zaměřením na firemní koncové uživatele a firemní prostředí (SMB – malé a střední podniky).

Kontextualizace

Linux Fedora je jednou z nejlepších distribucí a lze ji považovat za opravdu stabilní pro použití v produkčním prostředí pro koncové uživatele, první vydání bylo v roce 2003 s názvem Fedora Core 1 a bylo založeno na Red Hat Linuxu, který je dnes založen na oceli.

Rozhodl jsem se napsat tento článek o Fedoře, protože poskytl dobré zkušenosti a výsledky v reálném produkčním prostředí pro pokročilé a začátečníky se spoustou podnikových proměnných, účelů a aktivit.

Prostředí tohoto článku se skládá z připojení k pracovní stanici Fedora na řadiči domény, kterým může být Samba 4 nebo Microsoft Active Directory, nastavení procesu ověřování pro uživatele domény a správce domény na pracovní stanici, místní nebo vzdáleně přes ssh.

Tento článek se tak zmiňuje o nějakém proprietárním softwaru pro Linux, musíme vzít v úvahu, že v reálném prostředí je podle potřeb každého podniku zapotřebí mnoho zdrojů.

Odmítnutí odpovědnosti

Tento článek byl napsán se zaměřením na koncové uživatele a nemohu zaručit, že všechna nastavení budou fungovat ve vašem prostředí, ale mohu se pokusit odpovědět na jakékoli související pochybnosti. Zabezpečení je dalším důležitým tématem, ale tento článek se jím nezabývá.

Zdroje 

Existuje několik způsobů, jak nainstalovat Fedoru, pro testovací účely doporučuji použít virtuální počítač, můžete použít VirtualBox nebo jakékoli jiné virtualizační prostředí, pokud chcete, takže můžete použít fyzický počítač. Předběžné požadavky pro instalaci Fedory jsou 1 GHz nebo rychlejší procesor, 1 GB systémové paměti a 10 GB nepřiděleného místa na disku. K dokončení konfigurace potřebujete řadič domény, doporučuji Samba 4, ale můžete použít Microsoft Active Directory.

Instalace Fedory 27

Ke stažení Fedory 27 můžete použít přímý odkaz (http://fedora.c3sl.ufpr.br/linux/releases/27/Workstation/x86_64/iso/) nebo si vybrat nejlepší zrcadlo pro vás na https://getfedora. org/. Po stažení můžete vypálit DVD nebo vytvořit spouštěcí pero se souborem iso. Obvykle k tomuto úkolu používám Etcher, tento software s otevřeným zdrojovým kódem najdete na (https://etcher.io/).

Na první obrazovce vyberte možnost Start Fedora-Workstation-Live 27:

Instalaci zahájíte výběrem možnosti Instalovat na pevný disk:

Vyberte jazyk a rozložení klávesnice vašeho počítače:

Vyberte možnost Cíl instalace a vyberte pevný disk, který chcete nainstalovat, pokud jich máte více, a označte možnost Automaticky konfigurovat rozdělení a stiskněte hotovo:

Vyberte možnost Zahájit instalaci:

Nastavte heslo root, nemusíte nyní vytvářet uživatele. Místní uživatel bude vytvořen později pro návrhy správy. Pamatujte, že tento počítač bude připojen k doméně a všichni uživatelé z vaší sítě se budou moci v tomto počítači ověřit.

Pamatujte, že vždy používejte silné heslo.

Po dokončení instalace stiskněte tlačítko Quit.

Vysuňte ISO nebo DVD a restartujte počítač. Základní instalace je hotová.

Po restartu se systém automaticky přihlásí a vy můžete provést další nastavení.

První obrazovka souvisí se základní konfigurací a každý uživatel při prvním přihlášení může definovat své vlastní nastavení Fedory.

Vyberte jazyk.

Vyberte rozložení klávesnice.

Zapněte služby určování polohy, pokud je potřebujete.

Vyberte časové pásmo.

Chcete-li získat další software, zapněte úložiště zdrojů proprietárního softwaru:

Připojte se k online službám třetích stran Google, Nextcloud, Microsoft nebo Facebook.

Vytvořte místního uživatele vyplněním následujícího formuláře. Pouze pro radu, práce s uživatelem root není dobrou praxí. Pro toto cvičení je jméno uživatele localuser:

Nepoužívejte možnost Set Up Enterprise Login.

Použijte silné heslo, administrátorská práva budou automaticky přidělena novému uživateli.

Systém je připraven k použití.

Vyberte Začít používat Fedoru a přihlaste se pomocí localuser, abyste mohli pokračovat v konfiguraci.

První věc, kterou musíte udělat po přihlášení, je otevřít terminál a aktualizovat systém. Spusťte následující příkazy a zadejte heslo:

[[email protected] ~]$ sudo su

[[email protected] localuser]# aktualizace dnf

Stiskněte ya stiskněte enter. První aktualizace systému může být pomalá, buďte trpěliví. Obvykle po dokončení aktualizace restartuji systém.

Instalovat další úložiště a balíčky na Fedora 27

Abychom splnili účely tohoto článku, potřebujeme nainstalovat další softwarová úložiště a balíčky třetích stran. Potřebná úložiště jsou uvedena níže, k instalaci spusťte následující příkazy:

[[email protected] ~]$ sudo su

[[email protected] localuser]# instalace dnf http://download1.rpmfusion.org/free/fedora/rpmfusion-free-release-27.noarch.rpm

[[email protected] localuser]# instalace dnf https://go.skype.com/skypeforlinux-64.rpm

Níže uvedené příkazy slouží ke konfiguraci úložiště Google:

[[email protected] localuser]# rpm --import https://dl.google.com/linux/linux_signing_key.pub

[[email protected] localuser]# printf '%s\n' '[google-chrome]' 'name=google-chrome' 'baseurl=http://dl.google.com/linux/chrome/rpm /stable/x86_64' 'enabled=1' 'gpgcheck=1' 'gpgkey=https://dl.google.com/linux/linux_signing_key.pub'>/etc/yum.repos.d/google-chrome.repo 

 Po konfiguraci úložišť spusťte příkaz:
 
[[email protected] localuser]# aktualizace dnf
 

 Nyní začněte instalovat seznam se všemi balíčky, které potřebujeme pro toto nastavení Fedory, níže ukážu, jak snadno nainstalovat všechny balíčky. V tomto seznamu můžete vidět některé další balíčky, které mohou zlepšit uživatelskou zkušenost, kromě systémových balíčků, které rozšiřují funkce Fedory, které budou použity pro připojení k Fedoře 27 v síťové doméně.
 
samba
realmd
sssd
oddjob
oddjob-mkhomedir
adcli
samba-common-tools
krb5-workstation
openldap-clients
policycoreutils-python
samba-winbind-clients
samba-winbind
gnome-tweak-tool.noarch
java-openjdk
icedtea -web
unzip
thunderbird.x86_64
gimp
vim
gnome-music.x86_64
gnome-photos
p7zip
vlc 
curl
cabextract
xorg-x11-font-utils
fontconfig
https://downloads.sourceforge.net/project/mscorefonts2/rpms/msttcore-fonts- installer-2.6-1.noarch.rpm
gscan2pdf.noarch
system-config-printer
tesseract.x86_64
tesseract-langpack-enm.noarch
libreoffice-langpack -cs.x86_64
brasero.x86_64
nautilus-extensions.x86_64
brasero-nautilus.x86_64
nautilus-sendto.x86_64
nautilus-font-manager.noarch
gnome-terminal-nautilus.x86_64
nautilus-image-converter.x86_64
nautilus-search-tool.x86_64
sushi.x86_64
raw-thumbnai ler.x86_64
Pinta.x86_64
dnf-automatic
dconf-editor
NetworkManager
 

 Chcete-li snadno nainstalovat všechny balíčky, vytvořte soubor s výše uvedeným seznamem (jeden balíček na řádek) a spusťte:
 
[[email protected] localuser]# for i v `cat package.txt`; do dnf install -y $i; hotovo
 

 Instalace může být pomalá, buďte trpěliví.
 
Povolit automatické aktualizace zabezpečení ve Fedoře 27
 

 Je to osvědčený postup povolit automatické aktualizace zabezpečení pro operační systém. Poskytuje mnoho oprav chyb a udržuje váš systém bezpečnější.
 

 Chcete-li nakonfigurovat pouze aktualizace zabezpečení, upravte pomocí vim soubor /etc/dnf/automatic.conf a změňte následující parametry (upravte stisknutím klávesy Insert):
 
[[email protected] localuser]# vim /etc/dnf/automatic.conf
 

 Konfigurační soubor, aby vypadal jako tento obsah. Změňte hodnoty pro řádky upgrate_type a aply_updates jako v řádcích níže:
 
[příkazy]
 
#  Jaký druh upgradu provést:
 
# výchozí                          =všechny dostupné upgrady
 
# zabezpečení                         =pouze upgrady zabezpečení
 
upgrade_type =zabezpečení 
 
random_sleep =300
 
# Zda se mají stahovat aktualizace, když jsou dostupné.
 
download_updates =ano
 
# Zda se mají aktualizace použít, když jsou dostupné.
 
# Všimněte si, že pokud je toto nastaveno na ne, stažené balíčky budou ponechány v
 
# cache bez ohledu na nastavení keepcache.
 
apply_updates =ano 
 
[emitenti]
 
# Název, který se má použít pro tento systém ve zprávách, které jsou vysílány. Výchozí hodnota je
 
# název hostitele.
 
# system_name =můj-hostitel
 
# Jak posílat zprávy. Platné možnosti jsou stdio, email a motd. Pokud
 
# emit_via obsahuje stdio, zprávy budou odesílány na stdout; to je užitečné
 
#, aby cron posílal zprávy. Pokud emit_via obsahuje e-mail, toto
 
# program sám odešle e-mail podle nakonfigurovaných možností.
 
# Pokud emit_via obsahuje motd, soubor /etc/motd bude obsahovat zprávy.
 
# Výchozí nastavení je email,stdio.
 
emit_via =stdio
 
[e-mail]
 
# Adresa, ze které se mají odesílat e-mailové zprávy.
 
email_from =[e-mail chráněn]
 
# Seznam adres, na které se mají odesílat zprávy.
 
email_to =root
 
# Název hostitele, ke kterému se chcete připojit za účelem odesílání e-mailových zpráv.
 
email_host =localhost
 
[základ]
 
# Tato sekce má přednost před dnf.conf
 
# Použijte toto k filtrování základních zpráv DNF
 
úroveň ladění =1
 

 Chcete-li uložit změny ve vim, stiskněte ESC, wq! a Enter.
 

 Po změně souboru musíte povolit plán automatických aktualizací zabezpečení:
 
[[email protected] localuser]# systemctl enable dnf-automatic.timer
 
[[email protected] localuser]# systemctl start dnf-automatic.timer
 
Změna názvu počítače na Fedoře 27
 

 Chcete-li změnit název hostitele počítače, spusťte následující příkazy (vyberte požadovaný název hostitele, použil jsem Workstation-Fedora27):
 
[[email chráněný] ~] sudo su
 
[[email protected] localuser]# hostnamectl set-hostname --pretty Workstation-Fedora27
 
[[email protected] localuser]# hostnamectl set-hostname --tranient Workstation-Fedora27
 
[[email protected] localuser]# hostnamectl set-hostname --static Workstation-Fedora27
 

 Chcete-li ověřit změny, přejděte do nastavení a stiskněte podrobnosti.
 
 
 

 Můžete také ověřit na terminálu spuštěním následujícího příkazu:
 
[[email protected] localuser]# název hostitele
 

 
Výstup musí být název hostitele, v tomto případě Workstation-Fedora27. 
 
Zakázat SELinux (Security-Enhanced Linux) na Fedoře 27
 

 SELinux je zkratka pro Security-Enhanced Linux, je to bezpečnostní funkce linuxového jádra. Aby byl tento článek přátelštější, nezabývám se nastavením SELinuxu, zakázali jsme jej, protože jsem našel nějaké problémy s připojením k počítači v doméně se zapnutým SELinuxem. Mimochodem, pokud se chcete dozvědět více o bezpečnosti a SELinuxu, můžete najít dobré články vysvětlující toto téma. Chcete-li deaktivovat SELinux, spusťte příkaz:
 
[[email protected] localuser]# vim /etc/sysconfig/selinux
 

 Změňte vynucování hodnoty na vypnuto, uložte soubor a restartujte počítač.
 
Připojte se k Fedoře 27 na Active Directory nebo SAMBA 4
 

 Chcete-li připojit Fedora Workstation do Active Directory nebo Samba 4, musíte věnovat pozornost vašemu síťovému DNS (Domain Server Name), obvykle je prvním DNS ze sítě IP adresa řadiče domény a je doručena na DHCP server (Dynamic Protokol konfigurace hostitele). Pokud vaše síťové prostředí používá statickou IP adresu, musíte ji nakonfigurovat ručně na pracovní stanici Fedora. 
 

 Chcete-li zkontrolovat konfiguraci DNS ve vaší síti, spusťte následující příkaz:
 
[[email protected] localuser]# show zařízení nmcli
 

 Výstup vypadá takto:
 
GENERAL.DEVICE:                    enp0s3
 
GENERAL.TYPE:                       ethernet
 
GENERAL.HWADDR:                 08:00:27:AA:5E:4F
 
GENERAL.MTU:                         1500
 
GENERAL.STATE:                      100 (připojeno)
 
GENERAL.CONECTION:          enp0s3
 
GENERAL.CAMINHO CON:                   /org/freedesktop/NetworkManager/ActiveConnection/0
 
WIRED-PROPERTIES.CARRIER:              aktivní
 
IP4.ADDRESS[1]:                        10.0.2.15/24
 
IP4.GATEWAY:                            10.0.2.2
 
IP4.DNS[1]:                              10.0.2.100 <<< 
IP4.DNS[2]:                              10.0.2.101
 
IP4.DNS[3]:                             10.0.2.102
 
IP6.ADDRESS[1]:                        fe80::a84e:4e53:d696:ddc9/64
 
IP6.GATEWAY:  
 

 Pokud výstup nezobrazuje informace DNS IP ADDRESS, můžete je přidat ručně v konfiguraci sítě v nastavení systému nebo prostřednictvím terminálu. Chcete-li to provést prostřednictvím terminálu, spusťte následující příkaz a vložte informace uvedené výše:
 
[[email protected] localuser]# nmtui
 
 
 

 Vyberte možnost Upravit připojení a OK. 
 
 
 

 Vyplňte konfiguraci nmtui IPV4 podle informací o vašem síťovém prostředí. Dalším užitečným testem je pokus o ping na název vaší domény.
 

 [[email protected] localuser]# ping mylocaldomain.com
 

 Chcete-li se připojit k pracovní stanici Fedora v doméně, spusťte následující příkazy:
 
[[email protected] localuser # připojení k realmu --user=Administrator mylocaldomain.com
 

 Poznámka:Uživatel a doména je příklad, v tomto okamžiku musíte použít uživatele s právy pro připojení k Fedoře na řadiči domény. Pokud se chcete odpojit od Fedory, použijte následující příkaz:
 
[[email protected] localuser]# realm opustit --user=Administrator mylocaldomain.com
 

 Upravte soubor /etc/samba/smb.conf :
 
[[email protected] localuser]# vim /etc/samba/smb.conf 
 

 Přidejte do souboru následující řádky:
 
[globální]
 
realm =mylocaldomain.com
workgroup =mylocaldomain
dns forwarder =10.0.2.100
zabezpečení =ADS
shell šablony =/bin/bash
výčtové skupiny winbind =Ano
výčet uživatelů winbind =Ano
informace o winbind nss =rfc2307
winbind používá výchozí doménu =Ano
idmap config *:range =50000-1000000
idmap config * :backend =tdb
atribut store dos =Ano
mapa acl inherit =Ano
objekty vfs =acl_xattr
 

 
 

 Uložte změny (na vim stiskněte ESC a „wq!“).
 

 Chcete-li povolit přihlášení do mezipaměti, musíte nakonfigurovat SSSD (System Security Services Daemon). Chcete-li to provést, upravte soubor /etc/sssd/sssd.conf.
 
[[email protected] localuser]# vim/etc/sssd/sssd.conf 
 

 Hlavní řádky, které musíme změnit, jsou:
 
use_fully_qualified_names =False
fallback_homedir =/home/%[email protected]
 

 Soubor SSSD vypadá takto:
 

 
 
domény =mylocaldomain.com
 
config_file_version =2
 
služby =nss, pam
 
[domena/mylocaldomain.com]
 
ad_domain =mylocaldomain.com
 
krb5_realm =mylocaldomain.com
 
realmd_tags =spravuje-systém spojený s-adcli
 
cache_credentials =True
 
id_provider =reklama
 
krb5_store_password_if_offline =True
 
default_shell =/bin/bash
 
ldap_id_mapping =True
 
use_fully_qualified_names =False
 
fallback_homedir =/home/%[email protected]
 
access_provider =reklama
 

 
 
Povolit ověření uživatele prostřednictvím SSH s Active Directory (SAMBA 4) Fedora 27
 

 Chcete-li nakonfigurovat SSH pro vzdálené ověřování uživatelů domény, je třeba upravit následující soubor /etc/ssh/sshd_config: 
 
[[email protected] localuser]# vim /etc/ssh/ssh_config
 

 Na konec souboru vložte následující řádky:
 
AllowGroups wheel domain^admins doména admins doména?admins
 
PoužítPAM ano
 

 Skupiny můžete nakonfigurovat, jak chcete (např. it_support).
 
Uživatelé Sudoers a Active Directory (SAMBA 4) Fedora 27
 

 Chcete-li nakonfigurovat uživatele domény jako člena sudoers, upravte soubor /etc/sudoers:
 
[[email protected] localuser]# vim /etc/sudoers 
 

 Přidejte následující řádky:
 
%domain\ admins VŠECHNY=(VŠECHNY)    VŠECHNY
 
%[username] ALL=(ALL)    ALL
 

 Druhý řádek můžete vyplnit uživateli domény, kteří potřebují administrátorská práva (např. %johnwoo ALL=(ALL)    VŠECHNY ).
 
Pole pro přihlášení uživatele v relaci systému Fedora 27
 

 Když pracujeme s Fedorou 27 v doméně, narážíme na problém s autentizací, když potřebujeme provádět činnosti, které vyžadují administrátorská práva v grafickém prostředí (Gnome). Když se pokusíte nainstalovat aplikaci pomocí "softwarového" nástroje, zobrazí se ověřovací pole pro ověření uživatele root nebo správce. Tento problém ilustruje obrázek níže:
 

 
 

 Chcete-li zobrazit uživatelské jméno uživatele v ověřovacím poli, vytvořte soubor 51.fedora-admin.conf  v adresáři /etc/polkit-1/localauthority.conf.d/ :
 
[[email protected] localuser]# touch  /etc/polkit-1/localauthority.conf.d/51.fedora-admin.conf
 
[[email protected] localuser]# vim /etc/polkit-1/localauthority.conf.d/51.fedora-admin.conf
 

 Přidejte do souboru následující řádky:
 
[Konfigurace]
 
AdminIdentities=unix-group:admin;unix-group:Domain Admins;unix-user:0
 

 Po konfiguraci se všichni uživatelé vaší sítě budou moci přihlásit pomocí vlastního uživatelského jména a hesla pro provádění činností, které vyžadují zvláštní práva. Pouze uživatelé v souboru sudoers mohou provádět činnosti, které potřebují zvláštní práva. 
 
 
 

 Ověření uživatelů, kteří nejsou uvedeni v souboru sudoers, se nezdaří.
 
Nástroje pro produktivitu  Fedora 27
 

 Nástroje produktivity dostupné pro použití ve Fedoře 27 jsou úžasné. Od kancelářských nástrojů jako LibreOffice nebo Microsoft Office, které lze nainstalovat přes PlayonLinux a mohou splnit obchodní potřeby. Zdroje OCR (Optical Character Recognition) jsou dostupné na Gscan2pdf, GimageReader a také na Master PDF, což je nejlepší nástroj pro práci se soubory PDF, který znám.
 

 V komunikačních nástrojích má Fedora 27 spoustu zdrojů, je k dispozici Skype, Empathy, Thunderbird, Facebook, Telegram, Twitter, Gnome Gmail, Ekiga Softphone atd.
 

 Pokud pracujete v nějaké oblasti IT, Fedora je švýcarský armádní nůž. Existuje mnoho nástrojů pro práci na vysoké úrovni se sítí (GNS3, Wireshark), vývojem softwaru (Eclipse, Netbeans), prostředími podpory koncových uživatelů (RDP a VNC Clients), testy, vytvářením médií, webovým designem atd.
 

 Mimochodem, všechny funkce a produktivitu lze zvýšit pomocí Gnome Extensions, které poskytuje spoustu rozšíření pro integraci prostředí Gnome se spoustou služeb a nainstalovaných aplikací, které lze nalézt zde https://extensions.gnome.org .