Установка 1С:Предприятие на ASPLinux 10

> Задача: установить в офисе на 500 компьютеров Firefox. К тому же, что бы был уже нормально настроен, что бы по утру телефоны саппорта не разрывались от разгневанных юзверей.

i=2; while [ $i -lt 1000 ] ; do ssh -l root host$i /bin/rpm -U http://server/updates/firefox-1.0.7.i586.rpm ; i=`expr $i + 1` ; done

А все настройки юзверям разложатся, когда они войдут в систему, при выполнении /etc/profile

На написание указанной команды у меня ушло три минуты. Еще 30 минут уйдет на то, чтобы сделать rpm-ку файрфокса из дистрибутива, взятого с www.mozilla.org, и то только при установке в первый раз, каждый следующий раз будет делаться за 10 минут.

> не заходя на рабочую станцию пользователя ни локально ни удаленно, поставить некий софт

А с чего бы такие ограничения? Тогда уж поведай нам, как не используя group policy и ntconfig.pol прописать 500 юзерам в качестве бэкграунда корпоративную эмблему.

> > Если да, укажите Ваше место работы и занимаемую должность.

> А самому для начала представиться?

dn2010, расслабься. Если это один и тот же анонимус, который начал с вопроса о Firefox'е - то с нами спорит непререкаемый авторитет, системный администратор, проектировщик и специалист по поддержке крупной корпоративной сети, принадлежащей туристической фирме, арендующей два "оффиса" в одном из зданий на Никольской :-)

> Дано: 1) Прекомпилированный архив cool-mega-soft (N мегов) 2) Количество рабочих станций: >200

Делаем репозиторий yum/apt - раз! Включаем демон обновления (он уже установлен на Linux) - два. Политику раздачи регулируем на сервере. Вы когда последний раз Linux живой видели? В "Мурзилке"? :)

> При этом пользователи имеют перемещаемые профили (надеюсьБ в курсеБ что это такое), и не привязаны к конкретной рабочей станции

в этом случае это даже проще - профиль то храниться на сервере /home/user

а перемещаемые профили в win - это такое кривое поделие, чуть только конфигурации компьютеров различаются (хотя бы w2k + wxp) - гемору ...

но еще чаще - рядом с NT стоят старые под win98, и ни кто их списывать не собирается - как печатные машинки идут на ура

>>а у нас в копейках и тяперочках что за зверь на кассах никто не знает? что-то отчень специфичное... > я бы тоже очень хотел знать что там за система, кто разработчик, скока стоит

это называется "Рабочее место кассира" (РМК). выпускает "атол". стоит ~200-300$. работает следующим образом. из 1с формируется файлик, в который пишется что есть на складе, скока его есть и цена. рмк этот файлик засасывает. в конце дня происходит обратный процесс, т.е. рмк формирует файлик, к который пишет чего и сколько продано, который ловит 1с. все автоматизируется. можно хоть каждые 5 минут такие выгрузки-загрузки делать (к вопросу о том, что на складе может в середине дня что-то еще появиться на продажу...). примерно вот :)

>Я уже задавал вопрос местным красноглазым о том, как (читаем внимательно!!!), не заходя на рабочую станцию пользователя ни локально ни удаленно, поставить некий софт. Дано: 1) Прекомпилированный архив cool-mega-soft (N мегов) 2) Количество рабочих станций: >200

Вам ясно ответили: rsh + rpm. А упираетесь с вольным толкованием слова "не заходя" и потому, что аналогичных механизмов в windows никогда не было, что и вызвало к квазижизни "software package assign".

>Вопрос номер два: как всем этим пользователям одновременно дать(или снять) право запуска приложения bugfree-soft. Опять-таки, не заходя на рабочую станцию пользователя ни локально ни удаленно.

Упертость, воздвигнутая в культ, при отсутствии знаний *nix.

>Я уже задавал вопрос местным красноглазым о том, как (читаем внимательно!!!), не заходя на рабочую станцию пользователя ни локально ни удаленно, поставить некий софт. Дано: 1) Прекомпилированный архив cool-mega-soft (N мегов) 2) Количество рабочих станций: >200

Вам ясно ответили: rsh + rpm. А упираетесь с вольным толкованием слова "не заходя" и потому, что аналогичных механизмов в windows никогда не было, что и вызвало к квазижизни "software package assign".

>Вопрос номер два: как всем этим пользователям одновременно дать(или снять) право запуска приложения bugfree-soft. Опять-таки, не заходя на рабочую станцию пользователя ни локально ни удаленно.

Упертость, воздвигнутая в культ, при отсутствии знаний *nix.

А вот вы лучше расскажите, как это сделать, на машине не заходящей в домен.

>Хорошо, чуть усложняем задание. Все тоже самое надо сделать, не всем, а лишь группе пользователей. При этом пользователи имеют перемещаемые профили (надеюсьБ в курсеБ что это такое), и не привязаны к конкретной рабочей станции.

Такс, значит непривязаны - усложняем задачу: пользователю необходимо пересесть за машину Windows 98. Ваши действия, Администратор.

> Вопрос как дать пользователю в 1С права на просмотр документа не изгоняя всех остальных 100 человек.

абсурд... не бывает 100 бухгалтеров... если есть - прошу пример в студию. это ж какая должна быть контора? для примера: бухгатерия на заводе человек 10... какой завод? к примеру УЗМПИ. часть вторая: смотреть можно и при наличии 100 человек... вот провести - нельзя. действительно - транзакция всех выкинет :)

ноги ему сломать, чтобы не шлялся, где не поподя!! пошел я на форум тему создавать!!!

> Остальное там не лучше. Банальные действия приходится через такой анус делать, что начинаешь почему внедренцы лупят такие деньги. :)

я например так и не понял... 1. что есть банальня весч? 2. тем более я не понял почему внедренцы лупят такие деньги? особенно из-за п3. 3. вы код-то видели? это надо быть полным мудаком чтобы так писать... если кому нужен пример - запостю, тока не обижайтесь на размер :)

>i=2; while [ $i -lt 1000 ] ; do ssh -l root host$i /bin/rpm -U http://server/updates/firefox-1.0.7.i586.rpm ; i=`expr $i + 1` ; done

Самое смешное, что хотя я и писал про преймущества виндов в корпоративной среде, у меня есть линукс сервера.

Дык вот, даже у меня, в настройках openssh стоит PermitRootLogin = NO

А ты: ssh -l root !!!!

Вот из-за таких чайников Линукс так никогда и не попадет в копроративную среду.

>Дык вот, даже у меня, в настройках openssh стоит PermitRootLogin = NO

Сервера от внутренней сети файрволом отгорожены? Или юзерские машинки напрямую торчат в интернет? В любом случае SMB или NFS гораздо большая дыра в безопасности, чем permitrootlogin. А защита сети определяется самым дырявым ее элементом.

>Вот из-за таких чайников Линукс так никогда и не попадет в копроративную среду.

Это точно. Да и от опечатки Фрейдом попахивает.

И, наконец, Вы так и не ответили на мой вопрос.

>Сервера от внутренней сети файрволом отгорожены?

Естественно. Грустно повторять прописную истину, что 80% всех секурити инцидентов происходят изнутри файрвола, а не снаружи.

>Да и от опечатки Фрейдом попахивает.

Может, заодно, проинтрепритируешь мою опечатку по Фрейду. А то - вечер пятницы, пальцы заплетаются. Хорошо было бы узнать, что это означает с точки зрения классического психоанализа.

>И, наконец, Вы так и не ответили на мой вопрос.

Какой вопрос? Вот этот:

>Блин, давно хочу увидеть крупную сеть, целиком построенную на решениях от MS, с ISA-сервером, webом на IIS и базами на MSSQL, обновляющуюся через SUS, где юзера пользуются встроенными в офис средствами групповой работы и правят документы с использованием стилей, где почта на exchange и outlook, где все рулится через AD, где стоит везде 2k3 и xp и где свой софт пишут на NET. И главное, ГДЕ ВСЕ ЭТО НОРМАЛЬНО РАБОТАЕТ

Я не представляю, как тебе это показать? Ведь, если расскажу - не поверишь. Контора серьезная. Просто так в гости пригласить не смогу.

Инда ладно, словами опишу. (Поверишь - не поверишь, по-барабану).

Да, "крупную сеть, целиком построенную на решениях от MS".

Да, "с ISA-сервером, webом на IIS и базами на MSSQL". Правда, на IIS - только внутренний портал (ну там общие объявления, приказы, заявки на несрочный саппорт, транспорт, электриков и т.п.) Наружний вэб - Apache на Linux :-))

"обновляющуюся через SUS" - да

"где юзера пользуются встроенными в офис средствами групповой работы и правят документы с использованием стилей" Office server extensions не используются. Шаблоны заявок, записок и заявлений лежат в общих папках Exchange.

"где почта на exchange и outlook" - да. При чем, используются коллективные планировщики, общие списки контактов (с разделением доступа, естественно) и прочее. Ну, правда используются! (честно говоря, сам бы не поверил, если бы не видел своими глазами :-)

"где все рулится через AD" - конечно.

"где стоит везде 2k3 и xp" - нет. Только - w2k sp4

"где свой софт пишут на NET" - опять нет. java!

"И главное, ГДЕ ВСЕ ЭТО НОРМАЛЬНО РАБОТАЕТ" - работает, прямо как в учебниках написано.

>"где почта на exchange и outlook"

Забыл добавить. Exchange наружу выхода вообще не имеет. Только через smart relay - Qmail+Clamav на Linux

> А ты: ssh -l root !!!!

Сколько лет тебе потребуется, чтобы сломать мой dsa-ключик длиной в 2048 бит? Впрочем, я могу и 4096-битный сгенерировать - мне 40 секунд не жалко на такое дело.

> даже у меня, в настройках openssh стоит PermitRootLogin = NO

Что еще раз доказывает, что ты нифига не сечешь ни в математике, ни в ssh и том, как все это работает.

> Exchange наружу выхода вообще не имеет. Только через smart relay - Qmail+Clamav на Linux

/me катался по полу и хохотал так громко, что разбудил соседей и испугал кота.

Не далее как вчера я в этом же треде выдал вот такую фразу: "Ну так еще бы - после того, как юниксоиды настроили почтовые шлюзы, антиспамовые и антивирусные фильтры и файрволы, а СБ запретила носить со стороны сменные носители, виндузятники наконец-то забыли про вирусные эпидемии." no-dashi **** (Score: 432 MaxScore: 432) (*) (27.10.2005 8:05:05)

Браво, юноша, браво!!! Вы замечательно представили в своем лице весь колоритный типаж "администраторов Windows" :-)

P.S.: теперь ты должен мне коньяк, который мы с соседом по случаю знакомства для успокоение нервов и восстановления дружеских отношений выпили, и бутылку валерьянки для кота, чтобы бедному животному нервную систему восстановить :-)

>Что еще раз доказывает, что ты нифига не сечешь ни в математике, ни в ssh и том, как все это работает

Ни чего это не доказывает. Тут ты, что называется, пёрнул в лужу. Именно в математике, криптографии, поточных, блочных, ассиметричных и прочих шифрах - я специалист. (правда - бывший)

Позволь прочитать тебе короткую лекцию:

PermitRootLogin = NO нужен совсем не для того, что бы исключить лобовой подбор ключей root`a. (Мне кажется, дураков подбирать dsa ключей нету). SSH ломается совсем не подбором. Ошибки в реализации openssl приводили к remote code exec в openssh (погляди историю openssh security advisory). Именно для уменьшения последствий подобных уязвимостей, разработчики openssh ввели механизм PrivilegeSeparation (я надеюсь, хоть это-то ты используешь). А при remote code exec от юзера root ни какой PrivilegeSeparation уже не поможет :-((

Так что, почитай лучше документацию. И поставь PermitRootLogin = NO. Или su набрать потом совсем влом?

>Браво, юноша, браво!!! Вы замечательно представили в своем лице весь колоритный типаж "администраторов Windows" :-)

На счет "юноши" ты, конечно, погорячился. Но у меня нервы в полном порядке. Хамством меня не зацепишь. Если чего - могу и сам отбрить - мало не покажется.

>теперь ты должен мне коньяк

Ни чего я тебе не должен. Даже пол-литра "Красного востока" (или какое там самое поганое пойло?) - не дождёсся.

>Не далее как вчера я в этом же треде выдал вот такую фразу...

А твое "гениальное" провидение - это общее место. Не знал? Это НОРМАЛЬНО - использовать сильные стороны разных продуктов по назначению. То-же мне - Спиноза!

> Именно в математике, криптографии, поточных, блочных, ассиметричных и прочих шифрах - я специалист. (правда - бывший)

Видать, ну очень давно бывший.

> Ошибки в реализации openssl приводили к remote code exec в openssh

а) патчиться надо вовремя, и б) прикрывать демонов файрволами - благо в Linux iptables давно работает, и в покупке не нуждается :-)

> Это НОРМАЛЬНО - использовать сильные стороны разных продуктов по назначению.

Пошел лепить отмазки? Тебя конкретно спросили - "вся сеть на решениях Microsoft". Ты начал рассказывать про то, как у вас все хорошо, и вдруг выясняется, что от всякой заразы вас прикрывает Linux, под ударом на внешнем сервере стоит Apache...

> Ни чего я тебе не должен

Да пожалуйста, живи с пятном на совести :-)

> Но у меня нервы в полном порядке.

Выстави свой Exchange мордой в интернет и сообщи свой IP, сообщество тебе быстро это исправит :-)

>Какой вопрос? Вот этот:

нет, про обработку win2k sp4 отключения электричества и пустые ACL.

>Естественно. Грустно повторять прописную истину, что 80% всех секурити инцидентов происходят изнутри файрвола, а не снаружи.

Ага, сотрудница в обтягивающей одежде сканирует сетку nmapом, ломает главный сервер ssh-експлоитом и выпрыгивает в окно 120го этажа при приближении дежурной бригады админов.

>Хорошо было бы узнать, что это означает с точки зрения классического психоанализа.

Ничего хорошего для Вас оно не значит.

эээ.. состоялся плавный переход на личности.

я что-то не понял в виндовой сети присутствуют сервера линукс, на которых для ssh запрещено напрямую руту логинится, а винда 135-138 порты пользует? для изнутри, это перебор, тем более все попытки в логи падают..

и вобще, пытались определится, можно ли организовать корпоративную сеть, на линукс и достаточно комфортно ею управлять.

могу сказать, что у меня на работе на данный момент "все на линукс" не получится по нескольким причинам:

1. используются 5 клиент-банковских программы, 3 из них только под win

2. есть сервер с 1С (единственный на w2k, остальные - линукс)

3. на паре машин стоит FineReader

4. в ПТО (4 машины) используют acad + отдельное покупное ПО для расчета смет под win

5. у двух директоров (из 5) есть ноуты с лицензионной wxp home, менять смысла не вижу, т.к. на сервер с самбой (контролер домена + файл сервер) попасть они могут (в отличие от контролера домена на NT)

а остальных по-немногу переводим, главное - никакой спешки

угу..
какие 2 под линукс?
можно пока терминальный сервак подержать..

замкнутый круг:
нельзя переёти, тк нет софта
нет софта, тк мало используется...

как производителя софта пнуть?! только административно (ну допустим президент при ответе на вопросы скажет, что необходим такой софт)...

>Дык вот, даже у меня, в настройках openssh стоит PermitRootLogin = NO
>А ты: ssh -l root !!!!

Речь идет о соединении с ПОЛЬЗОВАТЕЛЬСКИМИ компьютерами в корпоративной сети. Использование коммутируемой среды с нормальным железом и приличной длины ключа в SSH для закрытых корпоративных сетей почти в 99,9% случаев достаточно.

>Вот из-за таких чайников Линукс так никогда и не попадет в копроративную среду.

Неумение использовать адекватную оценку рисков отнюдь не свидетельствует о уровне мегаадминистратора.

> как производителя софта пнуть?! только административно (ну допустим президент при ответе на вопросы скажет, что необходим такой софт)...

Уж лучше священник в проповеди. Бред, извините.

Коммерческий софт сейчас делается для двух дистрибытивов - SuSe и RedHat. Причем для узкого подмножества версий, т.е. если нужно два коммерческих приложения (целых два!), то вовсе не факт, что получится найти пересечение.

IMHO главная проблема Линукса - обилие дистрибутивов. Остается только мечтать об объединении RedHat и Suse, или о том, что IBM забудет про свою дурацкую политику невмешательства в дистрибутивостроение.

>А любимая отечественными линуксоидами KOI8-R! При 1000 юзерах вам потребуется, как минимум, пяток спецов, которые целыми днями будуть _только_ решать проблемы кодировок у пользователей.

Ну и что? Вот я любитель. Все работает. А пересадят виндовых пользователей. В UTF-8, потому что mc им нафиг не сдался. И все.

С печатью тоже проблем уже нет. А тот же KDE или Gnome все равно внутри юникодные. Так что...

>Эта псевдоэкономия в десятикратном размере уйдет на оплату, как ты верно отметил, "луноходиков" линукс-админов.

Интересно, а по кой они бы ходили, если печать работает, обновления проводятся централизованно со внутреннего репозитария, программки живые?

У меня друг в каком-то питерском банке работал, так там рабочими станциями какие-то sun'ы были, терминалы. И ничего.

А в сбербанк зайди или на почту - там вообще хз что стоит и все пашет.

>>Да ну? Вас носом ткнуть в уже готовые OSS платформы (не нашего производства)?

>Это, например, GnuE что ли?

Зайди в список форумов. После описания форума General есть ссылка FAQ. Зайди туда и прочитай что есть.

>Все эти "эпедемии" - бред некомпетентных системных администраторов.

А тебе не портили кровь дыры в rpc?

А я помню эту хрень очень хорошо. Пока линуксовый файрволл на вход не воткнули, так и трахались.

Винда в плане интеграции с ms-овскими же продуктами штука хорошая, но ее защитить надо грамотно. Тогда эпидемий да, не будет.

>Ты, когда говоришь про стоимость владения, не считай себя умнее, например, IT управления Siemens, с их 650000 виндовз десктопами.

Ты там работаешь?

А что же тогда IBM у себя на десктопы в ряде подразделений линуха ставит?

>Воспользоваться NFS и написать на коленке 50 шелл-скриптов не предлагать. Коммерческими решениями не пользоваться.

А почему это мы не можем пользоваться родными и unix-way'ными решениями типа шеллскрипта?

Тем более, что это бесплатно и сходу можно предложить решение, которое не сильно напряжет.

>Я уже задавал вопрос местным красноглазым о том, как (читаем внимательно!!!), не заходя на рабочую станцию пользователя ни локально ни удаленно, поставить некий софт. Дано: 1) Прекомпилированный архив cool-mega-soft (N мегов) 2) Количество рабочих станций: >200

Кстати, а зачем?

Ну я просто никогда не видел, чтобы такая куча народа резко переходила на что-то.

>Хорошо, чуть усложняем задание. Все тоже самое надо сделать, не всем, а лишь группе пользователей.

Если у нас все распределены в группы, значит эти группы где-то хранятся. Например, в LDAP. Чудно. ip забираем с него.

>При этом пользователи имеют перемещаемые профили (надеюсьБ в курсеБ что это такое), и не привязаны к конкретной рабочей станции.

NFS рулит как никогда. А можно и не NFS.

>Теперь представим, что подобные вещи надо делать регулярно.

Это как же так ху..во надо было софт поставить, чтобы забыть тонну прог и постоянно их доставлять? Или ты путаешь установку и обновление? Это виндовые проги надо для обновления переставить или патч на них накатить, а тут yum или apt сам по расписанию свежак качнет.

>Вы всерьез считаете, что администратор должен вместо того, чтобы применить еидинственное правило групповой политики, постоянно писать скрипты?

Зачем постоянно? Написать скрипт с изменяемым параметром. Такое даже в винде можно сделать.

>Не устроит. Потому как сетка не резиновая. И если у всех юзеров будет /usr и /home на сетевом диске, сетка ляжет, и работать будет совершенно невозможно. Перемещаемый профиль копируется один раз, и работа ведется ЛОКАЛЬНО, и сеть не задергивается до безобразия.

/usr не надо и весь /home тоже. Догадайся как это сделать...

>Или все это будет писать системный адмистратор, вместо того, чтобы заниматься своим основным делом -- поддержкой пользователей?

Что значит "поддержка пользователей"? Они не падают.

Или ты про эникейщиков. Единственную поддержку, которую я видел в нормальных конторах, это в случае нужды перенос или добавление компов, иногда решение мелких проблем. Это не каждый день происходит.

В KOI-то веки соглашусь с Санычем. Именно потому, что частично я как раз и есть этот самый "Бродячий разработчик костылей".