Linux, indipendentemente dalle sue variazioni, è il sistema operativo più utilizzato in un ambiente server, di solito possiamo vedere molti utenti finali che lo adottano. È impossibile non considerare lo sforzo dei contributori della comunità Open Source per rendere Linux più amichevole e utilizzabile per gli utenti non Jedi. Questo lavoro è stato scritto con particolare attenzione agli utenti finali aziendali e all'ambiente aziendale (PMI-piccola-media impresa).
Contestualizzazione
La Linux Fedora è una delle migliori distribuzioni e può essere considerata davvero stabile da utilizzare nell'ambiente di produzione per gli utenti finali, la prima versione è stata nel 2003 con il nome Fedora Core 1 ed era basata su Red Hat Linux che si basa oggigiorno.
Ho scelto di scrivere questo articolo su Fedora perché ha fornito una buona esperienza e risultati in un ambiente di produzione reale, per utenti avanzati e principianti con molte variabili, scopi e attività aziendali.
L'ambiente di questo articolo consiste nell'unire una workstation Fedora su un controller di dominio che può essere Samba 4 o Microsoft Active Directory, impostare il processo di autenticazione per utenti di dominio e amministratori di dominio su una workstation, in locale o in remoto tramite ssh.
Questo articolo fa quindi menzione di alcuni software proprietari per Linux, dobbiamo considerare che nell'ambiente reale sono necessarie molte risorse in base alle esigenze di ogni azienda.
Disclaimer
Questo articolo è stato scritto con l'attenzione degli utenti finali e non posso garantire che tutte le impostazioni funzioneranno nel tuo ambiente, ma posso provare a rispondere a qualsiasi dubbio correlato. La sicurezza è un altro argomento importante, ma questo articolo non lo tratta.
Risorse
Sono alcuni modi per installare Fedora, a scopo di test ti consiglio di utilizzare una macchina virtuale, puoi utilizzare VirtualBox o qualsiasi altro ambiente di virtualizzazione se preferisci, quindi puoi utilizzare un computer fisico. I prerequisiti per l'installazione di Fedora sono un processore da 1 GHz o più veloce, 1 GB di memoria di sistema e 10 GB di spazio su disco non allocato. Per completare la configurazione ti serve un controller di dominio, ti consiglio Samba 4, ma puoi usare Microsoft Active Directory.
Installazione di Fedora 27
Per scaricare Fedora 27 puoi usare il link diretto (http://fedora.c3sl.ufpr.br/linux/releases/27/Workstation/x86_64/iso/) o scegliere il mirror migliore per te su https://getfedora. org/. Dopo il download, puoi masterizzare un DVD o creare una pen drive avviabile con il file iso. Di solito, uso Etcher per svolgere questa attività, puoi trovare questo software open source su (https://etcher.io/).
Nella prima schermata scegli l'opzione Avvia Fedora-Workstation-Live 27:
Seleziona l'opzione Installa su disco rigido per avviare l'installazione:
Scegli la tua lingua e il layout della tastiera del tuo computer:
Scegli l'opzione Destinazione installazione e seleziona il disco rigido che desideri installare se ne hai più di uno, seleziona l'opzione Configura partizionamento automatico e premi Fine:
Scegli l'opzione Inizia installazione:
Imposta la password di root, non è necessario creare un utente ora. Successivamente verrà creato un utente locale per le proposte di gestione, ricorda che questo computer verrà aggiunto a un dominio e tutti gli utenti della tua rete potranno autenticarsi in questo computer.
Ricorda, usa sempre una password complessa.
Al termine dell'installazione, premere il pulsante Esci.
Espellere l'ISO o il DVD e riavviare il computer. L'installazione di base è completata.
Dopo il riavvio, il sistema accederà automaticamente e potrai eseguire la configurazione aggiuntiva.
La prima schermata è relativa alla configurazione di base e ogni utente al primo accesso è in grado di definire le proprie impostazioni Fedora.
Scegli la lingua.
Scegli il layout della tastiera.
Attiva i servizi di localizzazione se ne hai bisogno.
Scegli il fuso orario.
Per software aggiuntivo, attiva Repository di sorgenti software proprietari:
Collegati ai servizi online di terze parti Google, Nextcloud, Microsoft o Facebook.
Crea un utente locale compilando il seguente modulo. Solo per consiglio, lavorare con l'utente root non è una buona pratica. Per questo lab il nome dell'utente è localuser:
Non utilizzare l'opzione Imposta accesso aziendale.
Utilizza una password complessa, i diritti di amministrazione verranno assegnati automaticamente al nuovo utente.
Il sistema è pronto per l'uso.
Seleziona Inizia a usare Fedora e accedi con localuser per continuare la configurazione.
La prima cosa da fare dopo il login è aprire il terminale e aggiornare il sistema. Esegui i seguenti comandi e digita la password:
[[email protected] ~]$ sudo su
[[email protected] localuser]# dnf update
Premi y e premi invio. Il primo aggiornamento del sistema può essere lento, sii paziente. Di solito, riavvio il sistema al termine dell'aggiornamento.
Installa repository e pacchetti aggiuntivi su Fedora 27
Per soddisfare gli scopi di questo articolo, è necessario installare repository software aggiuntivi e pacchetti di terze parti. I repository necessari sono elencati di seguito, esegui i seguenti comandi per installarlo:
[[email protected] ~]$ sudo su
[[email protected] localuser]# dnf install http://download1.rpmfusion.org/free/fedora/rpmfusion-free-release-27.noarch.rpm
[[email protected] localuser]# dnf install https://go.skype.com/skypeforlinux-64.rpm
I comandi seguenti servono per configurare il repository di Google:
[[email protected] localuser]# rpm --import https://dl.google.com/linux/linux_signing_key.pub
[[email protected] localuser]# printf '%s\n' '[google-chrome]' 'name=google-chrome' 'baseurl=http://dl.google.com/linux/chrome/rpm/stable/x86_64' 'enabled=1' 'gpgcheck=1' 'gpgkey=https://dl.google.com/linux/linux_signing_key.pub' >/etc/yum.repos.d/google-chrome.repo
Dopo aver configurato i repository, esegui il comando:
[[email protected] localuser]# dnf update
Ora, inizia a installare l'elenco con tutti i pacchetti di cui abbiamo bisogno per questa configurazione di Fedora, mostrerò come installare tutti i pacchetti in modo semplice di seguito. In questo elenco, puoi vedere alcuni pacchetti aggiuntivi che possono migliorare l'esperienza dell'utente oltre ai pacchetti di sistema che aumentano le funzionalità di Fedora, che verranno utilizzati per unirsi a Fedora 27 sul dominio di rete.
samba
realmd
sssd
oddjob
oddjob-mkhomedir
adcli
samba-common-tools
krb5-workstation
openldap-clients
policycoreutils-python
samba-winbind-clients
samba-winbind
gnome-tweak-tool.noarch
java-openjdk
icedtea-web
unzip
thunderbird.x86_64
gimp
vim
gnome-music.x86_64
gnome-photos
p7zip
vlc
curl
cabextract
xorg-x11-font-utils
fontconfig
https://downloads.sourceforge.net/project/mscorefonts2/rpms/msttcore-fonts-installer-2.6-1.noarch.rpm
gscan2pdf.noarch
system-config-printer
tesseract.x86_64
tesseract-langpack-enm.noarch
libreoffice-langpack-en.x86_64
brasero.x86_64
nautilus-extensions.x86_64
brasero-nautilus.x86_64
nautilus-sendto.x86_64
nautilus-font-manager.noarch
gnome-terminal-nautilus.x86_64
nautilus-image-converter.x86_64
nautilus-search-tool.x86_64
sushi.x86_64
raw-thumbnailer.x86_64
Pinta.x86_64
dnf-automatic
dconf-editor
NetworkManager
Per installare tutti i pacchetti in modo semplice, crea un file con l'elenco sopra (un pacchetto per riga) ed esegui:
[[email protected] localuser]# for i in `cat package.txt`; do dnf install -y $i; done
L'installazione può essere lenta, sii paziente.
Abilita aggiornamenti di sicurezza automatici su Fedora 27
È una procedura consigliata abilitare gli aggiornamenti di sicurezza automatici per un sistema operativo. Fornisce molte correzioni di bug e mantiene il tuo sistema più sicuro.
Per configurare solo gli aggiornamenti di sicurezza, modifica con vim il file /etc/dnf/automatic.conf e cambia i seguenti parametri (premi inserisci per modificare):
[[email protected] localuser]# vim /etc/dnf/automatic.conf
Il file di configurazione per assomigliare a questo contenuto. Modifica i valori per le righe upgrate_type e aply_updates come nelle righe seguenti:
[commands]
# What kind of upgrade to perform:
# default = all available upgrades
# security = only the security upgrades
upgrade_type = security
random_sleep = 300
# Whether updates should be downloaded when they are available.
download_updates = yes
# Whether updates should be applied when they are available.
# Note that if this is set to no, downloaded packages will be left in the
# cache regardless of the keepcache setting.
apply_updates = yes
[emitters]
# Name to use for this system in messages that are emitted. Default is the
# hostname.
# system_name = my-host
# How to send messages. Valid options are stdio, email and motd. If
# emit_via includes stdio, messages will be sent to stdout; this is useful
# to have cron send the messages. If emit_via includes email, this
# program will send email itself according to the configured options.
# If emit_via includes motd, /etc/motd file will have the messages.
# Default is email,stdio.
emit_via = stdio
[email]
# The address to send email messages from.
email_from = [email protected]
# List of addresses to send messages to.
email_to = root
# Name of the host to connect to send email messages.
email_host = localhost
[base]
# This section overrides dnf.conf
# Use this to filter DNF core messages
debuglevel = 1
Per salvare le modifiche in vim, premi ESC, wq! e Invio.
Dopo aver modificato il file, è necessario abilitare la pianificazione degli aggiornamenti di sicurezza automatici:
[[email protected] localuser]# systemctl enable dnf-automatic.timer
[[email protected] localuser]# systemctl start dnf-automatic.timer
Cambia il nome del computer su Fedora 27
Per modificare il nome host del computer esegui i seguenti comandi (scegli il nome host che desideri, io ho usato Workstation-Fedora27):
[[email protected] ~] sudo su
[[email protected] localuser]# hostnamectl set-hostname --pretty Workstation-Fedora27
[[email protected] localuser]# hostnamectl set-hostname --transient Workstation-Fedora27
[[email protected] localuser]# hostnamectl set-hostname --static Workstation-Fedora27
Per verificare le modifiche vai alle impostazioni e premi dettagli.
Inoltre, puoi verificare sul terminale eseguendo il seguente comando:
[[email protected] localuser]# hostname
L'output deve essere il nome host, in questo caso Workstation-Fedora27.
Disabilita SELinux (Security-Enhanced Linux) su Fedora 27
SELinux è l'acronimo di Security-enhanced Linux, è una funzionalità di sicurezza del kernel Linux. Per mantenere questo articolo più amichevole, non mi occupo del setup di SELinux, l'abbiamo disabilitato perché ho riscontrato dei problemi nell'unire il computer al dominio con SELinux abilitato. A proposito, se vuoi saperne di più sulla sicurezza e SELinux, puoi trovare buoni articoli che spiegano questo argomento. Per disabilitare SELinux, eseguire il comando:
[[email protected] localuser]# vim /etc/sysconfig/selinux
Modificare l'applicazione del valore su disabilitato, salvare il file e riavviare il computer.
Unisciti a Fedora 27 su Active Directory o SAMBA 4
Per unire la Fedora Workstation in Active Directory o Samba 4 è necessario prestare attenzione al DNS di rete (Domain Server Name), di solito il primo DNS da una rete è l'indirizzo IP del controller di dominio e viene consegnato al server DHCP (Dynamic Protocollo di configurazione host). Se il tuo ambiente di rete utilizza un indirizzo IP statico, devi configurarlo manualmente su Fedora Workstation.
Per controllare la configurazione DNS sulla tua rete, esegui il seguente comando:
[[email protected] localuser]# nmcli device show
L'output è simile a questo:
GENERAL.DEVICE: enp0s3
GENERAL.TYPE: ethernet
GENERAL.HWADDR: 08:00:27:AA:5E:4F
GENERAL.MTU: 1500
GENERAL.STATE: 100 (connected)
GENERAL.CONECTION: enp0s3
GENERAL.CAMINHO CON: /org/freedesktop/NetworkManager/ActiveConnection/0
WIRED-PROPERTIES.CARRIER: active
IP4.ADDRESS[1]: 10.0.2.15/24
IP4.GATEWAY: 10.0.2.2
IP4.DNS[1]: 10.0.2.100 <<<< DOMAIN CONTROLLER IP ADDRESS
IP4.DNS[2]: 10.0.2.101
IP4.DNS[3]: 10.0.2.102
IP6.ADDRESS[1]: fe80::a84e:4e53:d696:ddc9/64
IP6.GATEWAY:
Se l'output non mostra le informazioni sull'INDIRIZZO IP DNS, puoi aggiungerle manualmente tramite Configurazione di rete nelle impostazioni di sistema o tramite il terminale. Per fare ciò tramite il terminale, esegui il seguente comando e inserisci le informazioni sopra elencate:
[[email protected] localuser]# nmtui
Scegli l'opzione Modifica una connessione e OK.
Compila la configurazione nmtui IPV4 in base alle informazioni sull'ambiente di rete. Un altro test utile è provare a eseguire il ping del nome del tuo dominio.
[[email protected] localuser]# ping mylocaldomain.com
Per unirti alla Fedora Workstation nel dominio, esegui i seguenti comandi:
[[email protected] localuser]# realm join --user=Administrator mylocaldomain.com
Nota:l'utente e il dominio sono un esempio, a questo punto è necessario utilizzare un utente con diritti per unirsi a Fedora sul controller di dominio. Se vuoi annullare l'iscrizione a Fedora, usa il seguente comando:
[[email protected] localuser]# realm leave --user=Administrator mylocaldomain.com
Modifica il file /etc/samba/smb.conf :
[[email protected] localuser]# vim /etc/samba/smb.conf
Aggiungi le seguenti righe al file:
[global]
realm = mylocaldomain.com
workgroup = mylocaldomain
dns forwarder = 10.0.2.100
security = ADS
template shell = /bin/bash
winbind enum groups = Yes
winbind enum users = Yes
winbind nss info = rfc2307
winbind use default domain = Yes
idmap config *:range = 50000-1000000
idmap config * : backend = tdb
store dos attribute = Yes
map acl inherit = Yes
vfs objects = acl_xattr
Salva le modifiche (su vim premi ESC e “wq!”).
Per abilitare gli accessi alla cache è necessario configurare SSSD (System Security Services Daemon), per fare ciò, modificare il file /etc/sssd/sssd.conf.
[[email protected] localuser]# vim/etc/sssd/sssd.conf
Le linee principali che dobbiamo cambiare sono:
use_fully_qualified_names = False
fallback_homedir = /home/%[email protected]
Il file SSSD si presenta così:
domains = mylocaldomain.com
config_file_version = 2
services = nss, pam
[domain/mylocaldomain.com]
ad_domain = mylocaldomain.com
krb5_realm = mylocaldomain.com
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%[email protected]
access_provider = ad
Abilita l'autenticazione utente tramite SSH con Active Directory (SAMBA 4) Fedora 27
Per configurare SSH per l'autenticazione remota degli utenti del dominio, devi modificare il seguente file /etc/ssh/sshd_config:
[[email protected] localuser]# vim /etc/ssh/ssh_config
Alla fine del file includi le seguenti righe:
AllowGroups wheel domain^admins domain admins domain?admins
UsePAM yes
Puoi configurare i gruppi come preferisci (es. it_support).
Utenti Sudoers e Active Directory (SAMBA 4) Fedora 27
Per configurare gli utenti di dominio come membri di sudoers, modifica il file /etc/sudoers :
[[email protected] localuser]# vim /etc/sudoers
Aggiungi le seguenti righe:
%domain\ admins ALL=(ALL) ALL
%[username] ALL=(ALL) ALL
La seconda riga che puoi riempire con gli utenti del dominio che necessitano di diritti amministrativi (ad es. %johnwoo ALL=(ALL) TUTTI ).
Casella di accesso utente nella sessione di sistema di Fedora 27
Quando lavoriamo con Fedora 27 in un dominio, incontriamo un problema di autenticazione quando dobbiamo eseguire attività che richiedono diritti amministrativi in un ambiente grafico (Gnome). Quando si tenta di installare un'applicazione tramite lo strumento "software", viene visualizzata una casella di autenticazione per l'autenticazione dell'utente root o amministratore. L'immagine seguente illustra questo problema:
Per visualizzare il nome utente dell'utente nella casella di autenticazione, creare il file 51.fedora-admin.conf nella directory /etc/polkit-1/localauthority.conf.d/ :
[[email protected] localuser]# touch /etc/polkit-1/localauthority.conf.d/51.fedora-admin.conf
[[email protected] localuser]# vim /etc/polkit-1/localauthority.conf.d/51.fedora-admin.conf
Aggiungi le seguenti righe al file:
[Configuration]
AdminIdentities=unix-group:admin;unix-group:Domain Admins;unix-user:0
Dopo la configurazione, tutti gli utenti della tua rete potranno accedere con il proprio nome utente e password per eseguire attività che necessitano di diritti speciali. Solo gli utenti nel file sudoers possono eseguire attività che necessitano di diritti speciali.
L'autenticazione degli utenti non elencati nel file sudoers avrà esito negativo.
Strumenti per la produttività Fedora 27
Gli strumenti di produttività disponibili per l'uso su Fedora 27 sono fantastici. Poiché strumenti per ufficio come LibreOffice o Microsoft Office possono essere installati tramite PlayonLinux e possono soddisfare le esigenze aziendali. Le risorse OCR (Optical Character Recognition) sono disponibili su Gscan2pdf, GimageReader e anche su Master PDF, che è lo strumento migliore per gestire i file PDF che conosco.
Negli strumenti di comunicazione, Fedora 27 ha molte risorse, è disponibile Skype, Empathy, Thunderbird, Facebook, Telegram, Twitter, Gnome Gmail, Ekiga Softphone, ecc.
Se lavori in qualche area dell'IT, Fedora è un coltellino svizzero. Esistono molti strumenti per lavorare ad alto livello con networking (GNS3, Wireshark), sviluppo software (Eclipse, Netbeans), ambienti di supporto per utenti finali (client RDP e VNC), test, creazione di media, web design, ecc.
A proposito, tutte le funzionalità e la produttività possono essere aumentate attraverso l'uso di Gnome Extensions, che fornisce molte estensioni per integrare l'ambiente Gnome con molti servizi e applicazioni installate che possono essere trovate qui https://extensions.gnome.org .