Active Directory oraz Exchange w firmie za darmo? — tak, to możliwe
17.11.2015 | aktual.: 17.11.2015 20:04
Case studies
[image=koszty]W pierwszej chwili było to oczywiste że trzeba kiedyś poszerzyć liczbę użytkowników oraz stacji roboczych w firmie. Leciwy już Windows 2003 na którym działał serwer Exchange wymagał drastycznej poprawy zarówno od strony hardware jak i software. Szybkie wyliczenia wykazały że koszty sprzętu i oprogramowania przekroczą 200 tysięcy złotych. Z pomocą przyszedł Linux.
Linux kontrolerem domeny Windows?
Wiadomo nie od dziś że unixowa samba posiada funkcje które pozwalają w prosty sposób na łączenie, udostępnianie oraz zarządzenie zasobami udostępnionymi w sieci przez systemy oparte o Systemy Microsoftu. Kiedy jednak poczytamy bliżej okazuje się że najnowsze wersje samby mogą spokojnie uporać się również z zarządzaniem użytkowników w domenie jako samodzielny kontroler. Jeśli do tego dodamy po łyżce technologii Open Ldap, Open Exchange oraz szczyptę skryptów i przypudrujemy ładnym interfejsem użytkownika uzyskamy rozwiązanie oparte o system Ubuntu o nazwie Zentyal.
Hiszpański sposób na redukcje kosztów w firmie
Zentyal jest samowystarczalnym kontrolerem domeny,serwerem pocztowym,bramą etc. Dzięki niemu możemy do woli zarządzać użytkownikami w firmie. Do dyspozycji mamy interfejs który pozwala w prosty sposób zarządzać użytkowników na co dzień.
Jak to działa?
Z początku byłem sceptyczny do rozwiązania ale po instalacji wersji beta która była oznaczona numerem 4 wszystko zaczęło nabierać tempa. Instalacja przebiega bardzo podobnie do serwerowych systemów Ubuntu. Po instalacji musimy przejść przez proces wstępnej konfiguracji gdyż Zentyal jest systemem modułowym i w zależności od potrzeb mamy do dyspozycji następujące funkcjonalności:
Jako że wersja produkcyjna jest wersją community ( społeczności) to musimy się liczyć z tym że jeśli coś nie będzie działać poprzez interfejs graficzny musimy wtedy sami "dziobać" w systemie ładnie się przeżegnać i liczyć na to że po wprowadzeniu naszych "haków" system nie nadpisze ich po przeładowaniu serwera ( jednak nadpisuje..). Jako że posiadam "starego" admina w zespole który nie rozumie interfejsów graficznych i na domowych systemach posiada tylko odpowiedniki systemów Slackware które podstawową jednostką konfiguracyjną jest zwykły plik tekstowy, a kompilacja ręczna każdej paczki w systemie to codzienność zauważył że posiadanie Ubuntu jako bazowego systemu jest dużą zaletą gdyż możemy dużo operacji przeprowadzić z poziomu ssh bez logowania się do systemu graficznego. Fakt że składnia odpowiadająca za przeładowanie poszczególnych modułów nie jest jednoznaczna z aplikacją którą dany składnik systemowy posiada świadczy o tym że Hiszpanie bardzo dużo ingerują w samą strukturę systemową.
Modułowy układ Zentyala
Moduły są jak kostki które możemy sobie dowolnie włączać i konfigurować wedle potrzeb. Poniżej przedstawiam najważniejsze z nich. Nadmienię fakt że w najnowszej wersji część modułów może zostać wycofana z uwagi na małe zainteresowanie.
Sieć
W tym module ustawiamy wszystko co jest związane z ustawieniami kart sieciowych serwerów dns itp.
Logi
Jeden z moich ulubionych modułów. Czy jako admin / specjalista IT nie dostajecie czasem takich pytań w firmie?
[list] [item]Gdzie jest ten e‑mail?[/item][item]Kto mi usuną ten plik?[/item][item]Kto ostatnio to edytował?[/item][/list]
Jeden z najważniejszych pytań w firmach gdzie stacji roboczych posiadamy więcej niż 5 sztuk. Wyobraźcie sobie że naprawdę musicie odłożyć kubek z kawą aby odpowiedzieć na to pytanie. Wiem mi tez jest ciężko;) Ale jeśli zobaczycie jak działają logi w tym systemie zrozumiecie jego prostotę oraz potęgę. Działanie czasem może być wydłużone, ja akurat mam ponad 100 osób które cały czas pracują na plikach sieciowych i wyobraźcie sobie jak dużo musi być generowanych informacji z każdego zapisu, odczytu, usunięcia pliku, wysłania e‑maila, zalogowania się do VPN etc.
Zarządzanie użytkownikami
Zamiana hasła, wielkości miejsca na dyskach sieciowych oraz ustawienia aliasów, kont e‑mail i wiele innych opcji które możemy znaleźć w tej sekcji systemowej która bardzo szybko usprawnia pracę szczególnie jak często musimy tam zaglądać.
Widać wyraźnie na zdjęciu że coś się rozjechało z układem menu, ale darowanemu koniowi się w zęby nie zagląda jak mawiało stare powiedzenie ;).
Współdzielenie plików
Jeden z najważniejszych modułów które każdy posiada w firmie. Jest miejsce gdzie musimy przechowywać wszystkie dane na których każdy z pracowników ma określony dostęp i dzięki temu możemy pracować wszyscy w obszarze jednej sieci co bardzo ułatwia pracę.
W tej sekcji tworzymy kolejno miejsca sieciowe i zdalne foldery na których możemy tworzyć oraz zarządzać miejscem sieciowym w którym przechowujemy pliki ogólnodostępne dla całej firmy.
Uwaga jeśli chcemy nadać specjalne uprawnienia sugeruję stworzenie grup oraz bezpośrednio w konsoli za pomocą poleceń samby ustawiać dostęp dla poszczególnych folderów.
Poczta
Nazwa naszego zawodu pochodzi od słowa informacja, a co za tym idzie musimy nią umieć zarządzać, przetwarzać i dostarczać jeśli będzie taka potrzeba. W tym celu w prosty sposób, zamiast grzebania w plikach konfiguracyjnych ( co i tak było konieczne w moim wypadku) za kilkoma kliknięciami tworzymy prosty serwer pocztowy który każdy użytkownik ma dostęp. W początkowych fazach nawet działało natywne wsparcie do Outlooka co wywołało szok i niedowierzanie gdyż jak może program Microsoftu łączyć się z Linusem poprzez natywny protokół Exchange? Łączył się do czasu aktualizacji która pozostawiała nam opcję łączenia się poprzez pop lub imap. Fakt że producent zarzeka się że obsługuje natywnie tą funkcję może być prawdą. Albowiem nasza wersja jest dość zmieniona przez nasze własne "haki", aktualizacje i zapewne świeża instalacja znacznie pomogła by w tej kwestii. Prawda jest taka że imapa bez problemu każdy może sobie skonfigurować i naprawdę wymagające firmy korpo-pochodne będą wymuszały jej użytkowanie. Wszystkie opcje które są dostępne są niczym innym jak parserem plików konfiguracyjnych w ładnej szacie.
Dodatkowo mamy również dostępne wszelkiego rodzaju filtry antyspamowe na przychodzące oraz wychodzące wiadomości. Dzięki nimi nie będzie już ataków na korytarzu w postaci tony przychodzącego spamu na skrzynki użytkowników.
Zapora ogniowa / Firewall
Wyobraźcie sobie bardzo prosty interfejs którym zarządzacie głównym stykiem w firmie który jest krytyczny bo jest pierwszym który po routerze brzegowym natrafiają pakiety kierowane w waszą stronę. Niestety jest tak prosty że musieliśmy użyć standardowych iptables do działania.
Jak żyć?
Na koniec jest jeden dość dziwny błąd który nam się akurat trafił. Mianowicie pojawia się problem gdy mamy zrestartować cały serwer. Nie wiem czy to przez aktualizacje z kolejnych wersji czy nasze zmiany które są wprowadzane i zmienia się struktura plików konfiguracyjnych ale fakt jest taki że nie jest w stanie zamknąć wszystkich procesów. Pojawia się taki komunikat w logach systemowych:
Asking all remaining processes to terminate Killing all remaining processes
Jednak mimo tej drobnej niedogodności mogę stwierdzić jednoznacznie że nie trzeba wydawać horrendalnych kwot pieniędzy na zakup oprogramowania, licencji oraz szkoleń. Jest to w pełni autonomiczny system który pozwala skutecznie zredukować koszty operacyjne oraz przy drobnych zmianach dopasować go według własnych potrzeb.
Konkluzja
Jak się okazuje są osoby które potrafią połączyć rzeczy które z natury nie pasują do siebie. W tym wypadku użytkownicy oprócz większego miejsca na dysku i zmianie sposobu przekazywania poczty nie zmienili nic. Od strony zaplecza zmieniło się bardzo dużo:
- Łatwość zarządzania
- Szybkość działania
- Możliwość implementacji bardzo dużej liczby rozwiązań dzięki rozwojowi open source na systemach Uniksowych
- Koszty wdrożenia związane są tylko z zakupem sprzętu, resztę wymyśliliśmy sami ;)