LDAP на Linux, общий доступ к файлам и почта. Переход на российское ПО

[Призрак]

Всем привет, с Новым годом. Несмотря на то, что я не признаю российские операционные системы, по причине отсутствия оных, глупый закон есть, его надо исполнять, к сожалению, что заставило меня глубоко задуматься. Единственно, что я умею на Linux, это настраивать WEB сервер, шлюз, а также немного опыта есть работы с DNS сервером, есть даже реально работающая виртуальная машина, на Debian, где адреса динамически обновляются в DNS + DHCP. Просто есть медицинская организация, есть шанс неплохо показать себя, как в плане защиты данных, так и в плане развёртывания инфраструктуры.

Так что в части шлюзов, WEB серверов, DNS серверов вопросов у меня нет, я вполне могу справиться (кстати, в качестве шлюза могу порекомендовать pfsense, убойная штука. по функционалу мало отличающаяся от микротика, но умеющая потрясающе OpenVPN, проверено уже, настраивал лично).

Самый главный, самый важный, самый основной вопрос, который меня волнует, это LDAP, на Linux. Вообще, возможен ли переход на него, с Active Directory, как его правильно развернуть и настроить. Эта штука и на Windows то сложная, а уж как она сложная на Linux, сомневаться не приходится.

Второстепенными вопросами являются настройка общего доступа к файлам и принтерам, я слышал про самбу, даже как то давно пытался её настроить, а также почтовый сервер, я тут уже слышал про Zimbra. Как это всё собрать, настроить, проверить. Возможности моего домашнего компьютера очень широкие, я хотел бы поэкспериментировать дома, на машинах, но я не знаю пока, с чего мне начать.

Ну и ещё хотелось бы узнать, как организуется печать в Linux, вообще, как настраивается, а также установку драйверов, для различных устройств, антивирусную защиту для Linux.

[Уваров А.С.]

Просто есть медицинская организация

На этом сразу можно закончить. Точнее заняться изучением не LDAP на Linux, а нормативной базы по медицине, системы маркировки лекарств, МИС и т.д. и т.п. После чего десять раз подумать - а оно точно надо?

P.S. Лично мы работаем с тремя офтальмологическими клиниками, четырьмя стоматологиями и станцией Скорой помощи, поэтому смело могу сказать, что это одна из самых тяжелых отраслей, лезть туда "кавалерийским наскоком" крайне не рекомендуется.

[Призрак]

Ну, опять двадцать пять, как обычно.

Это получается, что я, чтобы заняться таким делом, должен идти в медицинский и фармацевтический вуз и учиться там пять или шесть лет?

А что вот вы знаете о судебно-медицинской экспертизе? Я немного разбираюсь, в специфике её работы. Самые разные документы, очень важные, в основном, протоколы исследований, которые нужно хранить в строгом секрете, для того, чтобы они не попали туда, куда не надо. Это всё, что нужно там организовать. Да ещё и комфортную работу сотрудников, чтобы каждый работал и не жаловался. Всё это в пределах одного только здания. Кроме того, там оказываются услуги ритуального характера, за что требуется оплата и ничего больше. Какие там лекарства, какие препараты? Разве только реактивы для окрасок и фиксирующие, вроде формалина, спирта.

Вы можете мне не рассказывать, что вы там делаете и кого обслуживаете, мне это неинтересно. Вы команда, а я работаю в одиночку, окучивая всякие форумы, ставя эксперименты. Даже тот шлюз pfsense, прежде чем его внедрить, я долго гонял на виртуальных машинах, прежде чем пришёл к выводу, что он мне подходит. И я работаю не корысти ради, а для того, чтобы укрепить свои знания, принести пользу людям. Мне даже премию годовую на работе не выдали, обидно, очень.

Попросили меня в одном медицинском учреждении, патологоанатомическом отделении, сделать связь, в другом кабинете напротив, по WiFi, чтобы можно было работать с медицинской документацией. Попросили родственники. Обслуживаю это здание не я, но очень попросили, так как тех типа специалистов не допросишься. Думаете я засел за справочники с лекарствами и стандартами? Начал сверлить и долбить стены? Я просто купил инжектор PoE для маршрутизатора Mikrotik, который у меня был, подключил его в кабинете заведующей, к коммутатору, адрес выдавался автоматически. Настроил Mikrotik, поместил его на шкаф и подключил, через этот самый инжектор. Сразу же на половину отделения (а больше и не нужно) есть WiFi, люди могут работать. Красота! Хотя, вы наверное скажете, что я и тут сделал неправильно. Но лезть под потолок, с больной спиной, это экстрим, да и один я был. И сверлить и долбить стены тоже не вариант, грязь и мусор, нужно согласование, да и не нужен везде Интернет. Таким образом. я выполнил свою работу, а люди могут спокойно работать, подключаясь по WiFi, сигнал ровный и стабильный.

Кроме того, я стараюсь ведь для форума. Мало ли кому информация поможет, не только мне! Это уже будет хорошо.

Давайте отбросим в сторону ненужные диалоги. Просто я хочу узнать, кто-нибудь может что-нибудь посоветовать, по этому вопросу? Я знаю, что это сложно, очень, но такова профессия. Я задал конкретные вопросы, хочу получить на них конкретные ответы. Хотя бы в виде ссылок. А если нет, то я пойду, как всегда туда, куда посылают - read this fu***ng manual. Именно по той тематике, которая меня интересует, а не по медицинской. За этим, если потребуется, я обращусь на медицинский форум.

[Уваров А.С.]

Это получается, что я, чтобы заняться таким делом, должен идти в медицинский и фармацевтический вуз и учиться там пять или шесть лет?

Причем здесь медицина как таковая? Я вам говорю о том, что если вы решили взяться за автоматизацию медицинского заведения, то вас в первую очередь должен волновать не вопрос LDAP на Linux или что поставить на шлюз pfSence или Микротик, а изучения нормативной базы по информационным медицинским системам.

То, что вы перечислили, это не "автоматизация" и "развертывание инфраструктуры", а так, отдельные мелочи. Если вы всерьез хотите заняться инфраструктурой медучреждения, то начните с изучения следующих вопросов:

• МИС
• Маркировка лекарственных средств
• Электронная отчетность и документооборот
• Защищенные каналы связи

Это не медицинская тематика, а именно тематики IT в медицине. Если вы не имеете даже представления о том, что я перечислил выше - лучше не лезть.

Даже если брать частные клиники не участвующие в системе ОМС, то там, как минимум, будет маркировка и защита ПДн. И если с ПДн все уже давно разжевано и разложено, то маркировка внедряется здесь и сейчас и нормальной практики пока нет еще ни у кого. Даже на уровне таких крупных учреждений как Скорая, это пока реализовано на уровне "получили инструкции - обновили ПО - настроили инфраструктуру - отчитались о проделанной работе".

Если есть желание окунаться в эту область, то ради Бога, но учтите, что многие вопросы придется решать самостоятельно, готовых инструкций и устоявшейся практики нет. Но все это следует оценить еще на берегу, четко представляя с чем придется работать на самом деле. Потому что вашей заботой и головной болью будет именно то, что я перечислил выше, а не Linux, LDAP и Zimbra...

[Призрак]

Это государственное учреждение, бюро судебно-медицинской экспертизы, не частная клиника. Вы же знаете, как финансируется сейчас бездарно наша медицина, там один захудалый сервер купят и то еле еле. Всё разворовали, растащили, развалили. И вот на фоне этого я стараюсь просто помочь людям, сделать хоть что-то, как вы не можете понять? У них всё дышит еле еле, системный администратор уволился, потому - что не хочет нести ответственность, за порчу и потерю данных. Это не его вина, это беда нашего здравоохранения. К кому они прибегут, в первую очередь, если что случится? Ко мне. Потому - что я единственный их шанс, на то, чтобы у них всё работало, меня уже несколько раз приглашали и я оправдывал свою профессию.

Я очень радовался, когда поставил Mikrotik в другом патологоанатомическом отделении, тоже государственном, потому - что я помог людям. Там смотрят биопсии, оперативный материал, в лаборатории, это во многом определяет постановку верного диагноза, может спасти чью-то жизнь, вернуть здоровье. И я буду делать только бескорыстно, для таких учреждений, потому - что чинуши могут только воровать, пить кровь, а я в меру своих скромных сил стараюсь помочь, чтобы показать, что я не скатился до ворья, которое совсем уже охамело. Печально только, что бескорыстной получается только моя работа, оборудование то стоит денег.

Никакая автоматизация нам не нужна. Вот что я бы сделал, на Windows и не только, неважно на чём, на физических серверах или виртуальных (если виртуальных, то использовал бы Hyper-V).

1. Обязательно основной шлюз. Например, pfSense, с настройкой от внешних вторжений, с настройкой NAT, спрятав за шлюзом все нужные сервисы (почту, web сайт, если будет).

2. Контроллеры домена, два, основной и резервный (я всё ещё немного не понимаю, как лучше это сформулировать - первый новый контроллер домена в новом лесу, второй контроллер домена в существующем домене), с DNS и DHCP.

3. Хранилище файлов, с двумя юнитами, для отказоустойчивости (например, DS3512).

4. Хранилище резервных копий, тоже с двумя юнитами, для отказоустойчивости (например, DS3512).

5. Почтовый сервер, на Exchange, если необходимо.

6. WEB сайт, если необходимо.

Вот я хочу понять, как мне сделать то же самое, но на Linux? Никакая автоматизация мне не нужна, мне отсюда виднее, что мне делать. Вот я и спрашиваю, про LDAP и Zimbra. Больше мне ничего не требуется лишнего, по крайней мере пока.

[Уваров А.С.]

Это государственное учреждение, бюро судебно-медицинской экспертизы, не частная клиника.

Значит у вас будут все четыре пункта.

. Всё разворовали, растащили, развалили. И вот на фоне этого я стараюсь просто помочь людям, сделать хоть что-то, как вы не можете понять? У них всё дышит еле еле, системный администратор уволился, потому - что не хочет нести ответственность, за порчу и потерю данных. Это не его вина, это беда нашего здравоохранения.

Поэтому никаких серьезных изменений. Потому что админ уволился довольно предусмотрительно. Меняйте шлюзы, внедряйте новую почту, делайте бекапы, но не лезьте во все остальное. А если все-таки решитесь, то внимательно изучите все то, что я вам написал выше. Все это есть, без этого медицинская организация такого уровня просто не может существовать. Но это все, скорее всего, жутко фрагментированно, т.е. составные части просто стоят на ПК сотрудников. Сертификаты могут быть в реестре, без копий на физических носителях и т.д. и т.п.

Тут простая переустановка ПК может подкинуть таких проблем, что разгребать утомитесь. При том, что никто ничего точно знать не будет, вас просто поставят перед фактом, что была тут "какая-то программа" в которой мы "что-то там делали" и нужна она прямо вот сейчас и т.д. и т.п.

[Призрак]

Хорошо, тогда давайте договоримся так - я не лезу к рабочим станциям в таком случае, а если лезу, то убедившись, что там ничего такого нет. Если понадобится, я всё это изучу. И знаете почему у меня нет возможности нормально учиться? А потому - что жадность, которая свойственна чинушам, не даёт мне проходить какое - либо обучение иначе, чем за мой счёт. Вот и приходится самому. Если уж учиться, то на полном серьёзе, вот тому, что вы перечислили.

Вообще, на моей работе, в учебном заведении, обязанности распределены чётко - я отвечаю за серверное оборудование, за серверы, за инфраструктуру, за их работу, за резервные копии. Техники у нас отвечают за текущие заявки, как раз по этим рабочим станциям, сетевым неполадкам и прочим вещам, которые в мою компетенцию не входят. Оказать им помощь я могу лишь в самом крайнем случае, когда вопрос слишком сложный для них. Так же мне приходится выезжать в другие учебные корпуса, но, естественно, не по текущим заявкам, которые могут сделать техники. Так же я занимаюсь немного ремонтом оргтехники и электроники.

И вы зря беспокоитесь. Такая ответственная работа, на которой я однажды лишь спорол крупный косяк - забыл передать данные по студентам в ФИС ГИА и Приёма, будь прокляты те, кто придумал и разработал эту систему, а также мой предшественник, который не ввёл меня как следует в курс дела, научила меня осторожности. Я тогда получил выговор, с занесением в личное дело, из-за ослов из минздрава. Семь раз отмерь, один отрежь. Прежде чем что-нибудь сделать, внедрить в реально работающую инфраструктуру, я тщательно проверяю всё на виртуальных машинах. Чётко смотрю настройки, как это будет работать, к каким последствиям приведёт то или иное моё действие. К тому же у меня появилась полезная привычка - журнал системного администратора. Все настройки, все свои действия я записываю туда, чтобы в случае возникновения проблем посмотреть "а что я там менял то?". Это даёт мне преимущество в быстром восстановлении работоспособности, в случае, если возникли какие - то проблемы, можно просто вернуть всё назад.

Поэтому то я и спрашиваю совета. Меня не интересуют рабочие станции, меня интересует только серверная часть. Это я к тому, чтобы пока вопрос о том, что вы перечислили, не поднимался пока. Просто подскажите, в каком направлении мне двигаться. Моё слово железное - пока я не испытаю всё на машинах, никаких внедрений не будет. Всё должно быть выверено.

Шлюз я уже знаю как сделать. Два DNS сервера я тоже могу осилить, только есть вопрос (это не по судебно-медицинскому учреждению) - допустим, я в первом корпусе делаю основной и подчинённый, в сети 10.0. Во втором корпусе как мне нужно сделать, в сети 20.0? Они связаны между собой OpenVPN, DNS серверы планируется сделать на Debian. Вот тут то самое сложнейшее - это службы каталогов. Слышал я, вроде бы есть Zimbra LDAP, но не уверен, что она бесплатная. Или openLDAP. Только вот ещё дикая сложность - синхронизация этой самой службы каталогов, между корпусами.

[Уваров А.С.]

Сразу вопрос - для чего служба каталогов, если для Windows машин, то разворачивайте AD и без вариантов. Единственный аналог - Samba 4, то там не все гладко c GPO/GPP. При наличии серверных лицензий это легко делается размещением контроллеров в виртуалках.

[Призрак]

Вот как раз хотел сказать о том, что наши не слишком умные законодатели, которые мозги продали сатане за деньги, а не только душу, выпустили закон, по которому запретили закупать зарубежное программное обеспечение, заменяя его бредом из российского реестра программ. Вот это меня беспокоит. В этом случае я ведь не могу закупать серверные версии. Вот вы спрашивали тогда, почему я сижу на старье? А вот потому - что новые программные продукты мы не можем закупить, только по этой причине. И не только мы, все страдают от этого закона.

Именно поэтому я хотел бы изучить службу каталогов на Linux, чтобы быть готовым к возможным проблемам. Я и хотел посмотреть, к чему это может привести. Подводные камни везде есть. Вот Zimbra, кстати, в бесплатной версии к Outlook е подключается. Вот и хотелось бы узнать побольше, провести пару экспериментов, что и как работает. Особенно с DNS. У нас начали вредничать те, кто поставляет нам DNS, грозятся отключить, поэтому проблема как никогда актуальна.

[Уваров А.С.]

Здесь вопрос в другом, если мы полностью переводим инфраструктуру на Linux, то и службу каталогов берем открытую, это нормально. Но если мы оставляем рабочие станции на Windows, которые пытаемся прикрутить к открытой службе каталогов - получается печально.

Вот Zimbra, кстати, в бесплатной версии к Outlook е подключается.

Учитывая стоимость офисного пакета (без которого Outlook не приобрести) и того, что все нужное есть в веб-интерфейсе проблема неактуальна.

Особенно с DNS. У нас начали вредничать те, кто поставляет нам DNS, грозятся отключить, поэтому проблема как никогда актуальна.

Проблемы с внешней зоной прекрасно решаются либо Bind, либо покупкой DNS-хостинга.