Fedora 27 Corporate Werkstation Installatie

Linux, onafhankelijk van zijn variaties, is het besturingssysteem dat het meest gebruikt wordt in een server omgeving, meestal zien we dat veel eindgebruikers het adopteren. De inspanning van de medewerkers van de Open Source gemeenschap om Linux vriendelijker en bruikbaarder te maken voor niet-Jedi gebruikers is onmogelijk te missen. Dit werk werd geschreven met de nadruk op zakelijke eindgebruikers en een bedrijfsomgeving (SMB- small-medium business).

Contextualisering

Het Linux Fedora is een van de beste distro’s en kan als echt stabiel beschouwd worden om in de produktie-omgeving voor eindgebruikers te gebruiken, de eerste uitgave was in 2003 met de naam Fedora Core 1 en was gebaseerd op Red Hat Linux die tegenwoordig staal gebaseerd.

Ik koos ervoor dit artikel over Fedora te schrijven omdat het een goede ervaring en resultaten gaf in een echte productie omgeving, voor gevorderde en beginnende gebruikers met veel bedrijfsvariabelen, doeleinden, en activiteiten.

De omgeving van dit artikel bestaat uit het aansluiten van een Fedora Werkstation op een Domain Controller die Samba 4 of Microsoft Active Directory kan zijn, het instellen van het authenticatieproces voor domein gebruikers en domein admins op een werkstation, lokaal of op afstand via ssh.

Dit artikel vermeldt zo wel wat propriëtaire software voor Linux, we moeten er rekening mee houden dat op de echte omgeving veel middelen nodig zijn naar gelang de behoeften van elk bedrijf.

Disclaimer

Dit artikel is geschreven met de eindgebruikers in gedachten en ik kan niet garanderen dat alle instellingen ook in jouw omgeving werken, maar ik kan wel proberen alle twijfels te beantwoorden. Beveiliging is een ander belangrijk onderwerp, maar dit artikel behandelt het niet.

Hulpmiddelen

Is er een aantal manieren om Fedora te installeren, voor testdoeleinden raad ik je aan een Virtuele Machine te gebruiken, je kunt VirtualBox of een andere virtualisatie omgeving gebruiken als je dat liever hebt, zodat je een fysieke computer kunt gebruiken. De eerste vereisten voor de installatie van Fedora zijn een 1GHz of snellere processor, 1GB systeemgeheugen, en 10GB niet-toegewezen schijfruimte. Om de configuratie te voltooien heb je een domein controller nodig, ik raad Samba 4 aan, maar je kunt ook Microsoft Active Directory gebruiken.

Installeren van Fedora 27

Om Fedora 27 te downloaden kun je de directe link gebruiken(http://fedora.c3sl.ufpr.br/linux/releases/27/Workstation/x86_64/iso/) of de voor jou beste mirror kiezen op https://getfedora.org/. Na de download kun je een DVD branden of een bootable pen drive maken met het iso bestand. Meestal gebruik ik Etcher om deze taak uit te voeren, je kunt deze open source software vinden op(https://etcher.io/).

Kies bij het eerste scherm de optie Start Fedora-Workstation-Live 27:

Installeren van Fedora 27

Kies de optie Install to Hard Drive om de installatie te starten:

Installeren op harde schijf

Kies je taal en de toetsenbord indeling van je computer:

Kies je taal

Kies de optie Installatie bestemming en kies de harde schijf die je wilt installeren als je er meer dan een hebt, en vink de optie Automatisch partitionering instellen aan en druk op klaar:

Installatie Bestemming

Kies de optie Begin de installatie:

Begin met de installatie

Stel het root wachtwoord in, je hoeft nu geen gebruiker aan te maken. Een lokale gebruiker zal later gemaakt worden om beheer voor te stellen, onthoud dat deze computer op een domein wordt aangesloten, en dat alle gebruikers uit je netwerk zich op deze computer kunnen authenticeren.

Stel het root wachtwoord in

Denk eraan, gebruik altijd een sterk wachtwoord.

gebruik een sterk wachtwoord

Als de installatie voltooid is, druk je op de knop Quit.

druk op de knop Quit

Werp de ISO of DVD uit en herstart je computer. De basisinstallatie is voltooid.

Na de herstart logt het systeem automatisch in en kun je de aanvullende set-up doen.

Het eerste scherm heeft te maken met de basis configuratie en elke gebruiker kan bij de eerste login zijn eigen Fedora instellingen bepalen.

Kies de taal.

Kies de taal

Kies de toetsenbord indeling.

Kies de indeling van het toetsenbord

Zet de locatiediensten aan als je die nodig hebt.

Zet de locatiediensten aan

Kies de tijdzone.

Kies de tijdzone

Zet voor aanvullende software de optie Proprietary software sources repositories aan:

schakel de repositories van proprietary softwarebronnen in

Maak verbinding met de online diensten van derden Google, Nextcloud, Microsoft of Facebook.

Google, Nextcloud, Microsoft of Facebook

Maak een lokale gebruiker aan door het volgende formulier in te vullen. Alleen als advies, werken met de root gebruiker is geen goed gebruik. Voor dit lab is de naam van de gebruiker localuser:

Maak een lokale gebruiker

Gebruik niet de optie Set Up Enterprise Login.

Gebruik een sterk wachtwoord, de beheerrechten worden automatisch aan de nieuwe gebruiker gegeven.

Stel een wachtwoord in

Het systeem is klaar voor gebruik.

systeem is klaar

Kies Start Using Fedora en meld je aan met localuser om verder te gaan met de configuratie.

Begin met het gebruik van Fedora

Het eerste wat je moet doen na het inloggen is de terminal openen en het systeem bijwerken. Voer de volgende commando’s uit en typ het wachtwoord:

[[email protected] ~]$ sudo su
[[email protected] localuser]# dnf update

Werk het systeem bij

Druk op y en druk op enter. De eerste systeemupdate kan traag verlopen, wees geduldig. Meestal herstart ik het systeem nadat de update voltooid is.

Installeer Extra Repositories en Pakketten op Fedora 27

Om aan het doel van dit artikel te voldoen, moeten we extra software repositories en pakketten van derden installeren. De benodigde repositories staan hieronder opgesomd, voer de volgende commando’s uit om ze te installeren:

[[email protected] ~]$ sudo su
[[email protected] localuser]# dnf install http://download1.rpmfusion.org/free/fedora/rpmfusion-free-release-27.noarch.rpm
[[email protected] localuser]# dnf install https://go.skype.com/skypeforlinux-64.rpm

De onderstaande commando’s zijn om de google repository te configureren:

[[email protected] localuser]# rpm --import https://dl.google.com/linux/linux_signing_key.pub
[[email protected] localuser]# printf '%s\n' '[google-chrome]' 'name=google-chrome' 'baseurl=http://dl.google.com/linux/chrome/rpm/stable/x86_64' 'enabled=1' 'gpgcheck=1' 'gpgkey=https://dl.google.com/linux/linux_signing_key.pub' >/etc/yum.repos.d/google-chrome.repo

Na het configureren van de repositories, voer je het commando uit:

[[email protected] localuser]# dnf update

Begin nu met het installeren van de lijst met alle pakketten die we nodig hebben voor deze Fedora opstelling, ik zal hieronder op een eenvoudige manier laten zien hoe je alle pakketten installeert. Op deze lijst zie je, naast systeempakketten die de Fedora mogelijkheden vergroten, nog enkele extra pakketten die de gebruikerservaring kunnen verbeteren, die gebruikt zullen worden om Fedora 27 op het netwerkdomein aan te sluiten.

samba
realmd
sssd
oddjob
oddjob-mkhomedir
adcli
samba-common-tools
krb5-workstation
openldap-clients
policycoreutils-python
samba-winbind-clients
samba-winbind
gnome-tweak-tool.noarch
java-openjdk
icedtea-web
unzip
thunderbird.x86_64
gimp
vim
gnome-music.x86_64
gnome-photos
p7zip
vlc
curl
cabextract
xorg-x11-font-utils
fontconfig
https://downloads.sourceforge.net/project/mscorefonts2/rpms/msttcore-fonts-installer-2.6-1.noarch.rpm
gscan2pdf.noarch
system-config-printer
tesseract.x86_64
tesseract-langpack-enm.noarch
libreoffice-langpack-en.x86_64
brasero.x86_64
nautilus-extensions.x86_64
brasero-nautilus.x86_64
nautilus-sendto.x86_64
nautilus-font-manager.noarch
gnome-terminal-nautilus.x86_64
nautilus-image-converter.x86_64
nautilus-search-tool.x86_64
sushi.x86_64
raw-thumbnailer.x86_64
Pinta.x86_64
dnf-automatic
dconf-editor
NetworkManager

Om alle pakketten op een gemakkelijke manier te installeren, maak je een bestand aan met de lijst hierboven (een pakket per regel), en start:

[[email protected] localuser]# for i in `cat package.txt`; do dnf install -y $i; done

De installatie kan langzaam gaan, wees geduldig.

Schakel automatische beveiligingsupdates in op Fedora 27

Het is een goede gewoonte om automatische beveiligingsupdates in te schakelen voor een operationeel systeem. Ze bieden veel bug fixes en houden je systeem veiliger.

Om alleen de beveiligingsupdates in te stellen bewerk je met vim het bestand /etc/dnf/automatic.conf en verander je de volgende params (druk op insert om te bewerken):

[[email protected] localuser]# vim /etc/dnf/automatic.conf

Het config bestand moet er als volgt uitzien inhoud. Verander de waarden voor de regels upgrate_type en aply_updates zoals de regels hieronder:

[commands]
#  What kind of upgrade to perform:
# default                         = all available upgrades
# security                        = only the security upgrades
upgrade_type = security
random_sleep = 300
# Whether updates should be downloaded when they are available.
download_updates = yes
# Whether updates should be applied when they are available.
# Note that if this is set to no, downloaded packages will be left in the
# cache regardless of the keepcache setting.
apply_updates = yes
[emitters]
# Name to use for this system in messages that are emitted.  Default is the
# hostname.
# system_name = my-host
# How to send messages.  Valid options are stdio, email and motd.  If
# emit_via includes stdio, messages will be sent to stdout; this is useful
# to have cron send the messages.  If emit_via includes email, this
# program will send email itself according to the configured options.
# If emit_via includes motd, /etc/motd file will have the messages.
# Default is email,stdio.
emit_via = stdio
[email]
# The address to send email messages from.
email_from = [email protected]
# List of addresses to send messages to.
email_to = root
# Name of the host to connect to send email messages.
email_host = localhost
[base]
# This section overrides dnf.conf
# Use this to filter DNF core messages
debuglevel = 1

Om de veranderingen in vim op te slaan, druk je op ESC, wq! en Enter.

Na het veranderen van het bestand moet je het schema van automatische beveiligingsupdates inschakelen:

[[email protected] localuser]# systemctl enable dnf-automatic.timer
[[email protected] localuser]# systemctl start dnf-automatic.timer

Verander de computernaam op Fedora 27

Om de hostnaam van de computer te veranderen voer je de volgende commando’s uit (kies de hostnaam die je wilt, ik gebruikteWorkstation-Fedora27):

[[email protected] ~] sudo su
[[email protected] localuser]# hostnamectl set-hostname --pretty Workstation-Fedora27
[[email protected] localuser]# hostnamectl set-hostname --transient Workstation-Fedora27
[[email protected] localuser]# hostnamectl set-hostname --static Workstation-Fedora27

Om de veranderingen te verifiëren ga je naar instellingen en druk je op details.

Hostname instellingen

Je kunt ook op terminal verifiëren met het volgende commando:

[[email protected] localuser]# hostname

De uitvoer moet de hostnaam zijn, in dit gevalWorkstation-Fedora27.

Schakel SELinux (Security-Enhanced Linux) uit op Fedora 27

SELinux is een acroniem voor Security-enhanced Linux, Het is een beveiligingsfunctie van de Linux kernel. Om dit artikel vriendelijker te houden, behandel ik niet de instelling van SELinux, we schakelen het uit omdat ik problemen vond om de computer op het domein aan te sluiten met SELinux ingeschakeld. Overigens, als je meer wilt weten over beveiliging en SELinux, kun je goede artikelen vinden die dit onderwerp uitleggen. Om SELinux uit te schakelen, voer je het commando uit:

[[email protected] localuser]# vim /etc/sysconfig/selinux

Verander de waarde enforcing in disabled, sla het bestand op en herstart je computer.

Word lid van Fedora 27 op Active Directory of SAMBA 4

Om het Fedora Werkstation aan te sluiten op Active Directory of Samba 4 moet je aandacht besteden aan je netwerk DNS (Domain Server Name), meestal is de eerste DNS van een netwerk het IP adres van de Domain Controller en wordt afgeleverd aan DHCP server (Dynamic Host Configuration Protocol). Als je netwerk omgeving een statisch IP adres gebruikt, moet je het handmatig instellen op het Fedora Werkstation.

Om de DNS configuratie op je netwerk te controleren, voer je het volgende commando uit:

[[email protected] localuser]# nmcli device show

De uitvoer ziet er als volgt uit:

GENERAL.DEVICE:                    enp0s3
GENERAL.TYPE:                        ethernet
GENERAL.HWADDR:                 08:00:27:AA:5E:4F
GENERAL.MTU:                         1500
GENERAL.STATE:                      100 (connected)
GENERAL.CONECTION:           enp0s3
GENERAL.CAMINHO CON:                    /org/freedesktop/NetworkManager/ActiveConnection/0
WIRED-PROPERTIES.CARRIER:              active
IP4.ADDRESS[1]:                        10.0.2.15/24
IP4.GATEWAY:                            10.0.2.2
IP4.DNS[1]:                             10.0.2.100 <<<< DOMAIN CONTROLLER IP ADDRESS
IP4.DNS[2]:                             10.0.2.101
IP4.DNS[3]:                             10.0.2.102
IP6.ADDRESS[1]:                        fe80::a84e:4e53:d696:ddc9/64
IP6.GATEWAY:   

Als de uitvoer geen DNS IP ADDRESS informatie toont, kun je dit handmatig toevoegen via Netwerk configuratie bij Systeeminstellingen of via de terminal. Om dit via de terminal te doen, voer je het volgende commando uit en voeg je de hierboven genoemde informatie in:

[[email protected] localuser]# nmtui

Netwerkbeheerder

Kies de optie Edit a Connection enOK.

Bewerk netwerk verbindingsdetails

Vul nmtui IPV4 Configuratie in volgens de informatie over je netwerkomgeving. Een andere nuttige test is het proberen te pingen van de naam van je domein.

[[email protected] localuser]# ping mylocaldomain.com

Om het Fedora Werkstation aan te sluiten op het domein, voer je de volgende commando’s uit:

[[email protected] localuser]# realm join --user=Administrator mylocaldomain.com

Opmerking: De gebruiker en het domein zijn een voorbeeld, op dit punt moet je een gebruiker met rechten gebruiken om Fedora bij de domein controller te voegen. Als je Fedora wilt ontkoppelen, gebruik dan het volgende commando:

[[email protected] localuser]# realm leave --user=Administrator mylocaldomain.com

Bewerk het bestand /etc/samba/smb.conf :

[[email protected] localuser]# vim /etc/samba/smb.conf 

Voeg de volgende regels aan het bestand toe:

[global]
realm = mylocaldomain.com
workgroup = mylocaldomain
dns forwarder = 10.0.2.100
security = ADS
template shell = /bin/bash
winbind enum groups = Yes
winbind enum users = Yes
winbind nss info = rfc2307
winbind use default domain = Yes
idmap config *:range = 50000-1000000
idmap config * : backend = tdb
store dos attribute = Yes
map acl inherit = Yes
vfs objects = acl_xattr

Sla de veranderingen op (op vim druk je op ESC en “wq!”).

Om cache logins in te schakelen moet je SSSD (System Security Services Daemon) instellen, bewerk daartoe het bestand /etc/sssd/sssd.conf.

[[email protected] localuser]# vim/etc/sssd/sssd.conf 

De belangrijkste regels die we moeten veranderen zijn:

use_fully_qualified_names = False
fallback_homedir = /home/%[email protected]

Het SSSD bestand ziet er als volgt uit:

domains = mylocaldomain.com
config_file_version = 2
services = nss, pam
[domain/mylocaldomain.com]
ad_domain = mylocaldomain.com
krb5_realm = mylocaldomain.com
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%[email protected]
access_provider = ad

Schakel gebruikersauthenticatie in via SSH met Active Directory (SAMBA 4) Fedora 27

Om SSH in te stellen voor de authenticatie op afstand van de domein gebruikers, moet je het volgende bestand /etc/ssh/sshd_config bewerken:

[[email protected] localuser]# vim /etc/ssh/ssh_config

Voeg aan het eind van het bestand de volgende regels toe:

AllowGroups wheel domain^admins domain admins domain?admins
UsePAM yes

Je kunt de groepen instellen hoe je wilt (bv. it_support).

Sudoers gebruikers en Active Directory (SAMBA 4) Fedora 27

Om domein gebruikers in te stellen als lid van sudoers bewerk je het bestand /etc/sudoers :

[[email protected] localuser]# vim /etc/sudoers

Voeg de volgende regels toe:

%domain\ admins ALL=(ALL)    ALL
%[username] ALL=(ALL)    ALL

De tweede regel kun je vullen met de domeingebruikers die beheerdersrechten nodig hebben (bv.%johnwoo ALL=(ALL) ALL).

Inlogvak voor gebruikers in de Fedora 27 systeemsessie

Wanneer we met Fedora 27 in een domein werken komen we een authenticatie probleem tegen wanneer we activiteiten moeten uitvoeren die beheerdersrechten vereisen in een grafische omgeving (Gnome). Wanneer je een toepassing probeert te installeren via het “software” gereedschap, verschijnt een authenticatie vakje voor root of Administrator gebruikers authenticatie. De afbeelding hieronder illustreert dit probleem:

Gebruikers login vak in de Fedora 27 systeemsessie

Om de gebruikersnaam in het authenticatievak te tonen maak je het bestand 51.fedora-admin.conf in de directory /etc/polkit-1/localauthority.conf.d/:

[[email protected] localuser]# touch  /etc/polkit-1/localauthority.conf.d/51.fedora-admin.conf
[[email protected] localuser]# vim /etc/polkit-1/localauthority.conf.d/51.fedora-admin.conf

Voeg de volgende regels aan het bestand toe:

[Configuration]
AdminIdentities=unix-group:admin;unix-group:Domain Admins;unix-user:0

Na de instelling kunnen alle gebruikers van je netwerk inloggen met de eigen gebruikersnaam en wachtwoord om activiteiten uit te voeren die speciale rechten nodig hebben. Alleen gebruikers in het sudoers bestand kunnen activiteiten uitvoeren die speciale rechten nodig hebben.

Authenticatie vereist

De authenticatie van gebruikers die niet in het sudoers bestand staan, mislukt.

Hulpmiddelen voor productiviteit Fedora 27

De produktiviteitsgereedschappen die op Fedora 27 beschikbaar zijn voor gebruik zijn geweldig. Sinds kantoor gereedschappen als LibreOffice of Microsoft Office die via PlayonLinux geïnstalleerd kunnen worden, kunnen voldoen aan de zakelijke behoeften. OCR (Optical Character Recognition ) hulpmiddelen zijn beschikbaar bij Gscan2pdf, GimageReader en ook bij Master PDF, dat het beste gereedschap is om met PDF bestanden om te gaan dat ik ken.

In de communicatie gereedschappen heeft Fedora 27 veel middelen, beschikbaar zijn Skype, Empathy, Thunderbird, Facebook, Telegram, Twitter, Gnome Gmail, Ekiga Softphone, enz.

Als je op een of ander gebied van IT werkt, is Fedora een Zwitsers zakmes. Er zijn veel gereedschappen om op hoog niveau te werken met netwerken (GNS3, Wireshark), software ontwikkeling (Eclipse, Netbeans), omgevingen voor ondersteuning van eindgebruikers (RDP en VNC Clients), testen, media maken, web ontwerp, enz.

Overigens kunnen alle mogelijkheden en de productiviteit verhoogd worden door het gebruik van Gnome Extensions, dat een heleboel uitbreidingen biedt om de Gnome omgeving te integreren met een heleboel diensten en geïnstalleerde toepassingen die hier https://extensions.gnome.org te vinden zijn.