Fleet Commander: различия между версиями

Материал из ALT Linux Wiki
(Add description of installation fc-client)
(Add fleet commander troubleshooting)
Строка 88: Строка 88:


Создадим доменного пользователя. Это можно сделать как через консоль, так и через web-интерфейс по адресу FreeIPA сервера, войдя под "админской" учетной записью.
Создадим доменного пользователя. Это можно сделать как через консоль, так и через web-интерфейс по адресу FreeIPA сервера, войдя под "админской" учетной записью.
== Устранение неполадок Fleet Commander ==
Для отлавливания любых ошибок возникших во время работы Fleet Commander Admin необходимо добавить <code>''log_level = debug''</code> в <br>''/etc/xdg/fleet-commander-admin.conf''. Возникшие ошибки можно отследить используя ''journalctl''.
=== Can’t initialize Fleet Commander ===
Проверьте установлен ли ''freeipa-desktop-profile'', если нет, то установите. Часто такая ошибка может возникнуть в случае отсутствия домашнего каталога, если установка FreeIPA Server была запущена без опции ''--mkhomedir''. Для решения данной проблемы можно воспользоваться командой:
# mkhomedir_helper `username`
Если вышеприведенные способы не помогают, проверьте есть ли у администратора доступ к командам интерфейса:
# ipa console
(Custom IPA interactive Python console)
>>'deskprofileconfig_show' in api.Command
False
В этом случае кэш пользователя должен быть удален, это можно сделать добавив <code>''force_schema_check = True''</code> в ''/etc/ipa/fleetcommander.conf'' в секцию ''[global]''.
=== Не заходит под доменным пользователем ===
После создания доменного пользователя и попытки входа может возникнуть ошибка недоступности домашнего каталога. Обычно помогает выполнение
# ssh -l `username` localhost
после чего попытка входа под доменным пользователем удается.
=== Error getting domain list ===
Ошибка, которая возникает при попытки подключения к live-сессии. Обычно проблема связана с неправильной конфигурацией libvirt-хоста. Проверьте установлен и запущен ли libvirt-client на libvirt хосте.


[[Категория:Корпоративная инфраструктура]]
[[Категория:Корпоративная инфраструктура]]

Версия от 11:32, 3 августа 2020

Fc ico.png.png

Fleet commander - это инструмент для управления и развертывания профилей в большой сети пользователей и рабочих станций.

Fleet Commander состоит из трех компонентов:

  • плагин FreeIPA, который позволяет хранить профили на контроллере домена
  • плагин Cockpit, отвечающий за администрирование и предоставляющий интерфейс
  • служба на стороне клиента, которая работает на каждом узле сети.

Fleet Commander использует libvirt и KVM для запуска сеанса виртуального рабочего стола, который позволяет пользователю в реальном времени редактировать конфигурацию приложений в системе шаблонов, которая будет применена на клиентах.

Установка и настройка Fleet Commander

Как уже говорилось выше, Fleet Commander состоит из трех компонентов. Рассмотрим пример развертывания Fleet Commander на четырех машинах:

admin, client, template, libvirt host.

Установка и настройка Fleet Commander Admin

Предварительно необходимо установить и настроить FreeIPA сервер, с созданием домашнего каталога (добавить опцию --mkhomedir). Инструкцию по установке FreeIPA сервера можно посмотреть в соответствующем разделе.

Далее установим необходимые пакеты

# apt-get install freeipa-desktop-profile cockpit

и запустим

# systemctl start cockpit

web-интерфейс Cockpit будет доступен по адресу

http://localhost:9090/

вход осуществляется по логину указанному при установке FreeIPA сервера.

Установим Fleet Commander плагирн для Cockpit

# apt-get install fleet-commander-admin

после перезагрузки демона Cockpit на web-интерфейсе появится доступ к настройке Fleet Commander.

Настроить Fleet Commander достаточно один раз при первом запуске. Окно настроек выглядит следующим образом:
Fc settings2.png

Fleet Commander позволяет установить глобальную политику для определения того, как применять несколько профилей: к конкретному пользователю, к группе, к хосту, к группе хостов. По умолчанию это User-Group-Host-Hostgroup.

В форму настройки необходимо ввести адрес и имя пользователя libvirt-хоста для подключения. Если пользователь не является привилегированным, то переключаем Libvirt mode в режим сеанса.

Для запуска live-сессии необходимо работающее ssh-соединение с libvirt хостом. Fleet Commander генерирует собственный открытый ключ, который необходимо добавить в .ssh/authorized_keys для соответствующего пользователя на libvirt хосте. Это можно сделать с помощью Install public key на форме настройки, при этом будет необходимо ввести пароль пользователя. Пароль используется только для установки ключа и нигде не хранится.

Работа с профилями

После настройки Fleet Commander Admin необходимо создать и настроить профиль. Редактирование профиля производится из этого же интерфейса. После нажатия Add Profile появится форма настройки профиля:
Profile settings1.png

Форма настройки профиля содержит следующие поля:

  • Name - имя профиля
  • Description - описание профиля
  • Priority - приоритет профиля
  • Users - пользователи, к которым будет применен профиль
  • Groups - группы, к которым будет применен профиль
  • Hosts - хосты, к которым будет применен профиль
  • Host groups - группы хостов, к которым будет применен профиль

Если не указан ни один хост или группа хостов, то профиль будет применен к каждому хосту состоящему в домене.

После редактирования профиля сохраним изменения и перейдем к настройка libvirt хоста.

Настройка libvirt-хоста

В качестве libvirt-хоста может выступать как отдельная машина, так и машина с Fleet Commander Admin.

Установим необходимый пакет

# apt-get install libvirt

и запустим его сервис

# systemctl enable libvirtd.service
# systemctl start libvirtd.service

Если есть необходимость использовать привилегированного пользователя libvirt хоста, то необходимо разрешить root-доступ по ssh. Для этого в конфигурационном файле /etc/openssh/sshd_config нужно указать PermitRootLogin yes и перезагрузить ssh-сервис:

# systemctl restart sshd.service

Настройка шаблона

Шаблон это отдельная машина с запущенным на ней Fleet Commander Logger. Шаблон запускается на "админской" машине в live-сессии. Логгер отслеживает сделанные изменения в шаблоне и сохраняет их.

Если в качестве libvirt хоста используется FreeIPA сервер, то шаблон необходимо иметь на нем же.

На template-машине достаточно установить логгер:

# apt-get install fleet-commander-logger

После выключения шаблона можно попробовать запустить live-сессию. Для этого в web-интерфейсе cocpkit'а необходимо нажать Edit напротив нужного профиля и внизу всплывшего окна кнопку Live session. В появившейся форме будет список всех доступных шаблонов, кликнув по шаблону он начнет загружаться.

Установка и настройка Fleet Commander Client

Клиентская машина должна быть введена в домен, как установить и настроить FreeIPA Client можно посмотреть в соответствующем разделе.

Установим необходимый пакет:

# apt-get install fleet-commander-client

Создадим доменного пользователя. Это можно сделать как через консоль, так и через web-интерфейс по адресу FreeIPA сервера, войдя под "админской" учетной записью.

Устранение неполадок Fleet Commander

Для отлавливания любых ошибок возникших во время работы Fleet Commander Admin необходимо добавить log_level = debug в
/etc/xdg/fleet-commander-admin.conf. Возникшие ошибки можно отследить используя journalctl.

Can’t initialize Fleet Commander

Проверьте установлен ли freeipa-desktop-profile, если нет, то установите. Часто такая ошибка может возникнуть в случае отсутствия домашнего каталога, если установка FreeIPA Server была запущена без опции --mkhomedir. Для решения данной проблемы можно воспользоваться командой:

# mkhomedir_helper `username`

Если вышеприведенные способы не помогают, проверьте есть ли у администратора доступ к командам интерфейса:

# ipa console
(Custom IPA interactive Python console)
>>'deskprofileconfig_show' in api.Command
False

В этом случае кэш пользователя должен быть удален, это можно сделать добавив force_schema_check = True в /etc/ipa/fleetcommander.conf в секцию [global].

Не заходит под доменным пользователем

После создания доменного пользователя и попытки входа может возникнуть ошибка недоступности домашнего каталога. Обычно помогает выполнение

# ssh -l `username` localhost

после чего попытка входа под доменным пользователем удается.

Error getting domain list

Ошибка, которая возникает при попытки подключения к live-сессии. Обычно проблема связана с неправильной конфигурацией libvirt-хоста. Проверьте установлен и запущен ли libvirt-client на libvirt хосте.