Depois de muito tempo batendo cabeça, resolvi levantar as questões problemática na adoção do GNU/Linux em ambientes mistos corporativos.

Tudo começou quando eu ainda não precisava integrar sistemas operacionais diferentes, quando meus conceitos de SO ainda eram muito verdes. Por alguns motivos, acabei tendendo para a área de administração de redes. Comecei com uma rede pequena e com gestão centralizada, eu ainda não sabia, mas já existiam problemas de controle que passavam desapercebidos na minha falta de experiência. Numa rede maior, percebi o que poderia deixar ou não um ambiente organizado.

Consideremos a verdade. A verdade é que a maioria das empresas/instituições com redes grandes possuem a maior parte de seus servidores e desktop’s com o sistema operacional de Redmond. Nada além da verdade. Mas muitos usuários conhecem o tal de Linux, alguns se aprofundam bastante nele, outros tornam-se maravilhados usuários. Daí, deste jato de disseminação de informações, surge:

“Podemos colocar o Linux na nossa rede também?”

Em servidores, muitos utilizam o Linux para alguns software’s, seja um servidor Web, SQL, FTP etc. O Apache tem uma grande fatia do mercado, o MySQL é muito usado pelos desenvolvedores, e estes são independentes do sistema operacional. Utilizar Linux nos servidores é apenas agregar um novo serviço à rede existente, é trivial.

Agora partimos para os desktop’s. Vamos à mais uma frase célebre de usuário:

“Posso fazer tudo o que faço no Windows no Linux?”

Acho que a primeira resposta é: “Tudo o que?“. O “tudo” que o usuário diz quer dizer: logar com o usuário da rede, utilizar a máquina sem problemas, acessar os compartilhamentos, imprimir na impressora do setor, ter perfil importado, os arquivos guardados e seguros, poder acessar seu e-mail, organizar a equipe, produzir apresentações, ler os memorandos etc. Ok, ok! Já entendemos! “Sua solicitação será passada para o setor responsável para avaliar as possibilidades.”

No setor responsável, geralmente o suporte à rede, alguém ficará responsável por pesquisar, documentar, testar, documentar, projetar, documentar, dimensionar, documentar, implementar o piloto, documentar, apresentar a solução e ainda documentar todo o processo. Vamos por partes. O que precisamos primeiro? Saber sobre o ambiente.

Irei mostrar um ambiente comum, que pode ser visto em qualquer empresa, grande ou pequena. Basicamente o que se encontra: Active Directory (AD). Pronto! Já sabemos quase tudo. O que é o AD?

Bem, agora que já sabemos o que é o AD e como ele funciona, podemos checar como fazer o que o usuário pediu, TUDO. Basicamente temos várias soluções documentadas (!) sobre como integrar o ambiente Linux, através do PAM, com o AD. Dica: existe um software, chamado Kerberos, é ele quem faz a mágica. O que é o Kerberos?

O que primeiro precisamos fazer é: Utilizar o método LDAP para autenticar os usuários e um módulo do PAM com Kerberos. Não vou abordar o “como fazer”, mas sim “o que acontece”. Acontece basicamente que o Linux, ao tentar autenticar um usuário, vai buscar na base LDAP, no caso o Active Directory, e gera um ticket Kerberos se a busca retornar sucesso. Kerberos é uma tecnologia e tanto, ajuda pra caramba quando se trata de integração, infelizmente veremos os problemas.

Ok, usuário logando no domínio, agora qualquer um que tenha um shell válido nos seus atributos poderá logar na nossa máquina Linux. Ponto pro pinguim! Agora vamos às tarefas do dia-a-dia. Vamos acessar os compartilhamentos de rede dos servidores. O Samba + Kerberos (olha ele de novo) dá conta do recado, acessando facilmente os compartilhamentos, sem precisar inserir uma nova senha (utilizando o ticket gerado no início da sessão para gerar outro). Ok, agora vamos montar os compartilhamentos na Home do usuário? O pam_mount veio para resolver seus problemas! Ele é capaz de conversar em várias línguas, inclusive a do Samba. Tarefa cumprida. Agora o usuário não está tão ilhado assim. . .

Próximos passo? Imprimir usando o usuário de rede na impressora do setor. Porque usar autenticação? Basicamente para desperdiçar uma folha de papel com a folha de rosto, mas isto nos dá capacidade de administrar quota e controlar/monitorar o que o usuário imprime, além de facilitar a vida de quem vai separar as impressões. . . Opa! Primeiro problema à vista. O Cups não suporta Kerberos remoto! Ó não! E agora, quem poderá nos defender?!
. . .
Ninguém responde. Não há (até hoje, 19 de maio) forma de fazer esta parte da integração. A solução que encontrei é péssima para o ambiente, péssima para a segurança e pior ainda para o administrador. A solução? Criar um usuário genérico, digamos linuxprinter, com senha divulgada e configura-lo para a impressão no Cups. A coisa fica mais ou menos assim na configuração: smb://linuxprinter:senha@servidor/impressora . Surpresa? O Cups armazena esta linha em texto claro no arquivo /etc/cups/printers.conf. Convenhamos que ter um usuário com permissões irrestritas tendo sua senha armazenada na máquina em texto claro é insanidade. . . O que fazer? Nada. Sentar e documentar. O pingüim perde seu primeiro ponto.

Ok, armengado, mas conseguimos utilizar a impressão. Agora o usuário quer manter seu papel de parede em qualquer máquina que ele logar. Sei que é frescura, mas e daí?, ele quer. . . Poderíamos colocar um servidor Samba para hospedar os Home’s do usuário, pô, massa!. Peraí! Já existe um controlador de perfil. O AD. . . Agora ferrou, o Samba não sabe conversar sobre esse tipo de coisa com o AD. Então, bem, o usuário fica sem o papel de parede dele. Pra mim não tem diferença alguma! Pingüim perde o segundo ponto. Empate.

As tarefas do dia-a-dia são facilmente substituíveis pelos aplicativos Linux. Tá, o OpenOffice não faz maravilhas, não abriu “aquela” planilha que era pra ontem. Mas para a maioria funciona. O Thunderbird ou Evolution ou Korganizer são ótimas suítes organizacionais. Dá pra fazer quase tudo que os aplicativos do MS Office fazem. Meio ponto pro pingüim. Porque meio ponto? Porque eu disse “quase”. Já basta.

Caímos no ambiente. Ah, as frescuras de cada um. Consegue-se um ambiente parecidíssimo com o SO de Redmond facilmente (ou com certa dificuldade), o Famelix que o diga. Em pouco tempo estarão todos acostumados e meio íntimos. Ponto pro pingüim. =)

Ok, depois de tudo isso posso dizer que a solução funciona? Que pode ser adotada? Não. Sempre haverão pequenas coisas que não podem ser integradas. Sempre haverão problemas com a solução. Sempre teremos o usuário reclamando que a impressão dele sai com o mesmo nome do vizinho e então a cota estourou.

Conclusão? Depois de mais de um ano trabalhando com integração de desktop’s Linux num ambiente corporativo misto, posso dizer: “O Linux ainda não está 100% para este tipo de ambiente”.

Enviar artigo em PDF para