AstraLinux

[dimon4ic]

Здравствуйте! В связи с импортозамещением в бюджете и переходом на "наши системы" то есть допустим астра линукс, что ставить на астре-какой сервер рпд сессий, и что выбирать в конфигураторе втваре? и как обстоят дела с перенаправлением флешек, принтеров, сертификатов. Заранее Спасибо!

[dimon4ic]

через rdp в xrdp не проходит, в vnc та же ситуация

[aka]

через rdp в xrdp не проходит, в vnc та же ситуация

1. mstsc.exe с виндовса на тот же xrdp подключается?

2. http://wtware.ru/logs.html

[dimon4ic]

С винды полет норм, там в xrdp сперва авторизуху, потом в саму линуксовую проходит, с nla и без, разницы нет, пожалуйста ждите и чёрный экран, буду на месте лог сниму. Лучше ваш софт добить, а то с астры мануал по тонкому клиенту нихрена не понятный, в понедельник лог сниму, если есть варианты предлагайте

[dimon4ic]

Протестил на другом кампе, через nla работает, только флеха чёт не прокидывается, чувствую принтеры, сканеры тоже не полетят. Вложение с того кампа, где картинка не пошла.

[aka]

В логе оно сломалось на драйвере видеокарты. Это точно нужный лог? Тому, что в логе, не хватает прошивки драйвера видеокарты. Надо зайти с другого компьютера на веб-интерфейс терминала (ip терминала 192.168.0.37) , и на веб-интерфейсе терминала будет написано, что скачать и куда записать.

[dimon4ic]

а по флешкам не подскажите как сделать так чтоб ловились, в астре только в конце это описано и то как понимаю это в образе тонкого/толстого клиента https://wiki.astralinux.ru/pages/viewpa ... d=53642256 с виндой то всё чётко работает. есть у альта тема https://www.altlinux.org/Xrdp-usb но выцепить их пакет не получится, альт вроде на центос а астра на дебиане

[aka]

а по флешкам не подскажите как сделать

Настроить Астру. Разобраться, как там работает. Рассказать. По аналогии сделаем с втварью.

По первой ссылке - вижу, как флешка монитруется на клиенте. Что с ней делается дальше, как её видит астра?

По второй ссылке - используется usbip. Не надо выцеплять никакой пакет, это в линуксовом ядре из коробки есть. Когда у тебя будет это работать с астрой, пиши, придумаем как сделать в втари.

[dimon4ic]

Имеем лог терминала, куда подключил флеху и юсб жесткарь
настройки терминала
display=1920x1080
graphic=abcdefg
infobox=always, shutdown, reboot
sound=on, stereo
turnoffmenu=poweroff
server=192.168.0.35, NLA
disk=cdrom; usb
smartcard=auto, rutoken
shared_disk=cdrom; usb
usb=mass_storage
wtrc_password=NWDemHiBanNoYzKt3T5iOg
connection

RDP настраивался по мануалу https://www.mihanik.net/astra-linux-ust ... p-servera/
в самом конфиге ничего про проброс юсб не сказано
есть намёк на убунте на xfreerdp командой, но не есть удобно, да и юзерей напрягать знаниями линукс не хорошо https://acisi.livejournal.com/60041.html
linux-tools из мануала тоже не помогла https://wiki.astralinux.ru/plugins/serv ... w/79168306
поразвлекался с usbip по статье с хабра https://habr.com/ru/post/308860/ безрезультатно.
флехи под виндой как подобие сетевых дисков пробрасывались, как то надо чтоб под линуксом что то подобное иль как флешь, чтоб не надо было вводить пароль рута при монтировании, ну и с сертами и принтерами тоже была возможность
Сервис удалённых юсб накопителей тоже ничего не показывает

[aka]

Покажи скриншоты, как ты это настроил на штатном линуксовом клиенет и всё заработало.

[dimon4ic]

У меня работает только rdp сессия, флехи не пролетают в сеанс, все настройки ковырял исходя из ссылок предыдущего сообщения, ничего глобального не творил. Можете развернуть астра линукс орел на виртуалке, и затестить пробросы юсб, думаю знаний по линуксу у вас не меньше моего, раз свой линукс образ скомпилировали. Авось получится
Скачать тут https://download.astralinux.ru/astra/stable/orel/iso/
Внизу стабильная версия.

Есть тема про клиентский образ, ток непонятно как он собирается, чёт не въехал https://wiki.astralinux.ru/plugins/serv ... w/53642256 лучше бы выложили они образ хдд для запиливания на харды. Но в втваре конфигуратор дисков/флешек и админка удобнее
Если заработает, можно расширить объем клиентов и обновить инфу по возможностям на сайте. Затестить потом ещё на альт линукс, роза и подобных, те кто на других сборках сидят.

[dimon4ic]

есть идеи?

[aka]

Нет интереса разбираться с Астрой.

[dimon4ic]

печаль

[aka]

Разработчику будет интересно поработать с теми, кто уже юзает линукс терминалы и разбирается в них.

[dimon4ic]

Увы те кто юзает грамотно, не расписывает детально мануал в инете, а кто по примитивному, тут и расписывать нечего

[dimon4ic]

Надо попробовать https://redos.red-soft.ru/base/server-c ... trol/x2go/
https://youtu.be/VCPUVjgrFJA

[dimon4ic]

Можете добавить freerdp в сборку, а то с крафта только на нём флехи пролетают и картинка норм. Принтер по пид виду втваре не пролетает. Флешка по пид вид сьедается, но как на ней начнёшь что то делать, отваливается, до перезапуска сеанса, серты тоже не хотят работать как с арт карты на астре. Из всех возможных рдп бесплатных клиентов на дебиане с xfce не удалось нормально на астру что то прокинуть.

[aka]

Можете добавить freerdp в сборку, а то с крафта только на нём флехи пролетают и картинка норм.

На втваревом RDP клиенте всё должно быть лучше. Покажи скриншоты, что именно заработало с freerdp и не заработало с втварью. Скриншоты!

[dimon4ic]

лог при работе с втваре, вставлены флехи + серт
при попытке скопировать что то на флеху, она отваливается и не появляется, перетык флехи не помогает
конф терминала
server=192.168.0.36, NLA
display=1366x768
graphic=abcdefg
infobox=always, shutdown, reboot
sound=on, stereo
turnoffmenu=poweroff
disk=cdrom; usb
smartcard=auto
shared_disk=usb
wtrc_password=91ycOI+/hJdW791lN82LJA
wtrc=on
connection

[dimon4ic]

freeRdp чёт не захотел с флехами дружить с крафта в этот раз

[dimon4ic]

в X2go даже папочка специальная появляется при подключения внешних носителей и обе флехи видятся, но серты нет

[aka]

freeRdp чёт не захотел с флехами дружить с крафта в этот раз

Я правильно понял: твой RDP сервер не умеет писать на флешки терминала? Ни на втварь, ни на freerdp?

[dimon4ic]

В x2go в крафтовом терминале работает и free rdp работало в стабильной 4,8 версии, что кидал в личку, x2go работал только в бэтке 4,8,2, но после неё на тот терминал они больше прошивок не делали

[dimon4ic]

Пробросы ни с альта ни с дебиана, ни с астры через x2go, freerdp, не удалось прокинуть в чистом виде без пидвид

[dimon4ic]

судя по ярлыку в x2go там используется sshfs, видать при входе в сессию отслеживает и монтирует удалённый носитель

[dimon4ic]

через remminna флехи пролетают(и то путём выбора её как общей папки), серты нет

[dimon4ic]

если шарим по bus ID и пытаемся подрубиться на сервере но не проходит, что может быть? порты открыты, сервер сам на себя шарит, а к втваре и к той же астре, при подключении, выдаёт эту ошибку

[dimon4ic]

удалённо тоже с сервера список не выводит

[dimon4ic]

Дайте подсказку? Плиз

[aka]

В втвари сейчас точно нет usbip. В астре наверное же есть, но нужно пакет поставить и настроить чтобы запускалось и раздавало.

[dimon4ic]

Команда относится к linux-tools что думаю использует втваре, usbip если только порты смотреть

[dimon4ic]

Увы кроме него из бесплатных ничего более не работает

[dimon4ic]

На другом серваке флеха с астры долетела, завтра с втваре попробую

[dimon4ic]

А сегодня не долетела, не с астры, не с втваре, ни на сервер ни на чистый дебиан, что то работает через заднее место

[dimon4ic]

Можно чтоб в втваре заработал linux-tools, а то по инструкции в чистой астре (сервере и клиенте) по данной инструкции https://wiki.astralinux.ru/pages/viewpa ... d=79168306
пробрасывает и серт и флеху (для серта правда на получаемом клиенте сервере терминалов надо ещё кое что доставить по драйверам чтоб он виделся, но не критично)
при пробросе с таким конфигом

display=1440x900
graphic=abcdefg
keyswitch=alt-shift
user=sisastra
sound=on, stereo
bpp=16
skin=sample
server=192.168.0.35, NLA
usb=1-7
wtrc=on
wtrc_password=eZSQ8O0x1oVgStBPIE6n4Q
connection

Ошибка именно с втваре терминалом

[dimon4ic]

Доставляем это для рутокена

[dimon4ic]

Если добавите возможность x2go рдп клиента иже с ним проброса принтера x2go cups, то капризных печатающих машин будет меньше по юсб https://wiki.astralinux.ru/plugins/serv ... w/41191902

[dimon4ic]

Вот и будет кросплатформенный образ со всеми потребностями

[dimon4ic]

Уже не хуже ltsp системы, конфигуратор хоть и на винде но не критично, по большей части конфиги можно и так бллкнотом править

[dimon4ic]

Увы без рута флехи не монтятся, но это другая история, в гугле думаю есть ответы.
Печально то что все что примонтируется будет видно у всех, к счастью флехи на втором плане, главное серты и принтеры, хоть и будет общий список выпадать, главное всем задать личные пароли на серт. Может в ltsp решён этот вопрос, на первом этапе этого хватит

[dimon4ic]

внедрите?

[aka]

Должно быть так: "У нас полсотни пользователей на этом работают несколько лет, и всё устраивает. Внедрите?"

[dimon4ic]

У нас около 400 терминалов пока что под вин сервер, а переход на линукс неизбежен, с Вашей помощью соберём настоящие терминалы и автоматизируем процесс, будет полезно и другим бюджетным и частным организациям. Будем очень благодарны если поможете в этом! спасибо за понимание

[dimon4ic]

Предполагаю, если отладить это дело под линукс, то появятся желающие перейти и на него, чтоб не покупать дорого стоящие сервера и call лицензии, уже много продуктов запилено под линукс, а что то ушло в веб среду, местами нет особой потребности оставаться на виндовом серваке, если только не ради майкрасофт офиса))

[paralon12]

отвечая на последнее сообщение. микрософт офис отлично себя чувствует в астралинукс (Wine/PlayOnLinux). Со студентами на практике разбираем импортозамещение, уже на 3 задании сходу запиливают офис 2003-2016 в астру.
В целом подход такой: все что можно приземлить на отечественную ОС - приземляем, что нельзя эмулируем в Wine, что совсем не сдается: генерируем ВМ с Windows и даем к ним RDP.
Напомню остается целый класс АРМ, где для работы хватает тонкого клиента.

Про полезность wtware в связке с отечественными ОС: подтверждаю спрос есть. У меня ряд проектов в медицине в образовании запилены на Wtware. Везде повсеместное внедрение отечественных ОС. Новые терминальные сервера будут точно под российскими ОС, а вот клиентов я вижу по прежнему под wtware. Поэтому в прогрессе этой ветки форума заинтересован.

[dimon4ic]

Какой то косяк в этой астре ещё ппц, на виртуалке всё работает, на физическом делаю один в один нет...
доберёмся до скриптов, опубликуем
Читаем ниже, есть свежий

[dimon4ic]

обнаружилось, что в xrdp при подключении к серверу випнет блочит токен и не даёт его считать, с x2go работает

[dimon4ic]

на freeRDP тоже не работают токены, блочит випнет, остаётся только x2go. Буду признателен во внедрение его в следующую сборку, спасибо! В випнет написал, посмотрим что скажут. В x2go масштабирование от астры на тестовом стенде вылезает от свойств экрана, при входе в сеанс, типа pdi не может принять, как победить не знаю, чтоб не появлялось при сеансе. Может в других мониторах другой фирмы или по цифре данного косяка не будет, может в другом проводнике типа xfce этого бага не будет

[dimon4ic]

Монтирование токена рутом на сервере https://www.linux.org.ru/forum/admin/16 ... d=16986910
Думаю принтеры и флехи аналогично
Решение проблемы в x2go https://www.linux.org.ru/forum/desktop/ ... d=16986891

[dimon4ic]

Пока так, предложения и пожелания учитываются...(вложения свежие ниже)
с wtware бы чтоб работало, вдвойне хорошо:))

[dimon4ic]

пока самый жесткий косяк это все юзеры увидят все токены, надо задавать индив пароль на токен и не делать его в автологон при входе юзера, только по требованию
все токены попадают при рутовском маунте в текущем пользователе /dev/bus/usb/005 и имя файла -005
Хоть принтер печатает и то здорово

[dimon4ic]

По монтированию в юзера токена или флехи, если есть готовое решение, то рассказываем или черпаем идеи https://www.linux.org.ru/forum/admin/16986875
И верим в чудо, внедрения Linux tools и x2go клиента в втваре
Vnc конечно можно поюзать, но говорят трафик хорошо ест https://www.linux.org.ru/forum/desktop/16990382
Увы по випнету тишина https://infotecs.ru/forum/topic/18149-x ... %80%D0%B5/ чтобы xrdp с токеном юзать
Думаю будет интересно почитать пост про удалённую помощь на линуксе https://www.linux.org.ru/forum/admin/16 ... d=16990866

[dimon4ic]

Для администрирования в стиле темвьювера огонь, развернули у себя сервер идишников и в путь
Сервер
https://rustdesk.com/docs/ru/self-host/install/
Клиент
https://rustdesk.com/
выяснилось, что энидеск и растдеск не хочет стартовать в сборке смоленска в режиме орёл. Надо заюзать смоленск в режиме безопасности смоленск. На обычном толстом клиенте орла всё норм.

[dimon4ic]

Напишите пожалуйста, если что нибудь внедрите в данной теме или совсем нет перспектив? (по перенаправлению linux-tools и x2go клиент сессии)

[aka]

Перспективы появятся после того, как эта тема будет отработана на живых пользователях. Работать на теорию совсем некогда

[dimon4ic]

Перспективы появятся после того, как эта тема будет отработана на живых пользователях. Работать на теорию совсем некогда

С точки зрения проброса с толстого клиента тут тема отработана, а правильности работы на сервере это уже другой подход, по факту с моего мануала должно все работать на толстом, только пока все токены у всех тема не отработана. Лично я не дружу с си++ чтоб бинарник написать - обработчик скана порта и выдачи на юсб юзеру к кому улетает токен. Принтер после проброса печатает, флеху не мучал, тк она не интересна, но точно пролетит, и пробросится палюбэ. По випнету если купим техподдержку, то может добьем вопрос с xrdp, когда это будет хз. Пока на х2go, внц говорят трафик кушает, не хочется внедрять тк юзеров на терминале 20+ будет. У кореша на крипто про все норм с xrdp. Если внедрите хотя бы шару юсб, можно будет уже раскидывать терминалы, кому не нужен токен, ну или на худой конец развернул для нуждающихся в токене - внц, остальные по xrdp пусть сидят. X2go можно и чуть позже, хотя там ничего сложного не должно быть, норм клиент, не хуже vnc.

[dimon4ic]

Можно даже рустдэск сервер внедрить для помощи терминальным клиентам. Увы только на толстые клиенты и пк. На дебиан 11.5 не смог по мануалу запустить, только через докер контейнер. Раз по факту собрана на убунту, может на ней без докера и заработает

[dimon4ic]

Главное создать клиент, а на сервере у себя может каждый творить по способностям. Да и идём мы исходя из бесплатных пакетов, а не платного софта, где все отлажено. И нет в инете мануала, где все разложено по полочкам, создаём с нуля сами.

На Астре ставим уровень защиты Смоленск или Воронеж, а то не будет сертификации фсэк (ну и зависит от вашей лицензии).

[dimon4ic]

Какой из vnc серверов работает с wtware в клиенте?
Чтобы при открытии сеанса можно было вводить только учётку, без ввода рут пароля на подключение по порту.
В моём случаё только TurboVNC с этим справляется с астры в многопользовательском режиме, но из втваре среды, если указать протокол, сервер vnc и порт, тонкий клиент не подключается

[aka]

У тебя в линуксе есть какой-то VNC сервер.

Подключись к нему из виндвоса другим VNC клиентом. Не того же производителя. Обязательно другим. Если другой клиент из виндовса подключается, а втварь не подключается - показывай лог втвари, будем чинить.

[dimon4ic]

с x11vnc не получается создать коннект, tightvncserver не умеет с многопользовательской сессией работать и каждый раз вводить пароль доступа подключения не хорошо и на каждого пользователя в этом случае надо новый порт забивать, с TurboVNC такого нет, спрашивает только учётку и пароль, но с другими клиентами кроме турбо не дружит

[dimon4ic]

по поводу ФСТЕК https://cloud.mail.ru/public/9UY5/poQddcwRY

[aka]

Наша позиция: WTware не является средством обработки персональных данных и не реализует функции защиты информации. Так же, как прошивка свича или BIOS компьютера. Никакие персональные данные не обрабатываются и не хранятся в WTware.

[dimon4ic]

Говорят что Орёл нельзя юзать, если будут токены с подписями, только Воронеж и Смоленск, по факту хватит Воронежа, если нет гостайны. Это на десктопы ценники, серверная дороже.

Берите ALD Pro тут и домен и всякое другое можно развернуть на 8 серверах, по одной лицензии, итого 32,5 на сервер получается, если учитывать, что алд 260 условно, а если по торгам в аукцион и того дешевле.
Не забываем для ald про клиентские лицензии тех пк которые заведете в этот домен, там ещё 1300 за пк, может оптом дешевле

[dimon4ic]

В випнет - инфотех написал по поводу xrdp ждём ответа баг признали. Будет решение либо в новой сборке kpi либо пока вышлют мануал как в текущей победить.

[dimon4ic]

Внедрите хотя бы linux-tools, если мне випнет вылечат, то turbo vnc и х2го не нужен будет, хотя если и они будут в сборке, то если будет какой то косяк в xrdp, то хоть будет альтернатива, или кому то альтернатива будет больше по вкусу, Пожалуйста
Пока это самые глобальные проблемы, дальше будет дальше...
Плюхи в ALD может и будут, но его ещё надо купить, может что то для втваре из него можно выцепить как фишку или модуль

[aka]

Внедрите хотя бы linux-tools,

Какую команду ты хочешь выполнить в втвари?

[dimon4ic]

Внедрите хотя бы linux-tools,

Какую команду ты хочешь выполнить в втвари?

sudo usbip bind -b 1-1 шарим токен и/или принтер

[dimon4ic]

Чирканите весточку как внедрите, спасибо

[aka]

1. Скачай, поставь и запусти это:

http://wtware.com/testing/202211061328.zip

2. В конфиг терминала добавь две строки:

Код: Выделить всё

usbip = on
extra = telnetd

3. Загрузи. Проверь, что загрузилась версия 6.0.87. Заходи телнетом на терминал:

Код: Выделить всё

telnet 192.168.1.123

Вместо 192.168.1.123 подставь IP терминала. Того терминала, в конфиг которого добавлены две строки.

В телнете должна запуститься команда:

Код: Выделить всё

usbip bind -b 1-1

sudo не нужен.

Что ты будешь дальше делать с выполненной командой?

[dimon4ic]

Спасибо Монтировать уже на сервере, в випнет напишу ещё, что они порешали, тем у кого крипто про будут довольны! А это пока на автомате при старте не будет работать? А то каждый раз телнетом не есть удобно или в релизе выйдет в рабочем виде? Что в конф записал и при старте терминала шарится

[dimon4ic]

Те кто сидит в этой ветке форума, просьба отписаться тоже о результате... Ну и варианты чтоб токен к конкретному юзеру улетал, а не чисто на сервер, чтоб все у всех не светить

[aka]

А это пока на автомате при старте не будет работать?

А никто не говорил про автомат. Выполнена заявка "внедрить...чтобы команда запускалась".

Проверь на живых пользователях. Если на живых пользователях оно заработает, будем думать про автоматизацию при старте.

[dimon4ic]

А это пока на автомате при старте не будет работать?

А никто не говорил про автомат. Выполнена заявка "внедрить...чтобы команда запускалась".

Проверь на живых пользователях. Если на живых пользователях оно заработает, будем думать про автоматизацию при старте.

через turboVNC проверил, как в доменном пользователе, так и в локальном работает, в техподдержку випнет написал, жду ответа. Если есть возможность внедрить x2go клиент и turboVNC для альтернативного входа, буду благодарен, где токены видятся

[dimon4ic]

Вебинар https://youtu.be/6GFkGmRQmL4
Презентахи https://cloud.mail.ru/public/stVu/6ED9x2paU

[dimon4ic]

Можете для нескольких устройств добавить проброс, как это у вас сделано в другом параметре, 4х хватит однозначно.
Думаю будет тем ещё полезно, кто хочет шарить буховские токены и будет токен сервер)) А то аппаратные дорого стоят, без защиты правда в нашем случае, но если токен уже используется, то тут уже не поюзаешь, двоим никак, тут уже бухи/юрики по согласованию должны решать кто юзает, скрипт монтирования/де монтирования не сложно нажать, если внедрить планировщик для выключения терминала в 6 часов то будет совсем надёжно, включаем биосом

[aka]

С телнетом на живых пользователях работает? Сейчас нет ограничения на количество, руками в телнете можно сколько угодно добавлять.

[dimon4ic]

Да работает прошлая сборка, в этой чёт не достучался, перепроверю. Думал проброс сразу без телнета сработает, будем верить в следующие сборки, что чисто конфига хватит без консоли... чтоб до живых по факту лицензию купить сперва, и випнет заиметь, а то без купленной тех поддержки лечить косяк свой не хотят, а x2go и turbo vnc чую не светит в втваре как алтернативный клиент xrdp, вот и не спешу с внедрением, будет лицуха на випнет пикиай и на астру ALD доменный сервер(в лицензии за 260касарей 8 серверов можно установить и домен на линуксе тоже круто)

[dimon4ic]

Возвращаемся к теме вопроса)) после покупки астры для домена и терминальных серверов
Имеется принтер с двумя конфигами проброса
rdp_printer=HP LaserJet Professional P1102[HP LaserJet Professional P1102]:usb 03f0:002a
printer=usb(03f0:002a)
одним вариантом на винде пролетает в сессию вторым можно поставить его по порту через установку принтеров
На астре подцепить по порту не смог, да и хз как правильно по сокету терминала socket://192.168.0.55:9100 ловить или другим способом (как на принт серверах), сам поисковик принтеров расшаренный принтер не видит
по факту в шине он есть
[1] USB ID: 03f0:002a, bus ID: 1-10, serial: 000000000Q847AGWPR1a, class: 0x00, subclass: 0x00, HP, Inc LaserJet P1102
так же бы и к токенам, либо USB IP в следующей сборке допилить чтоб хотя бы руками можно было его поймать, либо может у вас откроется мысля по альтернативному пробросу
В идеале если проброса как на винде не сделать, то по порту его ловить
[2] USB ID: 0a89:0025, bus ID: 1-3, class: 0x00, subclass: 0x00, Aktiv Rutoken lite
Выполнив lsusb токен не видится, видать xrdp не умеет пробрасывать usb устройства или что то работает не правильно

[dimon4ic]

Хотел ради интереса как то LTSP глянуть но образ как то не завёлся после разворота, ради интереса спросил в тех подержке астры чего они могут предложить:
Вы можете использовать ПО, установка и настройка которого описана в статье Терминальный сервер LTSP (ltsp-server-standalone) на базе Astra Linux.
Но описанный в статье программный продукт устарел и его развитие в рамках Astra Linux не планируется.
Для создания терминальных серверов рекомендуется использовать инструменты инфраструктуры виртуальных рабочих мест Termidesk.
Для продвижения втвари фишек можете запросить демку термидеска, заюзать и внедрить
Хотя ничего в обзорах не говорится про тонкие клиенты, а инфа приводит к TOS ОС https://tonk.ru/catalog/programmnoe-obe ... nk-cos-620 гляньте чего да как там с пробросами, может можно для линукса в вашу сборку что то внедрить

[dimon4ic]

а пока хотя бы usbip что остался в тестовой сборке запустить в живую сборку плиз что до этого тестили

[aka]

Не вижу вопрос по втвари. На что я могу ответить?

[dimon4ic]

usbip что начали делать и тестировали, можете довнедрить в рабочую версию?

[dimon4ic]

а то толстый клиент мутить на астре не есть хорошо, а так будет в втваре проброс

[dimon4ic]

Будем верить, что функционал появится в ближайшей сборке и из режима разработки перейдёт в рабочую модель с полным функционалом, 3-4 устройства думаю хватит для проброса данным методом (токен, принтер, сканер) далее уж на сервере - Работа с политиками Polkit будем мучать... Заранее спасибо!

[aka]

Не понимаю, о чём ты говоришь. Всё, что тестировали и что заработало, переходит в рабочую версию.

[dimon4ic]

А как прописывать допустим 2 шары и не мучать консоль с телнетом, чтоб забил в бинд шару порт токена и принтера и грузились они потом без вмешательства админа каждый раз, просто в конфигураторе не совсем ясно, объясните для чайников

[aka]

Не вижу проверки на живых пользователях. Живые пользователи - это не доменные пользователи на тестовом стенде, это живые люди в обычной жизни.

Мы уже пытались использовать usbip лет десять назад, перенаправляли на Windows. У нас даже служба для этого отдельная была написана. Потом всё написаное выбросили, потому что качество виндового драйвера usbip не годилось для эксплуатации. Хотя на стенде как будто бы работало.

Я не хочу опять тратить на это время без отзывов, что это пригодно к жизни.

[dimon4ic]

для живых надо живой рабочий функционал, а не каждый раз в консоль лезть, чтоб принтер/токен пробросить
рабочую альтернативу никто лучше не предлагает под линукс
ветку текущую смотрят много народу, до кого тема дойдёт тот созреет и напишет, сейчас видать импортозамещение на стадии развития, алтернативы втваре как тонкому клиенту серавно особо нет, городить толстый со скриптами на астре это лишняя лицензия на астру, если по уму работать и считать, тонкий втваре дешевле и выгоднее по железу
после шары поидее на стороне сервера как рекомендуют политиками Polkit юзеру выдают что он должен поймать и радуемся жизни
линукс не винда тут другая собака зарыта)) то что там работало, тут только картинка по xrdp с мышей да клавой пролетает, с остальным беда или не все секреты раскрыты, но никто не делится
Раз к 25 году импортозамещение должно быть хоть как то реализовано, админы серавно к этому вопросу придут а тут бац и у вас готовый функционал, может кто то из продвинутых что то свое проверенное предложит внедрить... С xrdp не все так сладко, нет возможности поменять пароль в доменной среде при запросе в алд на смену пароля тк nla текущий режим не даёт родное окно авторизации, надо на обычном пк входить потом в сессию терминала. И жалка принтеры по портам в астре все таки как в винде не ставятся с втвари, как с принт сервера. Либо как то надо по другому шарить. Так хотя бы биндом юсб ип спасёт. Под виндой тема отточена, под линукс только начало....

[AntonSA]

тоже интересует вопрос проброса:) если заработает в новой сборке, то респект, если появятся альтернативные варианты, тоже круто, верим в разработчика!!! Давненько свежей сборки не видали

[dimon4ic]

В NLA режиме подключения к Астре печально что нет возможности видеть реальное окно авторизации пользователя - только форма ввода, для терминальника астры при политике смены пароля ALD раз в цать дней, это печально, тут нужен уже другой протокол подключения к сессии. Форма ввода при статичном пароле отрабатывает. Руки из отпуска дойдут, найду протокол

[dimon4ic]

ничто из известных мне протоколов удалённого доступа не дало войти в родное окно авторизации, техподдержка астры рекомендует LTSP серверное решение, где свой образ, так что с втваре облом с политикой смены пароля, если конечно уважаемый разработчик втваре не напишет свой модуль подключения к серверу и серверную часть, для работы в многопользовательском режиме в системное окно авторизации, а не в форму как в NLA. Вердикт один,
Втварю надо под линукс допиливать, чтобы конкурентноспособность была и удобство конфигурирование, как сейчас с виндой, ну и пробросы устройств.

[dimon4ic]

говорят что через XDMCP должно работать, и ltsp тоже на нём основано, как бы его слепить

[dimon4ic]

работает, выдаёт нужное окно авторизации дисплейного менеджера согласно мануалу https://wiki.astralinux.ru/pages/viewpa ... d=57443684
в консоли
Xephyr :1 -query 192.168.0.35 -screen 1920x1080
допустим так
осталось дождаться внедрения

[dimon4ic]

да будет всем счастье в линуксе будем верить во внедрение xdmcp и usbip

[AntonSA]

ну если будет такое, то ждём новую сборку! Движемся в новом направлении)) Главное верить в чудо

[Barvinok]

ничто из известных мне протоколов удалённого доступа не дало войти в родное окно авторизации, техподдержка астры рекомендует LTSP серверное решение, где свой образ, так что с втваре облом с политикой смены пароля, если конечно уважаемый разработчик втваре не напишет свой модуль подключения к серверу и серверную часть, для работы в многопользовательском режиме в системное окно авторизации, а не в форму как в NLA. Вердикт один,
Втварю надо под линукс допиливать, чтобы конкурентноспособность была и удобство конфигурирование, как сейчас с виндой, ну и пробросы устройств.

LTSP имеет ряд преимуществ перед WTWare: образ создаётся с любыми требуемыми приложениями и предустановленными принтерами.
Мне не так уж много надо: Яндекс.Браузер, клиент 1С и печать.
Однако уважаемый aka прямо сказал, даже этого в WTWare не будет.
А ещё может понадобиться CryptoPro и т.д. и т.п.
Быть может имеет смысл сосредоточиться на LTSP..?

[dimon4ic]

ничто из известных мне протоколов удалённого доступа не дало войти в родное окно авторизации, техподдержка астры рекомендует LTSP серверное решение, где свой образ, так что с втваре облом с политикой смены пароля, если конечно уважаемый разработчик втваре не напишет свой модуль подключения к серверу и серверную часть, для работы в многопользовательском режиме в системное окно авторизации, а не в форму как в NLA. Вердикт один,
Втварю надо под линукс допиливать, чтобы конкурентноспособность была и удобство конфигурирование, как сейчас с виндой, ну и пробросы устройств.

LTSP имеет ряд преимуществ перед WTWare: образ создаётся с любыми требуемыми приложениями и предустановленными принтерами.
Мне не так уж много надо: Яндекс.Браузер, клиент 1С и печать.
Однако уважаемый aka прямо сказал, даже этого в WTWare не будет.
А ещё может понадобиться CryptoPro и т.д. и т.п.
Быть может имеет смысл сосредоточиться на LTSP..?

Верил и надеялся что проект будет двигаться дальше, предлагая решения.... не зацикливаясь под винду, в ногу со временем, ну раз перспектив мало и разработчику уже мало интересен свой проект, будем идти дальше... И выхлоп $ от проекта будет больше, но будем верить в чудо и в актуальность темы

[dimon4ic]

осталось увидеть заключительное слово разработчика в своей теме....

[Barvinok]

Я тут перевожу всех на BaseAlt.
Долго общался с предпродажной поддержкой в том числе и по поводу LTSP.
Он у них был, но потом (видимо после большого обновления проекта в 2019 году) некому стало поддерживать.
Предложили мне стать майнтейнером, но я понимаю, что не вывезу одновременно и внедрения и поддержку.

По поводу WTWare.
Давно уже пытаюсь донести до авторов, что времена виндовых терминалов прошли.
Современный тонкий клиент - это браузер.
Браузер = мультимедиа (анимация, двустороннее аудио/видео).
Крутить мультимедиа в облаках на виндовых сеансах - последнее, что может прийти в голову даже самому отбитому интегратору.
Браузер должен крутиться локально используя аппаратное ускорение всего.
Как следствие - всё остальное, включая печать.

[aka]

Давно уже пытаюсь донести до авторов, что времена виндовых терминалов прошли.
Современный тонкий клиент - это браузер.

Помню много таких дискуссий в 2003 году, когда втварь только запускалась. Я считал, что рулят терминалы, а коллеги топили за браузеры.

[aka]

... не зацикливаясь под винду, в ногу со временем,

В следующей версии втвари будет клиент Termidesk. Расскажи ещё про зацикливание на винду.

[dimon4ic]

... не зацикливаясь под винду, в ногу со временем,

В следующей версии втвари будет клиент Termidesk. Расскажи ещё про зацикливание на винду.

Заодно может и XDMCP подключение и usbip?
Потыкать серверную часть термидеска будет интересно

хотя да - https://termidesk.ru/news/terminal-term ... -i-window/
они развивают эту тему, запрошу стоимость и демку

[Barvinok]

Давно уже пытаюсь донести до авторов, что времена виндовых терминалов прошли.
Современный тонкий клиент - это браузер.

Помню много таких дискуссий в 2003 году, когда втварь только запускалась. Я считал, что рулят терминалы, а коллеги топили за браузеры.

Много воды утекло с тех пор...
Коллеги смотрели далеко в будущее и оказались правы.
Я, кстати, тоже понимал, что к этому идёт, но путь большой - на десятилетия...
А сейчас приспело время.
Уже с год на домашних десктопах у меня Alt.
Все данные на Яндекс.Диске. Офис - облачный, там же.
В свежем Я.Браузере добавили открытие локальных офисных документов в облачном офисе по двойному клику.
Просмотр любых графических файлов так же встроен.
Я вообще уже не ставлю никаких приложений, кроме браузера.

Microsoft'а нет и уже не будет.
У клиентов 1С клиент-серверная. Linux, Postgres.
С десяток предприятий под управлением. Я же вижу, с чем люди работают. Это браузер на 90%.
Остальные 10% это 1С и ещё всякие програмки вроде nanoCAD, Аксиома.Гис и пр.
Во-первых, они отечественные.
Во-вторых работают (или прям сейчас пилятся) под Linux.

Так что браузер на линуксе уже здесь.
И тонкий клиент 1С тоже здесь.
Вот так внезапно...

Просто нет нужды в терминальном сервере. Ни виндовом ни линуксовом.
А вот потребность лёгкого развёртывания и управления сотнями рабочих мест осталась.

Я вижу три пути:

• FreeIPA+Netinstall+Alterator-mirror
• LTSP
• WTWare Deskop

Aka, все на тебя смотрят, скажи своё заднее слово. Куда оглобли развернуть?

[Python_Kaa]

Линуксоиды еще с 90-х годов говорят, что винда умрёт вот-вот, осталось всего ничего подождать. Да, сейчас многое в браузере, но не всё. И виндовые клиенты умрут нескоро. Я ничего не имею против линукса где угодно. Вот только не надо тыкать его везде потому что "это же линукс!" и "линукс круто". Эта война продлится еще долго. А упрекать AKA, который пилил клиента на винду за то, что он не очень хочет перепиливать свой продукт под "этот ваш линукс" просто глупо

По поводу "Microsoft'a уже не будет" - много народ лицензий на Win98 купил? Фигня это.

[aka]

Aka, все на тебя смотрят, скажи своё заднее слово. Куда оглобли развернуть?

А я что? Я пилю RDP клиента потому что у нас есть RDP клиент и мне оглоблю ворочать особо некуда.

Теоретически, сферический браузер в вакууме мог быть лучше десктопа. Вообще рендеринг HTML был прекрасной идеей, у нас например интерфейс конфигуратора на HTML написан.

Практически, Хром разжирел и в концепцию "тонкого клиента" не влезает. И Chromebook не взлетели.

[Barvinok]

Да, теперь это называется "богатый" ("rich") клиент.
Вычисления происходят на сервере (WEB или 1C).
Клиентская часть отвечает за отображение и насыщенна графикой. Поэтому нуждается в довольно мощном GPU, CPU и изрядном объёме ОЗУ.
Т.е. это полноценный десктопный компьютер. Даже с SSD для кэширования.
Отличие лишь в способе развёртывания и управления изменениями.
Всё должно быть централизовано, а в случае поломки меняться "как чайник", в лучших традициях WTWare.

[dimon4ic]

а когда планируется? клиент Termidesk

[aka]

В следующей версии. Если есть, на чём тестировать - пиши почтой. Будут поддерживаться RDP и STAL транспорты.

[dimon4ic]

сперва с толстого результат получить винды/астры, а то сегодня после установки клиента алд, веб интерфейс термидеска упал)) буду с нуля в обратном порядке

[dimon4ic]

Термидеска тонкого как понял нет, сами собираем или через ваш продукт, да и клиент примитивный не пахнет настройками проброса, сервер и клиент развернул а подключиться не смог, написал в тп

[dimon4ic]

Сервер терминалов "Stal" ставили у себя на тестовом стенде?

[aka]

У себя не ставил. Тестирую на чужих серверах по сети.

[dimon4ic]

по термидеску писать в телегу вопросы в техподдержку https://t.me/termidesk
по настройкам запуска сервера помогают хорошо
скрины настроек с тестового сервака, где хотя бы что то работает https://cloud.mail.ru/public/rrmM/bcB6egauj

[dimon4ic]

когда ориентировочно новый релиз?

[aka]

Около недлели, надеюсь. Когда смена пароля через rdweb заработает. Termidesk в нем не будет объявлен, притормозили с ним пока.

[dimon4ic]

в техподдержку и чат про смену пароля писал, в ожидании решения ТП:
Благодарим за уточнения. Мы создали внутреннюю задачу для профильного отдела с номером 263.
Информация о ходе рассмотрения задачи будет отражена в комментариях к текущему запросу.

[dimon4ic]

Запусти пробную в продакшн, людям потыкаться, прокомментят как работает

[dimon4ic]

По информации поставщика софта следующая версия в декабре термидеск

[aka]

Прикрутил авто-бинд usbip. Попробуй это:

http://wtware.com/testing/202309191851.zip

В конфиге:

Код: Выделить всё

usbip = 2dd6:218a

или

Код: Выделить всё

usbip = 1-2

Первое по USB ID, второе по bus_id, оба написаны в списке USB устройств на веб-интерфейсе терминала.

[dimon4ic]

спасибки глянем, а термидеск клиент текущий хотя бы посмотреть как работает? Интерфейс обновления паролей они ещё не скоро доработают

[dimon4ic]

вот бы ещё XDMCP (проблемы с паролями и сменой тут не будет) и термидеск был бы почти не нужен, но увы даже если прокинем принтеры/токены через юсб ип, они будут в общей куче, надо их разруливать, термидеск обещают проброс в сессию всех пробросов, толстый клиент с их клиентом не интересен, тк нужен ваш тонкий с их интегрированным клиентом, с подключением напрямую к серверу

[aka]

Та же ссылка. В конфиге втвари:

Код: Выделить всё

user = user:passsword
server = termidesk:10.1.2.3, authSmall:builtin

Ещё бывает authSmall:ALD или auth:Внутренняя БД. Конфигуратор этих слов ещё не знает, надо редактировать конфиг в тексте.

У нас работает.

[dimon4ic]

В официальный релиз ещё рано постить?

[dimon4ic]

Не захотел тонкий клиент к термидеск серверу коннектиться, пробовал разные варианты, убрал юзера и пароль из строки конфига, писал их в окне авторизации, оба варианта аутентификации тоже не помогают, коннект как понимаю идёт к термидеск шлюзу с веб мордой который, не к терминальному серверу

[aka]

В логе, который я видел, не устанавливалось TCP соединение. Т.е. о юзере и пароле думать рано, надо искать, где с маршрутизацией перемудрил или фаирволом зарезал.

[dimon4ic]

С толстого клиента коннект же идёт, перепроверю...

[dimon4ic]

1 тест
display=1440x900
user =
server = termidesk:192.168.0.39, authSmall:builtin
2 тест
display=1440x900
user =
server = termidesk:192.168.0.39, authSmall:ALD
разные ошибки
но без результата
В 1м Invalid Credentials либо NO RDPTransport for connection
Во 2м случае - Получен неверный ID аутентификатора
и под встроенным админом пробовал и под своей учёткой udv
обе учётки с виндового клиента проходят в клиент авторизации и далее на сервер

[aka]

Прогресс же. Оно подключилось к термидеску.

Invalid Credentials - неверный логин, пароль или "authSmallName builtin".

Второй лог интереснее.

1. Напиши в конфиге:

Код: Выделить всё

server=termidesk:192.168.0.39, authSmall:ALD, debug_termidesk

И пароль тоже впиши в конфиг. И сделай простой пароль, типа 123. Чтобы точно не ошибиться с неверным паролем:

Код: Выделить всё

user=udv@ald.vokb.local:123

2. Загрузи терминал. Получи ошибку. Один раз. Не надо повторять.

3. На соседнем компьютере в браузере открой:

https://192.168.0.55/rdweb.zip

Браузер пароль спросит, дай ему пароль от Setup терминала. Юзернейм никакой не пиши.

Скачается zip, пришли его и лог на aka@pxe.ru

[dimon4ic]

Отправил, посмотрим что скажите.... Термидеск в конфигураторе не скоро ещё окажется)) надеюсь проброс usb устройств от клиента термидеска сохранится в сессию...

[dimon4ic]

Высшедшую версию проверил, заходит в термидеск и терминальный сервер. Пробросы не проверял

[dimon4ic]

проброс в чате телеги обещают в 4,3 сборке - Буфер, каталоги, принтеры войдут, В stal именно, в ноябре

[dimon4ic]

после нового релиза термидеска чую лучше втваре тоже обновлять))

[dimon4ic]

может всётаки внедрите подключение через XDMCP? можно сэкономить лицензии на термидеске)) раз напрямую авторизация в оконный интерфейс, кому пробрасывать особо не надо ничего или через usb ip

[aka]

Надо так:

"У меня сотня пользователей работают через xdmcp, но они все загружают линуксы с жестких дисков. Давайте попробуем перевести их на втварь с загрузкой по сети".

[dimon4ic]

можно и так

[dimon4ic]

функционал лишним не бывает, когда востребован...

[dimon4ic]

преимущество при включении функционала подключения по xdmcp в сборку:
1 Возможность подключаться к родному оконному интерфейсу без NLA и rdp, с возможностью первичного ввода пароля от ALD Pro (и других доменных систем) и его смены по групповым политикам
2 Впринципе можно сэкономить на лицензиях Термидеска, где не требуется проброс периферии, на худой конец USB IP который уже есть в сборке

[dimon4ic]

вот бы подарок на новый год - xdmcp включённый в сборку

[dimon4ic]

Проброс принтера как принт сервер - отлично работает - printer = usb в конфиге втваре в астре, ставим по сокету - socket://192.168.0.60:9100.
usbip не прокатил, работает не так как хочется, для терминальных сессий где почти у каждого токен не прокатит, надо что то другое бесплатное, либо ждать закупа термидеска, или расставлять терминалы там где не нужна подпись

[dimon4ic]

не умеете писать deb пакеты , или перепилить linux tools - usbip пакет на стороне принимающей стороны сервера, чтобы можно было примонтировать с нескольких терминалов токены на терминальник, при отключении терминала монтирование отваливалось (в данный момент висит, пока не перезапустишь службу или не отмонтируешь руками в консоли, причём всё а не конкрентный аттач бинд порт, мануал на конкретный порт не нашёл, да и не удобно, юзер тупо должен выключить терминал и должен девайс отвалиться сам от сервера бед детач команды) что для многопользовательского терминальника не вариант. Да и хз как себя служба поведёт ещё в в много монтированном подключении. Подключать впринципе можно и по скрипту по запросу, не обязательно отслеживать порты и в автозапуск лепить.
Увы остальное всё по пробросу токенов платные варианты, как железные коробки, так и софт.
сам протокол xrdp в линуксе не допилен в этом направлении

[aka]

Если ты подключишь токен физически к серверу, к USB разъёму сервера, ты можешь дать право им пользоваться только одному юзеру терминального сервера и НЕ дать пользоваться этим токеном остальным пользователям?

Потому что если не сможешь, то с USBIP тоже не сможешь.

[dimon4ic]

если всё у всех увидится хрен то с ними, в системе. По факту в крипто про у конечного юзера ставим в сессии нужный сертификат, в теории у других не должны отображатся в браузере неустановленные, только те которые поставлены в крипто про в текущем юзере

если как то допилить usbip конфиги на потерю токена (или других устройств) в случае откл или ребут тонкого клиента с авто размонтированием, то было бы ништяк

[aka]

Обожди с usbip. На мой вопрос ответь. "сетрификаты" не при чём, я спрашиваю про физический токен. Моешь дать доступ к физическому токену только одному пользователю, не первому кто схватит, а одному?

[dimon4ic]

только одному нет, тут надо как то к учётке привязывать по серийнику устройства или смотреть как в термидеске устроено, как там эта связка работает, если вообще реализовали

[aka]

Я об этом и спрашиваю: вообще реализовали?

Не вижу смысла перенаправлять больше одного токена на терминальный сервер, если доступ к нему будет у всех. Даже если забить на безопасность, как только токенов станет два и придётся выбирать - юзера обязательно будут занимать чужие токены и выносить мозг техподдержке. usbip не даст никакого нового механизма разделения, будет только то, что работает с локальным токеном.

А для одного токена на сервере не нужно автоматизации.

[dimon4ic]

будем очередной раз брать тестирование тогда термидеска пока не появятся $$$ и не заработает нужная функция, значит пока шарим только принтеры

[dimon4ic]

кстати нет желания свой сервер/клиент с данным функционалом изобрести для линуксятины? будет в сборку только плюсом раз сейчас тема импортозамещения в пользу линукса пойдёт? только авторизовываться тут уже надо в дисплейный интерфейс, чтоб работала смена пароля (как предлагал ранее) или можно свой плагин-пакет редиректа usb написать для проброса

[dimon4ic]

никто 1Ску в тонкий не просил? )) авось и такое пригодится