学习把环境迁移到 Linux 客户机上涉及的步骤，包括技术规划。本文根据客户的经验全面介绍如何规划和执行迁移，同时尽可能减少对用户的干扰。

编辑注：本文是分 5 部分的系列文章的第 3 部分。请阅读本系列中的其他 developerWorks 文章：“IBM 开放协作客户机解决方案：概述”、“IBM 开放协作客户机解决方案：针对桌面迁移的组织规划和用户分类”、“IBM 开放协作客户机解决方案：把业务应用程序迁移到 Linux 桌面” 和 “IBM 开放协作客户机解决方案：IBM 开放虚拟客户机的体系结构决策和执行选项”。

客户机迁移规模很大，每个客户机系统可能有独特的情况，迁移会直接影响用户，这些因素都使客户机迁移很有挑战性。本文的第 2 部分介绍了针对桌面迁移的组织规划和用户分类。第 3 部分讨论下一个步骤：技术规划。

首先评估 IT 环境和一般基础结构，尤其是基础结构服务。然后，定义首选的 Linux 发行版、应用程序的迁移和系统管理。最后，考虑 Linux 桌面的部署，包括迁移后任务和要实现的支持结构。

本文基于 IBM® Redbooks® “Linux Client Migration Cookbook, Version 2: A Practical Planning and Implementation Guide for Migration to Desktop Linux” 的技术规划部分，并增加了许多实践经验。如果希望进一步研究客户机迁移过程，建议您阅读这份 IBM Redbooks。

评估基础结构

为了进行有效、经济且高效的 Linux 客户机迁移，必须把新的 Linux 客户机集成到企业的现有基础结构中。对现有基础结构的分析必须考虑以下方面：

• 网络基础结构的拓扑是什么样的？（回答这个问题需要了解本地和远程连接的体系结构概况，包括带宽和使用的协议）。
• 客户机要连接到哪个网络基础结构？
• 为了访问基础结构，在客户机上要安装哪种网络？
• 客户机要使用服务器上的哪些服务，以及它们如何连接这些服务？（服务可以提供文件或打印服务、DHCP、Web 内容、动态内容等）。
• 客户机要连接到哪些数据库？它们使用什么技术连接数据库？原生客户机、API、消息队列还是直接数据库访问？
• 最后，客户机要访问哪些大型机？它们使用什么类型的连接访问大型机？原生客户机、Web 接口还是 API 连接？

图 1 给出一个基础结构分析示例，在这个网络中客户机主要使用邮件消息传递。

与现有的网络服务集成

在评估 Linux 客户机的基础结构之后，要规划客户机与现有网络服务的集成；也就是，考虑如何把 Linux 客户机合并到基于 Microsoft® Windows® 的现有网络环境中。

准备环境

我们来讨论在还未迁移后端服务器的情况下的 Linux 客户机迁移。通常情况下，可以在以下四种环境中执行迁移项目：

1. NT4 域，包含 Microsoft Windows NT® 4.0 Primary Domain Controller (PDC) [以及 Backup Domain Controller (BDC)]
2. Active Directory 域，包含 Microsoft Windows 2000 或 2003 服务器
3. NT4 域，包含运行 Samba PDC 和 BDC 的 Linux
4. 其他基于域的非 Windows 环境

在当今的网络环境中广泛使用第三种环境，在这种环境中同时存在运行 Samba 的 Linux 和 NT4l。从第一种环境迁移到另一种环境相当困难，因为 Microsoft Windows NT 4.0 已经过时了。在一般情况下，以下因素可能迫使我们主要关注第一种和第二种环境：

• 它们是纯粹的 Windows 环境。
• 大多数域符合这个模型。
• 具备把 Linux 客户机加入 Samba 域所需的信息。

Samba 是集成 Linux 客户机与 Microsoft Windows 的最常用的协议/工具。它是一个基于 Server Message Block 协议的 UNIX® 应用程序，Microsoft Windows 使用这种协议提供文件和打印网络服务。

Microsoft Windows 域中的身份验证

现在讨论在现有的 Microsoft Windows 域中为 Linux 客户机规划身份验证时涉及的技术问题。在 Microsoft Windows 域中进行身份验证时，可能涉及以下场景：

• 网络服务单点登录 (SSO)，在这个场景中用户只有一个用户名/密码组合
• 用户通过身份验证访问网络上的共享文件或打印机
• 通过单一窗口管理用户，实现更好的用户管理

目前，在 Microsoft Windows 域中进行身份验证有多种方法。下面讨论这些方法的优点和缺点：

• Samba/winbind，不改变现有的基础结构。这种方法的优点是不需要改变域，并集中地维护用户及其凭证。不需要在本地创建用户。缺点是 winbind 的可伸缩性不佳，一些实现要求为用户创建本地映射，每个客户机上的本地映射可能不一样。
  

  使用 winbind 分隔符可以影响客户机上运行的大多数应用程序。分隔符是 Linux 用户名中分隔域名和用户名的一个字符。例如，AD1234+Administrator 是用户 administrator 在域 AD1234 中的 Linux 用户名，其中的加号 (+) 是 winbind 分隔符。

• LDAP 连接到经过修改的 Active Directory。这种方法的优点是，LDAP 是连接 Active Directory 的通用协议，集中地把用户映射到 uid 和 gid，这个任务在 Active Directory 中完成。缺点是必须修改 Active Directory 的模式，在其中包含 UNIX 风格的信息，比如表示用户的 uid 和表示组的 gid。
• LDAP 连接到同步的 Active Directory。这种方法的优点是，LDAP 是连接 Active Directory 的通用协议，集中地映射 uid 和 gid。缺点是必须对这两种不同的技术进行同步。

注意，Kerberos 是一种免费软件，它使用 Active Directory 提供 Samba 服务器的功能和原生身份验证。

总之，可以使用 Samba、Kerberos、winbind 和 LDAP 在 Microsoft Windows 域中进行身份验证。

使用域名共享文件

可以使用 mount 命令或 smbmount/mount -t cif 命令从 Linux 客户机访问共享文件夹。但是，手工挂载共享文件夹需要登录信息，这会导致以下问题：

• 在用户登录 Microsoft Windows 时会自动地识别共享文件夹，他们不习惯执行手工挂载。
• 要想在登录时自动地挂载共享文件夹，需要手工编辑 /etc/fstab 文件。

可以通过设置 Pluggable Authentication Module (pam_mount) 避免这些问题，这个模块有助于启用在登录时自动地挂载。但是要记住，pam_mount 模块还不太成熟，所以在实现它之前应该进行充分的测试。

域中的打印服务

几乎所有 Linux 发行版都包含 Common UNIX Printing System (CUPS)。因此，通过在客户机上结合使用 CUPS 和 Samba，可以在现有的域打印机上进行打印。但是，当计划在 Linux 客户机上使用 CUPS 在现有的打印机上进行打印时，要考虑以下方面：

• CUPS 和 Samba 集成。一定要检查 Samba 是否是 CUPS 后端的组成部分。
• 打印机和身份验证。有时候，域中的打印机可能是共享的资源，需要先进行域身份验证，然后才能使用它们。但是，这种身份验证会导致在多个 CUPS 配置文件中暴露密码。通过使用不需要身份验证的打印机，或者设置一个只用于打印的特殊用户，可以避免这个漏洞。
• 打印服务器与直接打印。在使用 CUPS 时，可以使用域打印服务器，也可以直接向打印机的网络接口打印。通常情况下，如果域中的所有客户机都使用打印服务器，Linux 客户机最好也这么做。
• CUPS 驱动程序。在寻找打印机时，既希望为老式打印机找到合适的驱动程序，又希望选择 Linux 客户机能够无缝地使用的新打印机，应该在这两个目标之间取得适当的平衡。

桌面的标准化

标准化一方面会降低灵活性和选择的自由度。另一方面，它有助于降低成本，形成可预测的桌面设置，反映公司的风格（如果需要的话）。标准化桌面（包括标准的应用程序集）能够节省支持和许可证成本。

Linux 的最大优点之一是灵活性和选择的自由度。Linux 是开放源码的免费平台，可以对它进行各种定制，从改变背景图像直到代码级修改，这是 Microsoft Windows 或 Apple Mac OS 等专有操作系统远远不及的。另外，Linux 提供许多能够限制系统的功能，所以可以方便地建立和维护标准化版本。

桌面标准化影响的远不只是用户界面，下面详细讨论。

Linux 发行版

标准化中最重要的部分是选择 Linux 发行版。如果选择了 Novell SUSE 或 Red Hat 提供的企业 Linux 发行版，就可以直接选择对应的桌面 Linux 发行版；也就是，Novell SUSE Linux Enterprise Desktop (SLED) 10 和 Red Hat Enterprise Linux (RHEL) 5 Desktop（Novell 和 Red Hat 都是 IBM 业务伙伴）。

在选择 Linux 发行版时，必须评估以下方面：

• 这个发行版能够降低多少成本？
• 这个发行版提供哪些选项？
• 发行商支持这个发行版的寿命有多长？
• 这个发行版的稳定性和技术成熟度如何？
• 这个发行版提供哪些特性，比如文件系统和驱动程序支持？
• 这个发行版附带哪些应用程序？
• 这个发行版能够提供其他应用程序和工具吗？
• 这个发行版能够方便地与后端系统集成吗？

桌面环境及其外观和感觉

与其他操作系统不同，Linux 提供称为窗口管理器的多种桌面环境，其中最流行的是 GNU Network Object Model Environment（GNOME 桌面环境，或简称为 GNOME）和 K Desktop Environment (KDE) 等。

这些窗口管理器采用稍有不同的方式，因此提供不同的基本外观和感觉及特性。环境在某种程度上可以组合在一起，这意味着如果安装了基本库，在一个环境中就可以使用另一个环境提供的工具。但是，不建议这么做，因为这不便维护。另外，这会导致更大的映像，可能会影响后续的部署。

GNOME 和 KDE 是成熟的产品，提供了定制桌面图标、应用程序集和应用程序菜单所需的所有功能，支持以下特性：

• 主题
• 国际化
• 帮助残疾用户的可访问性
• 基本操作系统，直至管理任务

限制和增强

Linux 本身和窗口管理器还能够限制系统，隐藏不需要的功能。Linux 衍生自 UNIX，而 UNIX 的安全性非常好，所以 Linux 也是很安全的系统，很容易限制 Linux 系统。GNOME 和 KDE 也支持轻松地限制系统，甚至可以把系统限制到 kiosk 的水平。但是要注意，在 kiosk 系统中只能以全屏模式运行一个应用程序；不能同时使用其他图形化应用程序。