了解运行级别是如何配置的，如何改变系统运行级别以及修改对应状态下运行的服务。

在 Linux 系统中， 运行级别 run level 是指运维的级别，用于描述一种表明什么服务是可用的系统运行状态。

运行级别 1 是严格限制的，仅仅用于系统维护；该级别下，网络连接将不可操作，但是管理员可以通过控制台连接登录系统。

其他运行级别的系统允许任何人登录和使用，但是不同级别中可使用的服务不同。本文将探索如何配置运行级别，如何交互式改变系统运行级别以及修改该状态下可用的服务。

Linux 系统的默认运行状态是一个在系统开机时使用的运行级别（除非有其他的指示），它通常是在 /etc/inittab 文件中进行配置的，该文件内容通常如下：

id:3:initdefault

包括 Debian 系统在内的一些系统，默认运行级别为 2，而不是上述文件中的 3，甚至都没有 /etc/inittab 文件。

运行级别在默认情况下是如何被配置，其配置依赖于你所运行的 Linux 操作系统的具体发行版本。 例如，在某些系统中， 运行级别 2 是多用户模式，运行级别 3 是多用户模式并支持 NFS （网络文件系统）。 在另外一些系统，运行级别 2 - 5 基本相同，运行级别 1 是单用户模式。例如，Debian 系统的所用运行级别如下：

0 = 停机
1 = 单用户（维护模式）
2 = 多用户模式
3-5 = 同 2 一样
6 = 重启

在 Linux 系统上，运行级别 3 用于共享文件系统给其它系统，可以方便地只通过改变系统的运行级别来启动和停止文件系统共享。系统从运行级别 2 改变到 3 系统将允许文件系统共享，反之从运行级别 3 改变到 2 则系统不支持文件系统共享。

在某个运行级别中，系统运行哪些进程依赖于目录 /etc/rc?.d 目录的内容，其中 ? 可以是 2、 3、 4 或 5 （对应于相应的运行级别）。

在以下示例中（Ubuntu 系统），由于这些目录的配置是相同的，我们将看见上述 4 个级别对应的目录中的内容是一致的。

/etc/rc2.d$ ls
README         S20smartmontools      S50saned      S99grub-common
S20kerneloops  S20speech-dispatcher  S70dns-clean  S99ondemand
S20rsync       S20sysstat            S70pppd-dns   S99rc.local
/etc/rc2.d$ cd ../rc3.d
/etc/rc3.d$ ls
README         S20smartmontools      S50saned      S99grub-common
S20kerneloops  S20speech-dispatcher  S70dns-clean  S99ondemand
S20rsync       S20sysstat            S70pppd-dns   S99rc.local
/etc/rc3.d$ cd ../rc4.d
/etc/rc4.d$ ls
README         S20smartmontools      S50saned      S99grub-common
S20kerneloops  S20speech-dispatcher  S70dns-clean  S99ondemand
S20rsync       S20sysstat            S70pppd-dns   S99rc.local
/etc/rc4.d$ cd ../rc5.d
/etc/rc5.d$ ls
README         S20smartmontools      S50saned      S99grub-common
S20kerneloops  S20speech-dispatcher  S70dns-clean  S99ondemand
S20rsync       S20sysstat            S70pppd-dns   S99rc.local

这些都是什么文件？它们都是指向 /etc/init.d 目录下用于启动服务的脚本符号连接。 这些文件的文件名是至关重要的， 因为它们决定了这些脚本文件的执行顺序，例如, S20 脚本是在 S50 脚本前面运行的。

$ ls -l
total 4
-rw-r--r-- 1 root root 677 Feb 16  2016 README
lrwxrwxrwx 1 root root  20 Aug 30 14:40 S20kerneloops -> ../init.d/kerneloops
lrwxrwxrwx 1 root root  15 Aug 30 14:40 S20rsync -> ../init.d/rsync
lrwxrwxrwx 1 root root  23 Aug 30 16:10 S20smartmontools -> ../init.d/smartmontools
lrwxrwxrwx 1 root root  27 Aug 30 14:40 S20speech-dispatcher -> ../init.d/speech-dispatcher
lrwxrwxrwx 1 root root  17 Aug 31 14:12 S20sysstat -> ../init.d/sysstat
lrwxrwxrwx 1 root root  15 Aug 30 14:40 S50saned -> ../init.d/saned
lrwxrwxrwx 1 root root  19 Aug 30 14:40 S70dns-clean -> ../init.d/dns-clean
lrwxrwxrwx 1 root root  18 Aug 30 14:40 S70pppd-dns -> ../init.d/pppd-dns
lrwxrwxrwx 1 root root  21 Aug 30 14:40 S99grub-common -> ../init.d/grub-common
lrwxrwxrwx 1 root root  18 Aug 30 14:40 S99ondemand -> ../init.d/ondemand
lrwxrwxrwx 1 root root  18 Aug 30 14:40 S99rc.local -> ../init.d/rc.local

如你所想，目录 /etc/rc1.d 因运行级别 1 的特殊而不同。它包含的符号链接指向非常不同的一套脚本。 同样也要注意到其中一些脚本以 K 开头命名，而另一些与其它运行级别脚本一样以 S 开头命名。这是因为当系统进入单用户模式时， 一些服务需要停止。 然而这些 K 开头的符号链接指向了其它级别 S 开头的符号链接的同一文件时， K（kill）表示这个脚本将以指示其停止的参数执行，而不是以启动的参数执行。

/etc/rc1.d$ ls -l
total 4
lrwxrwxrwx 1 root root  20 Aug 30 14:40 K20kerneloops -> ../init.d/kerneloops
lrwxrwxrwx 1 root root  15 Aug 30 14:40 K20rsync -> ../init.d/rsync
lrwxrwxrwx 1 root root  15 Aug 30 14:40 K20saned -> ../init.d/saned
lrwxrwxrwx 1 root root  23 Aug 30 16:10 K20smartmontools -> ../init.d/smartmontools
lrwxrwxrwx 1 root root  27 Aug 30 14:40 K20speech-dispatcher -> ../init.d/speech-dispatcher
-rw-r--r-- 1 root root 369 Mar 12  2014 README
lrwxrwxrwx 1 root root  19 Aug 30 14:40 S30killprocs -> ../init.d/killprocs
lrwxrwxrwx 1 root root  19 Aug 30 14:40 S70dns-clean -> ../init.d/dns-clean
lrwxrwxrwx 1 root root  18 Aug 30 14:40 S70pppd-dns -> ../init.d/pppd-dns
lrwxrwxrwx 1 root root  16 Aug 30 14:40 S90single -> ../init.d/single

你可以改变系统的默认运行级别，尽管这很少被用到。例如，通过修改前文中提到的 /etc/inittab 文件，你能够配置 Debian 系统的默认运行级别为 3 （而不是 2），以下是该文件示例：

id:3:initdefault:

一旦你修改完成并重启系统， runlevel 命令将显示如下：

$ runlevel
N 3

另外一种可选方式，使用 init 3 命令，你也能改变系统运行级别（且无需重启立即生效）， runlevel 命令的输出为：

$ runlevel
2 3

当然，除非你修改了系统默认级别的 /etc/rc?.d 目录下的符号链接，使得系统默认运行在一个修改的运行级别之下，否则很少需要通过创建或修改 /etc/inittab 文件改变系统的运行级别。

在 Linux 系统中如何使用运行级别？

为了扼要重述在系统中如何使用运行级别，下面有几个关于运行级别的快速问答问题：

如何查询系统当前的运行级别？

使用 runlevel 命令。

如何查看特定运行级别所关联的服务进程？

查看与该运行级别关联的运行级别开始目录（例如， /etc/rc2.d 对应于运行级别 2）。

如何查看系统的默认运行级别？

首先，查看 /etc/inittab 文件是否存在。如果不存在，就执行 runlevel 命令查询，你一般就已经处在该运行级别。

如何改变系统运行级别？

用 init 命令（例如 init 3）临时改变运行级别，通过修改或创建 /etc/inittab 文件永久改变其运行级别。

能改变特定运行级别下运行的服务么？

当然，通过改变对应的 /etc/rc?.d 目录下的符号连接即可。

还有一些其他的什么需要考虑？

当改变系统运行级别时，你应该特别小心，确保不影响到系统上正在运行的服务或者正在使用的用户。

（题图：Vincent Desjardins (CC BY 2.0)）

via: https://www.networkworld.com/article/3222070/linux/maneuvering-around-run-levels-on-linux.html

作者：Sandra Henry-Stocker 译者：penghuster 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

通过使用 GitHub 的 拉取请求 Pull Request 正确地进行代码审核，把时间更多的花在构建上，而在修复上少用点时间。

如果你不是每天编写代码，你可能不知道软件开发人员日常面临的一些问题。

• 代码中的安全漏洞
• 导致应用程序崩溃的代码
• 被称作 “技术债务” 和之后需要重写的代码
• 在某处你所不知道地方的代码已经被重写

代码审查 Code review 可以允许其他的人或工具来检查代码，帮助我们改善所编写的软件。这种审查（也称为 同行评审 peer review ）能够通过自动化代码分析或者测试覆盖工具来进行，是软件开发过程中两个重要的部分，它能够节省数小时的手工工作。同行评审是开发人员审查彼此工作的一个过程。在软件开发的过程中，速度和紧迫性是两个经常提及的问题。如果你没有尽快的发布，你的竞争对手可能会率先发布新功能。如果你不能够经常发布新的版本，你的用户可能会怀疑您是否仍然关心改进你的应用程序。

权衡时间：代码审查与缺陷修复

如果有人能够以最小争议的方式汇集多种类型的代码审查，那么随着时间的推移，该软件的质量将会得到改善。如果认为引入新的工具或流程最先导致的不是延迟，那未免太天真了。但是代价更高昂的是：修复生产环境中的错误花费的时间，或者在放到生产环境之前改进软件所花费的时间。即使新工具延迟了新功能的发布和得到客户欣赏的时间，但随着软件开发人员提高自己的技能，该延迟会缩短，软件开发周期将会回升到以前的水平，而同时缺陷将会减少。

通过代码审查实现提升代码质量目标的关键之一就是使用一个足够灵活的平台，允许软件开发人员快速编写代码，置入他们熟悉的工具，并对彼此进行同行评审。 GitHub 就是这样的平台的一个很好的例子。然而，只是把你的代码放在 GitHub 上并不会魔术般地使代码审查发生；你必须使用 拉取请求 Pull Request 来开始这个美妙的旅程。

拉取请求：关于代码的现场讨论

拉取请求 Pull Request 是 Github 上的一个工具，允许软件开发人员讨论并提出对项目的主要代码库的更改，这些更改稍后可以部署给所有用户看到。这个功能创建于 2008 年 2 月，其目的是在接受（合并）之前，对某人的建议进行更改，然后在部署到生产环境中，供最终用户看到这种变化。

拉取请求开始是以一种松散的方式让你为某人的项目提供更改，但是它们已经演变成：

• 关于你想要合并的代码的现场讨论
• 提升了所更改内容的可视功能
• 整合了你最喜爱的工具
• 作为受保护的分支工作流程的一部分可能需要显式的拉取请求评审

对于代码：URL 是永久的

看看上述的前两个点，拉取请求促成了一个正在进行的代码讨论，使代码变更可以更醒目，并且使您很容易在审查的过程中找到所需的代码。无论是对于新人还是有经验的开发人员，能够回顾以前的讨论，了解一个功能为什么以这种方式开发出来，或者与另一个相关功能的讨论相联系起来是无价的。当跨多个项目协调，并使每个人尽可能接近代码时，前后讨论的内容也非常重要。如果这些功能仍在开发中，重要的是能够看到上次审查以来更改了哪些内容。毕竟，审查小的更改要比大的容易得多，但不可能全都是小功能。因此，重要的是能够找到你上次审查，并只看到从那时以来的变化。

集成工具：软件开发人员的偏执

再看下上述第三点，GitHub 上的拉取请求有很多功能，但开发人员总是偏好第三方工具。代码质量是个完整的代码审查领域，它涉及到其它组件的代码评审，而这些评审不一定是由人完成的。检测“低效”或缓慢的代码、具有潜在安全漏洞或不符合公司标准的代码是留给自动化工具的任务。类似 SonarQube 和 Code Climatecan 这样工具可以分析你的代码，而像 Codecov 和 Coveralls 的这样工具可以告诉你刚刚写的新代码还没有得到很好的测试。这些工具最令人称奇的是，它们可以集成到 GitHub 中，并把它们的发现汇报到拉取请求当中！这意味着该过程中不仅是人们在审查代码，而且工具也在会在那里报告情况。这样每个人都可以完全了解一个功能是如何开发的。

最后，根据您的团队的偏好，您可以利用受保护的分支工作流的 必需状态 required status 功能来要求进行工具审查和同行评审。

虽然您可能只是刚刚开始您的软件开发之旅，或者是一位希望知道项目正在做什么的业务利益相关者，抑或是一位想要确保项目的及时性和质量的项目经理，你都可以通过设置批准流程来参与到拉取请求中，并考虑集成更多的工具以确保质量，这在任何级别的软件开发中都很重要。

无论是为您的个人网站，贵公司的在线商店，还是想用最新的组合以获得最大的收获，编写好的软件都需要进行良好的代码审查。良好的代码审查涉及到正确的工具和平台。要了解有关 GitHub 和软件开发过程的更多信息，请参阅 O'Reilly 的 《GitHub 简介》 一书， 您可以在其中了解创建项目、启动拉取请求以及概要了解团队的软件开发流程。

作者简介：

Brent Beer

Brent Beer 通过大学的课程、对开源项目的贡献，以及担任专业网站开发人员使用 Git 和 GitHub 已经超过五年了。在担任 GitHub 上的培训师时，他也成为 O’Reilly 的 《GitHub 简介》的出版作者。他在阿姆斯特丹担任 GitHub 的解决方案工程师，帮助 Git 和 GitHub 向世界各地的开发人员提供服务。

Peter Bell

Peter Bell 是 Ronin 实验室的创始人以及 CTO。培训是存在问题的，我们通过技术提升培训来改进它！他是一位有经验的企业家、技术专家、敏捷教练和 CTO，专门从事 EdTech 项目。他为 O'Reilly 撰写了 《GitHub 简介》，为代码学校创建了“精通 GitHub ”课程，为 Pearson 创建了“ Git 和 GitHub 现场课”课程。他经常在国际和国际会议上发表 ruby、 nodejs、NoSQL（尤其是 MongoDB 和 neo4j ）、云计算、软件工艺、java、groovy、j 等的演讲。

via: https://www.oreilly.com/ideas/how-to-use-pull-requests-to-improve-your-code-reviews

作者：Brent Beer, Peter Bell 译者：MonkeyDEcho 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

今天，Linux 中国旗下的翻译组 LCTT （ Linux 中国翻译组 （ Linux.Cn Translation Team ） ）已经成立 4 年了！

作为这四年来，我日常参与的最重要的工作，也是我持续最长时间的一项活动，一时间竟然不知道该写点什么出来。

首先，我列点数据出来吧：

• 成立时间： 2013 年 9 月 10 日
• 持续活动时间：4 年（1461 天）
• 贡献者： 293 人
• 提交：21556 个
• 星标：689 个
• 复刻： 518 个
• 拉取请求：5925 个
• 翻译文章：2833 篇
• 单人最高翻译篇数：533 篇（@geekpi）
• 10 篇以上翻译人数：59 人

以上数据来自 LCTT 主要项目 TranslateProject ，其中没有包括 LCTT 的一些次要项目，如 comic、LFS-BOOK 等的数据。

下图是 LCTT TranslateProject 这 4 年间的提交情况：

LCTT TranslateProject 的提交情况

时光荏苒，几年来，我结识了许多朋友，也不断有新的小伙伴们加入到我们的团队中。我们翻译的文章也屡屡得到读者的好评，以至于在网络上被一再转载（虽然有些转载可耻地删除了作者和我们的译者姓名）。作为 LCTT 创始人，我对团队中的许多成员都耳熟能详，甚至有时候一看翻译的文风都可以可以猜测到译者是谁。虽然也有一些成员逐渐淡出了 LCTT，但是他们做下的功绩，却一直留存在网上，刻在 LCTT 的历史上。需要感谢的人太多，以至于我无法一一列出，我只说一句，愿所有志愿者的 LCTT 经历都是你的人生履历中一段鲜亮的色彩。

今年，我们还专门为 LCTT 开设了主页和贡献排行榜，也为每位译者创建了专属的专页，从他们的专页中，可以看到每位译者的贡献情况，我希望这个页面可以成为每位贡献者收藏到浏览器书签中的地址。

诚然，LCTT 作为一个运行了 4 年的开源志愿者组织，也存在一些问题。比如，翻译和校对的工作的不对等；没有细分几个不同的翻译方向；缺少一个直观的、掩盖了底层 GitHub 操作的流程界面；不能合理量化每位翻译者的贡献程度；次生项目的推进不力等等。我们也希望有更多的同仁一同来参与 LCTT 的建设，使之具有更活跃的生命力，更丰富的生态系统。

那么，这里是 LCTT => https://linux.cn/lctt ，你不来看看么？

本教程将告诉你如何将 Ubuntu 桌面版机器加入到带有 SSSD 和 Realm 服务的 Samba4 活动目录域中，以在活动目录中认证用户。

要求：

1. 在 Ubuntu 上用 Samba4 创建一个活动目录架构

第 1 步：初始配置

1、 在把 Ubuntu 加入活动目录前确保主机名被正确设置了。使用 hostnamectl 命令设置机器名字或者手动编辑 /etc/hostname 文件。

$ sudo hostnamectl set-hostname your_machine_short_hostname
$ cat /etc/hostname
$ hostnamectl

2、 接下来，编辑机器网络接口设置并且添加合适的 IP 设置，并将正确的 DNS IP 服务器地址指向 Samba 活动目录域控制器，如下图所示。

如果你已经配置了 DHCP 服务来为局域网机器自动分配包括合适的 AD DNS IP 地址的 IP 设置，那么你可以跳过这一步。

设置网络接口

上图中，192.168.1.254 和 192.168.1.253 代表 Samba4 域控制器的 IP 地址。

3、 用 GUI（图形用户界面）或命令行重启网络服务来应用修改，并且对你的域名发起一系列 ping 请求来测试 DNS 解析如预期工作。 也用 host 命令来测试 DNS 解析。

$ sudo systemctl restart networking.service
$ host your_domain.tld
$ ping -c2 your_domain_name
$ ping -c2 adc1
$ ping -c2 adc2

4、 最后, 确保机器时间和 Samba4 AD 同步。安装 ntpdate 包并用下列指令和 AD 同步时间。

$ sudo apt-get install ntpdate
$ sudo ntpdate your_domain_name

第 2 步：安装需要的包

5、 这一步将安装将 Ubuntu 加入 Samba4 活动目录域控制器所必须的软件和依赖：Realmd 和 SSSD 服务。

$ sudo apt install adcli realmd krb5-user samba-common-bin samba-libs samba-dsdb-modules sssd sssd-tools libnss-sss libpam-sss packagekit policykit-1 

6、 输入大写的默认 realm 名称，然后按下回车继续安装。

输入 Realm 名称

7、 接着，创建包含以下内容的 SSSD 配置文件。

$ sudo nano /etc/sssd/sssd.conf

加入下面的内容到 sssd.conf 文件。

[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
[pam]
reconnection_retries = 3
[sssd]
domains = tecmint.lan
config_file_version = 2
services = nss, pam
default_domain_suffix = TECMINT.LAN
[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%d/%u
access_provider = ad
auth_provider = ad
chpass_provider = ad
access_provider = ad
ldap_schema = ad
dyndns_update = true
dyndsn_refresh_interval = 43200
dyndns_update_ptr = true
dyndns_ttl = 3600

确保你对应地替换了下列参数的域名：

domains = tecmint.lan
default_domain_suffix = TECMINT.LAN
[domain/tecmint.lan]
ad_domain = tecmint.lan
krb5_realm = TECMINT.LAN

8、 接着，用下列命令给 SSSD 配置文件适当的权限：

$ sudo chmod 700 /etc/sssd/sssd.conf

9、 现在，打开并编辑 Realmd 配置文件，输入下面这行：

$ sudo nano /etc/realmd.conf

realmd.conf 文件摘录：

[active-directory]
os-name = Linux Ubuntu
os-version = 17.04
[service]
automatic-install = yes
[users]
default-home = /home/%d/%u
default-shell = /bin/bash
[tecmint.lan]
user-principal = yes
fully-qualified-names = no

10、 最后需要修改的文件属于 Samba 守护进程。 打开 /etc/samba/smb.conf 文件编辑，然后在文件开头加入下面这块代码，在 [global] 之后的部分如下图所示。

workgroup = TECMINT
client signing = yes
client use spnego = yes
kerberos method = secrets and keytab
realm = TECMINT.LAN
security = ads

配置 Samba 服务器

确保你替换了域名值，特别是对应域名的 realm 值，并运行 testparm 命令检验设置文件是否包含错误。

$ sudo testparm

测试 Samba 配置

11、 在做完所有必需的修改之后，用 AD 管理员帐号验证 Kerberos 认证并用下面的命令列出票据。

$ sudo kinit [email protected]
$ sudo klist

检验 Kerberos 认证

第 3 步： 加入 Ubuntu 到 Samba4 Realm

12、 键入下列命令将 Ubuntu 机器加入到 Samba4 活动目录。用有管理员权限的 AD DC 账户名字，以便绑定 realm 可以如预期般工作，并替换对应的域名值。

$ sudo realm discover -v DOMAIN.TLD
$ sudo realm list
$ sudo realm join TECMINT.LAN -U ad_admin_user -v
$ sudo net ads join -k

加入 Ubuntu 到 Samba4 Realm

列出 Realm Domain 信息

添加用户到 Realm Domain

添加 Domain 到 Realm

13、 区域绑定好了之后，运行下面的命令确保所有域账户允许在这台机器上认证。

$ sudo realm permit -all

然后你可以使用下面举例的 realm 命令允许或者禁止域用户帐号或群组访问。

$ sudo realm deny -a
$ realm permit --groups ‘domain.tld\Linux Admins’
$ realm permit [email protected]
$ realm permit DOMAIN\\User2

14、 从一个 安装了 RSAT 工具的 Windows 机器上你可以打开 AD UC 并浏览“ 电脑 computers ”容器，并检验是否有一个使用你机器名的对象帐号已经创建。

确保域被加入 AD DC

第 4 步：配置 AD 账户认证

15、 为了在 Ubuntu 机器上用域账户认证，你需要用 root 权限运行 pam-auth-update 命令并允许所有 PAM 配置文件，包括为每个域账户在第一次注册的时候自动创建家目录的选项。

按 [空格] 键检验所有配置项并点击 ok 来应用配置。

$ sudo pam-auth-update

PAM 配置

16、 在系统上手动编辑 /etc/pam.d/common-account 文件，下面这几行是为了给认证过的域用户自动创建家目录。

session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

17、 如果活动目录用户不能用 linux 命令行修改他们的密码，打开 /etc/pam.d/common-password 文件并在 password 行移除 use_authtok 语句，最后如下：

password       [success=1 default=ignore]      pam_winbind.so try_first_pass

18、 最后，用下面的命令重启并启用以应用 Realmd 和 SSSD 服务的修改：

$ sudo systemctl restart realmd sssd
$ sudo systemctl enable realmd sssd

19、 为了测试 Ubuntu 机器是是否成功集成到 realm ，安装 winbind 包并运行 wbinfo 命令列出域账户和群组，如下所示。

$ sudo apt-get install winbind
$ wbinfo -u
$ wbinfo -g

列出域账户

20、 同样，也可以针对特定的域用户或群组使用 getent 命令检验 Winbind nsswitch 模块。

$ sudo getent passwd your_domain_user
$ sudo getent group ‘domain admins’

检验 Winbind Nsswitch

21、 你也可以用 Linux id 命令获取 AD 账户的信息，命令如下：

$ id tecmint_user

检验 AD 用户信息

22、 用 su - 后跟上域用户名参数来认证 Ubuntu 主机的一个 Samba4 AD 账户。运行 id 命令获取该 AD 账户的更多信息。

$ su - your_ad_user

AD 用户认证

用 pwd 命令查看你的域用户当前工作目录，和用 passwd 命令修改密码。

23、 在 Ubuntu 上使用有 root 权限的域账户，你需要用下面的命令添加 AD 用户名到 sudo 系统群组：

$ sudo usermod -aG sudo [email protected]

用域账户登录 Ubuntu 并运行 apt update 命令来更新你的系统以检验 root 权限。

24、 给一个域群组 root 权限，用 visudo 命令打开并编辑 /etc/sudoers 文件，并加入如下行：

%domain\ [email protected]              ALL=(ALL:ALL) ALL

25、 要在 Ubuntu 桌面使用域账户认证，通过编辑 /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf 文件来修改 LightDM 显示管理器，增加以下两行并重启 lightdm 服务或重启机器应用修改。

greeter-show-manual-login=true
greeter-hide-users=true

域账户用“你的域用户”或“你的域用户@你的域” 格式来登录 Ubuntu 桌面。

26、 为使用 Samba AD 账户的简称格式，编辑 /etc/sssd/sssd.conf 文件，在 [sssd] 块加入如下几行命令。

full_name_format = %1$s

并重启 SSSD 守护进程应用改变。

$ sudo systemctl restart sssd

你会注意到 bash 提示符会变成了没有附加域名部分的 AD 用户名。

27、 万一你因为 sssd.conf 里的 enumerate=true 参数设定而不能登录，你得用下面的命令清空 sssd 缓存数据：

$ rm /var/lib/sss/db/cache_tecmint.lan.ldb

这就是全部了！虽然这个教程主要集中于集成 Samba4 活动目录，同样的步骤也能被用于把使用 Realm 和 SSSD 服务的 Ubuntu 整合到微软 Windows 服务器活动目录。

作者简介：

Matei Cezar - 我是一名网瘾少年，开源和基于 linux 系统软件的粉丝，有4年经验在 linux 发行版桌面、服务器和 bash 脚本。

via: https://www.tecmint.com/integrate-ubuntu-to-samba4-ad-dc-with-sssd-and-realm/

作者：Matei Cezar 译者：XYenChi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在 GitHub，我们最近从头改进了 DNS。这包括了我们如何与外部 DNS 提供商交互以及我们如何在内部向我们的主机提供记录。为此，我们必须设计和构建一个新的 DNS 基础设施，它可以随着 GitHub 的增长扩展并跨越多个数据中心。

以前，GitHub 的 DNS 基础设施相当简单直接。它包括每台服务器上本地的、只具备转发功能的 DNS 缓存服务器，以及一对被所有这些主机使用的缓存服务器和权威服务器主机。这些主机在内部网络以及公共互联网上都可用。我们在缓存守护程序中配置了 区域 zone 存根 stub ，以在本地进行查询，而不是在互联网上进行递归。我们还在我们的 DNS 提供商处设置了 NS 记录，它们将特定的内部 域 domain 指向这对主机的公共 IP，以便我们网络外部的查询。

这个配置使用了很多年，但它并非没有缺点。许多程序对于解析 DNS 查询非常敏感，我们遇到的任何性能或可用性问题在最好的情况下也会导致服务排队和性能降级，而最坏情况下客户会遭遇服务中断。配置和代码的更改可能会导致查询率发生大幅度的意外变化。因此超出这两台主机的扩展成为了一个问题。由于这些主机的网络配置，如果我们只是继续添加 IP 和主机的话存在一些本身的问题。在试图解决和补救这些问题的同时，由于缺乏测量指标和可见性，老旧的系统难以识别问题的原因。在许多情况下，我们使用 tcpdump 来识别有问题的流量和查询。另一个问题是在公共 DNS 服务器上运行，我们处于泄露内部网络信息的风险之下。因此，我们决定建立更好的东西，并开始确定我们对新系统的要求。

我们着手设计一个新的 DNS 基础设施，以改善上述包括扩展和可见性在内的运维问题，并引入了一些额外的需求。我们希望通过外部 DNS 提供商继续运行我们的公共 DNS 域，因此我们构建的系统需要与供应商无关。此外，我们希望该系统能够服务于我们的内部和外部域，这意味着内部域仅在我们的内部网络上可用，除非另有特别配置，而外部域也不用离开我们的内部网络就可解析。我们希望新的 DNS 架构不但可以基于部署的工作流进行更改，并可以通过我们的仓库和配置系统使用 API 自动更改 DNS 记录。新系统不能有任何外部依赖，太依赖于 DNS 功能将会陷入级联故障，这包括连接到其他数据中心和其中可能有的 DNS 服务。我们的旧系统将缓存服务器和权威服务器在同一台主机上混合使用。我们想转到具有独立角色的分层设计。最后，我们希望系统能够支持多数据中心环境，无论是 EC2 还是裸机。

实现

为了构建这个系统，我们确定了三类主机： 缓存主机 cache 、 边缘主机 edge 和 权威主机 authority 。缓存主机作为 递归解析器 recursive resolver 和 DNS “路由器” 缓存来自边缘层的响应。边缘层运行 DNS 权威守护程序，用于响应缓存层对 DNS 区域 zone 的请求，其被配置为来自权威层的 区域传输 zone transfer 。权威层作为隐藏的 DNS 主服务器 master ，作为 DNS 数据的规范来源，为来自边缘主机的 区域传输 zone transfer 提供服务，并提供用于创建、修改或删除记录的 HTTP API。

在我们的新配置中，缓存主机存在于每个数据中心中，这意味着应用主机不需要穿过数据中心边界来检索记录。缓存主机被配置为将 区域 zone 映射到其 地域 region 内的边缘主机，以便将我们的内部 区域 zone 路由到我们自己的主机。未明确配置的任何 区域 zone 将通过互联网递归解析。

边缘主机是地域性的主机，存在我们的网络边缘 PoP（ 存在点 Point of Presence ）内。我们的 PoP 有一个或多个依赖于它们进行外部连接的数据中心，没有 PoP 数据中心将无法访问互联网，互联网也无法访问它们。边缘主机对所有的权威主机执行 区域传输 zone transfer ，无论它们存在什么 地域 region 或 位置 location ，并将这些区域存在本地的磁盘上。

我们的权威主机也是地域性的主机，只包含适用于其所在 地域 region 的 区域 zone 。我们的仓库和配置系统决定一个 区域 zone 存放在哪个 地域性权威主机 regional authority ，并通过 HTTP API 服务来创建和删除记录。 OctoDNS 将区域映射到地域性权威主机，并使用相同的 API 创建静态记录，以及确保动态源处于同步状态。对于外部域 (如 github.com)，我们有另外一个单独的权威主机，以允许我们可以在连接中断期间查询我们的外部域。所有记录都存储在 MySQL 中。

可运维性

迁移到更现代的 DNS 基础设施的巨大好处是可观察性。我们的旧 DNS 系统几乎没有指标，只有有限的日志。决定使用哪些 DNS 服务器的一个重要因素是它们所产生的指标的广度和深度。我们最终用 Unbound 作为缓存主机，NSD 作为边缘主机，PowerDNS 作为权威主机，所有这些都已在比 GitHub 大得多的 DNS 基础架构中得到了证实。

当在我们的裸机数据中心运行时，缓存通过私有的 任播 anycast IP 访问，从而使之可以到达最近的可用缓存主机。缓存主机已经以机架感知的方式部署，在它们之间提供了一定程度的平衡负载，并且与一些电源和网络故障模式相隔离。当缓存主机出现故障时，通常将用其进行 DNS 查询的服务器现在将自动路由到下一个最接近的缓存主机，以保持低延迟并提供对某些故障模式的容错。任播允许我们扩展单个 IP 地址后面的缓存数量，这与先前的配置不同，使得我们能够按 DNS 需求量运行尽可能多的缓存主机。

无论地域或位置如何，边缘主机使用权威层进行区域传输。我们的 区域 zone 并没有大到在每个 地域 region 保留所有 区域 zone 的副本成为问题。（LCTT 译注：此处原文“Our zones are not large enough that keeping a copy of all of them in every region is a problem.”，根据上下文理解而翻译。）这意味着对于每个区域，即使某个地域处于脱机状态，或者上游服务提供商存在连接问题，所有缓存服务器都可以访问具备所有区域的本地副本的本地边缘服务器。这种变化在面对连接问题方面已被证明是相当有弹性的，并且在不久前本来会导致客户面临停止服务的故障期间帮助保持 GitHub 可用。

那些区域传输包括了内部和外部域从它们相应的权威服务器进行的传输。正如你可能会猜想像 github.com 这样的区域是外部的，像 github.net 这样的区域通常是内部的。它们之间的区别仅在于我们使用的类型和存储在其中的数据。了解哪些区域是内部和外部的，为我们在配置中提供了一些灵活性。

$ dig +short github.com
192.30.253.112
192.30.253.113

公共 区域 zone 被同步到外部 DNS 提供商，并且是 GitHub 用户每天使用的 DNS 记录。另外，公共区域在我们的网络中是完全可解析的，而不需要与我们的外部提供商进行通信。这意味着需要查询 api.github.com 的任何服务都可以这样做，而无需依赖外部网络连接。我们还使用了 Unbound 的 stub-first 配置选项，它给了我们第二次查询的机会，如果我们的内部 DNS 服务由于某些原因在外部查询失败，则可以进行第二次查找。

$ dig +short time.github.net
10.127.6.10

大部分的 github.net 区域是完全私有的，无法从互联网访问，它只包含 RFC 1918 中规定的 IP 地址。每个地域和站点都划分了私有区域。每个地域和/或站点都具有适用于该位置的一组子区域，子区域用于管理网络、服务发现、特定的服务记录，并且还包括在我们仓库中的配置主机。私有区域还包括 PTR 反向查找区域。

总结

用一个新系统替换可以为数百万客户提供服务的旧系统并不容易。使用实用的、基于需求的方法来设计和实施我们的新 DNS 系统，才能打造出一个能够迅速有效地运行、并有望与 GitHub 一起成长的 DNS 基础设施。

想帮助 GitHub SRE 团队解决有趣的问题吗？我们很乐意你加入我们。在这申请。

via: https://githubengineering.com/dns-infrastructure-at-github/

作者：Joe Williams 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

了解使用此轻量级图像编辑器查看和修改图像的常见方法。

在最近一篇关于轻量级图像查看器的文章中，作者 Scott Nesbitt 提到了 display，它是 ImageMagick 中的一个组件。ImageMagick 不仅仅是一个图像查看器，它还提供了大量的图像编辑工具和选项。本教程将详细介绍如何在 ImageMagick 中使用 display 命令和其他命令行工具。

现在有许多优秀的图像编辑器可用，你可能会想知道为什么有人会选择一个非 GUI 的、基于命令行的程序，如 ImageMagick。一方面，它非常可靠。但更大的好处是，它允许你建立一个以特定的方式编辑大量图像的方式。

这篇对于常见的 ImageMagick 命令的介绍应该让你入门。

display 命令

让我们从 Scott 提到的命令开始：display。假设你有一个目录，其中有很多想要查看的图像。使用以下命令开始 display：

cd Pictures
display *.JPG

这将按照字母数字顺序顺序加载你的 JPG 文件，每张放在一个简单的窗口中。左键单击图像可以打开一个简单的独立菜单（ImageMagick 中唯一的 GUI 功能）。

你可以在 display 菜单中找到以下内容：

• File 包含选项 Open、Next、Former、Select、Save、Print、Delete、New、Visual Directory 和 Quit。 Select 来选择要显示的特定文件，Visual Directory 显示当前工作目录中的所有文件（而不仅仅是图像）。如果要滚动显示所有选定的图像，你可以使用 Next 和 Former，但使用键盘快捷键（下一张图像用空格键，上一张图像用退格）更容易。
• Edit 提供 Undo、Redo、Cut、Copy 和 Paste，它们只是辅助命令进行更具体的编辑过程。 当你进行不同的编辑功能看看它们做什么时 Undo 特别有用。
• View 有 Half Size、Original Size、Double Size、Resize、Apply、Refresh 和 Restore。这些大多是不用说明的，除非你在应用其中之一后保存图像，否则图像文件不会更改。Resize 会打开一个对话框，以像素为单位，带有或者不带尺寸限制，或者是百分比指定图片大小。我不知道 Apply 会做什么。
• Transform 显示 Crop、Chop、Flop、Flip、Rotate Right、Rotate Left、Rotate、Shear、Roll 和 Trim Edges。Chop 使用点击拖动操作剪切图像的垂直或水平部分，将边缘粘贴在一起。了解这些功能如何工作的最佳方法是操作它们，而不是看看。
• Enhance 提供 Hue、Saturation、Brightness、Gamma、Spiff、Dull、Contrast Stretch、Sigmoidal Contrast、Normalize、Equalize、Negate、Grayscale、Map 和 Quantize。这些是用于颜色和调整亮度和对比度的操作。
• 效果 有 Despeckle、Emboss、Reduce Noise、Add Noise、Sharpen、Blur、Threshold、Edge Detect、Spread、Shade、Raise 和 Segment。这些是相当标准的图像编辑效果。
• F/X 选项有 Solarize、Sepia Tone、Swirl、Implode、Vignette、Wave、Oil Paint 和 Charcoal Draw，在图像编辑器中也是非常常见的效果。
• Image Edit 包含 Annotate、Draw、Color、Matte、Composite、Add Border、Add Frame、Comment、Launch 和 Region of Interest。Launch \_ 将打开 GIMP 中的当前图像（至少在我的 Fedora 中是这样）。 \_Region of Interest 允许你选择一个区域来应用编辑。按下 Esc 取消选择该区域。
• Miscellany 提供 Image Info、Zoom Image、Show Preview、Show Histogram、Show Matte、Background、Slide Show 和 Preferences。 Show Preview 似乎很有趣，但我努力让它工作。
• Help 有 Overview、Browse Documentation 和 About Display。 Overview 提供了大量关于 display 的基本信息，并且包含大量内置的键盘快捷键，用于各种命令和操作。在我的 Fedora 中，Browse Documentation 没有作用。

虽然 display 的 GUI 界面提供了一个称职的图像编辑器，但 ImageMagick 还提供了 89 个命令行选项，其中许多与上述菜单项相对应。例如，如果我显示的数码相片目录中的图像大于我的屏幕尺寸，我不用在显示后单独调整大小，我可以指定：

display -resize 50% *.JPG

上面菜单中的许多操作都可以通过在命令行中添加一个选项来完成。但是还有其他的选项在菜单中没有，包括 -monochrome，将图像转换为黑白（不是灰度），还有 -colors，你可以指定在图像中使用多少种颜色。例如，尝试这些：

display -resize 50% -monochrome *.JPG

display -resize 50% -colors 8 *.JPG

这些操作会创建有趣的图像。试试增强颜色或进行其他编辑后减少颜色。记住，除非你保存并覆盖它们，否则原始文件保持不变。

convert 命令

convert 命令有 237 个选项 - 是的， 237 个！ - 它提供了你可以做的各种各样的事情（其中一些 display 也可以做）。我只会覆盖其中的几个，主要是图像操作。你可以用 convert 做的两件简单的事情是：

convert DSC_0001.JPG dsc0001.png

convert *.bmp *.png

第一个命令将单个文件（DSC\_0001）从 JPG 转换为 PNG 格式，而不更改原始文件。第二个将对目录中的所有 BMP 图像执行此操作。

如果要查看 ImageMagick 可以使用的格式，请输入：

identify -list format

我们来看几个用 convert 命令来处理图像的有趣方法。以下是此命令的一般格式：

convert inputfilename [options] outputfilename

你有多个选项，它们按照从左到右排列的顺序完成。

以下是几个简单的选项：

convert monochrome_source.jpg -monochrome monochrome_example.jpg

convert DSC_0008.jpg -charcoal 1.2 charcoal_example.jpg

-monochrome 选项没有关联的设置，但 -charcoal 变量需要一个相关因子。根据我的经验，它需要一个小的数字（甚至小于 1）来实现类似于炭笔绘画的东西，否则你会得到很大的黑色斑点。即使如此，图像中的尖锐边缘也是非常明显的，与炭笔绘画不同。

现在来看看这些：

convert DSC_0032.JPG -edge 3 edge_demo.jpg

convert DSC_0032.JPG -colors 4 reduced4_demo.jpg

convert DSC_0032.JPG -colors 4 -edge 3 reduced+edge_demo.jpg

原始图像位于左上方。在第一个命令中，我使用了一个 -edge 选项，设置为 3（见右上角的图像） - 对于我的喜好而言小于它的数字都太精细了。在第二个命令（左下角的图像）中，我们将颜色的数量减少到了 4 个，与原来没有什么不同。但是看看当我们在第三个命令中组合这两个时，会发生什么（右下角的图像）！也许这有点大胆，但谁能预期到从原始图像或任何一个选项变成这个结果？

-canny 选项提供了另外一个惊喜。这是另一种边缘检测器，称为“多阶算法”。单独使用 -canny 可以产生基本黑色的图像和一些白线。我后面跟着一个 -negate 选项：

convert DSC_0049.jpg -canny 0x1 -negate canny_egret.jpg
convert DSC_0023.jpg -canny 0x1 -negate canny_ship.jpg

这有点极简主义，但我认为它类似于一种笔墨绘画，与原始照片有相当显著的差异。它并不能用于所有图片。一般来说，它对有锐利线条的图像效果最好。不是焦点的元素可能会消失。注意白鹭图片中的背景沙滩没有显示，因为它是模糊的。同样注意下船舶图片，虽然大多数边缘显示得非常好，因为没有颜色，我们失去了图片的整体形象，所以也许这可以作为一些数字着色，甚至在印后着色的基础。

montage 命令

最后，我想谈一下 montage （蒙太奇）命令。我已经在上面展示了这个例子，我将单个图像组合成复合图片。

这是我如何生成炭笔的例子（请注意，它们都在一行）：

montage -label %f DSC_0008.jpg charcoal_example.jpg -geometry +10+10
      -resize 25% -shadow -title 'charcoal demo' charcoal_demo.jpg

-label 选项会在每个图像下方标记它的文件名(%f)。不用 -geometry 选项，所有的图像将是缩略图大小（120 像素宽），+10+10 负责边框大小。接下来，我调整了整个最终组合的大小（-resize 25%），并添加了一个阴影（没有设置，因此是默认值），最后为这次 montage 操作创建了一个标题（-title）。

你可以将所有图像名称放在最后，最后一个图像的名称将是 montage 操作所保存的文件名。这可用于为命令及其所有选项创建别名，然后我可以简单地键入该别名、输入适当的文件名即可。我偶尔会这么做来减少 montage 操作需要输入的命令长度。

在 -canny 的例子中，我对 4 张图像进行了蒙太奇操作。我添加了 -tile 选项，确切地说是 -tile 2x，它创建了有两列的蒙太奇。我可以指定一个 matrix、-tile 2x2 或 -tile x2 来产生相同的结果。

ImageMagick 还有更多可以了解，所以我打算写更多关于它的文章，甚至可能使用 Perl 脚本运行 ImageMagick 命令。ImageMagick 具有丰富的文档，尽管该网站在示例或者显示结果上还不足，我认为最好的学习方式是通过实验和更改各种设置和选项来学习。

（题图： opensource.com）

作者简介：

Greg Pittman - Greg 是肯塔基州路易斯维尔的一名退休的神经科医生，对计算机和程序设计有着长期的兴趣，从 1960 年代的 Fortran IV 开始。当 Linux 和开源软件相继出现时，他开始学习更多，并最终做出贡献。他是 Scribus 团队的成员。

via: https://opensource.com/article/17/8/imagemagick

作者：Greg Pittman 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出