Debian Edu / Skolelinux — дистрибутив Linux, створений проєктом Debian Edu. Як і Debian Pure Blends (якісний збір Debian) — це підпроєкт офіційного підпроєкту Debian.

Для Вашої школи це означає, що Skolelinux — це версія Debian, яка надає готове середовище для повністю налаштованої шкільної комп’ютерної мережі.

Проєкт Skolelinux заснований 2 липня 2001 у Норвегії та приблизно в цей самий час Raphaël Hertzog заснував у Франції Debian-Edu. У 2003 році проєкти об'єдналися, але обидві назви використовуються паралельно. "Skole" та (Debian-)"Education" — два зрозумілих у цих регіонах терміни.

Сьогодні система використовується у декількох країнах світу.

Ця частина документа описує мережеву архітектуру та сервіси, отримані від встановлення Skolelinux.

Малюнок є ескізом ймовірної топології комп’ютерної мережі. Стандартне налаштування мережі Skolelinux передбачає наявність одного (і тільки одного) головного сервера, але дозволяє включати в мережу як звичайні робочі станції, так і сервери LTSP (з під'єднаними тонкими клієнтами та/або бездисковими робочими станціями). Кількість робочих станцій може бути як дуже великою, так і взагалі їх відсутністю — залежно від Ваших бажань. Те саме стосується серверів LTSP, кожен з яких знаходиться в окремій мережі, тому мережевий трафік між клієнтами та сервером LTSP не впливає на решту мережевих служб. LTSP докладно описано у відповідному розділі HowTo.

Причина, чому в кожній шкільній мережі може бути лише один головний сервер, полягає в тому, що головний сервер забезпечує DHCP, і лише одна машина в мережі може обслуговувати DHCP; можна перенести служби з головного сервера на інші комп'ютери, встановивши на них певні служби, а після оновлення конфігурації DNS, вказавши псевдонім DNS для цієї служби на відповідний комп’ютер.

Щоб спростити стандартне встановлення Skolelinux, підключення до Інтернету працює через окремий роутер, який також називають шлюзом. Якщо немає можливості налаштувати наявний шлюз, можете детально ознайомитися про налаштування у розділі Інтернет-роутер.

Усі машини Linux, встановлені з інсталятором Skolelinux, можна буде адмініструвати з центрального комп’ютера, швидше за все, з сервера. Можна буде увійти на всі машини через SSH і таким чином отримати повний доступ до машин. Для отримання Kerberos TGT, потрібно спочатку запустити kinit як root.

Уся користувацька інформація зберігається в каталозі LDAP. Оновлення облікових записів користувачів здійснюється на основі цієї бази даних, яка використовується клієнтами для автентифікації користувачів.

Призначення різних профілів пояснюється в розділі про архітектуру мережі.

Якщо планується використовувати LTSP, перегляньте вікі-сторінку з описом вимог до обладнання LTSP.

Список перевіреного обладнання див. за адресою https://wiki.debian.org/DebianEdu/Hardware/. Цей список не є вичерпним.

https://wiki.debian.org/InstallingDebianOn — це спроба документування як встановлювати, налаштовувати та використовувати Debian на деякому особливому обладнанні, щоби допомогти потенційним покупцям дізнатися чи підтримується те чи інше обладнання та допомогти теперішнім власникам отримати максимум від наявного обладнання.

Під час використання стандартної мережевої архітектури застосовуються такі правила:

Для підключення до інтернету потрібен маршрутизатор/шлюз, підключений до інтернету на зовнішньому інтерфейсі та налаштований з IP-адресою 10.0.0.1 та маскою мережі 255.0.0.0 на внутрішньому інтерфейсі.

DHCP не повинен працювати на маршрутизаторі, але на ньому може працювати служба DNS, хоча це не потрібно і не використовуватиметься.

Якщо у Вас ще немає маршрутизатора або Ваш теперішній маршрутизатор не можна налаштувати відповідним чином, перетворити на шлюз між наявною мережею та DebianEdu можна будь-яку машину, яка відповідає вимогам для мінімальної інсталяції Debian і має принаймні два мережеві інтерфейси. Перегляньте документацію щодо встановлення, — там можна дізнатися про простий спосіб встановлення та налаштування Debian за допомогою debian-edu-router-config.

Якщо Вам щось потрібно для вбудованого маршрутизатора або точки доступу, ми рекомендуємо використовувати OpenWRT, хоча, звичайно, Ви також можете користуватися оригінальною прошивкою — це простіше. Користування OpenWRT дає більше налаштувань та контролю. Перегляньте вебсторінки OpenWRT та ознайомтеся зі списком підтримуваного обладнання.

Можна використовувати іншу мережеву конфігурацію (як це зробити описано у задокументованій процедурі), але якщо Ви не вимушені це робити з наявною мережевою інфраструктурою, ми радимо утриматися від цього та залишатися у стандартній мережевій архітектурі.

Перед початком встановлення системи для постійного використання (production) ми радимо Вам прочитати або хоча б ознайомитися з нотатками про випуск Debian Bookworm.Більше інформації про випуск Debian Bookworm можна знайти у цій настанові з інсталяції.

Будь ласка, дайте Debian Edu/Skolelinux шанс і спробуйте, — все повинно працювати.

Як би не було, перед початком встановлення головного сервера, ми дуже радимо прочитати розділи про вимоги до обладнання та мережі та про архітектуру.

Переконайтеся, що Ви також ознайомилися з розділом цієї настанови про початок роботи, — там описано як увійти в систему вперше.

Коли Ви встановлюєте Debian Edu, Ви маєте декілька варіантів на вибір. Не бійтеся — їх не так багато. Ми гарно попрацювали, щоб приховати складність Debian під час встановлення та після нього. Проте Debian Edu — це Debian, і якщо Ви хочете, у Вас є понад 59 000 пакетів на вибір і мільярд варіантів конфігурації. Для більшості наших користувачів стандартні значення будуть в самий раз. Зауважте: якщо планується використовувати LTSP, виберіть полегшене робоче середовище.

DEBIAN_FRONTEND=noninteractive apt install -y -q debian-edu-router-config

lshw -class network

ip addr flush <interface>

dpkg-reconfigure --force uif debian-edu-router

deb http://deb.debian.org/debian/ bookworm main 
deb http://security.debian.org bookworm-security main 

sudo dd if=debian-edu-amd64-XXX.iso of=/dev/sdX bs=1M

lsblk -p

/usr/share/debian-edu-config/tools/pxe-addfirmware

d-i    pkgsel/include string my-extra-package(s)

Текстовий режим і графічне встановлення функціонально ідентичні — відрізняється лише зовнішній вигляд. Графічний режим дозволяє використовувати мишу та насправді виглядає набагато приємніше і сучасніше. Якщо апаратне забезпечення не має проблем із графічним режимом, немає причин не використовувати його.

Отже, тут у нас невеличка екскурсія зі знімками з екрана як виглядає графічне встановлення, де є 64-бітний Головний сервер + Робоча станція + Сервер LTSP (у режимі BIOS) та як виглядає перше завантаження головного сервера, завантаження PXE в клієнтській мережі LTSP (екран сеансу тонкого клієнта та екран входу після вибору сеансу на правій панелі).

Під час встановлення головного сервера був створений обліковий запис першого користувача. Далі у тексті цей обліковий запис буде згадуватися як "перший користувач". Цей обліковий запис — особливий, оскільки дозвіл на домашній каталог встановлено як 700 (через це, для того, щоб зробити особисті вебсторінки доступними, потрібно виконати chmod o+x ~). Крім того, перший користувач може користуватися командою sudo, щоб стати root.

Перш ніж додавати користувачів, перегляньте інформацію про спеціальну конфігурацію доступу до файлової системи для Debian Edu та за потреби відкоригуйте політику свого сайту.

Після встановлення, найперше, що Вам потрібно зробити як першому користувачеві:

Додавання користувачів і робочих станцій детально описано нижче, тому прочитайте цей розділ повністю. У ньому описано, як правильно виконати ці мінімальні кроки, а також інші речі, які, ймовірно, доведеться зробити кожному.

У цьому посібнику є додаткова інформація: розділ Нові функції в Bookworm повинен прочитати кожен, хто знайомий із попередніми випусками. А для тих, хто оновлює попередній випуск, обов’язково потрібно прочитати розділ Оновлення.

Якщо загальний DNS-трафік у Вашій мережі заблоковано, а Вам потрібно використовувати певний DNS-сервер для пошуку інтернет-хостів, Вам потрібно сказати DNS-серверу використовувати цей сервер як "пересильний" ("forwarder"). Оновіть /etc/bind/named.conf.options і вкажіть IP-адресу DNS-сервера, яку потрібно використовувати.

Розділ HowTo містить більше порад і підказок, а також деякі поширені запитання.

GOsa² — це вебінструмент для керування, який допомагає керувати деякими важливими частинами налаштування Вашого Debian Edu. За допомогою GOsa² Ви можете керувати (додавати, змінювати або видаляти) цими основними групами:

Для доступу до GOsa² Вам потрібен головний сервер Skolelinux та (клієнтська) система зі встановленим веббраузером, який сам може бути головним сервером, якщо його встановлено як так званий комбінований сервер (профілі головного сервера + сервера LTSP + робочої станції).

Якщо Ви (ймовірно випадково) встановили чистий профіль Головного сервера і не маєте під рукою клієнта з веббраузером, можна з легкістю встановити мінімальний робочий стіл на головному сервері такою послідовністю команд у (текстовій) оболонці (shell) від імені користувача, якого Ви створили під час інсталяції основного сервера (перший користувач):

  $ sudo apt update
  $ sudo apt install task-desktop-xfce lightdm education-menus
  $ sudo service lightdm start

У веббраузері для доступу до GOsa² скористайтеся URL-адресою https://www/gosa та увійдіть як перший користувач.

Спочатку натисніть "Користувачі" в лівому навігаційному меню. У правій частині екрана з'явиться таблиця з теками відділу для "Студентів» та "Викладачів", та обліковим записом адміністратора GOsa² (першого створеного користувача). Над цією таблицею Ви зможете побачити поле з назвою База, яке дозволяє Вам переміщатися по структурі (наведіть вказівник миші на цю область — з'явиться додаткове меню) і вибирати базову теку для Ваших запланованих операцій (наприклад, додавання нового користувача).

Керування групами дуже схоже на керування користувачами.

Ви можете ввести назву та опис для кожної групи. Під час створення нової групи переконайтеся, що Ви вибрали правильний рівень у LDAP.

Додавання користувачів до новоствореної групи повертає Вас до списку користувачів, де Ви, ймовірно, захочете скористатися вікном фільтра для пошуку користувачів. Також перевірте рівень дерева LDAP.

Групи, введені в керуванні групами, також є звичайними групами unix, тож Ви можете їх також використовувати для дозволів на файли.

Керування машинами в основному дозволяє керувати всіма мережевими пристроями у Вашій мережі Debian Edu. Кожен комп'ютер, доданий до каталогу LDAP за допомогою GOsa², має ім’я хосту, IP-адресу, MAC-адресу та доменне ім'я (зазвичай "intern"). Для більш докладного опису архітектури Debian Edu див. розділ Архітектура цієї настанови.

Бездискові робочі станції та тонкі клієнти у випадку комбінованого головного сервера працюють "з коробки".

Робочі станції з дисками (включно з окремими серверами LTSP) потрібно додавати з GOsa². За лаштунками генеруються як специфічний для машини Kerberos Principal (щось на зразок облікового запису), так і відповідний файл keytab (містить ключ, який використовується як пароль). Файл keytab має бути присутнім на робочій станції, щоб мати можливість приєднувати домашні каталоги користувачів. Після перезавантаження доданої системи увійдіть до неї як root і виконайте /usr/share/debian-edu-config/tools/copy-host-keytab.

Щоб створити Principal та файл keytab для вже налаштованої з GOsa² системи, увійдіть на головний сервер як root та виконайте

/usr/share/debian-edu-config/tools/gosa-modify-host <hostname> <IP>

Зверніть увагу: створення keytab для хоста можливе для систем типів робочі станції, сервери та термінали⁣, але не для пристроїв типу netdevices. Щоб дізнатися про параметри конфігурації NFS, перегляньте розділ Настанови для мережевих клієнтів.

Щоб додати машину, скористайтеся головним меню GOsa², системи, додати. Очікується, що ім'я машини буде дійсним некваліфікованим іменем хоста, і не додавайте сюди доменне ім'я. Ви можете використовувати IP-адресу/ім'я хоста з попередньо налаштованого адресного простору 10.0.0.0/8. Наразі існує лише дві попередньо визначені фіксовані адреси: 10.0.2.2 (tjener) та 10.0.0.1 (шлюз). Адреси від 10.0.16.20 до 10.0.31.254 (приблизно 10.0.16.0/20 або 4000 хостів) зарезервовані для DHCP і призначаються динамічно.

Щоб призначити хосту з MAC-адресою 52:54:00:12:34:10 статичну IP-адресу в GOsa², Вам потрібно ввести MAC-адресу, ім'я хоста та IP; або Ви можете натиснути кнопку Запропонувати IP (Propose ip), яка покаже першу вільну фіксовану адресу у 10.0.0.0/8, швидше за все, щось на кшталт 10.0.0.2, якщо додасте першу машину таким чином. Можливо, краще спочатку подумати про свою мережу: наприклад, Ви б могли використовувати 10.0.0.x з x>10 та x<50 для серверів і x>100 для робочих станцій. Не забудьте активувати щойно додану систему. За винятком основного сервера, усі системи матимуть відповідний значок.

Якщо машини завантажувалися як тонкі клієнти/бездискові робочі станції або були встановлені за допомогою будь-якого з мережевих профілів, для автоматичного додавання машин до GOsa² можна використовувати скрипт sitesummary2ldapdhcp. Для простих машин це працюватиме одразу, для машин із кількома MAC-адресами потрібно вибрати фактично використовувану, sitesummary2ldapdhcp -h показує інформацію про використання. Зверніть увагу, що IP-адреси, які відображаються після використання sitesummary2ldapdhcp, належать до динамічного діапазону IP. Ці системи можна змінити пізніше відповідно до Вашої мережі: перейменувати кожну нову систему, активувати DHCP та DNS, додати її до мережевих груп (рекомендовані мережеві групи див. на знімку екрана нижче), і потім перезавантажити систему. Наступні знімки екрана показують, як це виглядає на практиці:

root@tjener:~# sitesummary2ldapdhcp -a -i ether-22:11:33:44:55:ff
info: Create GOsa machine for am-2211334455ff.intern [10.0.16.21] id ether-22:11:33:44:55:ff.
 
Enter password if you want to activate these changes, and ^c to abort.
 
Connecting to LDAP as cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no
enter password: ********
root@tjener:~#

Завдання для оновлення DNS запускається щогодини; для оновлення вручну можна виконати команду su -c ldap2bind.

Пакет p910nd встановлений з профілем Робоча станція у системі стандартно.

Рекомендується вимкнути у використовуваних мережевих принтерах усі функції самореклами. Натомість призначте фіксовану IP-адресу за допомогою GOsa² та налаштуйте їх як мережеві принтери AppSocket/HP JetDirect.

Цей розділ пояснює як використовувати apt full-upgrade.

Використання apt доволі просте. Для оновлення системи Вам потрібно виконати дві команди від імені root: apt update (оновлення списку доступних пакетів) та apt full-upgrade (оновлення доступних для оновлення пакетів).

Буде добре також в разі виникнення проблем робити оновлення з використанням локалі C – для отримання результатів англійською мовою – це допоможе отримати результати для зручного пошуку рішення в інтернет.

LC_ALL=C apt full-upgrade -y

Після оновлення пакета debian-edu-config, можливо буде потрібно змінити конфігураційні файли Cfengine. Для перевірки виконайте команду ls -ltr /etc/cfengine3/debian-edu/. Для підтвердження змін, виконайте LC_ALL=C cf-agent -D installation.

Після оновлення сервера LTSP для збереження образу SquashFS у синхронізації для бездискових клієнтів важливо на сервері виконати debian-edu-ltsp-install --diskless_workstation yes.

Після оновлення релізу системи з Головним сервером або з профілем Сервер LTSP, потрібно оновити інсталяційне оточення PXE командою debian-edu-pxeinstall.

Також буде корисним встановити cron-apt та apt-listchanges і налаштувати через них надсилання ел.пошти на адресу, яку Ви читаєте.

cron-apt буде Вам сповіщати ел.поштою раз на день про можливі оновлення пакетів. Цей інструмент не оновлює нічого, але отримує ці оновлення (зазвичай вночі), щоб Вам не було потрібно очікувати, коли Ви запустите apt full-upgrade.

Якщо є бажання, можна налаштувати автоматичне оновлення. Для цього лише потрібно встановити пакет unattended-upgrades та налаштувати його, як описано на сторінці wiki.debian.org/UnattendedUpgrades.

Програма apt-listchanges може надсилати Вам ел.поштою записи про оновлення або під час виконання apt виводити їх у терміналі.

Для керування резервним копіюванням перейдіть у веббраузері на https://www/slbackup-php. Зверніть увагу, що Вам потрібно на цю сторінку заходити з SSL, оскільки буде потрібно вводити пароль root. Якщо спробуєте зайти без SSL, буде помилка.

Примітка: сайт буде працювати лише якщо Ви тимчасово дозволите вхід через SSH від імені root на сервер резервних копій (backup server), який у стандартному налаштуванні — це головний сервер (tjener.intern).

Типово, резервні копії /skole/tjener/home0, /etc/, /root/.svk та LDAP зберігаються у каталозі /skole/backup/, який налаштований як окремий розділ LVM. Якщо Вам потрібні запасні копії елементів (на випадок їх видалення) це налаштування повинно Вам допомогти.

Майте на увазі, що ця схема резервного копіювання не захищає Вас від збою жорстких дисків.

Якщо Ви хочете створити резервну копію своїх даних на зовнішньому сервері, стрімері або на іншому жорсткому диску, Вам буде потрібно трішки змінити наявну конфігурацію.

Якщо Ви хочете відновити весь каталог, найкращим буде використання командного рядка:

$ sudo rdiff-backup -r <date>  \
   /skole/backup/tjener/skole/tjener/home0/user \
   /skole/tjener/home0/user_<date>

Це залишить зміст /skole/tjener/home0/user за <дату> у каталозі /skole/tjener/home0/user_<дата>

Якщо Ви хочете відновити один файл, Вам потрібно вказати файл (та версію) у вебінтерфейсі та отримати лише цей файл.

Якщо Ви хочете позбутися старіших резервних копій, виберіть в меню на сторінці резервного копіювання пункт "Обслуговування" та найстаріший знімок, який потрібно зберегти:

Додаткову інформацію про налаштування Debian Edu, корисну для системних адміністраторів, можна знайти в розділі "Адміністрування" та в розділі "Розширене адміністрування"

Оновлення Debian з одного випуску до наступного зазвичай досить просте. Для Debian Edu це, на жаль, дещо складніше, оскільки ми змінюємо файли конфігурації у власний спосіб. Проте ми задокументували необхідні кроки нижче. (Щоб дізнатися більше, як у Debian Edu повинні змінюватися файли конфігурацій див. інформацію про помилку Debian 311188.)

Загалом, оновлення серверів складніше за робочі станції, а оновлення головного сервера — найскладніше.

Якщо Ви хочете бути впевненими, що після оновлення все запрацює як раніше, радимо Вам спочатку перевірити оновлення на тестовій системі або системах, налаштованих так само як Ваші робочі машини. Там Ви зможете без ризику перевірити оновлення та переглянути чи все працює належним чином.

Переконайтеся, що Ви не забули також прочитати інформацію про поточний випуск Debian Stable у його настанові зі встановлення.

Також було б розумно трохи почекати та продовжити роботу зі "старим та надійним" (Oldstable) ще на кілька тижнів, поки інші перевірять оновлення та задокументують будь-які проблеми, які у них виникають. Випуск Oldstable Debian Edu отримуватиме підтримку ще деякий час після наступного стабільного (Stable) випуску, але коли Debian припинить підтримку Oldstable, Debian Edu обов’язково зробить те саме.

Будьте готові: переконайтеся, що Ви протестували оновлення з Bullseye у тестовому середовищі або підготували резервні копії, щоб можна було повернутися.

Зауважте, що наведений нижче рецепт стосується стандартної інсталяції Головного сервера Debian Edu (desktop=xfce, профілі Головний сервер (Main Server), Робоча станція (Workstation), Сервер LTSP (LTSP Server)). (Для загального ознайомлення щодо оновлення Bullseye до Bookworm, див.: https://www.debian.org/releases/bookworm/releasenotes)

Не використовуйте X (графічний інтерфейс), — використовуйте віртуальну консоль, увійдіть як root.

Якщо apt завершує роботу з помилкою, спробуйте виправити її та/або запустіть apt -f install, а потім ще раз apt -y full-upgrade.

apt update
apt full-upgrade

sed -i 's/bullseye/bookworm/g' /etc/apt/sources.list
export LC_ALL=C
apt update
apt upgrade --without-new-pkgs
apt full-upgrade

cf-agent -v -D installation

Для оновлення з будь-якої попередньої версії, перш ніж Ви зможете виконувати наведені вище інструкції, Вам потрібно спочатку оновитися до випуску Debian Edu на основі Bullseye. У Посібнику для Debian Edu Bullseye наведено інструкції щодо оновлення до Bullseye з попереднього випуску Buster.

За допомогою etckeeper усі файли у /etc/ відстежуються з Git як система контролю версій.

Це дає змогу побачити, коли файл додано, змінено та вилучено, а також що було змінено, якщо файл текстовий. Репозиторій git зберігається у /etc/.git/.

Щогодини будь-які зміни записуються автоматично, що дозволяє витягувати та переглядати історію конфігурацій.

Для перегляду історії користуйтеся командою etckeeper vcs log. Для перевірки різниці між двома моментами часу, можна скористатися командою etckeeper vcs diff .

Для отримання додаткової інформації перегляньте результат команди man etckeeper.

Список корисних команд:

etckeeper vcs log
etckeeper vcs status
etckeeper vcs diff
etckeeper vcs add .
etckeeper vcs commit -a
man etckeeper

etckeeper vcs log

etckeeper vcs status

etckeeper vcs commit -a /etc/resolv.conf

У Debian Edu всі розділи, крім /boot/, знаходяться на логічних томах LVM. З ядром Linux, починаючи з версії 2.6.10, можна збільшувати розділи коли вони приєднані/змонтовані. Але зменшення розділів поки що можливе лише коли розділ не змонтовано.

Бажано уникати створення дуже великих розділів (понад, скажімо, 20 ГБ), тому що для запуску fsck для них або їх відновлення з резервної копії, якщо виникне така необхідність, буде потрібен додатковий час. Краще, якщо це можливо, створювати кілька менших розділів, ніж один дуже великий.

Для полегшення розширення/збільшення заповнених розділів є допоміжний скрипт debian-edu-fsautoresize. Під час запуску він зчитує конфігурацію з /usr/share/debian-edu-config/fsautoresizetab, /site/etc/fsautoresizetab та з /etc/fsautoresizetab. Потім пропонується розширити розділи з надто малим вільним простором відповідно до правил, наданих у цих файлах. Якщо запустити без аргументів, будуть показані лише команди, необхідні для розширення файлової системи. Аргумент -n потрібен для фактичного виконання цих команд для розширення файлових систем.

Скрипт виконується автоматично щогодини на кожному клієнті, зазначеному в мережевій групі fsautoresize-hosts.

Коли розмір розділу, який використовується проксі Squid, змінюється, значення розміру кешу у etc/squid/squid.conf також потрібно оновити. Допоміжний скрипт /usr/share/debian-edu-config/tools/squid-update-cachedir надається для виконання цього автоматично, перевіряючи поточний розмір розділу /var/spool/squid/ та налаштовує Squid на використання 80% розділу для кешу.

lvextend -L30G /dev/vg_system/skole+tjener+home0
resize2fs /dev/vg_system/skole+tjener+home0

ldapvi — це інструмент для редагування бази даних LDAP у командному рядку у звичайному текстовому редакторі.

Потрібно виконати наступне:

ldapvi -ZD '(cn=admin)'

Нотатка: ldapvi використовуватиме стандартний редактор. Виконуючи export EDITOR=vim у командному рядку, можна призначити редактором у середовищі клон vi.

Увага: ldapvi — дуже потужний інструмент. Будьте обережні та не зіпсуйте базу даних LDAP; те саме попередження стосується JXplorer.

Використання Kerberos для NFS для монтування домашніх каталогів є функцією безпеки. Робочі станції та клієнти LTSP не працюватимуть без Kerberos. Підтримуються рівні krb5, krb5i та krb5p (krb5 означає автентифікацію Kerberos, i > означає перевірку цілісності, а p — конфіденційність, тобто шифрування); навантаження як на сервер, так і на робочу станцію зростає разом із рівнем безпеки, krb5i є гарним вибором та його вибрано типово.

/srv/nfs4        gss/krb5i(rw,sync,fsid=0,crossmnt,no_subtree_check)
/srv/nfs4/home0  gss/krb5i(rw,sync,no_subtree_check)

Цей інструмент дозволяє встановити типовий принтер залежно від місця розташування, машини чи належності до групи. Для отримання додаткової інформації перегляньте /usr/share/doc/standardskriver/README.md.

Файл конфігурації /etc/standardskriver.cfg має надати адміністратор, див. для прикладу /usr/share/doc/standardskriver/examples/standardskriver.cfg.

Якщо Ви віддаєте перевагу графічному інтерфейсу для роботи з базою даних LDAP, ознайомтеся з пакетом jxplorer, який типово встановлений. Щоб отримати доступ на запис, під'єднайтеся так:

host: ldap.intern
port: 636
Security level: ssl + user + password
User dn: cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no

ldap-createuser-krb — це малий інструмент командного рядка для створення облікових записів користувачів, який викликається в такий спосіб:

ldap-createuser-krb5 [-u uid] [-g gid] [-G group[,group]...] [-d department] <username> <gecos>

Усі аргументи, окрім імені користувача та поля GECOS, є необов’язковими, останнє зазвичай має містити повне ім’я користувача. Якщо воно не вказане, інструмент автоматично вибере наступні вільні UID та GID і не призначить користувачеві жодних додаткових груп. Якщо не вказано жодного підрозділу, він вибере перший gosaDepartment з LDAP, який, імовірно, є skole та для звичайних користувачів зазвичай не є тим, що б Ви хотіли бачити, тому Вам потрібно вибрати для користувача відповідне значення, напр. Викладачі (Teachers) або Студенти (Students). Після введення та підтвердження пароля та введення пароля адміністратора LDAP ldap-createuser-krb5 створить обліковий запис користувача в LDAP, встановить пароль Kerberos, створить домашній каталог та додасть відповідного користувача Samba. На наведеному знімку екрана показано приклад команди для створення облікового запису користувача з іменем harhir для вчителя, повне ім’я якого "Harry Hirsch":

root@tjener:~# ldap-createuser-krb5 -d Teachers harhir "Harry Hirsch"
new user password: 
confirm password: 

dn: uid=harhir,ou=people,ou=Teachers,dc=skole,dc=skolelinux,dc=no
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: gosaAccount
objectClass: posixAccount
objectClass: shadowAccount
objectClass: krbPrincipalAux
objectClass: krbTicketPolicyAux
sn: Harry Hirsch
givenName: Harry Hirsch
uid: harhir
cn: Harry Hirsch
userPassword: {CRYPT}$y$j9T$TWnq55O1rvyLhjF.$oVf.t.RXC1v/4Y8FhV0umno629mo7bP7/YJyig6HET6
homeDirectory: /skole/tjener/home0/harhir
loginShell: /bin/bash
uidNumber: 1004
gidNumber: 1004
gecos: Harry Hirsch
shadowLastChange: 19641
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
krbPwdPolicyReference: cn=users,cn=INTERN,cn=kerberos,dc=skole,dc=skolelinux,dc=no
krbPrincipalName: harhir@INTERN

ldap_initialize( <DEFAULT> )
Enter LDAP Password: 
add objectClass:
        top
        person
        organizationalPerson
        inetOrgPerson
        gosaAccount
        posixAccount
        shadowAccount
        krbPrincipalAux
        krbTicketPolicyAux
add sn:
        Harry Hirsch
add givenName:
        Harry Hirsch
add uid:
        harhir
add cn:
        Harry Hirsch
add userPassword:
        {CRYPT}$y$j9T$TWnq55O1rvyLhjF.$oVf.t.RXC1v/4Y8FhV0umno629mo7bP7/YJyig6HET6
add homeDirectory:
        /skole/tjener/home0/harhir
add loginShell:
        /bin/bash
add uidNumber:
        1004
add gidNumber:
        1004
add gecos:
        Harry Hirsch
add shadowLastChange:
        19641
add shadowMin:
        0
add shadowMax:
        99999
add shadowWarning:
        7
add krbPwdPolicyReference:
        cn=users,cn=INTERN,cn=kerberos,dc=skole,dc=skolelinux,dc=no
add krbPrincipalName:
        harhir@INTERN
adding new entry "uid=harhir,ou=people,ou=Teachers,dc=skole,dc=skolelinux,dc=no"
modify complete

Authenticating as principal root/admin@INTERN with password.
kadmin.local:  change_password harhir@INTERN
Enter password for principal "harhir@INTERN": 
Re-enter password for principal "harhir@INTERN": 
Password for "harhir@INTERN" changed.
kadmin.local:  lpcfg_do_global_parameter: WARNING: The "encrypt passwords" option is deprecated
Added user harhir.

Хоча Ви можете використовувати stable-updates безпосередньо, це не обов’язково: stable-updates регулярно додаються у стабільний пакет, коли виходять стабільні випуски, що у свою чергу відбувається приблизно кожні два місяці.

Ви працюєте з Debian Edu через її стабільність. Вона працює чудово; є лише одна проблема: іноді програмне забезпечення трохи старіше, ніж Вам би хотілося. Тут на допомогу приходить backports.debian.org.

Бекпорти — це перекомпільовані пакети тестової версії Debian (здебільшого) та нестабільної (лише в кількох випадках, наприклад, в оновленні безпеки), тому вони працюватимуть без нових бібліотек (усюди, де це можливо) у стабільному дистрибутиві Debian, як-от Debian Edu. Ми радимо Вам вибрати окремі бекпорти, які відповідають Вашим потребам, та не використовувати усі доступні.

Користуватися бекпортами просто:

echo "deb http://deb.debian.org/debian/ bookworm-backports main" > /etc/apt/sources.list.d/bookworm-backports.sources.list
apt update

Після чого можна легко інсталювати "бекпортові" пакети, наприклад, команда встановить "бекпортову" версію tuxtype:

apt install tuxtype/bookworm-backports

Backports оновлюються автоматично (якщо доступні) разом з іншими пакетами. Як і звичайний архів, backports має три секції: main, contrib та non-free.

Якщо ви хочете оновитися з однієї версії до іншої (наприклад, з Bookworm 12.1 до 12.2), але у Вас немає підключення до Інтернету, і маєте лише фізичний носій, виконайте такі дії:

Вставте диск CD / DVD / Blu-ray / флешку USB та виконайте apt-cdrom команду:

apt-cdrom add

Щоб відкрити довідкову (man) сторінку apt-cdrom(8):

Потім, для оновлення системи, виконайте ці дві команди:

apt update
apt full-upgrade

killer — це скрипт на perl, який усуває фонові завдання. Фонові завдання визначаються як процеси, які належать користувачам, які зараз не ввійшли в систему. Він запускається через cron раз на годину.

unattended-upgrades — це пакет Debian, який автоматично встановлює оновлення безпеки та інших програм. Якщо встановлено, пакет попередньо налаштовано для встановлення оновлень безпеки. Журнали доступні в /var/log/unattended-upgrades/; також завжди є /var/log/dpkg.log та /var/log/apt/.

Можна заощадити енергію та гроші, автоматично вимикаючи клієнтські машини на ніч та знову вмикаючи вранці. Пакет shutdown-at-night намагатиметься вимкнути машину щогодини о 16:00 дня, але не вимкне її, якщо на ній працюють користувачі. Він спробує наказати BIOS увімкнути машину близько 07:00 ранку, а головний сервер спробує увімкнути машини з 06:30, надсилаючи пакети Wake-on-LAN. Ці часи можна змінити в кронтабах (crontabs) окремих машин.

Налаштовуючи це, потрібно дещо мати на увазі:

  #!/bin/sh
  PATH=/usr/sbin:$PATH
  export PATH
  sitesummary-nodes -w

  #!/bin/sh
  PATH=/usr/sbin:$PATH
  export PATH
  netgroup -h shutdown-at-night-hosts

Щоб отримати з інтернету доступ до машин за брандмауером, подумайте про встановлення autossh. Його можна використовувати для налаштування SSH-тунелю до комп’ютера в інтернеті, до якого у Вас є доступ. З цієї машини Ви можете отримати доступ до сервера за брандмауером через тунель SSH.

Під час стандартної інсталяції усі служби працюють на головному сервері з іменем tjener. Для спрощення переміщення деяких програм на іншу машину, доступний мінімальний профіль встановлення. Встановлення з цим профілем налаштує машину бути частиною мережі Debian Edu, але без якихось запущених служб.

Необхідні кроки для налаштування машини, призначеної для деяких служб:

FIXME: The HowTos from https://wiki.debian.org/DebianEdu/HowTo/ are either user- or developer-specific. Let's move the user-specific HowTos over here (and delete them over there)! (But first ask the authors (see the history of those pages to find them) if they are fine with moving the howto and putting it under the GPL.)

Виконайте ці кроки для налаштування виділеного сервера зберігання для домашніх каталогів користувачів і, можливо, інших даних.

Тепер користувачі повинні мати прямий доступ до файлів на "nas-server.intern" просто відвідавши каталог "/tjener/nas-server/storage/" за допомогою будь-якої програми на будь-якій робочій станції, тонкому клієнті LTSP або сервері LTSP.

Є кілька способів обмежити вхід через SSH, деякі з яких наведені тут.

+ : alice jane bob john : ALL
+ : ALL : 10.0.0.0/8 192.168.0.0/24 192.168.1.0/24
- : ALL : ALL
#

Для підтримки декількох мов, необхідно виконати такі дії:

Пізніше, перед входом, за допомогою диспетчера дисплея LightDM користувачі зможуть вибрати мову; це стосується Xfce, LXDE та LXQt. GNOME та KDE мають власні інструменти налаштування внутрішнього регіону та мови — використовуйте їх. MATE використовує засіб привітання Arctica поверх LightDM без вибору мови. Щоб отримати стандартну програму привітання LightDM виконайте apt purge arctica-greeter.

Для відтворення більшості комерційних DVD потрібен libdvdcss. З юридичних причин його не включено до Debian (Edu). Якщо Вам юридично дозволено використовувати його, Ви можете створити власні локальні пакунки за допомогою пакета Debian libdvd-pkg, але переконайтеся, що у /etc/apt/sources.list увімкнено contrib.

apt update
apt install libdvd-pkg

Дайте відповіді на запитання debconf, а потім виконайте dpkg-reconfigure libdvd-pkg.

Пакет fonts-linex (який стандартно встановлено) встановлює шрифт "Abecedario" — гарний рукописний шрифт для дітей. Шрифт має декілька форм для занять з дітьми: крапками та пунктирними лініями.

Одним з основних термінів для тонких клієнтів та бездискових робочих станцій є клієнт LTSP.

Починаючи з Bullseye, LTSP значно відрізняється від попередніх версій. Це стосується як налаштування, так і обслуговування.

Щоб отримати загальну інформацію про LTSP, відвідайте домашню сторінку LTSP. У системах із профілем сервер LTSP більше інформації надає man ltsp.

Зауважте, що інструментом ltsp від LTSP слід користуватися обережно. Наприклад, ltsp image / не зможе створити образ SquashFS у випадку з машинами на Debian (вони типово мають окремий розділ /boot), ltsp ipxe не зможе правильно створити меню iPXE (через підтримку тонкого клієнта Debian Edu), а ltsp initrd повністю зіпсує завантаження клієнта LTSP.

Інструмент debian-edu-ltsp-install — це скрипт оболонки для образу ltsp, ltsp initrd та ltsp ipxe. Він використовується для встановлення та налаштування бездискових робочих станцій та для підтримки тонких клієнтів (обох платформ — 64-Bit та 32-Bit). Як це працює подивіться у man debian-edu-ltsp-install або у складі скрипту. Усе конфігурування, для полегшення налаштувань на сайті, містяться безпосередньо у самому скрипті (документи ТУТ).

Приклади використання скрипту debian-edu-ltsp-install:

Окрім bare (голої) системи (найменшої системи для тонких клієнтів), також доступні параметри display (дисплей) та desktop (стаціонарний комп’ютер). Тип display пропонує кнопку вимкнення, тип desktop запускає Firefox ESR у режимі кіоску на самому клієнті (потрібно більше локальної оперативної пам’яті та потужності ЦП, але навантаження на сервер зменшене).

Інструмент debian-edu-ltsp-ipxe — скрипт оболонки для ltsp ipxe. Це гарантує, що файл /srv/tftp/ltsp/ltsp.ipxe стосується Debian Edu. Цю команду потрібно виконати після того, як у розділі [server] файлу /etc/ltsp/ltsp.conf буде змінено пункти, пов’язані з меню iPXE (наприклад, тайм-аут меню або стандартні параметри завантаження).

Інструмент debian-edu-ltsp-initrd — скрипт оболонки для ltsp initrd. Він перевіряє, що створений для відповідного використання initrd (/srv/tftp/ltsp/ltsp.img) переміщений до відповідного каталогу. Цю команду потрібно виконати після того, як буде змінено розділ [clients] у файлі /etc/ltsp/ltsp.conf.

Інструмент debian-edu-ltsp-chroot — заміна ltsp-chroot, який постачається з LTSP5. Він використовується для виконання команд у відповідному LTSP chroot (наприклад, встановлення, оновлення та видалення пакетів).

Бездискова робоча станція

Бездискова робоча станція запускає все програмне забезпечення локально. Клієнтські машини завантажуються безпосередньо з сервера LTSP без локального жорсткого диска. Програмне забезпечення адмініструється та підтримується на сервері LTSP, але працює на бездискових робочих станціях. Домашні каталоги та налаштування системи також зберігаються на сервері. Бездискові робочі станції — чудовий спосіб повторного використання старого (але потужного) обладнання з такими ж низькими витратами на обслуговування, як і тонкі клієнти.

На відміну від робочих станцій, бездискові робочі станції працюють без необхідності їх додавання до GOsa².

Тонкий клієнт

Налаштування тонкого клієнта дозволяє звичайному ПК функціонувати як (X-)термінал, де все програмне забезпечення працює на сервері LTSP. Це означає, що ця машина завантажується через PXE без використання локального жорсткого диска, а сервер LTSP повинен бути потужною машиною.

Debian Edu все ще підтримує використання тонких клієнтів для використання дуже старого обладнання.

Оскільки тонкі клієнти використовують X2Go, для уникнення артефактів зображення користувачі повинні вимкнути компонування. У стандартному налаштуванні (графічне середовище Xfce): Налаштування -> Твіки (Tweaks) Window Manager -> Компонувач (Compositor).

Клієнтська прошивка LTSP

Завантаження клієнта LTSP не вдасться, якщо мережевому інтерфейсу клієнта потрібен "не вільний" (non-free) драйвер. Встановлення PXE можна використовувати для розв'язання проблем із завантаженням машин з мережі. Якщо інсталятор Debian скаржиться на відсутність файлу XXX.bin, тоді до initrd сервера LTSP потрібно додати "не вільний" драйвер.

Виконайте на сервері LTSP такі дії:

apt update && apt search ^firmware-

apt -y -q install firmware-linux

debian-edu-ltsp-install --diskless_workstation yes

/usr/share/debian-edu-config/tools/ltsp-addfirmware -h

ltsp image x2go-bare-amd64

debian-edu-ltsp-install --arch i386 --thin_type bare

debian-edu-ltsp-initrd

PXE означає Передзавантажувальне робоче середовище (Preboot eXecution Environment). Для простішої інтеграції LTSP Debian Edu використовує тепер реалізацію iPXE.

d-i     apt-setup/local1/repository string      http://example.org/debian stable main contrib non-free
d-i     apt-setup/local1/comment string         Example Software Repository
d-i     apt-setup/local1/source boolean         true
d-i     apt-setup/local1/key    string          http://example.org/key.asc

Пакет debian-edu-config має інструмент, який допомагає змінити мережу з 10.0.0.0/8 на іншу. Перегляньте /usr/share/debian-edu-config/tools/subnet-change. Він призначений для оновлення LDAP та інших файлів, які необхідно редагувати для зміни підмережі, для використання одразу після інсталяції на головному сервері.

Зауважте, що зміна на одну з підмереж, які вже десь використовуються у Debian Edu, не спрацює. Підмережі 192.168.0.0/24 та 192.168.1.0/24 вже налаштовані як клієнтські мережі LTSP. Для видалення задубльованих записів перехід на ці підмережі вимагатиме ручного редагування конфігураційних файлів.

Немає простого способу змінити доменне ім'я DNS. Його зміна/перейменування вимагає змін у структурі LDAP та у декількох файлах файлової системи головного сервера. Також немає простого способу змінити ім'я хосту та сервера DNS головного сервера (tjener.intern). Для цього також знадобляться зміни в LDAP та файлах головного сервера та клієнта. В обох випадках також потрібно буде змінити налаштування Kerberos.

Вибір профілю сервера LTSP або комбінованого серверного профілю інсталює також пакети xrdp та x2goserver.

 #!/bin/bash
 set -e
  if [[ $UID -ne 0 ]] ; then  
     if ! groups | egrep -q sudo ; then
         echo "ERROR: You need to be root or a sudo group member."
         exit 1
     fi
 fi
 if ! egrep -q  ^deb-src /etc/apt/sources.list ; then
     echo "ERROR: Make sure /etc/apt/sources.list contains a deb-src line."
     exit 1
 fi
 TMP=$(mktemp -d)
 PULSE_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' pulseaudio)"
 XRDP_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' xrdp)"
 sudo apt -q update
 sudo apt -q install dpkg-dev
 cd $TMP
 apt -q source pulseaudio xrdp
 sudo apt -q build-dep pulseaudio xrdp
 cd pulseaudio-$PULSE_UPSTREAM_VERSION/
 ./configure
 cd $TMP/xrdp-$XRDP_UPSTREAM_VERSION/sesman/chansrv/pulse/
 sed -i 's/^PULSE/#PULSE/' Makefile
 sed -i "/#PULSE_DIR/a \
 PULSE_DIR = $TMP/pulseaudio-$PULSE_UPSTREAM_VERSION" Makefile
 make
 sudo cp *.so /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/
 sudo chmod 644 /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/module-xrdp*
 sudo service xrdp restart

Сервер freeRADIUS можна використовувати для організації безпечних мережевих з’єднань. Щоб це працювало, інсталюйте на головному сервері пакети freeradius та winbind та виконайте /usr/share/debian-edu-config/tools/setup-freeradius -server для створення базової конфігурації для конкретного сайту/сервера. Щоб полегшити коригування для конкретного сайту будуть увімкнуті обидва протоколи — EAP-TTLS/PAP та PEAP-MSCHAPV2. Уся конфігурація міститься в самому скрипті. Більш докладно на домашній сторінці freeRADIUS.

Додаткова конфігурація, потрібна для

Кінцеві пристрої користувачів потрібно правильно налаштувати, для використання методів EAP (802.1x) ці пристрої повинні бути захищеними PIN-кодом. Для того, щоб користувачі могли під'єднуватися до потрібного сервера їх слід навчити встановлювати CA сертифікат freeradius на своїх пристроях. Таким чином, у разі зламу сервера, їхні паролі не можна буде перехопити. Сертифікат сайту доступний у внутрішній мережі.

Зверніть увагу, що налаштування кінцевих пристроїв користувачів буде справжньою проблемою через різноманітність пристроїв. Для пристроїв Windows можна створити інсталяційний скрипт, для пристроїв Apple — файл mobileconfig. В обох випадках можна інтегрувати сертифікат CA freeRADIUS, але для створення скриптів потрібні спеціальні інструменти ОС.

Для пристроїв на Linux, Android, macOS, iOS, iPadOS, Chrome OS або Windows можливе з’єднання з домашнім каталогом користувача та додатковими спільними ресурсами сайту (якщо налаштовано). Для інших пристроїв, скажімо на базі Android, потрібен файловий менеджер з підтримкою SMB2/SMB3, також відомий як доступ до локальної мережі (LAN). X-plore або Total Commander з плагіном LAN можуть бути вдалим вибором.

Для доступу до домашнього каталогу використовуйте \\tjener\<username> або smb://tjener/<username>.

stable/education-development — це метапакет, який залежить від багатьох інструментів для програмування. Зверніть, будь ласка, увагу, що для встановлення цього пакета потрібно майже 2 ГБ дискового простору. Більше інформації (можливо, щоб встановити лише деякі пакети) знайдете на сторінці Пакунки для розробки Debian Edu.

Попередження: переконайтеся, що Ви знаєте у своїй юрисдикції стан законів про моніторинг та обмеження дій користувачів комп’ютерів.

Деякі школи використовують інструменти контролю, такі як Epoptes або Veyon, щоб контролювати своїх учнів. Відвідайте також Домашню сторінку Epoptes та Домашню сторінку Veyon.

Деякі навчальні заклади для обмеження доступу в інтернет використовують Squidguard або e2guardian.

Кожен користувач повинен змінити свій пароль через GOsa². Для цього потрібно відкрити веббраузер та перейти на https://www/gosa/.

Використання GOsa² для зміни пароля дає впевненість, що паролі для Kerberos (krbPrincipalKey), LDAP (userPassword) та Samba — будуть однакові.

Зміна паролів через PAM працює також під час входу GDM, але це оновлює лише пароль Kerberos (паролі для Samba та GOsa² (LDAP) залишаються без змін). Таким чином, після зміни пароля на вході у систему, Вам все одно потрібно буде його змінити через GOsa².

Окремі програми на Java підтримуються "з коробки" пакетом OpenJDK Java runtime.

Усі користувачі можуть надсилати та отримувати листи всередині внутрішньої мережі; сертифікати надаються для забезпечення захищених з’єднань TLS. Щоб дозволити пошту назовні, адміністратор повинен налаштувати поштовий сервер exim4 відповідно до локальної ситуації, починаючи з dpkg-reconfigure exim4-config.

Кожен користувач, який хоче використовувати Thunderbird, повинен налаштувати його наступним чином. Для користувача з іменем користувача jdoe внутрішня адреса ел.пошти буде jdoe@postoffice.intern.

У більшості випадків нашим основним засобом спілкування є список розсилки розробників, хоча ми також ще маємо #debian-edu на irc.debian.org та навіть іноді справжні особисті зустрічі.

Гарним спосіб дізнатися, що відбувається в розробці Debian Edu — це підписатися на чинний список розсилки.

Debian Edu використовує систему відстеження помилок (BTS) від Debian. Перегляньте наявні звіти про помилки та запити на нові функції або створіть нові. Будь ласка, повідомляйте про усі помилки пакета debian-edu-config. Для того, щоб дізнатися більше про те, як звітувати про помилки в Debian Edu, перегляньте Як повідомляти про помилки.

Цьому документу потрібна Ваша допомога! По-перше, він ще не закінчений: якщо Ви його прочитаєте, то помітите у тексті різні FIXME ("виправ мене"). Якщо Ви раптом знаєте (хоча б трішки), що потрібно ще пояснити, поділіться своїми знаннями з нами.

Джерелом тексту є вікі (wiki), і його можна редагувати за допомогою простого веббраузера. Достатньо перейти на https://wiki.debian.org/DebianEdu/Documentation/Bookworm/ і Ви зможете зробити свій внесок. Примітка: для редагування сторінок потрібен обліковий запис користувача wiki; можливо спочатку Вам буде потрібно його створити.

Ще один дуже гарний спосіб зробити внесок і допомогти користувачам – це переклад програмного забезпечення та документації. Інформацію про те, як перекласти цей документ, можна знайти в розділі про переклади цієї книги. Будь ласка, подумайте про допомогу в перекладі цієї книги!

Списки компаній, які надають професійну підтримку, доступні на https://wiki.debian.org/DebianEdu/Help/ProfessionalHelp.

Copyright (C) 2007-2021 Holger Levsen < holger@layer-acht.org > та інші, для повного списку власників авторських прав див. Авторські права.

This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version.

This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.

Version 2, June 1991

Copyright (C) 1989, 1991 Free Software Foundation, Inc. 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301, USA. Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed.

0. This License applies to any program or other work which contains a notice placed by the copyright holder saying it may be distributed under the terms of this General Public License. The "Program", below, refers to any such program or work, and a "work based on the Program" means either the Program or any derivative work under copyright law: that is to say, a work containing the Program or a portion of it, either verbatim or with modifications and/or translated into another language. (Hereinafter, translation is included without limitation in the term "modification".) Each licensee is addressed as "you".

Activities other than copying, distribution and modification are not covered by this License; they are outside its scope. The act of running the Program is not restricted, and the output from the Program is covered only if its contents constitute a work based on the Program (independent of having been made by running the Program). Whether that is true depends on what the Program does.

1. You may copy and distribute verbatim copies of the Program's source code as you receive it, in any medium, provided that you conspicuously and appropriately publish on each copy an appropriate copyright notice and disclaimer of warranty; keep intact all the notices that refer to this License and to the absence of any warranty; and give any other recipients of the Program a copy of this License along with the Program.

You may charge a fee for the physical act of transferring a copy, and you may at your option offer warranty protection in exchange for a fee.

2. You may modify your copy or copies of the Program or any portion of it, thus forming a work based on the Program, and copy and distribute such modifications or work under the terms of Section 1 above, provided that you also meet all of these conditions:

These requirements apply to the modified work as a whole. If identifiable sections of that work are not derived from the Program, and can be reasonably considered independent and separate works in themselves, then this License, and its terms, do not apply to those sections when you distribute them as separate works. But when you distribute the same sections as part of a whole which is a work based on the Program, the distribution of the whole must be on the terms of this License, whose permissions for other licensees extend to the entire whole, and thus to each and every part regardless of who wrote it.

Thus, it is not the intent of this section to claim rights or contest your rights to work written entirely by you; rather, the intent is to exercise the right to control the distribution of derivative or collective works based on the Program.

In addition, mere aggregation of another work not based on the Program with the Program (or with a work based on the Program) on a volume of a storage or distribution medium does not bring the other work under the scope of this License.

3. You may copy and distribute the Program (or a work based on it, under Section 2) in object code or executable form under the terms of Sections 1 and 2 above provided that you also do one of the following:

The source code for a work means the preferred form of the work for making modifications to it. For an executable work, complete source code means all the source code for all modules it contains, plus any associated interface definition files, plus the scripts used to control compilation and installation of the executable. However, as a special exception, the source code distributed need not include anything that is normally distributed (in either source or binary form) with the major components (compiler, kernel, and so on) of the operating system on which the executable runs, unless that component itself accompanies the executable.

If distribution of executable or object code is made by offering access to copy from a designated place, then offering equivalent access to copy the source code from the same place counts as distribution of the source code, even though third parties are not compelled to copy the source along with the object code.

4. You may not copy, modify, sublicense, or distribute the Program except as expressly provided under this License. Any attempt otherwise to copy, modify, sublicense or distribute the Program is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance.

5. You are not required to accept this License, since you have not signed it. However, nothing else grants you permission to modify or distribute the Program or its derivative works. These actions are prohibited by law if you do not accept this License. Therefore, by modifying or distributing the Program (or any work based on the Program), you indicate your acceptance of this License to do so, and all its terms and conditions for copying, distributing or modifying the Program or works based on it.

6. Each time you redistribute the Program (or any work based on the Program), the recipient automatically receives a license from the original licensor to copy, distribute or modify the Program subject to these terms and conditions. You may not impose any further restrictions on the recipients' exercise of the rights granted herein. You are not responsible for enforcing compliance by third parties to this License.

7. If, as a consequence of a court judgment or allegation of patent infringement or for any other reason (not limited to patent issues), conditions are imposed on you (whether by court order, agreement or otherwise) that contradict the conditions of this License, they do not excuse you from the conditions of this License. If you cannot distribute so as to satisfy simultaneously your obligations under this License and any other pertinent obligations, then as a consequence you may not distribute the Program at all. For example, if a patent license would not permit royalty-free redistribution of the Program by all those who receive copies directly or indirectly through you, then the only way you could satisfy both it and this License would be to refrain entirely from distribution of the Program.

If any portion of this section is held invalid or unenforceable under any particular circumstance, the balance of the section is intended to apply and the section as a whole is intended to apply in other circumstances.

It is not the purpose of this section to induce you to infringe any patents or other property right claims or to contest validity of any such claims; this section has the sole purpose of protecting the integrity of the free software distribution system, which is implemented by public license practices. Many people have made generous contributions to the wide range of software distributed through that system in reliance on consistent application of that system; it is up to the author/donor to decide if he or she is willing to distribute software through any other system and a licensee cannot impose that choice.

This section is intended to make thoroughly clear what is believed to be a consequence of the rest of this License.

8. If the distribution and/or use of the Program is restricted in certain countries either by patents or by copyrighted interfaces, the original copyright holder who places the Program under this License may add an explicit geographical distribution limitation excluding those countries, so that distribution is permitted only in or among countries not thus excluded. In such case, this License incorporates the limitation as if written in the body of this License.

9. The Free Software Foundation may publish revised and/or new versions of the General Public License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns.

Each version is given a distinguishing version number. If the Program specifies a version number of this License which applies to it and "any later version", you have the option of following the terms and conditions either of that version or of any later version published by the Free Software Foundation. If the Program does not specify a version number of this License, you may choose any version ever published by the Free Software Foundation.

10. If you wish to incorporate parts of the Program into other free programs whose distribution conditions are different, write to the author to ask for permission. For software which is copyrighted by the Free Software Foundation, write to the Free Software Foundation; we sometimes make exceptions for this. Our decision will be guided by the two goals of preserving the free status of all derivatives of our free software and of promoting the sharing and reuse of software generally.

NO WARRANTY

11. BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.

12. IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.

END OF TERMS AND CONDITIONS

Випуски Debian Edu, які були створені в минулому:

Повний і детальний огляд попередніх випусків міститься у Додатку C посібника Jessie; або перегляньте відповідні настанови до випусків/релізів на сторінці настанов до випусків.