Erste Schritte

Bei der Installation des Hauptservers wurde ein erstes Benutzerkonto angelegt. Im folgenden Text wird dieses Konto als »Erstbenutzer« referenziert. Dieses Konto ist etwas Besonderes, da die Berechtigung für das Home-Verzeichnis auf 700 gesetzt ist (daher ist das Ausführen von chmod o+x ~ erforderlich, um persönliche Webseiten zugänglich zu machen), und der erste Benutzer kann sudo verwenden, um root zu werden.

Bevor Sie Benutzer hinzufügen, sollten Sie die Informationen über die spezifisch für Debian Edu geltende Konfiguration der Dateiberechtigungen lesen; passen Sie diese gegebenenfalls an die örtlichen Richtlinien an.

Nach der Installation müssen vom Erstbenutzer zuerst folgende Dinge erledigt werden:

  1. Am Hauptserver anmelden.

  2. Benutzerkonten mit GOsa² hinzufügen.

  3. Hinzufügen von Arbeitsplatzrechnern mit GOsa².

Das Hinzufügen von Benutzern und Arbeitsplatzrechnern wird im Folgenden beschrieben; bitte lesen Sie deshalb das Kapitel vollständig. Es beschreibt die unbedingt notwendigen Schritte sowie all das, was wahrscheinlich für jedes System konfiguriert werden muss.

In diesem Handbuch gibt es noch an anderen Stellen zusätzliche Informationen: Das Kapitel Neue Features in Bookworm sollte von jedem gelesen werden, der mit früheren Releases vertraut ist. Und wer ein Upgrade von einem früheren Release durchführt, sollte auf jeden Fall das Kapitel Upgrades lesen.

Unbedingt erforderliche erste Schritte Falls in Ihrem Netzwerk DNS-Anfragen nach außen geblockt werden und ein spezieller DNS-Server für das Nachschlagen von Rechnern im Internet verwendet werden muss, dann muss dieser Server dem DNS-Server als sein »forwarder« bekannt sein. Aktualisieren Sie /etc/bind/named.conf.options, indem Sie die IP-Adresse des zu verwendenden DNS-Servers angeben.

Im Kapitel HowTo gibt es mehr Tipps und Tricks, sowie Antworten auf häufig gestellte Fragen.

GOsa² ist ein webbasiertes Verwaltungswerkzeug, das Ihnen helfen wird, einige wichtige Teile Ihrer Debian-Edu-Installation einzurichten und zu bearbeiten. Mit GOsa² können Sie diese Hauptgruppen warten (hinzufügen, ändern, löschen):

Um auf GOsa² zugreifen zu können, benötigen Sie den Skolelinux-Hauptserver und ein (Client-)System mit installiertem Webbrowser; dabei kann es sich um den Hauptserver handeln, falls dieser als sogenannter »Kombiserver« (Hauptserver + LTSP-Server + Arbeitsplatzrechner) installiert wurde.

Falls Sie (wahrscheinlich aus Versehen) ein reines Hauptserver-Profil installiert haben und kein Client mit einem Webbrowser zur Verfügung steht, ist es leicht, eine minimale graphische Arbeitsumgebung auf dem Hauptserver zu installieren; führen Sie dazu die folgenden Befehle in einer Shell als derjenige Benutzer aus, der während der Installation des Hauptservers zuerst angelegt wurde (Erstbenutzer):

  $ sudo apt update
  $ sudo apt install task-desktop-xfce lightdm education-menus
  $ sudo service lightdm start

Verwenden Sie in einem Webbrowser die URL https://www/gosa, um auf GOsa² zuzugreifen; melden Sie sich mit der Kennung des Erstbenutzers an.

  • Wenn Sie einen neuen Debian-Edu-Bookworm-Rechner benutzen, wird das Zertifikat der Website dem Browser bekannt sein.

  • Andernfalls werden Sie eine Fehlermeldung bezüglich des SSL-Zertifikats erhalten. Falls Sie der Einzige im Netzwerk sind, dann ignorieren Sie den Fehler und weisen Sie Ihren Browser an, das Zertifikat zu akzeptieren.

Übersichtsseite von GOsa² nach der Anmeldung als Erstbenutzer

Nach der Anmeldung in GOsa² erscheint diese Übersichtsseite von GOsa².

Jetzt kann eine Aufgabe per Menüeintrag oder Anklicken eines der Symbole auf der Übersichtseite gewählt werden. Für die Navigation wird am besten das Menü auf der linken Seite des Fensters benutzt, da dieses bei allen Administrationsseiten von GOsa² sichtbar bleibt.

In Debian Edu werden die Daten von Benutzern, Gruppen und Systemen in einem LDAP-Verzeichnis gespeichert. Darauf greifen nicht nur der Hauptserver, sondern auch Arbeitsplatzrechner, Diskless Workstations, die LTSP-Server und andere Rechner im Netzwerk zu. So müssen die Informationen über Schüler, Lehrer usw. nur einmal eingegeben werden. Anschließend stehen sie allen Systemen im gesamten Skolelinux-Netzwerk zur Verfügung.

GOsa² ist ein Verwaltungswerkzeug, das LDAP benutzt, um Informationen zu speichern und eine hierarchisch gegliederte Abteilungsstruktur zur Verfügung zu stellen. Zu jeder »Abteilung« können Sie Benutzerkennungen, Gruppen, Systeme, »NIS Netgroups« usw. hinzufügen. Je nach Struktur Ihrer Institution können Sie die Abteilungsstruktur in GOsa²/LDAP nutzen, um Ihre Organisationsstruktur im LDAP-Baum auf dem Hauptserver von Debian Edu abzubilden.

Eine Standardinstallation des Debian-Edu-Hauptservers beinhaltet derzeit zwei »Abteilungen«: Teachers und Students, sowie die Basisebene des LDAP-Baums. Schülerkonten sollten zur »Students«-Abteilung hinzugefügt werden, Lehrerkonten zur »Teachers«-Abteilung; Systeme (Server, Workstations, Drucker usw.) werden derzeit zur Basisebene hinzugefügt. Sie könnten diese Struktur an Ihre Erfordernisse anpassen. (Ein Beispiel für das Anlegen von Benutzern in Jahrgangsgruppen, mit gemeinsamen Home-Verzeichnissen für jede Gruppe, finden Sie im Kapitel HowTo/AdvancedAdministration dieses Handbuchs).

Je nach zu erledigender Aufgabe (Benutzer verwalten, Gruppen verwalten, Systeme verwalten usw.) zeigt GOsa² eine angepasste Ansicht der betreffenden Abteilung (oder der Basisebene).

Klicken Sie auf »Benutzer« im Navigationsmenü auf der linken Seite. Die rechte Seite des Fensters zeigt dann eine Tabelle mit den Ordnern »Students« und »Teachers« sowie den Account des GOsa²-Administrators (Erstbenutzer). Über dieser Tabelle ist ein (Eingabe-)Feld namens Basis zu sehen; wenn Sie die Maus über dieses Feld bewegen, haben Sie die Möglichkeit, mittels Drop-Down-Menü durch die Baumstruktur zu navigieren und einen Basisordner für vorgesehene Aktionen zu wählen - wie z.B. für das Hinzufügen eines neuen Benutzers.

Rechts neben dem Basis-Feld ist das Menü »Aktionen« zu sehen. Beim Überfahren mit der Maus erscheint ein Untermenü; wählen Sie hier »Anlegen«, dann »Benutzer«. Ein Assistent führt Sie durch die nächsten Schritte.

Nach Anlegen des Benutzers (es ist nicht notwendig, Einträge in Feldern vorzunehmen, die vom Assistenten leer gelassen wurden) klicken Sie unten rechts auf die Schaltfläche »OK«.

Abschließend fordert GOsa² zur Eingabe eines Passworts für den neuen Benutzer auf. Geben Sie dieses zweimal ein und klicken Sie dann unten rechts auf »Passwort setzen«. Benutzer hinzufügen Einige Zeichen könnten als Bestandteil des Passwortes nicht erlaubt sein.

Wenn alles in Ordnung war, sehen Sie nun den neuen Benutzer in der »Liste der Benutzer«. Es sollte nun möglich sein, sich mit dieser Kennung an einer beliebigen Skolelinux-Maschine in Ihrem Netzwerk anzumelden.

Es ist mittels GOsa² möglich, viele Benutzerkonten auf einmal einzurichten; dazu wird eine CSV-Datei benötigt, die sich mit jeder guten Tabellenkalkulation (wie z.B. localc) generieren lässt. Es müssen darin im Minimalfall Einträge für die Felder Benutzername (uid), Nachname (sn), Vorname (givenName) und Passwort vorhanden sein. Stellen Sie sicher, dass es im Feld »Benutzername« keine doppelten Einträge gibt. Die Kontrolle auf Duplikate muss auch die bereits in LDAP vorhandenen Benutzernamen einschließen. (Diese können Sie durch Ausführen von getent passwd | grep tjener/home | cut -d":" -f1 erhalten.)

Hier sind die Richtlinien für solch eine CSV-Datei (GOsa² ist in dieser Hinsicht ziemlich intolerant):

Die Schritte für den Import massenhafter Kennungen:

Es ist sinnvoll, diesen Vorgang zunächst mit einer CSV-Datei zu testen, die einige fiktive Nutzer enthält. Diese Konten können später wieder gelöscht werden.

Dies gilt ebenfalls für das Passwort-Management-Modul, das es erlaubt, das Zurücksetzen einer großen Menge von Passwörtern mittels einer CSV-Datei bzw. das Generieren neuer Passwörter für Benutzer, die einem spezifischen LDAP-Zweig zugeordnet sind.

Passwörter zurücksetzen

Gruppe einrichten

Gruppe einrichten

Die Verwaltung von Gruppen ist derjenigen von Benutzerkonten sehr ähnlich.

Sie können pro Gruppe einen Namen und eine Beschreibung eingeben. Stellen Sie sicher, dass Sie die richtige LDAP-Ebene wählen, wenn Sie die Gruppe anlegen.

Das Hinzufügen von Benutzern zu einer neu angelegten Gruppe bringt Sie zurück zur »Liste der Benutzer«; dort können Sie die Filterbox benutzen, um Benutzer herauszusuchen. Überprüfen Sie bitte auch die LDAP-Ebene.

Die mittels Gruppenverwaltung eingetragenen Gruppen sind reguläre UNIX-Gruppen; sie können daher zum Setzen von Zugriffsrechten verwendet werden.

Mit dem Maschinen-Management können grundsätzlich alle Netzwerkgeräte im Debian-Edu-Netzwerk verwaltet werden. Jedes Gerät, das mittels GOsa² zum LDAP-Verzeichnis hinzugefügt wird, hat einen Namen, eine IP-Adresse, eine MAC-Adresse und einen Domainnamen. Letzterer lautet üblicherweise "intern". Eine ausführlichere Beschreibung des Debian Edu-Netzwerks ist im Kapitel über die Netzwerkstruktur zu finden.

Diskless Workstations und Thin Clients funktionieren out-of-the-box im Falle eines Kombiservers.

Arbeitsstationen mit Festplatten (einschließlich separater LTSP-Server) müssen mit GOsa² hinzugefügt werden. Hinter den Kulissen werden sowohl ein maschinenspezifisches Kerberos-Principal (eine Art Konto) als auch eine zugehörige keytab-Datei (mit einem Schlüssel, der als Passwort verwendet wird) erzeugt; die keytab-Datei muss auf der Workstation vorhanden sein, um die Home-Verzeichnisse der Benutzer mounten zu können. Nachdem das hinzugefügte System neu gebootet wurde, melden Sie sich als root an und führen /usr/share/debian-edu-config/tools/copy-host-keytab aus.

Um Principal und keytab-Datei für ein bereits mit GOsa² konfiguriertes System zu erstellen, melden Sie sich auf dem Hauptserver als root an und führen aus

/usr/share/debian-edu-config/tools/gosa-modify-host <hostname> <IP>

Bitte beachten: Ein »host keytab« kann für Systeme vom Typ workstations, servers und terminals aber nicht für solche vom Typ netdevices erzeugt werden. Siehe das Kapitel Anleitung für Netzwerk-Clients für NFS-Konfigurationsoptionen.

To add a machine, use the GOsa² main menu, systems, add. The name of the machine is expected to be a valid unqualified hostname, do not add the domain name here. You can use an IP address/hostname from the preconfigured address space 10.0.0.0/8. Currently there are only two predefined fixed addresses: 10.0.2.2 (tjener) and 10.0.0.1 (gateway). The addresses from 10.0.16.20 to 10.0.31.254 (roughly 10.0.16.0/20 or 4000 hosts) are reserved for DHCP and are assigned dynamically.

Um einem Rechner mit der MAC-Adresse 52:54:00:12:34:10 eine statische IP-Adresse zuzuweisen, müssen Sie die MAC-Adresse, den Rechnernamen und die IP eintragen; alternativ können Sie die Schaltfläche Schlage IP vor klicken, wodurch die erste freie feste Adresse aus dem Bereich 10.0.0.0/8 angezeigt wird - höchstwahrscheinlich etwas wie 10.0.0.2, wenn Sie die erste Maschine auf diesem Wege hinzufügen. Es wäre gut, vorher über einen für Ihr Netzwerk geeigneten IP-Bereich nachzudenken: Zum Beispiel könnten Sie 10.0.0.x mit x>10 und x<50 für Server und x>100 für Arbeitsplatzrechner verwenden. Vergessen Sie nicht, das gerade hinzugefügte System zu aktivieren. Mit Ausnahme des Hauptservers wird dann für alle Systeme ein entsprechendes Icon angezeigt.

Wenn die Maschinen als Thin Clients bzw. Diskless Workstations gestartet oder wenn sie unter Verwendung eines der Netzwerkprofile installiert wurden, dann können Sie das Skript sitesummary2ldapdhcp verwenden, um diese Maschinen automatisch zu GOsa² hinzuzufügen; für einfache Maschinen funktioniert das ohne weiteres, bei Maschinen mit mehreren MAC-Adressen muss die aktuell benutzte ausgewählt werden, sitesummary2ldapdhcp -h zeigt Hilfeinformationen an. Beachten Sie bitte, dass die nach der Benutzung von sitesummary2ldapdhcp angezeigten IP-Adressen aus dem dynamischen IP-Bereich stammen. Diese Systeme können anschließend aber so bearbeitet werden, dass sie zu Ihrem Netzwerk passen: Jedes neue System umbenennen, DHCP und DNS aktivieren, zu Netgroups hinzufügen (empfohlene Netgroups dem Screenshot weiter unten entnehmen), das System anschließend neu starten. Einige Bilder zeigen, wie dies in der Praxis erfolgen könnte:

root@tjener:~# sitesummary2ldapdhcp -a -i ether-22:11:33:44:55:ff
info: Create GOsa machine for am-2211334455ff.intern [10.0.16.21] id ether-22:11:33:44:55:ff.
 
Enter password if you want to activate these changes, and ^c to abort.
 
Connecting to LDAP as cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no
enter password: ********
root@tjener:~#

GOsa² Liste der Systeme

Host Details

Host bearbeiten

Netgroup hinzufügen

Stündlich läuft ein Cronjob, der DNS aktualisiert; das Skript su -c ldap2bind kann verwendet werden, um die Aktualisierung manuell durchzuführen.

Nachdem Sie mit GOsa² eine Maschine zum LDAP-Verzeichnis hinzugefügt haben, können Sie die Eigenschaften mit Hilfe der Suchfunktion und durch Klicken auf den entsprechenden Eintrag bearbeiten (so, wie Sie es auch mit Benutzern tun).

Die Vorlage, die Sie nach einem Klick auf einen Maschinennamen erreichen, ist einerseits die gleiche, wie Sie es von der Bearbeitung der Benutzer-Einträge her kennen. Andererseits aber haben die Einträge in diesem Zusammenhang eine andere Bedeutung.

Das Hinzufügen eines Rechners zu einer NetGroup ändert beispielsweise nicht die Dateizugriffs- oder Befehlsausführungsberechtigungen für diesen Rechner oder die bei diesem Rechner angemeldeten Benutzer; stattdessen werden die Dienste eingeschränkt, die dieser Rechner auf Ihrem Hauptserver nutzen kann.

Die Standardinstallation enthält die NetGroups

Derzeit findet die NetGroup-Funktionalität Verwendung für: