Debian Edu / Skolelinux ist eine Linux-Distribution, die vom Debian Edu-Projekt erstellt wird. Als ein »Debian Pure Blend« ist sie ein offizielles Unterprojekt von Debian.

Skolelinux stellt somit für Ihre Schule eine Version von Debian bereit, die eine gebrauchsfertige Umgebung für ein komplett konfiguriertes Schulnetzwerk bietet.

Das norwegische Skolelinux-Projekt wurde am 2.Juli 2001 gegründet; fast gleichzeitig begann in Frankreich Raphaël Hertzog mit Debian-Edu. Seit 2003 sind beide Projekte vereint, die beiden Namen blieben aber. Die Bezeichnungen »Skole« bzw. (Debian-)»Education« sind in beiden Regionen einfach sehr gut bekannt.

Heute ist das System in mehreren Ländern der Welt im Einsatz.

Dieser Abschnitt des Dokuments erläutert die Netzwerkstruktur und die Serverdienste einer Skolelinux-Installation.

Die Abbildung skizziert die vorgesehene Netzwerkstruktur. Die Standardeinrichtung eines Skolelinux-Netzwerks setzt genau einen Hauptserver voraus; normale Arbeitsstationen und LTSP-Server (mit ihren zugehörigen Thin Clients und/oder Diskless Workstations) können eingebunden werden. Die Anzahl der Arbeitsstationen kann so groß oder klein sein, wie gewünscht: von keiner bis zu vielen. Gleiches gilt für LTSP-Server, die ihre Thin Clients jeweils auf einem separaten Netzwerk bedienen, so dass der Netzwerkverkehr zwischen den Clients und ihrem LTSP-Server den Rest der Netzwerkdienste nicht stört. Detaillierte Informationen zu LTSP gibt es im entsprechenden Handbuchkapitel.

Der Grund für nur einen Hauptserver in jedem Schulnetzwerk ist, dass der Hauptserver DHCP anbietet. Dies kann immer nur eine Maschine in einem Netzwerk machen. Es ist möglich, Dienste des Hauptservers auf andere Maschinen auszulagern, indem diese Dienste dort aufsetzt werden und die DNS-Konfiguration auf dem Hauptserver so abgeändert wird, dass der DNS-Alias für die geänderten Dienste auf die richtige Maschine zeigt.

Um die Standardinstallation von Skolelinux einfach zu halten, läuft die Internetverbindung über einen separaten Router, auch Gateway genannt. Das Kapitel Internet-Router enthält Informationen, wie ein solches Gateway aufgesetzt werden kann, wenn ein vorhandener Router keine entsprechende Konfiguration erlaubt.

Alle Linux-Rechner, die mittels Skolelinux-Installer installiert wurden, können von einem zentralen Computer, üblicherweise dem Hauptserver, verwaltet werden. Per SSH ist es möglich, sich auf allen Rechnern anzumelden und damit vollen Zugriff auf die Maschinen zu bekommen. Der Benutzer »root« muss vorher kinit ausführen, um ein Kerberos TGT zu erhalten.

Alle Benutzerinformationen werden in einem LDAP-Verzeichnis gespeichert. Aktualisierungen von Benutzerkonten werden in dieser Datenbank durchgeführt, die auch von den Clients zur Authentifizierung der Benutzer verwendet wird.

Die Bedeutung der verschiedenen Profile wird im Kapitel Netzwerk-Architektur erläutert.

Falls LTSP zum Einsatz kommen soll, finden Sie auf der (englischsprachigen) LTSP Hardware Requirements wiki page weitere Informationen.

Eine Liste getesteter Hardware erhalten Sie unter https://wiki.debian.org/DebianEdu/Hardware/. Diese Liste ist aber nicht einmal annähernd vollständig.

https://wiki.debian.org/InstallingDebianOn stellt einen Versuch dar, die Installation, Konfiguration und Benutzung von Debian auf spezieller Hardware zu dokumentieren. Potentielle Käufer oder Eigentümer dieser Hardware können sich ein Bild von eventuell auftretenden Problemen oder besonderer Konfiguration machen.

Die folgenden Regeln gelten, solange die Standard-Netzwerkarchitektur verwendet wird:

Um Internetzugang zu haben, wird ein Router/Gateway benötigt, welcher über die externe Schnittstelle mit dem Internet verbunden ist und auf der internen Schnittstelle die IP-Adresse 10.0.0.1 sowie die Netzmaske 255.0.0.0 hat.

Auf dem Router sollte kein DHCP-Server laufen; ein DNS-Server kann laufen, ist aber nicht notwendig und wird auch nicht benutzt.

In case you do not already have a router or your existing router cannot be set up accordingly, any machine which fulfills the requirements for a minimal Debian installation and which has at least two network interfaces can be turned into a gateway between the existing network and the Debian Edu one. See installation documentation for a simple way to install and set up a Debian machine using debian-edu-router-config.

Für Hardwarerouter und Accesspoints kann OpenWRT benutzt werden, wobei Sie natürlich auch die Originalfirmware verwenden können. Das ist einfacher, allerdings haben Sie mit OpenWRT mehr Auswahlmöglichkeiten und Kontrolle. Eine Liste unterstützter Hardware finden Sie auf der Hardware-Seite von OpenWRT.

Es ist möglich, eine abweichende Netzwerk-Struktur zu verwenden. Wie das geht, ist hier dokumentiert. Wenn Sie dazu jedoch nicht aufgrund einer existierenden Netzwerk-Infrastruktur gezwungen sind, ist die Nutzung der Standard-Netzwerkarchitektur zu empfehlen.

Es wird empfohlen, die Veröffentlichungshinweise für Debian Bookworm vor einer Installation zu lesen - oder zumindest einen Blick darauf zu werfen, bevor Sie ein Produktivsystem installieren. Weitere Informationen über Debian Bookworm enthält die Installationsanleitung.

Bitte probieren Sie Debian Edu / Skolelinux aus, es sollte einfach funktionieren.

Es wird allerdings empfohlen, die Kapitel über Hardware- und Netzwerkanforderungen sowie über die Architektur zu lesen, bevor die Installation eines Hauptrechners begonnen wird.

Bitte unbedingt in diesem Handbuch das Kapitel Erste Schritte lesen, da dort erklärt wird, wie die erste Anmeldung funktioniert.

Wenn Sie eine Debian-Edu-Installation durchführen, haben Sie ein paar Optionen zur Auswahl. Haben Sie keine Angst, es sind nicht viele. Wir haben gute Arbeit geleistet, um die Komplexität von Debian während der Installation und darüber hinaus zu verstecken. Aber Debian Edu ist Debian, und wenn Sie wollen, können Sie aus mehr als 59.000 Paketen und einer Milliarde Konfigurationsmöglichkeiten wählen. Für die Mehrheit unserer Benutzer sollten unsere Standardeinstellungen ausreichen. Bitte beachten Sie: Wenn LTSP verwendet werden soll, wählen Sie eine leichtgewichtige Desktop-Umgebung.

DEBIAN_FRONTEND=noninteractive apt install -y -q debian-edu-router-config

lshw -class network

ip addr flush <interface>

dpkg-reconfigure --force uif debian-edu-router

deb http://deb.debian.org/debian/ bookworm main 
deb http://security.debian.org bookworm-security main 

sudo dd if=debian-edu-amd64-XXX.iso of=/dev/sdX bs=1M

lsblk -p

/usr/share/debian-edu-config/tools/pxe-addfirmware

d-i    pkgsel/include string my-extra-package(s)

Der Text-Modus und die graphische Installation sind bis auf das Aussehen identisch. Der graphische Modus erlaubt die Verwendung einer Maus und sieht natürlich schöner und moderner aus. Solange die Hardware keine Probleme mit der graphischen Darstellung hat, gibt es keinen Grund, diesen Modus nicht zu verwenden.

Hier folgt nun eine Serie von Screenshots einer graphischen Installation (Hauptserver, Arbeitsplatzrechner, LTSP-Server im BIOS-Modus); gefolgt von Screenshots nach dem ersten Starten des Hauptservers sowie dem PXE-Start eines Rechners im Netzwerk für LTSP Clients (Thin Client Session-Bildschirm - und Login-Bildschirm nach dem Anklicken der Session auf der rechten Seite).

Bei der Installation des Hauptservers wurde ein erstes Benutzerkonto angelegt. Im folgenden Text wird dieses Konto als »Erstbenutzer« referenziert. Dieses Konto ist etwas Besonderes, da die Berechtigung für das Home-Verzeichnis auf 700 gesetzt ist (daher ist das Ausführen von chmod o+x ~ erforderlich, um persönliche Webseiten zugänglich zu machen), und der erste Benutzer kann sudo verwenden, um root zu werden.

Bevor Sie Benutzer hinzufügen, sollten Sie die Informationen über die spezifisch für Debian Edu geltende Konfiguration der Dateiberechtigungen lesen; passen Sie diese gegebenenfalls an die örtlichen Richtlinien an.

Nach der Installation müssen vom Erstbenutzer zuerst folgende Dinge erledigt werden:

Das Hinzufügen von Benutzern und Arbeitsplatzrechnern wird im Folgenden beschrieben; bitte lesen Sie deshalb das Kapitel vollständig. Es beschreibt die unbedingt notwendigen Schritte sowie all das, was wahrscheinlich für jedes System konfiguriert werden muss.

In diesem Handbuch gibt es noch an anderen Stellen zusätzliche Informationen: Das Kapitel Neue Features in Bookworm sollte von jedem gelesen werden, der mit früheren Releases vertraut ist. Und wer ein Upgrade von einem früheren Release durchführt, sollte auf jeden Fall das Kapitel Upgrades lesen.

Falls in Ihrem Netzwerk DNS-Anfragen nach außen geblockt werden und ein spezieller DNS-Server für das Nachschlagen von Rechnern im Internet verwendet werden muss, dann muss dieser Server dem DNS-Server als sein »forwarder« bekannt sein. Aktualisieren Sie /etc/bind/named.conf.options, indem Sie die IP-Adresse des zu verwendenden DNS-Servers angeben.

Im Kapitel HowTo gibt es mehr Tipps und Tricks, sowie Antworten auf häufig gestellte Fragen.

GOsa² ist ein webbasiertes Verwaltungswerkzeug, das Ihnen helfen wird, einige wichtige Teile Ihrer Debian-Edu-Installation einzurichten und zu bearbeiten. Mit GOsa² können Sie diese Hauptgruppen warten (hinzufügen, ändern, löschen):

Um auf GOsa² zugreifen zu können, benötigen Sie den Skolelinux-Hauptserver und ein (Client-)System mit installiertem Webbrowser; dabei kann es sich um den Hauptserver handeln, falls dieser als sogenannter »Kombiserver« (Hauptserver + LTSP-Server + Arbeitsplatzrechner) installiert wurde.

Falls Sie (wahrscheinlich aus Versehen) ein reines Hauptserver-Profil installiert haben und kein Client mit einem Webbrowser zur Verfügung steht, ist es leicht, eine minimale graphische Arbeitsumgebung auf dem Hauptserver zu installieren; führen Sie dazu die folgenden Befehle in einer Shell als derjenige Benutzer aus, der während der Installation des Hauptservers zuerst angelegt wurde (Erstbenutzer):

  $ sudo apt update
  $ sudo apt install task-desktop-xfce lightdm education-menus
  $ sudo service lightdm start

Verwenden Sie in einem Webbrowser die URL https://www/gosa, um auf GOsa² zuzugreifen; melden Sie sich mit der Kennung des Erstbenutzers an.

Klicken Sie auf »Benutzer« im Navigationsmenü auf der linken Seite. Die rechte Seite des Fensters zeigt dann eine Tabelle mit den Ordnern »Students« und »Teachers« sowie den Account des GOsa²-Administrators (Erstbenutzer). Über dieser Tabelle ist ein (Eingabe-)Feld namens Basis zu sehen; wenn Sie die Maus über dieses Feld bewegen, haben Sie die Möglichkeit, mittels Drop-Down-Menü durch die Baumstruktur zu navigieren und einen Basisordner für vorgesehene Aktionen zu wählen - wie z.B. für das Hinzufügen eines neuen Benutzers.

Die Verwaltung von Gruppen ist derjenigen von Benutzerkonten sehr ähnlich.

Sie können pro Gruppe einen Namen und eine Beschreibung eingeben. Stellen Sie sicher, dass Sie die richtige LDAP-Ebene wählen, wenn Sie die Gruppe anlegen.

Das Hinzufügen von Benutzern zu einer neu angelegten Gruppe bringt Sie zurück zur »Liste der Benutzer«; dort können Sie die Filterbox benutzen, um Benutzer herauszusuchen. Überprüfen Sie bitte auch die LDAP-Ebene.

Die mittels Gruppenverwaltung eingetragenen Gruppen sind reguläre UNIX-Gruppen; sie können daher zum Setzen von Zugriffsrechten verwendet werden.

Mit dem Maschinen-Management können grundsätzlich alle Netzwerkgeräte im Debian-Edu-Netzwerk verwaltet werden. Jedes Gerät, das mittels GOsa² zum LDAP-Verzeichnis hinzugefügt wird, hat einen Namen, eine IP-Adresse, eine MAC-Adresse und einen Domainnamen. Letzterer lautet üblicherweise "intern". Eine ausführlichere Beschreibung des Debian Edu-Netzwerks ist im Kapitel über die Netzwerkstruktur zu finden.

Diskless Workstations und Thin Clients funktionieren out-of-the-box im Falle eines Kombiservers.

Arbeitsstationen mit Festplatten (einschließlich separater LTSP-Server) müssen mit GOsa² hinzugefügt werden. Hinter den Kulissen werden sowohl ein maschinenspezifisches Kerberos-Principal (eine Art Konto) als auch eine zugehörige keytab-Datei (mit einem Schlüssel, der als Passwort verwendet wird) erzeugt; die keytab-Datei muss auf der Workstation vorhanden sein, um die Home-Verzeichnisse der Benutzer mounten zu können. Nachdem das hinzugefügte System neu gebootet wurde, melden Sie sich als root an und führen /usr/share/debian-edu-config/tools/copy-host-keytab aus.

Um Principal und keytab-Datei für ein bereits mit GOsa² konfiguriertes System zu erstellen, melden Sie sich auf dem Hauptserver als root an und führen aus

/usr/share/debian-edu-config/tools/gosa-modify-host <hostname> <IP>

Bitte beachten: Ein »host keytab« kann für Systeme vom Typ workstations, servers und terminals aber nicht für solche vom Typ netdevices erzeugt werden. Siehe das Kapitel Anleitung für Netzwerk-Clients für NFS-Konfigurationsoptionen.

To add a machine, use the GOsa² main menu, systems, add. The name of the machine is expected to be a valid unqualified hostname, do not add the domain name here. You can use an IP address/hostname from the preconfigured address space 10.0.0.0/8. Currently there are only two predefined fixed addresses: 10.0.2.2 (tjener) and 10.0.0.1 (gateway). The addresses from 10.0.16.20 to 10.0.31.254 (roughly 10.0.16.0/20 or 4000 hosts) are reserved for DHCP and are assigned dynamically.

Um einem Rechner mit der MAC-Adresse 52:54:00:12:34:10 eine statische IP-Adresse zuzuweisen, müssen Sie die MAC-Adresse, den Rechnernamen und die IP eintragen; alternativ können Sie die Schaltfläche Schlage IP vor klicken, wodurch die erste freie feste Adresse aus dem Bereich 10.0.0.0/8 angezeigt wird - höchstwahrscheinlich etwas wie 10.0.0.2, wenn Sie die erste Maschine auf diesem Wege hinzufügen. Es wäre gut, vorher über einen für Ihr Netzwerk geeigneten IP-Bereich nachzudenken: Zum Beispiel könnten Sie 10.0.0.x mit x>10 und x<50 für Server und x>100 für Arbeitsplatzrechner verwenden. Vergessen Sie nicht, das gerade hinzugefügte System zu aktivieren. Mit Ausnahme des Hauptservers wird dann für alle Systeme ein entsprechendes Icon angezeigt.

Wenn die Maschinen als Thin Clients bzw. Diskless Workstations gestartet oder wenn sie unter Verwendung eines der Netzwerkprofile installiert wurden, dann können Sie das Skript sitesummary2ldapdhcp verwenden, um diese Maschinen automatisch zu GOsa² hinzuzufügen; für einfache Maschinen funktioniert das ohne weiteres, bei Maschinen mit mehreren MAC-Adressen muss die aktuell benutzte ausgewählt werden, sitesummary2ldapdhcp -h zeigt Hilfeinformationen an. Beachten Sie bitte, dass die nach der Benutzung von sitesummary2ldapdhcp angezeigten IP-Adressen aus dem dynamischen IP-Bereich stammen. Diese Systeme können anschließend aber so bearbeitet werden, dass sie zu Ihrem Netzwerk passen: Jedes neue System umbenennen, DHCP und DNS aktivieren, zu Netgroups hinzufügen (empfohlene Netgroups dem Screenshot weiter unten entnehmen), das System anschließend neu starten. Einige Bilder zeigen, wie dies in der Praxis erfolgen könnte:

root@tjener:~# sitesummary2ldapdhcp -a -i ether-22:11:33:44:55:ff
info: Create GOsa machine for am-2211334455ff.intern [10.0.16.21] id ether-22:11:33:44:55:ff.
 
Enter password if you want to activate these changes, and ^c to abort.
 
Connecting to LDAP as cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no
enter password: ********
root@tjener:~#

Stündlich läuft ein Cronjob, der DNS aktualisiert; das Skript su -c ldap2bind kann verwendet werden, um die Aktualisierung manuell durchzuführen.

Das Paket p910nd ist auf allen Systemen mit dem Profil Arbeitsplatzrechner standardmäßig installiert.

Es wird empfohlen, auf einem Netzwerkdrucker alle für das Netzwerk angebotenen Dienste zu deaktivieren. Weisen Sie stattdessen eine feste IP-Adresse mit GOsa² zu und konfigurieren Sie diese Drucker als AppSocket/HP JetDirect-Netzwerkdrucker.

Dieser Abschnitt erklärt die Benutzung von apt -full-upgrade.

Das Werkzeug apt ist nicht schwer zu bedienen. Um ein System auf den neuesten Stand zu bringen, müssen Sie auf der Befehlszeile nur zwei Befehle als Root ausführen: apt update (erneuert die Liste der verfügbaren Pakete von den apt-Quellen) und apt full-upgrade (aktualisiert die installierten Pakete auf die neueste vorhandene Version).

Es ist auch eine gute Idee, während des Upgrades die Locale C zu verwenden, um eine englischsprachige Ausgabe zu erhalten; diese wird in Problemfällen vermutlich bessere Suchmaschinen-Ergebnisse liefern.

LC_ALL=C apt full-upgrade -y

Nach dem Upgrade des debian-edu-config-Pakets sind möglicherweise geänderte CFEngine-Konfigurationsdateien vorhanden. Führen Sie ls -ltr /etc/cfengine3/debian-edu/ aus, um zu prüfen, ob dies der Fall ist. Um die Änderungen anzuwenden, führen Sie LC_ALL=C cf-agent -D installation aus.

Es ist wichtig, debian-edu-ltsp-install --diskless_workstation yes nach LTSP-Server-Upgrades auszuführen, um das SquashFS-Image für Diskless Workstations synchron zu halten.

Nach einem Point-Release-Upgrade eines Systems mit Main-Server oder LTSP-Server-Profil muss debian-edu-pxeinstall ausgeführt werden, um die PXE-Installationsumgebung zu aktualisieren.

Es empfiehlt sich auch, cron-apt und apt-listchanges zu installieren und so zu konfigurieren, dass Sie E-Mails an eine von ihnen gelesene Adresse schicken.

cron-apt informiert Sie einmal am Tag darüber, ob es Pakete gibt, die aktualisiert werden können. Es installiert diese Pakete jedoch nicht, sondern lädt sie nur herunter (meistens in der Nacht), damit sie schon lokal verfügbar sind, wenn Sie apt full-upgrade ausführen.

Falls gewünscht, können Aktualisierungen automatisch installiert werden. Dazu muss lediglich das Paket unattended-upgrades installiert und so konfiguriert werden, wie es in wiki.debian.org/UnattendedUpgrades beschrieben ist.

Das Paket apt-listchanges kann Ihnen neue Änderungsmeldungen per E-Mail schicken oder diese alternativ in einem Terminalfenster anzeigen, wenn aptausgeführt wird.

Um Backups zu verwalten, gehen Sie mit Ihrem Browser auf https://www/slbackup-php. Diese Seite müssen Sie mit SSL aufrufen, da Sie für die Backupverwaltung das Root-Passwort eingeben müssen. Ein Zugriff ohne SSL ist nicht möglich.

Hinweis: Die Seite funktioniert nur, wenn Sie vorübergehend den SSH-Root-Login auf dem Backup-Server erlauben, der standardmäßig der Hauptserver (tjener.intern) ist.

Standardmäßig werden Sicherungen von /skole/tjener/home0, /etc/, /root/.svk und LDAP im Verzeichnis /skole/backup/ gespeichert, das von LVM als separate Partition verwaltet wird. Wenn Sie nur Ersatzkopien von Dingen haben wollen (für den Fall, dass Sie sie löschen), sollte dieses Setup für Sie in Ordnung sein.

Sie sollten sich allerdings im Klaren darüber sein, dass diese Art des Backups keinen Schutz vor defekten Festplatten darstellt.

Falls Sie Ihre Daten auf einen externen Server, ein Bandlaufwerk oder eine andere Festplatte sichern wollen, müssen Sie die Konfiguration ein wenig anpassen.

Um ein ganzes Verzeichnis wiederherzustellen, nutzen Sie am besten die Befehlszeile:

$ sudo rdiff-backup -r <date>  \
   /skole/backup/tjener/skole/tjener/home0/user \
   /skole/tjener/home0/user_<date>

Dies wird den Inhalt von /skole/tjener/home0/user von <date> im Verzeichnis /skole/tjener/home0/user_<date> ablegen

Falls Sie nur eine einzelne Datei wiederherstellen möchten, sollten Sie nur diese Datei (in der entsprechenden Version) in der Web-Schnittstelle auswählen und herunterladen.

Wenn Sie ältere Sicherungskopien löschen wollen, dann wählen Sie »Wartung« (Maintenance) im Menü auf der Backup-Seite und wählen dort den ältesten zu bewahrenden Zustand (snapshot):

Für Systemadministratoren finden sich Informationen über Anpassungen von Debian Edu im Kapitel Administration-Howto und im Kapitel Fortgeschrittene Administration.

Ein Upgrade von Debian von einer Distribution zur nächsten ist im Allgemeinen recht einfach. Für Debian Edu ist dies leider etwas komplizierter, da wir Konfigurationsdateien auf eine Art und Weise verändern, wie es nicht geschehen sollte. Wir haben jedoch die notwendigen Schritte unten dokumentiert. (Siehe Debian-Fehler 311188 für weitere Informationen, wie Debian Edu Konfigurationsdateien modifizieren sollte).

Im Allgemeinen ist das Upgrade der Server schwieriger als das von Arbeitplatzrechnern, und der Hauptserver ist am schwierigsten zu aktualisieren.

Wenn Sie sicher gehen wollen, dass auch nach einem Upgrade noch alles funktioniert, sollten Sie das Upgrade zunächst auf einem Testsystem durchführen, welches genau wie das produktive System konfiguriert ist. So können Sie das Upgrade ohne Risiko ausprobieren und prüfen, ob alles so funktioniert wie es soll.

Bitte lesen Sie auch unbedingt die Informationen über das aktuelle stabile Debian-Release in dessen Installationsanleitung.

Es könnte klug sein, etwas abzuwarten und noch ein paar Wochen lang Oldstable zu verwenden, sodass andere das Upgrade testen und Probleme dokumentieren können. Debian Oldstable wird noch eine Zeit lang nach Veröffentlichung von »Stable« unterstützt werden, aber wenn Debian die Unterstützung für Oldstable einstellt, wird auch Debian Edu die Unterstützung einstellen (müssen).

Achtung: Stellen Sie sicher, dass Sie das Upgrade von Bullseye in einer Testumgebung getestet haben oder über Sicherungskopien verfügen, die es ihnen ermöglichen, notfalls wieder zurückzugehen.

Bitte beachten Sie, dass sich das folgende Rezept auf die Standardinstallation eines Debian-Edu-Hauptservers bezieht (desktop=xfce, Profile Hauptserver, Arbeitsplatzrechner, LTSP-Server). (Eine allgemeinere Beschreibung zum Upgrade von Bullseye auf Bookworm finden Sie hier: https://www.debian.org/releases/bookworm/releasenotes.)

Benutzen Sie keine graphische Arbeitsumgebung; wechseln Sie zu einer virtuellen Konsole und melden Sie sich als root an.

Sollte apt mit einer Fehlermeldung abbrechen, dann versuchen Sie, den Fehler zu finden und/oder führen Sie apt -f install und danach apt -y full-upgrade erneut aus.

apt update
apt full-upgrade

sed -i 's/bullseye/bookworm/g' /etc/apt/sources.list
export LC_ALL=C
apt update
apt upgrade --without-new-pkgs
apt full-upgrade

cf-agent -v -D installation

Um von einer älteren Veröffentlichung zu aktualisieren, müssen Sie zuerst auf die Bullseye-basierte Debian-Edu-Veröffentlichung aktualisieren, bevor Sie die oben beschriebenen Anweisungen befolgen können. Anweisungen werden im Manual for Debian Edu Bullseye gegeben, wie man von der vorherigen Veröffentlichung, Buster, auf Bullseye aktualisiert.

Mittels etckeeper lassen sich alle Änderungen an Dateien in /etc/ mit Hilfe von Git als System für die Versionskontrolle zurückverfolgen.

Dies ermöglicht es festzustellen, wann eine Datei hinzugefügt, verändert oder entfernt wurde. Im Falle einer Textdatei lässt sich auch feststellen, was geändert wurde. Das Git-Repository befindet sich in /etc/.git/.

Änderungen werden automatisch stündlich protokolliert; damit ist es möglich, die Entwicklung der Konfiguration zurück zu verfolgen.

Um die Entwicklung anzusehen, kann der Befehl etckeeper vcs log benutzt werden. Um Änderungen zwischen zwei Zeitpunkten einzusehen, kann ein Befehl wie z.B. etckeeper vcs diff verwendet werden.

Rufen Sie man etckeeper auf, um weitere Optionen kennenzulernen.

Nützliche Befehle sind:

etckeeper vcs log
etckeeper vcs status
etckeeper vcs diff
etckeeper vcs add .
etckeeper vcs commit -a
man etckeeper

etckeeper vcs log

etckeeper vcs status

etckeeper vcs commit -a /etc/resolv.conf

Mit Ausnahme der /boot/-Partition sind alle Partitionen in Debian Edu auf logischen LVM-Datenträgern. Seit dem Linux-Kernel 2.6.10 ist es möglich, Partitionen zu vergrößern, während sie eingehängt sind. Um Partitionen zu verkleinern, müssen diese weiterhin ausgehängt sein.

Es ist eine gute Idee, das Anlegen sehr großer Partitionen (etwa mehr als 20 GiB) zu vermeiden, weil es sehr lange dauert, um darauf fsck auszuführen oder um sie per Backup wiederherzustellen, wenn das notwendig sein sollte. Falls möglich, ist es besser, statt einer großen mehrere kleine Partitionen zu erstellen.

Um die Vergrößerung voller Partitionen zu vereinfachen, wird das Skript debian-edu-fsautoresize zur Verfügung gestellt. Es liest die Konfiguration unter /usr/share/debian-edu-config/fsautoresizetab, /site/etc/fsautoresizetab und /etc/fsautoresizetab ein und schlägt - basierend auf den in diesen Dateien definierten Regeln - die Vergrößerung zu kleiner Partitionen vor. Ohne Argumente aufgerufen gibt es nur die Befehle aus, die zum Vergrößern der Dateisysteme nötig sind. Wenn die Dateisysteme tatsächlich vergrößert werden sollen, muss das Skript mit dem Argument -n ausgeführt werden.

Das Skript wird stündlich automatisch auf jedem Client der fsautoresize-hosts-»Netgroup« ausgeführt.

Wenn die vom Squid-Proxy verwendete Partition geändert wird, muss der Wert für die Cachegröße in etc/squid/squid.conf ebenfalls aktualisiert werden. Das Hilfsskript /usr/share/debian-edu-config/tools/squid-update-cachedir wird bereitgestellt, um dies automatisch zu tun, indem es die aktuelle Partitionsgröße von /var/spool/squid/ überprüft und Squid so konfiguriert, dass es 80 % davon als Cachegröße verwendet.

lvextend -L30G /dev/vg_system/skole+tjener+home0
resize2fs /dev/vg_system/skole+tjener+home0

Mit ldapvi können Einträge in der LDAP-Datenbank mit einem normalen Texteditor von der Befehlszeile aus editiert werden.

Folgender Befehl muss ausgeführt werden:

ldapvi -ZD '(cn=admin)'

Bemerkung: ldapvi verwendet den durch die Umgebungsvariable EDITOR als Standard vorgegebenen Editor. Nach Ausführen von beispielsweise export EDITOR=vim wird vim als Editor verwendet.

Achtung: ldapvi ist ein sehr mächtiges Werkzeug. Verwenden Sie es vorsichtig und richten Sie kein Durcheinander in der LDAP-Datenbank an; dies gilt auch für JXplorer.

Die Verwendung von Kerberos für NFS zum Einhängen von Heimatverzeichnissen ist eine Sicherheitsfunktion. Arbeitsplatzrechner und LTSP-Clients funktionieren nicht ohne Kerberos. Es werden die Stufen krb5, krb5i und krb5p unterstützt (krb5 bedeutet Kerberos-Authentifizierung, i steht für Integritätsprüfung und p für Datenschutz, d. h. Verschlüsselung); die Belastung sowohl des Servers als auch des Arbeitsplatzrechners steigt mit der Sicherheitsstufe, krb5i ist eine gute Wahl und wurde als Standard gewählt.

/srv/nfs4        gss/krb5i(rw,sync,fsid=0,crossmnt,no_subtree_check)
/srv/nfs4/home0  gss/krb5i(rw,sync,no_subtree_check)

Dieses Tool erlaubt es, den Standarddrucker in Abhängigkeit von Ort, Maschine oder Gruppenzugehörigkeit zu setzen. Weitere Informationen stehen in der Datei /usr/share/doc/standardskriver/README.md.

Die Konfigurationsdatei /etc/standardskriver.cfg muss durch den Admin erstellt werden, die Datei /usr/share/doc/standardskriver/examples/standardskriver.cfg kann als Beispiel dienen.

Wenn Sie für die Bearbeitung von Daten in LDAP einen Editor mit graphischer Benutzeroberfläche bevorzugen, dann probieren Sie den standardmäßig installierten jxplorer aus. Verwenden Sie diese Einträge, um Schreibzugriff zu bekommen:

host: ldap.intern
port: 636
Security level: ssl + user + password
User dn: cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no

ldap-createuser-krb is a small command line tool to create user accounts, it is invoked as follows:

ldap-createuser-krb5 [-u uid] [-g gid] [-G group[,group]...] [-d department] <username> <gecos>

All arguments except the username and GECOS field are optional, the latter usually should contain the full name of the user. Unless specified the tool will pick the next free UID and GID automatically and not assign any additional groups to the user. If no department is given, it will pick the first gosaDepartment from LDAP which is likely skole and for regular users usually not what you want, so you should pick an appropriate value for the user, e.g. Teachers or Students. After entering and confirming the password and entering the LDAP administrator password, ldap-createuser-krb5 will create the user account in LDAP, set the Kerberos password, create the home directory, and add a corresponding Samba user. The following screenshot shows an example invocation to create a user account named harhir for a teacher whose full name is "Harry Hirsch":

root@tjener:~# ldap-createuser-krb5 -d Teachers harhir "Harry Hirsch"
new user password: 
confirm password: 

dn: uid=harhir,ou=people,ou=Teachers,dc=skole,dc=skolelinux,dc=no
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: gosaAccount
objectClass: posixAccount
objectClass: shadowAccount
objectClass: krbPrincipalAux
objectClass: krbTicketPolicyAux
sn: Harry Hirsch
givenName: Harry Hirsch
uid: harhir
cn: Harry Hirsch
userPassword: {CRYPT}$y$j9T$TWnq55O1rvyLhjF.$oVf.t.RXC1v/4Y8FhV0umno629mo7bP7/YJyig6HET6
homeDirectory: /skole/tjener/home0/harhir
loginShell: /bin/bash
uidNumber: 1004
gidNumber: 1004
gecos: Harry Hirsch
shadowLastChange: 19641
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
krbPwdPolicyReference: cn=users,cn=INTERN,cn=kerberos,dc=skole,dc=skolelinux,dc=no
krbPrincipalName: harhir@INTERN

ldap_initialize( <DEFAULT> )
Enter LDAP Password: 
add objectClass:
        top
        person
        organizationalPerson
        inetOrgPerson
        gosaAccount
        posixAccount
        shadowAccount
        krbPrincipalAux
        krbTicketPolicyAux
add sn:
        Harry Hirsch
add givenName:
        Harry Hirsch
add uid:
        harhir
add cn:
        Harry Hirsch
add userPassword:
        {CRYPT}$y$j9T$TWnq55O1rvyLhjF.$oVf.t.RXC1v/4Y8FhV0umno629mo7bP7/YJyig6HET6
add homeDirectory:
        /skole/tjener/home0/harhir
add loginShell:
        /bin/bash
add uidNumber:
        1004
add gidNumber:
        1004
add gecos:
        Harry Hirsch
add shadowLastChange:
        19641
add shadowMin:
        0
add shadowMax:
        99999
add shadowWarning:
        7
add krbPwdPolicyReference:
        cn=users,cn=INTERN,cn=kerberos,dc=skole,dc=skolelinux,dc=no
add krbPrincipalName:
        harhir@INTERN
adding new entry "uid=harhir,ou=people,ou=Teachers,dc=skole,dc=skolelinux,dc=no"
modify complete

Authenticating as principal root/admin@INTERN with password.
kadmin.local:  change_password harhir@INTERN
Enter password for principal "harhir@INTERN": 
Re-enter password for principal "harhir@INTERN": 
Password for "harhir@INTERN" changed.
kadmin.local:  lpcfg_do_global_parameter: WARNING: The "encrypt passwords" option is deprecated
Added user harhir.

Es ist möglich, aber nicht notwendig, stable-updates direkt zu verwenden: Stable-Updates werden regelmäßig (etwa alle zwei Monate) anlässlich der Veröffentlichung von Stable-Pointreleases in die Stable-Suite übernommen.

Sie benutzen Debian Edu, weil Sie seine Stabilität schätzen. Es läuft sehr gut, es gibt nur ein Problem: Manchmal ist eine Software ein wenig mehr veraltet als Ihnen recht ist. Hier kommt backports.debian.org ins Spiel.

Backports sind extra kompilierte Pakete aus Debian-Testing (meistens) und Debian-Unstable (allerdings nur in Ausnahmefällen, insbesondere Sicherheitsaktualisierungen), so dass sie ohne neue Bibliotheken (sofern das möglich ist) auf einer stabilen Debian-Distribution wie Debian Edu laufen. Es wird empfohlen, nur diejenigen Backports auszuwählen, die Sie benötigen und nicht alle verfügbaren zu benutzen.

Die Nutzung von Backports ist einfach:

echo "deb http://deb.debian.org/debian/ bookworm-backports main" > /etc/apt/sources.list.d/bookworm-backports.sources.list
apt update

Anschießend können Pakete aus Backports einfach installiert werden; der folgende Befehl wird die Backports-Version von tuxtype installieren:

apt install tuxtype/bookworm-backports

Backports werden (falls verfügbar) automatisch aktualisiert - genauso wie andere Pakete. So wie das normale Depot hat Backports drei Sektionen: main, contrib und non-free.

Falls Sie ein Upgrade von einer Version zu einer nächsten (wie z.B. von Bookworm 12.1 auf 12.2) durchführen wollen, aber keine Internetverbindung, nur physikalische Medien haben, dann führen Sie folgende Schritte aus:

Legen Sie die CD / DVD / Blu-ray Disc ein oder stecken Sie den USB-Stick ein und benutzen Sie den Befehl apt-cdrom:

apt-cdrom add

Zitat aus der Handbuchseite von apt-cdrom(8):

Dann sind diese beiden Befehle für das Upgrade auszuführen:

apt update
apt full-upgrade

killer ist ein Perl-Skript, das Hintergrundprozesse aufräumt. Hintergrundprozesse sind definiert als Prozesse, die zu Nutzern gehören, die zur Zeit nicht am System angemeldet sind. Das Skript wird per Cron-Job einmal in der Stunde ausgeführt.

unattended-upgrades ist ein Debian-Paket, das automatisch Sicherheitsaktualisierungen (und andere Aktualisierungen) installieren kann. Falls installiert, ist das Paket so vorkonfiguriert, dass Sicherheitsaktualisierungen erfolgen. Die Log-Dateien gibt es in /var/log/unattended-upgrades/; außerdem gibt es immer /var/log/dpkg.log und /var/log/apt/.

Es ist möglich, Energie und Geld zu sparen, indem Client-Rechner nachts automatisch ausgeschaltet und morgens wieder eingeschaltet werden. Das Paket shutdown-at-night versucht, den Rechner ab 16:00 Uhr nachmittags zu jeder vollen Stunde auszuschalten, schaltet ihn aber nicht aus, wenn er anscheinend Benutzer hat. Es wird versucht, dem BIOS mitzuteilen, den Rechner um 07:00 Uhr morgens einzuschalten, und der Hauptserver wird versuchen, die Rechner ab 06:30 Uhr durch das Senden von Wake-on-LAN-Paketen einzuschalten. Diese Zeiten können in den Crontabs der einzelnen Rechner geändert werden.

Falls Sie das vorhaben, sollten folgende Punkte beachtet werden:

  #!/bin/sh
  PATH=/usr/sbin:$PATH
  export PATH
  sitesummary-nodes -w

  #!/bin/sh
  PATH=/usr/sbin:$PATH
  export PATH
  netgroup -h shutdown-at-night-hosts

Um Maschinen, die hinter einer Firewall liegen, vom Internet aus erreichen zu können, könnten Sie das Paket autossh installieren. Dies erlaubt das Einrichten eines SSH-Tunnels zu einer Maschine im Internet, zu der Sie Zugang haben. Von dieser Maschine aus können Sie dann über den SSH-Tunnel den Server hinter der Firewall erreichen.

Bei der Standardinstallation laufen alle Dienste auf dem Hauptserver, Hostname tjener. Um auf einfache Weise einige Dienste auf eine andere Maschine zu verlagern, gibt es das Installationsprofil Minimal. Eine Installation unter Verwendung dieses Profils führt zu einer Maschine, die zum Debian-Edu-Netzwerk gehört, auf der aber (noch) keine Dienste laufen.

Diese Schritte sind erforderlich, um eine Maschine für einige Dienste aufzusetzen:

FIXME: The HowTos from https://wiki.debian.org/DebianEdu/HowTo/ are either user- or developer-specific. Let's move the user-specific HowTos over here (and delete them over there)! (But first ask the authors (see the history of those pages to find them) if they are fine with moving the howto and putting it under the GPL.)

Führen Sie diese Schritte aus, um einen eigenen Dateiserver für das Speichern von Benutzerverzeichnissen - und möglicherweise auch anderen Daten - einzurichten.

Die Benutzer sollten nun Zugang zu den Dateien des Dateiservers 'nas-server.intern' haben, wenn Sie mit einer Anwendung auf das Verzeichnis '/tjener/nas-server/storage/' zugreifen - sei es von einer Workstation, einem LTSP-Thin-Client oder einem LTSP-Server aus.

Es gibt mehrere Wege, den SSH-Zugang zu beschränken; einige sind hier aufgeführt.

+ : alice jane bob john : ALL
+ : ALL : 10.0.0.0/8 192.168.0.0/24 192.168.1.0/24
- : ALL : ALL
#

Um mehrere Sprachen zu unterstützen, müssen diese Schritte erfolgen:

Benutzern wird es dann möglich sein, die Sprache vor dem Anmelden über den LightDM-Displaymanager zu wählen; dies trifft für Xfce, LXDE und LXQt zu. GNOME und auch KDE haben eigene Einstellmöglichkeiten für Region und Sprache; diese sollten benutzt werden. MATE verwendet (zusätzlich zu LightDM) den Arctica-Greeter, der kein Sprachwahlmodul hat. Nach dem Ausführen von apt purge arctica-greeter ist der normale LightDM-Greeter vorhanden.

Um die meisten kommerziellen DVDs abzuspielen, benötigen Sie das Paket libdvdcss. Dies ist aus rechtlichen Gründen nicht in Debian (Edu) enthalten. Wenn Sie libdvdcss legal verwenden dürfen, können Sie eigene lokale Pakete mittels libdvd-pkg selbst bauen; dazu muss contrib in /etc/apt/sources.list aktiviert sein.

apt update
apt install libdvd-pkg

Beantworten Sie die Debconf-Fragen und führen Sie dann dpkg-reconfigure libdvd-pkg aus.

Das Paket fonts-linex (das voreingestellt installiert wird) installiert den Zeichensatz "Abecedario", ein schöner Schreibschrift-Zeichensatz für Kinder. Der Zeichensatz beinhaltet verschiedene, für Kinder geeignete Formen: gepunktet oder liniert.

Eine allgemeine Bezeichnung für sowohl Thin Clients wie auch Diskless-Workstations ist LTSP-Client.

Beginnend mit Bullseye unterscheidet sich LTSP deutlich von den vorherigen Versionen. Dies betrifft sowohl die Einrichtung als auch die Wartung.

Informationen über LTSP im Allgemeinen finden Sie auf der LTSP-Homepage. Auf Systemen mit LTSP-Server-Profil liefert man ltsp weitere Informationen.

Bitte beachten Sie, dass das zu LTSP gehörende Werkzeug ltsp mit Vorsicht verwendet werden muss. Zum Beispiel würde ltsp image / das SquashFS-Image bei Debian-Rechnern nicht erzeugen (diese haben standardmäßig eine separate /boot-Partition), ltsp ipxe würde das iPXE-Menü nicht korrekt erzeugen (aufgrund der Thin-Client-Unterstützung von Debian Edu), und ltsp initrd würde den Start des LTSP-Clients komplett durcheinander bringen.

Das debian-edu-ltsp-install Werkzeug ist ein Wrapper-Skript für ltsp image, ltsp initrd und ltsp ipxe. Es wird verwendet, um Unterstützung für Diskless Workstations und Thin Clients einzurichten und zu konfigurieren (sowohl 64-Bit- als auch 32-Bit-PC). Siehe man debian-edu-ltsp-install oder den Inhalt des Skripts, um zu sehen, wie es funktioniert. Die gesamte Konfiguration ist im Skript selbst enthalten (HERE-Dokumente), um standortspezifische Anpassungen zu erleichtern.

Beispiele, wie Sie das Wrapper-Skript debian-edu-ltsp-install verwenden können:

Neben bare (kleinstes Thin-Client-System) stehen auch display und desktop als Optionen zur Verfügung. Der Display-Typ bietet eine Schaltfläche zum Herunterfahren, der Desktop-Typ führt Firefox ESR im Kiosk-Modus auf dem Client selbst aus (mehr lokaler RAM und CPU-Leistung erforderlich, aber weniger Serverlast).

Das debian-edu-ltsp-ipxe Werkzeug ist ein Wrapper-Skript für ltsp ipxe. Es stellt sicher, dass die Datei /srv/tftp/ltsp/ltsp.ipxe für Debian Edu passend ist. Der Befehl muss ausgeführt werden, nachdem iPXE-Menü-Einträge (wie Menü-Timeout oder Standard-Boot-Einstellungen) in der /etc/ltsp/ltsp.conf [server] Sektion geändert wurden.

Das debian-edu-ltsp-initrd Werkzeug ist ein Wrapper-Skript für ltsp initrd. Es sorgt dafür, dass eine anwendungsspezifische Initrd (/srv/tftp/ltsp/ltsp.img) erzeugt und dann in das anwendungsspezifische Verzeichnis verschoben wird. Der Befehl muss ausgeführt werden, nachdem der Abschnitt /etc/ltsp/ltsp.conf [clients] geändert wurde.

Das debian-edu-ltsp-chroot Werkzeug ist ein Ersatz für das ltsp-chroot Werkzeug, das zu LTSP5 gehörte. Es wird verwendet, um Befehle in einem bestimmten LTSP-Chroot auszuführen (wie z.B. Installieren, Upgrade und Entfernen von Paketen).

Diskless Workstation

Bei einer Diskless Workstation laufen alle Anwendungen lokal. Die Maschine bootet ohne lokale Festplatte direkt vom LTSP-Server. Die Software wird auf dem LTSP-Server administriert und gewartet, läuft aber auf der Diskless Workstation. Ebenso werden Home-Verzeichnisse und Systemeinstellungen auf dem Server gespeichert. Diskless Workstations sind eine hervorragende Möglichkeit zur Wiederverwendung älterer (aber leistungsfähiger) Hardware mit den gleichen geringen Wartungskosten wie bei Thin Clients.

Im Unterschied zu Arbeitsplatzrechnern benötigen LTSP Diskless Workstations keine Konfiguration in GOsa².

Thin Client

Ein Thin-Client-Setup ermöglicht es, einen gewöhnlichen PC als (X-)Terminal zu verwenden, wobei die gesamte Software auf dem LTSP-Server läuft. Das bedeutet, dass dieser Rechner über PXE gebootet wird, ohne eine lokale Client-Festplatte zu verwenden, und dass der LTSP-Server ein leistungsstarker Rechner sein muss.

Debian Edu unterstützt nach wie vor die Verwendung von Thin Clients, um die Nutzung von sehr alter Hardware zu ermöglichen.

Da Thin Clients X2Go verwenden, sollten Benutzer das Compositing deaktivieren, um Anzeigeartefakte zu vermeiden. Im Standardfall (Xfce-Desktop-Umgebung): Einstellungen -> Feineinstellungen der Fensterverwaltung -> Komposit.

Firmware der LTSP-Clients

Der Start von LTSP-Clients wird scheitern, falls für die Netzwerkschnittstelle des Clients Firmware aus »non-free« erforderlich ist. Eine PXE-Installation könnte zur Fehlersuche bei Problemen mit solchen Maschinen verwendet werden: Falls der Debian-Installer wegen fehlender XXX.bin-Dateien abbricht, dann ist es notwendig, die Initrd des LTSP-Servers mit Firmware aus »non-free« zu ergänzen.

Gehen Sie auf dem LTSP-Server wie folgt vor:

apt update && apt search ^firmware-

apt -y -q install firmware-linux

debian-edu-ltsp-install --diskless_workstation yes

/usr/share/debian-edu-config/tools/ltsp-addfirmware -h

ltsp image x2go-bare-amd64

debian-edu-ltsp-install --arch i386 --thin_type bare

debian-edu-ltsp-initrd

PXE steht für Preboot eXecution Environment. Debian Edu verwendet jetzt die iPXE-Implementierung, um die LTSP-Integration zu vereinfachen.

d-i     apt-setup/local1/repository string      http://example.org/debian stable main contrib non-free
d-i     apt-setup/local1/comment string         Example Software Repository
d-i     apt-setup/local1/source boolean         true
d-i     apt-setup/local1/key    string          http://example.org/key.asc

Das Paket debian-edu-config enthält ein Werkzeug, mit dessen Hilfe das Netzwerk von 10.0.0.0/8 in ein anderes geändert werden kann. Sehen Sie sich dazu /usr/share/debian-edu-config/tools/subnet-change an. Dieses Skript sollte unmittelbar nach der Installation des Hauptservers ausgeführt werden, um LDAP und andere Dateien zu aktualisieren, die für den Wechsel des Subnetzes bearbeitet werden müssen.

Bitte beachten Sie, dass der Wechsel zu einem der bereits von Debian-Edu benutzten Subnetze nicht funktionieren wird. 192.168.0.0/24 und 192.168.1.0/24 sind bereits als LTSP-Client-Netzwerke eingerichtet. Ein Wechsel zu diesem Subnetz erfordert manuelles Bearbeiten der Konfiguration zur Beseitigung von Doppeleinträgen.

Es gibt keinen einfachen Weg, um den DNS-Domain-Namen zu ändern. Dazu wären sowohl an der LDAP-Struktur wie auch an mehreren Dateien auf dem Hauptserver Änderungen erforderlich. Es gibt auch keinen einfachen Weg, um den Host- und DNS-Namen des Hauptservers (tjener.intern) zu ändern. Dazu wären ebenfalls Änderungen in LDAP sowie an Dateien auf dem Hauptserver und auf allen Clients notwendig. In beiden Fällen wären zusätzlich Änderungen an der Kerberos-Konfiguration notwendig.

Bei Verwendung des Profils »LTSP-Server« und bei Kombiservern werden jeweils auch die Pakete xrdp und x2goserver installiert.

 #!/bin/bash
 set -e
  if [[ $UID -ne 0 ]] ; then  
     if ! groups | egrep -q sudo ; then
         echo "ERROR: You need to be root or a sudo group member."
         exit 1
     fi
 fi
 if ! egrep -q  ^deb-src /etc/apt/sources.list ; then
     echo "ERROR: Make sure /etc/apt/sources.list contains a deb-src line."
     exit 1
 fi
 TMP=$(mktemp -d)
 PULSE_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' pulseaudio)"
 XRDP_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' xrdp)"
 sudo apt -q update
 sudo apt -q install dpkg-dev
 cd $TMP
 apt -q source pulseaudio xrdp
 sudo apt -q build-dep pulseaudio xrdp
 cd pulseaudio-$PULSE_UPSTREAM_VERSION/
 ./configure
 cd $TMP/xrdp-$XRDP_UPSTREAM_VERSION/sesman/chansrv/pulse/
 sed -i 's/^PULSE/#PULSE/' Makefile
 sed -i "/#PULSE_DIR/a \
 PULSE_DIR = $TMP/pulseaudio-$PULSE_UPSTREAM_VERSION" Makefile
 make
 sudo cp *.so /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/
 sudo chmod 644 /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/module-xrdp*
 sudo service xrdp restart

Der freeRADIUS-Server könnte verwendet werden, um sichere Netzwerkverbindungen bereitzustellen. Damit dies funktioniert, installieren Sie die Pakete freeradius und winbind auf dem Hauptserver und führen /usr/share/debian-edu-config/tools/setup-freeradius-server aus, um eine grundlegende, standortspezifische Konfiguration zu erzeugen. Auf diese Weise werden sowohl die Methoden EAP-TTLS/PAP als auch PEAP-MSCHAPV2 bereit gestellt. Die gesamte Konfiguration ist im Skript selbst enthalten, um standortspezifische Anpassungen zu erleichtern. Siehe die freeRADIUS-Homepage für Details.

Zusätzliche Konfiguration ist erforderlich, um

Endbenutzergeräte müssen richtig konfiguriert werden, diese Geräte müssen für die Verwendung von EAP-(802.1x)-Methoden PIN-geschützt sein. Die Benutzer sollten auch dazu angehalten werden, das freeradius CA-Zertifikat auf ihren Geräten zu installieren, um sicher zu sein, dass sie sich mit dem richtigen Server verbinden. Auf diese Weise kann deren Passwort im Falle eines bösartigen Servers nicht abgefangen werden. Das standortspezifische Zertifikat ist im internen Netzwerk verfügbar.

Bitte beachten Sie, dass die Konfiguration von Endgeräten aufgrund der Gerätevielfalt eine echte Herausforderung sein wird. Für Windows-Geräte könnte ein Installer-Skript erstellt werden, für Apple-Geräte eine mobileconfig-Datei. In beiden Fällen kann das freeRADIUS-CA-Zertifikat integriert werden, allerdings werden betriebssystemspezifische Tools zur Erstellung dieser Skripte benötigt.

Connections to a user's home directory and to additional site specific shares (if configured) are possible for devices running Linux, Android, macOS, iOS, iPadOS, Chrome OS or Windows. For example, Android based devices require a file manager with SMB2/SMB3 support, also known as LAN access. X-plore or Total Commander with LAN plugin might be a good choice.

Verwenden Sie \\tjener\<Benutzername> oder smb://tjener/<Benutzername>, um auf das Home-Verzeichnis zuzugreifen.

stable/education-development ist ein Metapaket, das viele Programmierungs-Werkzeuge installiert. Bitte beachten: Die Installation erfordert fast 2 GiB an zusätzlichem Plattenplatz. Weitere Informationen (um möglicherweise nur einige Pakete zu installieren) stehen auf der englischsprachigen Seite Debian Edu Development packages zur Verfügung.

Achtung: Stellen Sie sicher, dass Ihnen die Rechtslage bezüglich der Überwachung und Einschränkung der Aktivitäten von Computerbenutzern klar ist.

Einige Schule benutzen Überwachungswerkzeuge wie Epoptes oder Veyon, um ihre Schüler zu kontrollieren. Siehe auch die: Epoptes Homepage und die Veyon Homepage (beide englischsprachig).

Einige Schulen verwenden Squidguard oder e2guardian, um den Zugang zum Internet einzuschränken.

Benutzer sollten ihr Passwort mit GOsa² ändern. Dies geht einfach über den Aufruf von https://www/gosa/ mittels Browser.

Die Verwendung von GOsa² zur Änderung des Passworts stellt sicher, dass die Passwörter von Kerberos (krbPrincipalKey), LDAP (userPassword) und Samba identisch sind.

Das Ändern von Passwörtern mittels PAM funktioniert auch während der Anmeldung via GDM; allerdings wird so nur das Kerberos-Passwort, aber weder das Passwort für Samba, noch dasjenige für GOsa² (LDAP) aktualisiert. Wenn Sie also Ihr Passwort an der Eingabeaufforderung geändert haben, sollten Sie dies sofort ebenfalls mit GOsa² durchführen.

Java-Anwendungen werden durch die OpenJDK-Java-Laufzeitumgebung voreingestellt unterstützt.

Alle Nutzer können im internen Netzwerk E-Mails senden und empfangen; Zertifikate werden bereitgestellt, um per TLS abgesicherte Verbindungen verwenden zu können. Um E-Mail auch außerhalb des internen Netzwerks zu ermöglichen, muss der Administrator den Mailserver exim4 den lokalen Gegebenheiten entsprechend anpassen. Das Ausführen von dpkg-reconfigure exim4-config ist dazu ein erster Schritt.

Jeder Benutzer, der Thunderbird verwenden will, muss die Konfiguration wie folgt vornehmen (für einen Benutzer mit dem Benutzernamen jdoe lautet die interne E-Mail-Adresse jdoe@postoffice.intern).

Die meiste Zeit ist die Entwickler-Mailingliste unser Hauptkommunikationsmedium, obwohl wir auch #debian-edu auf irc.debian.org und manchmal sogar echte Treffen haben, wo wir uns persönlich treffen.

Eine gute Möglichkeit, die Entwicklung von Debian Edu zu verfolgen, besteht darin, die (englischsprachige) commit mailinglist zu abonnieren.

Debian Edu verwendet das Debian Bug Tracking System (BTS). Sie können bestehende Fehlerberichte und Funktionsanforderungen ansehen oder neue erstellen. Bitte melden Sie alle Fehler gegen das Paket debian-edu-config. Werfen Sie einen Blick auf die (englischsprachige) Seite How To Report Bugs für weitere Informationen über das Melden von Fehlern in Debian Edu.

Dieses Dokument benötigt Ihre Hilfe! Zuallererst, es ist noch nicht komplett: Beim Lesen werden Sie verschiedentliche FIXMEs in einem Text bemerken. Bitte überlegen Sie, ob Sie Ihre Kenntnisse nicht mit uns teilen wollen, wenn Sie (etwas) über die Thematik des betroffenen Sachverhalts wissen.

Die Quelle des Textes ist ein Wiki und kann mit einem einfachen Webbrowser bearbeitet werden. Gehen Sie einfach auf https://wiki.debian.org/DebianEdu/Documentation/Bookworm/ und Sie können ganz einfach einen Beitrag leisten. Hinweis: Um die Seiten zu bearbeiten, ist ein Benutzerkonto erforderlich. Möglicherweise müssen Sie zuerst ein Wiki-Benutzerkonto anlegen.

Ein anderer Weg um mitzuwirken und anderen Benutzern zu helfen, ist Software und Dokumentation zu übersetzen. Übersetzungshinweise zu diesem Dokument findet gibt es im Kapitel Übersetzungen dieses Handbuchs. Bitte helfen Sie beim Übersetzen!

Listen von Firmen, die professionelle Unterstützung anbieten, finden Sie unter https://wiki.debian.org/DebianEdu/Help/ProfessionalHelp

Copyright (C) 2007-2021 Holger Levsen < holger@layer-acht.org > und andere; die vollständige Liste der Copyright-Inhaber gibt es im Copyright-Kapitel.

This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version.

This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.

Version 2, June 1991

Copyright (C) 1989, 1991 Free Software Foundation, Inc. 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301, USA. Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed.

0. This License applies to any program or other work which contains a notice placed by the copyright holder saying it may be distributed under the terms of this General Public License. The "Program", below, refers to any such program or work, and a "work based on the Program" means either the Program or any derivative work under copyright law: that is to say, a work containing the Program or a portion of it, either verbatim or with modifications and/or translated into another language. (Hereinafter, translation is included without limitation in the term "modification".) Each licensee is addressed as "you".

Activities other than copying, distribution and modification are not covered by this License; they are outside its scope. The act of running the Program is not restricted, and the output from the Program is covered only if its contents constitute a work based on the Program (independent of having been made by running the Program). Whether that is true depends on what the Program does.

1. You may copy and distribute verbatim copies of the Program's source code as you receive it, in any medium, provided that you conspicuously and appropriately publish on each copy an appropriate copyright notice and disclaimer of warranty; keep intact all the notices that refer to this License and to the absence of any warranty; and give any other recipients of the Program a copy of this License along with the Program.

You may charge a fee for the physical act of transferring a copy, and you may at your option offer warranty protection in exchange for a fee.

2. You may modify your copy or copies of the Program or any portion of it, thus forming a work based on the Program, and copy and distribute such modifications or work under the terms of Section 1 above, provided that you also meet all of these conditions:

These requirements apply to the modified work as a whole. If identifiable sections of that work are not derived from the Program, and can be reasonably considered independent and separate works in themselves, then this License, and its terms, do not apply to those sections when you distribute them as separate works. But when you distribute the same sections as part of a whole which is a work based on the Program, the distribution of the whole must be on the terms of this License, whose permissions for other licensees extend to the entire whole, and thus to each and every part regardless of who wrote it.

Thus, it is not the intent of this section to claim rights or contest your rights to work written entirely by you; rather, the intent is to exercise the right to control the distribution of derivative or collective works based on the Program.

In addition, mere aggregation of another work not based on the Program with the Program (or with a work based on the Program) on a volume of a storage or distribution medium does not bring the other work under the scope of this License.

3. You may copy and distribute the Program (or a work based on it, under Section 2) in object code or executable form under the terms of Sections 1 and 2 above provided that you also do one of the following:

The source code for a work means the preferred form of the work for making modifications to it. For an executable work, complete source code means all the source code for all modules it contains, plus any associated interface definition files, plus the scripts used to control compilation and installation of the executable. However, as a special exception, the source code distributed need not include anything that is normally distributed (in either source or binary form) with the major components (compiler, kernel, and so on) of the operating system on which the executable runs, unless that component itself accompanies the executable.

If distribution of executable or object code is made by offering access to copy from a designated place, then offering equivalent access to copy the source code from the same place counts as distribution of the source code, even though third parties are not compelled to copy the source along with the object code.

4. You may not copy, modify, sublicense, or distribute the Program except as expressly provided under this License. Any attempt otherwise to copy, modify, sublicense or distribute the Program is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance.

5. You are not required to accept this License, since you have not signed it. However, nothing else grants you permission to modify or distribute the Program or its derivative works. These actions are prohibited by law if you do not accept this License. Therefore, by modifying or distributing the Program (or any work based on the Program), you indicate your acceptance of this License to do so, and all its terms and conditions for copying, distributing or modifying the Program or works based on it.

6. Each time you redistribute the Program (or any work based on the Program), the recipient automatically receives a license from the original licensor to copy, distribute or modify the Program subject to these terms and conditions. You may not impose any further restrictions on the recipients' exercise of the rights granted herein. You are not responsible for enforcing compliance by third parties to this License.

7. If, as a consequence of a court judgment or allegation of patent infringement or for any other reason (not limited to patent issues), conditions are imposed on you (whether by court order, agreement or otherwise) that contradict the conditions of this License, they do not excuse you from the conditions of this License. If you cannot distribute so as to satisfy simultaneously your obligations under this License and any other pertinent obligations, then as a consequence you may not distribute the Program at all. For example, if a patent license would not permit royalty-free redistribution of the Program by all those who receive copies directly or indirectly through you, then the only way you could satisfy both it and this License would be to refrain entirely from distribution of the Program.

If any portion of this section is held invalid or unenforceable under any particular circumstance, the balance of the section is intended to apply and the section as a whole is intended to apply in other circumstances.

It is not the purpose of this section to induce you to infringe any patents or other property right claims or to contest validity of any such claims; this section has the sole purpose of protecting the integrity of the free software distribution system, which is implemented by public license practices. Many people have made generous contributions to the wide range of software distributed through that system in reliance on consistent application of that system; it is up to the author/donor to decide if he or she is willing to distribute software through any other system and a licensee cannot impose that choice.

This section is intended to make thoroughly clear what is believed to be a consequence of the rest of this License.

8. If the distribution and/or use of the Program is restricted in certain countries either by patents or by copyrighted interfaces, the original copyright holder who places the Program under this License may add an explicit geographical distribution limitation excluding those countries, so that distribution is permitted only in or among countries not thus excluded. In such case, this License incorporates the limitation as if written in the body of this License.

9. The Free Software Foundation may publish revised and/or new versions of the General Public License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns.

Each version is given a distinguishing version number. If the Program specifies a version number of this License which applies to it and "any later version", you have the option of following the terms and conditions either of that version or of any later version published by the Free Software Foundation. If the Program does not specify a version number of this License, you may choose any version ever published by the Free Software Foundation.

10. If you wish to incorporate parts of the Program into other free programs whose distribution conditions are different, write to the author to ask for permission. For software which is copyrighted by the Free Software Foundation, write to the Free Software Foundation; we sometimes make exceptions for this. Our decision will be guided by the two goals of preserving the free status of all derivatives of our free software and of promoting the sharing and reuse of software generally.

NO WARRANTY

11. BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.

12. IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.

END OF TERMS AND CONDITIONS

Die folgenden Debian-Edu-Releases gab es davor:

Eine vollständige und detaillierte Übersicht älterer Releases gibt es im Anhang C des Jessie-Handbuchs; Sie finden die betreffenden Release-Handbücher auch auf der Dokumentations-Übersichtsseite.