Debian Edu / Skolelinux 12 Bookworm Handbuch

Publikationsdatum: 29.03.2024


Inhaltsverzeichnis

1. Handbuch für Debian Edu 12 Codename Bookworm
2. Über Debian Edu und Skolelinux
2.1. Einiges zur Entstehungsgeschichte und wieso es zwei Namen gibt
3. Architektur
3.1. Netzwerk
3.1.1. Die Standard-Einrichtung des Netzwerks
3.1.2. Hauptserver
3.1.3. Dienste des Hauptservers
3.1.4. LTSP-Server
3.1.5. Thin Clients
3.1.6. Diskless Workstations
3.1.7. Netzwerk-Clients
3.2. Administration
3.2.1. Installation
3.2.2. Konfiguration der Zugriffsrechte auf das Dateisystem
4. Voraussetzungen
4.1. Hardwareanforderungen
4.2. Getestete Hardware
5. Voraussetzungen für die Einrichtung des Netzwerks
5.1. Standardinstallation
5.2. Router (Internet)
6. Installation und Optionen für das Herunterladen
6.1. Hinweise auf weitere Informationsquellen
6.2. Herunterladen des Installationsmediums für Debian Edu 12, Codename Bookworm
6.2.1. amd64 oder i386
6.2.2. Netzwerk-Installer-Images für amd64 oder i386
6.2.3. BD-ISO-Images für amd64 oder i386
6.2.4. Überprüfung heruntergeladener Image-Dateien
6.2.5. Quellen
6.3. Die Installation von Debian Edu
6.3.1. Szenarien der Installation eines Hauptservers
6.3.2. Arbeitsumgebungen
6.3.3. Modulare Installation
6.3.4. Installationsarten und Optionen
6.3.5. Der Installationsprozess
6.3.6. Installiere ein Gateway mit debian-edu-router
6.3.7. Anmerkungen zu einigen Eigenschaften
6.3.8. Installation per USB-Stick anstelle von CD / Blu-ray Disc
6.3.9. Installation und Booten über das Netzwerk via PXE
6.3.10. PXE-Installationen modifizieren
6.3.11. Angepasste Images
6.4. Screenshots
7. Erste Schritte
7.1. Unbedingt erforderliche erste Schritte
7.1.1. Dienste des Hauptservers
7.2. Einführung in GOsa²
7.2.1. GOsa²-Anmeldung und Übersicht
7.3. Benutzerverwaltung mit GOsa²
7.3.1. Benutzer hinzufügen
7.3.2. Benutzer suchen, modifizieren und löschen
7.3.3. Passwörter setzen
7.3.4. Fortgeschrittene Nutzerverwaltung
7.4. Gruppen mit GOsa² verwalten
7.5. Rechnerverwaltung mit GOsa²
7.5.1. Suchen und Löschen von Maschinen
7.5.2. Modifizieren von eingetragenen Maschinen / Verwalten von »Netgroups«
8. Druckerverwaltung
8.1. An Arbeitsplatzrechner angeschlossene Drucker verwenden
8.2. Netzwerkdrucker
9. Zeitsynchronisation
10. Volle Partitionen erweitern
11. Wartung
11.1. Aktualisieren der Software
11.1.1. Über Sicherheitsaktualisierungen auf dem Laufenden bleiben
11.2. Verwaltung von Backups
11.3. Serverüberwachung (Monitoring)
11.3.1. Munin
11.3.2. Icinga
11.3.3. Sitesummary
11.4. Weitergehende Informationen über Anpassungen von Debian Edu
12. Upgrades
12.1. Allgemeine Hinweise zum Upgrade
12.2. Upgrades von Debian Edu Bookworm
12.2.1. Upgrade des Hauptservers
12.2.2. Upgrade eines Arbeitsplatzrechners
12.3. Aktualisieren von älteren Debian Edu / Skolelinux-Installationen (vor Bullseye)
13. HowTo
14. HowTos für allgemeine Administration
14.1. Änderungen der Konfiguration: /etc/ mit dem Versionskontrollsystem Git verfolgen
14.1.1. Benutzungsbeispiele
14.2. Partitionsgrößen verändern
14.2.1. Verwaltung logischer Datenträger
14.3. Verwendung von ldapvi
14.4. NFS mittels Kerberos
14.4.1. Ändern der Voreinstellung
14.5. Standarddrucker (»Standardskriver«)
14.6. JXplorer, ein LDAP-Editor mit graphischer Benutzeroberfläche
14.7. ldap-createuser-krb5, a command-line tool for adding users
14.8. Verwenden von »stable-updates«
14.9. Mittels Backports neuere Software installieren
14.10. Upgrade mit einer CD oder einem vergleichbaren Medium
14.11. Automatisches Aufräumen übrig gebliebener Prozesse
14.12. Automatische Installation von Sicherheitsaktualisierungen
14.13. Automatisches Herunterfahren von Rechnern während der Nacht
14.13.1. Das Herunterfahren in der Nacht einrichten
14.14. Zugriff auf Debian-Edu-Server, die sich hinter einer Firewall befinden
14.15. Dienste auf separaten Rechnern zur Entlastung des Hauptservers installieren
14.16. HowTos von wiki.debian.org
15. HowTo für fortgeschrittene Administration
15.1. Angepasste Benutzerverwaltung mit GOsa²
15.1.1. Anlegen von Benutzerkonten in Jahrgangsgruppen
15.2. Andere Anpassungen für Benutzer
15.2.1. Ordner in den Home-Verzeichnissen aller Nutzer erstellen
15.3. Einen speziellen Dateiserver benutzen
15.4. Den SSH-Zugang beschränken
15.4.1. Setup ohne LTSP-Clients
15.4.2. Setup mit LTSP-Clients
15.4.3. Ein Hinweis für kompliziertere Setups
16. HowTos für die graphische Arbeitsumgebung
16.1. Eine mehrsprachige Arbeitsumgebung einrichten
16.2. DVDs abspielen
16.3. Schreibschrift-Zeichensätze
17. HowTos für Netzwerk-Clients
17.1. Einführung in Thin Clients (auch als Terminals bezeichnet) und Diskless Workstations (Arbeitsplatzrechner ohne Festplatte)
17.1.1. Typ des LTSP-Clients auswählen
17.1.2. Ein anderes LTSP-Client-Netzwerk verwenden
17.1.3. LTSP-Chroot für 32-Bit-PC-Rechner einrichten
17.1.4. Konfiguration von LTSP-Clients
17.1.5. Sound auf LTSP-Clients
17.1.6. Zugriff auf USB-Laufwerke und CD-ROMs/DVDs
17.1.7. An LTSP-Clients angeschlossene Drucker verwenden
17.2. Ändern des PXE-Setups
17.2.1. Konfiguration des PXE-Menüs
17.2.2. Konfiguration der PXE-Installation
17.2.3. Ein eigenes Depot für die PXE-Installation hinzufügen
17.3. Netzwerkeinstellungen ändern
17.4. Remote Desktop (Entfernte Arbeitsfläche)
17.4.1. Xrdp
17.4.2. X2Go
17.4.3. Verfügbare Remote-Desktop-Clients
17.5. WLAN-Clients
17.6. Windows-Rechner mit Debian-Edu-Zugangsdaten unter Verwendung des pGina-LDAP-Plugins autorisieren
17.6.1. Hinzufügen eines pGina-Benutzers in Debian Edu
17.6.2. Den pGina-Fork installieren
17.6.3. pGina konfigurieren
18. Samba in Debian Edu
18.1. Zugriff auf Dateien via Samba
19. HowTos für Lehren und Lernen
19.1. Programmierung unterrichten
19.2. Schüler/-innen beobachten
19.3. Den Netzwerkzugang von Schülern beschränken
20. HowTos für Anwender
20.1. Passwörter verändern
20.2. Java-Anwendungen ausführen
20.3. Verwendung von E-Mail
20.4. Thunderbird
21. Arbeiten Sie mit
21.1. Online etwas beitragen
21.2. Fehler berichten
21.3. Verfasser der Dokumentation und Übersetzer
22. Unterstützung
22.1. Unterstützung auf Freiwilligenbasis
22.1.1. auf Englisch
22.1.2. auf Norwegisch
22.1.3. auf Deutsch
22.1.4. auf Französisch
22.2. Professionelle Unterstützung
23. Neuerungen in Debian Edu Bookworm
23.1. Neuigkeiten für Debian Edu 12 Bookworm
23.1.1. Installationsbezogene Änderungen
23.1.2. Aktualisierte Software
23.1.3. Aktualisierungen von Dokumentation und Übersetzungen
23.1.4. Bekannte Probleme
24. Copyright und Autoren
25. Übersetzungen dieses Dokuments
25.1. Anleitung zum Übersetzen dieses Dokuments
25.1.1. Unter Verwendung von PO-Dateien übersetzen
25.1.2. Online mittels Web-Browser übersetzen
26. Anhang A - The GNU General Public Licence
26.1. Handbuch für Debian Edu 11 Codename Bookworm
26.2. GNU GENERAL PUBLIC LICENSE
26.3. TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION
27. Anhang B - Neuerungen in älteren Veröffentlichungen
27.1. Neuerungen in Debian Edu 11 Codename Bullseye veröffentlicht am 14.08.2021
27.1.1. Installationsbezogene Änderungen
27.1.2. Aktualisierte Software
27.1.3. Aktualisierungen von Dokumentation und Übersetzungen
27.1.4. Andere Änderungen im Vergleich zum vorhergehenden Release
27.2. Historische Informationen zu älteren Veröffentlichungen

1. Handbuch für Debian Edu 12 Codename Bookworm


Übersetzung:
2007 Holger Levsen
2007 Patrick Winnertz
2007, 2009 Ralf Gesellensetter
2007, 2008, 2009 Roland F. Teichert
2007, 2009, 2011, 2014 Jürgen Leibner
2008, 2010 Ludger Sicking
2008 Kai Hatje
2009 Kurt Gramlich
2009 Franziska Teichert
2009 Philipp Hübner
2009, 2010 Andreas Mundt
2012-2022 Wolfgang Schweer
2024 Andreas Hunkeler

Debian Edu Installer Logo

Dies ist das Handbuch für das Release Debian Edu 12 Bookworm.

Die (englischsprachige) Originalversion auf https://wiki.debian.org/DebianEdu/Documentation/Bookworm ist eine Wikiseite, die regelmäßig aktualisiert wird.

Aktualisierte Übersetzungen sind online verfügbar.

2. Über Debian Edu und Skolelinux

Debian Edu alias Skolelinux ist eine Linux-Distribution, die auf Debian basiert und eine Out-of-the-Box-Umgebung eines vollständig konfigurierten Schulnetzwerks bietet. Es implementiert einen Client-Server-Ansatz. Server und Clients sind Softwarebestandteile, die miteinander interagieren. Server stellen Informationen bereit, die von den Clients benötigt werden, um zu funktionieren. Wenn ein Server auf einem Rechner und sein Client auf einem anderen Rechner installiert ist, werden die Rechner selbst in Erweiterung des Begriffs als Server und Client bezeichnet.

Die Kapitel über Hardware- und Netzwerkanforderungen sowie über die Architektur enthalten grundlegende Details zum Systemdesign.

Nach der Installation eines Hauptservers sind alle für ein Schulnetzwerk benötigten Dienste eingerichtet und das System ist sofort einsatzbereit. Lediglich die Benutzer und Maschinen müssen über GOsa², einer komfortablen Webanwendung oder durch einen anderen LDAP-Editor hinzugefügt werden. Eine Netboot-Umgebung unter Verwendung von PXE/iPXE wurde ebenfalls vorbereitet, so dass nach der Erstinstallation des Hauptservers von CD, Blu-ray-Disc oder USB-Stick alle anderen Maschinen über das Netzwerk installiert werden können, einschließlich "Roaming Workstations" (solche, die aus dem Schulnetzwerk herausgenommen werden können, normalerweise Laptops oder Netbooks). Außerdem können Rechner über PXE/iPXE als Diskless Workstations oder Thin Clients gebootet werden.

Mehrere für den Unterricht geeignete Anwendungen wie GeoGebra, Kalzium, KGeography, GNU Solfege und Scratch sind in der Standardversion der graphischen Arbeitsumgebung enthalten, die leicht und fast unbegrenzt durch in Debian verfügbare Pakete erweitert werden kann.

2.1. Einiges zur Entstehungsgeschichte und wieso es zwei Namen gibt

Debian Edu / Skolelinux ist eine Linux-Distribution, die vom Debian Edu-Projekt erstellt wird. Als ein »Debian Pure Blend« ist sie ein offizielles Unterprojekt von Debian.

Skolelinux stellt somit für Ihre Schule eine Version von Debian bereit, die eine gebrauchsfertige Umgebung für ein komplett konfiguriertes Schulnetzwerk bietet.

Das norwegische Skolelinux-Projekt wurde am 2.Juli 2001 gegründet; fast gleichzeitig begann in Frankreich Raphaël Hertzog mit Debian-Edu. Seit 2003 sind beide Projekte vereint, die beiden Namen blieben aber. Die Bezeichnungen »Skole« bzw. (Debian-)»Education« sind in beiden Regionen einfach sehr gut bekannt.

Heute ist das System in mehreren Ländern der Welt im Einsatz.

3. Architektur

3.1. Netzwerk

Dieser Abschnitt des Dokuments erläutert die Netzwerkstruktur und die Serverdienste einer Skolelinux-Installation.

Die Struktur des Debian-Edu-Netzwerks

Die Abbildung skizziert die vorgesehene Netzwerkstruktur. Die Standardeinrichtung eines Skolelinux-Netzwerks setzt genau einen Hauptserver voraus; normale Arbeitsstationen und LTSP-Server (mit ihren zugehörigen Thin Clients und/oder Diskless Workstations) können eingebunden werden. Die Anzahl der Arbeitsstationen kann so groß oder klein sein, wie gewünscht: von keiner bis zu vielen. Gleiches gilt für LTSP-Server, die ihre Thin Clients jeweils auf einem separaten Netzwerk bedienen, so dass der Netzwerkverkehr zwischen den Clients und ihrem LTSP-Server den Rest der Netzwerkdienste nicht stört. Detaillierte Informationen zu LTSP gibt es im entsprechenden Handbuchkapitel.

Der Grund für nur einen Hauptserver in jedem Schulnetzwerk ist, dass der Hauptserver DHCP anbietet. Dies kann immer nur eine Maschine in einem Netzwerk machen. Es ist möglich, Dienste des Hauptservers auf andere Maschinen auszulagern, indem diese Dienste dort aufsetzt werden und die DNS-Konfiguration auf dem Hauptserver so abgeändert wird, dass der DNS-Alias für die geänderten Dienste auf die richtige Maschine zeigt.

Um die Standardinstallation von Skolelinux einfach zu halten, läuft die Internetverbindung über einen separaten Router, auch Gateway genannt. Das Kapitel Internet-Router enthält Informationen, wie ein solches Gateway aufgesetzt werden kann, wenn ein vorhandener Router keine entsprechende Konfiguration erlaubt.

3.1.1. Die Standard-Einrichtung des Netzwerks

Der DHCP-Server auf dem Hauptserver (»tjener«) bedient das Netzwerk 10.0.0.0/8; er stellt für das Booten ein PXE-Menü bereit, aus dem ausgewählt werden kann, ob ein neuer Server oder Arbeitsplatzrechner installiert, der Rechner als Thin Client bzw. als Diskless Workstation gestartet, ein Speichertest (Memtest) ausgeführt oder von der lokalen Festplatte gestartet werden soll.

Dies lässt sich ändern; Einzelheiten dazu gibt es im entsprechenden HowTo-Kapitel.

Auf den LTSP-Servern bedient der DHCP-Server auf der zweiten Netzwerkkarte ein dediziertes Netzwerk (192.168.0.0/24 und 192.168.1.0/24 sind vorkonfigurierte Optionen); der Dienst sollte nur selten geändert werden müssen.

Die Konfiguration aller Subnetze ist in LDAP gespeichert.

3.1.2. Hauptserver

Ein Skolelinux-Netzwerk benötigt einen Hauptserver (Rechnername »tjener«, was norwegisch ist und »Server« heißt). Dieser hat die vorgegebene IP-Adresse 10.0.2.2 und wird durch Auswahl des Hauptserver-Profils installiert. Es ist möglich (aber nicht notwendig), die Profile des LTSP-Servers und die des Arbeitplatzrechners ergänzend zum Hauptserver-Profil zu installieren.

3.1.3. Dienste des Hauptservers

Abgesehen von der Versorgung der Thin Clients werden alle Netzwerkdienste von einem zentralen Computer (dem Hauptserver) bereitgestellt. Es ist möglich, das LTSP-Server-Profil ebenfalls auf dem Hauptserver zu installieren (Kombiserver), wovon aber aus Performanzgründen abzuraten ist. Den unterschiedlichen Diensten wird ein festgelegter DNS-Name zugewiesen (IPv4). Dadurch lassen sich einzelne Dienste leicht auf dedizierte Server auslagern: Nachdem der Dienst auf einem anderen Server installiert wurde, wird dieser auf dem Hauptserver abgeschaltet und die DNS-Konfiguration entsprechend angepasst.

Aus Sicherheitsgründen werden Passwörter stets verschlüsselt übertragen, so dass keine Klartextpasswörter über das Netzwerk gesendet werden.

Es folgt eine Liste von Diensten, die voreingestellt in einem Skolelinux-Netzwerk eingerichtet werden. Soweit möglich entspricht der DNS-Name dem Dienstnamen in /etc/services, sonst wurde die allgemeine Bezeichnung des Dienstes als DNS-Name verwendet. Alle Konfigurationsdateien verwenden möglichst den DNS-Namen (ohne Domäne), um die Änderung von IP-Bereichen oder Domänennamen zu erleichtern.

Tabelle der Dienste

Beschreibung des Dienstes

Üblicher Name

DNS-Name des Dienstes

Zentralisierte Systemprotokollierung

rsyslog

syslog

Domain-Name-System

DNS (BIND)

domain

Automatische Netzwerkkonfiguration von Maschinen

DHCP

bootps

Synchronisation der Systemzeit

NTP

ntp

Home-Verzeichnisse über Netzwerk-Dateisysteme

SMB / NFS

homes

Elektronisches Postamt

IMAP (Dovecot)

postoffice

Verzeichnisdienst

OpenLDAP

ldap

Benutzerverwaltung

GOsa²

---

Web-Server

Apache/PHP

www

Zentrale Datensicherung

sl-backup, slbackup-php

backup

Web-Zwischenspeicher

Proxy (Squid)

webcache

Drucken

CUPS

ipp

Sicherer Fernzugriff

OpenSSH

ssh

Automatische Konfiguration

CFEngine

cfengine

LTSP-Server

LTSP

ltsp

Rechner- und Dienstüberwachung mit Fehlermeldungen, sowie Status und Verlauf (Web-Schnittstelle). Benachrichtigung per E-Mail im Fehlerfall

Munin, Icinga und Sitesummary

sitesummary

Die persönlichen Dateien eines jeden Nutzers werden im (vom Server bereitgestellten) Home-Verzeichnis gespeichert. Home-Verzeichnisse sind von jedem Rechner aus verfügbar - unabhängig vom Arbeitsplatz, an dem der Nutzer gerade sitzt. Der Server ist betriebssystemunabhängig, der Zugang wird über NFS für Unix-Clients und über SMB2/SMB3 für andere Clients bereitgestellt.

Das E-Mail-System ist nur zur lokalen Auslieferung vorkonfiguriert (d.h. innerhalb der Schule). Die E-Mail-Zustellung kann aber, sofern die Schule einen festen Internetzugang hat, so konfiguriert werden, dass E-Mails auch in das Internet ausgeliefert werden. Alle Clients sind so konfiguriert, dass sie ihre E-Mails an den Server (als »Smarthost«) senden. Benutzer können auf ihre persönlichen E-Mails mittels IMAP zugreifen.

Alle Dienste können mit einheitlichen Zugangsdaten (Anmeldename/Kennwort) genutzt werden, da es eine zentrale Datenbank für Authentifizierung und Autorisierung gibt.

Um die Leistung bei häufig aufgerufenen Web-Seiten zu steigern, wird ein lokaler Proxy-Server (Squid) benutzt. Angefragte Web-Seiten werden für den wiederholten Zugriff gespeichert. In Verbindung mit der Sperrung des Netzwerkverkehrs durch den Router ermöglicht dies auch die Kontrolle über den Internetzugriff einzelner Maschinen.

Die Netzwerkeinrichtung der Client-Rechner erfolgt automatisch mittels DHCP. Alle Client-Typen können mit dem privaten Subnetz 10.0.0.0/8 verbunden werden und bekommen entsprechende IP-Adressen zugeteilt; LTSP-Clients sollten mit dem zugehörigen LTSP-Server über das entsprechende separate Subnetz 192.168.0.0/24 verbunden werden (damit der Netzwerkverkehr der LTSP-Clients nicht den Rest der Netzwerkdienste stört).

Das zentrale Protokollieren von Systemnachrichten ist so konfiguriert, dass alle Maschinen ihre Syslog-Meldungen zum Server übertragen. Der Syslog-Dienst akzeptiert ausschließlich aus dem lokalen Netzwerk eingehende Nachrichten.

Der DNS-Server ist voreingestellt mit einer Domain für nur interne Benutzung konfiguriert (*.intern), bis eine richtige (»externe«) DNS-Domain konfiguriert werden kann. Der DNS-Server ist als zwischenspeichernder DNS-Server konfiguriert, so dass alle Maschinen des Netzwerks ihn als Haupt-DNS-Server benutzen können.

Schüler und Lehrer können eigene Webseiten veröffentlichen. Der Webserver bietet Mechanismen zur Authentifizierung von Benutzern und der Einschränkung des Zugriffs auf individuelle Seiten und Unterverzeichnisse für bestimmte Benutzer und Gruppen. Serverseitig steht der Erstellung dynamischer Webseiten nichts im Wege.

Informationen über Benutzer und Maschinen können an zentraler Stelle geändert werden und sind automatisch von allen Maschinen abrufbar. Um dies zu erreichen, ist ein zentraler Verzeichnisserver eingerichtet, der Informationen über Benutzer, Benutzergruppen, Maschinen und »Netgroups« bereitstellt. Um eine Verwirrung des Benutzers zu vermeiden, wird kein Unterschied zwischen Dateigruppen und »Netgroups« gemacht. Da Gruppen von Maschinen die gleichen »Netgroups« teilen müssen, impliziert dies, dass sie den gleichen Namensraum wie Benutzergruppen und Mailinglisten haben.

Die Verwaltung von Diensten und Benutzern wird überwiegend webbasiert durchgeführt und folgt dabei etablierten Standards, die mit den in Skolelinux enthaltenen Webbrowsern gut funktionieren. Die Übertragung von bestimmten Aufgaben an individuelle Benutzer oder Benutzergruppen wird vom Verwaltungssystem ermöglicht.

Um bestimmte Probleme mit NFS zu vermeiden und um die Fehlersuche zu vereinfachen, muss die Zeit der verschiedenen Maschinen im Netzwerk synchronisiert werden. Um dies zu gewährleisten, ist der Skolelinux-Server als ein lokaler Netzwerk-Zeitserver (NTP) eingerichtet und alle Arbeitsstationen und Clients sind so konfiguriert, dass sie ihre Uhr mit der des Servers abgleichen. Der Server selbst sollte sich mit NTP über das Internet gegen Zeitserver höherer Ordnung synchronisieren, um sicherzustellen, dass das ganze Netzwerk die korrekte Zeit hat.

Drucker können entweder an das Hauptnetzwerk, an den Server, eine Workstation oder einen LTSP-Server angeschlossen werden. Zugriff auf Drucker kann für bestimmte Benutzer entsprechend ihrer Gruppenzugehörigkeit kontrolliert werden. Dies wird durch die Benutzung von Mengenbegrenzungen und Zugriffskontrolllisten für Drucker erreicht.

3.1.4. LTSP-Server

In einem Skolelinux-Netzwerk kann es mehrere LTSP-Server geben; die Installation erfolgt durch Auswahl des Profils »LTSP-Server«.

Der LTSP-Server ist so konfiguriert, dass er die Systemmeldungen (Syslog) der Thin Clients empfängt und an den zentralen Systemprotokollierungsdienst des Hauptservers weiterleitet.

Bitte beachten:

  • Diskless Workstations benutzen die auf dem Server installierten Programme.

  • Das Root-Dateisystem des Clients wird mittels NFS bereitgestellt. Nach jeder Veränderung des LTSP-Servers muss das entsprechende Image neu generiert werden; führen Sie dazu debian-edu-ltsp-install --diskless_workstation yes auf dem LTSP-Server aus.

3.1.5. Thin Clients

Durch Einrichtung als Thin Client kann ein gewöhnlicher Rechner als (X-)Terminal eingesetzt werden. Das heißt, dass diese Maschine via PXE direkt vom Server startet, ohne die lokale Festplatte zu benutzen. Die Einrichtung der Thin Clients verwendet nun X2Go, da LTSP die Unterstützung eingestellt hat.

Thin Clients sind ein guter Weg, um sehr alte (hauptsächlich 32-Bit-) Rechner zu verwenden, da alle Programme effektiv auf dem LTSP-Server ausgeführt werden. Dies funktioniert folgendermaßen: Der Dienst benutzt DHCP und TFTP, um dem Client zu ermöglichen, sich mit dem Netzwerk zu verbinden und davon zu starten. Als nächstes wird das Dateisystem mittels NFS vom LTSP-Server eingehängt, und letztlich wird der X2Go-Client gestartet.

3.1.6. Diskless Workstations

Bei einer Diskless Workstation läuft alle Software auf dem Rechner; ein lokal installiertes Betriebssystem ist nicht notwendig. Das heißt, der Rechner startet mittels PXE, ohne auf der lokalen Festplatte installierte Software auszuführen.

Eine Diskless Workstation ermöglicht es, leistungsfähige Hardware mit ebenso niedrigem Wartungsaufwand wie bei Thin Clients einzusetzen. Die Software wird auf dem Server administriert und gewartet, ohne dass sie auf den Clients installiert werden muss. Ebenso werden Home-Verzeichnisse und Systemeinstellungen auf dem Server bereitgehalten.

3.1.7. Netzwerk-Clients

Mit dem Ausdruck »Netzwerk-Clients« werden in dieser Anleitung Thin Clients und Diskless Workstations bezeichnet; gleiches gilt für Computer, die macOS oder Windows verwenden.

3.2. Administration

Alle Linux-Rechner, die mittels Skolelinux-Installer installiert wurden, können von einem zentralen Computer, üblicherweise dem Hauptserver, verwaltet werden. Per SSH ist es möglich, sich auf allen Rechnern anzumelden und damit vollen Zugriff auf die Maschinen zu bekommen. Der Benutzer »root« muss vorher kinit ausführen, um ein Kerberos TGT zu erhalten.

Alle Benutzerinformationen werden in einem LDAP-Verzeichnis gespeichert. Aktualisierungen von Benutzerkonten werden in dieser Datenbank durchgeführt, die auch von den Clients zur Authentifizierung der Benutzer verwendet wird.

3.2.1. Installation

Gegenwärtig gibt es zwei Arten von Installationsmedien: »netinst« und »BD«. Beide können auch von einem USB-Stick gebootet werden.

Die Idee ist, einmalig einen Server von irgendeiner Art von Medium und danach alle anderen Clients über das Netzwerk via PXE-Boot installieren zu können.

Nur die Netzwerk-Installer-CD benötigt während der Installation Internetzugang.

Die Installation sollte keine Fragen mit Ausnahme von gewünschter Sprache, Standort, Tastaturlayout und Maschinenprofil (Hauptserver, Arbeitsplatzrechner, LTSP-Server) stellen. Alle anderen Einstellungen werden automatisch mit vernünftigen Werten versehen, die vom Systemadministrator von einer zentralen Stelle aus nach der Installation geändert werden können.

3.2.2. Konfiguration der Zugriffsrechte auf das Dateisystem

Jedem Skolelinux-Benutzerkonto ist ein Teil des Dateisystems auf dem Server zugeordnet. Dieser Bereich (Home-Verzeichnis) beinhaltet die individuelle Konfiguration, Dokumente, E-Mails und Webseiten des Benutzers. Etliche der Dateien sollten mit Lesezugriff für andere System-Benutzer ausgestattet sein, einige sollten im Internet für jedermann lesbar und manche ausschließlich dem Benutzer selbst zugänglich sein.

Um sicherzustellen, dass die Benennung aller Festplatten für Home-Verzeichnisse oder gemeinsame Verzeichnisse auf allen installierten Computern einheitlich erfolgt, können die Platten unter /skole/host/VERZEICHNIS/ eingehängt werden. Zu Beginn wird auf dem Hauptserver nur das Verzeichnis /skole/tjener/home0/ erstellt, in dem alle Home-Verzeichnisse angelegt werden. Weitere Verzeichnisse können bei Bedarf erstellt werden, um bestimmte Benutzergruppen oder Nutzungsmuster abzubilden.

Um den gemeinsamen Zugriff auf Dateien unter Verwendung der normalen UNIX-Berechtigungen zu realisieren, müssen Benutzer zusätzlichen Gruppen (wie »students«) sowie der primären persönlichen Gruppe (per Voreinstellung vorhanden) angehören. Benutzer müssen eine umask von 002 oder 007 haben, um neu erstellten Objekten Gruppenzugriff zu ermöglichen und die betreffenden Verzeichnisse müssen mittels »setgid« so mit Rechten versehen sein, dass Dateien die richtigen Gruppenrechte erben. Unter diesen Bedingungen ist ein kontrollierter gemeinsamer Dateizugriff unter den Mitgliedern einer Gruppe möglich.

Die anfängliche Einstellung der Zugriffsrechte für neu erstellte Dateien ist eine Frage der zugrundeliegenden Philosophie. Debian verwendet die umask 022 als Voreinstellung; damit ist der oben beschriebene Gruppenzugriff nicht möglich. Debian Edu benutzt als Voreinstellung 002 - was Lesezugriff für alle Benutzer auf neu erstellte Dateien bedeutet, der später explizit durch den Benutzer entfernt werden kann. Alternativ kann die umask von 002 durch Editieren der Datei /etc/pam.d/common-session in 007 geändert werden - damit ist der Lesezugriff zunächst nicht erlaubt und müsste durch den Benutzer später ausdrücklich gesetzt werden. Der erste Ansatz fördert das Teilen von Wissen und macht das System transparenter, wohingegen die zweite Methode das Risiko ungewünschter Verbreitung privater Inhalte senkt. Das Problem mit der ersten Lösung ist, dass es für die Benutzer nicht ersichtlich ist, dass das von ihnen erstellte Material von allen anderen Benutzern lesbar ist. Dies ist nur durch die Untersuchung der Home-Verzeichnisse erkennbar, wo ersichtlich ist, dass die Dateien lesbar sind. Das Problem mit der zweiten Lösung besteht darin, dass wahrscheinlich wenig Leute ihre Dateien lesbar machen möchten, selbst wenn sie keine sensiblen Informationen enthalten, der Inhalt aber hilfreich für neugierige Benutzer sein könnte, die lernen wollen, wie andere Benutzer bestimmte Probleme gelöst haben (typischerweise Konfigurationseinstellungen).

4. Voraussetzungen

Es gibt verschiedene Möglichkeiten, eine Skolelinux-Lösung einzurichten. Skolelinux kann einfach auf einem einzelnen PC oder für eine ganze Region mit vielen Schulen (bei zentralisierter Verwaltung) installiert werden. Diese Flexibilität hat große Unterschiede bezüglich der Konfiguration von Netzwerkkomponenten, Servern und Client-Rechnern zur Folge.

4.1. Hardwareanforderungen

Die Bedeutung der verschiedenen Profile wird im Kapitel Netzwerk-Architektur erläutert.

Falls LTSP zum Einsatz kommen soll, finden Sie auf der (englischsprachigen) LTSP Hardware Requirements wiki page weitere Informationen.

  • Rechner, auf denen Debian Edu / Skolelinux installiert werden soll, müssen entweder 32-Bit (Debian-Architektur 'i386', 686-Prozessoren als älteste) oder 64-Bit (Debian-Architektur 'amd64') x86-Prozessoren haben.

  • Thin Clients mit nur 256 MiB RAM und 400 MHz sind möglich, es werden aber mehr RAM und schnellere Prozessoren empfohlen.

  • Für Arbeitsplatzrechner, Diskless Workstations und Einzelplatzrechner sind mindestens 1500 Mhz und 1024 MiB RAM das absolute Minimum. Um moderne Webbrowser und LibreOffice nutzen zu können, werden mindestens 2048 MiB RAM empfohlen.

  • Die Minimalanforderung für den Plattenplatz hängt vom installierten Profil ab:

    • combined main server + LTSP server + workstation (if a GUI on the server is desired): 60 GiB (plus additional space for user accounts).

    • LTSP-Server: 40 GiB.

    • Arbeitsplatzrechner oder Einzelplatzrechner: 30 GiB.

    • Minimale netzwerkbasierte Maschine Installation: 4 GiB.

  • LTSP-Server benötigen zwei Netzwerkkarten, wenn sie die Standard-Netzwerkarchitektur nutzen sollen:

    • eth0 ist verbunden mit dem Hauptnetzwerk (10.0.0.0/8),

    • eth1 wird für LTSP-Clients verwendet.

  • Laptops sind mobile Arbeitsplatzrechner; es gelten daher dieselben Anforderungen wie für Arbeitsplatzrechner.

4.2. Getestete Hardware

Eine Liste getesteter Hardware erhalten Sie unter https://wiki.debian.org/DebianEdu/Hardware/. Diese Liste ist aber nicht einmal annähernd vollständig.

https://wiki.debian.org/InstallingDebianOn stellt einen Versuch dar, die Installation, Konfiguration und Benutzung von Debian auf spezieller Hardware zu dokumentieren. Potentielle Käufer oder Eigentümer dieser Hardware können sich ein Bild von eventuell auftretenden Problemen oder besonderer Konfiguration machen.

5. Voraussetzungen für die Einrichtung des Netzwerks

5.1. Standardinstallation

Die folgenden Regeln gelten, solange die Standard-Netzwerkarchitektur verwendet wird:

  • Sie benötigen genau einen Hauptserver.

  • Sie können hunderte von Arbeitsplatzrechnern im Hauptnetzwerk einsetzen.

  • Sie können viele LTSP-Server im Hauptnetzwerk haben. In LDAP sind zwei verschiedene Subnetze vorkonfiguriert (DNS, DHCP), weitere können hinzugefügt werden.

  • Sie können hunderte von Thin Clients und/oder Diskless Workstations in jedem LTSP-Netzwerk verwenden.

  • Sie können mehrere Hundert weitere Rechner verwenden; diese bekommen ihre IP-Adresse dynamisch zugewiesen.

  • Um den Zugang zum Internet zu ermöglichen, benötigen Sie einen Router/Gateway (siehe unten).

5.2. Router (Internet)

Um Internetzugang zu haben, wird ein Router/Gateway benötigt, welcher über die externe Schnittstelle mit dem Internet verbunden ist und auf der internen Schnittstelle die IP-Adresse 10.0.0.1 sowie die Netzmaske 255.0.0.0 hat.

Auf dem Router sollte kein DHCP-Server laufen; ein DNS-Server kann laufen, ist aber nicht notwendig und wird auch nicht benutzt.

In case you do not already have a router or your existing router cannot be set up accordingly, any machine which fulfills the requirements for a minimal Debian installation and which has at least two network interfaces can be turned into a gateway between the existing network and the Debian Edu one. See installation documentation for a simple way to install and set up a Debian machine using debian-edu-router-config.

Für Hardwarerouter und Accesspoints kann OpenWRT benutzt werden, wobei Sie natürlich auch die Originalfirmware verwenden können. Das ist einfacher, allerdings haben Sie mit OpenWRT mehr Auswahlmöglichkeiten und Kontrolle. Eine Liste unterstützter Hardware finden Sie auf der Hardware-Seite von OpenWRT.

Es ist möglich, eine abweichende Netzwerk-Struktur zu verwenden. Wie das geht, ist hier dokumentiert. Wenn Sie dazu jedoch nicht aufgrund einer existierenden Netzwerk-Infrastruktur gezwungen sind, ist die Nutzung der Standard-Netzwerkarchitektur zu empfehlen.

6. Installation und Optionen für das Herunterladen

6.1. Hinweise auf weitere Informationsquellen

Es wird empfohlen, die Veröffentlichungshinweise für Debian Bookworm vor einer Installation zu lesen - oder zumindest einen Blick darauf zu werfen, bevor Sie ein Produktivsystem installieren. Weitere Informationen über Debian Bookworm enthält die Installationsanleitung.

Bitte probieren Sie Debian Edu / Skolelinux aus, es sollte einfach funktionieren.

Es wird allerdings empfohlen, die Kapitel über Hardware- und Netzwerkanforderungen sowie über die Architektur zu lesen, bevor die Installation eines Hauptrechners begonnen wird.

Bitte unbedingt in diesem Handbuch das Kapitel Erste Schritte lesen, da dort erklärt wird, wie die erste Anmeldung funktioniert.

6.2. Herunterladen des Installationsmediums für Debian Edu 12, Codename Bookworm

6.2.1. amd64 oder i386

amd64 und i386 sind die Namen von zwei Debian-Architekturen für x86-CPUs, beide stammen oder stammten von AMD, Intel und anderen Herstellern. amd64 ist eine 64-Bit-Architektur und i386 ist eine 32-Bit-Architektur. Neue Installationen sollten heutzutage amd64 verwenden. i386 sollte nur auf sehr alter Hardware eingesetzt werden.

6.2.2. Netzwerk-Installer-Images für amd64 oder i386

Das Netzwerk-Installer-Image kann für die Installation mittels CD/DVD und USB-Stick benutzt werden, es ist für zwei Debian-Architekturen verfügbar: i386- bzw. amd64. Wie der Name schon sagt, ist für die Installation eine Internetverbindung notwendig.

Nach der Veröffentlichung von Bookworm werden diese Images hier zum Download zur Verfügung stehen:

6.2.3. BD-ISO-Images für amd64 oder i386

These ISO image are approximately 7.5 GB large and can be used for installation of amd64 or i386 machines, also without access to the Internet. Like the netinst image it can be used on USB flash drives or disk media of sufficient size.

Nach der Veröffentlichung von Bookworm werden diese Images hier zum Download zur Verfügung stehen:

6.2.4. Überprüfung heruntergeladener Image-Dateien

Eine detaillierte Anleitung für das Überprüfen und die Verwendung dieser Images ist Teil der Debian-CD FAQ.

6.2.5. Quellen

Sources gibt es im Debian-Depot an den üblichen Orten, mehrere Medien sind hier verlinkt: https://get.debian.org/cdimage/release/current/source/

6.3. Die Installation von Debian Edu

Wenn Sie eine Debian-Edu-Installation durchführen, haben Sie ein paar Optionen zur Auswahl. Haben Sie keine Angst, es sind nicht viele. Wir haben gute Arbeit geleistet, um die Komplexität von Debian während der Installation und darüber hinaus zu verstecken. Aber Debian Edu ist Debian, und wenn Sie wollen, können Sie aus mehr als 59.000 Paketen und einer Milliarde Konfigurationsmöglichkeiten wählen. Für die Mehrheit unserer Benutzer sollten unsere Standardeinstellungen ausreichen. Bitte beachten Sie: Wenn LTSP verwendet werden soll, wählen Sie eine leichtgewichtige Desktop-Umgebung.

6.3.1. Szenarien der Installation eines Hauptservers

  1. Typisches Schul- oder Heimnetzwerk mit Internet-Zugang per Router (mit DHCP):

    • Die Installation eines Hauptservers ist möglich, aber nach dem Neustart fehlt die Internet-Verbindung (wegen der IP-Adresse 10.0.2.2/8 für die erste Netzwerkschnittstelle).

    • Das Kapitel Internet-Router enthält Informationen, wie ein solches Gateway aufgesetzt werden kann, wenn ein vorhandener Router keine entsprechende Konfiguration erlaubt.

    • Verbinden Sie alle Komponenten so, wie es dem Kapitel Netzwerk-Architektur zu entnehmen ist.

    • The main server should have Internet connection once booted the first time in the correct environment.

  2. Typisches Netzwerk einer Schule oder Institution (ähnlich wie oben, aber mit dem Zwang, einen Proxy verwenden zu müssen).

    • Den Eintrag 'debian-edu-expert' zur Kernel-Befehlszeile hinzufügen; weiter unten wird erklärt, wie die Bearbeitung vorgenommen wird.

    • Einige zusätzliche Fragen sind zu beantworten, darunter die nach dem Proxy-Server.

  3. Netzwerk mit Router/Gateway-IP-Adresse 10.0.0.1/8 (ohne DHCP-Server) und Internet-Verbindung:

    • Nach dem Scheitern der automatischen Einrichtung des Netzwerks (wegen fehlendem DHCP) manuelle Konfiguration auswählen.

      • Als IP-Adresse 10.0.2.2/8 eingeben

      • Als Gateway-IP-Adresse 10.0.0.1 eingeben

      • Als Nameserver-IP-Adresse 8.8.8.8 eingeben (oder eine bekannte andere)

    • Der Hauptserver sollte nach dem ersten Start funktionieren.

  4. Offline (keine Internet-Verbindung):

    • Das BD-ISO-Image verwenden.

    • Sicherstellen, dass alle (realen/virtuellen) Netzwerkverbindungen gekappt sind.

    • »Netzwerk unkonfiguriert lassen« auswählen (nachdem die automatische Konfiguration gescheitert ist und »Weiter« gewählt wurde).

    • Das System aktualisieren, sobald dieses erstmalig in der richtigen Umgebung mit Internet-Zugang gestartet wurde.

6.3.2. Arbeitsumgebungen

Es stehen mehrere Arbeitsumgebungen zur Verfügung:

  • Xfce hat einen etwas höheren Ressourcenbedarf als LXDE, aber eine sehr gute Sprachunterstützung (106 Sprachen).

  • KDE und GNOME bieten jeweils eine gute Unterstützung für viele Sprachen, haben aber für ältere Computer und für LTSP-Clients zu hohe Leistungsanforderungen.

  • Cinnamon ist eine leichtgewichtige Alternative zu GNOME.

  • MATE ist schlanker als die drei oben genannten, aber es fehlt eine gute Sprachunterstützung für mehrere Länder.

  • LXDE hat den geringsten Ressourcenbedarf und unterstützt 35 Sprachen.

  • LXQt ist eine leichtgewichtige Arbeitsumgebung (Sprachunterstützung ähnlich wie LXDE) mit einem moderneren Look and Feel (basierend auf Qt, genau wie KDE).

Als internationales Projekt hat sich Debian Edu für die Arbeitsumgebung Xfce als Standard entschieden; die Wahl einer Alternative wird weiter unten beschrieben.

6.3.3. Modulare Installation

  • Wenn die Installation eines Systems (auch) das Profil Arbeitsplatzrechner enthält, dann werden sehr viele bildungsbezogene Progamme installiert. Um nur das Basissystem zu installieren, muss der Kernel-Befehlszeilen-Parameter desktop=xxxx vor dem Start der Installation entfernt werden; weiter unten ist beschrieben, wie dies gemacht wird. Auf diese Weise lässt sich ein an die örtlchen Gegebenheiten angepasstes System installieren und auch eine Testinstallation kann so deutlich beschleunigt werden.

  • Bitte beachten: Falls anschließend eine Arbeitsumgebung installiert werden soll, dann verwenden Sie nicht die Debian-Edu-Metapakete wie z. B. education-desktop-mate (dies würde alle bildungsbezogenen Pakete mitinstallieren), sondern z. B. das Metapaket task-xfce-desktop. Eines (oder mehrere) der schulstufenbezogenen Metapakete education-preschool, education-primaryschool, education-secondaryschool, education-highschool könnten passend zum Verwendungszweck installiert werden.

  • Auf der (englischsprachigen) Seite Debian Edu packages overview gibt es Informationen zu den Debian-Edu-Metapaketen.

6.3.4. Installationsarten und Optionen

Startmenü des Installers auf 64-Bit-Hardware - BIOS-Modus

64-Bit Installer-Boot-Menü (BIOS-Modus)

Graphical install benutzt das graphische Installationsprogramm mit Maus.

Install verwendet den Textmodus.

Advanced options > zeigt ein Untermenü mit weiteren Optionen.

Help zeigt einige Hinweise für die Benutzung des Installationsprogrammes; siehe Screenshot weiter unten.

64-bit Installer advanced options

Back.. führt zum Hauptmenü zurück.

Graphical expert install zeigt alle verfügbaren Fragen; Maus ist benutzbar.

Graphical rescue mode verwendet dieses Installationsmedium als Rettungswerkzeug für Notfälle.

Graphical automated install benötigt eine Preseed-Datei.

Expert install zeigt alle verfügbaren Fragen für den Textmodus an.

Rescue mode Textmodus; verwendet dieses Installationsmedium als Rettungswerkzeug für Notfälle.

Automated install Textmodus; benötigt eine Preseed-Datei.

Verwenden Sie weder Graphical expert install noch Expert install, sondern verwenden Sie in Ausnahmefällen debian-edu-expert als zusätzlichen Kernelparameter.

Help screen

Installer help screen

Diese Hilfeseite ist selbsterklärend; mittels der <F>-Tasten können Sie weitergehende Informationen zu den angegebenen Themen bekommen.

Startmenü des Installers auf 64-Bit-Hardware - UEFI-Modus

64-Bit Installer-Boot-Menu (UEFI-Modus)

Boot-Parameter für die Installation ändern oder hinzufügen

In beiden Fällen können die Boot-Optionen nach Drücken der TAB- oder E-Taste im Boot-Menü bearbeitet werden;. Die Screenshots zeigen die Befehlszeile für den Typ Graphical install.

Optionen der Befehlszeile im BIOS-Modus bearbeiten

Optionen der Befehlszeile im UEFI-Modus bearbeiten

  • Sie können einen vorhandenen HTTP-Proxy-Dienst im Netzwerk verwenden, um die Installation des Hauptserver-Profils von CD zu beschleunigen. Fügen Sie z. B. mirror/http/proxy=http://10.0.2.2:3128 als zusätzlichen Boot-Parameter hinzu.

  • Wenn Sie bereits das »Hauptserver«-Profil auf einer Maschine installiert haben, sollten weitere Installationen mittels PXE erfolgen, da dann automatisch der Proxy des Hauptservers benutzt wird.

  • Um die GNOME-Arbeitsumgebung anstatt der standardmäßigen Xfce--Arbeitsumgebung zu installieren, ersetzen Sie xfce durch gnome in desktop=xfce.

  • Um alternativ die LXDE-Arbeitsumgebung zu installieren, verwenden Sie desktop=lxde.

  • Um alternativ die LXQt-Arbeitsumgebung zu installieren, verwenden Sie desktop=lxqt.

  • Um alternativ die KDE Plasma-Arbeitsumgebung zu installieren, verwenden Sie desktop=kde.

  • Um alternativ die Cinnamon-Arbeitsumgebung zu installieren, verwenden Sie desktop=cinnamon.

  • Und um alternativ die MATE-Arbeitsumgebung zu installieren, verwenden Sie desktop=mate.

6.3.5. Der Installationsprozess

Denken Sie an die Systemvoraussetzungen und stellen Sie sicher, dass mindestens zwei Netzwerkkarten vorhanden sind, wenn Sie einen LTSP-Server einrichten wollen.

  • Wählen Sie eine Sprache (sowohl für die Installation als auch für das zu installierende System).

  • Wählen Sie ein Land, welches im Regelfall dasjenige ist, in dem Sie leben.

  • Wählen Sie eine Tastaturbelegung (üblicherweise ist die jeweilige Ländereinstellung das Beste).

  • Wählen Sie ein Profil (oder mehrere) von dieser Liste:

    • Hauptserver

      • Dies ist der Hauptserver (»tjener«) für Ihre Schule, bei dem alle Dienste vorkonfiguriert sind, damit diese sofort funktionieren. Sie dürfen nur einen Hauptserver pro Schule einrichten! Das Profil enthält keine graphische Arbeitsumgebung. Um letztere zu erhalten, wählen Sie zusätzlich »Arbeitsplatzrechner« oder »LTSP-Server«.

    • Arbeitsplatzrechner

      • Ein Computer, der von seiner eigenen lokalen Festplatte bootet, und bei dem alle Programme und Geräte lokal laufen, wie bei einem gewöhnlichen Computer. Nur die Benutzeranmeldung erfolgt am Hauptserver, wo die Nutzerdaten und das Arbeitsflächenprofil gespeichert sind.

    • Mobiler Arbeitsplatzrechner

      • Wie Arbeitsplatzrechner, aber mit der Fähigkeit, die Authentifizierung mittels gespeicherter Zugangsdaten vorzunehmen - somit auch außerhalb des Schulnetzwerks verwendbar. Benutzerdaten und Profile werden lokal gespeichert. Für Netbooks und Laptops von Einzelbenutzern sollte dieses Profil anstelle der früher empfohlenen Profile »Arbeitsplatzrechner« oder »Einzelplatzrechner« gewählt werden.

    • LTSP-Server

      • Ein Server für Thin Clients (und Diskless Workstations) wird LTSP-Server genannt. Rechner ohne Festplatte erhalten die Software zum Booten und ihre Programme von diesem Server. Der LTSP-Server benötigt zwei Netzwerkkarten, viel Speicher und idealerweise mehr als einen Prozessor oder Prozessorkern. Schauen Sie sich für mehr Informationen das Kapitel über Netzwerkrechner an. Die Auswahl dieses Profils aktiviert auch das Arbeitsplatzrechner-Profil (auch wenn dieses nicht explizit ausgewählt wird). Ein LTSP-Server kann immer auch als Arbeitsplatzrechner verwendet werden.

    • Einzelplatzrechner

      • Ein gewöhnlicher Computer, der ohne einen Hauptserver funktioniert, insbesondere nicht in ein Netzwerk eingebunden sein muss, Laptops eingeschlossen.

    • Minimal

      • Dieses Profil installiert die Basispakete und konfiguriert den Rechner so, dass er in das Debian-Edu-Netzwerk integriert werden kann, aber ohne jegliche Dienste und Anwendungen. Es ist nützlich als Plattform für einzelne Dienste, die manuell vom Hauptserver ausgelagert werden.

        Damit auch normale Benutzer ein solches System nutzen können, muss es mit GOsa² (ähnlich wie eine Workstation) hinzugefügt und das Paket libpam-krb5 installiert werden.

    Die Profile Hauptserver, Arbeitsplatzrechner und LTSP-Server sind die Voreinstellung. Diese Profile können gleichzeitig auf einer Maschine installiert werden, wenn Sie einen sogenannten Kombiserver haben wollen. Damit ist der Hauptserver gleichzeitig ein LTSP-Server und kann auch als Arbeitsplatzrechner eingesetzt werden. Dies ist die Voreinstellung, da anzunehmen ist, dass dies in der Regel erwünscht ist. Bitte beachten: Eine Maschine, die als »Kombiserver« oder als »LTSP-Server« dienen soll, muss zwei Netzwerkkarten haben, damit sie dem Zweck entsprechend genutzt werden kann.

  • Bitte »ja« oder »nein« zur automatischen Partitionierung sagen. Beachten Sie, dass Ihre Zustimmung (»ja«) alle Daten auf den Festplatten zerstört! Andererseits erfordert die Ablehnung (»nein«) mehr Arbeit, da Sie alle Partitionen selbst anlegen und dabei auf ausreichende Größe achten müssen.

  • Bitte gestatten Sie die Übertragung von Informationen an https://popcon.debian.org/, damit festgestellt werden kann, welche Pakete populär sind und auch in Zukunft bereitgestellt werden sollten. Damit können Sie auf einfache Art helfen.

  • Warten Sie. Wenn sich das Profil »LTSP-Server« unter den gewählten Profilen befindet, wird das Installationsprogramm am Ende einige Zeit für den Schritt »Beende die Installation - Führe debian-edu-profile-udeb aus ...« benötigen.

  • Nach Eingabe des Passwortes für »root« werden Sie aufgefordert, ein normales Benutzerkonto für nichtadministrative Aufgaben einzurichten. Für Debian Edu ist dieses Konto sehr wichtig: Mit diesem Konto werden Sie das Skolelinux-Netzwerk verwalten.

    Das Passwort dieses Benutzers muss eine Länge von mindestens 5 Zeichen aufweisen und sich vom Benutzernamen unterscheiden, da das Anmelden sonst nicht möglich ist. (Dies gilt, obwohl vom Installer sowohl kürzere als auch mit dem Benutzernamen übereinstimmende Passwörter akzeptiert werden).

  • Im Falle eines Kombiservers gilt es nach dem Neustart des Systems erneut zu warten. Es wird einige Zeit benötigt, um das SquashFS-Image für Diskless Workstations zu erzeugen.

  • Im Falle eines separaten LTSP-Servers erfordert das Einrichten der Unterstützung von Diskless Workstations und/oder von Thin Clients einige manuelle Schritte. Details hierzu finden Sie im Kapitel Anleitung für Netzwerk-Clients.

6.3.6. Installiere ein Gateway mit debian-edu-router

Das debian-edu-router-config Paket vereinfacht das Setup von einem Gateway für ein Debian Edu Netzwerk mit Hilfe eines interaktiven Konfigurationsprozess, in dem die benötigten Informationen anhand einer Serie von Dialogen abgefragt werden.

Um das zu verwenden, führe eine minimale Debian Installation durch. Versichere dich, den regulären Debian Installer zu verwenden und nicht der Debian Edu Installer, denn die Debian Edu Installationen sind nicht unterstützt vom debian-edu-router-config.

Install the debian-edu-router-config package using

DEBIAN_FRONTEND=noninteractive apt install -y -q debian-edu-router-config

Fehlermeldung in Bezug auf die Konfiguration sind zu erwarten und können aktuell ignoriert werden.

Für den Konfigurationsprozess nach der Installation von debian-edu-router-config wird der physische Zugang zu dem Computer benötigt.

Die Netzwerkadapter können bereits mit dem entsprechenden Netzwerk verbunden sein, aber das muss nicht so sein. Auf jeden Fall muss klar sein, welcher Adapter mit welchem Netzwerk verbunden wird. Um mehr Informationen über die Netzwerk-Hardware zu bekommen kann

lshw -class network

verwendet werden.

Remove the configuration of the two network interfaces to be used from /etc/network/interfaces or files in /etc/network/interfaces.d/ and un-configure the two interfaces using

ip addr flush <interface>

The actual configuration process is started with

dpkg-reconfigure --force uif debian-edu-router

Selecting the uif configuration method Bestätigung für das Einstellen von uif

Wenn nach der uif Firewall Konfigurationsmethode gefragt wird, wähle "debian-edu-router". Bestätige, dass du die Firewall für Debian Edu Router einrichten willst.

Allowing ping in uif Erlaube traceroute in uif

Entscheide, ob du auf ping und traceroute antworten möchtest. Wenn unsicher, antworte mit Ja, da es für Diagnosezwecke von Netzwerkproblemen hilfreich sein kann.

Aktiviere IP Paketweiterleitung

Bestätige, dass du IP Paketweiterleitung aktivieren möchtest.

Wähle die Netzwerkeinrichtungsmethode

Als nächstes ordnest du Netzwerk zu den Netzwerkadapter in deinem Router zu, wähle eine der offerierten Optionen abhängig davon, ob dein Netzwerkadapter bereits verbunden ist oder nicht.

Wähle den Uplink-Adapter

Wähle den Adapter, welcher zum Upstream-Netzwerk verbunden ist.

Wähle interne Netzwerke

Wähle ein internes Netzwerk, und wenn du unsicher bist und einfach nur ein einzelnes internes Netzwerk möchtest, wähle "Education" hier.

Aktiviere die Verwendung von VLANs

Wähle, ob VLANs für interne Netzwerke verwendet werden sollen, wenn du unsicher bist, wähle "Nein" hier.

Wähle die unterstützten IP Versionen

Wähle "IPv4" hier.

Wähle Netzwerke, welche eine statische IP Adresse verlangen

Wähle "Uplink", wenn dein Upstream Netzwerk eine statische IP Adresse verlangt und, wenn du die Empfehlung oben gefolgt bist bezgl. interne Netzwerke, "Education".

Setze eine statische IP Adresse für das interne Netzwerk

Setze 10.0.0.1/8 als die statische IP Adresse für das interne Netzwerk "Education", wenn du der oben erwähnte Empfehlung für interne Netzwerke gefolgt bist.

Aktiviere NAT für Netzwerke

Enable NAT for the internal network.

Aktiviere Internetzugang für Netzwerke

Aktiviere Internetzugang für interne Netzwerke.

Richte Reverse NAT ein

If you want to expose any internal services to the internet you can configure them using the described syntax. Note that SSH access to the gateway can be configured using the following dialog.

Enabling SSH access for networks

Decide from which networks you want to allow SSH access to the gateway.

Configuring the SSH port

Configure the SSH port, this should be 22 if the configuration has not been changed.

Enabling DHCP for networks

Do not enable DHCP for the internal networks, it will be offered by the Debian Edu main server.

Connect the network interfaces if you have not already done so and reboot the machine.

SSH main menu SSH configuration

If SSH access has been enabled the gateway can be reconfigured remotely via the menu offered when logging in as root. Pressing c in the main menu switches to the configuration menu from which all or parts of the configuration can be changed using the same dialogue system which was used for the initial configuration.

6.3.7. Anmerkungen zu einigen Eigenschaften

6.3.7.1. Eine Bemerkung zu Notebooks

Sehr wahrscheinlich wollen Sie das Profil »Mobiler Arbeitsplatzrechner« verwenden (s.o.). Bitte beachten Sie, dass alle Daten lokal gespeichert werden (also an Sicherungskopien denken) und dass Anmeldedaten zwischengespeichert werden (weshalb es nach einem Ändern des Passwortes erforderlich sein kann, das alte Passwort zu verwenden, wenn der Laptop nicht mit dem Netzwerk verbunden war und Sie sich auf dem Laptop mit einem neuen Passwort angemeldet haben).

6.3.7.2. Ein Hinweis zur Installation mittels »USB-Stick / Blu-ray Disc-Image«

Wenn Sie von einem USB-Stick / Blu-ray-Disc-Image installieren, enthält die Datei /etc/apt/sources.list nur Quellen von der DVD. Wenn Sie eine Internetverbindung haben, wird dringend empfohlen, die folgenden Zeilen zu der Datei hinzuzufügen. Damit stellen Sie sicher, dass (Sicherheits-)Aktualisierungen installiert werden können:

deb http://deb.debian.org/debian/ bookworm main 
deb http://security.debian.org bookworm-security main 
6.3.7.3. Eine Bemerkung zur CD-Installation

Eine Installation mittels Netzwerk-Installer (Installationsart mit unserer CD) wird einige Pakete von der CD und den Rest aus dem Netz holen. Der Umfang der aus dem Netz geholten Pakete variiert von Profil zu Profil, bleibt aber unter einem Gigabyte (wenn nicht gerade alle möglichen Arbeitsumgebungen gewählt wurden). Sobald der Hauptserver installiert wurde (egal, ob reiner Hauptserver oder Kombiserver), nutzen alle weiteren Installationen dessen Proxy, um das mehrfache Herunterladen desselben Pakets aus dem Netz zu vermeiden.

6.3.8. Installation per USB-Stick anstelle von CD / Blu-ray Disc

Es ist möglich, ein CD/BD-ISO-Image auf einen USB-Stick zu kopieren und von diesem zu booten. Dazu wird ein Befehl wie der folgende ausgeführt, wobei Datei- und Device-Name angepasst werden müssen:

sudo dd if=debian-edu-amd64-XXX.iso of=/dev/sdX bs=1M

Führen Sie diesen Befehl vor und nach dem Einstecken des USB-Geräts aus, um den Wert von X zu bestimmen:

lsblk -p

Bitte beachten Sie, dass das Kopieren einige Zeit in Anspruch nimmt.

Je nach gewähltem Image wird sich der USB-Stick wie eine CD oder Blu-ray Disc verhalten.

6.3.9. Installation und Booten über das Netzwerk via PXE

Für diese Installationsmethode ist es erforderlich, dass Sie einen laufenden Hauptserver haben. Wenn Clients über das Netzwerk booten, wird ein iPXE-Menü mit Installations- und Boot-Optionen angezeigt. Wenn die PXE-Installation mit einer Fehlermeldung fehlschlägt, die behauptet, dass eine XXX.bin-Datei fehlt, dann benötigt die Netzwerkkarte des Clients höchstwahrscheinlich eine nicht-freie Firmware. In diesem Fall muss die Initrd des Debian-Installers modifiziert werden. Dies kann durch Ausführen des Befehls:

/usr/share/debian-edu-config/tools/pxe-addfirmware

auf dem Server erreicht werden.

So sieht das iPXE-Menü mit dem Hauptserver als alleinigem Profil aus:

Das iPXE-Menü ohne LTSP-Einträge

So sieht das iPXE-Menü bei Systemen mit LTSP-Server-Profil aus:

Das iPXE-Menü mit LTSP-Einträgen

Dieses Setup erlaubt es auch, Diskless Workstations und Thin Clients im Hauptnetzwerk zu booten. Im Unterschied zu normalen Arbeitsplatzrechnern müssen Diskless Workstations nicht mittels GOsa² zu LDAP hinzugefügt werden.

Mehr Information über Netzwerk-Clients findet sich im Kapitel Netzwerk-Clients HowTo.

6.3.10. PXE-Installationen modifizieren

Die PXE-Installation benutzt eine Preseed-Datei für das Debian-Installationsprogramm. Diese Datei kann verändert werden, um weitere Pakete zu installieren.

Dafür muss eine Zeile wie die folgende in die Datei tjener:/etc/debian-edu/www/debian-edu-install.dat eingefügt werden

d-i    pkgsel/include string my-extra-package(s)

Die PXE-Installation verwendet die Voreinstellungsdatei /etc/debian-edu/www/debian-edu-install.dat. Diese Datei kann geändert werden, um die Voreinstellung während der Installation anzupassen und so weitere Fragen bei der Installation über das Netz zu vermeiden. Eine andere Möglichkeit, dies zu erreichen, ist, zusätzliche Einstellungen in /etc/debian-edu/pxeinstall.conf und /etc/debian-edu/www/debian-edu-install.dat.local vorzunehmen und /usr/sbin/debian-edu-pxeinstall auszuführen, um die erzeugten Dateien zu aktualisieren.

Weitere Informationen finden Sie im Handbuch des Debian-Installers.

Um die Benutzung des Proxys während der Installation mittels PXE zu ändern oder zu deaktivieren, müssen die Zeilen mirror/http/proxy, mirror/ftp/proxy und preseed/early_command in der Datei tjener:/etc/debian-edu/www/debian-edu-install.dat geändert werden. Um die Benutzung des Proxys während der Installation zu deaktivieren, kommentieren Sie die beiden ersten Zeilen mit '#' aus und entfernen Sie den Teil export http_proxy="http://webcache:3128"; in der letzten Zeile.

Einige Einstellungen können nicht voreingestellt werden, da sie benötigt werden, bevor die Voreinstellungsdatei heruntergeladen wird. Sprache, Tastaturlayout und Desktop-Umgebung sind Beispiele für solche Einstellungen. Wenn Sie die Standardeinstellungen ändern wollen, bearbeiten Sie die iPXE-Menü-Datei /srv/tftp/ltsp/ltsp.ipxe auf dem Hauptserver

6.3.11. Angepasste Images

Angepasste CDs, DVDs oder Blu-ray Discs zu erstellen ist recht einfach, da der Debian-Installer verwendet wird, der ein modulares Design und andere schöne Eigenschaften hat. Mit dem sogenannten Preseeding können Antworten auf die Standardfragen des Installationsprogramms bereitgestellt werden.

Sie müssen nur eine Preseed-Datei mit Ihren Antworten erstellen (dies wird im Anhang des Debian-Installers näher beschrieben) und Ihre CD/DVD remastern.

6.4. Screenshots

Der Text-Modus und die graphische Installation sind bis auf das Aussehen identisch. Der graphische Modus erlaubt die Verwendung einer Maus und sieht natürlich schöner und moderner aus. Solange die Hardware keine Probleme mit der graphischen Darstellung hat, gibt es keinen Grund, diesen Modus nicht zu verwenden.

Hier folgt nun eine Serie von Screenshots einer graphischen Installation (Hauptserver, Arbeitsplatzrechner, LTSP-Server im BIOS-Modus); gefolgt von Screenshots nach dem ersten Starten des Hauptservers sowie dem PXE-Start eines Rechners im Netzwerk für LTSP Clients (Thin Client Session-Bildschirm - und Login-Bildschirm nach dem Anklicken der Session auf der rechten Seite).

64-Bit Installer-Boot-Menü (BIOS-Modus)

Eine Sprache wählen

Den Standort wählen

Die Tastatur konfigurieren

Netzwerk-Hardware erkennen

Configure network manually

Configure IP address

Configure gateway

Configure nameserver

Debian-Edu-Profil wählen

Das automatische Partitionierungswerkzeug verwenden: nein

Das automatische Partitionierungswerkzeug verwenden: ja

An der Umfrage zur Paketnutzung teilnehmen: nein

An der Umfrage zur Paketnutzung teilnehmen: ja

Passwort für den Root-Benutzer festlegen

Vollständigen Namen für den ersten Benutzer festlegen

Benutzernamen für den ersten Benutzer festlegen

Passwort für den ersten Benutzer festlegen

Installation abgeschlossen

LightDM-Login

Xfce Desktop mit Browser-Fenster

Xfce-Desktop-Bildschirm

Thin-Client-Welcome-Bildschirm

Thin-Client-Login-Bildschirm

7. Erste Schritte

7.1. Unbedingt erforderliche erste Schritte

Bei der Installation des Hauptservers wurde ein erstes Benutzerkonto angelegt. Im folgenden Text wird dieses Konto als »Erstbenutzer« referenziert. Dieses Konto ist etwas Besonderes, da die Berechtigung für das Home-Verzeichnis auf 700 gesetzt ist (daher ist das Ausführen von chmod o+x ~ erforderlich, um persönliche Webseiten zugänglich zu machen), und der erste Benutzer kann sudo verwenden, um root zu werden.

Bevor Sie Benutzer hinzufügen, sollten Sie die Informationen über die spezifisch für Debian Edu geltende Konfiguration der Dateiberechtigungen lesen; passen Sie diese gegebenenfalls an die örtlichen Richtlinien an.

Nach der Installation müssen vom Erstbenutzer zuerst folgende Dinge erledigt werden:

  1. Am Hauptserver anmelden.

  2. Benutzerkonten mit GOsa² hinzufügen.

  3. Hinzufügen von Arbeitsplatzrechnern mit GOsa².

Das Hinzufügen von Benutzern und Arbeitsplatzrechnern wird im Folgenden beschrieben; bitte lesen Sie deshalb das Kapitel vollständig. Es beschreibt die unbedingt notwendigen Schritte sowie all das, was wahrscheinlich für jedes System konfiguriert werden muss.

In diesem Handbuch gibt es noch an anderen Stellen zusätzliche Informationen: Das Kapitel Neue Features in Bookworm sollte von jedem gelesen werden, der mit früheren Releases vertraut ist. Und wer ein Upgrade von einem früheren Release durchführt, sollte auf jeden Fall das Kapitel Upgrades lesen.

Falls in Ihrem Netzwerk DNS-Anfragen nach außen geblockt werden und ein spezieller DNS-Server für das Nachschlagen von Rechnern im Internet verwendet werden muss, dann muss dieser Server dem DNS-Server als sein »forwarder« bekannt sein. Aktualisieren Sie /etc/bind/named.conf.options, indem Sie die IP-Adresse des zu verwendenden DNS-Servers angeben.

Im Kapitel HowTo gibt es mehr Tipps und Tricks, sowie Antworten auf häufig gestellte Fragen.

7.1.1. Dienste des Hauptservers

Es gibt eine Reihe verschiedener Dienste, die auf dem Hauptserver laufen und die über eine Weboberfläche verwaltet werden können. Hier wird jeder einzelne Service beschrieben.

7.2. Einführung in GOsa²

GOsa² ist ein webbasiertes Verwaltungswerkzeug, das Ihnen helfen wird, einige wichtige Teile Ihrer Debian-Edu-Installation einzurichten und zu bearbeiten. Mit GOsa² können Sie diese Hauptgruppen warten (hinzufügen, ändern, löschen):

  • Benutzerverwaltung

  • Gruppenverwaltung

  • »NIS Netgroup«-Verwaltung

  • Maschinenverwaltung

  • DNS-Verwaltung

  • DHCP-Verwaltung

Um auf GOsa² zugreifen zu können, benötigen Sie den Skolelinux-Hauptserver und ein (Client-)System mit installiertem Webbrowser; dabei kann es sich um den Hauptserver handeln, falls dieser als sogenannter »Kombiserver« (Hauptserver + LTSP-Server + Arbeitsplatzrechner) installiert wurde.

Falls Sie (wahrscheinlich aus Versehen) ein reines Hauptserver-Profil installiert haben und kein Client mit einem Webbrowser zur Verfügung steht, ist es leicht, eine minimale graphische Arbeitsumgebung auf dem Hauptserver zu installieren; führen Sie dazu die folgenden Befehle in einer Shell als derjenige Benutzer aus, der während der Installation des Hauptservers zuerst angelegt wurde (Erstbenutzer):

  $ sudo apt update
  $ sudo apt install task-desktop-xfce lightdm education-menus
  $ sudo service lightdm start

Verwenden Sie in einem Webbrowser die URL https://www/gosa, um auf GOsa² zuzugreifen; melden Sie sich mit der Kennung des Erstbenutzers an.

  • Wenn Sie einen neuen Debian-Edu-Bookworm-Rechner benutzen, wird das Zertifikat der Website dem Browser bekannt sein.

  • Andernfalls werden Sie eine Fehlermeldung bezüglich des SSL-Zertifikats erhalten. Falls Sie der Einzige im Netzwerk sind, dann ignorieren Sie den Fehler und weisen Sie Ihren Browser an, das Zertifikat zu akzeptieren.

7.2.1. GOsa²-Anmeldung und Übersicht

Übersichtsseite von GOsa² nach der Anmeldung als Erstbenutzer

Nach der Anmeldung in GOsa² erscheint diese Übersichtsseite von GOsa².

Jetzt kann eine Aufgabe per Menüeintrag oder Anklicken eines der Symbole auf der Übersichtseite gewählt werden. Für die Navigation wird am besten das Menü auf der linken Seite des Fensters benutzt, da dieses bei allen Administrationsseiten von GOsa² sichtbar bleibt.

In Debian Edu werden die Daten von Benutzern, Gruppen und Systemen in einem LDAP-Verzeichnis gespeichert. Darauf greifen nicht nur der Hauptserver, sondern auch Arbeitsplatzrechner, Diskless Workstations, die LTSP-Server und andere Rechner im Netzwerk zu. So müssen die Informationen über Schüler, Lehrer usw. nur einmal eingegeben werden. Anschließend stehen sie allen Systemen im gesamten Skolelinux-Netzwerk zur Verfügung.

GOsa² ist ein Verwaltungswerkzeug, das LDAP benutzt, um Informationen zu speichern und eine hierarchisch gegliederte Abteilungsstruktur zur Verfügung zu stellen. Zu jeder »Abteilung« können Sie Benutzerkennungen, Gruppen, Systeme, »NIS Netgroups« usw. hinzufügen. Je nach Struktur Ihrer Institution können Sie die Abteilungsstruktur in GOsa²/LDAP nutzen, um Ihre Organisationsstruktur im LDAP-Baum auf dem Hauptserver von Debian Edu abzubilden.

Eine Standardinstallation des Debian-Edu-Hauptservers beinhaltet derzeit zwei »Abteilungen«: Teachers und Students, sowie die Basisebene des LDAP-Baums. Schülerkonten sollten zur »Students«-Abteilung hinzugefügt werden, Lehrerkonten zur »Teachers«-Abteilung; Systeme (Server, Workstations, Drucker usw.) werden derzeit zur Basisebene hinzugefügt. Sie könnten diese Struktur an Ihre Erfordernisse anpassen. (Ein Beispiel für das Anlegen von Benutzern in Jahrgangsgruppen, mit gemeinsamen Home-Verzeichnissen für jede Gruppe, finden Sie im Kapitel HowTo/AdvancedAdministration dieses Handbuchs).

Je nach zu erledigender Aufgabe (Benutzer verwalten, Gruppen verwalten, Systeme verwalten usw.) zeigt GOsa² eine angepasste Ansicht der betreffenden Abteilung (oder der Basisebene).

7.3. Benutzerverwaltung mit GOsa²

Klicken Sie auf »Benutzer« im Navigationsmenü auf der linken Seite. Die rechte Seite des Fensters zeigt dann eine Tabelle mit den Ordnern »Students« und »Teachers« sowie den Account des GOsa²-Administrators (Erstbenutzer). Über dieser Tabelle ist ein (Eingabe-)Feld namens Basis zu sehen; wenn Sie die Maus über dieses Feld bewegen, haben Sie die Möglichkeit, mittels Drop-Down-Menü durch die Baumstruktur zu navigieren und einen Basisordner für vorgesehene Aktionen zu wählen - wie z.B. für das Hinzufügen eines neuen Benutzers.

7.3.1. Benutzer hinzufügen

Rechts neben dem Basis-Feld ist das Menü »Aktionen« zu sehen. Beim Überfahren mit der Maus erscheint ein Untermenü; wählen Sie hier »Anlegen«, dann »Benutzer«. Ein Assistent führt Sie durch die nächsten Schritte.

  • Am wichtigsten ist es, die Vorlage (newstudent oder newteacher) und den vollständigen Namen des Benutzers anzugeben (siehe Bild).

  • Nach einem Klick auf »Fortsetzen« zeigt der Assistent dann die von GOsa² automatisch (aus Vornamen und Namen) generierte Kennung an, wobei eine noch nicht vorhandene Zeichenfolge gewählt wird. Benutzer mit übereinstimmenden Vor- und Nachnamen stellen also kein Problem dar. Bitte beachten: Umlaute und ß werden umgewandelt, andere Nicht-ASCII-Zeichen können jedoch zu ungültigen Kennungen führen.

  • Wenn Ihnen die generierte Kennung nicht gefällt, können Sie aus dem Drop-Down-Menü eine andere wählen - eine freie Wahl bietet der Assistent jedoch nicht. (Um den vorgeschlagenen Benutzernamen verändern zu können, öffnen Sie die Datei /etc/gosa/gosa.conf mit einem Editor und fügen allowUIDProposalModification="true" als zusätzliche Option der »location definition« hinzu.)

  • Nach dem Generieren der Kennung durch den Assistenten wird eine GOsa²-Übersichtsseite für den neuen Benutzer angezeigt. Sie können durch Klick auf die Reiter den Inhalt aller ausgefüllten Felder kontrollieren.

Nach Anlegen des Benutzers (es ist nicht notwendig, Einträge in Feldern vorzunehmen, die vom Assistenten leer gelassen wurden) klicken Sie unten rechts auf die Schaltfläche »OK«.

Abschließend fordert GOsa² zur Eingabe eines Passworts für den neuen Benutzer auf. Geben Sie dieses zweimal ein und klicken Sie dann unten rechts auf »Passwort setzen«. Einige Zeichen könnten als Bestandteil des Passwortes nicht erlaubt sein.

Wenn alles in Ordnung war, sehen Sie nun den neuen Benutzer in der »Liste der Benutzer«. Es sollte nun möglich sein, sich mit dieser Kennung an einer beliebigen Skolelinux-Maschine in Ihrem Netzwerk anzumelden.

7.3.2. Benutzer suchen, modifizieren und löschen

Filterbox

Um ein Benutzerkonto zu modifizieren oder zu löschen, verwenden Sie GOsa², um die Benutzerliste auf Ihrem System zu durchsuchen: Auf der Seitenmitte finden Sie die »Filter«-Box, das von GOsa² für die Suche bereitgestellte Werkzeug. Wenn Sie nicht genau wissen, an welcher Stelle sich das Benutzerkonto im Baum befindet, dann wechseln Sie auf die Basisebene des GOsa²/LDAP-Baums; benutzen Sie dort bei aktivierter »Filter«-Option die »Suche in Teilbäumen«.

Bei Verwendung der »Filterbox« erscheinen die Ergebnisse unmittelbar in der Liste der Benutzer. Jede Zeile repräsentiert eine Benutzerkennung; am rechten Ende einer Zeile stellen die Symbole Aktionen zur Verfügung: Bearbeiten, Kennung deaktivieren, Passwort setzen, löschen.

Es wird eine neue Seite angezeigt, auf der Sie die Informationen, die zu einem Benutzer gehören, modifizieren können; dort kann auch das Passwort und die Zugehörigkeit zu Gruppen geändert werden.

Benutzerdaten bearbeiten

7.3.3. Passwörter setzen

Benutzer der Abteilung »Students« können ihr eigenes Passwort ändern, indem sie sich bei GOsa² mit ihrer Kennung anmelden. Um das Auffinden der richtigen Webseite zu erleichtern, steht ein Menüeintrag »System/GOsa« bzw. »Systemeinstellungen/GOsa« zur Verfügung. Nach der Anmeldung wird eine Minimal-Version von GOsa² angezeigt, die ausschließlich Zugang zu den zur Kennung gehörenden Daten und die Möglichkeit zum Ändern des Passworts bietet.

Unter ihrer eigenen Kennung angemeldete Benutzer der Abteilung »Teachers« besitzen spezielle Privilegien in GOsa². Ihnen wird eine weitergehende Ansicht von GOsa² geboten, die es ihnen erlaubt, die Passwörter aller Kennungen der Abteilung »Students« zu ändern. Dies könnte sich während des Unterrichts als praktisch erweisen.

Neues Benutzerpasswort administrativ setzen

  1. suchen Sie nach dem zu modifizierenden Benutzer wie oben beschrieben

  2. klicken Sie auf das Schlüsselsymbol am Ende der zu dem Benutzer gehörenden Zeile

  3. auf der anschließend gezeigten Seite können Sie ein selbst gewähltes Passwort setzen

Passwort setzen

Beachten Sie die durch leicht zu erratende Passwörter entstehenden Sicherheitsaspekte!

7.3.4. Fortgeschrittene Nutzerverwaltung

Es ist mittels GOsa² möglich, viele Benutzerkonten auf einmal einzurichten; dazu wird eine CSV-Datei benötigt, die sich mit jeder guten Tabellenkalkulation (wie z.B. localc) generieren lässt. Es müssen darin im Minimalfall Einträge für die Felder Benutzername (uid), Nachname (sn), Vorname (givenName) und Passwort vorhanden sein. Stellen Sie sicher, dass es im Feld »Benutzername« keine doppelten Einträge gibt. Die Kontrolle auf Duplikate muss auch die bereits in LDAP vorhandenen Benutzernamen einschließen. (Diese können Sie durch Ausführen von getent passwd | grep tjener/home | cut -d":" -f1 erhalten.)

Hier sind die Richtlinien für solch eine CSV-Datei (GOsa² ist in dieser Hinsicht ziemlich intolerant):

  • Als Feldtrenner "," benutzen

  • Keine Anführungszeichen verwenden

  • Die CSV-Datei darf keine Titelzeile enthalten (in der gewöhnlicherweise die Spaltennamen stehen)

  • Die Reihenfolge der Felder ist beliebig; diese kann beim Import in GOsa² festgelegt werden

Die Schritte für den Import massenhafter Kennungen:

  1. klicken Sie auf »LDAP-Manager« im Navigationsmenü auf der linken Seite

  2. klicken Sie auf den Reiter »Import« im rechten Teil der Seite

  3. durchsuchen Sie die lokale Festplatte und wählen Sie eine CSV-Datei mit der Liste zu importierender Nutzer

  4. wählen Sie eine vorhandene Vorlage (wie NewTeacher oder NewStudent), die während des Imports angewandt werden soll

  5. klicken Sie auf die Schaltfläche »Import« in der oberen rechten Ecke

Es ist sinnvoll, diesen Vorgang zunächst mit einer CSV-Datei zu testen, die einige fiktive Nutzer enthält. Diese Konten können später wieder gelöscht werden.

Dies gilt ebenfalls für das Passwort-Management-Modul, das es erlaubt, das Zurücksetzen einer großen Menge von Passwörtern mittels einer CSV-Datei bzw. das Generieren neuer Passwörter für Benutzer, die einem spezifischen LDAP-Zweig zugeordnet sind.

Passwörter zurücksetzen

7.3.4.1. Adding users from the command line

User accounts can also be added from the command line using the ldap-createuser-krb5 tool, see the documentation in the Administration HowTo

7.4. Gruppen mit GOsa² verwalten

Gruppe einrichten

Gruppe einrichten

Die Verwaltung von Gruppen ist derjenigen von Benutzerkonten sehr ähnlich.

Sie können pro Gruppe einen Namen und eine Beschreibung eingeben. Stellen Sie sicher, dass Sie die richtige LDAP-Ebene wählen, wenn Sie die Gruppe anlegen.

Das Hinzufügen von Benutzern zu einer neu angelegten Gruppe bringt Sie zurück zur »Liste der Benutzer«; dort können Sie die Filterbox benutzen, um Benutzer herauszusuchen. Überprüfen Sie bitte auch die LDAP-Ebene.

Die mittels Gruppenverwaltung eingetragenen Gruppen sind reguläre UNIX-Gruppen; sie können daher zum Setzen von Zugriffsrechten verwendet werden.

7.5. Rechnerverwaltung mit GOsa²

Mit dem Maschinen-Management können grundsätzlich alle Netzwerkgeräte im Debian-Edu-Netzwerk verwaltet werden. Jedes Gerät, das mittels GOsa² zum LDAP-Verzeichnis hinzugefügt wird, hat einen Namen, eine IP-Adresse, eine MAC-Adresse und einen Domainnamen. Letzterer lautet üblicherweise "intern". Eine ausführlichere Beschreibung des Debian Edu-Netzwerks ist im Kapitel über die Netzwerkstruktur zu finden.

Diskless Workstations und Thin Clients funktionieren out-of-the-box im Falle eines Kombiservers.

Arbeitsstationen mit Festplatten (einschließlich separater LTSP-Server) müssen mit GOsa² hinzugefügt werden. Hinter den Kulissen werden sowohl ein maschinenspezifisches Kerberos-Principal (eine Art Konto) als auch eine zugehörige keytab-Datei (mit einem Schlüssel, der als Passwort verwendet wird) erzeugt; die keytab-Datei muss auf der Workstation vorhanden sein, um die Home-Verzeichnisse der Benutzer mounten zu können. Nachdem das hinzugefügte System neu gebootet wurde, melden Sie sich als root an und führen /usr/share/debian-edu-config/tools/copy-host-keytab aus.

Um Principal und keytab-Datei für ein bereits mit GOsa² konfiguriertes System zu erstellen, melden Sie sich auf dem Hauptserver als root an und führen aus

/usr/share/debian-edu-config/tools/gosa-modify-host <hostname> <IP>

Bitte beachten: Ein »host keytab« kann für Systeme vom Typ workstations, servers und terminals aber nicht für solche vom Typ netdevices erzeugt werden. Siehe das Kapitel Anleitung für Netzwerk-Clients für NFS-Konfigurationsoptionen.

To add a machine, use the GOsa² main menu, systems, add. The name of the machine is expected to be a valid unqualified hostname, do not add the domain name here. You can use an IP address/hostname from the preconfigured address space 10.0.0.0/8. Currently there are only two predefined fixed addresses: 10.0.2.2 (tjener) and 10.0.0.1 (gateway). The addresses from 10.0.16.20 to 10.0.31.254 (roughly 10.0.16.0/20 or 4000 hosts) are reserved for DHCP and are assigned dynamically.

Um einem Rechner mit der MAC-Adresse 52:54:00:12:34:10 eine statische IP-Adresse zuzuweisen, müssen Sie die MAC-Adresse, den Rechnernamen und die IP eintragen; alternativ können Sie die Schaltfläche Schlage IP vor klicken, wodurch die erste freie feste Adresse aus dem Bereich 10.0.0.0/8 angezeigt wird - höchstwahrscheinlich etwas wie 10.0.0.2, wenn Sie die erste Maschine auf diesem Wege hinzufügen. Es wäre gut, vorher über einen für Ihr Netzwerk geeigneten IP-Bereich nachzudenken: Zum Beispiel könnten Sie 10.0.0.x mit x>10 und x<50 für Server und x>100 für Arbeitsplatzrechner verwenden. Vergessen Sie nicht, das gerade hinzugefügte System zu aktivieren. Mit Ausnahme des Hauptservers wird dann für alle Systeme ein entsprechendes Icon angezeigt.

Wenn die Maschinen als Thin Clients bzw. Diskless Workstations gestartet oder wenn sie unter Verwendung eines der Netzwerkprofile installiert wurden, dann können Sie das Skript sitesummary2ldapdhcp verwenden, um diese Maschinen automatisch zu GOsa² hinzuzufügen; für einfache Maschinen funktioniert das ohne weiteres, bei Maschinen mit mehreren MAC-Adressen muss die aktuell benutzte ausgewählt werden, sitesummary2ldapdhcp -h zeigt Hilfeinformationen an. Beachten Sie bitte, dass die nach der Benutzung von sitesummary2ldapdhcp angezeigten IP-Adressen aus dem dynamischen IP-Bereich stammen. Diese Systeme können anschließend aber so bearbeitet werden, dass sie zu Ihrem Netzwerk passen: Jedes neue System umbenennen, DHCP und DNS aktivieren, zu Netgroups hinzufügen (empfohlene Netgroups dem Screenshot weiter unten entnehmen), das System anschließend neu starten. Einige Bilder zeigen, wie dies in der Praxis erfolgen könnte:

root@tjener:~# sitesummary2ldapdhcp -a -i ether-22:11:33:44:55:ff
info: Create GOsa machine for am-2211334455ff.intern [10.0.16.21] id ether-22:11:33:44:55:ff.
 
Enter password if you want to activate these changes, and ^c to abort.
 
Connecting to LDAP as cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no
enter password: ********
root@tjener:~#

GOsa² Liste der Systeme

Host Details

Host bearbeiten

Netgroup hinzufügen

Stündlich läuft ein Cronjob, der DNS aktualisiert; das Skript su -c ldap2bind kann verwendet werden, um die Aktualisierung manuell durchzuführen.

7.5.1. Suchen und Löschen von Maschinen

Das Suchen und Löschen von Maschinen ist ebenso einfach wie das Suchen und Löschen von Benutzern; deshalb wird die Beschreibung hier nicht wiederholt.

7.5.2. Modifizieren von eingetragenen Maschinen / Verwalten von »Netgroups«

Nachdem Sie mit GOsa² eine Maschine zum LDAP-Verzeichnis hinzugefügt haben, können Sie die Eigenschaften mit Hilfe der Suchfunktion und durch Klicken auf den entsprechenden Eintrag bearbeiten (so, wie Sie es auch mit Benutzern tun).

Die Vorlage, die Sie nach einem Klick auf einen Maschinennamen erreichen, ist einerseits die gleiche, wie Sie es von der Bearbeitung der Benutzer-Einträge her kennen. Andererseits aber haben die Einträge in diesem Zusammenhang eine andere Bedeutung.

Das Hinzufügen eines Rechners zu einer NetGroup ändert beispielsweise nicht die Dateizugriffs- oder Befehlsausführungsberechtigungen für diesen Rechner oder die bei diesem Rechner angemeldeten Benutzer; stattdessen werden die Dienste eingeschränkt, die dieser Rechner auf Ihrem Hauptserver nutzen kann.

Die Standardinstallation enthält die NetGroups

  • all-hosts

  • cups-queue-autoflush-hosts

  • cups-queue-autoreenable-hosts

  • fsautoresize-hosts

  • ltsp-server-hosts

  • netblock-hosts

  • printer-hosts

  • server-hosts

  • shutdown-at-night-hosts

  • shutdown-at-night-wakeup-hosts-blacklist

  • workstation-hosts

Derzeit findet die NetGroup-Funktionalität Verwendung für:

  • Ändern der Größe von Partitionen (fsautoresize-hosts)

    • Bei Debian-Edu-Maschinen dieser Gruppe werden LVM-Partitionen bei Bedarf automatisch vergrößert.

  • Systeme abends herunterfahren (shutdown-at-night-hosts und shutdown-at-night-wakeup-hosts-blacklist)

    • Debian-Edu-Maschinen dieser Gruppe werden über Nacht automatisch heruntergefahren, um Energie zu sparen.

  • Verwaltung von Druckern (cups-queue-autoflush-hosts und cups-queue-autoreenable-hosts)

    • Die Druckerwarteschlangen auf Debian-Edu-Maschinen dieser Gruppen werden über Nacht geleert; deaktivierte Druckerwarteschlangen werden stündlich erneut aktiviert.

  • Internetzugang sperren (netblock-hosts)

    • Die Debian-Edu-Maschinen dieser Gruppe werden nur mit Maschinen im lokalen Netzwerk Verbindung aufnehmen können. Kombiniert mit Einschränkungen durch den Web-Proxy könnte dies während Prüfungen Verwendung finden.

8. Druckerverwaltung

Für die zentrale Druckerverwaltung wechseln Sie mit Ihrem Webbrowser zu https://www.intern:631. Dies ist die normale CUPS-Verwaltungsoberfläche, über die Sie Ihre Drucker hinzufügen/löschen/ändern und die Druckwarteschlange bereinigen können. Standardmäßig ist nur der Erstbenutzer zugelassen, aber dies kann durch Hinzufügen von Benutzern zur GOsa²-Gruppe printer-admins geändert werden.

8.1. An Arbeitsplatzrechner angeschlossene Drucker verwenden

Das Paket p910nd ist auf allen Systemen mit dem Profil Arbeitsplatzrechner standardmäßig installiert.

  • Die Datei /etc/default/p910nd bearbeiten (USB-Drucker):

    • P910ND_OPTS="-f /dev/usb/lp0"

    • P910ND_START=1

  • Konfigurieren Sie den Drucker über die Website https://www.intern:631; wählen Sie den Netzwerkdrucker-Typ AppSocket/HP JetDirect (für alle Drucker gültig, egal welche Marke oder welches Modell) und geben Sie socket://<Arbeitsplatzrechner-IP>:9100 als Verbindungs-URI ein.

8.2. Netzwerkdrucker

Es wird empfohlen, auf einem Netzwerkdrucker alle für das Netzwerk angebotenen Dienste zu deaktivieren. Weisen Sie stattdessen eine feste IP-Adresse mit GOsa² zu und konfigurieren Sie diese Drucker als AppSocket/HP JetDirect-Netzwerkdrucker.

9. Zeitsynchronisation

Die Standardkonfiguration in Debian Edu hält die Uhren auf allen Rechnern synchron, aber nicht unbedingt korrekt. NTP wird verwendet, um die Zeit zu aktualisieren. Die Uhren werden standardmäßig mit einer externen Quelle synchronisiert. Dies kann dazu führen, dass die Rechner die externe Internetverbindung offen halten, wenn sie bei der Benutzung hergestellt wird.

Es ist ratsam, diese Voreinstellung zu ändern, falls eine Einwahl- oder ISDN-Verbindung benutzt und dabei nach Verbindungszeit abgerechnet wird.

Um die Synchronisation mit einer externen Uhr zu deaktivieren, muss die Datei /etc/ntp.conf auf dem Hauptserver geändert werden. Fügen Sie Kommentarzeichen ("#") vor den Einträgen server ein. Danach muss der NTP-Server neu gestartet werden, indem Sie service ntp restart als root ausführen. Um zu testen, ob ein Rechner die externen Zeitquellen verwendet, führen Sie ntpq -c lpeer aus.

10. Volle Partitionen erweitern

Wegen eines möglichen Fehlers in der automatischen Partitionierung könnten einige Partitionen nach der Installation zu voll sein. Um diese zu erweitern, führen Sie debian-edu-fsautoresize -n als Root aus. Mehr Informationen zum Vergrößern und Verkleinern von Partitionen finden Sie unter »Partitionen verändern« im Kapitel Administrations-HowTo.

11. Wartung

11.1. Aktualisieren der Software

Dieser Abschnitt erklärt die Benutzung von apt -full-upgrade.

Das Werkzeug apt ist nicht schwer zu bedienen. Um ein System auf den neuesten Stand zu bringen, müssen Sie auf der Befehlszeile nur zwei Befehle als Root ausführen: apt update (erneuert die Liste der verfügbaren Pakete von den apt-Quellen) und apt full-upgrade (aktualisiert die installierten Pakete auf die neueste vorhandene Version).

Es ist auch eine gute Idee, während des Upgrades die Locale C zu verwenden, um eine englischsprachige Ausgabe zu erhalten; diese wird in Problemfällen vermutlich bessere Suchmaschinen-Ergebnisse liefern.

LC_ALL=C apt full-upgrade -y

Nach dem Upgrade des debian-edu-config-Pakets sind möglicherweise geänderte CFEngine-Konfigurationsdateien vorhanden. Führen Sie ls -ltr /etc/cfengine3/debian-edu/ aus, um zu prüfen, ob dies der Fall ist. Um die Änderungen anzuwenden, führen Sie LC_ALL=C cf-agent -D installation aus.

Es ist wichtig, debian-edu-ltsp-install --diskless_workstation yes nach LTSP-Server-Upgrades auszuführen, um das SquashFS-Image für Diskless Workstations synchron zu halten.

Nach einem Point-Release-Upgrade eines Systems mit Main-Server oder LTSP-Server-Profil muss debian-edu-pxeinstall ausgeführt werden, um die PXE-Installationsumgebung zu aktualisieren.

Es empfiehlt sich auch, cron-apt und apt-listchanges zu installieren und so zu konfigurieren, dass Sie E-Mails an eine von ihnen gelesene Adresse schicken.

cron-apt informiert Sie einmal am Tag darüber, ob es Pakete gibt, die aktualisiert werden können. Es installiert diese Pakete jedoch nicht, sondern lädt sie nur herunter (meistens in der Nacht), damit sie schon lokal verfügbar sind, wenn Sie apt full-upgrade ausführen.

Falls gewünscht, können Aktualisierungen automatisch installiert werden. Dazu muss lediglich das Paket unattended-upgrades installiert und so konfiguriert werden, wie es in wiki.debian.org/UnattendedUpgrades beschrieben ist.

Das Paket apt-listchanges kann Ihnen neue Änderungsmeldungen per E-Mail schicken oder diese alternativ in einem Terminalfenster anzeigen, wenn aptausgeführt wird.

11.1.1. Über Sicherheitsaktualisierungen auf dem Laufenden bleiben

Die Ausführung von cron-apt (wie oben beschrieben) ist eine gute Möglichkeit, sich über das Vorhandensein aktualisierter Pakete zu informieren. Sie können auch die Mailing-Liste Debian security-announce abonnieren, was den Vorteil hat, auch über den Grund der Aktualisierung informiert zu werden. Nachteilig ist dabei nur, dass im Gegensatz zu cron-apt auch Informationen über Pakete geliefert werden, die gar nicht installiert sind.

11.2. Verwaltung von Backups

Um Backups zu verwalten, gehen Sie mit Ihrem Browser auf https://www/slbackup-php. Diese Seite müssen Sie mit SSL aufrufen, da Sie für die Backupverwaltung das Root-Passwort eingeben müssen. Ein Zugriff ohne SSL ist nicht möglich.

Hinweis: Die Seite funktioniert nur, wenn Sie vorübergehend den SSH-Root-Login auf dem Backup-Server erlauben, der standardmäßig der Hauptserver (tjener.intern) ist.

Standardmäßig werden Sicherungen von /skole/tjener/home0, /etc/, /root/.svk und LDAP im Verzeichnis /skole/backup/ gespeichert, das von LVM als separate Partition verwaltet wird. Wenn Sie nur Ersatzkopien von Dingen haben wollen (für den Fall, dass Sie sie löschen), sollte dieses Setup für Sie in Ordnung sein.

Sie sollten sich allerdings im Klaren darüber sein, dass diese Art des Backups keinen Schutz vor defekten Festplatten darstellt.

Falls Sie Ihre Daten auf einen externen Server, ein Bandlaufwerk oder eine andere Festplatte sichern wollen, müssen Sie die Konfiguration ein wenig anpassen.

Um ein ganzes Verzeichnis wiederherzustellen, nutzen Sie am besten die Befehlszeile:

$ sudo rdiff-backup -r <date>  \
   /skole/backup/tjener/skole/tjener/home0/user \
   /skole/tjener/home0/user_<date>

Dies wird den Inhalt von /skole/tjener/home0/user von <date> im Verzeichnis /skole/tjener/home0/user_<date> ablegen

Falls Sie nur eine einzelne Datei wiederherstellen möchten, sollten Sie nur diese Datei (in der entsprechenden Version) in der Web-Schnittstelle auswählen und herunterladen.

Wenn Sie ältere Sicherungskopien löschen wollen, dann wählen Sie »Wartung« (Maintenance) im Menü auf der Backup-Seite und wählen dort den ältesten zu bewahrenden Zustand (snapshot):

slbackup-php Maintenance

11.3. Serverüberwachung (Monitoring)

11.3.1. Munin

Das Munin Trend-Reporting-System findet sich unter https://www/munin/. Es stellt graphische Darstellungen von Systemstatusmessungen zur Verfügung, die in täglicher, wöchentlicher, monatlicher oder jährlicher Ansicht eingesehen werden können und dem Administrator helfen, Engpässe und Systemprobleme aufzuspüren.

Die Liste der von Munin überwachten Computer wird automatisch von den an Sitesummery berichtenden Rechnern erstellt. Ein Rechner berichtet an den Server, wenn das Paket »munin-node« installiert ist. Wegen der Reihenfolge der Cronjobs dauert es normalerweise zwei Tage, bevor ein Rechner von Munin registriert wird. Wenn Sie dies beschleunigen wollen, führen Sie sitesummary-client als Root auf dem neuen Rechner und anschließend /etc/cron.daily/sitesummary (ebenfalls als Root) auf dem Server aus, auf dem Sitesummary läuft (dies ist normalerweise der Hauptserver).

Die Menge der zu sammelnden Messergebnisse wird automatisch auf jeder Maschine generiert; dazu wird das Programm munin-node-configure verwendet, das die verfügbaren Plugins in /usr/share/munin/plugins/ überprüft und für die relevanten einen Symlink in /etc/munin/plugins/ setzt.

Weitere Informationen über Munin gibt es unter https://munin-monitoring.org/.

11.3.2. Icinga

Die System- und Dienstüberwachung Icinga ist unter https://www/icingaweb2/ verfügbar. Die Liste der zu überwachenden Maschinen und Dienste wird automatisch aus Informationen des Sitesummary-Systems generiert. Die Rechner mit Hauptserver- und LTSP-Server-Profil werden vollständig kontrolliert. Arbeitsplatzrechner und Thin Clients unterliegen vereinfachter Kontrolle. Zur vollständigen Überwachung von Arbeitsplatzrechnern installieren Sie auf diesen das Paket nagios-nrpe-server.

Icinga versendet voreingestellt keine E-Mails. Dies kann geändert werden, indem in der Datei /etc/icinga/sitesummary-template-contacts.cfg der Eintrag notify-by-nothing durch host-notify-by-email und notify-by-email ersetzt wird.

Die benutzte Icinga-Konfiguration ist /etc/icinga/sitesummary.cfg. Der Sitesummary-Cron-Job generiert /var/lib/sitesummary/icinga-generated.cfg mit einer Liste von zu überwachenden Rechnern und Diensten.

Zusätzliche Icinga-Kontrollen können in der Datei /var/lib/sitesummary/icinga-generated.cfg.post hinzugefügt werden. Sie werden anschließend in der generierten Datei berücksichtigt.

Informationen über Icinga können unter https://www.icinga.com/ oder in dem Paket icinga-doc gefunden werden.

11.3.2.1. Übliche Warnungen von Icinga und wie damit umzugehen ist

Hier sind Anleitungen, wie mit den häufigsten Warnungen von Icinga umzugehen ist.

11.3.2.1.1. DISK CRITICAL - free space: /usr 309 MB (5% inode=47%):

Die Partition (im Beispiel /usr/) ist voll. Es gibt im allgemeinen zwei Möglichkeiten, damit umzugehen: (1) einige Dateien löschen oder (2) die Partition vergrößern. Falls die Partition /var/ ist, dann könnte (durch apt clean) das Bereinigen des Zwischenspeichers von Apt einige Dateien löschen. Falls in der LVM-Datenträgergruppe noch Platz ist, könnte das Ausführen des Programms debian-edu-fsautoresize zum Vergrößern von Partitionen hilfreich sein. Um dieses Programm automatisch jede Stunde ausführen zu lassen, kann der betreffende Rechner der »Netgroup« fsautoresize-hosts hinzugefügt werden.

11.3.2.1.2. APT CRITICAL: 13 packages available for upgrade (13 critical updates).

Neue Pakete sind für Upgrades verfügbar. Bei den kritischen handelt es sich in der Regel um Sicherheitsverbesserungen. Um ein Upgrade durchzuführen, führen Sie apt upgrade && apt full-upgrade als root in einem Terminal aus oder melden Sie sich über SSH an, um dasselbe zu tun.

Falls Sie keine manuellen Upgrades von Paketen vornehmen wollen und Debian zutrauen, mit neuen Versionen gut umzugehen, dann können Sie unattended-upgrades so konfigurieren, dass jede Nacht ein automatisches Upgrade neuer Pakete erfolgt. In LTSP-Chroots werden auf diese Weise aber keine Upgrades vorgenommen.

11.3.2.1.3. WARNING - Reboot required : running kernel = 2.6.32-37.81.0, installed kernel = 2.6.32-38.83.0

Der laufende Kernel ist älter als der neueste installierte Kernel und ein Neustart ist erforderlich, um den neuesten installierten Kernel zu aktivieren. Dies ist normalerweise ziemlich dringend, da neue Kernel in Debian Edu gewöhnlich zur Verfügung gestellt werden, um Sicherheitslücken zu schließen.

11.3.2.1.4. WARNING: CUPS queue size - 61

Die CUPS-Druckerwarteschlangen enthalten viele unerledigte Aufträge. Dies liegt höchstwahrscheinlich an einem nicht verfügbaren Drucker. Auf Rechnern, die der »Netgroup« cups-queue-autoreenable-hosts angehören, werden inaktive Druckerwarteschlangen jede Stunde neu aktiviert; deshalb sollte für solche Rechner ein manuelles Eingreifen unnötig sein. Auf Rechnern, die der »Netgroup« cups-queue-autoflush-hosts angehören, werden alle Druckerwarteschlangen während der Nacht geleert. Sie könnten einen Rechner, der viele Druckaufträge in der Warteschlange hat, einer oder beiden dieser »Netgroups« zuordnen.

11.3.3. Sitesummary

Sitesummary wird verwendet, um Informationen aller Rechner zu sammeln und sie zum zentralen Server zu schicken. Die gesammelten Informationen befinden sich in /var/lib/sitesummary/entries/. Skripte in /usr/lib/sitesummary/ sind zur Erstellung von Berichten verfügbar.

Einen durch Sitesummary erstellten einfachen Bericht gibt es unter https://www/sitesummary/.

Eine Dokumentation über Sitesummary ist verfügbar unter https://wiki.debian.org/DebianEdu/HowTo/SiteSummary

11.4. Weitergehende Informationen über Anpassungen von Debian Edu

Für Systemadministratoren finden sich Informationen über Anpassungen von Debian Edu im Kapitel Administration-Howto und im Kapitel Fortgeschrittene Administration.

12. Upgrades

Bevor Sie diese Anleitung für ein Upgrade lesen, beachten Sie bitte diesen wichtigen Hinweis: Das Upgrade erfolgt auf eigene Gefahr. Debian Edu/Skolelinux bietet ABSOLUT KEINE GEWÄHRLEISTUNG für Funktionstüchtigkeit und wird auf eigene Gefahr eingesetzt.

Bitte lesen Sie dieses Kapitel sowie das Kapitel Neue Features in Bookworm in diesem Handbuch vollständig durch, bevor Sie ein Upgrade versuchen.

12.1. Allgemeine Hinweise zum Upgrade

Ein Upgrade von Debian von einer Distribution zur nächsten ist im Allgemeinen recht einfach. Für Debian Edu ist dies leider etwas komplizierter, da wir Konfigurationsdateien auf eine Art und Weise verändern, wie es nicht geschehen sollte. Wir haben jedoch die notwendigen Schritte unten dokumentiert. (Siehe Debian-Fehler 311188 für weitere Informationen, wie Debian Edu Konfigurationsdateien modifizieren sollte).

Im Allgemeinen ist das Upgrade der Server schwieriger als das von Arbeitplatzrechnern, und der Hauptserver ist am schwierigsten zu aktualisieren.

Wenn Sie sicher gehen wollen, dass auch nach einem Upgrade noch alles funktioniert, sollten Sie das Upgrade zunächst auf einem Testsystem durchführen, welches genau wie das produktive System konfiguriert ist. So können Sie das Upgrade ohne Risiko ausprobieren und prüfen, ob alles so funktioniert wie es soll.

Bitte lesen Sie auch unbedingt die Informationen über das aktuelle stabile Debian-Release in dessen Installationsanleitung.

Es könnte klug sein, etwas abzuwarten und noch ein paar Wochen lang Oldstable zu verwenden, sodass andere das Upgrade testen und Probleme dokumentieren können. Debian Oldstable wird noch eine Zeit lang nach Veröffentlichung von »Stable« unterstützt werden, aber wenn Debian die Unterstützung für Oldstable einstellt, wird auch Debian Edu die Unterstützung einstellen (müssen).

12.2. Upgrades von Debian Edu Bookworm

Achtung: Stellen Sie sicher, dass Sie das Upgrade von Bullseye in einer Testumgebung getestet haben oder über Sicherungskopien verfügen, die es ihnen ermöglichen, notfalls wieder zurückzugehen.

Bitte beachten Sie, dass sich das folgende Rezept auf die Standardinstallation eines Debian-Edu-Hauptservers bezieht (desktop=xfce, Profile Hauptserver, Arbeitsplatzrechner, LTSP-Server). (Eine allgemeinere Beschreibung zum Upgrade von Bullseye auf Bookworm finden Sie hier: https://www.debian.org/releases/bookworm/releasenotes.)

Benutzen Sie keine graphische Arbeitsumgebung; wechseln Sie zu einer virtuellen Konsole und melden Sie sich als root an.

Sollte apt mit einer Fehlermeldung abbrechen, dann versuchen Sie, den Fehler zu finden und/oder führen Sie apt -f install und danach apt -y full-upgrade erneut aus.

12.2.1. Upgrade des Hauptservers

  • Zuerst sicherstellen, dass das gegenwärtige System aktualisiert ist:

apt update
apt full-upgrade
  • Bereiten Sie das Upgrade auf Bookworm vor und starten Sie es:

sed -i 's/bullseye/bookworm/g' /etc/apt/sources.list
export LC_ALL=C
apt update
apt upgrade --without-new-pkgs
apt full-upgrade
  • apt-list-changes: Stellen Sie sich darauf ein, eine Menge an NEWS zu lesen; <Return> drücken, um weiter zu blättern, <q> um das Anzeigeprogramm zu beenden. Alle Informationen werden als E-Mail an »root« geschickt, können also (mittels mailx oder mutt) noch einmal gelesen werden.

  • Lesen Sie alle Debconf-Informationen sorgfältig durch, wählen Sie »Die momentan installierte Version beibehalten« für die unten gelisteten Fragen (falls nicht anders angegeben); in den meisten Fällen wird das Drücken von »Enter« richtig sein.

    • Services neu starten: »yes« wählen.

    • Samba Server: »Die momentan installierte Version beibehalten« wählen.

    • openssh-server: »Die momentan installierte Version beibehalten« wählen.

  • Konfiguration anpassen und anwenden:

cf-agent -v -D installation
  • Kontrollieren, ob das System nach dem Upgrade funktioniert:

Einen Neustart durchführen; als 'Erstbenutzer' anmelden und testen

  • ob die GOsa²-Webseite funktioniert,

  • ob sich LTSP-Clients und Arbeitsplatzrechner einbinden lassen,

  • ob sich die Mitgliedschaft eines Systems zu einer 'Netgroup' hinzufügen/entfernen lässt,

  • ob sich interne E-Mail versenden und empfangen lässt,

  • ob sich Drucker verwalten lassen,

  • und ob andere standortspezifische Dinge funktionieren.

12.2.2. Upgrade eines Arbeitsplatzrechners

Erledigen Sie alle grundlegenden Dinge wie auf dem Hauptserver, ohne die nicht benötigten Dinge zu tun.

12.3. Aktualisieren von älteren Debian Edu / Skolelinux-Installationen (vor Bullseye)

Um von einer älteren Veröffentlichung zu aktualisieren, müssen Sie zuerst auf die Bullseye-basierte Debian-Edu-Veröffentlichung aktualisieren, bevor Sie die oben beschriebenen Anweisungen befolgen können. Anweisungen werden im Manual for Debian Edu Bullseye gegeben, wie man von der vorherigen Veröffentlichung, Buster, auf Bullseye aktualisiert.

13. HowTo

14. HowTos für allgemeine Administration

Die Kapitel Erste Schritte und Wartung erklären den Einstieg in den Umgang und die Wartung von Debian Edu. Die HowTos in diesem Kapitel sind Tipps und Tricks für Fortgeschrittene.

14.1. Änderungen der Konfiguration: /etc/ mit dem Versionskontrollsystem Git verfolgen

Mittels etckeeper lassen sich alle Änderungen an Dateien in /etc/ mit Hilfe von Git als System für die Versionskontrolle zurückverfolgen.

Dies ermöglicht es festzustellen, wann eine Datei hinzugefügt, verändert oder entfernt wurde. Im Falle einer Textdatei lässt sich auch feststellen, was geändert wurde. Das Git-Repository befindet sich in /etc/.git/.

Änderungen werden automatisch stündlich protokolliert; damit ist es möglich, die Entwicklung der Konfiguration zurück zu verfolgen.

Um die Entwicklung anzusehen, kann der Befehl etckeeper vcs log benutzt werden. Um Änderungen zwischen zwei Zeitpunkten einzusehen, kann ein Befehl wie z.B. etckeeper vcs diff verwendet werden.

Rufen Sie man etckeeper auf, um weitere Optionen kennenzulernen.

Nützliche Befehle sind:

etckeeper vcs log
etckeeper vcs status
etckeeper vcs diff
etckeeper vcs add .
etckeeper vcs commit -a
man etckeeper

14.1.1. Benutzungsbeispiele

Auf einem neu installierten System alle Änderungen herausfinden, seitdem das System installiert wurde:

etckeeper vcs log

Ansehen, welche Dateien gegenwärtig nicht kontrolliert werden und welche nicht auf aktuellem Stand sind:

etckeeper vcs status

Um eine Datei manuell einzureichen, weil Sie nicht eine Stunde lang warten wollen, verwenden Sie den folgenden Befehl:

etckeeper vcs commit -a /etc/resolv.conf

14.2. Partitionsgrößen verändern

Mit Ausnahme der /boot/-Partition sind alle Partitionen in Debian Edu auf logischen LVM-Datenträgern. Seit dem Linux-Kernel 2.6.10 ist es möglich, Partitionen zu vergrößern, während sie eingehängt sind. Um Partitionen zu verkleinern, müssen diese weiterhin ausgehängt sein.

Es ist eine gute Idee, das Anlegen sehr großer Partitionen (etwa mehr als 20 GiB) zu vermeiden, weil es sehr lange dauert, um darauf fsck auszuführen oder um sie per Backup wiederherzustellen, wenn das notwendig sein sollte. Falls möglich, ist es besser, statt einer großen mehrere kleine Partitionen zu erstellen.

Um die Vergrößerung voller Partitionen zu vereinfachen, wird das Skript debian-edu-fsautoresize zur Verfügung gestellt. Es liest die Konfiguration unter /usr/share/debian-edu-config/fsautoresizetab, /site/etc/fsautoresizetab und /etc/fsautoresizetab ein und schlägt - basierend auf den in diesen Dateien definierten Regeln - die Vergrößerung zu kleiner Partitionen vor. Ohne Argumente aufgerufen gibt es nur die Befehle aus, die zum Vergrößern der Dateisysteme nötig sind. Wenn die Dateisysteme tatsächlich vergrößert werden sollen, muss das Skript mit dem Argument -n ausgeführt werden.

Das Skript wird stündlich automatisch auf jedem Client der fsautoresize-hosts-»Netgroup« ausgeführt.

Wenn die vom Squid-Proxy verwendete Partition geändert wird, muss der Wert für die Cachegröße in etc/squid/squid.conf ebenfalls aktualisiert werden. Das Hilfsskript /usr/share/debian-edu-config/tools/squid-update-cachedir wird bereitgestellt, um dies automatisch zu tun, indem es die aktuelle Partitionsgröße von /var/spool/squid/ überprüft und Squid so konfiguriert, dass es 80 % davon als Cachegröße verwendet.

14.2.1. Verwaltung logischer Datenträger

»Logical-Volume-Management« (LVM) erlaubt es, Partitionen zu vergrößern, während diese eingehängt sind und benutzt werden. Mehr Informationen zu LVM finden Sie unter LVM HowTo.

Um einen logischen Datentäger zu vergrößern, müssen Sie einfach dem lvextend Befehl die Information mitgeben, auf wie viel Sie die Partition vergrößern wollen. Um beispielsweise die Partition home0 auf 30GiB zu vergrößern, verwenden Sie:

lvextend -L30G /dev/vg_system/skole+tjener+home0
resize2fs /dev/vg_system/skole+tjener+home0

Um home0 um 30GiB zu vergrößern, fügen Sie ein '+' (-L+30G) hinzu.

14.3. Verwendung von ldapvi

Mit ldapvi können Einträge in der LDAP-Datenbank mit einem normalen Texteditor von der Befehlszeile aus editiert werden.

Folgender Befehl muss ausgeführt werden:

ldapvi -ZD '(cn=admin)'

Bemerkung: ldapvi verwendet den durch die Umgebungsvariable EDITOR als Standard vorgegebenen Editor. Nach Ausführen von beispielsweise export EDITOR=vim wird vim als Editor verwendet.

Achtung: ldapvi ist ein sehr mächtiges Werkzeug. Verwenden Sie es vorsichtig und richten Sie kein Durcheinander in der LDAP-Datenbank an; dies gilt auch für JXplorer.

14.4. NFS mittels Kerberos

Die Verwendung von Kerberos für NFS zum Einhängen von Heimatverzeichnissen ist eine Sicherheitsfunktion. Arbeitsplatzrechner und LTSP-Clients funktionieren nicht ohne Kerberos. Es werden die Stufen krb5, krb5i und krb5p unterstützt (krb5 bedeutet Kerberos-Authentifizierung, i steht für Integritätsprüfung und p für Datenschutz, d. h. Verschlüsselung); die Belastung sowohl des Servers als auch des Arbeitsplatzrechners steigt mit der Sicherheitsstufe, krb5i ist eine gute Wahl und wurde als Standard gewählt.

14.4.1. Ändern der Voreinstellung

Hauptserver

  • Als »root« anmelden.

  • Den Befehl ldapvi -ZD '(cn=admin)' ausführen, nach sec=krb5i suchen und dies durch sec=krb5 oder sec=krb5p ersetzen.

  • Die Datei /etc/exports.d/edu.exports bearbeiten und diese Einträge entsprechend anpassen:

/srv/nfs4        gss/krb5i(rw,sync,fsid=0,crossmnt,no_subtree_check)
/srv/nfs4/home0  gss/krb5i(rw,sync,no_subtree_check)
  • führen Sie exportfs -r aus.

14.5. Standarddrucker (»Standardskriver«)

Dieses Tool erlaubt es, den Standarddrucker in Abhängigkeit von Ort, Maschine oder Gruppenzugehörigkeit zu setzen. Weitere Informationen stehen in der Datei /usr/share/doc/standardskriver/README.md.

Die Konfigurationsdatei /etc/standardskriver.cfg muss durch den Admin erstellt werden, die Datei /usr/share/doc/standardskriver/examples/standardskriver.cfg kann als Beispiel dienen.

14.6. JXplorer, ein LDAP-Editor mit graphischer Benutzeroberfläche

Wenn Sie für die Bearbeitung von Daten in LDAP einen Editor mit graphischer Benutzeroberfläche bevorzugen, dann probieren Sie den standardmäßig installierten jxplorer aus. Verwenden Sie diese Einträge, um Schreibzugriff zu bekommen:

host: ldap.intern
port: 636
Security level: ssl + user + password
User dn: cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no

14.7. ldap-createuser-krb5, a command-line tool for adding users

ldap-createuser-krb is a small command line tool to create user accounts, it is invoked as follows:

ldap-createuser-krb5 [-u uid] [-g gid] [-G group[,group]...] [-d department] <username> <gecos>

All arguments except the username and GECOS field are optional, the latter usually should contain the full name of the user. Unless specified the tool will pick the next free UID and GID automatically and not assign any additional groups to the user. If no department is given, it will pick the first gosaDepartment from LDAP which is likely skole and for regular users usually not what you want, so you should pick an appropriate value for the user, e.g. Teachers or Students. After entering and confirming the password and entering the LDAP administrator password, ldap-createuser-krb5 will create the user account in LDAP, set the Kerberos password, create the home directory, and add a corresponding Samba user. The following screenshot shows an example invocation to create a user account named harhir for a teacher whose full name is "Harry Hirsch":

root@tjener:~# ldap-createuser-krb5 -d Teachers harhir "Harry Hirsch"
new user password: 
confirm password: 

dn: uid=harhir,ou=people,ou=Teachers,dc=skole,dc=skolelinux,dc=no
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: gosaAccount
objectClass: posixAccount
objectClass: shadowAccount
objectClass: krbPrincipalAux
objectClass: krbTicketPolicyAux
sn: Harry Hirsch
givenName: Harry Hirsch
uid: harhir
cn: Harry Hirsch
userPassword: {CRYPT}$y$j9T$TWnq55O1rvyLhjF.$oVf.t.RXC1v/4Y8FhV0umno629mo7bP7/YJyig6HET6
homeDirectory: /skole/tjener/home0/harhir
loginShell: /bin/bash
uidNumber: 1004
gidNumber: 1004
gecos: Harry Hirsch
shadowLastChange: 19641
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
krbPwdPolicyReference: cn=users,cn=INTERN,cn=kerberos,dc=skole,dc=skolelinux,dc=no
krbPrincipalName: harhir@INTERN

ldap_initialize( <DEFAULT> )
Enter LDAP Password: 
add objectClass:
        top
        person
        organizationalPerson
        inetOrgPerson
        gosaAccount
        posixAccount
        shadowAccount
        krbPrincipalAux
        krbTicketPolicyAux
add sn:
        Harry Hirsch
add givenName:
        Harry Hirsch
add uid:
        harhir
add cn:
        Harry Hirsch
add userPassword:
        {CRYPT}$y$j9T$TWnq55O1rvyLhjF.$oVf.t.RXC1v/4Y8FhV0umno629mo7bP7/YJyig6HET6
add homeDirectory:
        /skole/tjener/home0/harhir
add loginShell:
        /bin/bash
add uidNumber:
        1004
add gidNumber:
        1004
add gecos:
        Harry Hirsch
add shadowLastChange:
        19641
add shadowMin:
        0
add shadowMax:
        99999
add shadowWarning:
        7
add krbPwdPolicyReference:
        cn=users,cn=INTERN,cn=kerberos,dc=skole,dc=skolelinux,dc=no
add krbPrincipalName:
        harhir@INTERN
adding new entry "uid=harhir,ou=people,ou=Teachers,dc=skole,dc=skolelinux,dc=no"
modify complete

Authenticating as principal root/admin@INTERN with password.
kadmin.local:  change_password harhir@INTERN
Enter password for principal "harhir@INTERN": 
Re-enter password for principal "harhir@INTERN": 
Password for "harhir@INTERN" changed.
kadmin.local:  lpcfg_do_global_parameter: WARNING: The "encrypt passwords" option is deprecated
Added user harhir.

14.8. Verwenden von »stable-updates«

Es ist möglich, aber nicht notwendig, stable-updates direkt zu verwenden: Stable-Updates werden regelmäßig (etwa alle zwei Monate) anlässlich der Veröffentlichung von Stable-Pointreleases in die Stable-Suite übernommen.

14.9. Mittels Backports neuere Software installieren

Sie benutzen Debian Edu, weil Sie seine Stabilität schätzen. Es läuft sehr gut, es gibt nur ein Problem: Manchmal ist eine Software ein wenig mehr veraltet als Ihnen recht ist. Hier kommt backports.debian.org ins Spiel.

Backports sind extra kompilierte Pakete aus Debian-Testing (meistens) und Debian-Unstable (allerdings nur in Ausnahmefällen, insbesondere Sicherheitsaktualisierungen), so dass sie ohne neue Bibliotheken (sofern das möglich ist) auf einer stabilen Debian-Distribution wie Debian Edu laufen. Es wird empfohlen, nur diejenigen Backports auszuwählen, die Sie benötigen und nicht alle verfügbaren zu benutzen.

Die Nutzung von Backports ist einfach:

echo "deb http://deb.debian.org/debian/ bookworm-backports main" > /etc/apt/sources.list.d/bookworm-backports.sources.list
apt update

Anschießend können Pakete aus Backports einfach installiert werden; der folgende Befehl wird die Backports-Version von tuxtype installieren:

apt install tuxtype/bookworm-backports

Backports werden (falls verfügbar) automatisch aktualisiert - genauso wie andere Pakete. So wie das normale Depot hat Backports drei Sektionen: main, contrib und non-free.

14.10. Upgrade mit einer CD oder einem vergleichbaren Medium

Falls Sie ein Upgrade von einer Version zu einer nächsten (wie z.B. von Bookworm 12.1 auf 12.2) durchführen wollen, aber keine Internetverbindung, nur physikalische Medien haben, dann führen Sie folgende Schritte aus:

Legen Sie die CD / DVD / Blu-ray Disc ein oder stecken Sie den USB-Stick ein und benutzen Sie den Befehl apt-cdrom:

apt-cdrom add

Zitat aus der Handbuchseite von apt-cdrom(8):

  • apt-cdrom wird benutzt, um eine neue CD-ROM zu APTs Liste der verfügbaren Quellen hinzuzufügen. apt-cdrom kümmert sich um die Feststellung der Struktur des Mediums, sowie um die Korrektur für mehrere mögliche Fehlbrennungen und prüft die Indexdateien.

  • Es ist notwendig, apt-cdrom zu benutzen, um CDs zum APT-System hinzuzufügen; dies kann nicht manuell erfolgen. Weiterhin muss jedes Medium in einer Zusammenstellung aus mehreren CDs einzeln eingelegt und gescannt werden, um auf mögliche Fehlbrennungen zu testen.

Dann sind diese beiden Befehle für das Upgrade auszuführen:

apt update
apt full-upgrade

14.11. Automatisches Aufräumen übrig gebliebener Prozesse

killer ist ein Perl-Skript, das Hintergrundprozesse aufräumt. Hintergrundprozesse sind definiert als Prozesse, die zu Nutzern gehören, die zur Zeit nicht am System angemeldet sind. Das Skript wird per Cron-Job einmal in der Stunde ausgeführt.

14.12. Automatische Installation von Sicherheitsaktualisierungen

unattended-upgrades ist ein Debian-Paket, das automatisch Sicherheitsaktualisierungen (und andere Aktualisierungen) installieren kann. Falls installiert, ist das Paket so vorkonfiguriert, dass Sicherheitsaktualisierungen erfolgen. Die Log-Dateien gibt es in /var/log/unattended-upgrades/; außerdem gibt es immer /var/log/dpkg.log und /var/log/apt/.

14.13. Automatisches Herunterfahren von Rechnern während der Nacht

Es ist möglich, Energie und Geld zu sparen, indem Client-Rechner nachts automatisch ausgeschaltet und morgens wieder eingeschaltet werden. Das Paket shutdown-at-night versucht, den Rechner ab 16:00 Uhr nachmittags zu jeder vollen Stunde auszuschalten, schaltet ihn aber nicht aus, wenn er anscheinend Benutzer hat. Es wird versucht, dem BIOS mitzuteilen, den Rechner um 07:00 Uhr morgens einzuschalten, und der Hauptserver wird versuchen, die Rechner ab 06:30 Uhr durch das Senden von Wake-on-LAN-Paketen einzuschalten. Diese Zeiten können in den Crontabs der einzelnen Rechner geändert werden.

Falls Sie das vorhaben, sollten folgende Punkte beachtet werden:

  • Die Clients sollten nicht abgeschaltet werden, wenn jemand sie benutzt. Dies wird durch die Überprüfung der Ausgabe von who sichergestellt, und als Sonderfall wird überprüft, ob der SSH-Verbindungsbefehl mit X2Go-Thin-Clients aktiv ist.

  • Um das Herausspringen von Sicherungen zu vermeiden, sollte sichergestellt sein, dass nicht alle Client-Rechner gleichzeitig eingeschaltet werden.

  • Es gibt zwei Methoden, Client-Rechner aufzuwecken. Eine Methode nutzt eine BIOS-Eigenschaft und setzt eine korrekt arbeitende Hardware-Uhr voraus sowie eine Hauptplatine und eine BIOS-Version, die von nvram-wakeup unterstützt wird. Die andere verlangt die Unterstützung von Wake-On-Lan auf allen Client-Rechnern sowie einen Server, der weiß, wie alle Clients aufzuwecken sind.

14.13.1. Das Herunterfahren in der Nacht einrichten

Legen Sie auf Rechnern, die über Nacht abgeschaltet werden sollen, die Datei /etc/shutdown-at-night/shutdown-at-night mit Hilfe von »touch« an - oder fügen Sie die entsprechenden Rechnernamen (wie in 'uname -n' angegeben) der »Netgroup« »shutdown-at-night-hosts« hinzu. Das Hinzufügen der Rechner zur »Netgroup« in LDAP kann mit der GOsa²Webschnittstelle erfolgen. Für diese Rechner muss ggf. im BIOS die Wake-On-Lan-Funktion (WOL) aktiviert werden. Außerdem muss sichergestellt werden, dass alle Router und Switches auch dann WOL-Pakete weiterleiten, wenn die angesprochenen Rechner ausgeschaltet sind. Von einigen Switches ist bekannt, dass sie keine WOL-Pakete weiterleiten, wenn die Empfängeradresse nicht in deren ARP-Tabelle vorhanden ist.

Um Wake-On-Lan auf dem Server einzuschalten, tragen Sie die Client-Rechner in die Datei /etc/shutdown-at-night/clients ein: Eine Zeile pro Client, zuerst die IP-Adresse, danach die MAC-Adresse (bzw. Ethernet-Adresse), durch Leerzeichen voneinander getrennt. Alternativ können Sie ein Skript /etc/shutdown-at-night/clients-generator schreiben, das eine solche Liste erstellt.

Hier sehen Sie ein Beispiel /etc/shutdown-at-night/clients-generator, das mit sitesummary genutzt werden kann:

  #!/bin/sh
  PATH=/usr/sbin:$PATH
  export PATH
  sitesummary-nodes -w

Wenn die »Netgroup« benutzt wird, um shutdown-at-night auf den Clients zu aktivieren, ist dieses Skript eine Alternative; es nutzt das Netgroup-Werkzeug aus dem Paket ng-utils:

  #!/bin/sh
  PATH=/usr/sbin:$PATH
  export PATH
  netgroup -h shutdown-at-night-hosts

14.14. Zugriff auf Debian-Edu-Server, die sich hinter einer Firewall befinden

Um Maschinen, die hinter einer Firewall liegen, vom Internet aus erreichen zu können, könnten Sie das Paket autossh installieren. Dies erlaubt das Einrichten eines SSH-Tunnels zu einer Maschine im Internet, zu der Sie Zugang haben. Von dieser Maschine aus können Sie dann über den SSH-Tunnel den Server hinter der Firewall erreichen.

14.15. Dienste auf separaten Rechnern zur Entlastung des Hauptservers installieren

Bei der Standardinstallation laufen alle Dienste auf dem Hauptserver, Hostname tjener. Um auf einfache Weise einige Dienste auf eine andere Maschine zu verlagern, gibt es das Installationsprofil Minimal. Eine Installation unter Verwendung dieses Profils führt zu einer Maschine, die zum Debian-Edu-Netzwerk gehört, auf der aber (noch) keine Dienste laufen.

Diese Schritte sind erforderlich, um eine Maschine für einige Dienste aufzusetzen:

  • bei der Installation das Minimal-Profil wählen

  • Installieren Sie die Pakete für den gewünschten Dienst

  • Konfigurieren Sie den Dienst

  • den Dienst auf dem Hauptserver deaktivieren

  • den DNS-Dienst (via LDAP/GOsa²) auf dem Hauptserver aktualisieren

14.16. HowTos von wiki.debian.org

FIXME: The HowTos from https://wiki.debian.org/DebianEdu/HowTo/ are either user- or developer-specific. Let's move the user-specific HowTos over here (and delete them over there)! (But first ask the authors (see the history of those pages to find them) if they are fine with moving the howto and putting it under the GPL.)

15. HowTo für fortgeschrittene Administration

In diesem Kapitel werden fortgeschrittene Administrationsaufgaben beschrieben.

15.1. Angepasste Benutzerverwaltung mit GOsa²

15.1.1. Anlegen von Benutzerkonten in Jahrgangsgruppen

In diesem Beispiel sollen Benutzerkonten in Jahrgangsgruppen angelegt werden, mit Home-Verzeichnissen in einem jeweiligen Gruppenverzeichnis (home0/2024, home0/2026 etc.). Die Konten sollen mittels CSV-Import angelegt werden.

(als Root auf dem Hauptserver)

  • Legen Sie das gewünschte Gruppenverzeichnis an

mkdir /skole/tjener/home0/2024

(als Erstbenutzer in GOsa²)

  • Abteilung

Wählen Sie im Hauptmenü »Verzeichnistruktur«. Klicken Sie auf die Abteilung »Students«. Im Basis-Feld sollte »/Students« angezeigt werden. Wählen Sie aus der »Aktionen«-Box »Anlegen/Abteilung«. Geben Sie Werte in die Felder »Name der Abteilung« (2024) und »Beschreibung« (Abschluss 2024) ein, lassen Sie das Basis-Feld unverändert (es sollte »/Students« zeigen). Klicken Sie zum Speichern auf »OK«. Die neue Abteilung (2024) sollte nun unterhalb von »/Students« angezeigt werden. Klicken Sie darauf.

  • Gruppe

Wählen Sie aus dem Hauptmenü »Gruppen«; dann »Aktionen/Anlegen/Gruppe«. Geben Sie den Gruppennamen ein (lassen Sie »Basis« unverändert, es sollte dort »/Students/2024« stehen) und klicken Sie »OK«, um zu speichern.

  • Vorlage

Wählen Sie aus dem Hauptmenü »Benutzer«. Wechseln Sie im Basis-Feld zu »/Students«. Es sollte dort ein Eintrag NewStudent vorhanden sein: klicken Sie darauf. Dies ist die Vorlage »NewStudents«, kein normaler Benutzer. Für den CSV-Import in Ihre Verzeichnisstruktur müssen Sie eine neue Vorlage anlegen, die auf dieser basiert. Notieren Sie sich deshalb alle Einträge in den Feldern der Reiter »Allgemein« und »POSIX«; eventuell Screenshots erstellen, um Informationen für die neue Vorlage verfügbar zu haben.

Wechseln Sie nun im Basis-Feld zu »/Students/2024«; wählen Sie »Anlegen/Vorlage« und beginnen Sie mit dem Eintragen der von Ihnen gewünschen Werte, zuerst unter dem Reiter »Allgemein«, dann »POSIX«-Einstellungen hinzufügen (unter »POSIX« zusätzlich die neu erstellte Gruppe »2024« unter »Gruppenmitgliedschaft« hinzufügen).

  • Benutzerdaten importieren

Wählen Sie beim CSV-Import die neue Vorlage aus; ein Test mit einigen Benutzern ist zu empfehlen.

15.2. Andere Anpassungen für Benutzer

15.2.1. Ordner in den Home-Verzeichnissen aller Nutzer erstellen

Mit diesem Skript kann der Administrator einen Ordner im Home-Verzeichnis eines jeden Nutzers erstellen und Zugriffsrechte sowie den Besitzer einstellen.

Im Beispiel unten mit group=teachers (die Gruppe Lehrer) und permissions=2770 (die Zugriffsrechte des Ordners für die gemeinsame Ablage) kann ein Nutzer eine Arbeit abgeben, indem er die Datei im Ordner »Arbeiten« speichert. In diesem Ordner besitzen Lehrer (genauer: alle Nutzer in der Gruppe teachers) Schreibrechte, um beispielsweise Kommentare hinzuzufügen.

 #!/bin/bash
 home_path="/skole/tjener/home0"
 shared_folder="assignments"
 permissions="2770"
 created_dir=0
 for home in $(ls $home_path); do
    if [ ! -d "$home_path/$home/$shared_folder" ]; then
        mkdir $home_path/$home/$shared_folder
        chmod $permissions $home_path/$home/$shared_folder
        user=$home
        group=teachers
        chown $user:$group $home_path/$home/$shared_folder
        ((created_dir+=1))
    else
        echo -e "the folder $home_path/$home/$shared_folder already exists.\n"
    fi
 done
 echo "$created_dir folders have been created"

15.3. Einen speziellen Dateiserver benutzen

Führen Sie diese Schritte aus, um einen eigenen Dateiserver für das Speichern von Benutzerverzeichnissen - und möglicherweise auch anderen Daten - einzurichten.

  • Verwenden Sie GOsa², um ein neues System vom Typ server einzurichten - wie im KapitelErste Schritte dieses Handbuchs beschrieben.

    • In diesem Beispiel wird 'nas-server.intern' als Servername verwendet. Sobald 'nas-server.intern' konfiguriert ist, sollte kontrolliert werden, ob die NFS-Exporte des neuen Dateiservers für die relevanten Subnetze bzw. Rechner zur Verfügung stehen:

          root@tjener:~# showmount -e nas-server
          Export list for nas-server:
          /storage         10.0.0.0/8
          root@tjener:~#

      Hier wird allem auf dem »backbone«-Netzwerk Zugang zum Export »/storage« gewährt. (Um den NFS-Zugang einzuschränken, könnte dies auf die Zugehörigkeit zu einer »netgroup« oder auf einzelne IP-Adressen beschränkt werden - ähnlich, wie dies in der Datei »tjener:/etc/exports« geschieht.

  • »automount«-Information für 'nas-server.intern' in LDAP hinzufügen, um allen Clients auf Anforderung das automatische Einhängen zu erlauben.

    • Dies kann nicht mittels GOsa² erfolgen, da dort ein Modul für »automount« fehlt. Verwenden Sie stattdessen »ldapvi« und fügen Sie die erforderlichen LDAP-Objekte mittels Editor hinzu.

      ldapvi --ldap-conf -ZD '(cn=admin)' -b ou=automount,dc=skole,dc=skolelinux,dc=no

      Sobald der Editor bereit ist, fügen Sie die folgenden LDAP-Objekte am Ende des Dokuments hinzu. (Der Bestandteil "/&" im letzten LDAP-Objekt ist ein Platzhalter für alle 'nas-server.intern'-Exporte; damit entfällt das Auflisten individueller Einhängepunkte in LDAP.)

          add cn=nas-server,ou=auto.skole,ou=automount,dc=skole,dc=skolelinux,dc=no
          objectClass: automount
          cn: nas-server
          automountInformation: -fstype=autofs --timeout=60 ldap:ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no
       
          add ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no
          objectClass: top
          objectClass: automountMap
          ou: auto.nas-server
       
          add cn=/,ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no
          objectClass: automount
          cn: /
          automountInformation: -fstype=nfs,tcp,rsize=32768,wsize=32768,rw,intr,hard,nodev,nosuid,noatime nas-server.intern:/&
  • Hinzufügen relevanter Einträge in der Datei »tjener.intern:/etc/fstab«, da »tjener.intern« zum Vermeiden von Endlosschleifen beim Einhängen kein »automount« verwendet:

    • Legen Sie die Einhängeverzeichnisse mittels mkdir an, editieren Sie '/etc/fstab' entsprechend und führen Sie mount -a aus, um die neuen Ressourcen einzuhängen.

Die Benutzer sollten nun Zugang zu den Dateien des Dateiservers 'nas-server.intern' haben, wenn Sie mit einer Anwendung auf das Verzeichnis '/tjener/nas-server/storage/' zugreifen - sei es von einer Workstation, einem LTSP-Thin-Client oder einem LTSP-Server aus.

15.4. Den SSH-Zugang beschränken

Es gibt mehrere Wege, den SSH-Zugang zu beschränken; einige sind hier aufgeführt.

15.4.1. Setup ohne LTSP-Clients

Falls keine LTSP-Clients verwendet werden, besteht eine einfache Lösung darin, eine neue Gruppe (wie z.B. sshusers) anzulegen und auf dem Rechner in der Datei /etc/ssh/sshd_config eine Zeile zu ergänzen. Dann könnten sich nur Mitglieder der Gruppe sshusers mittels ssh auf der Maschine von überall her anmelden.

Dieser Fall kann mit GOsa² ziemlich einfach erledigt werden:

  • Legen Sie auf dem Basis-Level eine Gruppe sshusers an; dort sind schon einige für das Systemmanagement wichtige Gruppen wie gosa-admins vorhanden.

  • Fügen Sie der neuen Gruppe sshusers Benutzer hinzu.

  • Ergänzen Sie den Inhalt der Datei /etc/ssh/sshd_config um die Zeile AllowGroups sshusers.

  • service ssh restart ausführen.

15.4.2. Setup mit LTSP-Clients

Die standardmäßige LTSP-Diskless-Client-Einrichtung verwendet keine SSH-Verbindungen. Es genügt, das SquashFS-Image auf dem entsprechenden LTSP-Server zu aktualisieren, nachdem die SSH-Einrichtung geändert wurde.

X2Go-Thin-Clients verwenden SSH-Verbindungen zum entsprechenden LTSP-Server. Es ist also ein anderer Ansatz mit PAM erforderlich.

  • Auf dem LTSP-Server pam_access.so in der Datei /etc/pam.d/sshd aktivieren.

  • In der Datei /etc/security/access.conf den Zugang für die (Beispiel-)Benutzer alice, jane, bob and john von überall her sowie für alle anderen Benutzer nur aus den internen Netzwerken ermöglichen durch Einfügen dieser Zeilen:

+ : alice jane bob john : ALL
+ : ALL : 10.0.0.0/8 192.168.0.0/24 192.168.1.0/24
- : ALL : ALL
#

Das Netzwerk 10.0.0.0/8 könnte aus der Liste entfernt und damit der interne SSH-Zugang verhindert werden, falls dedizierte LTSP-Server Verwendung finden. Hinweis: Jemand, der seinen Rechner mit einem der dedizierten LTSP-Client-Netzwerke verbindet, hat dann auch SSH-Zugang zu dem jeweiligen LTSP-Server.

15.4.3. Ein Hinweis für kompliziertere Setups

Wenn X2Go-Clients an das Backbone-Netzwerk 10.0.0.0/8 angeschlossen würden, wären die Dinge noch komplizierter und vielleicht würde nur ein ausgeklügeltes DHCP-Setup (in LDAP), das den Vendor-Class-Identifier prüft, zusammen mit einer entsprechenden PAM-Konfiguration es ermöglichen, den internen SSH-Zugang zu deaktivieren.

16. HowTos für die graphische Arbeitsumgebung

16.1. Eine mehrsprachige Arbeitsumgebung einrichten

Um mehrere Sprachen zu unterstützen, müssen diese Schritte erfolgen:

  • Als Benutzer »root« dpkg-reconfigure locales ausführen und die Sprachen wählen (UTF-8-Varianten).

  • Führen Sie dies als »root« aus, um die entsprechenden Pakete zu installieren:

    •    apt update
         /usr/share/debian-edu-config/tools/install-task-pkgs
         /usr/share/debian-edu-config/tools/improve-desktop-l10n

Benutzern wird es dann möglich sein, die Sprache vor dem Anmelden über den LightDM-Displaymanager zu wählen; dies trifft für Xfce, LXDE und LXQt zu. GNOME und auch KDE haben eigene Einstellmöglichkeiten für Region und Sprache; diese sollten benutzt werden. MATE verwendet (zusätzlich zu LightDM) den Arctica-Greeter, der kein Sprachwahlmodul hat. Nach dem Ausführen von apt purge arctica-greeter ist der normale LightDM-Greeter vorhanden.

16.2. DVDs abspielen

Um die meisten kommerziellen DVDs abzuspielen, benötigen Sie das Paket libdvdcss. Dies ist aus rechtlichen Gründen nicht in Debian (Edu) enthalten. Wenn Sie libdvdcss legal verwenden dürfen, können Sie eigene lokale Pakete mittels libdvd-pkg selbst bauen; dazu muss contrib in /etc/apt/sources.list aktiviert sein.

apt update
apt install libdvd-pkg

Beantworten Sie die Debconf-Fragen und führen Sie dann dpkg-reconfigure libdvd-pkg aus.

16.3. Schreibschrift-Zeichensätze

Das Paket fonts-linex (das voreingestellt installiert wird) installiert den Zeichensatz "Abecedario", ein schöner Schreibschrift-Zeichensatz für Kinder. Der Zeichensatz beinhaltet verschiedene, für Kinder geeignete Formen: gepunktet oder liniert.

17. HowTos für Netzwerk-Clients

17.1. Einführung in Thin Clients (auch als Terminals bezeichnet) und Diskless Workstations (Arbeitsplatzrechner ohne Festplatte)

Eine allgemeine Bezeichnung für sowohl Thin Clients wie auch Diskless-Workstations ist LTSP-Client.

Beginnend mit Bullseye unterscheidet sich LTSP deutlich von den vorherigen Versionen. Dies betrifft sowohl die Einrichtung als auch die Wartung.

  • Ein Hauptunterschied besteht darin, dass das SquashFS-Image für Diskless -Workstations nun standardmäßig aus dem LTSP-Server-Dateisystem erzeugt wird. Dies geschieht auf einem Kombi-Server beim ersten Start und nimmt einige Zeit in Anspruch.

  • Thin Clients sind nicht mehr Teil von LTSP. Debian Edu verwendet X2Go, um die Verwendung von Thin Clients weiterhin zu unterstützen.

  • Im Falle eines separaten oder zusätzlichen LTSP-Servers sind die erforderlichen Informationen zur Einrichtung der LTSP-Client-Umgebung zum Zeitpunkt der Installation nicht vollständig. Die Einrichtung kann erfolgen, nachdem das System mit GOsa² hinzugefügt wurde.

Informationen über LTSP im Allgemeinen finden Sie auf der LTSP-Homepage. Auf Systemen mit LTSP-Server-Profil liefert man ltsp weitere Informationen.

Bitte beachten Sie, dass das zu LTSP gehörende Werkzeug ltsp mit Vorsicht verwendet werden muss. Zum Beispiel würde ltsp image / das SquashFS-Image bei Debian-Rechnern nicht erzeugen (diese haben standardmäßig eine separate /boot-Partition), ltsp ipxe würde das iPXE-Menü nicht korrekt erzeugen (aufgrund der Thin-Client-Unterstützung von Debian Edu), und ltsp initrd würde den Start des LTSP-Clients komplett durcheinander bringen.

Das debian-edu-ltsp-install Werkzeug ist ein Wrapper-Skript für ltsp image, ltsp initrd und ltsp ipxe. Es wird verwendet, um Unterstützung für Diskless Workstations und Thin Clients einzurichten und zu konfigurieren (sowohl 64-Bit- als auch 32-Bit-PC). Siehe man debian-edu-ltsp-install oder den Inhalt des Skripts, um zu sehen, wie es funktioniert. Die gesamte Konfiguration ist im Skript selbst enthalten (HERE-Dokumente), um standortspezifische Anpassungen zu erleichtern.

Beispiele, wie Sie das Wrapper-Skript debian-edu-ltsp-install verwenden können:

  • debian-edu-ltsp-install --diskless_workstation yes aktualisiert das SquashFS-Image für Diskless Workstations (vom Server-Dateisystem)

  • debian-edu-ltsp-install --diskless_workstation yes --thin_type bare erstellt Unterstützung für Diskless Workstations und 64-Bit Thin Clients.

  • debian-edu-ltsp-install --arch i386 --thin_type bare erstellt zusätzliche 32-Bit-Thin-Client-Unterstützung (Chroot und SquashFS-Image).

Neben bare (kleinstes Thin-Client-System) stehen auch display und desktop als Optionen zur Verfügung. Der Display-Typ bietet eine Schaltfläche zum Herunterfahren, der Desktop-Typ führt Firefox ESR im Kiosk-Modus auf dem Client selbst aus (mehr lokaler RAM und CPU-Leistung erforderlich, aber weniger Serverlast).

Das debian-edu-ltsp-ipxe Werkzeug ist ein Wrapper-Skript für ltsp ipxe. Es stellt sicher, dass die Datei /srv/tftp/ltsp/ltsp.ipxe für Debian Edu passend ist. Der Befehl muss ausgeführt werden, nachdem iPXE-Menü-Einträge (wie Menü-Timeout oder Standard-Boot-Einstellungen) in der /etc/ltsp/ltsp.conf [server] Sektion geändert wurden.

Das debian-edu-ltsp-initrd Werkzeug ist ein Wrapper-Skript für ltsp initrd. Es sorgt dafür, dass eine anwendungsspezifische Initrd (/srv/tftp/ltsp/ltsp.img) erzeugt und dann in das anwendungsspezifische Verzeichnis verschoben wird. Der Befehl muss ausgeführt werden, nachdem der Abschnitt /etc/ltsp/ltsp.conf [clients] geändert wurde.

Das debian-edu-ltsp-chroot Werkzeug ist ein Ersatz für das ltsp-chroot Werkzeug, das zu LTSP5 gehörte. Es wird verwendet, um Befehle in einem bestimmten LTSP-Chroot auszuführen (wie z.B. Installieren, Upgrade und Entfernen von Paketen).

Diskless Workstation

Bei einer Diskless Workstation laufen alle Anwendungen lokal. Die Maschine bootet ohne lokale Festplatte direkt vom LTSP-Server. Die Software wird auf dem LTSP-Server administriert und gewartet, läuft aber auf der Diskless Workstation. Ebenso werden Home-Verzeichnisse und Systemeinstellungen auf dem Server gespeichert. Diskless Workstations sind eine hervorragende Möglichkeit zur Wiederverwendung älterer (aber leistungsfähiger) Hardware mit den gleichen geringen Wartungskosten wie bei Thin Clients.

Im Unterschied zu Arbeitsplatzrechnern benötigen LTSP Diskless Workstations keine Konfiguration in GOsa².

Thin Client

Ein Thin-Client-Setup ermöglicht es, einen gewöhnlichen PC als (X-)Terminal zu verwenden, wobei die gesamte Software auf dem LTSP-Server läuft. Das bedeutet, dass dieser Rechner über PXE gebootet wird, ohne eine lokale Client-Festplatte zu verwenden, und dass der LTSP-Server ein leistungsstarker Rechner sein muss.

Debian Edu unterstützt nach wie vor die Verwendung von Thin Clients, um die Nutzung von sehr alter Hardware zu ermöglichen.

Da Thin Clients X2Go verwenden, sollten Benutzer das Compositing deaktivieren, um Anzeigeartefakte zu vermeiden. Im Standardfall (Xfce-Desktop-Umgebung): Einstellungen -> Feineinstellungen der Fensterverwaltung -> Komposit.

Firmware der LTSP-Clients

Der Start von LTSP-Clients wird scheitern, falls für die Netzwerkschnittstelle des Clients Firmware aus »non-free« erforderlich ist. Eine PXE-Installation könnte zur Fehlersuche bei Problemen mit solchen Maschinen verwendet werden: Falls der Debian-Installer wegen fehlender XXX.bin-Dateien abbricht, dann ist es notwendig, die Initrd des LTSP-Servers mit Firmware aus »non-free« zu ergänzen.

Gehen Sie auf dem LTSP-Server wie folgt vor:

  • Rufen Sie zunächst Informationen über Firmware-Pakete ab:

apt update && apt search ^firmware-
  • Entscheiden Sie, welches Paket für die Netzwerkschnittstelle(n) installiert werden muss, höchstwahrscheinlich wird dies firmware-linux sein, führen Sie dann aus::

apt -y -q install firmware-linux
  • Aktualisieren Sie das SquashFS-Image für Diskless-Workstations, führen Sie aus:

debian-edu-ltsp-install --diskless_workstation yes
  • Falls X2Go Thin Clients verwendet werden, führen Sie diesen Befehl aus:

/usr/share/debian-edu-config/tools/ltsp-addfirmware -h
  • und verfahren Sie entsprechend den Nutzungsinformationen.

    Aktualisieren Sie dann das SquashFS-Image; führen Sie z.B. für den /srv/ltsp/x2go-bare-amd64 Chroot aus:

ltsp image x2go-bare-amd64

17.1.1. Typ des LTSP-Clients auswählen

Jeder LTSP-Server hat zwei Ethernet-Schnittstellen. Eine ist für das Subnetz 10.0.0.0/8 (in dem auch der Hauptserver liegt) konfiguriert. Die andere ist mit einem lokalen Subnetz verbunden. (Jeder LTSP-Server versorgt ein eigenes Subnetz.)

In beiden Fällen kann Diskless Workstation oder Thin Client aus dem iPXE-Menü gewählt werden. Nach einer Wartezeit von 5 Sekunden bootet das Gerät als Diskless Workstation.

Das Standard-Boot-Menüelement und sein Standard-Timeout-Wert können beide in /etc/ltsp/ltsp.conf konfiguriert werden. Ein Timeout-Wert von -1 wird verwendet, um das Menü nicht anzuzeigen. Führen Sie debian-edu-ltsp-ipxe aus, damit alle Änderungen wirksam werden.

17.1.2. Ein anderes LTSP-Client-Netzwerk verwenden

192.168.0.0/24 ist das vorgegebene LTSP-Client-Netzwerk, wenn für die Installation einer Maschine das Profil »LTSP-Server« gewählt wird. Falls sehr viele LTSP-Clients betrieben werden oder wenn i386- und amd64-Chroot-Umgebungen von verschiedenen LTSP-Servern zur Verfügung gestellt werden sollen, dann kann auch das zweite vorkonfigurierte Netzwerk 192.168.1.0/24 verwendet werden. Öffnen Sie die Datei /etc/network/interfaces und passen Sie die Einstellungen für »eth1« entsprechend an. Verwenden Sie ldapvi oder einen anderen LDAP-Editor, um die DNS- und DHCP-Konfiguration einzusehen.

17.1.3. LTSP-Chroot für 32-Bit-PC-Rechner einrichten

Um Chroot und SquashFS-Image zu erstellen, führen Sie aus:

debian-edu-ltsp-install --arch i386 --thin_type bare

Siehe man debian-edu-ltsp-install für Details über Thin Client-Typen.

17.1.4. Konfiguration von LTSP-Clients

Führen Sie den Befehl man ltsp.conf aus, um eine Übersicht über verfügbare Optionen zu bekommen. Auch online verfügbar: https://ltsp.org/man/ltsp.conf/

Fügen Sie Konfigurationseinträge zum Abschnitt /etc/ltsp/ltsp.conf [clients] hinzu. Damit die Änderungen wirksam werden, führen Sie diesen Befehl aus:

debian-edu-ltsp-initrd

17.1.5. Sound auf LTSP-Clients

LTSP Thin Clients benutzen vernetztes Audio zur Tonweiterleitung vom Server zu den Clients.

LTSP Diskless Workstations.

17.1.6. Zugriff auf USB-Laufwerke und CD-ROMs/DVDs

Wenn Benutzer ein USB-Gerät oder eine DVD / CD-ROM an eine Diskless Workstation anschließen, erscheint ein entsprechendes Symbol auf dem Desktop und ermöglicht den Zugriff auf den Inhalt wie auf einer Workstation.

Wenn Benutzer ein USB-Gerät an einen X2Go-Thin-Client des Typs bare (standardmäßige Kombiserver-Installation) anschließen, wird das Medium aktiviert, sobald ein Doppelklick auf das vorhandene Ordnersymbol auf dem Xfce-Desktop erfolgt. Je nach Medieninhalt kann es einige Zeit dauern, bis der Inhalt im Dateimanager angezeigt wird

17.1.6.1. Warnhinweis zu Wechseldatenträgern auf LTSP-Servern

Wenn USB-Geräte und andere Wechseldatenträger in einen LTSP-Server eingesteckt werden, wird das entsprechende Ordnersymbol auf den LTSP-Thin-Client-Desktops angezeigt. Remote-Benutzer können auf die Dateien zugreifen.

17.1.7. An LTSP-Clients angeschlossene Drucker verwenden

  • Schließen Sie den Drucker an den LTSP-Client-Rechner an (USB- und Parallel-Port möglich).

  • Konfigurieren Sie den LTSP-Client mit GOsa² für die Verwendung einer festen IP-Adresse.

  • Richten Sie den Drucker über die Website https://www.intern:631 auf dem Hauptserver ein; wählen Sie den Netzwerkdrucker-Typ AppSocket/HP JetDirect (für alle Drucker gültig, egal welche Marke oder welches Modell) und geben Sie socket://<LTSP-Client-IP>:9100 als Verbindungs-URI ein.

17.2. Ändern des PXE-Setups

PXE steht für Preboot eXecution Environment. Debian Edu verwendet jetzt die iPXE-Implementierung, um die LTSP-Integration zu vereinfachen.

17.2.1. Konfiguration des PXE-Menüs

Der iPXE-Menüpunkt zu Systeminstallationen wird mit dem Skript debian-edu-pxeinstall erzeugt. Es erlaubt, dass einige Einstellungen mit in der Datei /etc/debian-edu/pxeinstall.conf enthaltenen Ersatzwerten überschrieben werden können.

17.2.2. Konfiguration der PXE-Installation

Die PXE-Installation wird Sprache, Tastaturlayout und weitere Einstellungen vom Hauptserver übernehmen. Alles andere (Profil, Popcon-Teilnahme, Partitionierung und Root-Passwort) wird während der Installation abgefragt. Um diese Fragen zu vermeiden, kann die Datei /etc/debian-edu/www/debian-edu-install.dat so modifiziert werden, dass sie vorgegebene Antworten für debconf-Werte bereithält. Einige Beispiele für vorhandene debconf-Werte sind schon kommentiert in /etc/debian-edu/www/debian-edu-install.dat vorhanden. Ihre Änderungen werden allerdings verloren gehen, sobald debian-edu-pxeinstall benutzt wird, um die PXE-Installationsumgebung neu zu erzeugen. Um debconf-Werte bei Erzeugung der Umgebung mit debian-edu-pxeinstall in /etc/debian-edu/www/debian-edu-install.dat einzufügen, kann die Datei /etc/debian-edu/www/debian-edu-install.dat.local mit den zusätzlichen debconf-Werten hinzugefügt werden.

Weitere Informationen zum Anpassen einer PXE-Installation befinden sich im Kapitel Installation.

17.2.3. Ein eigenes Depot für die PXE-Installation hinzufügen

Um ein eigenes Depot hinzuzufügen, wird /etc/debian-edu/www/debian-edu-install.dat.local beispielsweise um die folgenden Zeilen ergänzt:

d-i     apt-setup/local1/repository string      http://example.org/debian stable main contrib non-free
d-i     apt-setup/local1/comment string         Example Software Repository
d-i     apt-setup/local1/source boolean         true
d-i     apt-setup/local1/key    string          http://example.org/key.asc

und dann einmal /usr/sbin/debian-edu-pxeinstall ausführen.

17.3. Netzwerkeinstellungen ändern

Das Paket debian-edu-config enthält ein Werkzeug, mit dessen Hilfe das Netzwerk von 10.0.0.0/8 in ein anderes geändert werden kann. Sehen Sie sich dazu /usr/share/debian-edu-config/tools/subnet-change an. Dieses Skript sollte unmittelbar nach der Installation des Hauptservers ausgeführt werden, um LDAP und andere Dateien zu aktualisieren, die für den Wechsel des Subnetzes bearbeitet werden müssen.

Bitte beachten Sie, dass der Wechsel zu einem der bereits von Debian-Edu benutzten Subnetze nicht funktionieren wird. 192.168.0.0/24 und 192.168.1.0/24 sind bereits als LTSP-Client-Netzwerke eingerichtet. Ein Wechsel zu diesem Subnetz erfordert manuelles Bearbeiten der Konfiguration zur Beseitigung von Doppeleinträgen.

Es gibt keinen einfachen Weg, um den DNS-Domain-Namen zu ändern. Dazu wären sowohl an der LDAP-Struktur wie auch an mehreren Dateien auf dem Hauptserver Änderungen erforderlich. Es gibt auch keinen einfachen Weg, um den Host- und DNS-Namen des Hauptservers (tjener.intern) zu ändern. Dazu wären ebenfalls Änderungen in LDAP sowie an Dateien auf dem Hauptserver und auf allen Clients notwendig. In beiden Fällen wären zusätzlich Änderungen an der Kerberos-Konfiguration notwendig.

17.4. Remote Desktop (Entfernte Arbeitsfläche)

Bei Verwendung des Profils »LTSP-Server« und bei Kombiservern werden jeweils auch die Pakete xrdp und x2goserver installiert.

17.4.1. Xrdp

Xrdp verwendet das Remote Desktop Protocol, um für entfernte Clients eine graphische Anmeldung zur Verfügung zu stellen. Benutzer von Microsoft Windows können sich mit einem LTSP-Server (auf dem xrdp läuft) verbinden, ohne zusätzliche Software installieren zu müssen - sie starten einfach eine Remote-Desktop-Verbindung auf ihrer Windows-Maschine und melden sich an.

Zusätzlich kann xrdp die Verbindung zu einem VNC-Server oder einem anderen RDP-Server herstellen.

Xrdp wird ohne Sound-Unterstützung ausgeliefert; um die erforderlichen Module zu kompilieren (oder neu zu kompilieren), kann dieses Skript verwendet werden. Bitte beachten Sie: Der Aufrufer muss root oder ein Mitglied der sudo-Gruppe sein. Außerdem muss /etc/apt/sources.list eine gültige deb-src-Zeile enthalten.

 #!/bin/bash
 set -e
  if [[ $UID -ne 0 ]] ; then  
     if ! groups | egrep -q sudo ; then
         echo "ERROR: You need to be root or a sudo group member."
         exit 1
     fi
 fi
 if ! egrep -q  ^deb-src /etc/apt/sources.list ; then
     echo "ERROR: Make sure /etc/apt/sources.list contains a deb-src line."
     exit 1
 fi
 TMP=$(mktemp -d)
 PULSE_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' pulseaudio)"
 XRDP_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' xrdp)"
 sudo apt -q update
 sudo apt -q install dpkg-dev
 cd $TMP
 apt -q source pulseaudio xrdp
 sudo apt -q build-dep pulseaudio xrdp
 cd pulseaudio-$PULSE_UPSTREAM_VERSION/
 ./configure
 cd $TMP/xrdp-$XRDP_UPSTREAM_VERSION/sesman/chansrv/pulse/
 sed -i 's/^PULSE/#PULSE/' Makefile
 sed -i "/#PULSE_DIR/a \
 PULSE_DIR = $TMP/pulseaudio-$PULSE_UPSTREAM_VERSION" Makefile
 make
 sudo cp *.so /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/
 sudo chmod 644 /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/module-xrdp*
 sudo service xrdp restart

17.4.2. X2Go

Mit X2Go ist es möglich, von einem Rechner mit Linux, Windows oder macOS aus über eine schmal-oder breitbandige Verbindung eine graphische Arbeitsfläche auf dem LTSP-Server zu nutzen. Auf dem Client-PC muss zusätzliche Software installiert werden, weiterführende Informationen gibt es im (englischsprachigen) X2Go wiki.

Bitte beachten: Das Paket killer sollte am besten deinstalliert werden, wenn X2Go auf dem LTSP-Server benutzt wird, siehe Bug 890517.

17.4.3. Verfügbare Remote-Desktop-Clients

  • freerdp-x11 wird voreingestellt installiert; es unterstützt RDP und VNC.

    • RDP - der einfachste Weg, um auf einen Windows-Terminal-Server zuzugreifen. Eine Alternative auf der Clientseite ist das Paket rdesktop.

    • Ein VNC-Client (Virtual Network Computer) ermöglicht entfernten Zugang zu Skolelinux. Eine Alternative auf der Clientseite ist das Paket xvncviewer.

  • x2goclient ist ein graphischer Client für das X2Go-System (nicht standardmäßig installiert). Sie können diesen benutzen, um sich mit laufenden Sitzungen zu verbinden oder neue Sitzungen zu starten.

17.5. WLAN-Clients

Der freeRADIUS-Server könnte verwendet werden, um sichere Netzwerkverbindungen bereitzustellen. Damit dies funktioniert, installieren Sie die Pakete freeradius und winbind auf dem Hauptserver und führen /usr/share/debian-edu-config/tools/setup-freeradius-server aus, um eine grundlegende, standortspezifische Konfiguration zu erzeugen. Auf diese Weise werden sowohl die Methoden EAP-TTLS/PAP als auch PEAP-MSCHAPV2 bereit gestellt. Die gesamte Konfiguration ist im Skript selbst enthalten, um standortspezifische Anpassungen zu erleichtern. Siehe die freeRADIUS-Homepage für Details.

Zusätzliche Konfiguration ist erforderlich, um

  • Zugangspunkte (APs) über ein shared secret zu aktivieren/zu deaktivieren (/etc/freeradius/3.0/clients.conf).

  • den WLAN-Zugriff über LDAP-Gruppen zu erlauben/zu verweigern (/etc/freeradius/3.0/users).

  • Zugangspunkte in dedizierten Gruppen zusammenzufassen (/etc/freeradius/3.0/huntgroups)

Endbenutzergeräte müssen richtig konfiguriert werden, diese Geräte müssen für die Verwendung von EAP-(802.1x)-Methoden PIN-geschützt sein. Die Benutzer sollten auch dazu angehalten werden, das freeradius CA-Zertifikat auf ihren Geräten zu installieren, um sicher zu sein, dass sie sich mit dem richtigen Server verbinden. Auf diese Weise kann deren Passwort im Falle eines bösartigen Servers nicht abgefangen werden. Das standortspezifische Zertifikat ist im internen Netzwerk verfügbar.

Bitte beachten Sie, dass die Konfiguration von Endgeräten aufgrund der Gerätevielfalt eine echte Herausforderung sein wird. Für Windows-Geräte könnte ein Installer-Skript erstellt werden, für Apple-Geräte eine mobileconfig-Datei. In beiden Fällen kann das freeRADIUS-CA-Zertifikat integriert werden, allerdings werden betriebssystemspezifische Tools zur Erstellung dieser Skripte benötigt.

17.6. Windows-Rechner mit Debian-Edu-Zugangsdaten unter Verwendung des pGina-LDAP-Plugins autorisieren

17.6.1. Hinzufügen eines pGina-Benutzers in Debian Edu

Um pGina (oder eine andere Autorisierungsservice-Anwendung eines Drittanbieters) nutzen zu können, sollten Sie über ein spezielles Benutzerkonto verfügen, das für die Suche innerhalb von LDAP verwendet wird.

Fügen Sie einen speziellen Benutzer, z.B. pguser mit Passwort pwd.777, mittels https://www/gosa hinzu.

17.6.2. Den pGina-Fork installieren

Laden Sie pGina 3.9.9.12 herunter und installieren Sie die Software wie gewohnt. Achten Sie darauf, dass das LDAP-Plugin im pGina-Plugin-Ordner vorhanden ist:

C:\Program Files\pGina.fork\Plugins\pGina.Plugin.Ldap.dll

17.6.3. pGina konfigurieren

In Anbetracht der Debian-Edu-Einstellungen muss die Verbindiúng mit LDAP über SSL und Port 636 erfolgen.

Die notwendigen Einstellungen in einem pGina-LDAP-Plugin sind wie unten angegeben vorzunehmen

(sie werden unter HKEY_LOCAL_MACHINE\SOFTWARE\pGina3.fork\Plugins\\0f52390b-c781-43ae-bd62-553c77fa4cf7)gespeichert).

17.6.3.1. LDAP-Plugin-Einstellungsseite
  • LDAP-Host(s): 10.0.2.2 [10.0.3.3] (oder jeder andere mit »Leerzeichen« als Trennzeichen)

  • LDAP Port: 636 (für SSL-Verbindung)

  • Timeout: 10

  • Search for DN: Ja (Kontrollkästchen anklicken)

  • Start TLS: Nein (Kontrollkästchen nicht anklicken)

  • Validate Server Certificate: Nein (Kontrollkästchen nicht anklicken)

  • Search DN: uid=pguser,ou=people,ou=Students,dc=skole,dc=skolelinux,dc=no

    • (»pguser« ist die Benutzerkennung, die in LDAP authentifiziert wird, um Benutzer in einer Anmeldesitzung zu suchen)

  • Search Password: pwd.777 (dies ist das Passwort von »pguser«)

17.6.3.2. Authentication block

Bind Tab:

  • Allow Empty Passwords: Nein (also leer lassen)

  • Search for DN: Ja (Kontrollkästchen anklicken)

  • Search Filter: (&(uid=%u)(objectClass=person))

17.6.3.3. Authorization block
  • Default: Allow

  • Deny when LDAP authentication fails: Ja (Kontrollkästchen anklicken)

  • Allow when server is unreachable: Nein (Kontrollkästchen nicht anklicken, optional)

17.6.3.4. Plugin Selection
  • LDAP: Authentication [v], Authorization [v], Gateway[v], Change Password [_]

  • Local Machine: Authentication [v], Gateway [v] (nur zwei Kontrollkästchen anklicken)

18. Samba in Debian Edu

Samba ist jetzt als Standalone-Server mit moderner SMB2/SMB3-Unterstützung und aktivierten Usershares konfiguriert, siehe /etc/samba/smb-debian-edu.conf auf dem Hauptserver. Auf diese Weise werden unprivilegierte Benutzer in die Lage versetzt, Freigaben bereitzustellen.

Für standortspezifische Änderungen kopieren Sie /usr/share/debian-edu-config/smb.conf.edu-site in das Verzeichnis /etc/samba. Die Einstellungen in smb.conf.edu-site setzen die in smb-debian-edu.conf enthaltenen Einstellungen außer Kraft.

Bitte beachten:

  • Standardmäßig sind die Home-Verzeichnisse schreibgeschützt. Dies kann in /etc/samba/smb.conf.edu-site geändert werden.

  • Samba-Passwörter werden mittels smbpasswd gespeichert und bei einer Passwortänderung unter Verwendung von GOsa² aktualisiert.

  • Um das Samba-Konto eines Benutzers vorübergehend zu deaktivieren, führen Sie smbpasswd -d <username> aus, smbpasswd -e <username> schaltet es wieder ein.

  • Wenn Sie chown root:teachers /var/lib/samba/usershares auf dem Hauptserver ausführen, werden usershares für »students« deaktiviert.

18.1. Zugriff auf Dateien via Samba

Connections to a user's home directory and to additional site specific shares (if configured) are possible for devices running Linux, Android, macOS, iOS, iPadOS, Chrome OS or Windows. For example, Android based devices require a file manager with SMB2/SMB3 support, also known as LAN access. X-plore or Total Commander with LAN plugin might be a good choice.

Verwenden Sie \\tjener\<Benutzername> oder smb://tjener/<Benutzername>, um auf das Home-Verzeichnis zuzugreifen.

19. HowTos für Lehren und Lernen

Alle auf dieser Seite erwähnten Debian-Pakete können mittels apt install <package> (als Root) installiert werden.

19.1. Programmierung unterrichten

stable/education-development ist ein Metapaket, das viele Programmierungs-Werkzeuge installiert. Bitte beachten: Die Installation erfordert fast 2 GiB an zusätzlichem Plattenplatz. Weitere Informationen (um möglicherweise nur einige Pakete zu installieren) stehen auf der englischsprachigen Seite Debian Edu Development packages zur Verfügung.

19.2. Schüler/-innen beobachten

Achtung: Stellen Sie sicher, dass Ihnen die Rechtslage bezüglich der Überwachung und Einschränkung der Aktivitäten von Computerbenutzern klar ist.

Einige Schule benutzen Überwachungswerkzeuge wie Epoptes oder Veyon, um ihre Schüler zu kontrollieren. Siehe auch die: Epoptes Homepage und die Veyon Homepage (beide englischsprachig).

19.3. Den Netzwerkzugang von Schülern beschränken

Einige Schulen verwenden Squidguard oder e2guardian, um den Zugang zum Internet einzuschränken.

20. HowTos für Anwender

20.1. Passwörter verändern

Benutzer sollten ihr Passwort mit GOsa² ändern. Dies geht einfach über den Aufruf von https://www/gosa/ mittels Browser.

Die Verwendung von GOsa² zur Änderung des Passworts stellt sicher, dass die Passwörter von Kerberos (krbPrincipalKey), LDAP (userPassword) und Samba identisch sind.

Das Ändern von Passwörtern mittels PAM funktioniert auch während der Anmeldung via GDM; allerdings wird so nur das Kerberos-Passwort, aber weder das Passwort für Samba, noch dasjenige für GOsa² (LDAP) aktualisiert. Wenn Sie also Ihr Passwort an der Eingabeaufforderung geändert haben, sollten Sie dies sofort ebenfalls mit GOsa² durchführen.

20.2. Java-Anwendungen ausführen

Java-Anwendungen werden durch die OpenJDK-Java-Laufzeitumgebung voreingestellt unterstützt.

20.3. Verwendung von E-Mail

Alle Nutzer können im internen Netzwerk E-Mails senden und empfangen; Zertifikate werden bereitgestellt, um per TLS abgesicherte Verbindungen verwenden zu können. Um E-Mail auch außerhalb des internen Netzwerks zu ermöglichen, muss der Administrator den Mailserver exim4 den lokalen Gegebenheiten entsprechend anpassen. Das Ausführen von dpkg-reconfigure exim4-config ist dazu ein erster Schritt.

Jeder Benutzer, der Thunderbird verwenden will, muss die Konfiguration wie folgt vornehmen (für einen Benutzer mit dem Benutzernamen jdoe lautet die interne E-Mail-Adresse jdoe@postoffice.intern).

20.4. Thunderbird

  • Thunderbird starten

  • Die Schaltfläche 'Überspringen und meine existierende E-Mail-Adresse verwenden' klicken

  • Die E-Mail-Adresse eingeben

  • Das Passwort nicht eingeben, da Single-Sign-On mittels Kerberos verwendet wird

  • Auf 'Weiter' klicken

  • Für IMAP und SMTP sollten die Einstellungen jeweils 'STARTTLS' und 'Kerberos/GSSAPI sein'; anpassen, falls dies nicht automatisch erkannt wird

  • Auf 'Fertig' klicken

21. Arbeiten Sie mit

21.1. Online etwas beitragen

Die meiste Zeit ist die Entwickler-Mailingliste unser Hauptkommunikationsmedium, obwohl wir auch #debian-edu auf irc.debian.org und manchmal sogar echte Treffen haben, wo wir uns persönlich treffen.

Eine gute Möglichkeit, die Entwicklung von Debian Edu zu verfolgen, besteht darin, die (englischsprachige) commit mailinglist zu abonnieren.

21.2. Fehler berichten

Debian Edu verwendet das Debian Bug Tracking System (BTS). Sie können bestehende Fehlerberichte und Funktionsanforderungen ansehen oder neue erstellen. Bitte melden Sie alle Fehler gegen das Paket debian-edu-config. Werfen Sie einen Blick auf die (englischsprachige) Seite How To Report Bugs für weitere Informationen über das Melden von Fehlern in Debian Edu.

21.3. Verfasser der Dokumentation und Übersetzer

Dieses Dokument benötigt Ihre Hilfe! Zuallererst, es ist noch nicht komplett: Beim Lesen werden Sie verschiedentliche FIXMEs in einem Text bemerken. Bitte überlegen Sie, ob Sie Ihre Kenntnisse nicht mit uns teilen wollen, wenn Sie (etwas) über die Thematik des betroffenen Sachverhalts wissen.

Die Quelle des Textes ist ein Wiki und kann mit einem einfachen Webbrowser bearbeitet werden. Gehen Sie einfach auf https://wiki.debian.org/DebianEdu/Documentation/Bookworm/ und Sie können ganz einfach einen Beitrag leisten. Hinweis: Um die Seiten zu bearbeiten, ist ein Benutzerkonto erforderlich. Möglicherweise müssen Sie zuerst ein Wiki-Benutzerkonto anlegen.

Ein anderer Weg um mitzuwirken und anderen Benutzern zu helfen, ist Software und Dokumentation zu übersetzen. Übersetzungshinweise zu diesem Dokument findet gibt es im Kapitel Übersetzungen dieses Handbuchs. Bitte helfen Sie beim Übersetzen!

22. Unterstützung

22.1. Unterstützung auf Freiwilligenbasis

22.1.1. auf Englisch

  • https://lists.debian.org/debian-edu - Unterstützungs-Mailingliste

  • #debian-edu auf irc.debian.org - IRC-Kanal, hauptsächlich entwicklungsbezogen. Erwarten Sie keine sofortige Hilfe, auch wenn dies manchmal vorkommt.

22.1.2. auf Norwegisch

  • #skolelinux auf irc.debian.org - IRC-Kanal zur Unterstützung norwegischer Benutzer/-innen

22.1.3. auf Deutsch

22.1.4. auf Französisch

22.2. Professionelle Unterstützung

Listen von Firmen, die professionelle Unterstützung anbieten, finden Sie unter https://wiki.debian.org/DebianEdu/Help/ProfessionalHelp

23. Neuerungen in Debian Edu Bookworm

23.1. Neuigkeiten für Debian Edu 12 Bookworm

23.1.1. Installationsbezogene Änderungen

  • New version of Debian Installer from Debian bookworm, see its installation manual for more details,

    • including information on non-free-firmware, which is a new section in addition to the well known main, contrib and non-free sections.

  • New artwork based on the Emerald theme, the default artwork for Debian 12 bookworm.

23.1.2. Aktualisierte Software

  • Alles, was in Debian 12 Bookworm neu ist, z. B.:

    • Linux kernel 6.1

    • Desktop environments KDE Plasma 5.27, GNOME 43, Xfce 4.18, LXDE 11, MATE 1.26

    • LibreOffice 7.4

    • GOsa² 2.8

    • Educational toolbox GCompris 3.1

    • Music creator Rosegarden 22.12

    • LTSP 23.01

    • Debian Bookworm includes more than 64000 packages available for installation.

23.1.3. Aktualisierungen von Dokumentation und Übersetzungen

  • Während der Installation ist die Profilauswahlseite in 29 Sprachen verfügbar, von denen 22 vollständig übersetzt sind.

  • The Debian Edu Bookworm Manual is translated to Simplified Chinese, Danish, Dutch, French, German, Italian, Japanese, Norwegian (Bokmål), Brazilian Portuguese, European Portuguese, Spanish, Romanian and Ukrainian.

23.1.4. Bekannte Probleme

24. Copyright und Autoren

This document is written and copyrighted by Holger Levsen (2007-2024), Petter Reinholdtsen (2001, 2002, 2003, 2004, 2007, 2008, 2009, 2010, 2012, 2014), Daniel Heß (2007), Patrick Winnertz (2007), Knut Yrvin (2007), Ralf Gesellensetter (2007), Ronny Aasen (2007), Morten Werner Forsbring (2007), Bjarne Nielsen (2007, 2008), Nigel Barker (2007), José L. Redrejo Rodríguez (2007), John Bildoy (2007), Joakim Seeberg (2008), Jürgen Leibner (2009, 2010, 2011, 2012, 2014), Oded Naveh (2009), Philipp Hübner (2009, 2010), Andreas Mundt (2010), Olivier Vitrat (2010, 2012), Vagrant Cascadian (2010), Mike Gabriel (2011), Justin B Rye (2012), David Prévot (2012), Wolfgang Schweer (2012-2024), Bernhard Hammes (2012), Joe Hansen (2015), Serhii Horichenko (2022) and Guido Berhörster (2023) and is released under the GPL2 or any later version. Enjoy!

Wenn Sie Inhalte hinzufügen wollen: Bitte nur, wenn Sie auch dessen Autor sind und beabsichtigen, es unter den gleichen Bedingungen zu lizenzieren! Dann fügen Sie hier Ihren Namen hinzu und lizenzieren Sie die Inhalte unter der GPL v2 oder einer späteren Version.

25. Übersetzungen dieses Dokuments

Es gibt eine Online-Übersicht der bereitgestellten Übersetzungen, die regelmäßig aktualisiert wird.

25.1. Anleitung zum Übersetzen dieses Dokuments

25.1.1. Unter Verwendung von PO-Dateien übersetzen

Wie bei vielen anderen Software-Projekten werden Übersetzungen dieses Dokuments mit PO-Dateien organisiert. Mehr Information über den Prozess finden Sie in usr/share/doc/debian-edu-doc/README.debian-edu-bookworm-manual-translations.

25.1.2. Online mittels Web-Browser übersetzen

Die meisten Übersetzungsteams haben sich dazu entschlossen mittels Weblate zu übersetzen. Weitere Informationen gibt es unter https://hosted.weblate.org/projects/debian-edu-documentation/bookworm-manual/.

Bitte melden Sie Fehler.

26. Anhang A - The GNU General Public Licence

26.1. Handbuch für Debian Edu 11 Codename Bookworm

Copyright (C) 2007-2021 Holger Levsen < holger@layer-acht.org > und andere; die vollständige Liste der Copyright-Inhaber gibt es im Copyright-Kapitel.

This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version.

This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.

26.2. GNU GENERAL PUBLIC LICENSE

Version 2, June 1991

Copyright (C) 1989, 1991 Free Software Foundation, Inc. 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301, USA. Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed.

26.3. TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION

0. This License applies to any program or other work which contains a notice placed by the copyright holder saying it may be distributed under the terms of this General Public License. The "Program", below, refers to any such program or work, and a "work based on the Program" means either the Program or any derivative work under copyright law: that is to say, a work containing the Program or a portion of it, either verbatim or with modifications and/or translated into another language. (Hereinafter, translation is included without limitation in the term "modification".) Each licensee is addressed as "you".

Activities other than copying, distribution and modification are not covered by this License; they are outside its scope. The act of running the Program is not restricted, and the output from the Program is covered only if its contents constitute a work based on the Program (independent of having been made by running the Program). Whether that is true depends on what the Program does.

1. You may copy and distribute verbatim copies of the Program's source code as you receive it, in any medium, provided that you conspicuously and appropriately publish on each copy an appropriate copyright notice and disclaimer of warranty; keep intact all the notices that refer to this License and to the absence of any warranty; and give any other recipients of the Program a copy of this License along with the Program.

You may charge a fee for the physical act of transferring a copy, and you may at your option offer warranty protection in exchange for a fee.

2. You may modify your copy or copies of the Program or any portion of it, thus forming a work based on the Program, and copy and distribute such modifications or work under the terms of Section 1 above, provided that you also meet all of these conditions:

  • a) You must cause the modified files to carry prominent notices stating that you changed the files and the date of any change.

    b) You must cause any work that you distribute or publish, that in whole or in part contains or is derived from the Program or any part thereof, to be licensed as a whole at no charge to all third parties under the terms of this License.

    c) If the modified program normally reads commands interactively when run, you must cause it, when started running for such interactive use in the most ordinary way, to print or display an announcement including an appropriate copyright notice and a notice that there is no warranty (or else, saying that you provide a warranty) and that users may redistribute the program under these conditions, and telling the user how to view a copy of this License. (Exception: if the Program itself is interactive but does not normally print such an announcement, your work based on the Program is not required to print an announcement.)

These requirements apply to the modified work as a whole. If identifiable sections of that work are not derived from the Program, and can be reasonably considered independent and separate works in themselves, then this License, and its terms, do not apply to those sections when you distribute them as separate works. But when you distribute the same sections as part of a whole which is a work based on the Program, the distribution of the whole must be on the terms of this License, whose permissions for other licensees extend to the entire whole, and thus to each and every part regardless of who wrote it.

Thus, it is not the intent of this section to claim rights or contest your rights to work written entirely by you; rather, the intent is to exercise the right to control the distribution of derivative or collective works based on the Program.

In addition, mere aggregation of another work not based on the Program with the Program (or with a work based on the Program) on a volume of a storage or distribution medium does not bring the other work under the scope of this License.

3. You may copy and distribute the Program (or a work based on it, under Section 2) in object code or executable form under the terms of Sections 1 and 2 above provided that you also do one of the following:

  • a) Accompany it with the complete corresponding machine-readable source code, which must be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,

    b) Accompany it with a written offer, valid for at least three years, to give any third party, for a charge no more than your cost of physically performing source distribution, a complete machine-readable copy of the corresponding source code, to be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,

    c) Accompany it with the information you received as to the offer to distribute corresponding source code. (This alternative is allowed only for noncommercial distribution and only if you received the program in object code or executable form with such an offer, in accord with Subsection b above.)

The source code for a work means the preferred form of the work for making modifications to it. For an executable work, complete source code means all the source code for all modules it contains, plus any associated interface definition files, plus the scripts used to control compilation and installation of the executable. However, as a special exception, the source code distributed need not include anything that is normally distributed (in either source or binary form) with the major components (compiler, kernel, and so on) of the operating system on which the executable runs, unless that component itself accompanies the executable.

If distribution of executable or object code is made by offering access to copy from a designated place, then offering equivalent access to copy the source code from the same place counts as distribution of the source code, even though third parties are not compelled to copy the source along with the object code.

4. You may not copy, modify, sublicense, or distribute the Program except as expressly provided under this License. Any attempt otherwise to copy, modify, sublicense or distribute the Program is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance.

5. You are not required to accept this License, since you have not signed it. However, nothing else grants you permission to modify or distribute the Program or its derivative works. These actions are prohibited by law if you do not accept this License. Therefore, by modifying or distributing the Program (or any work based on the Program), you indicate your acceptance of this License to do so, and all its terms and conditions for copying, distributing or modifying the Program or works based on it.

6. Each time you redistribute the Program (or any work based on the Program), the recipient automatically receives a license from the original licensor to copy, distribute or modify the Program subject to these terms and conditions. You may not impose any further restrictions on the recipients' exercise of the rights granted herein. You are not responsible for enforcing compliance by third parties to this License.

7. If, as a consequence of a court judgment or allegation of patent infringement or for any other reason (not limited to patent issues), conditions are imposed on you (whether by court order, agreement or otherwise) that contradict the conditions of this License, they do not excuse you from the conditions of this License. If you cannot distribute so as to satisfy simultaneously your obligations under this License and any other pertinent obligations, then as a consequence you may not distribute the Program at all. For example, if a patent license would not permit royalty-free redistribution of the Program by all those who receive copies directly or indirectly through you, then the only way you could satisfy both it and this License would be to refrain entirely from distribution of the Program.

If any portion of this section is held invalid or unenforceable under any particular circumstance, the balance of the section is intended to apply and the section as a whole is intended to apply in other circumstances.

It is not the purpose of this section to induce you to infringe any patents or other property right claims or to contest validity of any such claims; this section has the sole purpose of protecting the integrity of the free software distribution system, which is implemented by public license practices. Many people have made generous contributions to the wide range of software distributed through that system in reliance on consistent application of that system; it is up to the author/donor to decide if he or she is willing to distribute software through any other system and a licensee cannot impose that choice.

This section is intended to make thoroughly clear what is believed to be a consequence of the rest of this License.

8. If the distribution and/or use of the Program is restricted in certain countries either by patents or by copyrighted interfaces, the original copyright holder who places the Program under this License may add an explicit geographical distribution limitation excluding those countries, so that distribution is permitted only in or among countries not thus excluded. In such case, this License incorporates the limitation as if written in the body of this License.

9. The Free Software Foundation may publish revised and/or new versions of the General Public License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns.

Each version is given a distinguishing version number. If the Program specifies a version number of this License which applies to it and "any later version", you have the option of following the terms and conditions either of that version or of any later version published by the Free Software Foundation. If the Program does not specify a version number of this License, you may choose any version ever published by the Free Software Foundation.

10. If you wish to incorporate parts of the Program into other free programs whose distribution conditions are different, write to the author to ask for permission. For software which is copyrighted by the Free Software Foundation, write to the Free Software Foundation; we sometimes make exceptions for this. Our decision will be guided by the two goals of preserving the free status of all derivatives of our free software and of promoting the sharing and reuse of software generally.

NO WARRANTY

11. BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.

12. IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.

END OF TERMS AND CONDITIONS

27. Anhang B - Neuerungen in älteren Veröffentlichungen

27.1. Neuerungen in Debian Edu 11 Codename Bullseye veröffentlicht am 14.08.2021

27.1.1. Installationsbezogene Änderungen

  • Neue Version des Debian-Installationsprogramms von Debian Bullseye, siehe dessen Installationsanleitung für weitere Informationen.

  • Neue graphische Elemente basierend auf dem Homeworld-Theme, dem Standard für Debian 11 (bullseye).

  • Der Debian-Installer unterstützt die LTSP-Chroot-Einrichtung nicht mehr. Im Falle einer Kombiserver-Installation (Profile »Hauptserver« und »LTSP-Server« ) erfolgt die Einrichtung der Thin-Client-Unterstützung (jetzt unter Verwendung von X2Go) am Ende der Installation. Das Erzeugen des SquashFS-Images für die Diskless-Client-Unterstützung (aus dem Dateisystem des Servers) erfolgt beim ersten Start.

    Bei separaten LTSP-Servern müssen beide Schritte über ein Tool nach dem ersten Booten innerhalb des internen Netzwerks durchgeführt werden, weil erst dann genügend Informationen vom Hauptserver verfügbar sind.

27.1.2. Aktualisierte Software

  • Alles, was in Debian 11 Bullseye neu ist, z. B.:

    • Linux kernel 5.10

    • Arbeitsumgebungen KDE Plasma 5.20, GNOME 3.38, Xfce 4.16, LXDE 11, MATE 1.24

    • LibreOffice 7.0

    • Lehrprogramme GCompris 1.0

    • Musikprogramm Rosegarden 20.12

    • LTSP 21.01

    • Debian Bullseye enthält mehr als 59.000 installierbare Pakete.

27.1.3. Aktualisierungen von Dokumentation und Übersetzungen

  • Während der Installation ist die Profilauswahlseite in 29 Sprachen verfügbar, von denen 22 vollständig übersetzt sind.

  • Das Debian Edu Bullseye Handbuch ist vollständig übersetzt in Niederländisch, Französisch, Deutsch, Italienisch, Japanisch, Norwegisch Bokmål, Portugiesisch (Portugal) und Vereinfachtes Chinesisch.

    • Teilweise übersetzte Versionen gibt es für Dänisch und Spanisch.

27.1.4. Andere Änderungen im Vergleich zum vorhergehenden Release

  • Verbesserte Unterstützung für TLS/SSL innerhalb des internen Netzwerks. Auf allen Rechnern ist das Debian Edu Root-CA-Zertifikat im systemweiten Zertifikatspaket enthalten.

  • Neues LTSP, von Grund auf neu geschrieben, ohne Unterstützung für Thin Clients. Thin Clients werden jetzt mittels X2Go unterstützt.

  • Netboot wird unter Verwendung von iPXE anstelle von PXELINUX bereitgestellt, um mit LTSP konform zu sein.

  • Das Verzeichnis /srv/tftp wird jetzt als Netboot-Basis anstelle von /var/lib/tftpboot verwendet.

  • Nach einem Point-Release-Upgrade eines Systems mit Main-Server oder LTSP-Server-Profil muss debian-edu-pxeinstall ausgeführt werden, um die PXE-Installationsumgebung zu aktualisieren.

  • DuckDuckGo wird als Standardsuchanbieter sowohl für Firefox ESR als auch für Chromium verwendet.

  • Chromium verwendet die interne Website anstelle von Google als Standardstartseite.

  • Auf Diskless Workstations ist das Kerberos-TGT nach der Anmeldung automatisch verfügbar.

  • Ein neues Tool zum Einrichten von freeRADIUS mit Unterstützung der beiden Methoden EAP-TTLS/PAP und PEAP-MSCHAPV2 wurde hinzugefügt.

  • Samba ist als »Standalone-Server« mit Unterstützung für SMB2/SMB3 konfiguriert; es ist nicht mehr möglich, einer Domäne beizutreten.

  • Die GOsa²-Web-Oberfläche zeigt keine Samba-bezogenen Einträge mehr an, da die Samba-Kontodaten nicht mehr in LDAP gespeichert werden.

  • Der grafische Modus des Debian-Installers wird nun für PXE-Installationen verwendet (anstelle des Textmodus).

  • Zentraler CUPS-Druckserver ipp.intern; Benutzer, die zur Gruppe »printer-admins« gehören, dürfen CUPS administrieren.

  • Die Icinga-Administration über die Weboberfläche ist auf den Erstbenutzer beschränkt.

27.2. Historische Informationen zu älteren Veröffentlichungen

Die folgenden Debian-Edu-Releases gab es davor:

  • Debian Edu 10+edu0, Codename Buster veröffentlicht am 06.07.2019.

  • Debian Edu 9+edu0 Codename Stretch, veröffentlicht am 17.06.2017.

  • Debian Edu 8+edu0, Codename Jessie veröffentlicht am 02.07.2016.

  • Debian Edu 7.1+edu0, Codename Wheezy, freigegeben am 28.09.2013.

  • Debian Edu 6.0.7+r1, Codename »Squeeze«, freigegeben am 03.03.2013.

  • Debian Edu 6.0.4+r0, Codename »Squeeze«, freigegeben am 11.03.2012.

  • Debian Edu 5.0.6+edu1 »Lenny«, freigegeben am 05.10.2010.

  • Debian Edu 5.0.4+edu0 »Lenny«, freigegeben am 08.02.2010.

  • Ddian Edu »3.0r1-Terra«, freigegeben am 05.12.2007.

  • Debian Edu "3.0r0 Terra", freigegeben am 22.7.2007. Basierend auf Debian-4.0 »Etch«, freigegeben am 08.04.2007.

  • Debian Edu 2.0, freigegeben am14.3. 2006. Basierend auf Debian-3.1, Codename »Sarge«, freigegeben am 06.06.2005.

  • Debian Edu "1.0 Venus", freigegeben am 20.6.2004. Basierend auf Debian-3.0 »Woody«, freigegeben am 19.07.2002.

Eine vollständige und detaillierte Übersicht älterer Releases gibt es im Anhang C des Jessie-Handbuchs; Sie finden die betreffenden Release-Handbücher auch auf der Dokumentations-Übersichtsseite.