Debian Edu / Skolelinux ist eine Linux-Distribution, die vom Debian Edu-Projekt erstellt wird. Als ein »Debian Pure Blend« ist sie ein offizielles Unterprojekt von Debian.

Skolelinux stellt somit für Ihre Schule eine Version von Debian bereit, die eine gebrauchsfertige Umgebung für ein komplett konfiguriertes Schulnetzwerk bietet.

Das norwegische Skolelinux-Projekt wurde am 2.Juli 2001 gegründet; fast gleichzeitig begann in Frankreich Raphaël Hertzog mit Debian-Edu. Seit 2003 sind beide Projekte vereint, die beiden Namen blieben aber. Die Bezeichnungen »Skole« bzw. (Debian-)»Education« sind in beiden Regionen einfach sehr gut bekannt.

Heute ist das System in mehreren Ländern der Welt im Einsatz.

Dieser Abschnitt des Dokuments erläutert die Netzwerkstruktur und die Serverdienste einer Skolelinux-Installation.

Die Abbildung skizziert die vorgesehene Netzwerkstruktur. Die Standardeinrichtung eines Skolelinux-Netzwerks setzt genau einen Hauptserver voraus; normale Arbeitsstationen und LTSP-Server (mit ihren zugehörigen Thin Clients und/oder Diskless Workstations) können eingebunden werden. Die Anzahl der Arbeitsstationen kann so groß oder klein sein, wie gewünscht: von keiner bis zu vielen. Gleiches gilt für LTSP-Server, die ihre Thin Clients jeweils auf einem separaten Netzwerk bedienen, so dass der Netzwerkverkehr zwischen den Clients und ihrem LTSP-Server den Rest der Netzwerkdienste nicht stört. Detaillierte Informationen zu LTSP gibt es im entsprechenden Handbuchkapitel.

Der Grund für nur einen Hauptserver in jedem Schulnetzwerk ist, dass der Hauptserver DHCP anbietet. Dies kann immer nur eine Maschine in einem Netzwerk machen. Es ist möglich, Dienste des Hauptservers auf andere Maschinen auszulagern, indem diese Dienste dort aufsetzt werden und die DNS-Konfiguration auf dem Hauptserver so abgeändert wird, dass der DNS-Alias für die geänderten Dienste auf die richtige Maschine zeigt.

Um die Standardinstallation von Skolelinux einfach zu halten, läuft die Internetverbindung über einen separaten Router, auch Gateway genannt. Das Kapitel Internet-Router enthält Informationen, wie ein solches Gateway aufgesetzt werden kann, wenn ein vorhandener Router keine entsprechende Konfiguration erlaubt.

Alle Linux-Rechner, die mittels Skolelinux-Installer installiert wurden, können von einem zentralen Computer, üblicherweise dem Hauptserver, verwaltet werden. Per SSH ist es möglich, sich auf allen Rechnern anzumelden und damit vollen Zugriff auf die Maschinen zu bekommen. Der Benutzer »root« muss vorher kinit ausführen, um ein Kerberos TGT zu erhalten.

Alle Benutzerinformationen werden in einem LDAP-Verzeichnis gespeichert. Aktualisierungen von Benutzerkonten werden in dieser Datenbank durchgeführt, die auch von den Clients zur Authentifizierung der Benutzer verwendet wird.

Die Bedeutung der verschiedenen Profile wird im Kapitel Netzwerk-Architektur erläutert.

Falls LTSP zum Einsatz kommen soll, finden Sie auf der (englischsprachigen) LTSP Hardware Requirements wiki page weitere Informationen.

Eine Liste getesteter Hardware erhalten Sie unter https://wiki.debian.org/DebianEdu/Hardware/. Diese Liste ist aber nicht einmal annähernd vollständig

https://wiki.debian.org/InstallingDebianOn stellt einen Versuch dar, die Installation, Konfiguration und Benutzung von Debian auf spezieller Hardware zu dokumentieren. Potentielle Käufer oder Eigentümer dieser Hardware können sich ein Bild von eventuell auftretenden Problemen oder besonderer Konfiguration machen.

Die folgenden Regeln gelten, solange die Standard-Netzwerkarchitektur verwendet wird:

Um Internetzugang zu haben, wird ein Router/Gateway benötigt, welcher über die externe Schnittstelle mit dem Internet verbunden ist und auf der internen Schnittstelle die IP-Adresse 10.0.0.1 sowie die Netzmaske 255.0.0.0 hat.

Auf dem Router sollte kein DHCP-Server laufen; ein DNS-Server kann laufen, ist aber nicht notwendig und wird auch nicht benutzt.

Wenn Sie bereits einen Router haben, diesen jedoch nicht nach Bedarf konfigurieren können (z.B. weil Sie das nicht dürfen oder aus technischen Gründen), kann ein älterer Computer mit zwei Netzwerkschnittstellen als Gateway zwischen dem bestehenden und dem Debian-Edu-Netzwerk verwendet werden.

Ein einfacher Weg ist, Debian Edu auf diesem Computer zu installieren. Wählen Sie während der Installation »Minimal« als Profil.

Führen Sie nach der Installation /usr/share/debian-edu-config/tools/configure-edu-gateway --firewall <yes|no> aus, wodurch die folgenden Änderungen vorgenommen werden:

Für Hardwarerouter und Accesspoints kann OpenWRT benutzt werden, wobei Sie natürlich auch die Originalfirmware verwenden können. Das ist einfacher, allerdings haben Sie mit OpenWRT mehr Auswahlmöglichkeiten und Kontrolle. Eine Liste unterstützter Hardware finden Sie auf der Hardware-Seite von OpenWRT.

Es ist möglich, eine abweichende Netzwerk-Struktur zu verwenden. Wie das geht, ist hier dokumentiert. Wenn Sie dazu jedoch nicht aufgrund einer existierenden Netzwerk-Infrastruktur gezwungen sind, ist die Nutzung der Standard-Netzwerkarchitektur zu empfehlen.

Es wird empfohlen, die Veröffentlichungshinweise für Debian Buster vor einer Installation zu lesen - oder zumindest einen Blick darauf zu werfen, bevor Sie ein Produktivsystem installieren. Weitere Informationen über Debian Buster enthält die Installationsanleitung.

Bitte probieren Sie Debian Edu / Skolelinux aus, es sollte einfach funktionieren.

Es wird allerdings empfohlen, die Kapitel über Hardware- und Netzwerkanforderungen sowie über die Architektur zu lesen, bevor die Installation eines Hauptrechners begonnen wird.

Bitte unbedingt in diesem Handbuch das Kapitel Erste Schritte lesen, da dort erklärt wird, wie die erste Anmeldung funktioniert.

Wenn Sie Debian Edu installieren, haben Sie verschiedene Varianten zur Auswahl. Aber keine Angst, es sind nicht sehr viele. Es wurde versucht, die Komplexität von Debian während der Installation und darüber hinaus überschaubar zu gestalten. Aber Debian Edu ist ein Teil von Debian und mehr als 59000 Pakete mit einer Milliarde von Konfigurationsmöglichkeiten stehen zur Auswahl. Für die Mehrheit der Anwender sollten die Voreinstellungen sehr gut passen. Bitte beachten: Falls LTSP eingesetzt werden soll, dann ist die Wahl einer schlanken graphischen Oberfläche sinnvoll.

deb http://deb.debian.org/debian/ bullseye main 
deb http://security.debian.org bullseye-security main 

d-i    pkgsel/include string Meine_zusätzlichen_Pakete

Der Text-Modus und die graphische Installation sind bis auf das Aussehen identisch. Der graphische Modus erlaubt die Verwendung einer Maus und sieht natürlich schöner und moderner aus. Solange die Hardware keine Probleme mit der graphischen Darstellung hat, gibt es keinen Grund, diesen Modus nicht zu verwenden.

Hier folgt nun eine Serie von Screenshots einer graphischen Installation (Hauptserver + Arbeitsplatzrechner + LTSP-Server); gefolgt von Screenshots nach dem ersten Starten des Hauptservers sowie dem PXE-Start eines Rechners im Netzwerk für LTSP Clients (Thin Client Session-Bildschirm - und Login-Bildschirm nach dem Anklicken der Session auf der rechten Seite.)

Bei der Installation des Hauptservers wurde ein erstes Benutzerkonto angelegt. Im folgenden Text wird dieses Konto als »Erstbenutzer« referenziert. Dieses Konto ist etwas Besonderes, da die Berechtigung für das Home-Verzeichnis auf 700 gesetzt ist (daher ist das Ausführen von chmod o+x ~ erforderlich, um persönliche Webseiten zugänglich zu machen), und der erste Benutzer kann sudo verwenden, um root zu werden.

Bevor Sie Benutzer hinzufügen, sollten Sie die Informationen über die spezifisch für Debian Edu geltende Konfiguration der Dateiberechtigungen lesen; passen Sie diese gegebenenfalls an die örtlichen Richtlinien an.

Nach der Installation müssen vom Erstbenutzer zuerst folgende Dinge erledigt werden:

Das Hinzufügen von Benutzern und Arbeitsplatzrechnern wird im Folgenden beschrieben; bitte lesen Sie deshalb das Kapitel vollständig. Es beschreibt die unbedingt notwendigen Schritte sowie all das, was wahrscheinlich für jedes System konfiguriert werden muss.

In diesem Handbuch gibt es noch an anderen Stellen zusätzliche Informationen: Das Kapitel Neue Features in Bullseye sollte von jedem gelesen werden, der mit früheren Releases vertraut ist. Und wer ein Upgrade von einem früheren Release durchführt, sollte auf jeden Fall das Kapitel Upgrades lesen.

Falls in Ihrem Netzwerk DNS-Anfragen nach außen geblockt werden und ein spezieller DNS-Server für das Nachschlagen von Rechnern im Internet verwendet werden muss, dann muss dieser Server dem DNS-Server als sein »forwarder« bekannt sein. Aktualisieren Sie /etc/bind/named.conf.options, indem Sie die IP-Adresse des zu verwendenden DNS-Servers angeben.

Im Kapitel HowTo gibt es mehr Tipps und Tricks, sowie Antworten auf häufig gestellte Fragen.

GOsa² ist ein webbasiertes Verwaltungswerkzeug, das Ihnen helfen wird, einige wichtige Teile Ihrer Debian-Edu-Installation einzurichten und zu bearbeiten. Mit GOsa² können Sie diese Hauptgruppen warten (hinzufügen, ändern, löschen):

Um auf GOsa² zugreifen zu können, benötigen Sie den Skolelinux-Hauptserver und ein (Client-)System mit installiertem Webbrowser; dabei kann es sich um den Hauptserver handeln, falls dieser als sogenannter »Kombiserver« (Hauptserver + LTSP-Server + Arbeitsplatzrechner) installiert wurde.

Falls Sie (wahrscheinlich aus Versehen) ein reines Hauptserver-Profil installiert haben und kein Client mit einem Webbrowser zur Verfügung steht, ist es leicht, eine minimale graphische Arbeitsumgebung auf dem Hauptserver zu installieren; führen Sie dazu die folgenden Befehle in einer Shell als derjenige Benutzer aus, der während der Installation des Hauptservers zuerst angelegt wurde (Erstbenutzer):

  $ sudo apt update
  $ sudo apt install education-desktop-xfce lightdm education-menus
  ### Nach der Installation ausführen: 'sudo service lightdm start' 
  ### Als Erstbenutzer anmelden

Verwenden Sie in einem Webbrowser die URL https://www/gosa, um auf GOsa² zuzugreifen; melden Sie sich mit der Kennung des Erstbenutzers an.

Klicken Sie auf »Benutzer« im Navigationsmenü auf der linken Seite. Die rechte Seite des Fensters zeigt dann eine Tabelle mit den Ordnern »Students« und »Teachers« sowie den Account des GOsa²-Administrators (Erstbenutzer). Über dieser Tabelle ist ein (Eingabe-)Feld namens Basis zu sehen; wenn Sie die Maus über dieses Feld bewegen, haben Sie die Möglichkeit, mittels Drop-Down-Menü durch die Baumstruktur zu navigieren und einen Basisordner für vorgesehene Aktionen zu wählen - wie z.B. für das Hinzufügen eines neuen Benutzers.

Die Verwaltung von Gruppen ist derjenigen von Benutzerkonten sehr ähnlich.

Sie können pro Gruppe einen Namen und eine Beschreibung eingeben. Stellen Sie sicher, dass Sie die richtige LDAP-Ebene wählen, wenn Sie die Gruppe anlegen.

Das Hinzufügen von Benutzern zu einer neu angelegten Gruppe bringt Sie zurück zur »Liste der Benutzer«; dort können Sie die Filterbox benutzen, um Benutzer herauszusuchen. Überprüfen Sie bitte auch die LDAP-Ebene.

Die mittels Gruppenverwaltung eingetragenen Gruppen sind reguläre UNIX-Gruppen; sie können daher zum Setzen von Zugriffsrechten verwendet werden.

Mit dem Maschinen-Management können grundsätzlich alle Netzwerkgeräte im Debian-Edu-Netzwerk verwaltet werden. Jedes Gerät, das mittels GOsa² zum LDAP-Verzeichnis hinzugefügt wird, hat einen Namen, eine IP-Adresse, eine MAC-Adresse und einen Domainnamen. Letzterer lautet üblicherweise "intern". Eine ausführlichere Beschreibung des Debian Edu-Netzwerks ist im Kapitel über die Netzwerkstruktur zu finden.

Diskless Workstations und Thin Clients funktionieren out-of-the-box im Falle eines Kombiservers.

Arbeitsstationen mit Festplatten (einschließlich separater LTSP-Server) müssen mit GOsa² hinzugefügt werden. Hinter den Kulissen werden sowohl ein maschinenspezifisches Kerberos-Principal (eine Art Konto) als auch eine zugehörige keytab-Datei (mit einem Schlüssel, der als Passwort verwendet wird) erzeugt; die keytab-Datei muss auf der Workstation vorhanden sein, um die Home-Verzeichnisse der Benutzer mounten zu können. Nachdem das hinzugefügte System neu gebootet wurde, melden Sie sich als root an und führen /usr/share/debian-edu-config/tools/copy-host-keytab aus.

Um Principal und keytab-Datei für ein bereits mit GOsa² konfiguriertes System zu erstellen, melden Sie sich auf dem Hauptserver als root an und führen aus

/usr/share/debian-edu-config/tools/gosa-modify-host <Rechnername> <IP-Adresse>

Bitte beachten: Ein »host keytab« kann für Systeme vom Typ workstations, servers und terminals aber nicht für solche vom Typ netdevices erzeugt werden. Siehe das Kapitel Anleitung für Netzwerk-Clients für NFS-Konfigurationsoptionen.

Um eine Maschine hinzuzufügen, benutzen Sie das GOsa²-Menü, dort »Systeme« und als Aktion »Hinzufügen«. Sie können eine IP aus dem vorkonfigurierten Bereich 10.0.0.0/8 verwenden. Gegenwärtig gibt es nur zwei vordefinierte feste IP-Adressen: 10.0.2.2 (tjener) und 10.0.0.1 (gateway). Die Adressen von 10.0.16.20 bis 10.0.31.254 (etwa 10.0.16.0/20 oder 4000 Rechner) sind für DHCP reserviert und werden dynamisch zugewiesen.

Um einem Rechner mit der MAC-Adresse 52:54:00:12:34:10 eine statische IP-Adresse zuzuweisen, müssen Sie die MAC-Adresse, den Rechnernamen und die IP eintragen; alternativ können Sie die Schaltfläche Schlage IP vor klicken, wodurch die erste freie feste Adresse aus dem Bereich 10.0.0.0/8 angezeigt wird - höchstwahrscheinlich etwas wie 10.0.0.2, wenn Sie die erste Maschine auf diesem Wege hinzufügen. Es wäre gut, vorher über einen für Ihr Netzwerk geeigneten IP-Bereich nachzudenken: Zum Beispiel könnten Sie 10.0.0.x mit x>10 und x<50 für Server und x>100 für Arbeitsplatzrechner verwenden. Vergessen Sie nicht, das gerade hinzugefügte System zu aktivieren. Mit Ausnahme des Hauptservers wird dann für alle Systeme ein entsprechendes Icon angezeigt.

Wenn die Maschinen als Thin Clients bzw. Diskless Workstations gestartet oder wenn sie unter Verwendung eines der Netzwerkprofile installiert wurden, dann können Sie das Skript sitesummary2ldapdhcp verwenden, um diese Maschinen automatisch zu GOsa² hinzuzufügen; für einfache Maschinen funktioniert das ohne weiteres, bei Maschinen mit mehreren MAC-Adressen muss die aktuell benutzte ausgewählt werden, sitesummary2ldapdhcp -h zeigt Hilfeinformationen an. Beachten Sie bitte, dass die nach der Benutzung von sitesummary2ldapdhcp angezeigten IP-Adressen aus dem dynamischen IP-Bereich stammen. Diese Systeme können anschließend aber so bearbeitet werden, dass sie zu Ihrem Netzwerk passen: Jedes neue System umbenennen, DHCP und DNS aktivieren, zu Netgroups hinzufügen (empfohlene Netgroups dem Screenshot weiter unten entnehmen), das System anschließend neu starten. Einige Bilder zeigen, wie dies in der Praxis erfolgen könnte:

root@tjener:~# sitesummary2ldapdhcp -a -i ether-22:11:33:44:55:ff
info: Create GOsa machine for am-2211334455ff.intern [10.0.16.21] id ether-22:11:33:44:55:ff.
 
Enter password if you want to activate these changes, and ^c to abort.
 
Connecting to LDAP as cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no
enter password: ********
root@tjener:~#

Stündlich läuft ein Cronjob, der DNS aktualisiert; das Skript su -c ldap2bind kann verwendet werden, um die Aktualisierung manuell durchzuführen.

Das Paket p910nd ist auf allen Systemen mit dem Profil Arbeitsplatzrechner standardmäßig installiert.

Es wird empfohlen, auf einem Netzwerkdrucker alle für das Netzwerk angebotenen Dienste zu deaktivieren. Weisen Sie stattdessen eine feste IP-Adresse mit GOsa² zu und konfigurieren Sie diese Drucker als AppSocket/HP JetDirect-Netzwerkdrucker.

Dieser Abschnitt erklärt die Benutzung von apt -full-upgrade.

Das Werkzeug apt ist nicht schwer zu bedienen. Um ein System auf den neuesten Stand zu bringen, müssen Sie auf der Befehlszeile nur zwei Befehle als Root ausführen: apt update (erneuert die Liste der verfügbaren Pakete von den apt-Quellen) und apt full-upgrade (aktualisiert die installierten Pakete auf die neueste vorhandene Version).

Es ist auch eine gute Idee, während des Upgrades die Locale C zu verwenden, um eine englischsprachige Ausgabe zu erhalten; diese wird in Problemfällen vermutlich bessere Suchmaschinen-Ergebnisse liefern.

LC_ALL=C apt full-upgrade -y

Nach dem Upgrade des debian-edu-config-Pakets sind möglicherweise geänderte CFEngine-Konfigurationsdateien vorhanden. Führen Sie ls -ltr /etc/cfengine3/debian-edu/ aus, um zu prüfen, ob dies der Fall ist. Um die Änderungen anzuwenden, führen Sie LC_ALL=C cf-agent -D installation aus.

Es ist wichtig, debian-edu-ltsp-install --diskless_workstation yes nach LTSP-Server-Upgrades auszuführen, um das SquashFS-Image für Diskless Workstations synchron zu halten.

Nach einem Point-Release-Upgrade eines Systems mit Main-Server oder LTSP-Server-Profil muss debian-edu-pxeinstall ausgeführt werden, um die PXE-Installationsumgebung zu aktualisieren.

Es empfiehlt sich auch, cron-apt und apt-listchanges zu installieren und so zu konfigurieren, dass Sie E-Mails an eine von ihnen gelesene Adresse schicken.

cron-apt informiert Sie einmal am Tag darüber, ob es Pakete gibt, die aktualisiert werden können. Es installiert diese Pakete jedoch nicht, sondern lädt sie nur herunter (meistens in der Nacht), damit sie schon lokal verfügbar sind, wenn Sie apt full-upgrade ausführen.

Falls gewünscht, können Aktualisierungen automatisch installiert werden. Dazu muss lediglich das Paket unattended-upgrades installiert und so konfiguriert werden, wie es in wiki.debian.org/UnattendedUpgrades beschrieben ist.

Das Paket apt-listchanges kann Ihnen neue Änderungsmeldungen per E-Mail schicken oder diese alternativ in einem Terminalfenster anzeigen, wenn aptausgeführt wird.

Um Backups zu verwalten, gehen Sie mit Ihrem Browser auf https://www/slbackup-php. Diese Seite müssen Sie mit SSL aufrufen, da Sie für die Backupverwaltung das Root-Passwort eingeben müssen. Ein Zugriff ohne SSL ist nicht möglich.

Hinweis: Diese Website wird nur funktionieren, wenn temporär der SSH-Zugang auf dem Backup-Server (voreingestellt »tjener«) erlaubt ist.

In der Standardeinstellung macht Tjener ein Backup von /skole/tjener/home0, /etc/, /root/.svk und LDAP nach /skole/backup (LVM gesteuert). Falls Sie alles nur einmal gesichert haben wollen (um versehentlich gelöschte Dateien wieder herzustellen), genügt das.

Sie sollten sich allerdings im Klaren darüber sein, dass diese Art des Backups keinen Schutz vor defekten Festplatten darstellt.

Falls Sie Ihre Daten auf einen externen Server, ein Bandlaufwerk oder eine andere Festplatte sichern wollen, müssen Sie die Konfiguration ein wenig anpassen.

Um ein ganzes Verzeichnis wiederherzustellen, nutzen Sie am besten die Befehlszeile:

$ sudo rdiff-backup -r <date>  \
   /skole/backup/tjener/skole/tjener/home0/user \
   /skole/tjener/home0/user_<date>

Dies wird den Inhalt von /skole/tjener/home0/user von <date> im Verzeichnis /skole/tjener/home0/user_<date> ablegen.

Falls Sie nur eine einzelne Datei wiederherstellen möchten, sollten Sie nur diese Datei (in der entsprechenden Version) in der Web-Schnittstelle auswählen und herunterladen.

Wenn Sie ältere Sicherungskopien löschen wollen, dann wählen Sie »Wartung« (Maintenance) im Menü auf der Backup-Seite und wählen dort den ältesten zu bewahrenden Zustand (snapshot):

Für Systemadministratoren finden sich Informationen über Anpassungen von Debian Edu im Kapitel Administration-Howto und im Kapitel Fortgeschrittene Administration.

Ein Upgrade von Debian von einer Distribution zur nächsten ist im Allgemeinen recht einfach. Für Debian Edu ist dies leider etwas komplizierter, da wir Konfigurationsdateien auf eine Art und Weise verändern, wie es nicht geschehen sollte. Wir haben jedoch die notwendigen Schritte unten dokumentiert. (Siehe Debian-Fehler 311188 für weitere Informationen, wie Debian Edu Konfigurationsdateien modifizieren sollte).

Generell ist ein Upgrade der Server schwieriger als der von Arbeitsplatzrechnern und das Aktualisieren des Hauptservers ist am schwierigsten

Wenn Sie sicher gehen wollen, dass auch nach einem Upgrade noch alles funktioniert, sollten Sie das Upgrade zunächst auf einem Testsystem durchführen, welches genau wie das produktive System konfiguriert ist. So können Sie das Upgrade ohne Risiko ausprobieren und prüfen, ob alles so funktioniert wie es soll.

Bitte lesen Sie auch unbedingt die Informationen über das aktuelle stabile Debian-Release in dessen Installationsanleitung.

Es könnte klug sein, etwas abzuwarten und noch ein paar Wochen lang Oldstable zu verwenden, sodass andere das Upgrade testen und Probleme dokumentieren können. Debian Oldstable wird noch eine Zeit lang nach Veröffentlichung von »Stable« unterstützt werden, aber wenn Debian die Unterstützung für Oldstable einstellt, wird auch Debian Edu die Unterstützung einstellen (müssen).

Achtung: Stellen Sie sicher, dass Sie das Upgrade von Buster in einer Testumgebung getestet haben oder über Sicherungskopien verfügen, die es ihnen ermöglichen, notfalls wieder zurückzugehen.

Bitte beachten Sie, dass sich das folgende Rezept auf die Standardinstallation eines Debian-Edu-Hauptservers bezieht (desktop=xfce, Profile Hauptserver, Arbeitsplatzrechner, LTSP-Server). (Eine allgemeinere Beschreibung zum Upgrade von Buster auf Bullseye finden Sie hier: https://www.debian.org/releases/bullseye/releasenotes.)

Benutzen Sie keine graphische Arbeitsumgebung; wechseln Sie zu einer virtuellen Konsole und melden Sie sich als root an.

Sollte apt mit einer Fehlermeldung abbrechen, dann versuchen Sie, den Fehler zu finden und/oder führen Sie apt -f install und danach apt -y full-upgrade erneut aus.

apt update
apt full-upgrade

apt clean

sed -i 's/buster/bullseye/g' /etc/apt/sources.list
sed -i 's#/debian-security bullseye/updates# bullseye-security#g' /etc/apt/sources.list
export LC_ALL=C        # optional (englischsprachige Ausgabe)
apt update
apt full-upgrade

cf-agent -v -D installation
service squid restart

apt install debian-edu-artwork-homeworld
apt purge debian-edu-artwork-buster      # es sei denn, Buster-Artwork sollte als Alternative beibehalten werden

rm -f /etc/xdg/xfce4/panel/default.xml.cfsaved
mv /etc/xdg/xfce4/panel/default.xml.dpkg-new /etc/xdg/xfce4/panel/default.xml

rm -f /etc/default/tftpd-hpa        # zum Entfernen nicht mehr erforderlicher Modifikationen
rm -rf /var/lib/tftpboot            # zum Entfernen des nicht mehr verwendeten tftp-Basisverzeichnisses
dpkg-reconfigure -p low tftpd-hpa   # erste Eingabeaufforderung: »tftp« als System-Account beibehalten,
                                    # zweite: TFTP-Root-Verzeichnis ändern in »/srv/tftp«,
                                    # dritte: Addresse und Port beibehalten, letzte: »--secure« als Option eingeben
service tftpd-hpa restart
rm -rf /opt/ltsp                    # altes LTSP-Basisverzeichnis löschen
# Die nächsten Schritte werden einige Zeit in Anspruch nehmen.
debian-edu-ltsp-install --arch amd64 --diskless_workstation no thin_type bare   # falls 64-Bit Thin-Client-Support erwünscht ist
debian-edu-ltsp-install --arch i386 --diskless_workstation no thin_type bare    # falls 32-Bit Thin-Client-Support erwünscht ist
debian-edu-ltsp-install --diskless_workstation yes   # um ein Image für Diskless Workstations aus dem Dateisystem des Servers zu erstellen
debian-edu-pxeinstall                                # zum Hinzufügen von PXE-Installationsdateien und zugehöriger iPXE-Menüpunkte 

Um von älteren Veröffentlichungen zu aktualisieren, müssen Sie zuerst auf das auf Buster basierende Debian Edu aktualisieren. Anschließend folgen Sie obiger Anleitung. Das Aktualisieren von Stretch auf Buster wird im Handbuch für Debian Edu Buster beschrieben; das Stretch-Handbuch beschreibt das Upgrade davor.

Mittels etckeeper lassen sich alle Änderungen an Dateien in /etc/ mit Hilfe von Git als System für die Versionskontrolle zurückverfolgen.

Dies ermöglicht es festzustellen, wann eine Datei hinzugefügt, verändert oder entfernt wurde. Im Falle einer Textdatei lässt sich auch feststellen, was geändert wurde. Das Git-Repository befindet sich in /etc/.git/.

Änderungen werden automatisch stündlich protokolliert; damit ist es möglich, die Entwicklung der Konfiguration zurück zu verfolgen.

Um die Entwicklung anzusehen, kann der Befehl etckeeper vcs log benutzt werden. Um Änderungen zwischen zwei Zeitpunkten einzusehen, kann ein Befehl wie z.B. etckeeper vcs diff verwendet werden.

Rufen Sie man etckeeper auf, um weitere Optionen kennenzulernen.

Nützliche Befehle sind:

etckeeper vcs log
etckeeper vcs status
etckeeper vcs diff
etckeeper vcs add .
etckeeper vcs commit -a
man etckeeper

etckeeper vcs log

etckeeper vcs status

etckeeper vcs commit -a /etc/resolv.conf

Mit Ausnahme der /boot/-Partition sind alle Partitionen in Debian Edu auf logischen LVM-Datenträgern. Seit dem Linux-Kernel 2.6.10 ist es möglich, Partitionen zu vergrößern, während sie eingehängt sind. Um Partitionen zu verkleinern, müssen diese weiterhin ausgehängt sein.

Es ist eine gute Idee, das Anlegen sehr großer Partitionen (etwa mehr als 20 GiB) zu vermeiden, weil es sehr lange dauert, um darauf fsck auszuführen oder um sie per Backup wiederherzustellen, wenn das notwendig sein sollte. Falls möglich, ist es besser, statt einer großen mehrere kleine Partitionen zu erstellen.

Um die Vergrößerung voller Partitionen zu vereinfachen, wird das Skript debian-edu-fsautoresize zur Verfügung gestellt. Es liest die Konfiguration unter /usr/share/debian-edu-config/fsautoresizetab, /site/etc/fsautoresizetab und /etc/fsautoresizetab ein und schlägt - basierend auf den in diesen Dateien definierten Regeln - die Vergrößerung zu kleiner Partitionen vor. Ohne Argumente aufgerufen gibt es nur die Befehle aus, die zum Vergrößern der Dateisysteme nötig sind. Wenn die Dateisysteme tatsächlich vergrößert werden sollen, muss das Skript mit dem Argument -n ausgeführt werden.

Das Skript wird stündlich automatisch auf jedem Client der fsautoresize-hosts-»Netgroup« ausgeführt.

Wenn die Größe der vom Squid-Proxy genutzten Partition geändert wird, muss die Zwischenspeicher-Größe in etc/squid/squid.conf entsprechend aktualisiert werden. Das Skript /usr/share/debian-edu-config/tools/squid-update-cachedir leistet dies automatisch, indem es die gegenwärtige Partitionsgröße ermittelt und Squid so konfiguriert, dass 80% der aktuellen Partitionsgröße von /var/spool/squid/ als Zwischenspeicher-Größe verwendet werden.

lvextend -L30G /dev/vg_system/skole+tjener+home0 
resize2fs /dev/vg_system/skole+tjener+home0

Mit ldapvi können Einträge in der LDAP-Datenbank mit einem normalen Texteditor von der Befehlszeile aus editiert werden.

Folgender Befehl muss ausgeführt werden:

ldapvi --ldap-conf -ZD '(cn=admin)'

Bemerkung: ldapvi verwendet den durch die Umgebungsvariable EDITOR als Standard vorgegebenen Editor. Nach Ausführen von beispielsweise export EDITOR=vim wird vim als Editor verwendet.

Um ein LDAP-Objekt mittes ldapvi hinzuzufügen, verwenden Sie als Objekt-Nummer die Zeichenfolge add vor dem neuen LDAP-Objekt.

Achtung: ldapvi ist ein sehr mächtiges Werkzeug. Verwenden Sie es vorsichtig und richten Sie kein Durcheinander in der LDAP-Datenbank an; dies gilt auch für JXplorer.

Die Verwendung von NFS mittels Kerberos für das Einhängen der Home-Verzeichnisse stellt ein Sicherheitsfeature dar. Die Level krb5, krb5i und krb5p werden unterstützt (krb5 bedeutet Kerberos Authentifizierung, i steht für Integritätsprüfung und p für Privatsphäre, d.h. Verschlüsselung); die Last auf Server und Arbeitsplatzrechner nimmt mit dem Sicherheitslevel zu, krb5i ist eine gute Wahl und daher die Voreinstellung.

/srv/nfs4        gss/krb5i(rw,sync,fsid=0,crossmnt,no_subtree_check)
/srv/nfs4/home0  gss/krb5i(rw,sync,no_subtree_check)

Dieses Tool erlaubt es, den Standarddrucker in Abhängigkeit von Ort, Maschine oder Gruppenzugehörigkeit zu setzen. Weitere Informationen stehen in der Datei /usr/share/doc/standardskriver/README.md.

Die Konfigurationsdatei /etc/standardskriver.cfg muss durch den Admin erstellt werden, die Datei /usr/share/doc/standardskriver/examples/standardskriver.cfg kann als Beispiel dienen.

Wenn Sie für die Bearbeitung von Daten in LDAP einen Editor mit graphischer Benutzeroberfläche bevorzugen, dann probieren Sie den standardmäßig installierten jxplorer aus. Verwenden Sie diese Einträge, um Schreibzugriff zu bekommen:

host: ldap.intern
port: 636
Security level: ssl + user + password
User dn: cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no

ldap-createuser-krb ist ein kleines Befehlszeilen-Werkzeug, um Benutzerkonten in LDAP anzulegen und deren Kerberos-Passwort zu setzen. Es ist eher für Testzwecke vorgesehen.

Seit der Veröffentlichung von Squeeze im Jahr 2011 stellt Debian die früher unter volatile.debian.org betreuten Pakete im Repository stable-updates bereit.

Es ist möglich, aber nicht notwendig, stable-updates direkt zu verwenden: Stable-Updates werden regelmäßig (etwa alle zwei Monate) anlässlich der Veröffentlichung von Stable-Pointreleases in die Stable-Suite übernommen.

Sie benutzen Debian Edu, weil Sie seine Stabilität schätzen. Es läuft sehr gut, es gibt nur ein Problem: Manchmal ist eine Software ein wenig mehr veraltet als Ihnen recht ist. Hier kommt backports.debian.org ins Spiel.

Backports sind extra kompilierte Pakete aus Debian-Testing (meistens) und Debian-Unstable (allerdings nur in Ausnahmefällen, insbesondere Sicherheitsaktualisierungen), so dass sie ohne neue Bibliotheken (sofern das möglich ist) auf einer stabilen Debian-Distribution wie Debian Edu laufen. Es wird empfohlen, nur diejenigen Backports auszuwählen, die Sie benötigen und nicht alle verfügbaren zu benutzen.

Die Nutzung von Backports ist einfach:

echo "deb http://deb.debian.org/debian/ bullseye-backports main" >> /etc/apt/sources.list
apt-get update

Anschießend können Pakete aus Backports einfach installiert werden; der folgende Befehl wird die Backports-Version von tuxtype installieren:

apt install -t bullseye-backports tuxtype

Backports werden (falls verfügbar) automatisch aktualisiert - genauso wie andere Pakete. So wie das normale Depot hat Backports drei Sektionen: main, contrib und non-free.

Falls Sie ein Upgrade von einer Version zu einer nächsten (wie z.B. von Bullseye 11.1 auf 11.2) durchführen wollen, aber keine Internetverbindung, nur physikalische Medien haben, dann führen Sie folgende Schritte aus:

Legen Sie die CD / DVD / Blu-ray Disc ein oder stecken Sie den USB-Stick ein und benutzen Sie den Befehl apt-cdrom:

apt-cdrom add

Zitat aus der Handbuchseite von apt-cdrom(8):

Dann sind diese beiden Befehle für das Upgrade auszuführen:

apt update
apt full-upgrade

killer ist ein Perl-Skript, das Hintergrundprozesse aufräumt. Hintergrundprozesse sind definiert als Prozesse, die zu Nutzern gehören, die zur Zeit nicht am System angemeldet sind. Das Skript wird per Cron-Job einmal in der Stunde ausgeführt.

unattended-upgrades ist ein Debian-Paket, das automatisch Sicherheitsaktualisierungen (und andere Aktualisierungen) installieren kann. Falls installiert, ist das Paket so vorkonfiguriert, dass Sicherheitsaktualisierungen erfolgen. Die Log-Dateien gibt es in /var/log/unattended-upgrades/; außerdem gibt es immer /var/log/dpkg.log und /var/log/apt/.

Um Energie und Geld zu sparen, können Rechner nachts abgeschaltet und morgens automatisch wieder gestartet werden. Der im Paket shutdown-at-night enthaltene Cronjob versucht von 16 Uhr an, zu jeder vollen Stunde betroffene Rechner herunter zu fahren, falls keine Benutzer mehr daran arbeiten. Es wird ausserdem versucht, dem BIOS des Rechners mitzuteilen, den Rechner am Morgen gegen 7 Uhr wieder zu starten. Der Hauptserver versucht ebenfalls, die Maschinen ab 06:30 Uhr mittels Wake-on-LAN hochzufahren. Die Zeiten können in der Crontab der jeweiligen Maschine konfiguriert werden.

Falls Sie das vorhaben, sollten folgende Punkte beachtet werden:

  #!/bin/sh
  PATH=/usr/sbin:$PATH
  export PATH
  sitesummary-nodes -w

  #!/bin/sh
  PATH=/usr/sbin:$PATH
  export PATH
  netgroup -h shutdown-at-night-hosts

Um Maschinen, die hinter einer Firewall liegen, vom Internet aus erreichen zu können, könnten Sie das Paket autossh installieren. Dies erlaubt das Einrichten eines SSH-Tunnels zu einer Maschine im Internet, zu der Sie Zugang haben. Von dieser Maschine aus können Sie dann über den SSH-Tunnel den Server hinter der Firewall erreichen.

Bei der Standardinstallation laufen alle Dienste auf dem Hauptserver (tjener). Um auf einfache Weise einige Dienste auf eine andere Maschine zu verlagern, gibt es das Installationsprofil Minimal. Eine Installation unter Verwendung dieses Profils führt zu einer Maschine, die zum Debian-Edu-Netzwerk gehört, auf der aber (noch) keine Dienste laufen.

Diese Schritte sind erforderlich, um eine Maschine für einige Dienste aufzusetzen:

FIXME: The HowTos from https://wiki.debian.org/DebianEdu/HowTo/ are either user- or developer-specific. Let's move the user-specific HowTos over here (and delete them over there)! (But first ask the authors (see the history of those pages to find them) if they are fine with moving the howto and putting it under the GPL.)

Führen Sie diese Schritte aus, um einen eigenen Dateiserver für das Speichern von Benutzerverzeichnissen - und möglicherweise auch anderen Daten - einzurichten.

Die Benutzer sollten nun Zugang zu den Dateien des Dateiservers 'nas-server.intern' haben, wenn Sie mit einer Anwendung auf das Verzeichnis '/tjener/nas-server/storage/' zugreifen - sei es von einer Workstation, einem LTSP-Thin-Client oder einem LTSP-Server aus.

Es gibt mehrere Wege, den SSH-Zugang zu beschränken; einige sind hier aufgeführt.

+ : alice jane bob john : ALL
+ : ALL : 10.0.0.0/8 192.168.0.0/24 192.168.1.0/24
- : ALL : ALL
#

Um mehrere Sprachen zu unterstützen, müssen diese Schritte erfolgen:

apt update
/usr/share/debian-edu-config/tools/install-task-pkgs
/usr/share/debian-edu-config/tools/improve-desktop-l10n

Benutzern wird es dann möglich sein, die Sprache vor dem Anmelden über den LightDM-Displaymanager zu wählen; dies trifft für Xfce, LXDE und LXQt zu. GNOME und auch KDE haben eigene Einstellmöglichkeiten für Region und Sprache; diese sollten benutzt werden. MATE verwendet (zusätzlich zu LightDM) den Arctica-Greeter, der kein Sprachwahlmodul hat. Nach dem Ausführen von apt purge arctica-greeter ist der normale LightDM-Greeter vorhanden.

Um die meisten kommerziellen DVDs abzuspielen, benötigen Sie das Paket libdvdcss. Dies ist aus rechtlichen Gründen nicht in Debian (Edu) enthalten. Wenn Sie libdvdcss legal verwenden dürfen, können Sie eigene lokale Pakete mittels libdvd-pkg selbst bauen; dazu muss contrib in /etc/apt/sources.list aktiviert sein.

apt update
apt install libdvd-pkg

Beantworten Sie die Debconf-Fragen und führen Sie dann dpkg-reconfigure libdvd-pkg aus.

Das Paket fonts-linex (das voreingestellt installiert wird) installiert den Zeichensatz "Abecedario", ein schöner Schreibschrift-Zeichensatz für Kinder. Der Zeichensatz beinhaltet verschiedene, für Kinder geeignete Formen: gepunktet oder liniert.

Eine allgemeine Bezeichnung für sowohl Thin Clients wie auch «Diskless-Workstations« ist LTSP-Client.

Beginnend mit Bullseye unterscheidet sich LTSP deutlich von den vorherigen Versionen. Dies betrifft sowohl die Einrichtung als auch die Wartung.

Informationen über LTSP im Allgemeinen finden Sie auf der LTSP-Homepage. Auf Systemen mit LTSP-Server-Profil liefert man ltsp weitere Informationen.

Bitte beachten Sie, dass das zu LTSP gehörende Werkzeug ltsp mit Vorsicht verwendet werden muss. Zum Beispiel würde ltsp image / das SquashFS-Image bei Debian-Rechnern nicht erzeugen (diese haben standardmäßig eine separate /boot-Partition), ltsp ipxe würde das iPXE-Menü nicht korrekt erzeugen (aufgrund der Thin-Client-Unterstützung von Debian Edu), und ltsp initrd würde den Start des LTSP-Clients komplett durcheinander bringen.

Das debian-edu-ltsp-install Werkzeug ist ein Wrapper-Skript für ltsp image, ltsp initrd und ltsp ipxe. Es wird verwendet, um Unterstützung für Diskless Workstations und Thin Clients einzurichten und zu konfigurieren (sowohl 64-Bit- als auch 32-Bit-PC). Siehe man debian-edu-ltsp-install oder den Inhalt des Skripts, um zu sehen, wie es funktioniert. Die gesamte Konfiguration ist im Skript selbst enthalten (HERE-Dokumente), um standortspezifische Anpassungen zu erleichtern.

Beispiele, wie Sie das Wrapper-Skript debian-edu-ltsp-install verwenden können:

Neben bare (kleinstes Thin-Client-System) stehen auch display und desktop als Optionen zur Verfügung. Der Display-Typ bietet eine Schaltfläche zum Herunterfahren, der Desktop-Typ führt Firefox ESR im Kiosk-Modus auf dem Client selbst aus (mehr lokaler RAM und CPU-Leistung erforderlich, aber weniger Serverlast).

Das debian-edu-ltsp-ipxe Werkzeug ist ein Wrapper-Skript für ltsp ipxe. Es stellt sicher, dass die Datei /srv/tftp/ltsp/ltsp.ipxe für Debian Edu passend ist. Der Befehl muss ausgeführt werden, nachdem iPXE-Menü-Einträge (wie Menü-Timeout oder Standard-Boot-Einstellungen) in der /etc/ltsp/ltsp.conf [server] Sektion geändert wurden.

Das debian-edu-ltsp-initrd Werkzeug ist ein Wrapper-Skript für ltsp initrd. Es sorgt dafür, dass eine anwendungsspezifische Initrd (/srv/tftp/ltsp/ltsp.img) erzeugt und dann in das anwendungsspezifische Verzeichnis verschoben wird. Der Befehl muss ausgeführt werden, nachdem der Abschnitt /etc/ltsp/ltsp.conf [clients] geändert wurde.

Das debian-edu-ltsp-chroot Werkzeug ist ein Ersatz für das ltsp-chroot Werkzeug, das zu LTSP5 gehörte. Es wird verwendet, um Befehle in einem bestimmten LTSP-Chroot auszuführen (wie z.B. Installieren, Upgrade und Entfernen von Paketen).

Diskless Workstation

Bei einer Diskless Workstation laufen alle Anwendungen lokal. Die Maschine bootet ohne lokale Festplatte direkt vom LTSP-Server. Die Software wird auf dem LTSP-Server administriert und gewartet, läuft aber auf der Diskless Workstation. Ebenso werden Home-Verzeichnisse und Systemeinstellungen auf dem Server gespeichert. Diskless Workstations sind eine hervorragende Möglichkeit zur Wiederverwendung älterer (aber leistungsfähiger) Hardware mit den gleichen geringen Wartungskosten wie bei Thin Clients.

Im Unterschied zu Arbeitsplatzrechnern benötigen LTSP Diskless Workstations keine Konfiguration in GOsa².

Thin Client

Ein Thin-Client-Setup ermöglicht es, einen gewöhnlichen PC als (X-)Terminal zu verwenden, wobei die gesamte Software auf dem LTSP-Server läuft. Das bedeutet, dass dieser Rechner über PXE gebootet wird, ohne eine lokale Client-Festplatte zu verwenden, und dass der LTSP-Server ein leistungsstarker Rechner sein muss.

Debian Edu unterstützt nach wie vor die Verwendung von Thin Clients, um die Nutzung von sehr alter Hardware zu ermöglichen.

Da Thin Clients X2Go verwenden, sollten Benutzer das Compositing deaktivieren, um Anzeigeartefakte zu vermeiden. Im Standardfall (Xfce-Desktop-Umgebung): Einstellungen -> Feineinstellungen der Fensterverwaltung -> Komposit.

Firmware der LTSP-Clients

Der Start von LTSP-Clients wird scheitern, falls für die Netzwerkschnittstelle des Clients Firmware aus »non-free« erforderlich ist. Eine PXE-Installation könnte zur Fehlersuche bei Problemen mit solchen Maschinen verwendet werden: Falls der Debian-Installer wegen fehlender XXX.bin-Dateien abbricht, dann ist es notwendig, die Initrd des LTSP-Servers mit Firmware aus »non-free« zu ergänzen.

Gehen Sie auf dem LTSP-Server wie folgt vor:

apt update && apt search ^firmware-

apt -y -q install firmware-linux

debian-edu-ltsp-install --diskless_workstation yes

/usr/share/debian-edu-config/tools/ltsp-addfirmware -h

ltsp image x2go-bare-amd64

debian-edu-ltsp-install --arch i386 --thin_type bare

debian-edu-ltsp-initrd

PXE steht für Preboot eXecution Environment. Debian Edu verwendet jetzt die iPXE-Implementierung, um die LTSP-Integration zu vereinfachen.

# Ein lokales Depot hinzufügen
d-i     apt-setup/local1/repository string      http://example.com/debian stable main contrib non-free
d-i     apt-setup/local1/comment string        Example Software Repository
d-i     apt-setup/local1/source boolean        true
d-i     apt-setup/local1/key    string          http://example.com/key.asc

Das Paket debian-edu-config enthält ein Werkzeug, mit dessen Hilfe das Netzwerk von 10.0.0.0/8 in ein anderes geändert werden kann. Sehen Sie sich dazu /usr/share/debian-edu-config/tools/subnet-change an. Dieses Skript sollte unmittelbar nach der Installation des Hauptservers ausgeführt werden, um LDAP und andere Dateien zu aktualisieren, die für den Wechsel des Subnetzes bearbeitet werden müssen.

Bitte beachten Sie, dass der Wechsel zu einem der bereits von Debian-Edu benutzten Subnetze nicht funktionieren wird. 192.168.0.0/24 und 192.168.1.0/24 sind bereits als LTSP-Client-Netzwerke eingerichtet. Ein Wechsel zu diesem Subnetz erfordert manuelles Bearbeiten der Konfiguration zur Beseitigung von Doppeleinträgen.

Es gibt keinen einfachen Weg, um den DNS-Domain-Namen zu ändern. Dazu wären sowohl an der LDAP-Struktur wie auch an mehreren Dateien auf dem Hauptserver Änderungen erforderlich. Es gibt auch keinen einfachen Weg, um den Host- und DNS-Namen des Hauptservers (tjener.intern) zu ändern. Dazu wären ebenfalls Änderungen in LDAP sowie an Dateien auf dem Hauptserver und auf allen Clients notwendig. In beiden Fällen wären zusätzlich Änderungen an der Konfiguration von Kerberos notwendig.

Bei Verwendung des Profils »LTSP-Server« und bei Kombiservern werden jeweils auch die Pakete xrdp und x2goserver installiert.

 #!/bin/bash
 # Script to compile / recompile xrdp PulseAudio modules.
 # The caller needs to be root or a member of the sudo group.
 # Also, /etc/apt/sources.list must contain a valid deb-src line.
 set -e
  if [[ $UID -ne 0 ]] ; then  
     if ! groups | egrep -q sudo ; then
         echo "ERROR: You need to be root or a sudo group member."
         exit 1
     fi
 fi
 if ! egrep -q  ^deb-src /etc/apt/sources.list ; then
     echo "ERROR: Make sure /etc/apt/sources.list contains a deb-src line."
     exit 1
 fi
 TMP=$(mktemp -d)
 PULSE_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' pulseaudio)"
 XRDP_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' xrdp)"
 sudo apt -q update
 # Get sources and build dependencies:
 sudo apt -q install dpkg-dev
 cd $TMP
 apt -q source pulseaudio xrdp
 sudo apt -q build-dep pulseaudio xrdp
 # For pulseaudio 'configure' is all what is needed:
 cd pulseaudio-$PULSE_UPSTREAM_VERSION/
 ./configure
 # Adjust pulseaudio modules Makefile (needs absolute path)
 # and build the pulseaudio modules.
 cd $TMP/xrdp-$XRDP_UPSTREAM_VERSION/sesman/chansrv/pulse/
 sed -i 's/^PULSE/#PULSE/' Makefile
 sed -i "/#PULSE_DIR/a \
 PULSE_DIR = $TMP/pulseaudio-$PULSE_UPSTREAM_VERSION" Makefile
 make
 # Copy modules to Pulseaudio modules directory, adjust rights.
 sudo cp *.so /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/
 sudo chmod 644 /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/module-xrdp*
 # Restart xrdp, now with sound enabled.
 sudo service xrdp restart

Der freeRADIUS-Server könnte verwendet werden, um sichere Netzwerkverbindungen bereitzustellen. Damit dies funktioniert, installieren Sie die Pakete freeradius und winbind auf dem Hauptserver und führen /usr/share/debian-edu-config/tools/setup-freeradius-server aus, um eine grundlegende, standortspezifische Konfiguration zu erzeugen. Auf diese Weise werden sowohl die Methoden EAP-TTLS/PAP als auch PEAP-MSCHAPV2 bereit gestellt. Die gesamte Konfiguration ist im Skript selbst enthalten, um standortspezifische Anpassungen zu erleichtern. Siehe die freeRADIUS-Homepage für Details.

Zusätzliche Konfiguration ist erforderlich, um

Endbenutzergeräte müssen richtig konfiguriert werden, diese Geräte müssen für die Verwendung von EAP-(802.1x)-Methoden PIN-geschützt sein. Und das Wichtigste: Die Benutzer müssen geschult werden, das freeradius CA-Zertifikat auf ihren Geräten zu installieren, um sicher zu sein, dass sie sich mit dem richtigen Server verbinden. Auf diese Weise kann das Passwort im Falle eines bösartigen Servers nicht abgefangen werden. Das standortspezifische Zertifikat ist im internen Netzwerk verfügbar.

Bitte beachten Sie, dass die Konfiguration von Endgeräten aufgrund der Gerätevielfalt eine echte Herausforderung sein wird. Für Windows-Geräte könnte ein Installer-Skript erstellt werden, für Apple-Geräte eine mobileconfig-Datei. In beiden Fällen kann das freeRADIUS-CA-Zertifikat integriert werden, allerdings werden betriebssystemspezifische Tools zur Erstellung dieser Skripte benötigt.

Verbindungen zum Home-Verzeichnis eines Benutzers und zu zusätzlichen standortspezifischen Freigaben (falls konfiguriert) sind für Geräte mit Linux, Android, macOS, iOS, iPadOS, Chrome OS oder Windows möglich. Andere Geräte wie Android-basierte benötigen einen Dateimanager mit SMB2/SMB3-Unterstützung, auch bekannt als LAN-Zugriff. X-plore oder Total Commander mit LAN-Plugin könnten eine gute Wahl sein.

Verwenden Sie \\tjener\<Benutzername> oder smb://tjener/<Benutzername>, um auf das Home-Verzeichnis zuzugreifen.

stable/education-development ist ein Metapaket, das viele Programmierungs-Werkzeuge installiert. Bitte beachten: Die Installation erfordert fast 2 GiB an zusätzlichem Plattenplatz. Weitere Informationen (um möglicherweise nur einige Pakete zu installieren) stehen auf der englischsprachigen Seite Debian Edu Development packages zur Verfügung.

Achtung: Stellen Sie sicher, dass Ihnen die Rechtslage bezüglich der Überwachung und Einschränkung der Aktivitäten von Computerbenutzern klar ist.

Einige Schule benutzen Überwachungswerkzeuge wie Epoptes oder Veyon, um ihre Schüler zu kontrollieren. Siehe auch die: Epoptes Homepage und die Veyon Homepage (beide englischsprachig).

Einige Schulen verwenden Squidguard oder e2guardian, um den Zugang zum Internet einzuschränken.

Benutzer sollten ihr Passwort mit GOsa² ändern. Dies geht einfach über den Aufruf von https://www/gosa/ mittels Browser.

Die Verwendung von GOsa² zur Änderung des Passworts stellt sicher, dass die Passwörter von Kerberos (krbPrincipalKey), LDAP (userPassword) und Samba identisch sind.

Das Ändern von Passwörtern mittels PAM funktioniert auch während der Anmeldung via GDM; allerdings wird so nur das Kerberos-Passwort, aber weder das Passwort für Samba, noch dasjenige für GOsa² (LDAP) aktualisiert. Wenn Sie also Ihr Passwort an der Eingabeaufforderung geändert haben, sollten Sie dies sofort ebenfalls mit GOsa² durchführen.

Java-Anwendungen werden durch die OpenJDK-Java-Laufzeitumgebung voreingestellt unterstützt.

Alle Nutzer können im internen Netzwerk E-Mails senden und empfangen; Zertifikate werden bereitgestellt, um per TLS abgesicherte Verbindungen verwenden zu können. Um E-Mail auch außerhalb des internen Netzwerks zu ermöglichen, muss der Administrator den Mailserver exim4 den lokalen Gegebenheiten entsprechend anpassen. Das Ausführen von dpkg-reconfigure exim4-config ist dazu ein erster Schritt.

Jeder Benutzer, der Thunderbird verwenden will, muss die Konfiguration wie folgt vornehmen (für einen Benutzer mit dem Benutzernamen jdoe lautet die interne E-Mail-Adresse jdoe@postoffice.intern).

Zur Zeit gibt es regionale Teams in Norwegen, Deutschland, in der Region Extremadura in Spanien, in Taiwan und Frankreich. Zudem gibt es einzelne Mitarbeiter und Benutzer in Griechenland, den Niederlanden, Japan und anderswo.

Das Kapitel Unterstützung erklärt und verlinkt regionale Ressourcen, da Mithilfe und Unterstützung zwei Seiten derselben Medaille sind.

Es gibt verschiedene internationale Teams, die an unterschiedlichen Themen arbeiten.

Die Entwicklermailingliste ist meistens das Hauptkommunikationsmittel. Zudem finden monatliche Treffen im IRC in #debian-edu auf irc.debian.org und - weniger regelmäßig - auch persönliche Treffen im realen Leben statt. Neue Mitarbeiter sollten https://wiki.debian.org/DebianEdu/ArchivePolicy lesen.

Eine gute Möglichkeit, die Entwicklung von Debian Edu zu verfolgen, besteht darin, die (englischsprachige) commit mailinglist zu abonnieren.

Debian Edu verwendet das Debian Bug Tracking System (BTS). Sie können bestehende Fehlerberichte und Funktionsanforderungen ansehen oder neue erstellen. Bitte melden Sie alle Fehler gegen das Paket debian-edu-config. Werfen Sie einen Blick auf die (englischsprachige) Seite How To Report Bugs für weitere Informationen über das Melden von Fehlern in Debian Edu.

Dieses Dokument benötigt Ihre Hilfe! Zuallererst, es ist noch nicht komplett: Beim Lesen werden Sie verschiedentliche FIXMEs in einem Text bemerken. Bitte überlegen Sie, ob Sie Ihre Kenntnisse nicht mit uns teilen wollen, wenn Sie (etwas) über die Thematik des betroffenen Sachverhalts wissen.

Die Quellen dieses Textes sind in einem Wiki gespeichert und können mit einem Webbrowser editiert werden. Um mitzuwirken, einfach auf https://wiki.debian.org/DebianEdu/Documentation/Buster/ gehen; dort können Sie Ihren Beitrag leisten. Bitte beachten: Ein Benutzerkonto ist notwendig, um Seiten bearbeiten zu können. Dieses können Sie unter create a wiki user einrichten.

Ein anderer Weg um mitzuwirken und anderen Benutzern zu helfen, ist Software und Dokumentation zu übersetzen. Übersetzungshinweise zu diesem Dokument findet gibt es im Kapitel Übersetzungen dieses Handbuchs. Bitte helfen Sie beim Übersetzen!

Listen von Firmen, die professionelle Unterstützung anbieten, finden Sie unter https://wiki.debian.org/DebianEdu/Help/ProfessionalHelp

Copyright (C) 2007-2018 Holger Levsen < holger@layer-acht.org > und andere; die vollständige Liste der Copyright-Inhaber gibt es im Copyright-Kapitel.

This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version.

This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.

You should have received a copy of the GNU General Public License along with this program; if not, write to the Free Software Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 USA.

Version 2, June 1991

Copyright (C) 1989, 1991 Free Software Foundation, Inc. 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301, USA. Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed.

0. This License applies to any program or other work which contains a notice placed by the copyright holder saying it may be distributed under the terms of this General Public License. The "Program", below, refers to any such program or work, and a "work based on the Program" means either the Program or any derivative work under copyright law: that is to say, a work containing the Program or a portion of it, either verbatim or with modifications and/or translated into another language. (Hereinafter, translation is included without limitation in the term "modification".) Each licensee is addressed as "you".

Activities other than copying, distribution and modification are not covered by this License; they are outside its scope. The act of running the Program is not restricted, and the output from the Program is covered only if its contents constitute a work based on the Program (independent of having been made by running the Program). Whether that is true depends on what the Program does.

1. You may copy and distribute verbatim copies of the Program's source code as you receive it, in any medium, provided that you conspicuously and appropriately publish on each copy an appropriate copyright notice and disclaimer of warranty; keep intact all the notices that refer to this License and to the absence of any warranty; and give any other recipients of the Program a copy of this License along with the Program.

You may charge a fee for the physical act of transferring a copy, and you may at your option offer warranty protection in exchange for a fee.

2. You may modify your copy or copies of the Program or any portion of it, thus forming a work based on the Program, and copy and distribute such modifications or work under the terms of Section 1 above, provided that you also meet all of these conditions:

These requirements apply to the modified work as a whole. If identifiable sections of that work are not derived from the Program, and can be reasonably considered independent and separate works in themselves, then this License, and its terms, do not apply to those sections when you distribute them as separate works. But when you distribute the same sections as part of a whole which is a work based on the Program, the distribution of the whole must be on the terms of this License, whose permissions for other licensees extend to the entire whole, and thus to each and every part regardless of who wrote it.

Thus, it is not the intent of this section to claim rights or contest your rights to work written entirely by you; rather, the intent is to exercise the right to control the distribution of derivative or collective works based on the Program.

In addition, mere aggregation of another work not based on the Program with the Program (or with a work based on the Program) on a volume of a storage or distribution medium does not bring the other work under the scope of this License.

3. You may copy and distribute the Program (or a work based on it, under Section 2) in object code or executable form under the terms of Sections 1 and 2 above provided that you also do one of the following:

The source code for a work means the preferred form of the work for making modifications to it. For an executable work, complete source code means all the source code for all modules it contains, plus any associated interface definition files, plus the scripts used to control compilation and installation of the executable. However, as a special exception, the source code distributed need not include anything that is normally distributed (in either source or binary form) with the major components (compiler, kernel, and so on) of the operating system on which the executable runs, unless that component itself accompanies the executable.

If distribution of executable or object code is made by offering access to copy from a designated place, then offering equivalent access to copy the source code from the same place counts as distribution of the source code, even though third parties are not compelled to copy the source along with the object code.

4. You may not copy, modify, sublicense, or distribute the Program except as expressly provided under this License. Any attempt otherwise to copy, modify, sublicense or distribute the Program is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance.

5. You are not required to accept this License, since you have not signed it. However, nothing else grants you permission to modify or distribute the Program or its derivative works. These actions are prohibited by law if you do not accept this License. Therefore, by modifying or distributing the Program (or any work based on the Program), you indicate your acceptance of this License to do so, and all its terms and conditions for copying, distributing or modifying the Program or works based on it.

6. Each time you redistribute the Program (or any work based on the Program), the recipient automatically receives a license from the original licensor to copy, distribute or modify the Program subject to these terms and conditions. You may not impose any further restrictions on the recipients' exercise of the rights granted herein. You are not responsible for enforcing compliance by third parties to this License.

7. If, as a consequence of a court judgment or allegation of patent infringement or for any other reason (not limited to patent issues), conditions are imposed on you (whether by court order, agreement or otherwise) that contradict the conditions of this License, they do not excuse you from the conditions of this License. If you cannot distribute so as to satisfy simultaneously your obligations under this License and any other pertinent obligations, then as a consequence you may not distribute the Program at all. For example, if a patent license would not permit royalty-free redistribution of the Program by all those who receive copies directly or indirectly through you, then the only way you could satisfy both it and this License would be to refrain entirely from distribution of the Program.

If any portion of this section is held invalid or unenforceable under any particular circumstance, the balance of the section is intended to apply and the section as a whole is intended to apply in other circumstances.

It is not the purpose of this section to induce you to infringe any patents or other property right claims or to contest validity of any such claims; this section has the sole purpose of protecting the integrity of the free software distribution system, which is implemented by public license practices. Many people have made generous contributions to the wide range of software distributed through that system in reliance on consistent application of that system; it is up to the author/donor to decide if he or she is willing to distribute software through any other system and a licensee cannot impose that choice.

This section is intended to make thoroughly clear what is believed to be a consequence of the rest of this License.

8. If the distribution and/or use of the Program is restricted in certain countries either by patents or by copyrighted interfaces, the original copyright holder who places the Program under this License may add an explicit geographical distribution limitation excluding those countries, so that distribution is permitted only in or among countries not thus excluded. In such case, this License incorporates the limitation as if written in the body of this License.

9. The Free Software Foundation may publish revised and/or new versions of the General Public License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns.

Each version is given a distinguishing version number. If the Program specifies a version number of this License which applies to it and "any later version", you have the option of following the terms and conditions either of that version or of any later version published by the Free Software Foundation. If the Program does not specify a version number of this License, you may choose any version ever published by the Free Software Foundation.

10. If you wish to incorporate parts of the Program into other free programs whose distribution conditions are different, write to the author to ask for permission. For software which is copyrighted by the Free Software Foundation, write to the Free Software Foundation; we sometimes make exceptions for this. Our decision will be guided by the two goals of preserving the free status of all derivatives of our free software and of promoting the sharing and reuse of software generally.

NO WARRANTY

11. BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.

12. IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.

END OF TERMS AND CONDITIONS

Um eine spezielle Übersetzung zu aktivieren, booten Sie mit locale=ll_CC.UTF-8 als Boot-Option, wobei ll_CC für den Locale-Namen steht. Um ein Tastaturlayout zu aktivieren benutzen Sie die keyb=KB-Option. Dabei ist KB das gewünschte Layout. Es folgt eine Liste von oft genutzten Länder-Codes:

Eine vollständige Liste von Länder-Codes ist unter /usr/share/i18n/SUPPORTED zu finden, von den Live-Images werden bisher nur UTF-8 Lokalisierungen unterstützt. Jedoch sind nicht für alle auch Übersetzungen installiert. Die Namen der verschiedenen Tastaturlayouts können in /usr/share/keymaps/amd64/ gefunden werden.

Die folgenden Debian-Edu-Releases gab es davor:

Eine vollständige und detaillierte Übersicht älterer Releases gibt es im Anhang C des Jessie-Handbuchs; Sie finden die betreffenden Release-Handbücher auch auf der Dokumentations-Übersichtsseite.