Esta sección del documento describe la arquitectura de red y los servicios proporcionados por una instalación Skolelinux.
La figura es un esquema propuesto de la topología de red. La configuración predeterminada de Skolelinux asume que hay un (y sólo uno) servidor principal, y permite incluir tanto servidores LTSP (con clientes ligeros y/o estaciones sin disco asociados) como estaciones de trabajo. El número de estaciones de trabajo puede ser tan grande o pequeño como se quiera (desde ninguno a muchísimos). Lo mismo para los servidores LTSP, cada uno de los cuales está en una red separada, de forma que el tráfico entre los clientes ligeros y el servidor LTSP no afecte al resto de los servicios de red. LTSP se explica en detalle en el capítulo el HowTo relacionado.
La razón por la que sólo puede haber un servidor principal en cada red es que el servidor principal proporciona DHCP, y sólo puede haber una máquina haciendo eso en cada red. Es posible trasladar servicios del servidor principal a otras máquinas configurando el servicio en otra máquina, y posteriormente, actualizando la configuración de DNS para que apunte al alias DNS de ese servicio a la máquina correcta.
Para simplificar la configuración estándar de Skolelinux, la conexión a Internet se ejecuta sobre un router separado, también llamado puerta de entrada. Ver el capítulo Internet router para tener más información sobre cómo configurar una puerta de entrada si no es posible configurar una existente según sea necesario.
DHCP en el servidor principal da servicio a la red 10.0.0.0/8, proporcionando un menú de arranque PXE en el que puedes elegir si instalar un nuevo servidor/estación de trabajo, arrancar un cliente ligero o una estación de trabajo sin disco, ejecutar memtest o arrancar desde el disco duro local.
Esto está diseñado para modificarse; para más detalles ver el capítulo el HowTo relacionado .
DHCP en los servidores LTSP sólo sirve para una red dedicada en la segunda interfaz (192.168.0.0/24 y 192.168.1.0/24 son opciones preconfiguradas) y rara vez debería ser necesario cambiarlo.
La configuración de todas las subredes se almacena en LDAP.
Una red Skolelinux necesita un servidor principal (también llamado "tjener" que significa "servidor" en Noruego) que por defecto tenga la dirección IP 10.0.2.2 y se instale seleccionando el perfil del Main Server. Es posible (pero no requerido) seleccionar e instalar también los perfiles de servidor LTSP y estación de trabajo al perfil de servidor principal.
A excepción del control de los clientes ligeros, todos los servicios se configuran inicialmente en un ordenador central (el servidor principal). Por razones de rendimiento, los servidores LTSP deben estar separados (aunque es posible instalar los perfiles del Servidor Principal y del Servidor LTSP en la misma máquina). Todos los servicios tienen asignado un nombre DNS dedicado y se ofrecen exclusivamente a través de IPv4. El nombre DNS asignado facilita mover servicios individuales del servidor principal a una máquina diferente, simplemente deteniendo el servicio en el servidor principal, y cambiando la configuración DNS para que apunte a la nueva ubicación del servicio (que, por supuesto, primero se debe configurar en esa máquina).
Para garantizar la seguridad, siempre que se transmitan contraseñas por la red, se hace en canal encriptado. Por tanto, no se envía ninguna contraseña en texto plano.
Abajo se encuentra una lista de los servicios que se tienen por defecto en una red Skolelinux, con el nombre del DNS en cada servicio. Si es posible, todos los archivos de configuración se referirán al servicio por su nombre (sin el nombre del dominio), haciendo más fácil para las escuelas el cambio de dominio (si se tiene un dominio DNS) o la dirección IP que utilizan.
Tabla de servicios | ||
Descripción de servicios |
Nombre común |
Nombre de servicio DNS |
Registros centralizados |
Ryslog |
Syslog |
Sistema de Nombre de Dominio |
DNS (BIND) |
dominio |
Configuración automática de equipos en red |
DHCP |
Bootps |
Sincronización de reloj |
NTP |
Ntp |
Directorios de usuarios vía sistema de archivos de red |
SMB / NFS |
inicio |
Correo Electrónico |
IMAP (Dovecot) |
oficina de correos |
Servicio de Directorio |
OpenLDAP |
Protocolo ligero de acceso a directorios (ldap) |
Administración de usuarios |
GOsa² |
--- |
Servidor Web |
Apache/PHP |
www |
Copia de seguridad Central |
sl-backup, slbackup-php |
backup |
Caché Web |
Proxy (Squid) |
caché web |
Impresión |
CUPS |
ipp |
Inicio de sesión remoto seguro |
OpenSSH |
ssh |
Configuración Automática |
CFEngine |
cfengine |
Servidor/es LTSP |
LTSP |
ltsp |
Vigilancia de máquinas y servicios con notificación de errores, además de estado e historial en la web. Notificación de errores por correo electrónico |
Munin, Icinga y Sitesummary |
Resumen del sitio |
Cada usuario almacena sus archivos personales en su directorio home que está disponible en el servidor. Los directorios Home son accesibles desde todas las máquinas, dando a los usuarios acceso independientemente del puesto que estén usando. El servidor opera sin importar el sistema operativo, ofreciendo acceso vía NFS para clientes Unix y vía SMB2/SMB3 para otros clientes.
Por defecto, el correo está configurado para envío local (dentro de la escuela), aunque se puede configurar el envío a todo Internet si la escuela tiene una conexión a Internet fija. Los clientes están configurados para enviar correo al servidor (usando 'smarthost'), y los usuarios pueden acceder a su correo personal mediante IMAP.
Todos los servicios usan el mismo nombre de usuario y contraseña, gracias a la base de datos centralizada para autenticación y autorización de usuarios.
Para incrementar el rendimiento al acceder frecuentente a los mismos sitios de internet hay un proxy que cachea localmente los archivos (Squid). Junto al bloqueo de tráfico web en el router este también permite el control de acceso a Internet individualmente para cada puesto.
La configuración de red en los clientes se hace automáticamente con DHCP. Los clientes normales reciben direcciones IP en el rango privado 10.0.0.0/8, y los clientes LTSP se conectan a su servidor LTSP mediante la subred separada 192.168.0.0/24 (esto asegura que el tráfico de los clientes LTSP no interfiera con el resto de los servicios de red).
El registro de sucesos está centralizado, de forma que todas las computadoras envían sus mensajes al servidor. El servicio syslog está configurado para aceptar sólo mensajes entrantes desde la red local.
Por defecto, el servidor de DNS está configurado con un dominio para uso interno (*.intern), contra un servidor de DNS real ("externo") que puede configurarse. El servidor de DNS actua como un caché de DNS, de forma que todos los puestos de la red pueden usarlo como su servidor de DNS principal.
Los alumnos y profesores pueden publicar sitios web. El servidor web proporciona mecanismos para autenticar los usuarios, y para limitar el acceso a páginas individuales y subdirectorios a ciertos usuarios y grupos. Los usuarios pueden crear páginas web dinámicas, ya que el servidor web puede ejecutar programas del lado del servidor.
La información sobre los ordenadores y los usuarios se puede cambiar en una ubicación central y es accesible a todos los ordenadores de la red automáticamente. Para conseguirlo, hay un servidor de directorio centralizado. El directorio tendrá información sobre los usuarios, grupos, máquinas y grupos de máquinas. Para evitar confusión entre los usuarios no habrá ninguna diferencia entre los grupos de archivos y grupos de red. Esto implica que los grupos de máquinas que van a estar en grupos de red, usarán el mismo namespace como grupos de usuarios.
La administración de los usuarios y servicios se hace mediante web, y sigue estándares establecidos. Son funcionales en los navegadores que incluye Skolelinux. Es posible delegar algunas tareas a usuarios o grupos de usuarios mediante los sistemas de administración.
Para evitar algunos problemas con NFS, y hacer más simple la depuración de errores, es necesario sincronizar los relojes de todas las máquinas. Para lograr esto, el servidor Skolelinux tiene configurado un servidor NTP, y todas las estaciones y clientes se configuran para sincronizar sus relojes con el servidor. El servidor debe sincronizar su propio reloj mediante NTP con alguna de las máquinas disponibles en Internet para asegurarse de que toda la red tenga la hora correcta.
Las impresoras se conectan donde sean necesarias, bien directamente en la red, o conectadas a un servidor, estación de trabajo o servidor LTSP El acceso a las impresoras se puede controlar para los usuarios de acuerdo con el grupo al que pertenezcan, y puede hacerse con cuota y control de acceso a las impresoras.
Una red Skolelinux puede tener muchos servidores LTSP, que SE pueden instalar seleccionando el perfil servidor LTSP.
EL servidor LTSP está configurado para recibir los registros de los clientes ligeros y reenviarlos al servidor central.
Tener en cuenta:
Las estaciones de trabajo sin disco LTSP utilizan los programas instalados en el servidor.
El sistema de archivos raíz cliente se proporciona utilizando NFS. Después
de cada modificación en el servidor LTSP, la imagen relacionada se tiene que
regenerar; ejecuta debian-edu-ltsp-install
--diskless_workstation yes
en el servidor LTSP.
Una configuración de cliente ligero permite a un PC ordinario funcionar como un terminal (X). Esto significa que la computadora arranca desde el servidor a través de la red usando PXE, sin usar el disco duro local. La configuración de cliente ligero ahora usa X2Go, porque la LTSP ya no tiene soporte.
Los clientes ligeros son una buena forma de usar máquinas viejas (principalmente de 32 bit), ya que los programas se ejecutan en el servidor LTSP. Funciona así: El servicio usa DHCP y TFTP para conectarse a la red y arrancar desde la red. Después, se monta el sistema de archivos desde el servidor LTSP usano NFS, y finalmente el cliente de X2Go se inicia.
Una estación sin disco, ejecuta todas las aplicaciones localmente, sin necesidad de un S.O instalado. Esto significa que las máquinas cliente arrancan vía PXE sin ejecutar el software instalado en un disco duro local.
Las estaciones sin disco son una forma excelente para reutilizar hardware reciente, con el mismo costo bajo de mantenimiento que los clientes ligeros. Las aplicaciones son administradas y mantenidas en el servidor, sin necesidad de instalaciones en los clientes. Los directorios de los usuarios y las configuraciones de sistema son almacenadas en el servidor.
Todas las máquinas Linux que se instalan con el instalador de Skolelinux se
pueden administrar desde una computadora central, es decir el servidor. Se
puede acceder a todas las máquinas por SSH y, por tanto hay acceso completo
a todos los puestos. Como root primero es necesario ejecutar
kinit
para obtener un TGT de Kerberos.
Toda la información de los usuarios se guarda en un directorio LDAP. Las actualizaciones de las cuentas de usuario se hacen en esta base de datos, que es la que usan los clientes para autenticarse.
Actualmente hay dos medios de instalación: por red y BD. Ambos medios pueden ser cargados desde memorias USB.
La idea es poder instalar un servidor desde cualquier medio una sola vez e instalar los demás clientes por la red arrancando a través de la red.
Solo la instalación en red necesita acceso a Internet durante la instalación.
La instalación no debería hacer ninguna pregunta, con la excepción del idioma deseado, ubicación, disposición del teclado y perfil de la máquina (Servidor principal, Estación de trabajo, Servidor LTSP, ...). Todas las demás configuraciones se harán automáticamente con valores razonables, y el administrador del sistema las podrá cambiar desde un sitio centralizado después de la instalación.
Cada cuenta de usuario de Skolelinux tiene asignada una sección del sistema de archivos en el servidor de archivos. Esta sección (directorio home) contiene los archivos de configuración del usuario, documentos, correos electrónicos y páginas web. Algunos de los archivos deberían tener acceso de lectura para otros usuarios del sistema, algunos podrían ser de lectura para todos a través de Internet, y algunos no deberían ser accesibles por nadie que no fuera el usuario.
Para asegurar que todos los discos serán utilizados para directorios de
datos de los usuarios o directorios compartidos, pueden poseer nombres
únicos entre todas los ordenadores durante la instalación al ser montados
como /skole/host/directory/
. Inicialmente,
se crea un directorio en el servidor de archivos,
/skole/tjener/home0/
en el que se crean
todas las cuentas de usuarios. Se pueden crrear más directorios cuando sea
necesario acomodar grupos de usuarios particulares o patrones particulares
de uso.
Para habilitar el acceso compartido de archivos según el sistema de permisos de UNIX, los usuarios necesitan estar en un grupo compartido adicional (como "students") así como al grupo inicial al que pertenecen de manera predeterminada.Si los usuarios tienen una umask apropiada para hacer artículos de nueva creación y compartir archivos en grupos accesibles (002 o 007), y si los directorios en los que están trabajando están configurados para garantizar que los archivos hereden la propiedad del grupo correcta, el resultado es un intercambio de archivos controlado entre los miembros de un grupo.
La configuración de acceso inicial para los archivos recién creados es una
cuestión de política. El umask predeterminado de Debian es 022 (que no
permitiría acceso a grupos como los ya descritos), pero Debian Edu utiliza
uno predeterminado de 002 - lo que significa que los archivos se crean con
acceso de lectura para todos, que se pueden eliminar posteriormente por
acción explícita del usuario. Esto se puede cambiar alternativamente (por la
edición de /etc/pam.d/common-session
) a un
umask de 007 - significa que el acceso leído está bloqueado inicialmente,
necesitando la acción del usuario para hacerlo accesible. El primer
acercamiento fomenta el intercambio de conocimientos y hace que el sistema
resulte más transparente, mientras que el segundo método disminuye el riesgo
de propagación no deseada de información sensible. El problema con la
primera solución es que no es evidente para los usuarios que el material que
crean será accesible a los demás usuarios. Sólo pueden detectar esto
inspeccionando los directorios de otros usuarios y viendo que sus archivos
son legibles. El problema con la segunda solución es que es probable que
pocas personas hagan que sus archivos sean accesibles, incluso si no
contienen información sensible y el contenido fuera útil para los usuarios
curiosos que quieren aprender cómo otros han resuelto problemas particulares
(típicamente problemas de configuración).