Durante la instalación del servidor principal, se creó una cuenta de primer
usuario. A partir de ahora, esta cuenta aparecerá "primer usuario". Esta
cuenta es especial, ya que el permiso del directorio home está establecido
en 700 (así se necesita chmod o+x ~
para
hacer accesibles las páginas web personales), y el primer usuario puede
utilizar sudo
para convertirse en root.
Ver la información específica sobre Debian Edu configuración de acceso al sistema de archivos antes de añadir usuarios; si es necesario ajústalo a la política de tu sitio.
Después de la instalación, las primeras cosas que necesita hacer como usuario son:
Entra en el servidor.
Agregar usuarios con GOsa².
Agregar estaciones de trabajo con GOsa².
Como agregar usuarios y estaciones de trabajo se describe con más detalle a continuación. Por favor, lea este capítulo completamente. Abarca como realizar estos pasos mínimos correctamente, además de otras cosas que probablemente todos necesitan hacer.
Hay información adicional disponible en otro lugar de este manual: todo el que esté familiarizado con versiones anteriores ha de leerse el capítulo New features in Bookworm. Y para aquellos que actualizan de una versión anterior, asegúrate de leer el capítulo Upgrades .
Si está bloqueado el tráfico genérico DNS fuera de tu red y necesitas
utilizar algún servidor DNS específico para buscar hosts de Internet,
necesitas decirle al servidor DNS que use este servidor como su
"reenviador". Actualiza /etc/bind/named.conf.options y especifica la
dirección IP del servidor DNS a usar.
El capítulo HowTo describe más trucos, pistas y algunas preguntas de uso frecuente.
GOsa²es una herramienta de administración web, que le ayudará a administrar algunas de las partes importantes de su configuración de Debian Edu. Podrá administrar (agregar, modificar o eliminar) estos principales grupos:
Administración de usuarios
Administración de grupos
Administración de usuarios NIS
Administración del ordenador
Administración DNS
Administración DHCP
Para acceder a GOsa², necesita el servidor principal Skolelinux y un ordenador con un navegador web, puede ser el mismo servidor principal si se instaló como un servidor combinado (servidor principal + servidor LTSP + estación de trabajo).
Si has instalado (probablemente de forma accidental) un perfil de Main Server puro y no tienes un cliente con un servidor web útil, es fácil instalar un escritorio mínimo en el servidor principal utilizando esta secuencia de comandos en la shell (no gráfica) como el usuario que creó durante la instalación del servidor principal (primer usuario):
$ sudo apt update $ sudo apt install task-desktop-xfce lightdm education-menus $ sudo service lightdm start
Desde un navegador web, utilice https://www/gosa para acceder a GOsa² e ingrese por primera vez.
Si estás usando un ordenador nuevo con Debian Edu Bookworm, el certificado de seguridad del sitio web será reconocido por el navegador.
En caso contrario, obtendrá un mensaje de error sobre certificado SSL equivocado. Si sabe que solamente usted se encuentra conectado a la red, acepte e ignórelo.
Después de iniciar sesión en GOsa² verás la página de vista general de GOsa².
A continuación, puedes elegir una tarea en el menú o hacer clic en cualquiera de los iconos de tarea en la página de vista general. Para navegar, recomendamos utilizar el menú del lado izquierdo de la pantalla, ya que se mantendrá visible en todas las páginas de administración ofrecidas por GOsa2.
En Debian Edu, la información del sistema, grupos y cuentas de usuario se guarda en un directorio de LDAP. Esta información es utilizada no solo por el servidor principal, sino también por las estaciones sin disco, los servidores LTSP y otras máquinas en la red. Con LDAP, solo se necesita ingresar una vez la información sobre estudiantes, docentes y resto. Una vez ingresada la información en LDAP, estará disponible para todos los sistemas en toda la red Skolelinux.
GOsa² es una herramienta de administración que usa LDAP para almacenar su información y provee una estructura jerárquica por departamento. Para cada "departamento" puede agregar cuentas de usuario, grupos, sistemas, grupos de red y demás. En dependencia de la estructura de su institución, puede usar la estructura en GOsa²/LDAP para transferir su estructura organizativa al árbol de datos LDAP del servidor principal Debian Edu.
Una instalación predeterminada del servidor principal de Debian Edu actualmente proporciona dos "departamentos": Profesores y Estudiantes, además del nivel base del árbol LDAP. Las cuentas de estudiantes están destinadas a agregarse al departamento "Estudiantes", las de profesores al departamento "Profesores"; Los sistemas (servidores, estaciones de trabajo, impresoras, etc.) se agregan actualmente al nivel base. Encuentre su propio esquema para personalizar esta estructura. (Puede encontrar un ejemplo de cómo crear usuarios en grupos por años, con directorios de inicio comunes para cada grupo en el capítulo HowTo/AdvancedAdministration de este manual.)
Dependiendo de la tarea que desee realizar (administrar usuarios, grupos, sistemas, etc) GOsa² le mostrará una vista diferente en el departamento seleccionado (o el nivel básico).
En primer lugar, clic en "Usuarios" en el menú de navegación de la izquierda. El lado derecho de la pantalla cambiará para mostrar una tabla con las carpetas de departamento para "Estudiantes" y "Maestros" y la cuenta GOsa² Administrador (el primer usuario creado). Sobre esta tabla se puede ver un campo llamado Base que le permite navegar a través de su estructura de árbol (mueve el ratón sobre esa zona y aparecerá un menú desplegable) y selecciona una carpeta base para tus operaciones previstas (por ejemplo, añadir un nuevo usuario).
Al lado de ese elemento de navegación de árbol se puede ver el menú "Acciones". Mueve el ratón sobre este ítem y se mostrará un submenú en la pantalla; selecciona "Crear", y luego "Usuario". Desde aquí te guiará el asistente de creación de usuarios.
Lo más importante es agregar un perfil (nuevoestudiante o nuevoprofesor) y el nombre completo del usuario (ver imágen).
Al seguir al asistente, verás que GOsa2 genera automáticamente un nombre de usuario basado en el nombre real. Escoge automáticamente un nombre de usuario que no existe todavía, por lo que varios usuarios con el mismo nombre completo no son un problema. Ten en cuenta que GOsa2 puede generar nombres de usuario inválidos si el nombre completo contiene caracteres no ASCII.
Si no te gusta el nombre de usuario generado puedes seleccionar otro nombre
de usuario mostrado en el menú desplegable, pero aquí en el asistente no
tienes una opción libre. (Si quieres ser capaz de editar el nombre de
usuario propuesto, abre /etc/gosa/gosa.conf
con un editor y añade
allowUIDProposalModification="true"
como
una opción adicional a la "definición de ubicación".)
Cuando el asistente ha terminado, aparecerá la pantalla GOsa2 para tu nuevo objeto de usuario. Utiliza las pestañas de la parte superior para comprobar los campos completados.
Después de haber creado el usuario (no necesitas personalizar los campos que el asistente ha dejado vacío por ahora), clic en el botón "Ok" en la esquina inferior derecha.
Como último paso GOsa2 te pedirá una contraseña para el nuevo
usuario. Escríbela dos veces y luego clic en "Fijar contraseña" en la
esquina inferior derecha. No se permiten algunos caracteres como parte de la contraseña.
Si todo va bien, ahora puedes ver al nuevo usuario en la lista de usuarios. Ahora debes poder conectarte con ese nombre de usuario en cualquier máquina Skolelinux dentro de tu red.
Para modificar o eliminar un usuario, utiliza GOsa2 para navegar por la lista de usuarios en tu sistema. En medio de la pantalla puedes abrir el menú "Filtro", una herramienta de búsqueda proporcionada por GOsa2. Si no conoces la ubicación exacta de tu cuenta de usuario en tu árbol, cambia a la base del árbol GOsa2/LDAP y busca allí con la opción "Buscar en subárboles".
Al utilizar el menú "Filter", los resultados aparecerán inmediatamente en el centro del texto en la vista de la lista de tabla. Cada línea representa una cuenta de usuario y los items más alejados a la derecha en cada línea son pequeños iconos que te proporcionan acciones: editar usuario, bloquear cuenta, establecer contraseña y eliminar usuario.
Una nueva página se mostrará donde podrá modificar la información pertinente al usuario directamente, cambiar su contraseña y modificar la lista de grupos a los que pertenece.
Los estudiantes pueden cambiar sus contraseñas ingresando a GOsa² con sus propios usuarios. Para facilitar el acceso a GOsa², aparece un acceso directo llamado Gosa en el menú escritorio (o en configuración del sistema). Una sesión de estudiante tendrá una versión mínima de GOsa² que solamente da acceso a la cuenta de información del usuario y a la opción de cambio de contraseña.
Los profesores que ingresan con sus propios nombres de usuarios, tienen privilegios especiales en GOsa². Ellos poseen una vista con más privilegios y pueden cambiar la contraseña de todas las cuentas de estudiantes. Esto puede ser muy practico durante las clases.
Para establecer una nueva contraseña para el usuario
Busque el usuario que desea modificar, tal como se explicó anteriormente
clic en el símbolo de la clave al final de la línea en la que se muestra el nombre de usuario
En la siguiente página, puede escribir la nueva contraseña elegida por ti
¡Tenga cuidado con las implicaciones en la seguridad, debido a la facilidad de las contraseñas!
Es posible crear usuarios masivamente con GOsa² usando un archivo CSV, que
se puede crear con una hoja de cálculo
(localc
por ejemplo). Se deben proveer, al
menos, datos para los siguientes campos: uid, last name (sn), first name
(givenName) y password. Asegúrese de no duplicar datos en el campo uid. Note
que la revisión de duplicados debe incluir los registros ya existentes en
LDAP (que se puede obtener ejecutando getent passwd | grep
tjener/home | cut -d":" -f1
en la linea de comando).
Estas son las directrices de formato para un archivo CSV (GOsa² es bastante intolerante con ellos):
Use "," como separador de campos
No utilices citas
El archivo CSV no debe contener un encabezado (del tipo que normalmente contiene los nombres de las columnas)
El orden de los campos no es relevante, y se puede definir en GOsa² durante la importación masiva
Los pasos para importe masivo son:
clic en el enlace "LDAP Manager" en el menú de navegación a la izquierda
clic en la pestaña "Importar" al lado derecho de la pantalla
Busque en el disco local el archivo CSV con la lista de usuarios que desea importar
seleccionar una plantilla de usuarios disponible que se aplicará durante la importación masiva (como NewTeacher o NewStudent)
clic en el botón "Importar" en la esquina inferior derecha
Es una buena idea el hacer alguna prueba antes, de preferencia con un archivo CSV con usuarios ficticios, que se pueden eliminar después.
Lo mismo se aplica al módulo de gestión de contraseñas, que permite restablecer muchas contraseñas usando un archivo CSV o regenerar nuevas contraseñas para usuarios de un subárbol especial de LDAP.
Las cuentas de usuario también se pueden añadir desde la línea de comandos
utilizando la herramienta
ldap-createuser-krb5
, consulte la
documentación en el Cómo administrar
La gestión de grupos es muy similar a la gestión de usuarios.
Puedes ingresar un nombre y una descripción por grupo. Asegúrate de elegir el nivel correcto en el árbol LDAP cuando crees un nuevo grupo.
Agregar usuarios a un grupo recién creado te vuelve a la lista de usuarios, donde te gustaría posiblemente utilizar el cuadro de filtros para encontrar usuarios. Revisa, también, el nivel del árbol LDAP.
Los grupos incluidos en el manejo de grupos, son también grupos regulares de Unix, así que pueden utilizarse también para los permisos de archivos.
La gestión de máquinas básicamente te permite gestionar todos los dispositivos conectados en tu red Debian Edu. Cada máquina agregada al directorio LDAP usando GOsa2 tiene un nombre de host, una dirección IP, una dirección MAC y un nombre de dominio (que suele ser "interno"). Para una descripción más completa de la arquitectura Debian Edu ver el capítulo de este manual arquitectura .
Las estaciones de trabajo sin discos y los clientes ligeros trabajan fuera de la red en el caso de un servidor principal integrado.
Las estaciones de trabajo con discos (incluidos los servidores LTSP
separados) han de ser añadidas con
GOsa². En segundo plano, se generan tanto una máquina específica Kerberos
Principal (un tipo de cuenta) como un archivo keytab
relacionado (conteniendo una clave como contraseña); el
archivo keytab necesita estar presente en la estación de trabajo para poder
montar el directorio home de los usuarios. Una vez reiniciado el sistema,
ingresa en él como root y ejecuta
/usr/share/debian-edu-config/tools/copy-host-keytab
.
Para crear un archivo Principal y keytab para un sistema ya configurado con GOsa², inicia sesión en el servidor principal como root y ejecutar
/usr/share/debian-edu-config/tools/gosa-modify-host <hostname> <IP>
Ten en cuenta que: la creación de teclado host es posible para sistemas de tipo estaciones de trabajo, servidores y terminales pero no para los del tipo dispositivos de red. Lee el capítulo HowTo clientes de red para las opciones de configuración NFS.
Para añadir una máquina, utilice el menú principal de GOsa², sistemas, añadir. Se espera que el nombre de la máquina sea un nombre de host válido no cualificado, no añada el nombre de dominio aquí. Puede utilizar una dirección IP/nombre de host del espacio de direcciones preconfigurado 10.0.0.0/8. Actualmente sólo hay dos direcciones fijas predefinidas: 10.0.2.2 (tjener) y 10.0.0.1 (gateway). Las direcciones de 10.0.16.20 a 10.0.31.254 (aproximadamente 10.0.16.0/20 o 4000 hosts) están reservadas para DHCP y se asignan dinámicamente.
Para asignar un host con la dirección MAC 52:54:00:12:34:10 una dirección IP
estática en GOsa² tienes que introducir la dirección MAC, el nombre del host
y la IP; alternativamente podrías hacer clic en el botón
Propose ip
que mostrará la primera
dirección fija libre en 10.0.0.0/8, probablemente algo como 10.0.0.2 si
agregas la primera máquina de esta manera. Puede ser mejor pensar primero en
tu red: por ejemplo, podrías usar 10.0.0.x con x x>10 y x<50 para
servidores, y x>100 para estaciones de trabajo. No te olvides de activar
el sistema recién añadido. Con la excepción del servidor principal, todos
los sistemas llevan emparejado un icono.
Si las máquinas han arrancado como estaciones de trabajo clientes/sin hd
ligeros sin recursos o se han instalado utilizando cualquiera de los
perfiles en red, se puede usar el script
sitesummary2ldapdhcp
para agregar
automáticamente máquinas a GOsa2. Para máquinas simples funcionará de forma
predefinida, para máquinas con más de una dirección mac se tiene que elegir
la utilizada, sitesummary2ldapdhcp -h
muestra la información de uso. Ten en cuenta que las direcciones IP
mostradas después del uso de
sitesummary2ldapdhcp
pertenecen al rango IP
dinámico. Se pueden modificar estos sistemas para adaptarlos a tu red:
renombrar cada nuevo sistema, activar DHCP y DNS, añadirlo a los grupos de
red (mira el screenshot para los grupos recomendados), reiniciar el sistema
después. Los siguientes volcados de pantalla muestran cómo se ve esto en la
práctica:
root@tjener:~# sitesummary2ldapdhcp -a -i ether-22:11:33:44:55:ff info: Create GOsa machine for am-2211334455ff.intern [10.0.16.21] id ether-22:11:33:44:55:ff. Enter password if you want to activate these changes, and ^c to abort. Connecting to LDAP as cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no enter password: ******** root@tjener:~#
Un cronjob que actualiza el DNS se ejecuta cada hora; su -c
ldap2bind
se puede usar para activar la actualización
manualmente.
Buscar ordenadores para eliminarlos, es bastante similar a buscar usuarios para eliminar, por lo que no se repite la información.
Después de añadir una máquina al árbol LDAP utilizando GOsa², puedes modificar sus propiedades utilizando la función de búsqueda y haciendo clic en el nombre de la máquina (como lo harías con los usuarios).
El formato de estas entradas del sistema es similar al que ya conoces de modificar las entradas del usuario, pero los campos significan cosas diferentes en este contexto.
Por ejemplo, añadir una máquina a un
NetGroup
no modifica los permisos de acceso
a archivos o de ejecución de comandos para esa máquina o los usuarios
conectados a ella; en cambio, restringe los servicios que esa máquina puede
utilizar en su servidor principal.
La instalación por defecto proporciona el Grupo de
Red
all-hosts
cups-queue-autoflush-hosts
cups-queue-autoreenable-hosts
fsautoresize-hosts
ltsp-server-hosts
netblock-hosts
printer-hosts
server-hosts
shutdown-at-night-hosts
shutdown-at-night-wakeup-hosts-blacklist
workstation-hosts
Actualmente, la funcionalidad de NetGroup
se usa para:
Cambiar el tamaño de las particiones (fsautoresize-hosts)
Los equipos con Debian Edu en este grupo, automáticamente acondicionarán las particiones LVM que estén próximas a quedarse sin espacio disponible.
Apagar máquinas por la noche (apagar-por-la-noche-hosts y apagar-por-la-noche-despertar-hosts-lista negra)
Los equipos con Debian Edu en este grupo, se apagarán automáticamente por las noches para ahorrar energía.
Gestión de impresoras (cups-queue-autoflush-hosts y cups-queue-autoreenable-hosts)
Los equipos con Debian Edu en estos grupos vaciarán automáticamente todas las colas de impresión cada noche, y volverán a habilitar cualquier cola de impresión deshabilitada cada hora.
Bloquear el acceso a Internet (netblock-hosts)
Las máquinas de Debian Edu en este grupo podrán conectarse a máquinas sólo en la red local. Combinado con las restricciones del proxy web, esto podría utilizarse durante los exámenes.