Arquitectura

Esta sección del documento describe la arquitectura de red y los servicios proporcionados por una instalación Skolelinux.

La topología de red de Debian Edu

La figura es un esquema propuesto de la topología de red. La configuración predeterminada de Skolelinux asume que hay un (y sólo uno) servidor principal, y permite incluir tanto servidores LTSP (con clientes ligeros y/o estaciones sin disco asociados) como estaciones de trabajo. El número de estaciones de trabajo puede ser tan grande o pequeño como se quiera (desde ninguno a muchísimos). Lo mismo para los servidores LTSP, cada uno de los cuales está en una red separada, de forma que el tráfico entre los clientes ligeros y el servidor LTSP no afecte al resto de los servicios de red. LTSP se explica en detalle en el capítulo el HowTo relacionado.

La razón por la que sólo puede haber un servidor principal en cada red es que el servidor principal proporciona DHCP, y sólo puede haber una máquina haciendo eso en cada red. Es posible trasladar servicios del servidor principal a otras máquinas configurando el servicio en otra máquina, y posteriormente, actualizando la configuración de DNS para que apunte al alias DNS de ese servicio a la máquina correcta.

Para simplificar la configuración estándar de Skolelinux, la conexión a Internet se ejecuta sobre un router separado, también llamado puerta de entrada. Ver el capítulo Internet router para tener más información sobre cómo configurar una puerta de entrada si no es posible configurar una existente según sea necesario.

A excepción del control de los clientes ligeros, todos los servicios se configuran inicialmente en un ordenador central (el servidor principal). Por razones de rendimiento, los servidores LTSP deben estar separados (aunque es posible instalar los perfiles del Servidor Principal y del Servidor LTSP en la misma máquina). Todos los servicios tienen asignado un nombre DNS dedicado y se ofrecen exclusivamente a través de IPv4. El nombre DNS asignado facilita mover servicios individuales del servidor principal a una máquina diferente, simplemente deteniendo el servicio en el servidor principal, y cambiando la configuración DNS para que apunte a la nueva ubicación del servicio (que, por supuesto, primero se debe configurar en esa máquina).

Para garantizar la seguridad, siempre que se transmitan contraseñas por la red, se hace en canal encriptado. Por tanto, no se envía ninguna contraseña en texto plano.

Abajo se encuentra una lista de los servicios que se tienen por defecto en una red Skolelinux, con el nombre del DNS en cada servicio. Si es posible, todos los archivos de configuración se referirán al servicio por su nombre (sin el nombre del dominio), haciendo más fácil para las escuelas el cambio de dominio (si se tiene un dominio DNS) o la dirección IP que utilizan.

Tabla de servicios

Descripción de servicios

Nombre común

Nombre de servicio DNS

Registros centralizados

Ryslog

Syslog

Sistema de Nombre de Dominio

DNS (BIND)

dominio

Configuración automática de equipos en red

DHCP

Bootps

Sincronización de reloj

NTP

Ntp

Directorios de usuarios vía sistema de archivos de red

SMB / NFS

inicio

Correo Electrónico

IMAP (Dovecot)

oficina de correos

Servicio de Directorio

OpenLDAP

Protocolo ligero de acceso a directorios (ldap)

Administración de usuarios

GOsa²

---

Servidor Web

Apache/PHP

www

Copia de seguridad Central

sl-backup, slbackup-php

backup

Caché Web

Proxy (Squid)

caché web

Impresión

CUPS

ipp

Inicio de sesión remoto seguro

OpenSSH

ssh

Configuración Automática

CFEngine

cfengine

Servidor/es LTSP

LTSP

ltsp

Vigilancia de máquinas y servicios con notificación de errores, además de estado e historial en la web. Notificación de errores por correo electrónico

Munin, Icinga y Sitesummary

Resumen del sitio

Cada usuario almacena sus archivos personales en su directorio home que está disponible en el servidor. Los directorios Home son accesibles desde todas las máquinas, dando a los usuarios acceso independientemente del puesto que estén usando. El servidor opera sin importar el sistema operativo, ofreciendo acceso vía NFS para clientes Unix y vía SMB2/SMB3 para otros clientes.

Por defecto, el correo está configurado para envío local (dentro de la escuela), aunque se puede configurar el envío a todo Internet si la escuela tiene una conexión a Internet fija. Los clientes están configurados para enviar correo al servidor (usando 'smarthost'), y los usuarios pueden acceder a su correo personal mediante IMAP.

Todos los servicios usan el mismo nombre de usuario y contraseña, gracias a la base de datos centralizada para autenticación y autorización de usuarios.

Para incrementar el rendimiento al acceder frecuentente a los mismos sitios de internet hay un proxy que cachea localmente los archivos (Squid). Junto al bloqueo de tráfico web en el router este también permite el control de acceso a Internet individualmente para cada puesto.

La configuración de red en los clientes se hace automáticamente con DHCP. Los clientes normales reciben direcciones IP en el rango privado 10.0.0.0/8, y los clientes LTSP se conectan a su servidor LTSP mediante la subred separada 192.168.0.0/24 (esto asegura que el tráfico de los clientes LTSP no interfiera con el resto de los servicios de red).

El registro de sucesos está centralizado, de forma que todas las computadoras envían sus mensajes al servidor. El servicio syslog está configurado para aceptar sólo mensajes entrantes desde la red local.

Por defecto, el servidor de DNS está configurado con un dominio para uso interno (*.intern), contra un servidor de DNS real ("externo") que puede configurarse. El servidor de DNS actua como un caché de DNS, de forma que todos los puestos de la red pueden usarlo como su servidor de DNS principal.

Los alumnos y profesores pueden publicar sitios web. El servidor web proporciona mecanismos para autenticar los usuarios, y para limitar el acceso a páginas individuales y subdirectorios a ciertos usuarios y grupos. Los usuarios pueden crear páginas web dinámicas, ya que el servidor web puede ejecutar programas del lado del servidor.

La información sobre los ordenadores y los usuarios se puede cambiar en una ubicación central y es accesible a todos los ordenadores de la red automáticamente. Para conseguirlo, hay un servidor de directorio centralizado. El directorio tendrá información sobre los usuarios, grupos, máquinas y grupos de máquinas. Para evitar confusión entre los usuarios no habrá ninguna diferencia entre los grupos de archivos y grupos de red. Esto implica que los grupos de máquinas que van a estar en grupos de red, usarán el mismo namespace como grupos de usuarios.

La administración de los usuarios y servicios se hace mediante web, y sigue estándares establecidos. Son funcionales en los navegadores que incluye Skolelinux. Es posible delegar algunas tareas a usuarios o grupos de usuarios mediante los sistemas de administración.

Para evitar algunos problemas con NFS, y hacer más simple la depuración de errores, es necesario sincronizar los relojes de todas las máquinas. Para lograr esto, el servidor Skolelinux tiene configurado un servidor NTP, y todas las estaciones y clientes se configuran para sincronizar sus relojes con el servidor. El servidor debe sincronizar su propio reloj mediante NTP con alguna de las máquinas disponibles en Internet para asegurarse de que toda la red tenga la hora correcta.

Las impresoras se conectan donde sean necesarias, bien directamente en la red, o conectadas a un servidor, estación de trabajo o servidor LTSP El acceso a las impresoras se puede controlar para los usuarios de acuerdo con el grupo al que pertenezcan, y puede hacerse con cuota y control de acceso a las impresoras.

Todas las máquinas Linux que se instalan con el instalador de Skolelinux se pueden administrar desde una computadora central, es decir el servidor. Se puede acceder a todas las máquinas por SSH y, por tanto hay acceso completo a todos los puestos. Como root primero es necesario ejecutar kinit para obtener un TGT de Kerberos.

Toda la información de los usuarios se guarda en un directorio LDAP. Las actualizaciones de las cuentas de usuario se hacen en esta base de datos, que es la que usan los clientes para autenticarse.

Cada cuenta de usuario de Skolelinux tiene asignada una sección del sistema de archivos en el servidor de archivos. Esta sección (directorio home) contiene los archivos de configuración del usuario, documentos, correos electrónicos y páginas web. Algunos de los archivos deberían tener acceso de lectura para otros usuarios del sistema, algunos podrían ser de lectura para todos a través de Internet, y algunos no deberían ser accesibles por nadie que no fuera el usuario.

Para asegurar que todos los discos serán utilizados para directorios de datos de los usuarios o directorios compartidos, pueden poseer nombres únicos entre todas los ordenadores durante la instalación al ser montados como /skole/host/directory/. Inicialmente, se crea un directorio en el servidor de archivos, /skole/tjener/home0/ en el que se crean todas las cuentas de usuarios. Se pueden crrear más directorios cuando sea necesario acomodar grupos de usuarios particulares o patrones particulares de uso.

Para habilitar el acceso compartido de archivos según el sistema de permisos de UNIX, los usuarios necesitan estar en un grupo compartido adicional (como "students") así como al grupo inicial al que pertenecen de manera predeterminada.Si los usuarios tienen una umask apropiada para hacer artículos de nueva creación y compartir archivos en grupos accesibles (002 o 007), y si los directorios en los que están trabajando están configurados para garantizar que los archivos hereden la propiedad del grupo correcta, el resultado es un intercambio de archivos controlado entre los miembros de un grupo.

La configuración de acceso inicial para los archivos recién creados es una cuestión de política. El umask predeterminado de Debian es 022 (que no permitiría acceso a grupos como los ya descritos), pero Debian Edu utiliza uno predeterminado de 002 - lo que significa que los archivos se crean con acceso de lectura para todos, que se pueden eliminar posteriormente por acción explícita del usuario. Esto se puede cambiar alternativamente (por la edición de /etc/pam.d/common-session) a un umask de 007 - significa que el acceso leído está bloqueado inicialmente, necesitando la acción del usuario para hacerlo accesible. El primer acercamiento fomenta el intercambio de conocimientos y hace que el sistema resulte más transparente, mientras que el segundo método disminuye el riesgo de propagación no deseada de información sensible. El problema con la primera solución es que no es evidente para los usuarios que el material que crean será accesible a los demás usuarios. Sólo pueden detectar esto inspeccionando los directorios de otros usuarios y viendo que sus archivos son legibles. El problema con la segunda solución es que es probable que pocas personas hagan que sus archivos sean accesibles, incluso si no contienen información sensible y el contenido fuera útil para los usuarios curiosos que quieren aprender cómo otros han resuelto problemas particulares (típicamente problemas de configuración).