HowTos para clientes en red

Un término genérico para clientes ligeros y estaciones de trabajo sin disco es cliente LTSP.

Introducción a clientes ligeros y estaciones de trabajo sin disco Comenzando con Bullseye, LTSP es bastante diferente de las versiones anteriores, tanto en la configuración como en el mantenimiento.

Para información sobre LTSP en general, ver la página de LTSP. En sistemas con perfil servidor LTSP, hay más información en man ltsp.

Ten en cuenta que la herramienta ltsp debe utilizarse con cuidado. Por ejemplo, ltsp image / fallaría al generar la imagen SquashFS en el caso de las máquinas Debian (esta tiene separada la partición /boot por defecto), y ltsp ipxe no generaría el menú iPXE correctamente (debido al soporte de clientes ligeros de Debian Edu), y ltsp initrd estropearía completamente el arranque del cliente LTSP.

La herramienta debian-edu-ltsp-install es un script envuelto por ltsp image, ltsp initrd y ltsp ipxe. Se usa para instalar y configurar estaciones de trabajo sin disco y compatibilidad con clientes ligeros tanto PC de 64 como 32 bits). Ver man debian-edu-ltsp-install o el contenido del script para ver cómo funciona. Toda la configuración se encuentra en el propio script (aquí los documentos) para facilitar los ajustes específicos del sitio.

Ejemplos de cómo utilizar el wrapper script debian-edu-ltsp-install:

  • debian-edu-ltsp-install --diskless_workstation yes actualiza la imagen SquashFS de la estación de trabajo sin disco (sistema de archivos del servidor).

  • debian-edu-ltsp-install --diskless_workstation yes --thin_type bare crea soporte para estaciones de trabajo sin disco y clientes ligeros de 64 bits.

  • debian-edu-ltsp-install --arch i386 --thin_type bare crea un soporte adicional para clientes ligeros de 32 bits (imagen chroot y SquashFS) .

Además de bare (el sistema de cliente ligero más pequeño), también están disponibles las opciones de display y desktop. El tipo display presenta un botón de apagado, el tipo desktop ejecuta Firefox ESR en modo quiosco en el propio cliente (se requiere más RAM y potencia de CPU local, pero se reduce la carga del servidor).

La herramienta debian-edu-ltsp-ipxe es un wrapper script para ltsp ipxe. Se asegura de que el archivo /srv/tftp/ltsp/ltsp.ipxe sea específico de Debian Edu. El comando debe ejecutarse después de que se hayan modificado los elementos relacionados con el menú iPXE (como el tiempo de espera del menú o la configuración de arranque por defecto) en la sección /etc/ltsp/ltsp.conf [servidor].

La herramienta debian-edu-ltsp-initrd es un wrapper script para ltsp initrd. Se asegura de que se genere un caso de uso específico initrd (/srv/tftp/ltsp/ltsp.img) y que se traslade al directorio relacionado con el caso de uso. El comando necesita ejecutarse después de que se haya modificado la sección /etc/ltsp/ltsp.conf [clients].

La herramienta debian-edu-ltsp-chroot reemplaza a la herramienta ltsp-chroot incluida con LTSP5. Se utiliza para ejecutar comandos en un chroot LTSP específico (como, por ejemplo, instalar, actualizar y eliminar paquetes).

Estaciones de trabajo sin disco

Una estación de trabajo sin disco ejecuta todo el software localmente. El equipo cliente arranca directamente desde el servidor LTSP sin un disco duro local. El software se administra y mantiene en el servidor LTSP, pero se ejecuta en las estaciones de trabajo sin disco. También se almacenan en el servidor los directorios Home y la configuración del sistema. Las estaciones de trabajo sin disco son una excelente forma de reutilizar hardware antiguo (pero potente) con los mismos costes bajos de mantenimiento que los clientes ligeros.

A diferencia de las estaciones de trabajo, las estaciones de trabajo sin disco funcionan sin necesidad de añadirlas con GOsa².

Cliente ligero

Una configuración de cliente ligero permite que un PC normal funcione como una (X-)terminal, donde todo el software se ejecuta en el servidor LTSP. Esto significa que esta máquina arranca a través de PXE sin utilizar un disco duro local del cliente y que el servidor LTSP debe ser una máquina potente..

Debian Edu todavía admite el uso de clientes ligeros para permitir el uso de hardware muy antiguo.

Introducción a clientes ligeros y estaciones de trabajo sin disco Dado que los clientes ligeros usan X2Go, los usuarios deben deshabilitar la composición para evitar artefactos de visualización. En el caso predeterminado (entorno de escritorio Xfce): Configuración -> Ajustes del administrador de ventanas -> Compositor.

Firmware de cliente LTSP

El arranque del cliente LTSP fallará si la interfaz de red del cliente requiere un firmware no libre. Se puede utilizar una instalación PXE para solucionar problemas con el arranque por red de una máquina; si el instalador de Debian se queja de la falta de un fichero XXX.bin, de debe añadir firmware no libre al initrd del servidor LTSP.

Proceda así en el servidor LTSP:

  • Primero obtenga información sobre paquetes de firmware, ejecute:

apt update && apt search ^firmware-
  • Decide qué paquete debe instalarse para la(s) interfaz(es) de red, lo más probable es que sea un firmware-linux, ejecútalo:

apt -y -q install firmware-linux
  • Actualice la imagen de SquashFS para estaciones de trabajo sin disco, ejecute:

debian-edu-ltsp-install --diskless_workstation yes
  • En caso de que se utilicen clientes ligeros X2Go, ejecuta:

/usr/share/debian-edu-config/tools/ltsp-addfirmware -h
  • y procede de acuerdo con la información de uso.

    Actualiza la imagen de SquashFS; p.ej. para el chroot /srv/ltsp/x2go-bare-amd64, ejecuta:

ltsp image x2go-bare-amd64

Ejecute man ltsp.conf para echar un vistazo a las opciones de configuración disponibles. O léelo en línea: https://ltsp.org/man/ltsp.conf/

Añade elementos de configuración a la sección /etc/ltsp/ltsp.conf [clientes]. Para que los cambios surtan efecto, ejecuta:

debian-edu-ltsp-initrd

PXE son las siglas de Preboot eXecution Environment. Debian Edu ahora utiliza la implementación iPXE para facilitar la integración de LTSP.

El paquete debian-edu-config viene con una herramienta que ayuda a cambiar la red de 10.0.0.0/8 a otra. Hecha una mirada a /usr/share/debian-edu-config/tools/subnet-change. Está diseñado para usarse justo después de la instalación en el servidor principal, para actualizar LDAP y otros archivos que deben editarse para cambiar la subred.

Cambiando parámetros de red Tener en cuenta que cambiar a una de las subredes que ya se utilizan en otras partes de Debian Edu no funcionará. 192.168.0.0/24 y 192.168.1.0/24 ya están configurados como redes de clientes LTSP. Para evitar las entradas duplicadas cambiar a estas subredes requerirá la edición manual de los archivos de configuración.

No hay una manera fácil de cambiar el nombre de dominio DNS. Cambiarlo requeriría cambios tanto en la estructura LDAP como en varios archivos del sistema de archivos del servidor principal. Tampoco hay una manera fácil de cambiar el nombre de host y DNS del servidor principal (tjener.intern). Para hacerlo también habría que cambiar el LDAP y los archivos del sistema de archivos del servidor principal y del cliente. En ambos casos también habría que cambiar la configuración de Kerberos.

Al elegir el perfil de servidor LTSP o el perfil de servidor combinado, también se instalan los paquetes xrdp y x2goserver.

Xrdp utiliza el Protocolo de Escritorio Remoto para presentar un inicio de sesión gráfico a un cliente remoto. Los usuarios de Microsoft Windows pueden conectarse al servidor LTSP que ejecuta xrdp sin instalar software adicional - simplemente inician una Conexión de Escritorio Remoto en su máquina con Windows y se conectan.

Además, xrdp puede conectarse a un servidor VNC u otro servidor RDP.

Xrdp viene sin soporte de sonido; para compilar (o re-compilar) los módulos necesarios se puede utilizar este script. Por favor, ten en cuenta que el usuario debe ser root o un miembro del grupo sudo. Además, /etc/apt/sources.list debe contener una línea deb-src válida.

 #!/bin/bash
 set -e
  if [[ $UID -ne 0 ]] ; then  
     if ! groups | egrep -q sudo ; then
         echo "ERROR: You need to be root or a sudo group member."
         exit 1
     fi
 fi
 if ! egrep -q  ^deb-src /etc/apt/sources.list ; then
     echo "ERROR: Make sure /etc/apt/sources.list contains a deb-src line."
     exit 1
 fi
 TMP=$(mktemp -d)
 PULSE_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' pulseaudio)"
 XRDP_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' xrdp)"
 sudo apt -q update
 sudo apt -q install dpkg-dev
 cd $TMP
 apt -q source pulseaudio xrdp
 sudo apt -q build-dep pulseaudio xrdp
 cd pulseaudio-$PULSE_UPSTREAM_VERSION/
 ./configure
 cd $TMP/xrdp-$XRDP_UPSTREAM_VERSION/sesman/chansrv/pulse/
 sed -i 's/^PULSE/#PULSE/' Makefile
 sed -i "/#PULSE_DIR/a \
 PULSE_DIR = $TMP/pulseaudio-$PULSE_UPSTREAM_VERSION" Makefile
 make
 sudo cp *.so /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/
 sudo chmod 644 /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/module-xrdp*
 sudo service xrdp restart

El servidor freeRADIUS podría usarse para proporcionar conexiones de red seguras. Para que esto funcione, instale los paquetes freeradius y winbind en el servidor principal y ejecute /usr/share/debian-edu-config/tools/setup-freeradius-server para generar una configuración básica específica del sitio. De esta manera, se habilitan tanto los métodos EAP-TTLS/PAP como PEAP-MSCHAPV2. Toda la configuración se encuentra en el propio script para facilitar los ajustes específicos del sitio. Ver la página de inicio de freeRADIUS para más información.

Se necesita configuración adicional para

  • activar/desactivar los puntos de acceso mediante un secreto compartido (/etc/freeradius/3.0/clients.conf).

  • permitir/negar acceso wireless mediante grupos LDAP (/etc/freeradius/3.0/users).

  • combinar los puntos de acceso en grupos dedicados (/etc/freeradius/3.0/huntgroups)

Clientes inalámbricos Los dispositivos de los usuarios finales deben estar configurados correctamente, estos dispositivos deben estar protegidos por un PIN para el uso de los métodos EAP (802.1x). Los usuarios también han de estar educados para instalar el certificado CA de freeradius en sus dispositivos para estar seguros de conectarse al servidor correcto. De esta manera su contraseña no puede ser capturada en caso de un servidor malicioso. El certificado específico del sitio está disponible en la red interna.

Ten en cuenta que la configuración de los dispositivos de los usuarios finales será un verdadero reto debido a la variedad de dispositivos. Para los dispositivos con Windows se puede crear un script de instalación, con Apple un archivo mobileconfig. En ambos casos se puede integrar el certificado freeRADIUS CA, pero se necesitan herramientas específicas del sistema operativo para crear los scripts.

Teniendo en cuenta la configuración de Debian Edu, la conexión LDAP utiliza SSL por el puerto 636.

Por lo tanto, la configuración necesaria en una conexión pGina LDAP viene a continuación

(estos se almacenan en HKEY_LOCAL_MACHINE\SOFTWARE\pGina3.fork\Plugins\0f52390b-c781-43ae-bd62-553c77fa4cf7).