Debian Edu / Skolelinux is een Linuxdistributie die door het Debian Edu project gemaakt wordt. Als een zogenaamde Debian Pure Blend-distributie (een gebruiksklaar geheel van Debian pakketten) is het een officieel deelproject van Debian.

Dit betekent dat Skolelinux voor uw school een versie van Debian maakt die een gebruiksklare omgeving biedt voor een volledig geconfigureerd schoolnetwerk.

Op 2 juli 2001 ging in Noorwegen het Skolelinux project van start en ongeveer gelijktijdig begon Raphaël Hertzog in Frankrijk met Debian-Edu. Sinds 2003 zijn beide projecten één gemaakt, maar beide benamingen bleven behouden. 'Skole' en (Debian-)'Education' zijn in de betrokken landen immers goed ingeburgerde termen.

Op dit ogenblik wordt het systeem gebruikt in verschillende landen over de hele wereld.

Dit hoofdstuk behandelt de netwerkarchitectuur en de diensten die door een installatie van Skolelinux geboden worden.

De afbeelding schetst het schema van de veronderstelde netwerktopologie. De standaardopstelling van een Skolelinux netwerk veronderstelt dat er één (en slechts één) hoofdserver is, die het mogelijk maakt om zowel gewone werkstations als LTSP-servers (met de ermee verbonden thin clients en/of schijfloze werkstations) toe te voegen. Het aantal werkstations kan zo groot of zo klein zijn als u wenst (gaande van nul tot zeer veel). Hetzelfde geldt voor de LTSP-servers, die elk op een apart netwerk zitten, zodat het verkeer tussen de clients en de LTSP-server de andere netwerkdiensten niet hindert. Een gedetailleerde uitleg over LTSP is te vinden in het betreffende HowTo-hoofdstuk.

De reden waarom er in elk schoolnetwerk slechts één hoofdserver kan zijn, ligt in het feit dat de hoofdserver DHCP aanbiedt. Per netwerk mag slechts één machine dat doen. Het is mogelijk om bepaalde diensten van de hoofdserver naar andere machines te verplaatsen door die dienst op een andere machine te installeren en te configureren. Nadien moet de DNS-configuratie daaraan aangepast worden, zodat de DNS-alias voor die dienst naar de juiste computer verwijst.

Om de standaard opstelling van Skolelinux eenvoudig te houden, verloopt de verbinding met het internet over een afzonderlijke router, ook gateway geheten. Raadpleeg het hoofdstuk Internetrouter voor informatie over hoe u een dergelijke gateway kunt opzetten als het niet mogelijk blijkt om een bestaand exemplaar passend te configureren.

Alle Linuxmachines die met behulp van het installatiesysteem van Skolelinux geïnstalleerd werden, kunnen vanaf een centrale computer, meestal de centrale server, beheerd worden. Het is dan mogelijk om zich via SSH bij alle machines aan te melden en er volledige toegang toe te krijgen. Als systeembeheerder moet men eerst kinit uitvoeren om een Kerberos TGT te bekomen.

Alle gebruikersgegevens worden bijgehouden in een LDAP-register. Aanpassingen aan gebruikersaccounts worden in die gegevensbank ingevoerd. Clientcomputers doen er beroep op voor de authenticatie van gebruikers.

De betekenis van de verschillende profielen werd verduidelijkt in het hoofdstuk Architectuur van het netwerk.

Indien het de bedoeling is om gebruik te maken van LTSP, raadpleeg dan de wiki-pagina over hardwarevereisten voor LTSP.

Een lijst met geteste apparatuur vindt u op https://wiki.debian.org/DebianEdu/Hardware/. Deze lijst is evenwel verre van volledig.

Op https://wiki.debian.org/InstallingDebianOn worden de resultaten gebundeld van inspanningen om te documenteren hoe men op bepaalde specifieke apparatuur Debian kan installeren, configureren en gebruiken. Potentiële kopers van dergelijke apparatuur kunnen zo vooraf nagaan of deze ondersteund wordt, en bezitters ervan hoe ze er optimaal gebruik van kunnen maken.

Wanneer u zich houdt aan de standaard netwerkarchitectuur, gelden de volgende regels:

Een router/gateway wiens externe netwerkkaart verbonden wordt met het internet en wiens interne netwerkkaart het IP-adres 10.0.0.1 met netmask 255.0.0.0 toegewezen krijgt, is noodzakelijk om een internetverbinding tot stand te brengen.

De router mag niet fungeren als DHCP-server. Er mag een DNS-server op draaien, al is dit niet nodig. Hij zal trouwens niet gebruikt worden.

Als u nog geen router heeft of als ue bestaande router niet goed kan worden ingesteld, kan elke machine die voldoet aan de eisen voor een minimale Debian-installatie en die ten minste twee netwerkinterfaces heeft, worden omgevormd tot een gateway tussen het bestaande netwerk en dat van Debian Edu. Raadpleeg de installatiedocumentatie voor een eenvoudige manier om een Debian-machine te installeren en in te stellen met behulp van debian-edu-router-config.

Indien u iets zoekt voor een ingebouwd type router of toegangspunt, raden we u OpenWRT aan, hoewel u er uiteraard ook de originele firmware op kunt laten staan. De originele firmware gebruiken is eenvoudiger; OpenWRT gebruiken geeft u meer keuzemogelijkheden en meer controle. Op de website van OpenWRT kunt u een lijst vinden van ondersteunde hardware.

Het is mogelijk om een andere netwerkopstelling te gebruiken (er bestaat een vastgelegde werkwijze om dit te doen), maar indien u niet gedwongen wordt door een reeds bestaande netwerkinfrastructuur om dit te doen, raden we u dit af en bevelen wij u aan om het bij de standaard netwerkarchitectuur te houden.

Alvorens u begint met het installeren van een systeem voor productiedoeleinden, raden we u aan eerst de Notities bij de release van Debian Bookworm te lezen of er op zijn minst eens naar te kijken. Meer informatie over de uitgave van Bookworm is te vinden in de installatiehandleiding.

Probeer Debian Edu/Skolelinux maar gerust uit. Het werkt gewoon vanzelf.

Het verdient evenwel aanbeveling om de hoofdstukken over hardware- en netwerkvereisten en over de architectuur te lezen voor u een hoofdserver begint te installeren.

Zorg er ook voor om het hoofdstuk aan de slag van deze handleiding te lezen, want daarin staat uitgelegd hoe u zich voor de eerste maal bij het systeem moet aanmelden.

Wanneer u een installatie van Debian Edu uitvoert, heeft u enkele keuzemogelijkheden. Wees niet bevreesd. Het zijn er niet veel. We hebben veel geïnvesteerd om de complexiteit van Debian tijdens de installatie en nadien verborgen te houden. Niettemin, Debian Edu is Debian, en indien u dit wenst, heeft u de keuze uit meer dan 59.000 pakketten en een miljard configuratieopties. Voor de meerderheid van onze gebruikers zouden de standaardinstellingen moeten voldoen. Merk op: kies voor een lichtgewicht grafische werkomgeving, indien u zinnens bent LTSP te gebruiken.

DEBIAN_FRONTEND=noninteractive apt install -y -q debian-edu-router-config

lshw -class network

ip addr flush <interface>

dpkg-reconfigure --force uif debian-edu-router

deb http://deb.debian.org/debian/ bookworm main 
deb http://security.debian.org bookworm-security main 

sudo dd if=debian-edu-amd64-XXX.iso of=/dev/sdX bs=1M

lsblk -p

/usr/share/debian-edu-config/tools/pxe-addfirmware

d-i    pkgsel/include string my-extra-package(s)

Een installatie in tekstmodus is functioneel identiek aan een installatie in grafische modus. Ze verschillen enkel van uitzicht. In de grafische modus kunt u de muis gebruiken en natuurlijk ziet die er ook mooier en moderner uit. Tenzij de apparatuur problemen zou geven, is er geen enkele reden om de grafische modus niet te gebruiken.

Hier volgt dus een rondleiding langs enkele schermafdrukken van een 64-bits grafische installatie van Hoofdserver + Werkstation + LTSP-server (in BIOS-modus), van het scherm dat u te zien krijgt als u de hoofdserver voor het eerst opstart, en van het scherm dat u ziet bij het opstarten via PXE van een computer op het netwerk voor LTSP-clients (scherm van een thin-clientsessie - en login-scherm nadat rechts de sessie aangeklikt werd).

Tijdens de installatie van de hoofdserver heeft u een eerste gebruikersaccount aangemaakt. In het vervolg zullen we die 'de eerste gebruiker' noemen. Het gaat om een speciaal account, omdat de gebruiksrechten van zijn persoonlijke map ingesteld werden op 700 (daarom moet hij de opdracht chmod o+x ~ geven om zijn persoonlijke webpagina's toegankelijk te maken), en omdat hij de mogelijkheid heeft om via het commando sudo systeembeheerder te worden.

Raadpleeg de informatie over de voor Debian Edu specifieke configuratie van de bestandssysteemtoegang voor u begint met het toevoegen van gebruikers. Pas ze zo nodig aan overeenkomstig het beleid op uw locatie.

De eerste dingen die u als eerste gebruiker te doen staan na de installatie:

Hierna gaan we meer in detail in op het toevoegen van gebruikers en werkstations. Lees dus alstublieft dit hoofdstuk volledig. Het beschrijft hoe u deze onontbeerlijke stappen op een correcte manier kunt zetten, en het behandelt ook nog andere taken die iedereen wellicht zal moeten uitvoeren.

Elders in deze handleiding is hierover meer informatie te vinden: iedereen die vertrouwd is met eerdere uitgaves zou het hoofdstuk Nieuwe functionaliteit in Bookworm moeten lezen. En wie van een eerdere versie opwaardeert, moet zeker het hoofdstuk Opwaarderingen lezen.

Indien het algemeen uitgaand DNS-verkeer voor uw netwerk geblokkeerd wordt en indien u een specifieke DNS-server nodig heeft om internetadressen op te zoeken, dient u de DNS-server de instructie te geven om die server te gebruiken als zijn 'verzender' (forwarder). Pas daartoe het bestand /etc/bind/named.conf.options aan en vermeld daarin het IP-adres van de DNS-server die gebruikt moet worden.

Het hoofdstuk HowTo geeft nog meer handige wenken en behandelt ook enkele veel voorkomende vragen.

GOsa² is een op het web gebaseerd hulpmiddel voor het beheer van een aantal belangrijke onderdelen van uw configuratie van Debian Edu. Met GOsa² doet u het beheer (toevoegen, wijzigen of verwijderen) van de volgende hoofdgroepen:

Om het programma GOsa² te kunnen gebruiken is de hoofdserver van Skolelinux nodig en een (client)systeem waarop een webbrowser geïnstalleerd staat. Dit kan de hoofdserver zelf zijn indien u hem als een zogenaamde gecombineerde server (hoofdserver + LTSP-server + werkstation) hebt geïnstalleerd.

Indien u (misschien onbedoeld) een zuiver hoofdserver-profiel geïnstalleerd heeft en niet onmiddellijk een clientcomputer met een webbrowser bij de hand hebt, kunt u er gemakkelijk een minimale grafische werkomgeving op installeren. Als eerste gebruiker (de gebruiker die u aanmaakte tijdens de installatie van de hoofdserver) geeft u daartoe aan de commandoregel in een (niet-grafische) shell de volgende reeks opdrachten:

  $ sudo apt update
  $ sudo apt install task-desktop-xfce lightdm education-menus
  $ sudo service lightdm start

Geef uw webbrowser het volgende adres (URL) op: https://www/gosa. Dit opent het toegangsscherm voor GOsa². Meld u daar aan als de eerste gebruiker.

Klik eerst op 'Users' (Gebruikers) in het linker navigatiemenu. De rechterzijde van het scherm wijzigt en toont nu een tabel met de mappen 'Students' (Studenten) en 'Teachers' (Leerkrachten) en het account van beheerder van GOsa² (de eerst aangemaakte gebruiker). Boven deze tabel ziet u een veld met de naam Base. Hiermee kunt u navigeren in de boomstructuur (beweeg de muis over die plaats en u krijgt een uitklapmenu) en kunt u een basismap kiezen voor de geplande werkzaamheden (bijvoorbeeld een nieuwe gebruiker toevoegen).

Het beheer van groepen is erg vergelijkbaar met het beheer van gebruikers.

Per groep kunt u een naam en een omschrijving ingeven. Zorg ervoor om in de LDAP-boom het juiste niveau te kiezen wanneer u een nieuwe groep aanmaakt.

Om gebruikers toe te voegen aan een nieuw aangemaakte groep, moet u terugkeren naar de lijst van gebruikers. Daar zult u naar alle waarschijnlijkheid het filterkader gebruiken om gebruikers te selecteren. Let ook op het niveau binnen de LDAP-boom.

Groepen aangemaakt met groepsbeheer, zijn reguliere unix-groepen. U kunt ze dus ook gebruiken voor het beheer van bestandsrechten.

Via het beheer van machines kunt u in uw netwerk van Debian Edu gewoonweg alle met het netwerk verbonden apparaten beheren. Elke machine die u met GOsa² toevoegt aan het register van LDAP heeft een naam, een IP-adres, een MAC-adres en een domeinnaam (gewoonlijk is dat 'intern'). Voor een meer volledige beschrijving van de architectuur van het netwerk van Debian Edu, verwijzen we naar het hoofdstuk architectuur in deze handleiding.

In het geval van een gecombineerde hoofdserver werken schijfloze werkstations en thin clients vanzelf.

Werkstations met een harde schijf (met inbegrip van LTSP-servers) moeten toegevoegd worden met GOsa². Achter de schermen wordt zowel een machine-specifieke Kerberos Principal (een soort account) als een bijbehorend keytab-bestand (met een sleutel die als wachtwoord wordt gebruikt) gegenereerd; het keytab-bestand moet op het werkstation aanwezig zijn om de persoonlijke mappen van gebruikers te kunnen aankoppelen. Nadat het toegevoegde systeem opnieuw opgestart werd, moet u zich er als systeembeheerder op aanmelden en het commando /usr/share/debian-edu-config/tools/copy-host-keytab uitvoeren.

Om een Principal en een keytab-bestand aan te maken voor een systeem dat reeds met GOsa² geconfigureerd is, moet u als systeembeheerder inloggen op de hoofdserver en het volgende commando uitvoeren

/usr/share/debian-edu-config/tools/gosa-modify-host <hostname> <IP>

Opmerking: het creëren van een keytab voor het systeem is mogelijk voor systemen van het type werkstation, server of terminal, maar niet voor deze van het type netdevice (netwerkapparaat). Raadpleeg het hoofdstuk HowTo voor netwerkclients voor NFS-configuratieopties.

Om een machine toe te voegen, gebruikt u het hoofdmenu van GOsa² en daarin kiest u achtereenvolgens systeem, toevoegen. Er wordt verwacht dat de naam van de machine een geldige niet-gekwalificeerde computernaam is. Voeg hier niet de domeinnaam toe. U kunt een IP-adres/computernaam gebruiken uit het vooraf geconfigureerde adresbereik 10.0.0.0/8. Momenteel gebruiken we slechts twee vooraf gedefinieerde vaste adressen: 10.0.2.2 (tjener) en 10.0.0.1 (gateway). Het adresbereik van 10.0.16.20 tot 10.0.31.254 (ruwweg het bereik 10.0.16.0/20 of 4000 computers) zijn gereserveerd voor DHCP en worden dynamisch toegewezen.

Om een apparaat met een MAC-adres 52:54:00:12:34:10 in GOsa² een vast IP-adres toe te kennen, moet u het MAC-adres ingeven, evenals de computernaam en het IP-adres. U kunt ook de knop IP voorstellen aanklikken, waarop u het eerste vrije adres in het bereik 10.0.0.0/8 voorgesteld wordt. Voor de eerste machine die u op deze wijze toevoegt, zal dat hoogstwaarschijnlijk 10.0.0.2 zijn. Het is goed om u eerst een idee te vormen over uw netwerk. U kunt bijvoorbeeld het bereik 10.0.0.x met x>10 en x<50 voorbehouden voor servers, en x>100 voor werkstations. Vergeet niet het zopas toegevoegde apparaat te activeren. Met uitzondering van de hoofdserver zal het programma aan alle apparaten een passend icoon koppelen.

Als de machines opgestart werden als thin-clients of schijfloze werkstations of geïnstalleerd werden met een van de genetwerkte profielen, kunt u het script sitesummary2ldapdhcp gebruiken om deze machines automatisch in GOsa² in te voeren. Voor eenvoudige machines werkt dit vanzelf. Voor machines met meer dan één mac-adres moet datgene wat daadwerkelijk gebruikt wordt, gekozen worden. De opdracht sitesummary2ldapdhcp -h toont informatie over het gebruik. Merk op dat de IP-adressen die u te zien krijgt na het gebruik van sitesummary2ldapdhcp, binnen het bereik van de dynamische IP-adressen vallen. Nadien kunt u evenwel deze systemen aanpassen om ze beter te doen aansluiten bij de behoeften van uw netwerk: u kunt ze zo nodig hernoemen, u kunt DHCP en DNS activeren en u kunt ze desgewenst aan netgroepen toevoegen (zie de schermafdruk hieronder voor de aanbevolen netgroepen). Nadien moet u het systeem herstarten. De volgende schermafdrukken tonen hoe dit eruit ziet in de praktijk:

root@tjener:~# sitesummary2ldapdhcp -a -i ether-22:11:33:44:55:ff
info: Create GOsa machine for am-2211334455ff.intern [10.0.16.21] id ether-22:11:33:44:55:ff.
 
Enter password if you want to activate these changes, and ^c to abort.
 
Connecting to LDAP as cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no
enter password: ********
root@tjener:~#

Elk uur wordt een cronjob uitgevoerd om de DNS-informatie te actualiseren. Het commando su -c ldap2bind laat u toe om zelf de actualisering uit te lokken.

Op een systeem met het profiel Werkstation wordt standaard het pakket p910nd geïnstalleerd.

Het is aanbevolen om alle functies om zichzelf aan te dienen uit te schakelen bij de gebruikte netwerkprinters. Wijs in plaats daarvan een vast IP-adres toe met GOsa² en configureer ze als AppSocket/HP JetDirect netwerkprinters.

Deze paragraaf legt het gebruik van apt full-upgrade uit.

Het gebruik van apt is echt eenvoudig. Om een systeem bij te werken geeft u als systeembeheerder aan de commandoregel twee opdrachten: apt update (om de lijst van beschikbare pakketten bij te werken) en apt full-upgrade (om pakketten waarvoor een nieuwere versie beschikbaar is, op te waarderen).

Het is ook zinvol om tijdens het proces van opwaarderen het taalgebied in te stellen op C, wat voor een uitvoer in het Engels zorgt. In geval er zich problemen voordeden, heeft u zo bij het zoeken met een zoekmachine meer kans om resultaten te bekomen.

LC_ALL=C apt full-upgrade -y

Na de opwaardering van het pakket debian-edu-config, kunnen er gewijzigde Cfengine configuratiebestanden beschikbaar zijn. Voer ls -ltr /etc/cfengine3/debian-edu/ uit om na te gaan of dit het geval is. Om de wijzigingen toe te passen, moet u het commando LC_ALL=C cf-agent -D installation uitvoeren.

Na een opwaardering van de LTSP-server is het belangrijk om het commando debian-edu-ltsp-install --diskless_workstation yes uit te voeren om het SquashFS-image voor schijfloze clients gesynchroniseerd te houden.

Na een opwaardering naar een tussenrelease van een systeem met het profiel Hoofdserver of LTSP-Server, moet u het commando debian-edu-pxeinstall uitvoeren om de PXE-installatieomgeving bij te werken.

U doet er ook goed aan om cron-apt en apt-listchanges te installeren en ze zo te configureren dat ze e-mail verzenden naar een adres waarvan u de berichten regelmatig leest.

Eens per dag zal cron-apt u via e-mail inlichten over pakketten die opgewaardeerd kunnen worden. Het waardeert ze niet zelf op, maar gaat ze wel zelf ophalen (meestal 's nachts). Zo moet u niet wachten tot ze opgehaald zijn wanneer u de opdracht apt full-upgrade uitvoert.

Indien u dit verkiest, kunt u het systeem gemakkelijk zelf automatisch de nodige opwaarderingen laten uitvoeren. Daarvoor dient u enkel het pakket unattended-upgrades te installeren en te configureren, zoals uiteengezet wordt in wiki.debian.org/UnattendedUpgrades.

Het pakket apt-listchanges kan u via e-mail de toevoegingen aan het logboek changelog opsturen, of ze u anders in het terminalvenster tonen bij het uitvoeren van de opdracht apt.

Voor het beheer van reservekopieën gaat u met de browser naar het adres https://www/slbackup-php. Denk eraan dat u deze site via SSL moet benaderen, aangezien u er het beheerderswachtwoord moet invoeren. Een verbinding tot stand brengen met dat adres zonder gebruik te maken van SSL lukt niet.

Noot: de site zal enkel functioneren als u tijdelijk toelaat dat de systeembeheerder zich met SSH aanmeldt op de server voor reservekopieën, welke standaard de hoofdserver (tjener.intern) is.

Standaard worden reservekopieën van /skole/tjener/home0, /etc/, /root/.svk en LDAP opgeslagen in de map /skole/backup, die als aparte partitie wordt beheerd door LVM. Indien u genoeg heeft aan een reservekopie van die bestanden (voor het geval u er een zou wissen), dan sluit deze standaardinstelling aan bij uw behoeften.

U dient te beseffen dat dit model van reservekopieën maken geen bescherming biedt tegen gegevensverlies ten gevolge van een kapotte harde schijf.

Indien u de reservekopieën wilt bewaren op een externe server, op een bandstation (tape drive) of op een andere harde schijf, dan moet u de bestaande configuratie wat aanpassen.

Indien u ineens een hele map wilt terugzetten, dan gebruikt u best de volgende opdracht aan de commandoregel:

$ sudo rdiff-backup -r <date>  \
   /skole/backup/tjener/skole/tjener/home0/user \
   /skole/tjener/home0/user_<date>

Dit plaatst de inhoud van /skole/tjener/home0/user van <datum> in de map /skole/tjener/home0/user_<datum>

Indien u slechts één enkel bestand wenst terug te zetten, dan kunt u dat bestand (in de passende versie) met behulp van de webinterface selecteren en terughalen.

Indien u oudere reservekopieën wenst te wissen, kies dan in het menu op de webpagina van de back-updienst het item 'Maintenance' (Onderhoud). Geef vervolgens op welke de oudste back-up is die u wenst te behouden:

Systeembeheerders kunnen nuttige bijkomende informatie over het aanpassen van Debian Edu vinden in het hoofdstuk Howto/Systeembeheer en in het hoofdstuk Howto/Systeembeheer voor gevorderden

Meestal verloopt het opwaarderen van Debian van één uitgave naar de volgende redelijk gemakkelijk. Jammer genoeg verloopt dit voor Debian Edu nog iets gecompliceerder, omdat we configuratiebestanden aanpassen op een manier die eigenlijk niet aangewezen is. Wij hebben echter de nodige stappen hieronder gedocumenteerd. (Meer informatie over hoe Debian Edu configuratiebestanden zou moeten wijzigen, vindt u in het bugrapport nummer 311188 van Debian.)

Over het algemeen is het opwaarderen van de servers moeilijker dan het opwaarderen van de werkstations en de opwaardering van de hoofdserver is het moeilijkst.

Indien u er zeker van wilt zijn dat na de opwaardering alles nog zal werken als voordien, moet u de opwaardering uittesten op een testsysteem dat u op dezelfde manier geconfigureerd heeft als uw machines die u voor productiedoeleinden gebruikt. Op een testsysteem kunt u de opwaardering zonder enig risico uittesten en zien of alles naar behoren functioneert.

Leest u zeker ook de informatie over de huidige stabiele uitgave van Debian in de installatiehandleiding ervoor.

Het kan ook verstandig zijn om nog even te wachten met opwaarderen en nog een aantal weken de voorlaatste stabiele uitgave (Oldstable) te blijven gebruiken. Anderen kunnen intussen het opwaarderen uittesten en de problemen die ze tegenkomen, documenteren. De voorlaatste stabiele uitgave (Oldstable) van Debian Edu blijven we trouwens ondersteunen gedurende een zekere tijd na het uitbrengen van de daaropvolgende stabiele uitgave (Stable), maar op het ogenblik dat Debian stopt met het ondersteunen van Oldstable, moet Debian Edu noodzakelijkerwijs hetzelfde doen.

Zorg dat u goed voorbereid bent: test zeker eerst een opwaardering vanaf Bullseye uit in een testomgeving of hou reservekopieën klaar, zodat u zo nodig naar de oorspronkelijke situatie kunt terugkeren.

Merk op dat de volgende procedure van toepassing is voor een standaardinstallatie van de hoofdserver van Debian Edu (desktop=xfce, profielen Hoofdserver, Werkstation en LTSP-server). (Raadpleeg voor een algemeen overzicht over het opwaarderen vanuit Bullseye naar Bookworm https://www.debian.org/releases/bookworm/releasenotes)

Werk niet in een grafische omgeving, gebruik een virtuele console, meld u aan als systeembeheerder (root).

Mocht apt afgesloten worden met een foutmelding, probeer die dan te verhelpen en/of voer het commando apt -f install uit en vervolgens nogmaals apt -y full-upgrade.

apt update
apt full-upgrade

sed -i 's/bullseye/bookworm/g' /etc/apt/sources.list
export LC_ALL=C
apt update
apt upgrade --without-new-pkgs
apt full-upgrade

cf-agent -v -D installation

Om een opwaardering uit te voeren vanuit een oudere uitgave, moet u eerst opwaarderen naar de uitgave van Debian Edu die gebaseerd is op Bullseye. Vervolgens kunt u de hierboven gegeven instructies opvolgen. In de Handleiding voor Debian Edu Bullseye vindt u de instructies om naar Bullseye op te waarderen vanuit de eerdere uitgave, Buster.

Met etckeeper worden de wijzigingen in al de bestanden uit de map /etc/ opgevolgd met behulp van Git, een systeem voor versiebeheer.

Dit maakt het mogelijk om te zien wanneer een bestand toegevoegd werd of gewijzigd of verwijderd. En als het om een tekstbestand gaat, kunt u ook opvolgen wat er precies in gewijzigd werd, De plaats waar git zijn gegevens bewaart is /etc/.git/.

Ieder uur worden alle wijzigingen automatisch opgeslagen. Dit laat toe om de historiek van configuratiebestanden op te halen en te onderzoeken.

Om naar de geschiedenis van veranderingen te kijken, gebruikt men het commando etckeeper vcs log. Om de verschillen tussen twee welbepaalde tijdstippen te onderzoeken, kunt u een opdracht als etckeeper vcs diff gebruiken.

Lees de uitvoer van de opdracht man etckeeper voor meer informatie.

Een lijst van nuttige opdrachten:

etckeeper vcs log
etckeeper vcs status
etckeeper vcs diff
etckeeper vcs add .
etckeeper vcs commit -a
man etckeeper

etckeeper vcs log

etckeeper vcs status

etckeeper vcs commit -a /etc/resolv.conf

Behalve de partitie /boot/ zijn alle andere partities LVM logische gegevensdragers. Sinds versie 2.6.10 van de Linuxkernel, is het mogelijk om partities te vergroten terwijl ze aangekoppeld zijn. Om partities kleiner te kunnen maken, moeten ze nog steeds eerst afgekoppeld worden.

Het is aan te raden om geen al te grote partities aan te maken (laten we zeggen groter dan 20 GB), omwille van de tijd die dan nodig is om op hen de opdracht fsck uit te voeren of om een veiligheidskopie terug te zetten mocht het ooit nodig blijken. Indien de mogelijkheid bestaat, is het beter meerdere kleinere partities te maken dan één heel erg grote.

Het script debian-edu-fsautoresize staat ter beschikking als een hulpmiddel om het u gemakkelijker te maken om volle partities uit te breiden.Het leest de configuratie uit de bestanden /usr/share/debian-edu-config/fsautoresizetab, /site/etc/fsautoresizetab en /etc/fsautoresizetab wanneer het opgestart wordt. Het script stelt dan voor om partities met te weinig vrije ruimte uit te breiden overeenkomstig de richtlijnen uit de ingelezen bestanden. Als men het script uitvoert zonder opties, zal het enkel de commando's die nodig zijn om het bestandssysteem uit te breiden, tonen. Het script heeft de optie -n nodig om die commando's ook effectief uit te voeren en de bestandssystemen uit te breiden.

Op elke clientcomputer die opgenomen is in de netgroep fsautoresize-hosts, wordt het script ieder uur automatisch uitgevoerd.

Als de grootte van de partitie die gebruikt wordt door de Squid-proxy, aangepast wordt, moet ook de waarde aangepast worden van de cachegrootte in het bestand etc/squid/squid.conf. Het hulpmiddel dat deze taak automatisch kan uitvoeren is het script /usr/share/debian-edu-config/tools/squid-update-cachedir. Het gaat de actuele grootte na van de partitie/var/spool/squid/ en stelt Squid in om 80% van die ruimte voor zijn cache te gebruiken.

lvextend -L30G /dev/vg_system/skole+tjener+home0
resize2fs /dev/vg_system/skole+tjener+home0

ldapvi is een hulpmiddel om aan de commandoregel met een gewone teksteditor de database van LDAP te bewerken.

U moet de volgende opdracht geven:

ldapvi -ZD '(cn=admin)'

Merk op dat ldapvi de editor zal gebruiken die op het systeem ingesteld staat als standaardeditor. Door vooraf aan de prompt van de shell de opdracht export EDITOR=vim uit te voeren, configureert men zijn eigen werkomgeving zodanig dat men een kloon van vi als editor kan gebruiken.

Wees gewaarschuwd: ldapvi is een zeer krachtig hulpmiddel. Wees voorzichtig en draag er zorg voor om geen puinhoop te maken van de LDAP-database. Eenzelfde waarschuwing is ook op zijn plaats voor JXplorer.

Gebruik maken van Kerberos voor NFS om de persoonlijke mappen aan te koppelen is een veiligheidsfunctionaliteit. Zonder Kerberos zullen werkstations en LTSP-clients niet functioneren. De niveaus krb5, krb5i en krb5p worden ondersteund (krb5 betekent Kerberos-authenticatie, i staat voor integriteitscontrole en p voor privacy, d.w.z. encryptie); de belasting voor zowel server als werkstation neemt toe met het veiligheidsniveau. Kiezen voor krb5i is goed en dit werd als standaard ingesteld.

/srv/nfs4        gss/krb5i(rw,sync,fsid=0,crossmnt,no_subtree_check)
/srv/nfs4/home0  gss/krb5i(rw,sync,no_subtree_check)

Dit hulpmiddel laat toe om een standaardprinter in te stellen, afhankelijk van de locatie, van de computer of van een groepslidmaatschap. Raadpleeg voor meer informatie /usr/share/doc/standardskriver/README.md.

De beheerder moet in het configuratiebestand /etc/standardskriver.cfg voorzien. Een voorbeeld kunt u vinden in het bestand /usr/share/doc/standardskriver/examples/standardskriver.cfg.

Indien u een grafische gebruikersinterface verkiest om met de database van LDAP te werken, probeer dan eens het pakket jxplorer uit, dat standaard geïnstalleerd wordt. Om met schrijfrechten toegang te krijgen, maakt u als volgt de verbinding:

host: ldap.intern
port: 636
Security level: ssl + user + password
User dn: cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no

ldap-createuser-krb is een klein hulpmiddeltje om aan de commandoregel gebruikersaccounts aan te maken; het wordt als volgt aangeroepen:

ldap-createuser-krb5 [-u uid] [-g gid] [-G group[,group]...] [-d department] <username> <gecos>

Alle argumenten behalve de gebruikersnaam en het GECOS-veld zijn optioneel; dit laatste moet meestal de volledige naam van de gebruiker bevatten. Tenzij anders aangegeven zal het hulpmiddel automatisch de volgende vrije UID en GID kiezen en geen extra groepen aan de gebruiker toewijzen. Als er geen departement wordt opgegeven, wordt het eerste gosaDepartment uit LDAP gekozen, wat waarschijnlijk skole is en voor gewone gebruikers meestal niet is wat u zoekt; dus u moet een geschikte waarde kiezen voor de gebruiker, bijv. Teachers (Leerkrachten) of Students (Studenten). Na het invoeren en het bevestigen van het wachtwoord en het invoeren van het LDAP-beheerderswachtwoord, zal ldap-createuser-krb5 het gebruikersaccount in LDAP aanmaken, het Kerberos-wachtwoord instellen, de persoonlijke map aanmaken en een overeenkomstige Samba-gebruiker toevoegen. De volgende schermafbeelding toont een voorbeeld van een aanroep om een gebruikersaccount aan te maken met de naam harhir voor een leraar wiens volledige naam "Harry Hirsch" is:

root@tjener:~# ldap-createuser-krb5 -d Teachers harhir "Harry Hirsch"
new user password: 
confirm password: 

dn: uid=harhir,ou=people,ou=Teachers,dc=skole,dc=skolelinux,dc=no
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: gosaAccount
objectClass: posixAccount
objectClass: shadowAccount
objectClass: krbPrincipalAux
objectClass: krbTicketPolicyAux
sn: Harry Hirsch
givenName: Harry Hirsch
uid: harhir
cn: Harry Hirsch
userPassword: {CRYPT}$y$j9T$TWnq55O1rvyLhjF.$oVf.t.RXC1v/4Y8FhV0umno629mo7bP7/YJyig6HET6
homeDirectory: /skole/tjener/home0/harhir
loginShell: /bin/bash
uidNumber: 1004
gidNumber: 1004
gecos: Harry Hirsch
shadowLastChange: 19641
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
krbPwdPolicyReference: cn=users,cn=INTERN,cn=kerberos,dc=skole,dc=skolelinux,dc=no
krbPrincipalName: harhir@INTERN

ldap_initialize( <DEFAULT> )
Enter LDAP Password: 
add objectClass:
        top
        person
        organizationalPerson
        inetOrgPerson
        gosaAccount
        posixAccount
        shadowAccount
        krbPrincipalAux
        krbTicketPolicyAux
add sn:
        Harry Hirsch
add givenName:
        Harry Hirsch
add uid:
        harhir
add cn:
        Harry Hirsch
add userPassword:
        {CRYPT}$y$j9T$TWnq55O1rvyLhjF.$oVf.t.RXC1v/4Y8FhV0umno629mo7bP7/YJyig6HET6
add homeDirectory:
        /skole/tjener/home0/harhir
add loginShell:
        /bin/bash
add uidNumber:
        1004
add gidNumber:
        1004
add gecos:
        Harry Hirsch
add shadowLastChange:
        19641
add shadowMin:
        0
add shadowMax:
        99999
add shadowWarning:
        7
add krbPwdPolicyReference:
        cn=users,cn=INTERN,cn=kerberos,dc=skole,dc=skolelinux,dc=no
add krbPrincipalName:
        harhir@INTERN
adding new entry "uid=harhir,ou=people,ou=Teachers,dc=skole,dc=skolelinux,dc=no"
modify complete

Authenticating as principal root/admin@INTERN with password.
kadmin.local:  change_password harhir@INTERN
Enter password for principal "harhir@INTERN": 
Re-enter password for principal "harhir@INTERN": 
Password for "harhir@INTERN" changed.
kadmin.local:  lpcfg_do_global_parameter: WARNING: The "encrypt passwords" option is deprecated
Added user harhir.

Hoewel u rechtstreeks gebruik kunt maken van stable-updates, is dit niet strikt noodzakelijk. Op gezette tijden, namelijk telkens bij het uitbrengen van een actualisering (een zogenaamde point release) van de stabiele uitgave, wat ruwweg om de twee maanden gebeurt, worden de pakketten uit stable-updates naar de suite van de stabiele uitgave verplaatst.

U gebruikt Debian Edu omdat u de stabiliteit ervan waardeert. Het werkt fantastisch. Er is alleen een klein probleem: soms is bepaalde programmatuur wat meer verouderd dan u het zou wensen. Dat is het punt waarop backports.debian.org in beeld komt.

Backports zijn pakketten uit de testsuite (meestal) of de onstabiele suite (in enkele gevallen, zoals beveiligingsbijwerkingen) van Debian die opnieuw gecompileerd werden, zodat ze ook kunnen werken binnen een stabiele versie van Debian, zoals Debian Edu, en zonder gebruik te maken van nieuwere bibliotheken (in de mate van het mogelijke). We raden u aan om enkel die paar backports te installeren die echt bij uw behoeften aansluiten en niet alle backports die beschikbaar zijn.

Backports gebruiken is zeer eenvoudig:

echo "deb http://deb.debian.org/debian/ bookworm-backports main" > /etc/apt/sources.list.d/bookworm-backports.sources.list
apt update

Nadien is het zeer eenvoudig om pakketten uit backports te installeren. Met het volgende commando installeert u de versie van tuxtype uit backports:

apt install tuxtype/bookworm-backports

Pakketten uit backports worden net als andere pakketten automatisch geüpdatet (als er een update beschikbaar is). Zoals het gewone archief, bestaat ook backports uit drie secties: main, contrib en non-free.

Indien u wenst op te waarderen van een versie naar een andere (bijvoorbeeld van Bookworm 12.1 naar 12.2), maar geen internettoegang heeft en enkel over fysieke media beschikt, gaat u als volgt te werk:

Plaats de cd / dvd / blu-rayschijf / USB-stick in het station en gebruik het commando apt-cdrom:

apt-cdrom add

Het volgende is een citaat uit de man-pagina van apt-cdrom(8):

Geef vervolgens de volgende twee opdrachten om het systeem op te waarderen:

apt update
apt full-upgrade

killer is een perl-script dat achtergrondtaken opruimt. Achtergrondtaken zijn processen die toebehoren aan gebruikers die op dat moment niet aangemeld zijn op de machine. Het script wordt ieder uur vanuit een cron-opdracht uitgevoerd.

unattended-upgrades is een pakket in Debian dat beveiligings- (en andere) bijwerkingen automatisch installeert. Indien het pakket geïnstalleerd wordt, is het vooraf geconfigureerd om beveiligingsbijwerkingen te installeren. De logbestanden zijn te vinden in /var/log/unattended-upgrades/. En er is natuurlijk ook nog altijd /var/log/dpkg.log en /var/log/apt/.

U kunt energie en geld besparen door clientmachines 's avonds uit te zetten en 's ochtends terug op te starten. Vanaf 16.00 uur in de namiddag zal het pakket shutdown-at-night elk uur op het uur proberen om de machine uit te zetten. Maar het zal dat niet doen als blijkt dat de machine nog in gebruik is. Het zal trachten aan het BIOS de opdracht te geven om de machine rond 7.00 uur 's ochtends terug op te starten, en de hoofdserver zal vanaf 06.30 uur proberen om machines op te starten door hen wake-on-LAN-pakketten te sturen. Deze tijdstippen kunnen aangepast worden door de crontabs van de individuele machines te wijzigen.

Als u zoiets opzet, moet u met enkele zaken rekening houden:

  #!/bin/sh
  PATH=/usr/sbin:$PATH
  export PATH
  sitesummary-nodes -w

  #!/bin/sh
  PATH=/usr/sbin:$PATH
  export PATH
  netgroup -h shutdown-at-night-hosts

Om vanaf het internet toegang te krijgen tot machines die zich achter een firewall bevinden, kunt u het pakket autossh installeren. Het kan gebruikt worden om een SSH-tunnel aan te leggen naar een machine op het internet waar u toegang toe heeft. Vanaf die machine kunt u dan over de SSH-tunnel toegang krijgen tot de server achter de firewall.

Volgens de standaardopstelling draaien alle diensten op de hoofdserver met als computernaam tjener. Om het overplaatsen van sommige van die diensten naar een andere machine te vergemakkelijken, kunt u gebruik maken van het installatieprofiel minimal. Een installatie uitvoeren met dit profiel geeft als resultaat een machine die wel deel uitmaakt van het netwerk van Debian Edu, maar waarop (dan) nog geen enkele service draait.

De volgende bewerkingen moet u uitvoeren om een machine te installeren die tot taak heeft sommige diensten te leveren:

FIXME: The HowTos from https://wiki.debian.org/DebianEdu/HowTo/ are either user- or developer-specific. Let's move the user-specific HowTos over here (and delete them over there)! (But first ask the authors (see the history of those pages to find them) if they are fine with moving the howto and putting it under the GPL.)

Volg dit stappenplan om een server op te zetten, bedoeld voor het opslaan van de persoonlijke mappen van gebruikers en van wellicht nog andere gegevensbestanden.

Gebruikers zouden nu in staat moeten zijn om rechtstreeks toegang te hebben tot de bestanden op 'nas-server.intern' door gewoon naar de map '/tjener/nas-server/storage/' te gaan met behulp van om het even welke toepassing op elk werkstation of elke LTSP thin-client of LTSP-server.

Er bestaan verschillende mogelijkheden om toegang via SSH in te perken. Sommige ervan worden hier opgesomd.

+ : alice jane bob john : ALL
+ : ALL : 10.0.0.0/8 192.168.0.0/24 192.168.1.0/24
- : ALL : ALL
#

Om meerdere talen te ondersteunen moeten de volgende stappen gezet worden:

Gebruikers kunnen dan via de beeldschermbeheerder LightDM hun taal kiezen vooraleer ze zich aanmelden. Dit geldt voor Xfce, LXDE en LXQt. GNOME en KDE hanteren allebei hun eigen interne hulpmiddelen voor het configureren van taal en regio en u moet deze gebruiken bij deze grafische werkomgevingen. MATE gebruikt bovenop Lightdm het aanmeldvenster Arctica, zonder de mogelijkheid om een taal te kiezen. Voer het commando apt purge arctica-greeter uit om het standaardaanmeldvenster van LightDM te krijgen.

libdvdcss heeft u nodig om de meeste commerciële dvd's te kunnen afspelen. Om redenen van wettelijke aard zit het niet in Debian (Edu). Indien u het rechtsgeldig mag gebruiken, kunt u lokaal uw eigen pakketten bouwen met behulp van het Debian pakket libdvd-pkg. Zorg ervoor dat u de pakketbron contrib geactiveerd heeft in het bestand /etc/apt/sources.list.

apt update
apt install libdvd-pkg

Beantwoord de vragen van debconf en voer dan het commando dpkg-reconfigure libdvd-pkg uit.

Het pakket fonts-linex (dat standaard geïnstalleerd wordt) installeert de tekenset 'Abecedario'. Deze tekenset met lettertekens in handschrift vinden kinderen leuk. De tekenset bevat verschillende varianten om met kinderen te gebruiken: gestippeld of met lijnen.

Een algemene term voor zowel thin-clients als schijfloze werkstations is LTSP-client.

Sinds Bullseye verschilt LTSP aanzienlijk van de vorige versies. Dit betreft zowel installatie als onderhoud.

Raadpleeg voor informatie over LTSP in het algemeen de LTSP homepagina. Op systemen met het profiel LTSP-server geeft man ltsp meer informatie.

Merk op dat het hulpmiddel ltsp van LTSP zorgvuldig moet gebruikt worden. Het commando ltsp image / zou er bijvoorbeeld niet in slagen het SquashFS-image te genereren in het geval van Debian machines (deze hebben standaard een aparte /boot-partitie), het commando ltsp ipxe zou er niet in slagen het iPXE-menu correct te genereren (wegens de ondersteuning van Debian Edu voor thin clients) en ltsp initrd zou het opstarten van LTSP-clients volledig verknoeien.

Het hulpmiddel debian-edu-ltsp-install is een script dat de commando's ltsp image, ltsp kernel en ltsp ipxe bundelt. Het wordt gebruikt om ondersteuning voor schijfloze werkstations en thin clients in te stellen en te configureren(zowel 64-bits als 32-bits pc's). Zie man debian-edu-ltsp-install of de inhoud van het script om te zien hoe het werkt. Alle configuratie zit vervat in het script zelf (via zogenaamde HERE documenten) om locatiespecifieke aanpassingen te vergemakkelijken.

Voorbeelden van hoe u het bundel-script debian-edu-ltsp-install kunt gebruiken:

Behalve bare (kleinste thin client-systeem) zijn ook display en desktop mogelijke opties. Het type display biedt een afsluitknop, het type desktop voert Firefox ESR uit in zogenaamde kiosk modus op de client zelf (meer lokaal RAM en CPU-vermogen zijn nodig, maar er is een geringere belasting van de server).

Het hulpmiddel debian-edu-ltsp-ipxe is een bundel-script voor ltsp ipxe. Het zorgt ervoor dat het bestand /srv/tftp/ltsp/ltsp.ipxe specifiek is voor Debian Edu. De opdracht moet worden uitgevoerd nadat items in verband met iPXE (zoals menu-wachttijd of standaard opstartinstellingen) in de sectie [server] van /etc/ltsp/ltsp.conf zijn gewijzigd.

Het hulpmiddel debian-edu-ltsp-initrd is een bundel-script voor ltsp initrd. Het zorgt ervoor dat een initrd gegenereerd wordt dat specifiek is voor dit toepassingsgebied (/srv/tftp/ltsp/ltsp.img) en dat dan verplaatst wordt naar de map die voor dat toepassingsgebied bedoeld is. Het commando moet worden uitgevoerd nadat de sectie [clients] in /etc/ltsp/ltsp.conf werd gewijzigd.

Het hulpmiddel debian-edu-ltsp-chroot is een vervanging voor het hulpmiddel ltsp-chroot dat met LTSP5 geleverd wordt. Het wordt gebruikt om commando's uit te voeren in een gespecificeerde LTSP-chroot (zoals bijv. installeren, opwaarderen en verwijderen van pakketten).

Schijfloos werkstation

Een schijfloos werkstation voert alle programmatuur lokaal uit. De clientmachine start rechtstreeks op vanaf de LTSP-server zonder gebruik te maken van een lokale harde schijf. Programmatuur wordt beheerd en onderhouden op de LTSP-server, maar wordt op het schijfloos werkstation uitgevoerd. Persoonlijke mappen en systeeminstellingen worden eveneens op de server opgeslagen. Het systeem van schijfloze werkstations is een uitstekende manier om oudere (maar nog krachtige) hardware te (her)gebruiken tegen een even lage onderhoudskost als het geval is bij thin clients.

In tegenstelling tot werkstations functioneren schijfloze werkstations zonder dat men ze dient toe te voegen met GOsa².

Thin-client

Een thin-clientinstallatie stelt een gewone PC in staat om te functioneren als een (X-)terminal, waarbij alle programmatuur op de LTSP-server uitgevoerd wordt. Het betekent dat een dergelijke machine opstart via PXE zonder gebruik te maken van een lokale harde schijf op de client en dat de LTSP-server een krachtige computer moet zijn.

Debian Edu ondersteunt nog steeds het gebruik van thin clients om het gebruik van zeer oude hardware mogelijk te maken.

Aangezien Thin clients X2Go gebruiken, moeten gebruikers beeldsamenstelling uitschakelen om weergave-artefacten te voorkomen. In het standaardgeval (Xfce grafische werkomgeving): Instellingen -> Vensterbeheerder bijstellen -> Beeldsamensteller.

Fabrieksprogrammatuur voor LTSP-clients

Het opstarten van de LTSP-client zal niet lukken als de netwerkkaart van de client niet-vrije fabrieksprogrammatuur vereist. Een PXE-installatie kan gebruikt worden om problemen op te sporen bij het opstarten van een machine over het netwerk. Indien het installatiesysteem van Debian klaagt over het feit dat bestand XXX.bin ontbreekt, betekent dit dat niet-vrije fabrieksprogrammatuur toegevoegd moet worden aan het initrd van de LTSP-server.

Ga als volgt te werk op de LTSP-server:

apt update && apt search ^firmware-

apt -y -q install firmware-linux

debian-edu-ltsp-install --diskless_workstation yes

/usr/share/debian-edu-config/tools/ltsp-addfirmware -h

ltsp image x2go-bare-amd64

debian-edu-ltsp-install --arch i386 --thin_type bare

debian-edu-ltsp-initrd

PXE staat voor Preboot eXecution Environment. Debian Edu gebruikt nu de implementatie iPXE voor een eenvoudigere LTSP-integratie.

d-i     apt-setup/local1/repository string      http://example.org/debian stable main contrib non-free
d-i     apt-setup/local1/comment string         Example Software Repository
d-i     apt-setup/local1/source boolean         true
d-i     apt-setup/local1/key    string          http://example.org/key.asc

Het pakket debian-edu-config bevat een hulpmiddel waarmee u het netwerk 10.0.0.0/8 in iets anders kunt wijzigen. Kijk eens naar /usr/share/debian-edu-config/tools/subnet-change. Het is bedoeld om vlak na de installatie van de hoofdserver gebruikt te worden met het oog op het aanpassen van LDAP en van de andere bestanden die bijgewerkt moeten worden om het subnet te wijzigen.

Weet dat kiezen voor een van de subnets die reeds elders in Debian Edu gebruikt worden, niet zal werken. 192.168.1.0/24 en 192.168.1.0/24 staan reeds ingesteld als netwerken voor de LTSP clients. Omschakelen naar deze subnetwerken maakt het manueel bewerken van configuratiebestanden om er de items uit te halen die er tweemaal in voorkomen, onvermijdelijk.

Er bestaat geen gemakkelijke manier om de domeinnaam van DNS te wijzigen. Het toch doen maakt het aanpassen van de structuur van LDAP en van meerdere bestanden in het bestandssysteem van de hoofdserver noodzakelijk. Er bestaat ook geen eenvoudige manier om de computernaam en de DNS-naam van de hoofdserver (tjener.intern) te veranderen. Ook hiervoor zouden veranderingen nodig zijn in LDAP, in bestanden op de hoofdserver en in het bestandssysteem van de client. En in de beide gevallen zouden ook de instellingen van Kerberos veranderd moeten worden.

Wanneer u kiest voor het profiel LTSP-server of het profiel gecombineerde server, worden ook de pakketten xrdp en x2goserver geïnstalleerd.

 #!/bin/bash
 set -e
  if [[ $UID -ne 0 ]] ; then  
     if ! groups | egrep -q sudo ; then
         echo "ERROR: You need to be root or a sudo group member."
         exit 1
     fi
 fi
 if ! egrep -q  ^deb-src /etc/apt/sources.list ; then
     echo "ERROR: Make sure /etc/apt/sources.list contains a deb-src line."
     exit 1
 fi
 TMP=$(mktemp -d)
 PULSE_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' pulseaudio)"
 XRDP_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' xrdp)"
 sudo apt -q update
 sudo apt -q install dpkg-dev
 cd $TMP
 apt -q source pulseaudio xrdp
 sudo apt -q build-dep pulseaudio xrdp
 cd pulseaudio-$PULSE_UPSTREAM_VERSION/
 ./configure
 cd $TMP/xrdp-$XRDP_UPSTREAM_VERSION/sesman/chansrv/pulse/
 sed -i 's/^PULSE/#PULSE/' Makefile
 sed -i "/#PULSE_DIR/a \
 PULSE_DIR = $TMP/pulseaudio-$PULSE_UPSTREAM_VERSION" Makefile
 make
 sudo cp *.so /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/
 sudo chmod 644 /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/module-xrdp*
 sudo service xrdp restart

De server freeRADIUS kan worden gebruikt om veilige netwerkverbindingen tot stand te brengen. Om dit te laten werken moet u de pakketten freeradius en winbind installeren op de hoofdserver en het commando /usr/share/debian-edu-config/tools/setup-freeradius-server uitvoeren om een basale locatiespecifieke configuratie te genereren. Op deze manier worden zowel de EAP-TTLS/PAP als de PEAP-MSCHAPV2 methode ingeschakeld. Alle configuratie zit vervat in het script zelf om site-specifieke aanpassingen te vergemakkelijken. Raadpleeg de homepagina van freeRADIUS voor details.

Extra configuratie is nodig om

Apparaten van eindgebruikers moeten correct worden geconfigureerd, deze apparaten moeten met een pincode zijn beveiligd voor het gebruik van EAP (802.1x)-methoden. Gebruikers moeten ook worden opgeleid om het freeradius CA-certificaat op hun apparaten te installeren om er zeker van te zijn dat ze verbinding maken met de juiste server. Op deze manier kan het wachtwoord niet worden achterhaald in het geval van een kwaadwillende server. Het locatiespecifieke certificaat is beschikbaar op het interne netwerk.

Houd er rekening mee dat het configureren van apparaten voor eindgebruikers een echte uitdaging zal zijn vanwege de verscheidenheid aan apparaten. Voor Windows-apparaten kan een installatiescript worden gemaakt, voor Apple-apparaten een mobileconfig-bestand. In beide gevallen kan het freeRADIUS CA-certificaat worden geïntegreerd, maar er zijn OS-specifieke gereedschappen nodig om de scripts te maken.

Verbindingen met de persoonlijke map van een gebruiker en met extra locatiespecifieke gedeelde mappen (wanneer deze geconfigureerd zijn) zijn mogelijk voor apparaten met Linux, Android, macOS, iOS, iPadOS, Chrome OS of Windows. Bijvoorbeeld, op Android gebaseerde apparaten hebben een bestandsbeheerder met SMB2/SMB3-ondersteuning nodig, ook wel LAN-toegang genoemd. X-plore of Total Commander met LAN plug-in zouden een goede keuze kunnen zijn.

Gebruik \\tjener\<gebruikersnaam> of smb://tjener/<gebruikersnaam> om toegang tot de persoonlijke map te hebben.

stable/education-development is een meta-pakket dat een heleboel programmeerhulpmiddelen vereist. Merk op dat bijna 2 GiB vereist is als dit pakket geïnstalleerd wordt. Raadpleeg voor bijkomende informatie (eventueel om slechts enkele pakketten te installeren) de pagina ontwikkelingspakketten van Debian Edu.

Waarschuwing: zorg ervoor dat u goed geïnformeerd bent over de wettelijke bepalingen in verband met het opvolgen en beperken van de activiteiten van uw computergebruikers in uw rechtsgebied.

Sommige scholen gebruiken controlehulpmiddelen zoals Epoptes of Veyon om hun studenten te superviseren. Bekijk ook de Homepagina van Epoptes en de Homepagina van Veyon.

Sommige scholen maken gebruik van Squidguard of e2guardian om de toegang tot het Internet te beperken.

Iedere gebruiker zou zijn of haar wachtwoord moeten wijzigen via GOsa². Om dit te doen, moet men een browser gebruiken en naar https://www/gosa/ gaan.

GOsa² gebruiken om een wachtwoord te wijzigen garandeert dat de wachtwoorden voor Kerberos (krbPrincipalKey), LDAP (userPassword) en Samba identiek zijn.

Het wijzigen van een wachtwoord met PAM functioneert ook aan de aanmeldingsprompt van GDM, maar dit past enkel het Kerberos-wachtwoord aan, en niet het wachtwoord voor Samba en GOsa² (LDAP). Indien u dus uw wachtwoord wijzigde aan de aanmeldingsprompt, zou u het zeker ook moeten wijzigen via GOsa².

Autonome Java-toepassingen worden automatisch ondersteund door OpenJDK, een omgeving voor het uitvoeren van javatoepassingen.

Alle gebruikers kunnen binnen het interne netwerk e-mail versturen en ontvangen. Certificaten worden voorzien om met TLS beveiligde verbindingen mogelijk te maken. Om het gebruik van e-mail buiten het interne netwerk mogelijk te maken, moet de systeembeheerder de mailserver exim4 configureren overeenkomstig de lokale situatie. Die configuratie bijwerken begint bij de opdracht dpkg-reconfigure exim4-config.

Elke gebruiker die Thunderbird wenst te gebruiken, moet het op de volgende manier configureren. Voor een gebruiker met de gebruikersnaam jdoe, is het interne e-mailadres jdoe@postoffice.intern.

In de meeste gevallen fungeert de mailinglijst voor ontwikkelaars als ons belangrijkste communicatiemedium, maar we hebben het kanaal #debian-edu op irc.debian.org en zelfs ook, weliswaar soms, echte vergaderingen waarop we elkaar persoonlijk ontmoeten.

Een goede manier om te weten wat er gebeurt op het vlak van de ontwikkeling van Debian Edu, is zich inschrijven voor de mailinglijst voor broncodeaanpassingen.

Debian Edu gebruikt het Bugvolgsysteem (Bug Tracking System - BTS) van Debian. Bekijk bestaande bugrapporten en functieverzoeken of maak er nieuwe aan. Rapporteer alle bugs tegen het pakket debian-edu-config. Kijk eens naar Hoe Bugs Rapporteren voor meer informatie over het rapporteren van bugs in Debian Edu.

Dit document heeft uw hulp nodig! Eerst en vooral is het op dit moment nog niet af. Terwijl u het leest, zult u merken dat er op verschillende plaatsen in de tekst nog FIXMEs staan. Indien u toevallig (een beetje) kennis mocht hebben over wat daar uitgelegd moet worden, overweeg dan alstublieft om uw kennis met ons te delen.

De broncode van de tekst is een wiki die eenvoudig met behulp van een webbrowser bewerkt kan worden. Ga gewoon naar https://wiki.debian.org/DebianEdu/Documentation/Bookworm/ en u kunt zomaar beginnen mee te werken. Noot: u heeft wel een gebruikersaccount nodig om de pagina's te bewerken: eerst moet u een wiki-gebruikersaccount aanmaken.

Een heel goede andere manier om mee te werken en gebruikers te helpen, is door programmatuur en documentatie te vertalen. Informatie over hoe dit document te vertalen, is te vinden in het hoofdstuk vertalingen van dit boek. Overweeg alstublieft om te helpen bij het vertalen van dit boek!

Een lijst van bedrijven die professionele ondersteuning bieden vindt u op https://wiki.debian.org/DebianEdu/Help/ProfessionalHelp.

Copyright (C) 2007-2021 Holger Levsen < holger@layer-acht.org > en anderen. Raadpleeg het hoofdstuk over Auteursrechten voor de volledige lijst van personen bij wie de auteursrechten berusten.

This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version.

This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.

Version 2, June 1991

Copyright (C) 1989, 1991 Free Software Foundation, Inc. 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301, USA. Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed.

0. This License applies to any program or other work which contains a notice placed by the copyright holder saying it may be distributed under the terms of this General Public License. The "Program", below, refers to any such program or work, and a "work based on the Program" means either the Program or any derivative work under copyright law: that is to say, a work containing the Program or a portion of it, either verbatim or with modifications and/or translated into another language. (Hereinafter, translation is included without limitation in the term "modification".) Each licensee is addressed as "you".

Activities other than copying, distribution and modification are not covered by this License; they are outside its scope. The act of running the Program is not restricted, and the output from the Program is covered only if its contents constitute a work based on the Program (independent of having been made by running the Program). Whether that is true depends on what the Program does.

1. You may copy and distribute verbatim copies of the Program's source code as you receive it, in any medium, provided that you conspicuously and appropriately publish on each copy an appropriate copyright notice and disclaimer of warranty; keep intact all the notices that refer to this License and to the absence of any warranty; and give any other recipients of the Program a copy of this License along with the Program.

You may charge a fee for the physical act of transferring a copy, and you may at your option offer warranty protection in exchange for a fee.

2. You may modify your copy or copies of the Program or any portion of it, thus forming a work based on the Program, and copy and distribute such modifications or work under the terms of Section 1 above, provided that you also meet all of these conditions:

These requirements apply to the modified work as a whole. If identifiable sections of that work are not derived from the Program, and can be reasonably considered independent and separate works in themselves, then this License, and its terms, do not apply to those sections when you distribute them as separate works. But when you distribute the same sections as part of a whole which is a work based on the Program, the distribution of the whole must be on the terms of this License, whose permissions for other licensees extend to the entire whole, and thus to each and every part regardless of who wrote it.

Thus, it is not the intent of this section to claim rights or contest your rights to work written entirely by you; rather, the intent is to exercise the right to control the distribution of derivative or collective works based on the Program.

In addition, mere aggregation of another work not based on the Program with the Program (or with a work based on the Program) on a volume of a storage or distribution medium does not bring the other work under the scope of this License.

3. You may copy and distribute the Program (or a work based on it, under Section 2) in object code or executable form under the terms of Sections 1 and 2 above provided that you also do one of the following:

The source code for a work means the preferred form of the work for making modifications to it. For an executable work, complete source code means all the source code for all modules it contains, plus any associated interface definition files, plus the scripts used to control compilation and installation of the executable. However, as a special exception, the source code distributed need not include anything that is normally distributed (in either source or binary form) with the major components (compiler, kernel, and so on) of the operating system on which the executable runs, unless that component itself accompanies the executable.

If distribution of executable or object code is made by offering access to copy from a designated place, then offering equivalent access to copy the source code from the same place counts as distribution of the source code, even though third parties are not compelled to copy the source along with the object code.

4. You may not copy, modify, sublicense, or distribute the Program except as expressly provided under this License. Any attempt otherwise to copy, modify, sublicense or distribute the Program is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance.

5. You are not required to accept this License, since you have not signed it. However, nothing else grants you permission to modify or distribute the Program or its derivative works. These actions are prohibited by law if you do not accept this License. Therefore, by modifying or distributing the Program (or any work based on the Program), you indicate your acceptance of this License to do so, and all its terms and conditions for copying, distributing or modifying the Program or works based on it.

6. Each time you redistribute the Program (or any work based on the Program), the recipient automatically receives a license from the original licensor to copy, distribute or modify the Program subject to these terms and conditions. You may not impose any further restrictions on the recipients' exercise of the rights granted herein. You are not responsible for enforcing compliance by third parties to this License.

7. If, as a consequence of a court judgment or allegation of patent infringement or for any other reason (not limited to patent issues), conditions are imposed on you (whether by court order, agreement or otherwise) that contradict the conditions of this License, they do not excuse you from the conditions of this License. If you cannot distribute so as to satisfy simultaneously your obligations under this License and any other pertinent obligations, then as a consequence you may not distribute the Program at all. For example, if a patent license would not permit royalty-free redistribution of the Program by all those who receive copies directly or indirectly through you, then the only way you could satisfy both it and this License would be to refrain entirely from distribution of the Program.

If any portion of this section is held invalid or unenforceable under any particular circumstance, the balance of the section is intended to apply and the section as a whole is intended to apply in other circumstances.

It is not the purpose of this section to induce you to infringe any patents or other property right claims or to contest validity of any such claims; this section has the sole purpose of protecting the integrity of the free software distribution system, which is implemented by public license practices. Many people have made generous contributions to the wide range of software distributed through that system in reliance on consistent application of that system; it is up to the author/donor to decide if he or she is willing to distribute software through any other system and a licensee cannot impose that choice.

This section is intended to make thoroughly clear what is believed to be a consequence of the rest of this License.

8. If the distribution and/or use of the Program is restricted in certain countries either by patents or by copyrighted interfaces, the original copyright holder who places the Program under this License may add an explicit geographical distribution limitation excluding those countries, so that distribution is permitted only in or among countries not thus excluded. In such case, this License incorporates the limitation as if written in the body of this License.

9. The Free Software Foundation may publish revised and/or new versions of the General Public License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns.

Each version is given a distinguishing version number. If the Program specifies a version number of this License which applies to it and "any later version", you have the option of following the terms and conditions either of that version or of any later version published by the Free Software Foundation. If the Program does not specify a version number of this License, you may choose any version ever published by the Free Software Foundation.

10. If you wish to incorporate parts of the Program into other free programs whose distribution conditions are different, write to the author to ask for permission. For software which is copyrighted by the Free Software Foundation, write to the Free Software Foundation; we sometimes make exceptions for this. Our decision will be guided by the two goals of preserving the free status of all derivatives of our free software and of promoting the sharing and reuse of software generally.

NO WARRANTY

11. BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.

12. IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.

END OF TERMS AND CONDITIONS

De volgende releases van Debian Edu stammen uit een nog verder verleden:

Een volledig en gedetailleerd overzicht van alle oude releases is te vinden in Appendix C van de handleiding voor Jessie. Raadpleeg anders de handleidingen bij de verschillende uitgaven op de pagina met handleidingen.