Handleiding Debian Edu/Skolelinux 12 Bookworm

Publicatiedatum: 29-03-2024


Inhoudsopgave

1. Handleiding voor Debian Edu 12, codenaam bookworm
2. Over Debian Edu en Skolelinux
2.1. Ontstaansgeschiedenis en verantwoording voor een dubbele naam
3. Architectuur
3.1. Het netwerk
3.1.1. De standaard netwerkconfiguratie
3.1.2. Hoofdserver
3.1.3. De diensten op de hoofdserver
3.1.4. LTSP-server(s)
3.1.5. Thin-clients
3.1.6. Schijfloze werkstations
3.1.7. Netwerkclients
3.2. Beheer
3.2.1. Installatie
3.2.2. Configuratie van de toegang tot het bestandssysteem
4. Vereisten
4.1. Vereisten inzake apparatuur
4.2. Compatibele apparatuur
5. Vereisten voor de netwerkopstelling
5.1. Standaardopstelling
5.2. Internet router
6. Installatie- en downloadopties
6.1. Waar u bijkomende informatie kunt vinden
6.2. De installatiemedia voor Debian Edu 12, codenaam bookworm, downloaden
6.2.1. amd64 of i386
6.2.2. netinst iso-images voor amd64 en i386
6.2.3. BD iso-images voor amd64 of i386
6.2.4. Verifiëren van de gedownloade image-bestanden
6.2.5. Broncode
6.3. Debian Edu installeren
6.3.1. Scenario's voor de installatie van de hoofdserver
6.3.2. Grafische werkomgevingen
6.3.3. Modulaire installatie
6.3.4. Installatietypes en downloadopties
6.3.5. Het installatieproces
6.3.6. Een gateway installeren met behulp van debian-edu-router
6.3.7. Aantekeningen bij enkele specifieke kenmerken
6.3.8. Installaties vanaf een USB-stick en niet vanaf een cd / blu-rayschijf
6.3.9. Installeren en opstarten over het netwerk via PXE
6.3.10. PXE-installaties aanpassen
6.3.11. Images op maat
6.4. Rondleiding langs enkele schermafdrukken
7. Aan de slag
7.1. Wat u zeker moet doen om aan de slag te kunnen gaan
7.1.1. De diensten op de hoofdserver
7.2. Inleiding in GOsa²
7.2.1. Zich aanmelden bij GOsa² en de overzichtspagina
7.3. Gebruikersbeheer met GOsa²
7.3.1. Gebruikers toevoegen
7.3.2. Opzoeken, wijzigen en verwijderen van gebruikers
7.3.3. Wachtwoorden instellen
7.3.4. Geavanceerd gebruikersbeheer
7.4. Het beheer van groepen met GOsa²
7.5. Het beheer van machines met GOsa²
7.5.1. Machines zoeken en verwijderen
7.5.2. Bestaande machines wijzigen / Beheer van netgroepen
8. Printerbeheer
8.1. Printers gebruiken die met werkstations verbonden zijn
8.2. Netwerkprinters
9. Kloksynchronisatie
10. Volle partities groter maken
11. Onderhoud
11.1. Programmatuur bijwerken
11.1.1. Op de hoogte blijven van beveiligingsbijwerkingen
11.2. Reservekopieën beheren
11.3. Servers opvolgen
11.3.1. Munin
11.3.2. Icinga
11.3.3. Sitesummary
11.4. Bijkomende informatie over het aanpassen van Debian Edu
12. Opwaarderingen
12.1. Algemene opmerkingen over opwaarderingen
12.2. Opwaarderen vanaf Debian Edu Bullseye
12.2.1. De hoofdserver opwaarderen
12.2.2. Een werkstation opwaarderen
12.3. Opwaarderingen van oudere installaties van Debian Edu / Skolelinux (voor Bullseye)
13. HowTo
14. HowTo's voor algemeen systeembeheer
14.1. De historiek van configuratie-instellingen: wijzigingen in /etc/ opvolgen met behulp van Git, een systeem voor versiebeheer
14.1.1. Voorbeelden uit de praktijk
14.2. De grootte van partities aanpassen
14.2.1. Het beheer van logische gegevensdragers
14.3. Het gebruik van ldapvi
14.4. NFS met Kerberos
14.4.1. Aanpassen van de standaardinstelling
14.5. Standardskriver
14.6. JXplorer, een grafische gebruikersinterface voor LDAP
14.7. ldap-createuser-krb5, een hulpmiddel om gebruikers toe te voegen aan de commandoregel
14.8. Het gebruik van 'stable-updates'
14.9. Meer recente programmatuur installeren met backports
14.10. Opwaarderen met behulp van een cd of een gelijksoortig image
14.11. Het automatisch opruimen van processen die niet meer in gebruik zijn
14.12. Beveiligingsbijwerkingen automatisch installeren
14.13. Machines 's nachts automatisch uitzetten
14.13.1. Het systeem opzetten om computers 's nachts uit te schakelen
14.14. Toegang krijgen tot servers van Debian Edu die zich achter een firewall bevinden
14.15. Bijkomende servermachines installeren om de hoofdserver te ontlasten
14.16. HowTo's van wiki.debian.org
15. Howto over systeembeheer voor gevorderden
15.1. Gebruikersbeheer op maat met GOsa²
15.1.1. Gebruikersgroepen per jaartal aanmaken
15.2. Ander maatwerk in verband met gebruikers
15.2.1. Mappen aanmaken in de persoonlijke map van alle gebruikers
15.3. Een aparte server voor het opslaan van bestanden
15.4. De mogelijkheid inperken om zich via SSH aan te melden
15.4.1. Bij een opstelling zonder LTSP-clients
15.4.2. Bij een opstelling met LTSP-clients
15.4.3. Een noot over meer complexe opstellingen
16. HowTo's in verband met de grafische werkomgeving
16.1. Een grafische werkomgeving instellen voor meerdere talen
16.2. Dvd's afspelen
16.3. Tekensets met lettertekens in handschrift
17. HowTo's voor netwerkclients
17.1. Een inleiding in thin clients en schijfloze werkstations
17.1.1. De keuze van het type LTSP-client
17.1.2. Gebruik een verschillend LTSP clientnetwerk
17.1.3. Voeg een LTSP-chroot toe om 32-bits client-PC's te ondersteunen
17.1.4. De configuratie van een LTSP-client
17.1.5. Geluid op LTSP-clients
17.1.6. Toegang krijgen tot USB-sticks en cd's/dvd's
17.1.7. Printers gebruiken die met LTSP-clients verbonden zijn
17.2. De PXE-instellingen wijzigen
17.2.1. Het PXE-menu configureren
17.2.2. De PXE-installatie configureren
17.2.3. Een eigen pakketbron gebruiken bij PXE-installaties
17.3. Netwerkinstellingen aanpassen
17.4. Extern Bureaublad (Remote Desktop)
17.4.1. Xrdp
17.4.2. X2Go
17.4.3. Beschikbare clients voor verbinding met een extern bureaublad
17.5. Draadloze clients
17.6. Een Windows-machine machtiging verlenen aan de hand van Debian Edu-identificatiegegevens met behulp van de LDAP-plug-in pGina
17.6.1. De gebruiker pGina toevoegen in Debian Edu
17.6.2. De pGina-afsplitsing installeren
17.6.3. pGina configureren
18. Samba in Debian Edu
18.1. Toegang tot bestanden via Samba
19. HowTo's in verband met leren en onderrichten
19.1. Onderricht in programmeren
19.2. Leerlingen opvolgen
19.3. De netwerktoegang voor leerlingen beperken
20. HowTo's voor gebruikers
20.1. Wachtwoorden wijzigen
20.2. Autonome Java-toepassingen uitvoeren
20.3. Het gebruik van e-mail
20.4. Thunderbird
21. Meewerken
21.1. Online meewerken
21.2. Bugs rapporteren
21.3. Auteurs van documentatie en vertalers
22. Ondersteuning
22.1. Ondersteuning op vrijwillige basis
22.1.1. in het Engels
22.1.2. in het Noors
22.1.3. in het Duits
22.1.4. in het Frans
22.2. Professionele ondersteuning
23. Nieuwe functionaliteit in Debian Edu Bookworm
23.1. Nieuwe functionaliteit voor Debian Edu 12 Bookworm
23.1.1. Veranderingen aan het installatieproces
23.1.2. Bijwerkingen van programmatuur
23.1.3. Documentatie en bijwerkingen van vertalingen
23.1.4. Bekende problemen
24. Auteursrechten en auteurs
25. Vertalingen van dit document
25.1. Hoe dit document vertalen
25.1.1. Gebruik PO-bestanden voor het vertalen
25.1.2. Online vertalen met behulp van een webbrowser
26. Bijlage A - De GNU Algemene Gebruikerslicentie
26.1. Handleiding voor Debian Edu 12 codenaam Bookworm
26.2. GNU GENERAL PUBLIC LICENSE
26.3. TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION
27. Bijlage B - Functionaliteit in oudere uitgaven
27.1. Nieuwe functionaliteit voor Debian Edu 11, codenaam Bullseye, uitgebracht op 14-08-2021
27.1.1. Veranderingen aan het installatieproces
27.1.2. Bijwerkingen van programmatuur
27.1.3. Documentatie en bijwerkingen van vertalingen
27.1.4. Andere veranderingen vergeleken met de vorige uitgave
27.2. Historische informatie over oudere uitgaven

1. Handleiding voor Debian Edu 12, codenaam bookworm


Vertaling:
2014-2023 Frans Spiesschaert

Logo van het installatieprogramma van Debian Edu

Dit is de handleiding voor de uitgave van Debian Edu 12 (bookworm).

De (Engelstalige) wikipagina https://wiki.debian.org/DebianEdu/Documentation/Bookworm bevat een regelmatig bijgewerkte versie.

Online zijn bijgewerkte vertalingen beschikbaar.

2. Over Debian Edu en Skolelinux

Debian Edu, ook bekend als Skolelinux, is een op Debian gebaseerde Linux-distributie die een kant-en-klare omgeving biedt van een volledig geconfigureerd schoolnetwerk. Er wordt een client-serverbenadering toegepast. Servers en clients zijn stukjes software die met elkaar in interactie zijn. Servers leveren informatie die clients nodig hebben om te kunnen functioneren. Wanneer een server op een bepaalde machine geïnstalleerd is en zijn client op een andere machine, wordt naar deze machines ook verwezen als de server en de client, bij wijze van uitbreiding van het concept.

De hoofdstukken over hardware- en netwerkvereisten en over de architectuur bevatten basisinformatie over het systeemontwerp.

Na de installatie van een hoofdserver worden alle diensten die in een schoolnetwerk nodig zijn, ingesteld en is het systeem klaar voor gebruik. Enkel gebruikers en apparatuur moeten toegevoegd worden via GOsa², een handige webinterface, of via een andere LDAP-editor. Er werd ook voorzien in een omgeving die opstarten over het netwerk mogelijk maakt met behulp van PXE/iPXE. Nadat u de hoofdserver met behulp van een cd, een blu-rayschijf of een USB-stick hebt geïnstalleerd, kunnen daardoor alle overige computers via het netwerk geïnstalleerd worden. Dit geldt ook voor mobiele werkstations (zoals laptops en netbooks die men uit het schoolnetwerk weg kan nemen). Computers in het netwerk kunnen ook opstarten via PXE/iPXE als schijfloze computers of thin clients.

Diverse educatieve toepassingen, zoals GeoGebra, Kalzium, KGeography, GNU Solfege en Scratch, maken deel uit van de standaard grafische werkomgeving. Deze kan eenvoudig en bijna onbegrensd uitgebreid worden met in Debian beschikbare softwarepakketten.

2.1. Ontstaansgeschiedenis en verantwoording voor een dubbele naam

Debian Edu / Skolelinux is een Linuxdistributie die door het Debian Edu project gemaakt wordt. Als een zogenaamde Debian Pure Blend-distributie (een gebruiksklaar geheel van Debian pakketten) is het een officieel deelproject van Debian.

Dit betekent dat Skolelinux voor uw school een versie van Debian maakt die een gebruiksklare omgeving biedt voor een volledig geconfigureerd schoolnetwerk.

Op 2 juli 2001 ging in Noorwegen het Skolelinux project van start en ongeveer gelijktijdig begon Raphaël Hertzog in Frankrijk met Debian-Edu. Sinds 2003 zijn beide projecten één gemaakt, maar beide benamingen bleven behouden. 'Skole' en (Debian-)'Education' zijn in de betrokken landen immers goed ingeburgerde termen.

Op dit ogenblik wordt het systeem gebruikt in verschillende landen over de hele wereld.

3. Architectuur

3.1. Het netwerk

Dit hoofdstuk behandelt de netwerkarchitectuur en de diensten die door een installatie van Skolelinux geboden worden.

Netwerktopologie van Debian Edu

De afbeelding schetst het schema van de veronderstelde netwerktopologie. De standaardopstelling van een Skolelinux netwerk veronderstelt dat er één (en slechts één) hoofdserver is, die het mogelijk maakt om zowel gewone werkstations als LTSP-servers (met de ermee verbonden thin clients en/of schijfloze werkstations) toe te voegen. Het aantal werkstations kan zo groot of zo klein zijn als u wenst (gaande van nul tot zeer veel). Hetzelfde geldt voor de LTSP-servers, die elk op een apart netwerk zitten, zodat het verkeer tussen de clients en de LTSP-server de andere netwerkdiensten niet hindert. Een gedetailleerde uitleg over LTSP is te vinden in het betreffende HowTo-hoofdstuk.

De reden waarom er in elk schoolnetwerk slechts één hoofdserver kan zijn, ligt in het feit dat de hoofdserver DHCP aanbiedt. Per netwerk mag slechts één machine dat doen. Het is mogelijk om bepaalde diensten van de hoofdserver naar andere machines te verplaatsen door die dienst op een andere machine te installeren en te configureren. Nadien moet de DNS-configuratie daaraan aangepast worden, zodat de DNS-alias voor die dienst naar de juiste computer verwijst.

Om de standaard opstelling van Skolelinux eenvoudig te houden, verloopt de verbinding met het internet over een afzonderlijke router, ook gateway geheten. Raadpleeg het hoofdstuk Internetrouter voor informatie over hoe u een dergelijke gateway kunt opzetten als het niet mogelijk blijkt om een bestaand exemplaar passend te configureren.

3.1.1. De standaard netwerkconfiguratie

DHCP op de hoofdserver bedient het netwerk 10.0.0.0/8 en biedt er een PXE-opstartmenu aan, waarbij u kunt kiezen uit: een nieuwe server/werkstation installeren, een thin client of een schijfloos werkstation opstarten, memtest uitvoeren, of opstarten vanaf de lokale harde schijf.

Dit is zo ontworpen dat het aangepast kan worden. Raadpleeg voor details het betreffende HowTo-hoofdstuk.

DHCP op de LTSP-servers bedient via de tweede netwerkkaart enkel een gereserveerd netwerk (192.168.0.0/24 en 192.168.1.0/24 zijn de vooraf geconfigureerde opties). Slechts uitzonderlijk zal men hieraan iets moeten veranderen.

De configuratie van alle subnetwerken ligt in LDAP opgeslagen.

3.1.2. Hoofdserver

Een netwerk van Skolelinux heeft één hoofdserver (met 'tjener' als computernaam, wat Noors is voor 'server') die standaard het IP-adres 10.0.2.2 heeft en geïnstalleerd wordt door te kiezen voor het profiel Hoofdserver (Main Server). Het is mogelijk (maar niet vereist) om naast het profiel hoofdserver ook de profielen LTSP-server en werkstation te selecteren en te installeren.

3.1.3. De diensten op de hoofdserver

Behalve het beheer van de thin clients, worden initieel alle diensten geïnstalleerd op één centrale computer (de hoofdserver). Met het oog op prestatiebevordering is het aangewezen dat de LTSP-server(s) op (een) aparte computer(s) staat/staan (hoewel het mogelijk is om zowel het profiel hoofdserver als het profiel LTSP-server op één en dezelfde computer te installeren). Alle diensten krijgen een eigen DNS-naam toegewezen en worden exclusief over IPv4 aangeboden. De toegewezen DNS-naam maakt het eenvoudig om individuele diensten van de hoofdserver te verplaatsen naar een andere computer. Daarvoor dient u gewoon die dienst op de hoofdserver te stoppen en de DNS-configuratie zodanig aan te passen dat naar de nieuwe locatie van de dienst gewezen wordt (uiteraard moet die dienst eerst op die andere machine geïnstalleerd worden).

Uit veiligheidsoverwegingen worden alle verbindingen waarover wachtwoorden verzonden worden, versleuteld. Geen enkel wachtwoord wordt als klare tekst over het netwerk verzonden.

Hieronder vindt u een tabel met alle diensten die standaard geïnstalleerd worden in een netwerk van Skolelinux en hun respectieve DNS-naam. Zo mogelijk verwijst elk configuratiebestand via zijn naam (met weglating van de domeinnaam) naar de dienst waaraan het gekoppeld is. Deze benadering maakt het voor scholen gemakkelijk om wijzigingen aan te brengen aan hun domeinnaam (als ze over een eigen DNS-domein beschikken) of aan de IP-adressen die ze gebruiken.

Tabel met de diensten

Beschrijving van de dienst

Gebruikelijke naam

DNS-naam van de dienst

Centraal logboek

rsyslog

syslog

Systeem van domeinnamen

DNS (BIND)

domain

Automatische netwerkconfiguratie van machines

DHCP

bootps

Synchronisatie van de systeemtijd

NTP

ntp

Persoonlijke mappen via een netwerkbestandssysteem

SMB / NFS

homes

Elektronische post

IMAP (Dovecot)

postoffice

Registerdienst

OpenLDAP

ldap

Gebruikersbeheer

GOsa²

---

Webserver

Apache/PHP

www

Centrale reservekopie

sl-backup, slbackup-php

backup

Webcache

Proxy (Squid)

webcache

Afdrukken

CUPS

ipp

Veilig aanmelden over het netwerk

OpenSSH

ssh

Automatische configuratie

CFEngine

cfengine

LTSP-server/s

LTSP

ltsp

Toezicht op diensten en machines met foutmeldingen, evenals status en geschiedenis op het web. Foutrapportage per e-mail

Munin, Icinga en Sitesummary

sitesummary

De persoonlijke bestanden van iedere gebruiker worden in diens persoonlijke map opgeslagen. De server stelt die persoonlijke mappen ter beschikking, zodat men er vanop elke machine toegang toe heeft. Zo hebben gebruikers toegang tot dezelfde bestanden, ongeacht de machine die ze gebruiken. De server werkt systeemonafhankelijk en geeft gebruikers op Unix clients via NFS toegang tot hun bestanden, terwijl gebruikers op andere clients via SMB2/SMB3 toegang tot hun bestanden krijgen.

Standaard werd de mailserver ingesteld om enkel lokale post te bedelen, dit wil zeggen binnen de school. Nochtans kan de server ook ingesteld worden om postbedeling over het internet toe te laten indien de school over een permanente internetverbinding beschikt. Clients worden geconfigureerd om e-mail bij de server af te leveren (via 'smarthost'), en gebruikers kunnen hun persoonlijke e-mail raadplegen via IMAP.

Alle diensten kunnen gebruikt worden met dezelfde gebruikersnaam en hetzelfde wachtwoord, dankzij de centrale gegevensbank voor authenticatie en autorisatie.

Om een beter prestatieniveau te bereiken, slaat een proxy-server vaak bezochte webpagina's lokaal op (Squid). In combinatie met de mogelijkheid om via de router bepaalde webtrafiek te blokkeren, biedt dit kansen om controle te houden over de toegang tot het internet van individuele machines.

De netwerkconfiguratie van de clientcomputers gebeurt automatisch met behulp van DHCP. Alle types clients kunnen verbonden worden met het private subnet 10.0.0.0/8 en zullen een overeenkomstig IP-adres toegewezen krijgen; LTSP-clients moeten verbonden worden met hun overeenkomstige LTSP-server via het afzonderlijke subnet 192.168.0.0/24 (dit is om te kunnen garanderen dat het netwerkverkeer van de LTSP-clients niet interfereert met de overige netwerkdiensten).

De centrale logboekdienst is zo geconfigureerd dat alle machines hun systeemlogboekberichten (syslog) naar de server zenden. De systeemlogboekdienst is ingesteld om enkel inkomende berichten van het lokale netwerk te aanvaarden.

De standaardinstelling van de DNS-server gaat uit van een domein dat uitsluitend intern gebruikt wordt (*.intern), totdat een echt ('extern') domein geconfigureerd kan worden. De DNS-server werkt als een cacheserver voor DNS, waardoor alle machines van het netwerk hem kunnen gebruiker als hun DNS-hoofdserver.

Leerlingen en leerkrachten krijgen de mogelijkheid om een website te publiceren. De webserver beschikt over mechanismen voor de authenticatie van gebruikers en voor het reserveren van de toegang tot bepaalde webpagina's of tot bepaalde submappen voor bepaalde gebruikers of gebruikersgroepen. Voor gebruikers is het mogelijk om dynamische webpagina's te maken, aangezien de webserver in functie daarvan programmeerbaar is.

Informatie over gebruikers en machines kan op één centrale plaats aangepast worden, en wordt automatisch toegankelijk gemaakt voor alle computers op het netwerk. In functie hiervan wordt een centrale registerdienst ontplooid. Het register bevat informatie over gebruikers, over gebruikersgroepen, over machines en over groepen van machines. Om bij gebruikers geen verwarring te zaaien, worden bestandsgroepen en netwerkgroepen op geen enkele manier verschillend behandeld. Dit heeft tot gevolg dat groepen van computers die samen een netwerkgroep vormen, dezelfde naamruimte gebruiken als gebruikersgroepen.

Het beheer van diensten en gebruikers gebeurt hoofdzakelijk via het web en volgt daarbij vastgelegde standaarden die goed functioneren in de met Skolelinux meegeleverde webbrowsers. Het administratiesysteem laat toe om bepaalde taken te delegeren naar individuele gebruikers of naar gebruikersgroepen.

Om mogelijke problemen met NFS te voorkomen en om het oplossen ervan te vergemakkelijken, moet de klok op elke machine gesynchroniseerd zijn. Daarom fungeert de Skolelinux-server als een NTP-server (Network Time Protocol) voor het lokale netwerk. Van hun kant worden alle werkstations en clientcomputers ingesteld om hun klok met die van de server te synchroniseren. De server zelf tracht zijn eigen klok via NTP te synchroniseren met machines op het internet. Dit garandeert een correcte tijdsaanduiding binnen het ganse netwerk.

Printers kunnen geplaatst worden waar dit het meest praktisch is. Ze kunnen ofwel rechtstreeks op het hoofdnetwerk aangesloten worden of aangekoppeld worden aan een server, een werkstation of een LTSP-server. Het recht van individuele gebruikers om toegang te hebben tot een printer, kan ingesteld worden op basis van de groepen waartoe zij behoren. Dit wordt geregeld via het instellen van een quotaregeling en toegangscontrole voor printers.

3.1.4. LTSP-server(s)

Een netwerk van Skolelinux kan veel LTSP-servers bevatten, welke geïnstalleerd worden door het profiel LTSP-server te selecteren.

De LTSP-servers staan ingesteld om systeemlogboekberichten (syslog) te ontvangen van thin clients en werkstations en om die door te sturen naar de centrale systeemlogboekdienst.

Merk op:

  • LTSP-schijfloze-werkstations gebruiken de op de server geïnstalleerde programma's.

  • Het basisbestandssysteem van de clients wordt via NFS aangeboden. Na elke wijziging aan de LTSP-server moet het betreffende image opnieuw gegenereerd worden. Voer daarvoor op de LTSP-server het commando debian-edu-ltsp-install --diskless_workstation yes uit.

3.1.5. Thin-clients

Een thin-clientopstelling laat toe om eenvoudige PC's te gebruiken als (X-)terminals. Dit houdt in dat de machine rechtstreeks wordt opgestart vanaf de server met behulp van PXE zonder gebruik te maken van de lokale harde schijf van de client. De thin-clientopstelling gebruikt nu X2Go, omdat ondersteuning door LTSP weggevallen is.

Thin clients zijn een goede manier om gebruik te maken van zeer oude (meestal 32-bits) machines, aangezien alle programma's die zij gebruiken op de LTSP-server uitgevoerd worden. Dit gaat als volgt in zijn werk: de dienst maakt gebruik van DHCP and TFTP om een netwerkverbinding te realiseren en over het netwerk op te starten. Nadien wordt vanaf de LTPS-server met NFS het bestandssysteem aangekoppeld, en tenslotte wordt de X2Go client gestart.

3.1.6. Schijfloze werkstations

Een schijfloos werkstation voert alle programma's uit op de PC, evenwel zonder dat er lokaal een besturingssysteem geïnstalleerd is. Dit houdt in dat clientcomputers opstarten via PXE zonder op een lokale harde schijf geïnstalleerde software uit te voeren.

Het systeem van schijfloze werkstations is een excellente manier om krachtige hardware te gebruiken met een even lage onderhoudskost als met thin clients. Software wordt beheerd en onderhouden op de server en er dient op de clientcomputers geen software geïnstalleerd te worden. Persoonlijke mappen en systeeminstellingen worden eveneens op de server opgeslagen.

3.1.7. Netwerkclients

De term 'netwerkclients' wordt in deze handleiding gebruikt om zowel te verwijzen naar thin clients als naar schijfloze werkstations en naar computers die onder Mac OS of onder Windows draaien.

3.2. Beheer

Alle Linuxmachines die met behulp van het installatiesysteem van Skolelinux geïnstalleerd werden, kunnen vanaf een centrale computer, meestal de centrale server, beheerd worden. Het is dan mogelijk om zich via SSH bij alle machines aan te melden en er volledige toegang toe te krijgen. Als systeembeheerder moet men eerst kinit uitvoeren om een Kerberos TGT te bekomen.

Alle gebruikersgegevens worden bijgehouden in een LDAP-register. Aanpassingen aan gebruikersaccounts worden in die gegevensbank ingevoerd. Clientcomputers doen er beroep op voor de authenticatie van gebruikers.

3.2.1. Installatie

Momenteel zijn er twee soorten installatiemedia-images: netinst en BD. Beide images kunnen ook opgestart worden vanaf een USB-stick.

Het is de bedoeling dat men eenmaal met behulp van om het even welk installatiemedium een server installeert en dat alle andere clients over het netwerk geïnstalleerd worden door ze vanaf het netwerk te laten opstarten.

Enkel bij het netinstall cd-image heeft men toegang tot het internet nodig tijdens het installatieproces.

Tijdens de installatie moet geen enkele vraag beantwoord worden, met uitzondering van de gewenste taal, locatie, toetsenbordindeling en machineprofiel (hoofdserver, werkstation, LTSP-server, ...). De rest van de configuratie wordt automatisch ingesteld op aannemelijke waarden. Na installatie kan de systeembeheerder deze instellingen zo nodig aanpassen vanaf een centrale plaats.

3.2.2. Configuratie van de toegang tot het bestandssysteem

Aan ieder gebruikersaccount van Skolelinux wordt een deel van het bestandssysteem op de bestandsserver toegewezen. Dit deel (de persoonlijke map) bevat de configuratiebestanden, de documenten, de e-mails en de webpagina's van die gebruiker. Sommige van die bestanden moeten ook door de andere gebruikers op het systeem gelezen kunnen worden, sommige moeten door iedereen op het internet gelezen kunnen worden en sommige mogen enkel door de gebruiker zelf gelezen kunnen worden.

Om een unieke naam te kunnen garanderen voor alle schijven die gebruikt worden voor de persoonlijke mappen van gebruikers of voor de gedeelde mappen en die verspreid kunnen zijn over de verschillende computers van het schoolnetwerk, kan men ze aankoppelen als /skole/host/directory/ (d.w.z. /skole/computernaam/mapnaam/) . Tijdens de installatie wordt op de bestandsserver initieel één map gemaakt, /skole/tjener/home0/, waaronder alle persoonlijke mappen aangemaakt worden. Extra mappen kunnen naar behoefte aangemaakt worden, naargelang de noden van specifieke gebruikersgroepen of van specifieke vormen van gebruik.

Opdat een gedeeld gebruik van bestanden binnen het in UNIX gangbare systeem van gebruiksrechten mogelijk zou zijn, moeten gebruikers deel uitmaken van bijkomende gemeenschappelijke groepen (zoals 'studenten') naast de primaire persoonlijke groep waartoe ze standaard behoren. Indien voor gebruikers een passende umask (002 of 007) geldt, waardoor de nieuwe bestanden die zij aanmaken, voor hun groep toegankelijk gemaakt worden, en indien voor de mappen waarin zij werken de setgid bit ingesteld staat, waardoor de bestanden erin aan de juiste groep toegewezen worden, krijgt men een gecontroleerd systeem van bestandsdeling tussen de leden van een welbepaalde groep.

Welke de initiële toegangsrechten van een nieuw aangemaakt bestand zijn, is een kwestie van beleidskeuzes. In Debian is de umask standaard 022 (hetgeen groepstoegang zoals hiervoor beschreven onmogelijk zou maken). Debian Edu daarentegen gebruikt een umask van 002. Dit betekent dat bestanden aangemaakt worden met leesrechten voor iedereen. Die kunnen nadien teniet gedaan worden mits uitdrukkelijke actie door de gebruiker. Deze gang van zaken kan bijgestuurd worden (door in het bestand /etc/pam.d/common-session) de umask op 007 te zetten. Dit houdt in: initieel geen leestoegang en de gebruiker moet actie ondernemen om zijn bestanden leesbaar te maken voor iedereen. De eerste benadering moedigt het delen van kennis aan en maakt het systeem transparanter, terwijl de tweede benadering het risico op het verspreiden van gevoelige informatie vermindert. Het zwakke punt van de eerste benadering is dat het voor de gebruiker niet duidelijk is dat het materiaal dat hij aanmaakt, voor alle andere gebruikers toegankelijk is. Hij kan dit enkel ontdekken door te gaan kijken in de persoonlijke mappen van andere gebruikers en vast te stellen dat hij die bestanden kan inkijken. Bij de tweede benadering bestaat het zwakke punt erin dat slechts weinig mensen geneigd zullen zijn om hun bestanden voor anderen open te stellen, zelfs al bevatten die geen gevoelige informatie en zou hun inhoud nuttig kunnen zijn om de nieuwsgierigheid te prikkelen van gebruikers naar hoe anderen bepaalde problemen opgelost hebben (in het bijzonder de aanpak inzake configuraties).

4. Vereisten

Skolelinux biedt keuze uit verschillende mogelijke opstellingen. Het kan geïnstalleerd worden op slechts één autonome computer, maar het kan ook een grootschalige centraal beheerde oplossing bieden aan een groep scholen in een bepaalde regio. Deze flexibiliteit vertaalt zich in grote verschillen inzake de configuratie van netwerkcomponenten, servers en clientmachines.

4.1. Vereisten inzake apparatuur

De betekenis van de verschillende profielen werd verduidelijkt in het hoofdstuk Architectuur van het netwerk.

Indien het de bedoeling is om gebruik te maken van LTSP, raadpleeg dan de wiki-pagina over hardwarevereisten voor LTSP.

  • De computers met Debian Edu / Skolelinux moeten ofwel een 32-bits (Debian architectuur 'i386' met als oudste nog ondersteunde processors die uit de klasse 686) of een 64-bits (Debian architectuur 'amd64') processor van het type x86 hebben.

  • Een thin-client kan al functioneren met slechts 256 MiB RAM en een processorsnelheid van 400 MHz, hoewel meer RAM en een snellere processor aanbevolen worden.

  • Voor werkstations, schijfloze werkstations en autonome systemen gelden als absolute minimumvereisten: 1500 MHz en 1024 MiB RAM. Om een moderne webbrowser en LibreOffice te kunnen gebruiken, wordt minstens 2048 MiB RAM aanbevolen.

  • De minimale benodigde schijfruimte is afhankelijk van het geïnstalleerde profiel:

    • combinatie van hoofdserver + LTSP-server + werkstation (als er een GUI op de server gewenst wordt): 60 GiB. (plus extra opslagruimte voor gebruikersaccounts).

    • LTSP-server: 40 GiB.

    • werkstations en autonome computers: 30 GiB.

    • installatie van een minimale netwerkmachine: 4 GiB.

  • Als men de standaardarchitectuur voor het netwerk aanhoudt, moet men LTSP-servers uitrusten met twee netwerkkaarten:

    • eth0 is verbonden met het hoofdnetwerk (10.0.0.0/8),

    • eth1 wordt gebruikt om LTSP-clients te bedienen.

  • Laptops zijn mobiele werkstations. Voor hen gelden dus dezelfde vereisten als voor werkstations.

4.2. Compatibele apparatuur

Een lijst met geteste apparatuur vindt u op https://wiki.debian.org/DebianEdu/Hardware/. Deze lijst is evenwel verre van volledig.

Op https://wiki.debian.org/InstallingDebianOn worden de resultaten gebundeld van inspanningen om te documenteren hoe men op bepaalde specifieke apparatuur Debian kan installeren, configureren en gebruiken. Potentiële kopers van dergelijke apparatuur kunnen zo vooraf nagaan of deze ondersteund wordt, en bezitters ervan hoe ze er optimaal gebruik van kunnen maken.

5. Vereisten voor de netwerkopstelling

5.1. Standaardopstelling

Wanneer u zich houdt aan de standaard netwerkarchitectuur, gelden de volgende regels:

  • Er moet exact één hoofdserver zijn.

  • Er kunnen honderden werkstations aangesloten worden op het hoofdnetwerk.

  • U kunt veel LTSP-servers aansluiten op het hoofdnetwerk. In LDAP werden twee verschillende subnetten vooraf geconfigureerd (DNS, DHCP) en er kunnen er nog meer aan toegevoegd worden.

  • Elke LTSP server ondersteunt een subnetwerk waarop honderden thin clients en/of schijfloze werkstations aangesloten kunnen worden.

  • U kunt daarnaast nog gebruik maken van honderden andere machines waaraan een dynamisch IP-adres toegekend zal worden.

  • Om toegang te krijgen tot het internet moet u gebruik maken van een router/gateway (zie hierna).

5.2. Internet router

Een router/gateway wiens externe netwerkkaart verbonden wordt met het internet en wiens interne netwerkkaart het IP-adres 10.0.0.1 met netmask 255.0.0.0 toegewezen krijgt, is noodzakelijk om een internetverbinding tot stand te brengen.

De router mag niet fungeren als DHCP-server. Er mag een DNS-server op draaien, al is dit niet nodig. Hij zal trouwens niet gebruikt worden.

Als u nog geen router heeft of als ue bestaande router niet goed kan worden ingesteld, kan elke machine die voldoet aan de eisen voor een minimale Debian-installatie en die ten minste twee netwerkinterfaces heeft, worden omgevormd tot een gateway tussen het bestaande netwerk en dat van Debian Edu. Raadpleeg de installatiedocumentatie voor een eenvoudige manier om een Debian-machine te installeren en in te stellen met behulp van debian-edu-router-config.

Indien u iets zoekt voor een ingebouwd type router of toegangspunt, raden we u OpenWRT aan, hoewel u er uiteraard ook de originele firmware op kunt laten staan. De originele firmware gebruiken is eenvoudiger; OpenWRT gebruiken geeft u meer keuzemogelijkheden en meer controle. Op de website van OpenWRT kunt u een lijst vinden van ondersteunde hardware.

Het is mogelijk om een andere netwerkopstelling te gebruiken (er bestaat een vastgelegde werkwijze om dit te doen), maar indien u niet gedwongen wordt door een reeds bestaande netwerkinfrastructuur om dit te doen, raden we u dit af en bevelen wij u aan om het bij de standaard netwerkarchitectuur te houden.

6. Installatie- en downloadopties

6.1. Waar u bijkomende informatie kunt vinden

Alvorens u begint met het installeren van een systeem voor productiedoeleinden, raden we u aan eerst de Notities bij de release van Debian Bookworm te lezen of er op zijn minst eens naar te kijken. Meer informatie over de uitgave van Bookworm is te vinden in de installatiehandleiding.

Probeer Debian Edu/Skolelinux maar gerust uit. Het werkt gewoon vanzelf.

Het verdient evenwel aanbeveling om de hoofdstukken over hardware- en netwerkvereisten en over de architectuur te lezen voor u een hoofdserver begint te installeren.

Zorg er ook voor om het hoofdstuk aan de slag van deze handleiding te lezen, want daarin staat uitgelegd hoe u zich voor de eerste maal bij het systeem moet aanmelden.

6.2. De installatiemedia voor Debian Edu 12, codenaam bookworm, downloaden

6.2.1. amd64 of i386

amd64 en i386 zijn de namen van twee Debian-architecturen voor de x86-CPU's. Allebei worden of werden gemaakt door AMD, Intel en andere fabrikanten. amd64 is een 64-bits architectuur en i386 een 32-bits architectuur. Tegenwoordig moeten nieuwe installaties gebeuren met amd64. i386 moet enkel nog gebruikt worden voor oude hardware.

6.2.2. netinst iso-images voor amd64 en i386

Het netinst iso-image kan gebruikt worden voor een installatie vanaf cd/dvd of vanaf USB-stick. Het is beschikbaar voor twee Debian-architecturen: amd64 en i386. Zoals uit de naam af te leiden valt, is toegang tot het internet nodig voor de installatie.

Zodra Bookworm uitgebracht is, zullen deze images gedownload kunnen worden van:

6.2.3. BD iso-images voor amd64 of i386

Deze ISO-images zijn ongeveer 7.5 GB groot en kunnen gebruikt worden voor het installeren van amd64- of i386-computers, ook zonder internettoegang. Net als het netinst-image kunnen ze op een USB-stick of op een schijf met voldoende opslagcapaciteit gebruikt worden.

Zodra Bookworm uitgebracht is, zullen deze images gedownload kunnen worden van:

6.2.4. Verifiëren van de gedownloade image-bestanden

Een onderdeel van de Debian-CD FAQ bevat gedetailleerde instructies voor het verifiëren en het gebruiken van deze images.

6.2.5. Broncode

De broncode kunt u vinden in het Debian-archief op de gebruikelijke locaties. Er is een link naar verschillende media beschikbaar op https://get.debian.org/cdimage/release/current/source/

6.3. Debian Edu installeren

Wanneer u een installatie van Debian Edu uitvoert, heeft u enkele keuzemogelijkheden. Wees niet bevreesd. Het zijn er niet veel. We hebben veel geïnvesteerd om de complexiteit van Debian tijdens de installatie en nadien verborgen te houden. Niettemin, Debian Edu is Debian, en indien u dit wenst, heeft u de keuze uit meer dan 59.000 pakketten en een miljard configuratieopties. Voor de meerderheid van onze gebruikers zouden de standaardinstellingen moeten voldoen. Merk op: kies voor een lichtgewicht grafische werkomgeving, indien u zinnens bent LTSP te gebruiken.

6.3.1. Scenario's voor de installatie van de hoofdserver

  1. Een gangbaar school- of thuisnetwerk met internettoegang via een router die DHCP aanbiedt:

    • De installatie van een hoofdserver is mogelijk, maar na het herstarten zal er geen internettoegang zijn (dit omdat het IP-adres van de eerste netwerkkaart 10.0.2.2/8 is).

    • Raadpleeg het hoofdstuk Internetrouter voor informatie over het opzetten van een gateway als het niet mogelijk is om een bestaand exemplaar volgens de vereisten te configureren.

    • Verbind alle componenten zoals geïllustreerd wordt in het hoofdstuk architectuur.

    • De hoofdserver zou toegang tot het internet moeten hebben nadat hij voor de eerste keer opgestart werd in de correcte omgeving.

  2. Een gangbaar netwerk voor een school of een instelling, vergelijkbaar met dat hiervoor, maar waarbij het gebruik van een proxy vereist is.

    • Voeg 'debian-edu-expert' toe aan de commandoregel van de kernel. Zie hierna voor meer informatie over hoe u dit doet.

    • Enkele bijkomende vragen moeten beantwoord worden, met inbegrip van die welke betrekking heeft op de proxyserver.

  3. Netwerk met een router/gateway met IP-adres 10.0.0.1/8 (die niet voorziet in een DHCP-server) en internettoegang:

    • Van zodra de automatisch netwerkconfiguratie mislukt (omdat er geen DHCP is), kiest u voor de handmatige netwerkconfiguratie.

      • Geef 10.0.2.2/8 op als IP-adres van de computer

      • Geef 10.0.0.1 op als IP-adres van de gateway

      • Geef 8.8.8.8 op als IP-adres van de naamserver, tenzij u het adres kent

    • Na de eerste opstart zou de hoofdserver gewoon moeten functioneren.

  4. Offline (zonder internettoegang):

    • Gebruik het BD ISO-image.

    • Zorg ervoor dat alle (echte/virtuele) netwerkkabels losgekoppeld zijn.

    • Kies 'Het netwerk nu niet configureren' (nadat DHCP er niet in slaagde het netwerk te configureren en u op 'Doorgaan' drukte).

    • Werk het systeem bij nadat u het voor de eerste keer opstartte in de correcte omgeving met internettoegang.

6.3.2. Grafische werkomgevingen

Er zijn verschillende grafische werkomgevingen beschikbaar:

  • Xfce heeft een voetafdruk die lichtjes groter is dan die van LXDE, maar biedt een zeer goede taalondersteuning (106 talen).

  • KDE en GNOME hebben beide een goede taalondersteuning, maar hebben een te zware voetafdruk voor oudere computers en voor LTSP-clients.

  • Cinnamon is een lichter alternatief voor GNOME.

  • MATE is lichter dan de drie voorgaande, maar voor verschillende landen ontbreekt een goede taalondersteuning.

  • LXDE heeft de kleinste voetafdruk en biedt ondersteuning voor 35 talen.

  • LXQt is een lichtgewicht grafische werkomgeving (met een vergelijkbare taalondersteuning als LXDE) die moderner oogt en aanvoelt (gebaseerd op Qt net zoals KDE).

Als internationaal project heeft Debian Edu ervoor gekozen Xfce te gebruiken als standaard grafische werkomgeving. Zie hierna hoe u er een andere kunt instellen.

6.3.3. Modulaire installatie

  • Indien u een systeem installeert met het profiel Werkstation, dan worden een heleboel programma's voor het onderwijs geïnstalleerd. Wilt u enkel het basisprofiel installeren, verwijder dan de kernel-commandoregelparameter desktop=xxxx voor u met de installatie begint. Zie hieronder voor verdere details over hoe dit moet gebeuren. Dit laat toe om een locatiespecifiek systeem te installeren en kan gebruikt worden om testinstallaties te versnellen.

  • Opmerking: indien u nadien een grafische werkomgeving wenst te installeren, gebruik dan niet de meta-pakketten van Debian Edu, zoals bijvoorbeeld education-desktop-xfce, aangezien deze alle onderwijsgerelateerde programma's zullen installeren. Kies eerder voor het installeren van bijvoorbeeld task-xfce-desktop. Eventueel kunnen een of meer van de nieuwe aan het schoolse niveau gekoppelde meta-pakketten (education-preschool, education-primaryschool, education-secondaryschool, education-highschool) geïnstalleerd worden om aan de specifieke gebruikscontext tegemoet te komen.

  • Raadpleeg voor details over de meta-pakketten van Debian Edu de overzichtspagina van pakketten van Debian Edu.

6.3.4. Installatietypes en downloadopties

Opstartmenu van het installatieprogramma op 64-bits hardware - BIOS-modus

Opstartmenu van het 64-bits installatieprogramma (BIOS-modus)

Graphical install gebruikt het grafische GTK-installatieprogramma waarin u de muis kunt gebruiken.

Install gebruikt de tekstmodus.

Advanced options > biedt een sub-menu met meer uitgebreide keuzemogelijkheden.

Help geeft aanwijzingen bij het gebruik van het installatieprogramma. Zie de schermafdrukken hieronder.

Scherm 1 met opties voor gevorderden van het 64-bits installatieprogramma

Back.. brengt u terug naar het hoofdmenu.

Graphical expert install legt alle beschikbare vragen voor; de muis kan gebruikt worden.

Graphical rescue mode doet dit installatiemedium als een reparatie-cd fungeren, zodat u noodbewerkingen kunt uitvoeren.

Graphical automated install heeft een bestand nodig waarmee een aantal configuratieopties aan het installatieprogramma doorgegeven worden. De grafische modus wordt gebruikt.

Expert install legt alle beschikbare vragen voor en gebruikt de tekstmodus.

Rescue mode tekstmodus; doet dit installatiemedium als een reparatie-cd fungeren, zodat u noodbewerkingen kunt uitvoeren.

Automated install tekstmodus; heeft een bestand nodig waarmee een aantal configuratieopties aan het installatieprogramma doorgegeven worden.

Gebruik Graphical expert install of Expert install niet. Gebruik in de plaats daarvan debian-edu-expert als extra kernel-parameter in uitzonderlijke gevallen.

Hulpscherm

Hulpscherm van het installatieprogramma

Dit hulpscherm vraagt geen nadere uitleg. Het maakt de <F>-toetsen van het toetsenbord actief om meer uitgebreide hulp te krijgen in verband met het behandelde onderwerp.

Opstartmenu van het installatieprogramma op 64-bits hardware - UEFI-modus

Opstartmenu van het 64-bits installatieprogramma (UEFI-modus)

Opstartparameters voor installaties toevoegen of wijzigen

In beide gevallen kunt u de opstartopties van het installatiesysteem bewerken door in het opstartmenu op de TAB-toets of de E-toets te drukken. Op de schermafdrukken ziet u de commandoregel van de Grafische installatie.

Opties voor de commandoregel bewerken (BIOS-modus)

Opties voor de commandoregel bewerken (UEFI-modus)

  • U kunt een bestaande HTTP proxydienst op het netwerk gebruiken om de installatie van het hoofdserver-profiel vanaf een cd te versnellen. Geef bijvoorbeeld mirror/http/proxy=http://10.0.2.2:3128/ als bijkomende opstartparameter op.

  • Indien u op een machine de installatie van het hoofdserver-profiel reeds voltooid heeft, moet u de andere installaties via PXE laten verlopen. Zo wordt automatisch de proxydienst van de hoofdserver gebruikt.

  • Om de grafische werkomgeving GNOME te installeren in plaats van de standaard grafische werkomgeving Xfce, moet u in de parameter desktop=xfce xfce vervangen door gnome.

  • Om in plaats daarvan de grafische werkomgeving LXDE te installeren, gebruikt u desktop=lxde.

  • Om in plaats daarvan de grafische werkomgeving LXQt te installeren, gebruikt u desktop=lxqt.

  • Om in plaats daarvan de grafische werkomgeving KDE Plasma te installeren, gebruikt u desktop=kde.

  • Om in plaats daarvan de grafische werkomgeving Cinnamon te installeren, gebruikt u desktop=cinnamon.

  • En om in plaats daarvan de grafische werkomgeving MATE te installeren, gebruikt u desktop=mate.

6.3.5. Het installatieproces

Houd rekening met de systeemvereisten en zorg ervoor dat er minstens twee netwerkkaarten (NIC's) aanwezig zijn, indien u van plan bent om een LTSP-server te installeren.

  • Kies een taal (voor de installatie en voor het geïnstalleerd systeem)

  • Kies een plaats. Meestal is dit de plaats waar u woont.

  • Kies een toetsenbordindeling (meestal is de standaard toetsenbordindeling voor uw land oké).

  • Kies (een) profiel(en) uit de volgende lijst:

    • Hoofdserver

      • Dit is de hoofdserver (tjener) van uw school, waarop alle diensten klaar voor gebruik vooraf geconfigureerd worden. U mag slechts één hoofdserver per school installeren! Dit profiel voorziet niet in een grafische gebruikersomgeving. Indien u wel een grafische gebruikersomgeving wenst op de hoofdserver, dan dient u bijkomend het profiel werkstation of LTSP-server te installeren.

    • Werkstation

      • Dit is een computer die, zoals een gewone computer, opstart vanaf de lokale harde schijf, alle programma's lokaal uitvoert en alle apparaten vanaf de lokale computer aanspreekt. Enkel de authenticatie van de gebruikers gebeurt door de hoofdserver en daarop worden ook hun bestanden en de configuratie van hun werkomgeving opgeslagen.

    • Mobiel werkstation

      • Is hetzelfde als een werkstation, maar is in staat om authenticatie uit te voeren met behulp van lokaal opgeslagen verificatie-informatie, zodat het ook buiten het schoolnetwerk gebruikt kan worden. De bestanden van de gebruiker en de configuratie van diens werkomgeving worden op de lokale harde schijf bewaard. In tegenstelling tot het advies dat we in eerdere uitgaven van Skolelinux gaven, moet u voor persoonlijke notebooks en laptops dit profiel kiezen en niet het profiel 'werkstation' of het profiel 'autonome computer'.

    • LTSP-server

      • Een server voor thin-clients (en schijfloze werkstations) wordt LTSP-server genoemd. Clients zonder harde schijf starten op en voeren programma's uit vanaf deze server. Deze computer moet twee netwerkkaarten hebben, veel geheugen en idealiter meer dan één processor of meerdere processorkernen. Raadpleeg het hoofdstuk over netwerkclients voor meer informatie. Indien u dit profiel kiest, wordt ook automatisch het profiel werkstation geactiveerd (zelfs als u het niet expliciet selecteert) - een LTSP-server kan steeds ook als werkstation dienst doen.

    • Autonome computer

      • Een gewone computer die geen hoofdserver nodig heeft om te kunnen functioneren. Hij heeft dus geen netwerk nodig. Ook geschikt voor laptops.

    • Minimaal

      • Met dit profiel worden enkel de pakketten van het basissysteem geïnstalleerd en wordt de machine nadien geconfigureerd om deel uit te maken van het netwerk van Debian Edu. Er worden geen diensten en geen toepassingssoftware op geïnstalleerd. Een computer met een dergelijk profiel is nuttig om dienst te doen als platform voor afzonderlijke diensten die men van de hoofdserver manueel daarnaartoe verhuist.

        Wanneer gewone gebruikers een dergelijk systeem zouden moeten kunnen gebruiken, moet het worden toegevoegd met GOsa² (naar analogie met een werkstation) en moet het libpam-krb5-pakket worden geïnstalleerd.

    De profielen Hoofdserver, Werkstation en LTSP-server staan voorgeselecteerd. Deze profielen kunnen samen op één machine geïnstalleerd worden indien u een zogenaamde gecombineerde hoofdserver wilt installeren. Dit betekent dat de hoofdserver tegelijk ook een LTSP-server zal zijn en als werkstation gebruikt kan worden. Dit staat ingesteld als standaardkeuze, omdat we ervan uitgaan dat de meeste mensen dit wensen. Denk eraan dat een machine die als gecombineerde hoofdserver of als LTSP-server dienst zal doen over 2 netwerkkaarten moet beschikken om na installatie bruikbaar te zijn.

  • Kies 'ja' of 'neen' bij de vraag in verband met automatische schijfindeling. Weet dat 'ja' antwoorden alle gegevens op de harde schijf wist! 'Neen' antwoorden anderzijds, brengt meer werk met zich mee. U zult er op moeten toezien dat de benodigde partities aangemaakt worden en groot genoeg zijn.

  • Wij hebben graag dat u 'ja' antwoordt op de vraag of informatie mag doorgestuurd worden naar http://popcon.debian.org/. Dit laat ons toe om een beter inzicht te verwerven in welke pakketten populair zijn en zeker behouden moeten blijven in toekomstige uitgaves. U bent er uiteraard niet toe verplicht, maar u kunt er ons op een eenvoudige manier mee helpen.

  • Heb wat geduld. Indien het profiel LTSP-server een van de geselecteerde profielen is, zal het installatiesysteem op het einde behoorlijk wat tijd nodig hebben bij de melding 'De installatie afronden - Bezig met het uitvoeren van debian-edu-profile-udeb...'.

  • Nadat u het beheerderswachtwoord hebt ingevoerd, zal men u vragen om een gebruikersaccount aan te maken 'voor andere taken dan die van systeembeheer'. Voor Debian Edu is dit een zeer belangrijk account: met dit account zult u het netwerk van Skolelinux beheren.

    Het wachtwoord van deze gebruiker moet minstens 5 tekens lang zijn en moet verschillen van de gebruikersnaam - anders wordt zich aanmelden onmogelijk (ook al zal het installatieprogramma een korter wachtwoord en een wachtwoord dat identiek is aan de gebruikersnaam aanvaarden).

  • Wacht na het herstarten van het systeem opnieuw in het geval van een gecombineerde hoofdserver. Het zal behoorlijk wat tijd kosten om het SquashFS-image voor schijfloze werkstations te genereren.

  • In het geval van een afzonderlijke LTSP-server, vereisen de instellingen voor schijfloze werkstations en/of thin clients enkele handmatige stappen. U vindt bijkomende informatie in het hoofdstuk HowTo voor netwerkclients.

6.3.6. Een gateway installeren met behulp van debian-edu-router

Het pakket debian-edu-router-config vereenvoudigt het opzetten van een gateway voor een DebianEdu-netwerk via een interactief configuratieproces waarbij de noodzakelijke informatie wordt verkregen via een reeks dialogen.

Om er gebruik van te maken, moet u een minimale Debian-installatie uitvoeren. Zorg ervoor dat u het gewone Debian-installatieprogramma gebruikt en niet het installatieprogramma van DebianEdu, aangezien DebianEdu-installaties niet worden ondersteund door debian-edu-router-config.

Installeer het pakket debian-edu-router-config met behulp van

DEBIAN_FRONTEND=noninteractive apt install -y -q debian-edu-router-config

U kunt foutmeldingen met betrekking tot de configuratie verwachten en deze kunnen voorlopig worden genegeerd.

Voor het configuratieproces na de installatie van debian-edu-router-config is fysieke toegang tot de computer vereist.

De netwerkinterfaces kunnen al verbonden zijn met de overeenkomstige netwerken, maar dat hoeft niet. Het is echter noodzakelijk om te weten welke interface met welk netwerk verbonden zal zijn. Om meer informatie over de netwerkhardware te verkrijgen, kan

lshw -class network

worden gebruikt.

Verwijder de configuratie van de twee te gebruiken netwerkinterfaces uit /etc/network/interfaces of uit bestanden in /etc/network/interfaces.d en maak de configuratie van de twee interfaces ongedaan met behulp van

ip addr flush <interface>

Het eigenlijke configuratieproces wordt gestart met

dpkg-reconfigure --force uif debian-edu-router

Selecting the uif configuration method Bevestiging voor het instellen van uif

Kies "debian-edu-router" wanneer gevraagd wordt naar de configuratiemethode voor de uif-firewall. Bevestig dat u de firewall wilt instellen voor Debian Edu Router.

Allowing ping in uif Traceroute toestaan in uif

Bepaal of u wil reageren op ping en traceroute. Als u het niet zeker weet, antwoord dan met ja, omdat dit nuttig kan zijn voor het diagnosticeren van netwerkproblemen.

Het doorsturen van IP-pakketten inschakelen

Bevestig dat u het doorsturen van IP-pakketten wilt inschakelen.

De netwerkinstallatiemethode selecteren

Wijs vervolgens netwerken toe aan de netwerkinterfaces in uw router. Kies een van de aangeboden opties, afhankelijk van het feit of je netwerkinterfaces al verbonden zijn of niet.

De uplink-interface selecteren

Selecteer de interface die is verbonden met het bovenstroomse netwerk.

Interne netwerken selecteren

Selecteer een intern netwerk. Als u het niet zeker weet en gewoon een enkel intern netwerk wilt, selecteer dan hier "Onderwijs" (Education).

Gebruik van VLAN's mogelijk maken

Selecteer of VLAN's moeten worden gebruikt voor interne netwerken. Als u het niet zeker weet, selecteert u hier nee.

Ondersteunde IP-versies selecteren

Selecteer hier "IPv4".

Netwerken selecteren die een statisch IP-adres vereisen

Selecteer "Uplink" als uw bovenstrooms netwerk een statisch IP-adres vereist en, als u de bovenstaande suggestie voor interne netwerken hebt gevolgd, "Onderwijs".

Een statisch IP-adres instellen voor het interne netwerk

Stel 10.0.0.1/8 in als het statische IP-adres voor het interne netwerk "Onderwijs" als u de bovenstaande suggestie op interne netwerken hebt gevolgd.

NAT inschakelen voor netwerken

Schakel NAT in voor het interne netwerk.

Internettoegang voor netwerken mogelijk maken

Schakel internettoegang in voor interne netwerken.

Omgekeerde (reverse_) NAT instellen

Als u interne diensten zichtbaar wilt maken voor het internet, dan kun u die configureren met behulp van de beschreven syntaxis. Merk op dat SSH-toegang tot de gateway geconfigureerd kan worden met behulp van het volgende dialoogvenster.

SSH-toegang voor netwerken inschakelen

Bepaal vanaf welke netwerken u SSH-toegang tot de gateway wilt toestaan.

De SSH-poort configureren

Configureer de SSH-poort. Deze moet 22 zijn als de configuratie niet is gewijzigd.

DHCP inschakelen voor netwerken

Schakel DHCP niet in voor de interne netwerken. Dit zal worden aangeboden door de hoofdserver van DebianEdu.

Sluit de netwerkinterfaces aan als u dat nog niet heeft gedaan en start de machine opnieuw op.

SSH main menu SSH-configuratie

Als SSH-toegang is ingeschakeld, kan de gateway op afstand opnieuw worden geconfigureerd via het menu dat wordt aangeboden bij het inloggen als root. Als u in het hoofdmenu op c drukt, gaat u naar het configuratiemenu van waaruit de configuratie geheel of gedeeltelijk kan worden gewijzigd met hetzelfde dialoogsysteem dat werd gebruikt voor de initiële configuratie.

6.3.7. Aantekeningen bij enkele specifieke kenmerken

6.3.7.1. Een aantekening over notebooks

Meest voor de hand liggend is dat u hiervoor het profiel 'Mobiel werkstation' kiest (zie eerder). U dient wel te weten dat alle gegevens lokaal bewaard worden. (Besteed dus extra zorg aan backups). Er wordt ook lokaal een spiegelkopie met de aanmeldingsinformatie bijgehouden. (Indien u dus uw wachtwoord wijzigt op het schoolnetwerk, zult u op uw laptop nog steeds uw oude wachtwoord moeten gebruiken, totdat u uw laptop opnieuw aansluit op het schoolnetwerk en u daar aanmeldt met uw nieuwe wachtwoord.)

6.3.7.2. Een opmerking bij installaties met het image voor USB-stick / blu-rayschijf

Na een installaties met het image voor USB-stick / blu-rayschijf, zal het bestand /etc/apt/sources.list enkel dat medium vermelden als pakketbron. Indien u over een internetverbinding beschikt, raden we u ten stelligste aan om aan het bestand de volgende regels toe te voegen, zodat eventuele veiligheidsupdates toegepast kunnen worden:

deb http://deb.debian.org/debian/ bookworm main 
deb http://security.debian.org bookworm-security main 
6.3.7.3. Een aantekening bij installaties via cd

Een netinst-installatie (het type installatie dat onze cd aanbiedt) haalt sommige pakketten op van de cd en de rest van het net. Hoeveel pakketten er via het net opgehaald worden varieert naargelang het gekozen profiel, maar het volume blijft beneden 1 gigabyte (tenzij u gekozen heeft om alle mogelijke grafische werkomgevingen te installeren). Eens u de hoofdserver geïnstalleerd heeft (of het een pure hoofdserver of een combiserver is, maakt niet uit), zal voor de installatie van andere computers gebruik gemaakt worden van diens proxyserver en zo vermijden dat hetzelfde pakket verschillende keren gedownload wordt.

6.3.8. Installaties vanaf een USB-stick en niet vanaf een cd / blu-rayschijf

Het is mogelijk om een ISO-image voor cd/BD rechtstreeks te kopiëren naar een USB-stick (ook soms aangeduid met de term 'USB flash drive') en hiervan op te starten. Geef eenvoudigweg volgende opdracht, waarbij u de bestandsnaam en de naam aanpast aan uw specifieke situatie:

sudo dd if=debian-edu-amd64-XXX.iso of=/dev/sdX bs=1M

Om de waarde van X te bepalen, moet u het volgende commando uitvoeren voor en na het plaatsen van het USB-apparaat in de USB-poort:

lsblk -p

Merk op dat het kopiëren heel wat tijd in beslag zal nemen.

Afhankelijk van het gebruikte image, zal de USB-stick zich gedragen als een cd of een blu-rayschijf.

6.3.9. Installeren en opstarten over het netwerk via PXE

Deze installatiemethode vereist dat u een werkende hoofdserver heeft. Wanneer clients over het netwerk opstarten, wordt een iPXE-menu getoond met installatie- en opstartopties. Indien de installatie via PXE mislukt met de foutmelding dat het bestand XXX.bin ontbreekt, dan is de meest waarschijnlijke oorzaak te vinden in het feit dat voor het functioneren van de netwerkkaart van de client niet-vrije fabrieksprogrammatuur nodig is. In een dergelijk geval moet het initrd van het installatieprogramma van Debian aangepast worden. Dit doet u door het uitvoeren van de volgende opdracht:

/usr/share/debian-edu-config/tools/pxe-addfirmware

op de server.

Indien u koos voor een Hoofdserver met uitsluitend het hoofdserverprofiel, ziet het menu van iPXE er zo uit:

Het iPXE-menu zonder LTSP-items

Met het profiel van LTSP-server, ziet het menu van iPXE er zo uit:

Het iPXE-menu met LTSP-items

Een dergelijke opstelling laat toe om ook schijfloze werkstations en thin clients over het hoofdnetwerk op te starten. Anders dan het geval is bij werkstations en afzonderlijke LTSP-servers, moet u schijfloze werkstations niet ingeven in LDAP met GOsa².

U vindt bijkomende informatie over netwerkclients in het hoofdstuk HowTo voor netwerkclients.

6.3.10. PXE-installaties aanpassen

Een PXE-installatie geeft via een bestand een aantal configuratieopties door aan het installatieprogramma van Debian. Dit bestand met configuratieopties kan aangepast worden om de installatie van bijkomende pakketten te vragen.

Voeg aan het bestand tjener:/etc/debian-edu/www/debian-edu-install.dat een regel toe in de zin van

d-i    pkgsel/include string my-extra-package(s)

Een PXE-installatie gebruikt het bestand /etc/debian-edu/www/debian-edu-install.dat dat de voorgeprogrammeerde configuratieopties bevat. Door dit bestand te bewerken kunt u het voorgeprogrammeerde installatieproces beïnvloeden en op die manier vermijden dat u bij een installatie over het netwerk een groter aantal vragen moet beantwoorden. U kunt dit effect ook nog op een andere manier bereiken, namelijk door extra instellingen op te nemen in de bestanden /etc/debian-edu/pxeinstall.conf en /etc/debian-edu/www/debian-edu-install.dat.local. Nadien moet u de opdracht /usr/sbin/debian-edu-pxeinstall uitvoeren om de gegenereerde bestanden bij te werken.

Bijkomende informatie vindt u in de handleiding bij het installatieprogramma van Debian.

Om de proxyserver uit te schakelen of diens gedrag aan te passen bij een installatie via PXE, moet u in het bestand tjener:/etc/debian-edu/www/debian-edu-install.dat de regels met mirror/http/proxy, mirror/ftp/proxy en preseed/early_command aanpassen. Om het gebruik van een proxyserver uit te schakelen, zet u een '#' aan het begin van de eerste twee regels en moet u het gedeelte met de tekst 'export http_proxy="http://webcache:3128"; ' wissen in de laatste regel.

Sommige instellingen kunnen niet voorgeprogrammeerd worden omdat het installatieprogramma ze al nodig heeft vooraleer het bestand met voorgeprogrammeerde opties opgehaald wordt. Taalkeuze, toetsenbordindeling en grafische werkomgeving zijn voorbeelden van dergelijke instellingen. Indien u de standaardinstellingen wilt wijzigen, moet u op de hoofdserver het bestand voor het iPXE-menu /srv/tftp/ltsp/ltsp.ipxe bewerken.

6.3.11. Images op maat

Zelf een installatie-cd, -dvd of -blu-ray-schijf op maat aanmaken hoeft helemaal niet moeilijk te zijn, aangezien we het installatieprogramma van Debian gebruiken met zijn modulair ontwerp en nog andere fijne eigenschappen. In een bestand met voorgeprogrammeerde configuratieopties kunt u de antwoorden meegeven op vragen die u anders tijdens het installatieproces zouden gesteld worden.

Het enige wat u dus moet doen is een bestand maken met uw voorgeprogrammeerde configuratieopties (hoe u dit doet, wordt uitgelegd in de bijlage bij de installatiehandleiding voor Debian) en uw eigen cd/dvd op maat aanmaken.

6.4. Rondleiding langs enkele schermafdrukken

Een installatie in tekstmodus is functioneel identiek aan een installatie in grafische modus. Ze verschillen enkel van uitzicht. In de grafische modus kunt u de muis gebruiken en natuurlijk ziet die er ook mooier en moderner uit. Tenzij de apparatuur problemen zou geven, is er geen enkele reden om de grafische modus niet te gebruiken.

Hier volgt dus een rondleiding langs enkele schermafdrukken van een 64-bits grafische installatie van Hoofdserver + Werkstation + LTSP-server (in BIOS-modus), van het scherm dat u te zien krijgt als u de hoofdserver voor het eerst opstart, en van het scherm dat u ziet bij het opstarten via PXE van een computer op het netwerk voor LTSP-clients (scherm van een thin-clientsessie - en login-scherm nadat rechts de sessie aangeklikt werd).

Opstartmenu van het 64-bits installatieprogramma (BIOS-modus)

Een taal selecteren

Uw locatie selecteren

Het toetsenbord configureren

Netwerkhardware detecteren

Netwerk handmatig configureren

IP-adres configureren

Gareway configureren

Nameserver configureren

Toe te passen Debian Edu profiel(en) kiezen

De automatische schijfindeling gebruiken: neen

De automatische schijfindeling gebruiken: ja

Meewerken aan het onderzoek naar het gebruik van pakketten: neen

Meewerken aan het onderzoek naar het gebruik van pakketten: ja

Wachtwoord voor de root-gebruiker instellen

De volledige naam van de eerste gebruiker instellen

De gebruikersnaam van de eerste gebruiker instellen

Het wachtwoord voor de eerste gebruiker instellen

Installatie is voltooid

Lightdm-aanmeldscherm

XFCE grafische werkomgeving met browservenster

Xfce grafische werkomgeving

Thin-client-welkomstscherm

Thin-client-loginscherm

7. Aan de slag

7.1. Wat u zeker moet doen om aan de slag te kunnen gaan

Tijdens de installatie van de hoofdserver heeft u een eerste gebruikersaccount aangemaakt. In het vervolg zullen we die 'de eerste gebruiker' noemen. Het gaat om een speciaal account, omdat de gebruiksrechten van zijn persoonlijke map ingesteld werden op 700 (daarom moet hij de opdracht chmod o+x ~ geven om zijn persoonlijke webpagina's toegankelijk te maken), en omdat hij de mogelijkheid heeft om via het commando sudo systeembeheerder te worden.

Raadpleeg de informatie over de voor Debian Edu specifieke configuratie van de bestandssysteemtoegang voor u begint met het toevoegen van gebruikers. Pas ze zo nodig aan overeenkomstig het beleid op uw locatie.

De eerste dingen die u als eerste gebruiker te doen staan na de installatie:

  1. Inloggen op de server.

  2. Gebruikers toevoegen met GOsa².

  3. Werkstations toevoegen met GOsa².

Hierna gaan we meer in detail in op het toevoegen van gebruikers en werkstations. Lees dus alstublieft dit hoofdstuk volledig. Het beschrijft hoe u deze onontbeerlijke stappen op een correcte manier kunt zetten, en het behandelt ook nog andere taken die iedereen wellicht zal moeten uitvoeren.

Elders in deze handleiding is hierover meer informatie te vinden: iedereen die vertrouwd is met eerdere uitgaves zou het hoofdstuk Nieuwe functionaliteit in Bookworm moeten lezen. En wie van een eerdere versie opwaardeert, moet zeker het hoofdstuk Opwaarderingen lezen.

Indien het algemeen uitgaand DNS-verkeer voor uw netwerk geblokkeerd wordt en indien u een specifieke DNS-server nodig heeft om internetadressen op te zoeken, dient u de DNS-server de instructie te geven om die server te gebruiken als zijn 'verzender' (forwarder). Pas daartoe het bestand /etc/bind/named.conf.options aan en vermeld daarin het IP-adres van de DNS-server die gebruikt moet worden.

Het hoofdstuk HowTo geeft nog meer handige wenken en behandelt ook enkele veel voorkomende vragen.

7.1.1. De diensten op de hoofdserver

Op de hoofdserver zijn verschillende diensten actief die via een handige webinterface beheerd kunnen worden. Hierna behandelen we elk van deze diensten afzonderlijk.

7.2. Inleiding in GOsa²

GOsa² is een op het web gebaseerd hulpmiddel voor het beheer van een aantal belangrijke onderdelen van uw configuratie van Debian Edu. Met GOsa² doet u het beheer (toevoegen, wijzigen of verwijderen) van de volgende hoofdgroepen:

  • Gebruikersbeheer

  • Het beheer van groepen

  • Het beheer van de NIS Netgroup

  • Het beheer van machines

  • Het DNS-beheer

  • Het DHCP-beheer

Om het programma GOsa² te kunnen gebruiken is de hoofdserver van Skolelinux nodig en een (client)systeem waarop een webbrowser geïnstalleerd staat. Dit kan de hoofdserver zelf zijn indien u hem als een zogenaamde gecombineerde server (hoofdserver + LTSP-server + werkstation) hebt geïnstalleerd.

Indien u (misschien onbedoeld) een zuiver hoofdserver-profiel geïnstalleerd heeft en niet onmiddellijk een clientcomputer met een webbrowser bij de hand hebt, kunt u er gemakkelijk een minimale grafische werkomgeving op installeren. Als eerste gebruiker (de gebruiker die u aanmaakte tijdens de installatie van de hoofdserver) geeft u daartoe aan de commandoregel in een (niet-grafische) shell de volgende reeks opdrachten:

  $ sudo apt update
  $ sudo apt install task-desktop-xfce lightdm education-menus
  $ sudo service lightdm start

Geef uw webbrowser het volgende adres (URL) op: https://www/gosa. Dit opent het toegangsscherm voor GOsa². Meld u daar aan als de eerste gebruiker.

  • Indien u een vers geïnstalleerde computer met Debian Edu Bookworm gebruikt, zal de browser het certificaat van de site kennen.

  • Anders krijgt u een foutmelding over een ongeldig SSL-certificaat. Indien u er zeker van bent dat u op dat ogenblik de enige gebruiker bent op het netwerk, kunt u de browser gerust opdragen de foutmelding te negeren en het certificaat te accepteren.

7.2.1. Zich aanmelden bij GOsa² en de overzichtspagina

Overzichtspagina van GOsa² na het aanmelden als de eerste gebruiker

Nadat u zich bij GOsa² aangemeld heeft, krijgt u de overzichtspagina van het programma.

Vervolgens kunt u in het menu of via het aanklikken van een icoon op de overzichtspagina een taak kiezen. Voor navigatiedoeleinden raden we u het gebruik aan van het menu aan de linkerkant van het scherm, aangezien dat zichtbaar blijft zolang u met de beheerstaken bezig bent, ongeacht op welke specifieke pagina van GOsa² u zich bevindt.

In Debian Edu wordt informatie over accounts, groepen en systemen opgeslagen in een register van LDAP. Deze gegevens worden niet enkel door de hoofdserver gebruikt, maar ook door de (schijfloze) werkstations, de LTSP-servers en andere machines op het netwerk. Dankzij LDAP moeten de accountgegevens van studenten, leerkrachten, enz., slechts eenmaal ingevoerd worden. Nadat de gegevens in LDAP ingevoerd zijn, staat die informatie ter beschikking van alle systemen op het volledige Skolelinux-netwerk.

GOsa² is een hulpmiddel voor beheerders dat gebruik maakt van LDAP om informatie op te slaan en in een hiërarchisch opgebouwde departementale structuur te ordenen. Binnen elk 'departement' kunt u gebruikersaccounts, groepen, systemen, netgroepen, enzoverder toevoegen. Rekening houdend met de organisatiestructuur van uw instelling, kunt u gebruik maken van het departementaal gestructureerde GOsa²/LDAP om die organisatiestructuur over te nemen in de gegevensboom van LDAP op de hoofdserver van Debian Edu.

Een standaardinstallatie van een hoofdserver van Debian Edu kent momenteel, naast het basale niveau van de LDAP-boomstructuur, twee 'departementen': Leerkrachten en Studenten. Het is de bedoeling om de accounts voor studenten in het departement 'Studenten' aan te maken en die voor leerkrachten in het departement 'Leerkrachten'; systemen (servers, werkstations, printers, enzovoort) worden momenteel ingevoerd op het basisniveau. U kunt zelf een structuurschema ontwikkelen om deze structuur aan uw eigen behoeften aan te passen. (In het hoofdstuk Howto/Systeembeheer voor gevorderden van deze handleiding wordt bij wijze van voorbeeld uitgelegd hoe u gebruikers in jaargroepen kunt indelen met voor iedere groep met de groep gedeelde persoonlijke mappen.)

Afhankelijk van de taak waaraan u wenst te werken (gebruikersbeheer, groepsbeheer, machinebeheer, enzovoort), zal GOsa² u een aangepast zicht geven op het gekozen departement (of op het basale niveau).

7.3. Gebruikersbeheer met GOsa²

Klik eerst op 'Users' (Gebruikers) in het linker navigatiemenu. De rechterzijde van het scherm wijzigt en toont nu een tabel met de mappen 'Students' (Studenten) en 'Teachers' (Leerkrachten) en het account van beheerder van GOsa² (de eerst aangemaakte gebruiker). Boven deze tabel ziet u een veld met de naam Base. Hiermee kunt u navigeren in de boomstructuur (beweeg de muis over die plaats en u krijgt een uitklapmenu) en kunt u een basismap kiezen voor de geplande werkzaamheden (bijvoorbeeld een nieuwe gebruiker toevoegen).

7.3.1. Gebruikers toevoegen

Naast dit navigatie-item uit de boomstructuur ziet u het menu 'Actions' (Acties). Beweeg de muis over dit item en op het scherm wordt een submenu zichtbaar; kies hier 'Create' (Aanmaken) en vervolgens 'User' (Gebruiker). De assistent begeleidt u bij het aanmaken van het gebruikersaccount.

  • De belangrijkste in te voeren gegevens zijn het te gebruiken sjabloon (newstudent (nieuwe student) of newteacher (nieuwe leerkracht)) en de volledige naam van de nieuwe gebruiker (zie de afbeelding).

  • Terwijl u voortgaat in de assistent, zult u merken dat GOsa² een gebruikersnaam heeft aangemaakt, afgeleid van de echte naam van de gebruiker. Het programma maakte automatisch een gebruikersnaam aan die nog niet in gebruik is. Dit betekent dat meerdere gebruikers met een volledig identieke naam geen enkel probleem vormen voor GOsa². Wees wel attent voor het feit dat GOsa² soms een ongeldige gebruikersnaam aanmaakt in het geval de echte naam niet-ASCII tekens bevat.

  • Indien u niet gelukkig bent met de aangemaakte gebruikersnaam, kunt u in het uitklappend kader een ander voorstel kiezen. Maar u hebt hier in de assistent niet de mogelijkheid om vrij een gebruikersnaam te kiezen (indien u de mogelijkheid wenst te hebben om de voorgestelde gebruikersnaam te bewerken, moet u in een editor het bestand /etc/gosa/gosa.conf openen en de regel allowUIDProposalModification="true" toevoegen als bijkomende optie in de sectie 'location definition'.)

  • Als u de assistent doorlopen heeft, toont GOsa² u een scherm met de fiche van de nieuwe gebruiker. Gebruik de tabbladen bovenaan om de ingevulde velden na te kijken.

Nadat u de nieuwe gebruiker heeft aangemaakt, klikt u op de knop 'Ok' in de rechterbenedenhoek. (Op dit ogenblik moet u zich nog geen zorgen maken over de velden die door de assistent niet ingevuld werden.)

Als laatste stap zal GOsa² u om een wachtwoord voor de nieuwe gebruiker vragen. Tik het tweemaal in en klik dan op de knop 'Set password' (Wachtwoord instellen) in de rechterbenedenhoek. Bepaalde lettertekens kunnen niet toegestaan zijn voor gebruik in een wachtwoord.

Als alles naar behoren verliep, kunt u de nieuwe gebruiker nu zien staan in de tabel die de lijst van gebruikers weergeeft. Vanaf nu is het mogelijk om zich met die gebruikersnaam op uw netwerk aan te melden vanaf elke machine van Skolelinux.

7.3.2. Opzoeken, wijzigen en verwijderen van gebruikers

Filterkader

Om een gebruiker te wissen of zijn gegevens aan te passen, bladert u met GOsa² door de lijst van gebruikers op uw systeem. In het midden van uw scherm kunt u het 'Filter'-kader openen. Dit is een zoekinstrument van GOsa². Indien u zich de exacte plaats van de gebruiker binnen uw boomstructuur niet meer herinnert, daalt u af naar het basisniveau van de GOsa²/LDAP boomstructuur en voert u daar de zoekopdracht in met als aangevinkte optie 'Search in subtrees' (zoeken in sub-bomen).

Als u het 'Filter'-kader gebruikt, wordt het resultaat onmiddellijk zichtbaar middenin de tekst met de uitdraai van de tabel. Iedere regel stelt een gebruikersaccount voor en de meest rechtse items op iedere regel zijn kleine icoontjes die mogelijke acties symboliseren: de gegevens van deze gebruiker bewerken, het account blokkeren, een wachtwoord instellen en de gebruiker verwijderen.

U krijgt een nieuw scherm, waarin u de informatie over de gebruiker rechtstreeks kunt bewerken, zijn wachtwoord kunt wijzigen en wijzigingen kunt aanbrengen in de lijst van groepen waarvan hij lid is.

Gebruikersgegevens bewerken

7.3.3. Wachtwoorden instellen

Studenten kunnen hun eigen wachtwoord wijzigen door zich met hun eigen gebruikersnaam bij GOsa² aan te melden. Om de toegang tot GOsa² te vergemakkelijken is een item Gosa te vinden in het menu Systeem (of Systeeminstellingen) van het bureaublad. Een aangemelde student krijgt een heel minimale versie van GOsa² te zien, die hem enkel toegang verschaft tot de gegevens betreffende zijn eigen account en tot het dialoogvenster wachtwoord instellen.

Leerkrachten die zich met hun eigen account aanmelden bij GOsa² hebben bijzondere rechten. Ze krijgen een meer uitgebreide versie van GOsa² te zien en kunnen het wachtwoord van alle studenten wijzigen. Dit kan erg handig zijn tijdens de les.

Als beheerder een nieuw wachtwoord instellen voor een gebruiker

  1. zoek, zoals hiervoor uitgelegd, de gebruiker op wiens wachtwoord gewijzigd moet worden

  2. op het einde van de regel waarin u de gebruikersnaam terugvindt, klikt u op het symbool van de sleutel

  3. op het scherm dat daarop verschijnt, kunt u een nieuw door uzelf gekozen wachtwoord instellen

Een gebruikerswachtwoord aanmaken

Wees u bewust van de mogelijke veiligheidsrisico's bij het gebruiken van gemakkelijk te raden wachtwoorden!

7.3.4. Geavanceerd gebruikersbeheer

Met GOsa² is het mogelijk om in een keer een heleboel gebruikersaccounts aan te maken door middel van een CSV-bestand, dat u kunt aanmaken met behulp van elk goed rekenbladprogramma (bijvoorbeeld localc). De gegevens van minstens de volgende velden moeten ingevuld worden: gebruikersidentificatie (uid), familienaam (sn), voornaam (givenName) en wachtwoord. Draag er zorg voor dat er geen uid-velden zijn met identieke inhoud. Daarbij moet u ook rekening houden met de inhoud van de reeds in LDAP aanwezige uid-velden (een overzicht daarvan kunt u krijgen door aan de commandoregel de opdracht getent passwd | grep tjener/home | cut -d':' -f1 in te geven).

Zo een CSV-bestand moet het volgende formaat hebben (wat dat betreft gedraagt GOsa² zich niet echt tolerant):

  • Gebruik ',' als scheidingsteken tussen velden

  • Gebruik geen aanhalingstekens

  • Het CSV-bestand mag geen kopregel bevatten (waarin gewoonlijk de kolomnamen staan)

  • De volgorde van de velden heeft geen belang. De velden kunnen gedefinieerd worden op het ogenblik dat u de gegevens in GOsa² importeert

Het importeren omvat volgende stappen:

  1. klik in het linkernavigatiemenu op de link naar 'LDAP tools' (LDAP-hulpmiddelen)

  2. klik in het rechterscherm op het tabblad 'Import' (Importeren)

  3. blader door uw lokale harde schijf en selecteer het CSV-bestand met de lijst van te importeren gebruikers

  4. kies uit de beschikbare sjablonen datgene wat bij het importeren gebruikt moet worden (bijvoorbeeld NewTeacher (Nieuwe Leerkracht) of NewStudent (Nieuwe Student))

  5. klik in de rechterbenedenhoek op de knop 'Import' (Importeren)

U doet er goed aan eerst een test te doen met een CSV-bestand waarmee u enkele fictieve gebruikers aanmaakt, die u nadien terug kunt verwijderen.

Hetzelfde geldt voor de module voor wachtwoordbeheer, die het mogelijk maakt om een heleboel wachtwoorden opnieuw in te stellen met behulp van een CSV-bestand of om nieuwe wachtwoorden te genereren voor gebruikers die behoren tot een bijzondere onderafdeling binnen LDAP.

Wachtwoorden herinstellen

7.3.4.1. Gebruikers toevoegen via de commandoregel

Gebruikersaccounts kunnen ook via de commandoregel toegevoegd worden met het hulpmiddel ldap-createuser-krb5; raadpleeg de documentatie in de HowTo voor beheerders

7.4. Het beheer van groepen met GOsa²

een groep aanmaken

een groep aanmaken

Het beheer van groepen is erg vergelijkbaar met het beheer van gebruikers.

Per groep kunt u een naam en een omschrijving ingeven. Zorg ervoor om in de LDAP-boom het juiste niveau te kiezen wanneer u een nieuwe groep aanmaakt.

Om gebruikers toe te voegen aan een nieuw aangemaakte groep, moet u terugkeren naar de lijst van gebruikers. Daar zult u naar alle waarschijnlijkheid het filterkader gebruiken om gebruikers te selecteren. Let ook op het niveau binnen de LDAP-boom.

Groepen aangemaakt met groepsbeheer, zijn reguliere unix-groepen. U kunt ze dus ook gebruiken voor het beheer van bestandsrechten.

7.5. Het beheer van machines met GOsa²

Via het beheer van machines kunt u in uw netwerk van Debian Edu gewoonweg alle met het netwerk verbonden apparaten beheren. Elke machine die u met GOsa² toevoegt aan het register van LDAP heeft een naam, een IP-adres, een MAC-adres en een domeinnaam (gewoonlijk is dat 'intern'). Voor een meer volledige beschrijving van de architectuur van het netwerk van Debian Edu, verwijzen we naar het hoofdstuk architectuur in deze handleiding.

In het geval van een gecombineerde hoofdserver werken schijfloze werkstations en thin clients vanzelf.

Werkstations met een harde schijf (met inbegrip van LTSP-servers) moeten toegevoegd worden met GOsa². Achter de schermen wordt zowel een machine-specifieke Kerberos Principal (een soort account) als een bijbehorend keytab-bestand (met een sleutel die als wachtwoord wordt gebruikt) gegenereerd; het keytab-bestand moet op het werkstation aanwezig zijn om de persoonlijke mappen van gebruikers te kunnen aankoppelen. Nadat het toegevoegde systeem opnieuw opgestart werd, moet u zich er als systeembeheerder op aanmelden en het commando /usr/share/debian-edu-config/tools/copy-host-keytab uitvoeren.

Om een Principal en een keytab-bestand aan te maken voor een systeem dat reeds met GOsa² geconfigureerd is, moet u als systeembeheerder inloggen op de hoofdserver en het volgende commando uitvoeren

/usr/share/debian-edu-config/tools/gosa-modify-host <hostname> <IP>

Opmerking: het creëren van een keytab voor het systeem is mogelijk voor systemen van het type werkstation, server of terminal, maar niet voor deze van het type netdevice (netwerkapparaat). Raadpleeg het hoofdstuk HowTo voor netwerkclients voor NFS-configuratieopties.

Om een machine toe te voegen, gebruikt u het hoofdmenu van GOsa² en daarin kiest u achtereenvolgens systeem, toevoegen. Er wordt verwacht dat de naam van de machine een geldige niet-gekwalificeerde computernaam is. Voeg hier niet de domeinnaam toe. U kunt een IP-adres/computernaam gebruiken uit het vooraf geconfigureerde adresbereik 10.0.0.0/8. Momenteel gebruiken we slechts twee vooraf gedefinieerde vaste adressen: 10.0.2.2 (tjener) en 10.0.0.1 (gateway). Het adresbereik van 10.0.16.20 tot 10.0.31.254 (ruwweg het bereik 10.0.16.0/20 of 4000 computers) zijn gereserveerd voor DHCP en worden dynamisch toegewezen.

Om een apparaat met een MAC-adres 52:54:00:12:34:10 in GOsa² een vast IP-adres toe te kennen, moet u het MAC-adres ingeven, evenals de computernaam en het IP-adres. U kunt ook de knop IP voorstellen aanklikken, waarop u het eerste vrije adres in het bereik 10.0.0.0/8 voorgesteld wordt. Voor de eerste machine die u op deze wijze toevoegt, zal dat hoogstwaarschijnlijk 10.0.0.2 zijn. Het is goed om u eerst een idee te vormen over uw netwerk. U kunt bijvoorbeeld het bereik 10.0.0.x met x>10 en x<50 voorbehouden voor servers, en x>100 voor werkstations. Vergeet niet het zopas toegevoegde apparaat te activeren. Met uitzondering van de hoofdserver zal het programma aan alle apparaten een passend icoon koppelen.

Als de machines opgestart werden als thin-clients of schijfloze werkstations of geïnstalleerd werden met een van de genetwerkte profielen, kunt u het script sitesummary2ldapdhcp gebruiken om deze machines automatisch in GOsa² in te voeren. Voor eenvoudige machines werkt dit vanzelf. Voor machines met meer dan één mac-adres moet datgene wat daadwerkelijk gebruikt wordt, gekozen worden. De opdracht sitesummary2ldapdhcp -h toont informatie over het gebruik. Merk op dat de IP-adressen die u te zien krijgt na het gebruik van sitesummary2ldapdhcp, binnen het bereik van de dynamische IP-adressen vallen. Nadien kunt u evenwel deze systemen aanpassen om ze beter te doen aansluiten bij de behoeften van uw netwerk: u kunt ze zo nodig hernoemen, u kunt DHCP en DNS activeren en u kunt ze desgewenst aan netgroepen toevoegen (zie de schermafdruk hieronder voor de aanbevolen netgroepen). Nadien moet u het systeem herstarten. De volgende schermafdrukken tonen hoe dit eruit ziet in de praktijk:

root@tjener:~# sitesummary2ldapdhcp -a -i ether-22:11:33:44:55:ff
info: Create GOsa machine for am-2211334455ff.intern [10.0.16.21] id ether-22:11:33:44:55:ff.
 
Enter password if you want to activate these changes, and ^c to abort.
 
Connecting to LDAP as cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no
enter password: ********
root@tjener:~#

Een lijst van systemen in GOsa²

Gegevens over een computer

Een computer aanpassen

Een netgroep toevoegen

Elk uur wordt een cronjob uitgevoerd om de DNS-informatie te actualiseren. Het commando su -c ldap2bind laat u toe om zelf de actualisering uit te lokken.

7.5.1. Machines zoeken en verwijderen

Machines zoeken en verwijderen gelijkt erg op gebruikers zoeken en verwijderen, zodat het niet nodig is om hier nogmaals op in te gaan.

7.5.2. Bestaande machines wijzigen / Beheer van netgroepen

Nadat u met behulp van GOsa² een machine hebt ingevoerd in de boomstructuur van LDAP, kunt u de kenmerken ervan wijzigen. U gebruikt daarvoor de zoekfunctie en klikt vervolgens op de naam van de machine (net zoals u bij gebruikers zou doen).

Het model dat voor de registratie van systemen gebruikt wordt, is gelijkaardig aan dat voor het bewerken van kenmerken van gebruikers, wat u reeds kent. Alleen hebben de velden in deze context een andere betekenis.

Een machine toevoegen aan een NetGroup (Netgroep) bijvoorbeeld, verandert voor die machine of voor de gebruikers die er zich op aanmelden, niets aan hun rechten op toegang tot bestanden en aan hun permissie om bepaalde opdrachten uit te voeren. Het legt daarentegen beperkingen op met betrekking tot de diensten die deze machine op de hoofdserver kan aanspreken.

De volgende NetGroups (Netgroepen) worden aangemaakt door de standaardinstallatie

  • all-hosts

  • cups-queue-autoflush-hosts

  • cups-queue-autoreenable-hosts

  • fsautoresize-hosts

  • ltsp-server-hosts

  • netblock-hosts

  • printer-hosts

  • server-hosts

  • shutdown-at-night-hosts

  • shutdown-at-night-wakeup-hosts-blacklist

  • workstation-hosts

Momenteel gebruiken we deze NetGroup-functionaliteit voor:

  • De grootte van partities te wijzigen (fsautoresize-hosts)

    • Bij plaatsgebrek wordt de grootte van LVM-partities automatisch aangepast voor machines van Debian Edu die tot deze groep behoren.

  • Computers 's nachts uit te zetten (shutdown-at-night-hosts and shutdown-at-night-wakeup-hosts-blacklist)

    • Machines van Debian Edu die tot deze groep behoren, zullen 's nachts automatisch uitgezet worden om energie te besparen.

  • Printers te beheren (cups-queue-autoflush-hosts and cups-queue-autoreenable-hosts)

    • Machines van Debian Edu die tot deze groepen behoren maken iedere nacht automatisch alle printerwachtrijen leeg en herstellen ieder uur de onklaar geraakte printerwachtrijen.

  • Internettoegang te blokkeren (netblock-hosts)

    • Machines van Debian Edu die tot deze groep behoren, krijgen enkel de toelating om verbinding te maken met machines op het lokale netwerk. Tijdens examens kan deze functionaliteit nuttig zijn in combinatie met restricties van de web-proxyserver.

8. Printerbeheer

Voor een gecentraliseerd printerbeheer gaat u met uw webbrowser naar het adres https://www:631. Dit is de normale interface voor het beheer van CUPS. Hiermee kunt u printers toevoegen/verwijderen/wijzigen en de printerwachtrijen opschonen. Standaard mag enkel de eerste gebruiker deze taken uitvoeren, maar dit kan aangepast worden door gebruikers toe te voegen aan de GOsa²-groep printer-admins.

8.1. Printers gebruiken die met werkstations verbonden zijn

Op een systeem met het profiel Werkstation wordt standaard het pakket p910nd geïnstalleerd.

  • Bewerk /etc/default/p910nd zoals hieronder (USB printer):

    • P910ND_OPTS=" -f /dev/usb/lp0"

    • P910ND_START=1

  • Configureer de printer via de webinterface https://www.intern:631. Selecteer netwerkprinter, type AppSocket/HP JetDirect (voor alle printers ongeacht merk of model) en stel socket://<werkstation-ip>:9100 in als de URI van de verbinding.

8.2. Netwerkprinters

Het is aanbevolen om alle functies om zichzelf aan te dienen uit te schakelen bij de gebruikte netwerkprinters. Wijs in plaats daarvan een vast IP-adres toe met GOsa² en configureer ze als AppSocket/HP JetDirect netwerkprinters.

9. Kloksynchronisatie

Debian Edu staat standaard ingesteld op het synchroon houden van de klok van alle machines op het netwerk. Maar dit houdt niet noodzakelijk in dat de tijd ook juist is. Om de tijd te actualiseren wordt NTP gebruikt. Standaard worden de klokken gesynchroniseerd met een externe tijdsbron. Dit kan er toe leiden dat machines de internetverbinding die ze daarvoor geopend hebben, blijven open houden.

Indien u een inbelverbinding of een ISDN-verbinding gebruikt en per minuut betaalt, moet u deze standaardinstelling aanpassen.

Om synchronisatie met een externe klok uit te schakelen, moet u op de hoofdserver het bestand /etc/ntp.conf aanpassen. Plaats een commentaarteken ('#') voor de server-items. Nadien moet u de NTP-server herstarten door als systeembeheerder de opdracht service ntp restart te geven. Om te weten of een machine tijdsinformatie opvraagt bij een externe klok, gebruikt u de opdracht ntpq -c lpeer.

10. Volle partities groter maken

Ten gevolge van een mogelijke bug in de automatische schijfindeling, kunnen sommige partities te vol zijn na installatie. Om die partities groter te maken, gebruikt u als systeembeheerder het commando debian-edu-fsautoresize -n. Raadpleeg voor bijkomende informatie de HowTo 'De grootte van partities aanpassen' in het hoofdstuk Systeembeheer HowTo.

11. Onderhoud

11.1. Programmatuur bijwerken

Deze paragraaf legt het gebruik van apt full-upgrade uit.

Het gebruik van apt is echt eenvoudig. Om een systeem bij te werken geeft u als systeembeheerder aan de commandoregel twee opdrachten: apt update (om de lijst van beschikbare pakketten bij te werken) en apt full-upgrade (om pakketten waarvoor een nieuwere versie beschikbaar is, op te waarderen).

Het is ook zinvol om tijdens het proces van opwaarderen het taalgebied in te stellen op C, wat voor een uitvoer in het Engels zorgt. In geval er zich problemen voordeden, heeft u zo bij het zoeken met een zoekmachine meer kans om resultaten te bekomen.

LC_ALL=C apt full-upgrade -y

Na de opwaardering van het pakket debian-edu-config, kunnen er gewijzigde Cfengine configuratiebestanden beschikbaar zijn. Voer ls -ltr /etc/cfengine3/debian-edu/ uit om na te gaan of dit het geval is. Om de wijzigingen toe te passen, moet u het commando LC_ALL=C cf-agent -D installation uitvoeren.

Na een opwaardering van de LTSP-server is het belangrijk om het commando debian-edu-ltsp-install --diskless_workstation yes uit te voeren om het SquashFS-image voor schijfloze clients gesynchroniseerd te houden.

Na een opwaardering naar een tussenrelease van een systeem met het profiel Hoofdserver of LTSP-Server, moet u het commando debian-edu-pxeinstall uitvoeren om de PXE-installatieomgeving bij te werken.

U doet er ook goed aan om cron-apt en apt-listchanges te installeren en ze zo te configureren dat ze e-mail verzenden naar een adres waarvan u de berichten regelmatig leest.

Eens per dag zal cron-apt u via e-mail inlichten over pakketten die opgewaardeerd kunnen worden. Het waardeert ze niet zelf op, maar gaat ze wel zelf ophalen (meestal 's nachts). Zo moet u niet wachten tot ze opgehaald zijn wanneer u de opdracht apt full-upgrade uitvoert.

Indien u dit verkiest, kunt u het systeem gemakkelijk zelf automatisch de nodige opwaarderingen laten uitvoeren. Daarvoor dient u enkel het pakket unattended-upgrades te installeren en te configureren, zoals uiteengezet wordt in wiki.debian.org/UnattendedUpgrades.

Het pakket apt-listchanges kan u via e-mail de toevoegingen aan het logboek changelog opsturen, of ze u anders in het terminalvenster tonen bij het uitvoeren van de opdracht apt.

11.1.1. Op de hoogte blijven van beveiligingsbijwerkingen

Het uitvoeren van cron-apt zoals hiervoor uitgelegd, is een goede manier om op de hoogte te blijven van beschikbare beveiligingsbijwerkingen voor op het systeem geïnstalleerde pakketten. Een andere manier om daarover op de hoogte te blijven is zich abonneren op de mailinglijst Debian security-announce. Dit heeft het voordeel dat u ook weet wat de beveiligingsbijwerking precies inhoudt. Het nadeel (vergeleken met cron-apt) is dat u ook geïnformeerd wordt over bijwerkingen voor pakketten die niet geïnstalleerd zijn op uw systeem.

11.2. Reservekopieën beheren

Voor het beheer van reservekopieën gaat u met de browser naar het adres https://www/slbackup-php. Denk eraan dat u deze site via SSL moet benaderen, aangezien u er het beheerderswachtwoord moet invoeren. Een verbinding tot stand brengen met dat adres zonder gebruik te maken van SSL lukt niet.

Noot: de site zal enkel functioneren als u tijdelijk toelaat dat de systeembeheerder zich met SSH aanmeldt op de server voor reservekopieën, welke standaard de hoofdserver (tjener.intern) is.

Standaard worden reservekopieën van /skole/tjener/home0, /etc/, /root/.svk en LDAP opgeslagen in de map /skole/backup, die als aparte partitie wordt beheerd door LVM. Indien u genoeg heeft aan een reservekopie van die bestanden (voor het geval u er een zou wissen), dan sluit deze standaardinstelling aan bij uw behoeften.

U dient te beseffen dat dit model van reservekopieën maken geen bescherming biedt tegen gegevensverlies ten gevolge van een kapotte harde schijf.

Indien u de reservekopieën wilt bewaren op een externe server, op een bandstation (tape drive) of op een andere harde schijf, dan moet u de bestaande configuratie wat aanpassen.

Indien u ineens een hele map wilt terugzetten, dan gebruikt u best de volgende opdracht aan de commandoregel:

$ sudo rdiff-backup -r <date>  \
   /skole/backup/tjener/skole/tjener/home0/user \
   /skole/tjener/home0/user_<date>

Dit plaatst de inhoud van /skole/tjener/home0/user van <datum> in de map /skole/tjener/home0/user_<datum>

Indien u slechts één enkel bestand wenst terug te zetten, dan kunt u dat bestand (in de passende versie) met behulp van de webinterface selecteren en terughalen.

Indien u oudere reservekopieën wenst te wissen, kies dan in het menu op de webpagina van de back-updienst het item 'Maintenance' (Onderhoud). Geef vervolgens op welke de oudste back-up is die u wenst te behouden:

slbackup-php-onderhoud

11.3. Servers opvolgen

11.3.1. Munin

Munin, het systeem voor het opvolgen van tendensen, bevindt zich op het webadres https://www/munin/. Het geeft meetresultaten weer in verband met de toestand van het systeem, opgemaakt per dag, per week, per maand, of op jaarbasis. Het biedt de systeembeheerder ook hulp bij het zoeken naar de oorzaak van knelpunten of problemen in het systeem.

Een lijst van machines die opgevolgd worden met Munin wordt automatisch gegenereerd op basis van de lijst van computers die rapporteren aan sitesummary. Alle computers waarop het pakket munin-node geïnstalleerd werd, worden opgenomen in het opvolgingssysteem van Munin. Normaal gezien verloopt er een dag tussen de installatie van een machine en het moment waarop de opvolging ervan door Munin begint. Dit houdt verband met de volgorde waarin crontaken uitgevoerd worden. Om dit proces te versnellen geeft u op de sitesummary-server (gewoonlijk de hoofdserver) als systeembeheerder de opdracht sitesummary-update-munin. Daardoor wordt het bestand /etc/munin/munin.conf geactualiseerd.

Welk geheel van metingen uitgevoerd moet worden, wordt op elke machine automatisch gegenereerd met het programma munin-node-configure, dat nagaat welke plug-ins er in /usr/share/munin/plugins/ aanwezig zijn en dan een symbolische koppeling maakt in /etc/munin/plugins/ naar die welke relevant zijn.

Meer informatie over Munin is te vinden op https://munin-monitoring.org/.

11.3.2. Icinga

Icinga, een gereedschap voor het opvolgen van diensten en systemen, is te vinden op https://www/icingaweb2/. Welke machines en diensten opgevolgd worden, wordt automatisch gegenereerd op basis van de informatie die door het sitesummary-systeem verzameld wordt. Machines met het profiel Hoofdserver of LTSP-server krijgen een volledige opvolging. Werkstations en thin clients krijgen een eenvoudige opvolging. Om voor een bepaald werkstation een volledige opvolging mogelijk te maken moet u er het pakket nagios-nrpe-server op installeren.

Standaard zal Icinga geen e-mailberichten versturen. Dit kan veranderd worden door de tekst notify-by-nothing in het bestand /etc/icinga/sitesummary-template-contacts.cfg te vervangen door host-notify-by-email en notify-by-email.

Het configuratiebestand van Icinga is /etc/icinga/sitesummary.cfg. De crontaak sitesummary genereert het bestand /var/lib/sitesummary/icinga-generated.cfg dat een lijst bevat van op te volgen machines en diensten.

Aan het bestand /var/lib/sitesummary/icinga-generated.cfg.post kunt u bijkomende controles toevoegen welke door Icinga moeten uitgevoerd worden, zodat ze ook toegevoegd worden aan het gegenereerde bestand.

Informatie over Icinga vindt u op http://www.icinga.com/ of in het pakket icinga-doc.

11.3.2.1. Gebruikelijke waarschuwingen door Icinga en hoe ermee om te gaan

Hier volgen instructies voor de manier waarop u met de meest voorkomende waarschuwingen van Icinga moet omgaan.

11.3.2.1.1. DISK CRITICAL - free space: /usr 309 MB (5% inode=47%):

De partitie (/usr/ in het geval van het voorbeeld) is te vol. In het algemeen zijn er twee mogelijkheden om hiermee om te gaan: (1) een aantal bestanden wissen, of (2) de partitie groter maken. Indien het de partitie /var/ betreft, kunt u een aantal bestanden wissen door de cache van APT leeg te maken. Hiervoor gebruikt u de opdracht apt clean. Indien er nog ruimte beschikbaar is in de groep van schijven die door LVM beheerd worden, kunt u grotere partities bekomen met het programma debian-edu-fsautoresize. Om er voor te zorgen dat dit programma ieder uur automatisch uitgevoerd wordt, voegt u de computer in kwestie toe aan de netgroep fsautoresize-hosts.

11.3.2.1.2. APT CRITICAL: 13 packages available for upgrade (13 critical updates).

Er zijn nieuwe pakketten voor opwaardering beschikbaar. De cruciale ervan zijn meestal beveiligingsupdates. Om de opwaardering door te voeren geeft u in een terminalvenster als systeembeheerder de opdracht apt upgrade && apt full-upgrade. U kunt zich ook via SSH aanmelden en vervolgens dezelfde opdracht geven.

Indien u verkiest om pakketten niet manueel op te waarderen en erop vertrouwt dat Debian goed zal omgaan met nieuwere versies van pakketten, kunt u het pakket unattended-upgrades instellen op het iedere nacht automatisch opwaarderen van alle pakketten met recentere versies. Maar LTSP-chroots worden hiermee niet opgewaardeerd.

11.3.2.1.3. WARNING - Reboot required : running kernel = 2.6.32-37.81.0, installed kernel = 2.6.32-38.83.0

De kernel die momenteel gebruikt wordt is ouder dan degene die meest recent geïnstalleerd werd, De computer moet opnieuw opgestart worden om de meest recente kernel te activeren. Gewoonlijk is dit behoorlijk dringend, omdat een nieuwe kernelversie normaal gezien aan Debian Edu toegevoegd wordt om bepaalde beveiligingsproblemen op te lossen.

11.3.2.1.4. WARNING: CUPS queue size - 61

Er staan een hoop printeropdrachten te wachten in de wachtrij van CUPS. Een niet beschikbare printer Is meestal de oorzaak. Onklaar geraakte printerwachtrijen worden ieder uur opnieuw in gebruik gesteld op computers die lid zijn van de netgroep cups-queue-autoreenable-hosts. Voor die computers is normaal gesproken geen manuele tussenkomst vereist, Op computers die lid zijn van de netgroep cups-queue-autoflush-hosts worden printerwachtrijen iedere nacht leeggemaakt. Het is het overwegen waard om een computer met een lange printerwachtrij aan een van beide groepen toe te voegen.

11.3.3. Sitesummary

Sitesummary wordt gebruikt om de informatie die op iedere computer verzameld wordt, naar de hoofdserver te sturen. De verzamelde informatie staat in /var/lib/sitesummary/entries/. Met de scripts in /usr/lib/sitesummary/ kunnen rapporten opgemaakt worden.

Een eenvoudig rapport van Sitesummary zonder details kan geraadpleegd worden op https://www/sitesummary/.

Documentatie over Sitesummary is te vinden op https://wiki.debian.org/DebianEdu/HowTo/SiteSummary

11.4. Bijkomende informatie over het aanpassen van Debian Edu

Systeembeheerders kunnen nuttige bijkomende informatie over het aanpassen van Debian Edu vinden in het hoofdstuk Howto/Systeembeheer en in het hoofdstuk Howto/Systeembeheer voor gevorderden

12. Opwaarderingen

Een belangrijke waarschuwing voor u begint met het lezen van deze handleiding bij opwaarderingen: ogenblikkelijke bijwerkingen aan productieservers voert u volledig op eigen risico uit. Debian Edu/Skolelinux wordt u geleverd met ABSOLUUT GEEN ENKELE GARANTIE, voor zover dit toegestaan is binnen de van toepassing zijnde wetgeving.

Gelieve dit hoofdstuk en het hoofdstuk Nieuwe functionaliteit in Bookworm in deze handleiding eerst helemaal te lezen alvorens aan een poging tot opwaarderen te beginnen.

12.1. Algemene opmerkingen over opwaarderingen

Meestal verloopt het opwaarderen van Debian van één uitgave naar de volgende redelijk gemakkelijk. Jammer genoeg verloopt dit voor Debian Edu nog iets gecompliceerder, omdat we configuratiebestanden aanpassen op een manier die eigenlijk niet aangewezen is. Wij hebben echter de nodige stappen hieronder gedocumenteerd. (Meer informatie over hoe Debian Edu configuratiebestanden zou moeten wijzigen, vindt u in het bugrapport nummer 311188 van Debian.)

Over het algemeen is het opwaarderen van de servers moeilijker dan het opwaarderen van de werkstations en de opwaardering van de hoofdserver is het moeilijkst.

Indien u er zeker van wilt zijn dat na de opwaardering alles nog zal werken als voordien, moet u de opwaardering uittesten op een testsysteem dat u op dezelfde manier geconfigureerd heeft als uw machines die u voor productiedoeleinden gebruikt. Op een testsysteem kunt u de opwaardering zonder enig risico uittesten en zien of alles naar behoren functioneert.

Leest u zeker ook de informatie over de huidige stabiele uitgave van Debian in de installatiehandleiding ervoor.

Het kan ook verstandig zijn om nog even te wachten met opwaarderen en nog een aantal weken de voorlaatste stabiele uitgave (Oldstable) te blijven gebruiken. Anderen kunnen intussen het opwaarderen uittesten en de problemen die ze tegenkomen, documenteren. De voorlaatste stabiele uitgave (Oldstable) van Debian Edu blijven we trouwens ondersteunen gedurende een zekere tijd na het uitbrengen van de daaropvolgende stabiele uitgave (Stable), maar op het ogenblik dat Debian stopt met het ondersteunen van Oldstable, moet Debian Edu noodzakelijkerwijs hetzelfde doen.

12.2. Opwaarderen vanaf Debian Edu Bullseye

Zorg dat u goed voorbereid bent: test zeker eerst een opwaardering vanaf Bullseye uit in een testomgeving of hou reservekopieën klaar, zodat u zo nodig naar de oorspronkelijke situatie kunt terugkeren.

Merk op dat de volgende procedure van toepassing is voor een standaardinstallatie van de hoofdserver van Debian Edu (desktop=xfce, profielen Hoofdserver, Werkstation en LTSP-server). (Raadpleeg voor een algemeen overzicht over het opwaarderen vanuit Bullseye naar Bookworm https://www.debian.org/releases/bookworm/releasenotes)

Werk niet in een grafische omgeving, gebruik een virtuele console, meld u aan als systeembeheerder (root).

Mocht apt afgesloten worden met een foutmelding, probeer die dan te verhelpen en/of voer het commando apt -f install uit en vervolgens nogmaals apt -y full-upgrade.

12.2.1. De hoofdserver opwaarderen

  • Begin met er voor te zorgen dat het huidige systeem up-to-date is:

apt update
apt full-upgrade
  • Bereid de opwaardering naar Bookworm voor en start ze:

sed -i 's/bullseye/bookworm/g' /etc/apt/sources.list
export LC_ALL=C
apt update
apt upgrade --without-new-pkgs
apt full-upgrade
  • apt-list-changes: bereid u voor op veel te lezen NIEUWS; druk op <enter> om naar beneden te scrollen, op <q> om het pagineringsprogramma te verlaten. Alle informatie zal naar de systeembeheerder (root) verzonden worden, zodat u deze opnieuw kunt lezen (met behulp van mailx of mutt).

  • Lees aandachtig alle informatie van debconf, kies 'behoud de momenteel geïnstalleerde lokale versie' tenzij hieronder anders aangegeven wordt; in de meeste gevallen zal op de return-toets drukken volstaan.

    • restart services (diensten herstarten): kies yes (ja).

    • Samba-server en hulpprogramma's: kies 'de momenteel geïnstalleerde lokale versie behouden'.

    • openssh-server: kies 'de momenteel geïnstalleerde lokale versie behouden'.

  • Pas de configuratie aan en pas ze toe:

cf-agent -v -D installation
  • Ga na of het opgewaardeerde systeem werkt:

Herstart; log in als eerste gebruiker en test

  • of de grafische gebruikersomgeving van GOsa² werkt,

  • of LTSP-clients en werkstations verbinding kunnen maken,

  • of u een systeem kunt toevoegen aan een netgroep en het ook terug kunt verwijderen,

  • of u interne e-mail kunt verzenden en ontvangen,

  • of u printers kunt beheren,

  • en of andere locatiespecifieke zaken werken.

12.2.2. Een werkstation opwaarderen

Doe alle basiszaken zoals op de hoofdserver en zonder de dingen te doen die niet nodig zijn.

12.3. Opwaarderingen van oudere installaties van Debian Edu / Skolelinux (voor Bullseye)

Om een opwaardering uit te voeren vanuit een oudere uitgave, moet u eerst opwaarderen naar de uitgave van Debian Edu die gebaseerd is op Bullseye. Vervolgens kunt u de hierboven gegeven instructies opvolgen. In de Handleiding voor Debian Edu Bullseye vindt u de instructies om naar Bullseye op te waarderen vanuit de eerdere uitgave, Buster.

13. HowTo

14. HowTo's voor algemeen systeembeheer

De hoofdstukken Aan de slag en Onderhoud beschrijven hoe u aan de slag kunt gaan met Debian Edu en hoe u de eenvoudige onderhoudstaken uitvoert. De howto's uit dit hoofdstuk bevatten een aantal tips en wenken voor 'gevorderden'.

14.1. De historiek van configuratie-instellingen: wijzigingen in /etc/ opvolgen met behulp van Git, een systeem voor versiebeheer

Met etckeeper worden de wijzigingen in al de bestanden uit de map /etc/ opgevolgd met behulp van Git, een systeem voor versiebeheer.

Dit maakt het mogelijk om te zien wanneer een bestand toegevoegd werd of gewijzigd of verwijderd. En als het om een tekstbestand gaat, kunt u ook opvolgen wat er precies in gewijzigd werd, De plaats waar git zijn gegevens bewaart is /etc/.git/.

Ieder uur worden alle wijzigingen automatisch opgeslagen. Dit laat toe om de historiek van configuratiebestanden op te halen en te onderzoeken.

Om naar de geschiedenis van veranderingen te kijken, gebruikt men het commando etckeeper vcs log. Om de verschillen tussen twee welbepaalde tijdstippen te onderzoeken, kunt u een opdracht als etckeeper vcs diff gebruiken.

Lees de uitvoer van de opdracht man etckeeper voor meer informatie.

Een lijst van nuttige opdrachten:

etckeeper vcs log
etckeeper vcs status
etckeeper vcs diff
etckeeper vcs add .
etckeeper vcs commit -a
man etckeeper

14.1.1. Voorbeelden uit de praktijk

Om op een recent geïnstalleerd systeem te bekijken welke wijzigingen er doorgevoerd werden sinds de installatie, gebruikt u deze opdracht:

etckeeper vcs log

Om na te gaan welke bestanden momenteel niet opgevolgd worden en welke niet bijgewerkt zijn, gebruikt u de opdracht:

etckeeper vcs status

Om de wijzigingen aan een bestand (resolv.conf in het voorbeeld) manueel vast te leggen, omdat u er geen volledig uur meer op kunt wachten, geeft u de opdracht:

etckeeper vcs commit -a /etc/resolv.conf

14.2. De grootte van partities aanpassen

Behalve de partitie /boot/ zijn alle andere partities LVM logische gegevensdragers. Sinds versie 2.6.10 van de Linuxkernel, is het mogelijk om partities te vergroten terwijl ze aangekoppeld zijn. Om partities kleiner te kunnen maken, moeten ze nog steeds eerst afgekoppeld worden.

Het is aan te raden om geen al te grote partities aan te maken (laten we zeggen groter dan 20 GB), omwille van de tijd die dan nodig is om op hen de opdracht fsck uit te voeren of om een veiligheidskopie terug te zetten mocht het ooit nodig blijken. Indien de mogelijkheid bestaat, is het beter meerdere kleinere partities te maken dan één heel erg grote.

Het script debian-edu-fsautoresize staat ter beschikking als een hulpmiddel om het u gemakkelijker te maken om volle partities uit te breiden.Het leest de configuratie uit de bestanden /usr/share/debian-edu-config/fsautoresizetab, /site/etc/fsautoresizetab en /etc/fsautoresizetab wanneer het opgestart wordt. Het script stelt dan voor om partities met te weinig vrije ruimte uit te breiden overeenkomstig de richtlijnen uit de ingelezen bestanden. Als men het script uitvoert zonder opties, zal het enkel de commando's die nodig zijn om het bestandssysteem uit te breiden, tonen. Het script heeft de optie -n nodig om die commando's ook effectief uit te voeren en de bestandssystemen uit te breiden.

Op elke clientcomputer die opgenomen is in de netgroep fsautoresize-hosts, wordt het script ieder uur automatisch uitgevoerd.

Als de grootte van de partitie die gebruikt wordt door de Squid-proxy, aangepast wordt, moet ook de waarde aangepast worden van de cachegrootte in het bestand etc/squid/squid.conf. Het hulpmiddel dat deze taak automatisch kan uitvoeren is het script /usr/share/debian-edu-config/tools/squid-update-cachedir. Het gaat de actuele grootte na van de partitie/var/spool/squid/ en stelt Squid in om 80% van die ruimte voor zijn cache te gebruiken.

14.2.1. Het beheer van logische gegevensdragers

Het systeem van 'Logical Volume Management' (LVM) laat toe om de grootte van partities aan te passen terwijl ze aangekoppeld en in gebruik zijn. U kunt meer te weten komen over LVM op de webpagina LVM HowTo.

Om een logische gegevensdrager manueel groter te maken, moet u gewoon aan de opdracht lvextend laten weten welke grootte u wenst. Om bijvoorbeeld de grootte van home0 uit te breiden tot 30 GB gebruikt u de volgende commando's:

lvextend -L30G /dev/vg_system/skole+tjener+home0
resize2fs /dev/vg_system/skole+tjener+home0

Om aan home0 30GiB extra toe te wijzen, voegt u een '+' toe (-L+30G).

14.3. Het gebruik van ldapvi

ldapvi is een hulpmiddel om aan de commandoregel met een gewone teksteditor de database van LDAP te bewerken.

U moet de volgende opdracht geven:

ldapvi -ZD '(cn=admin)'

Merk op dat ldapvi de editor zal gebruiken die op het systeem ingesteld staat als standaardeditor. Door vooraf aan de prompt van de shell de opdracht export EDITOR=vim uit te voeren, configureert men zijn eigen werkomgeving zodanig dat men een kloon van vi als editor kan gebruiken.

Wees gewaarschuwd: ldapvi is een zeer krachtig hulpmiddel. Wees voorzichtig en draag er zorg voor om geen puinhoop te maken van de LDAP-database. Eenzelfde waarschuwing is ook op zijn plaats voor JXplorer.

14.4. NFS met Kerberos

Gebruik maken van Kerberos voor NFS om de persoonlijke mappen aan te koppelen is een veiligheidsfunctionaliteit. Zonder Kerberos zullen werkstations en LTSP-clients niet functioneren. De niveaus krb5, krb5i en krb5p worden ondersteund (krb5 betekent Kerberos-authenticatie, i staat voor integriteitscontrole en p voor privacy, d.w.z. encryptie); de belasting voor zowel server als werkstation neemt toe met het veiligheidsniveau. Kiezen voor krb5i is goed en dit werd als standaard ingesteld.

14.4.1. Aanpassen van de standaardinstelling

Hoofdserver

  • inloggen als systeembeheerder

  • het commando ldapvi -ZD '(cn=admin)' uitvoeren, zoeken naar sec=sys en dit vervangen door sec=krb5i.

  • het bestand /etc/exports/edu.exports bewerken en deze vermeldingen dienovereenkomstig aanpassen:

/srv/nfs4        gss/krb5i(rw,sync,fsid=0,crossmnt,no_subtree_check)
/srv/nfs4/home0  gss/krb5i(rw,sync,no_subtree_check)
  • het commando exportfs -r uitvoeren.

14.5. Standardskriver

Dit hulpmiddel laat toe om een standaardprinter in te stellen, afhankelijk van de locatie, van de computer of van een groepslidmaatschap. Raadpleeg voor meer informatie /usr/share/doc/standardskriver/README.md.

De beheerder moet in het configuratiebestand /etc/standardskriver.cfg voorzien. Een voorbeeld kunt u vinden in het bestand /usr/share/doc/standardskriver/examples/standardskriver.cfg.

14.6. JXplorer, een grafische gebruikersinterface voor LDAP

Indien u een grafische gebruikersinterface verkiest om met de database van LDAP te werken, probeer dan eens het pakket jxplorer uit, dat standaard geïnstalleerd wordt. Om met schrijfrechten toegang te krijgen, maakt u als volgt de verbinding:

host: ldap.intern
port: 636
Security level: ssl + user + password
User dn: cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no

14.7. ldap-createuser-krb5, een hulpmiddel om gebruikers toe te voegen aan de commandoregel

ldap-createuser-krb is een klein hulpmiddeltje om aan de commandoregel gebruikersaccounts aan te maken; het wordt als volgt aangeroepen:

ldap-createuser-krb5 [-u uid] [-g gid] [-G group[,group]...] [-d department] <username> <gecos>

Alle argumenten behalve de gebruikersnaam en het GECOS-veld zijn optioneel; dit laatste moet meestal de volledige naam van de gebruiker bevatten. Tenzij anders aangegeven zal het hulpmiddel automatisch de volgende vrije UID en GID kiezen en geen extra groepen aan de gebruiker toewijzen. Als er geen departement wordt opgegeven, wordt het eerste gosaDepartment uit LDAP gekozen, wat waarschijnlijk skole is en voor gewone gebruikers meestal niet is wat u zoekt; dus u moet een geschikte waarde kiezen voor de gebruiker, bijv. Teachers (Leerkrachten) of Students (Studenten). Na het invoeren en het bevestigen van het wachtwoord en het invoeren van het LDAP-beheerderswachtwoord, zal ldap-createuser-krb5 het gebruikersaccount in LDAP aanmaken, het Kerberos-wachtwoord instellen, de persoonlijke map aanmaken en een overeenkomstige Samba-gebruiker toevoegen. De volgende schermafbeelding toont een voorbeeld van een aanroep om een gebruikersaccount aan te maken met de naam harhir voor een leraar wiens volledige naam "Harry Hirsch" is:

root@tjener:~# ldap-createuser-krb5 -d Teachers harhir "Harry Hirsch"
new user password: 
confirm password: 

dn: uid=harhir,ou=people,ou=Teachers,dc=skole,dc=skolelinux,dc=no
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: gosaAccount
objectClass: posixAccount
objectClass: shadowAccount
objectClass: krbPrincipalAux
objectClass: krbTicketPolicyAux
sn: Harry Hirsch
givenName: Harry Hirsch
uid: harhir
cn: Harry Hirsch
userPassword: {CRYPT}$y$j9T$TWnq55O1rvyLhjF.$oVf.t.RXC1v/4Y8FhV0umno629mo7bP7/YJyig6HET6
homeDirectory: /skole/tjener/home0/harhir
loginShell: /bin/bash
uidNumber: 1004
gidNumber: 1004
gecos: Harry Hirsch
shadowLastChange: 19641
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
krbPwdPolicyReference: cn=users,cn=INTERN,cn=kerberos,dc=skole,dc=skolelinux,dc=no
krbPrincipalName: harhir@INTERN

ldap_initialize( <DEFAULT> )
Enter LDAP Password: 
add objectClass:
        top
        person
        organizationalPerson
        inetOrgPerson
        gosaAccount
        posixAccount
        shadowAccount
        krbPrincipalAux
        krbTicketPolicyAux
add sn:
        Harry Hirsch
add givenName:
        Harry Hirsch
add uid:
        harhir
add cn:
        Harry Hirsch
add userPassword:
        {CRYPT}$y$j9T$TWnq55O1rvyLhjF.$oVf.t.RXC1v/4Y8FhV0umno629mo7bP7/YJyig6HET6
add homeDirectory:
        /skole/tjener/home0/harhir
add loginShell:
        /bin/bash
add uidNumber:
        1004
add gidNumber:
        1004
add gecos:
        Harry Hirsch
add shadowLastChange:
        19641
add shadowMin:
        0
add shadowMax:
        99999
add shadowWarning:
        7
add krbPwdPolicyReference:
        cn=users,cn=INTERN,cn=kerberos,dc=skole,dc=skolelinux,dc=no
add krbPrincipalName:
        harhir@INTERN
adding new entry "uid=harhir,ou=people,ou=Teachers,dc=skole,dc=skolelinux,dc=no"
modify complete

Authenticating as principal root/admin@INTERN with password.
kadmin.local:  change_password harhir@INTERN
Enter password for principal "harhir@INTERN": 
Re-enter password for principal "harhir@INTERN": 
Password for "harhir@INTERN" changed.
kadmin.local:  lpcfg_do_global_parameter: WARNING: The "encrypt passwords" option is deprecated
Added user harhir.

14.8. Het gebruik van 'stable-updates'

Hoewel u rechtstreeks gebruik kunt maken van stable-updates, is dit niet strikt noodzakelijk. Op gezette tijden, namelijk telkens bij het uitbrengen van een actualisering (een zogenaamde point release) van de stabiele uitgave, wat ruwweg om de twee maanden gebeurt, worden de pakketten uit stable-updates naar de suite van de stabiele uitgave verplaatst.

14.9. Meer recente programmatuur installeren met backports

U gebruikt Debian Edu omdat u de stabiliteit ervan waardeert. Het werkt fantastisch. Er is alleen een klein probleem: soms is bepaalde programmatuur wat meer verouderd dan u het zou wensen. Dat is het punt waarop backports.debian.org in beeld komt.

Backports zijn pakketten uit de testsuite (meestal) of de onstabiele suite (in enkele gevallen, zoals beveiligingsbijwerkingen) van Debian die opnieuw gecompileerd werden, zodat ze ook kunnen werken binnen een stabiele versie van Debian, zoals Debian Edu, en zonder gebruik te maken van nieuwere bibliotheken (in de mate van het mogelijke). We raden u aan om enkel die paar backports te installeren die echt bij uw behoeften aansluiten en niet alle backports die beschikbaar zijn.

Backports gebruiken is zeer eenvoudig:

echo "deb http://deb.debian.org/debian/ bookworm-backports main" > /etc/apt/sources.list.d/bookworm-backports.sources.list
apt update

Nadien is het zeer eenvoudig om pakketten uit backports te installeren. Met het volgende commando installeert u de versie van tuxtype uit backports:

apt install tuxtype/bookworm-backports

Pakketten uit backports worden net als andere pakketten automatisch geüpdatet (als er een update beschikbaar is). Zoals het gewone archief, bestaat ook backports uit drie secties: main, contrib en non-free.

14.10. Opwaarderen met behulp van een cd of een gelijksoortig image

Indien u wenst op te waarderen van een versie naar een andere (bijvoorbeeld van Bookworm 12.1 naar 12.2), maar geen internettoegang heeft en enkel over fysieke media beschikt, gaat u als volgt te werk:

Plaats de cd / dvd / blu-rayschijf / USB-stick in het station en gebruik het commando apt-cdrom:

apt-cdrom add

Het volgende is een citaat uit de man-pagina van apt-cdrom(8):

  • apt-cdrom wordt gebruikt om een nieuwe cd-schijf toe te voegen aan de lijst van voor APT beschikbare bronnen. apt-cdrom is in staat om zelf uit te maken wat de structuur is van de schijf, het kan ook verschillende soorten problemen ondervangen die met het branden van de schijf verband houden en het zal eveneens de indexbestanden controleren.

  • Het is noodzakelijk om apt-cdrom te gebruiken om nieuwe cd's toe te voegen aan het systeem van APT. Dit kan niet manueel gebeuren. Bij een set van meerdere cd's moet u tevens iedere cd afzonderlijk in het station plaatsen en hem laten controleren om met mogelijke fouten bij het branden rekening te kunnen houden.

Geef vervolgens de volgende twee opdrachten om het systeem op te waarderen:

apt update
apt full-upgrade

14.11. Het automatisch opruimen van processen die niet meer in gebruik zijn

killer is een perl-script dat achtergrondtaken opruimt. Achtergrondtaken zijn processen die toebehoren aan gebruikers die op dat moment niet aangemeld zijn op de machine. Het script wordt ieder uur vanuit een cron-opdracht uitgevoerd.

14.12. Beveiligingsbijwerkingen automatisch installeren

unattended-upgrades is een pakket in Debian dat beveiligings- (en andere) bijwerkingen automatisch installeert. Indien het pakket geïnstalleerd wordt, is het vooraf geconfigureerd om beveiligingsbijwerkingen te installeren. De logbestanden zijn te vinden in /var/log/unattended-upgrades/. En er is natuurlijk ook nog altijd /var/log/dpkg.log en /var/log/apt/.

14.13. Machines 's nachts automatisch uitzetten

U kunt energie en geld besparen door clientmachines 's avonds uit te zetten en 's ochtends terug op te starten. Vanaf 16.00 uur in de namiddag zal het pakket shutdown-at-night elk uur op het uur proberen om de machine uit te zetten. Maar het zal dat niet doen als blijkt dat de machine nog in gebruik is. Het zal trachten aan het BIOS de opdracht te geven om de machine rond 7.00 uur 's ochtends terug op te starten, en de hoofdserver zal vanaf 06.30 uur proberen om machines op te starten door hen wake-on-LAN-pakketten te sturen. Deze tijdstippen kunnen aangepast worden door de crontabs van de individuele machines te wijzigen.

Als u zoiets opzet, moet u met enkele zaken rekening houden:

  • Het mag niet gebeuren dat clients uitgezet worden als er iemand op aan het werken is. Om dit te kunnen garanderen moet de uitvoer van het commando who nagekeken worden, en als een bijzonder geval moet u controleren op het SSH-verbindingscommando als met X2Go thin-clients gewerkt wordt.

  • Om te vermijden dat de zekeringen van de elektriciteit zouden smelten, doet u er goed aan om er voor te zorgen dat niet alle clients gelijktijdig opstarten.

  • Er staan u twee manieren ter beschikking om clients te activeren. De ene manier gebruikt een functie van het BIOS en een vereiste hiervoor is dat de klok van het apparaat correct werkt en dat het moederbord en de BIOS-versie ondersteund worden door nvram-wakeup. De andere methode vereist dat de clients wake-on-LAN ondersteunen en dat de server op de hoogte is van welke clients via deze methode aangezet moeten worden.

14.13.1. Het systeem opzetten om computers 's nachts uit te schakelen

Ofwel geeft u de opdracht touch /etc/shutdown-at-night/shutdown-at-night op de clients die 's nachts uitgezet moeten worden, ofwel voegt u de naam van de computer (dat is de uitvoer van het commando 'uname -n' op de client) toe aan de netgroep 'shutdown-at-night-hosts'. Computers toevoegen aan die netgroep in LDAP doet u met het webhulpmiddel GOsa². Het kan nodig zijn om bij de clients in het BIOS de functionaliteit wake-on-LAN te configureren. Het is ook belangrijk dat de switches en routers die tussen de wake-on-LAN-server en de clients geplaatst staan, de WOL-pakketten op een correcte manier aan de clients doorgeven, ook al zijn de clients uitgeschakeld. Sommige switches kunnen geen pakketten doorgeven aan clients die ontbreken in de ARP-tabel van de switch, hetgeen een blokkade opwerpt voor de WOL-pakketten.

Om op de server wake-on-LAN in te stellen, voegt u de clients toe aan de lijst /etc/shutdown-at-night/clients. U gebruikt voor elke client een aparte regel in het bestand. Op die regel komt eerst het IP-adres en dan het MAC-adres (ethernet-adres), van elkaar gescheiden door een spatie. U kunt ook het script /etc/shutdown-at-night/clients-generator aanmaken om de lijst van clients op het moment zelf te laten genereren.

Hier is een voorbeeld van het script /etc/shutdown-at-night/clients-generator dat gebruik maakt van sitesummary:

  #!/bin/sh
  PATH=/usr/sbin:$PATH
  export PATH
  sitesummary-nodes -w

Indien de netgroep gebruikt wordt om shutdown-at-night op de clients te activeren, vormt het volgende script een alternatief. Het maakt gebruik van het netgroephulpmiddel uit het pakket ng-utils:

  #!/bin/sh
  PATH=/usr/sbin:$PATH
  export PATH
  netgroup -h shutdown-at-night-hosts

14.14. Toegang krijgen tot servers van Debian Edu die zich achter een firewall bevinden

Om vanaf het internet toegang te krijgen tot machines die zich achter een firewall bevinden, kunt u het pakket autossh installeren. Het kan gebruikt worden om een SSH-tunnel aan te leggen naar een machine op het internet waar u toegang toe heeft. Vanaf die machine kunt u dan over de SSH-tunnel toegang krijgen tot de server achter de firewall.

14.15. Bijkomende servermachines installeren om de hoofdserver te ontlasten

Volgens de standaardopstelling draaien alle diensten op de hoofdserver met als computernaam tjener. Om het overplaatsen van sommige van die diensten naar een andere machine te vergemakkelijken, kunt u gebruik maken van het installatieprofiel minimal. Een installatie uitvoeren met dit profiel geeft als resultaat een machine die wel deel uitmaakt van het netwerk van Debian Edu, maar waarop (dan) nog geen enkele service draait.

De volgende bewerkingen moet u uitvoeren om een machine te installeren die tot taak heeft sommige diensten te leveren:

  • kies tijdens de installatie voor het profiel Minimal

  • installeer de pakketten die nodig zijn voor de dienst

  • configureer de dienst

  • schakel op de hoofdserver die dienst uit

  • werk (via LDAP/GOsa²) DNS op de hoofdserver bij

14.16. HowTo's van wiki.debian.org

FIXME: The HowTos from https://wiki.debian.org/DebianEdu/HowTo/ are either user- or developer-specific. Let's move the user-specific HowTos over here (and delete them over there)! (But first ask the authors (see the history of those pages to find them) if they are fine with moving the howto and putting it under the GPL.)

15. Howto over systeembeheer voor gevorderden

In dit hoofdstuk behandelen we een aantal taken van systeembeheer voor gevorderden.

15.1. Gebruikersbeheer op maat met GOsa²

15.1.1. Gebruikersgroepen per jaartal aanmaken

In dit voorbeeld willen we gebruikersgroepen maken per jaartal met met de groep gedeelde persoonlijke mappen (home0/2024, home0/2026, enz.). We willen de gebruikers aanmaken via het importeren van een csv-bestand.

(als systeembeheerder op de hoofdserver)

  • Maak de benodigde jaartalmappen

mkdir /skole/tjener/home0/2024

(als eerste gebruiker in Gosa)

  • Afdeling

Kies in het hoofdmenu 'Directory structure' (Registerstructuur) en klik de afdeling 'Students' (Studenten) aan. In het veld 'Base' (Basis) hoort '/Students' (Studenten) te staan. In het uitklapkader 'Actions' (Acties) kiest u 'Create'/'Department' (Aanmaken/Afdeling). Geef waarden in voor de velden Name (Naam) (2024) en Description (Beschrijving) (studenten die in 2024 afstuderen), laat het veld Base (Basis) ongewijzigd (daar zou '/Students' (Studenten) moeten staan). Bewaar door op 'Ok' te klikken. Nu zou de nieuwe afdeling (2024) zichtbaar moeten zijn onder /Students. Klik er op.

  • Groep

Kies in het hoofdmenu 'Groups' (Groepen) en kies vervolgens 'Actions'/Create/Group (Acties/Groep aanmaken). Voer een naam in voor de groep (laat 'Base' zoals het is, zou moeten zijn /Students/2024) en klik op 'Ok' om te bewaren.

  • Sjabloon

Kies 'users' (gebruikers) in het hoofdmenu. Ga nu in het veld Base naar 'Students'. Nu zou een item 'NewStudent' (NieuweStudent) zichtbaar moeten worden. Klik het aan. Dit is het sjabloon voor 'studenten', geen echte gebruiker. U zult aan de hand van dit voorbeeld een gelijkaardig sjabloon moeten aanmaken (om de gegevens in uw registerstructuur te kunnen importeren via een csv-bestand). Noteer daarom alle items die u ziet staan in de tabbladen Generic en POSIX of maak er een schermafdruk van om de informatie voor het nieuwe sjabloon bij de hand te hebben.

Schakel nu in het Base-veld om naar /Students/2024. Kies Create/Template (Aanmaken/Sjabloon) en begin met het ingeven van de gewenste waarden, eerst voor het tabblad Generic (Algemeen) (voeg ook uw nieuwe groep 2024 toe aan het veld Group Membership (Groepslidmaatschap) en voeg nadien het POSIX-account toe.

  • Gebruikers importeren

Kies uw nieuw sjabloon bij het uitvoeren van de gegevensimport vanuit uw csv-bestand. Eerst een test doen met enkele gebruikers wordt aangeraden.

15.2. Ander maatwerk in verband met gebruikers

15.2.1. Mappen aanmaken in de persoonlijke map van alle gebruikers

Met het volgende script kan de systeembeheerder een map aanmaken in de persoonlijke map van elke gebruiker en instellen wie de eigenaar ervan is en welke toegangsrechten gelden.

In het onderstaande voorbeeld wordt in de persoonlijke map een map 'taken' aangemaakt, met leerkrachten als groepseigenaar en met 2770 als toegangsrechten. Een student kan dan zijn taak inleveren door zijn bestand te bewaren in deze map en leerkrachten kunnen in die taak hun commentaar toevoegen omdat ze schrijfrechten hebben.

 #!/bin/bash
 home_path="/skole/tjener/home0"
 shared_folder="assignments"
 permissions="2770"
 created_dir=0
 for home in $(ls $home_path); do
    if [ ! -d "$home_path/$home/$shared_folder" ]; then
        mkdir $home_path/$home/$shared_folder
        chmod $permissions $home_path/$home/$shared_folder
        user=$home
        group=teachers
        chown $user:$group $home_path/$home/$shared_folder
        ((created_dir+=1))
    else
        echo -e "the folder $home_path/$home/$shared_folder already exists.\n"
    fi
 done
 echo "$created_dir folders have been created"

15.3. Een aparte server voor het opslaan van bestanden

Volg dit stappenplan om een server op te zetten, bedoeld voor het opslaan van de persoonlijke mappen van gebruikers en van wellicht nog andere gegevensbestanden.

  • Voeg met behulp van GOsa² een nieuw systeem van het type server toe, zoals geschetst werd in het hoofdstuk Aan de slag van deze handleiding.

    • In dit voorbeeld gebruiken we 'nas-server.intern' als naam voor de server. Eens 'nas-server.intern' geconfigureerd werd, moet u controleren of de exportpunten van NFS op de nieuwe opslagserver geëxporteerd worden naar de betrokken subnetten en machines:

          root@tjener:~# showmount -e nas-server
          Export list for nas-server:
          /storage         10.0.0.0/8
          root@tjener:~#

      Hier heeft iedere machine op het hoofdnetwerk toegang tot het exportpunt /storage. (Men kan het recht op toegang tot NFS-exports ook beperken tot die machines die lid zijn van de groep netgroup of tot individuele adressen, zoals gebeurt in het bestand tjener:/etc/exports ).

  • Voeg in LDAP met betrekking tot 'nas-server.intern' automount-informatie toe om toe te laten dat alle clients op hun verzoek automatisch het nieuwe export-punt kunnen aankoppelen.

    • Dit kunt u niet doen met behulp van GOsa², aangezien een module voor automount er in ontbreekt. U moet in de plaats ldapvi gebruiken en de vereiste LDAP-objecten aanmaken met behulp van die tekstbewerker.

      ldapvi --ldap-conf -ZD '(cn=admin)' -b ou=automount,dc=skole,dc=skolelinux,dc=no

      Van zodra de editor actief is, voegt u de volgende LDAP-objecten toe aan het einde van het document. (Het "/&"-gedeelte in het laatste LDAP-object is een jokerteken dat staat voor alle exports van 'nas-server.intern'. Hierdoor vervalt de noodzaak om elk individueel aankoppelpunt op te lijsten in LDAP.)

          add cn=nas-server,ou=auto.skole,ou=automount,dc=skole,dc=skolelinux,dc=no
          objectClass: automount
          cn: nas-server
          automountInformation: -fstype=autofs --timeout=60 ldap:ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no
       
          add ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no
          objectClass: top
          objectClass: automountMap
          ou: auto.nas-server
       
          add cn=/,ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no
          objectClass: automount
          cn: /
          automountInformation: -fstype=nfs,tcp,rsize=32768,wsize=32768,rw,intr,hard,nodev,nosuid,noatime nas-server.intern:/&
  • Voeg de relevante gegevens toe in het bestand tjener.intern:/etc/fstab. Dit is nodig omdat tjener.intern geen gebruik maakt van automount om de kans op het ontstaan van eindeloze lussen van aankoppelingen te vermijden:

    • Maak de aankoppelingsmappen aan met behulp van het commando mkdir, voer de overeenkomstige aanpassingen in '/etc/fstab' door en geef de opdracht mount -a om de nieuwe bronnen aan te koppelen.

Gebruikers zouden nu in staat moeten zijn om rechtstreeks toegang te hebben tot de bestanden op 'nas-server.intern' door gewoon naar de map '/tjener/nas-server/storage/' te gaan met behulp van om het even welke toepassing op elk werkstation of elke LTSP thin-client of LTSP-server.

15.4. De mogelijkheid inperken om zich via SSH aan te melden

Er bestaan verschillende mogelijkheden om toegang via SSH in te perken. Sommige ervan worden hier opgesomd.

15.4.1. Bij een opstelling zonder LTSP-clients

Indien er geen gebruik gemaakt wordt van LTSP-clients, bestaat een eenvoudige oplossing erin een nieuwe groep aan te maken (bijvoorbeeld sshgebruikers) en een regel toe te voegen in het bestand /etc/ssh/sshd_config op de computer. Enkel leden van de groep sshgebruikers zullen dan de toelating hebben om zich van om het even waar via ssh op de computer aan te melden.

Een dergelijke situatie beheren is heel eenvoudig met GOsa:

  • Maak een groep sshgebruikers aan in het basisniveau (waar al andere groepen die te maken hebben met systeembeheer, zoals gosa-admins te vinden zijn).

  • Gebruikers toevoegen aan de nieuwe groep sshgebruikers.

  • Voeg de regel AllowGroups sshusers toe in het bestand /etc/ssh/sshd_config.

  • Geef de opdracht service ssh restart.

15.4.2. Bij een opstelling met LTSP-clients

Bij een standaardinstelling van LTSP gebruiken schijfloze clients geen SSH-verbindingen. Na het wijzigen van de SSH-instellingen volstaat het bijwerken van het SquashFS-image op de betrokken LTSP-server.

X2Go thin-clients gebruiken SSH-verbindingen met de betrokken LTSP-server. Daarom is hier een andere benadering die gebruik maakt van PAM, nodig.

  • Activeer pam_access.so in het bestand /etc/pam.d/sshd van de LTSP-server.

  • Stel /etc/security/access.conf in om toestemming te geven aan (bijvoorbeeld) gebruikers alice, jane, bob en john om van overal een verbinding via ssh te maken en aan alle andere gebruikers enkel vanuit de interne netwerken. Dit doet u door de volgende regels toe te voegen:

+ : alice jane bob john : ALL
+ : ALL : 10.0.0.0/8 192.168.0.0/24 192.168.1.0/24
- : ALL : ALL
#

Indien enkel voorbehouden LTSP-servers gebruikt worden, kunt u het netwerk 10.0.0.0/8 weglaten om de mogelijkheid uit te schakelen dat men zich intern via SSH aanmeldt. Noteer dat iemand die zijn computer aankoppelt op een gereserveerd netwerk van LTSP-clients meteen ook toegang heeft tot de LTSP-server via SSH.

15.4.3. Een noot over meer complexe opstellingen

Indien er X2Go-clients aangekoppeld zouden zijn op het hoofdnetwerk 10.0.0.0/8 zouden de zaken zelfs nog gecompliceerder worden. Wellicht is het dan enkel mogelijk om te verhinderen dat men zich intern via SSH aanmeldt door gebruik te maken van een gesofisticeerde DHCP-configuratie (in LDAP), waarbij de zogenaamde 'vendor-class-identifier' gecontroleerd wordt, in combinatie met een passende PAM-configuratie.

16. HowTo's in verband met de grafische werkomgeving

16.1. Een grafische werkomgeving instellen voor meerdere talen

Om meerdere talen te ondersteunen moeten de volgende stappen gezet worden:

  • Voer (als systeembeheerder) het commando dpkg-reconfigure locales uit en kies de gewenste talen (de UTF-8-varianten).

  • Voer als systeembeheerder de volgende commando's uit om de betrokken pakketten te installeren:

    •    apt update
         /usr/share/debian-edu-config/tools/install-task-pkgs
         /usr/share/debian-edu-config/tools/improve-desktop-l10n

Gebruikers kunnen dan via de beeldschermbeheerder LightDM hun taal kiezen vooraleer ze zich aanmelden. Dit geldt voor Xfce, LXDE en LXQt. GNOME en KDE hanteren allebei hun eigen interne hulpmiddelen voor het configureren van taal en regio en u moet deze gebruiken bij deze grafische werkomgevingen. MATE gebruikt bovenop Lightdm het aanmeldvenster Arctica, zonder de mogelijkheid om een taal te kiezen. Voer het commando apt purge arctica-greeter uit om het standaardaanmeldvenster van LightDM te krijgen.

16.2. Dvd's afspelen

libdvdcss heeft u nodig om de meeste commerciële dvd's te kunnen afspelen. Om redenen van wettelijke aard zit het niet in Debian (Edu). Indien u het rechtsgeldig mag gebruiken, kunt u lokaal uw eigen pakketten bouwen met behulp van het Debian pakket libdvd-pkg. Zorg ervoor dat u de pakketbron contrib geactiveerd heeft in het bestand /etc/apt/sources.list.

apt update
apt install libdvd-pkg

Beantwoord de vragen van debconf en voer dan het commando dpkg-reconfigure libdvd-pkg uit.

16.3. Tekensets met lettertekens in handschrift

Het pakket fonts-linex (dat standaard geïnstalleerd wordt) installeert de tekenset 'Abecedario'. Deze tekenset met lettertekens in handschrift vinden kinderen leuk. De tekenset bevat verschillende varianten om met kinderen te gebruiken: gestippeld of met lijnen.

17. HowTo's voor netwerkclients

17.1. Een inleiding in thin clients en schijfloze werkstations

Een algemene term voor zowel thin-clients als schijfloze werkstations is LTSP-client.

Sinds Bullseye verschilt LTSP aanzienlijk van de vorige versies. Dit betreft zowel installatie als onderhoud.

  • Een belangrijk verschil is dat het SquashFS-image voor schijfloze werkstations nu standaard gegenereerd wordt vanuit het bestandssysteem van de LTSP-server. Op een gecombineerde server gebeurt dit bij de eerste opstart en dit kan enige tijd in beslag nemen.

  • Thin clients maken niet langer deel uit van LTSP. Debian Edu maakt gebruik van X2Go om nog steeds het gebruik van thin clients te kunnen ondersteunen.

  • In het geval van een aparte of aanvullende LTSP-server is de vereiste informatie voor het opzetten van de LTSP-clientomgeving niet volledig op het ogenblik van de installatie. Het instellen kan worden uitgevoerd zodra het systeem is toegevoegd met GOsa².

Raadpleeg voor informatie over LTSP in het algemeen de LTSP homepagina. Op systemen met het profiel LTSP-server geeft man ltsp meer informatie.

Merk op dat het hulpmiddel ltsp van LTSP zorgvuldig moet gebruikt worden. Het commando ltsp image / zou er bijvoorbeeld niet in slagen het SquashFS-image te genereren in het geval van Debian machines (deze hebben standaard een aparte /boot-partitie), het commando ltsp ipxe zou er niet in slagen het iPXE-menu correct te genereren (wegens de ondersteuning van Debian Edu voor thin clients) en ltsp initrd zou het opstarten van LTSP-clients volledig verknoeien.

Het hulpmiddel debian-edu-ltsp-install is een script dat de commando's ltsp image, ltsp kernel en ltsp ipxe bundelt. Het wordt gebruikt om ondersteuning voor schijfloze werkstations en thin clients in te stellen en te configureren(zowel 64-bits als 32-bits pc's). Zie man debian-edu-ltsp-install of de inhoud van het script om te zien hoe het werkt. Alle configuratie zit vervat in het script zelf (via zogenaamde HERE documenten) om locatiespecifieke aanpassingen te vergemakkelijken.

Voorbeelden van hoe u het bundel-script debian-edu-ltsp-install kunt gebruiken:

  • debian-edu-ltsp-install --diskless_workstation yes werkt het SquashFS-image voor schijfloze werkstations bij (bestandssysteem van de server).

  • debian-edu-ltsp-install --diskless_workstation yes --thin_type bare creëert ondersteuning voor schijfloze werkstations en voor 64-bits thin clients.

  • debian-edu-ltsp-install --arch i386 --thin_type bare creëert ook nog ondersteuning voor 32-bits thin clients (chroot en SquashFS-image).

Behalve bare (kleinste thin client-systeem) zijn ook display en desktop mogelijke opties. Het type display biedt een afsluitknop, het type desktop voert Firefox ESR uit in zogenaamde kiosk modus op de client zelf (meer lokaal RAM en CPU-vermogen zijn nodig, maar er is een geringere belasting van de server).

Het hulpmiddel debian-edu-ltsp-ipxe is een bundel-script voor ltsp ipxe. Het zorgt ervoor dat het bestand /srv/tftp/ltsp/ltsp.ipxe specifiek is voor Debian Edu. De opdracht moet worden uitgevoerd nadat items in verband met iPXE (zoals menu-wachttijd of standaard opstartinstellingen) in de sectie [server] van /etc/ltsp/ltsp.conf zijn gewijzigd.

Het hulpmiddel debian-edu-ltsp-initrd is een bundel-script voor ltsp initrd. Het zorgt ervoor dat een initrd gegenereerd wordt dat specifiek is voor dit toepassingsgebied (/srv/tftp/ltsp/ltsp.img) en dat dan verplaatst wordt naar de map die voor dat toepassingsgebied bedoeld is. Het commando moet worden uitgevoerd nadat de sectie [clients] in /etc/ltsp/ltsp.conf werd gewijzigd.

Het hulpmiddel debian-edu-ltsp-chroot is een vervanging voor het hulpmiddel ltsp-chroot dat met LTSP5 geleverd wordt. Het wordt gebruikt om commando's uit te voeren in een gespecificeerde LTSP-chroot (zoals bijv. installeren, opwaarderen en verwijderen van pakketten).

Schijfloos werkstation

Een schijfloos werkstation voert alle programmatuur lokaal uit. De clientmachine start rechtstreeks op vanaf de LTSP-server zonder gebruik te maken van een lokale harde schijf. Programmatuur wordt beheerd en onderhouden op de LTSP-server, maar wordt op het schijfloos werkstation uitgevoerd. Persoonlijke mappen en systeeminstellingen worden eveneens op de server opgeslagen. Het systeem van schijfloze werkstations is een uitstekende manier om oudere (maar nog krachtige) hardware te (her)gebruiken tegen een even lage onderhoudskost als het geval is bij thin clients.

In tegenstelling tot werkstations functioneren schijfloze werkstations zonder dat men ze dient toe te voegen met GOsa².

Thin-client

Een thin-clientinstallatie stelt een gewone PC in staat om te functioneren als een (X-)terminal, waarbij alle programmatuur op de LTSP-server uitgevoerd wordt. Het betekent dat een dergelijke machine opstart via PXE zonder gebruik te maken van een lokale harde schijf op de client en dat de LTSP-server een krachtige computer moet zijn.

Debian Edu ondersteunt nog steeds het gebruik van thin clients om het gebruik van zeer oude hardware mogelijk te maken.

Aangezien Thin clients X2Go gebruiken, moeten gebruikers beeldsamenstelling uitschakelen om weergave-artefacten te voorkomen. In het standaardgeval (Xfce grafische werkomgeving): Instellingen -> Vensterbeheerder bijstellen -> Beeldsamensteller.

Fabrieksprogrammatuur voor LTSP-clients

Het opstarten van de LTSP-client zal niet lukken als de netwerkkaart van de client niet-vrije fabrieksprogrammatuur vereist. Een PXE-installatie kan gebruikt worden om problemen op te sporen bij het opstarten van een machine over het netwerk. Indien het installatiesysteem van Debian klaagt over het feit dat bestand XXX.bin ontbreekt, betekent dit dat niet-vrije fabrieksprogrammatuur toegevoegd moet worden aan het initrd van de LTSP-server.

Ga als volgt te werk op de LTSP-server:

  • Verzamel eerst informatie over firmware-pakketten; geef daarvoor de volgende opdracht:

apt update && apt search ^firmware-
  • Bepaal welk pakket moet geïnstalleerd worden voor de netwerkkaart(en). Hoogstwaarschijnlijk zal dit firmware-linux zijn. Geef daarvoor de opdracht:

apt -y -q install firmware-linux
  • Werk het SquashFS-image voor schijfloze werkstations bij; geef daarvoor de volgende opdracht:

debian-edu-ltsp-install --diskless_workstation yes
  • In het geval er X2Go thin-clients gebruikt worden, geeft u de opdracht:

/usr/share/debian-edu-config/tools/ltsp-addfirmware -h
  • en ga te werk volgens de gebruikersinformatie.

    Werk daarna het SquashFS-image bij; bijvoorbeeld, voor de chroot /srv/ltsp/x2go-bare-amd64 gebruikt u het commando:

ltsp image x2go-bare-amd64

17.1.1. De keuze van het type LTSP-client

Elke LTSP-server heeft twee netwerkkaarten. Een ervan is geconfigureerd binnen het hoofdsubnet 10.0.0.0/8 (dat met de hoofdserver gedeeld wordt). De andere netwerkkaart geeft vorm aan een lokaal subnet (een apart subnet voor elke LTSP-server).

In beide gevallen kan men in het iPXE-menu schijfloos werkstation of thin client kiezen. Na 5 seconden wachten zal de machine opstarten als schijfloos werkstation.

Het standaard opstartmenu-item en de standaard wachttijd kunnen beide worden geconfigureerd in /etc/ltsp/ltsp.conf. Een waarde van -1 voor de wachttijd wordt gebruikt om het menu te verbergen. Voer het commando debian-edu-ltsp-ipxe uit om de wijzigingen door te voeren.

17.1.2. Gebruik een verschillend LTSP clientnetwerk

Het standaard LTSP clientnetwerk is 192.168.0.0/24 als een computer geïnstalleerd wordt met behulp van het profiel LTSP-server. Indien er zeer veel LTSP-clients in gebruik zijn of indien verschillende LTSP-servers tegelijk een chroot-omgeving voor i386 en voor amd64 moeten aanbieden, kan ook het tweede vooraf ingestelde netwerk 192.168.1.0/24 gebruikt worden. Bewerk het bestand /etc/network/interfaces en pas de instellingen voor eth1 in die zin aan. Gebruik ldapvi of om het even welke andere editor voor LDAP om de instellingen voor DNS en DHCP na te kijken.

17.1.3. Voeg een LTSP-chroot toe om 32-bits client-PC's te ondersteunen

Om de chroot en het SquashFS-image te creëren geeft u de opdracht:

debian-edu-ltsp-install --arch i386 --thin_type bare

Zie man debian-edu-ltsp-install voor details over thin-clienttypes.

17.1.4. De configuratie van een LTSP-client

Geef de opdracht man ltsp.conf om een zicht te krijgen op de beschikbare configuratieopties. U kunt deze ook online raadplegen: https://ltsp.org/man/ltsp.conf/

Voeg configuratie-items toe aan de sectie [clients] van /etc/ltsp/ltsp.conf. Om de veranderingen door te voeren geeft u de opdracht:

debian-edu-ltsp-initrd

17.1.5. Geluid op LTSP-clients

LTSP thin-clients doen beroep op genetwerkte audio om audio van de server te laten doorgeven aan de clients.

Schijfloze werkstations onder LTSP verwerken audio lokaal.

17.1.6. Toegang krijgen tot USB-sticks en cd's/dvd's

Indien gebruikers een USB-stick of een dvd/cd plaatsen in een schijfloos werkstation, verschijnt een overeenkomstig pictogram op het bureaublad, waardoor toegang tot de inhoud mogelijk is zoals op een werkstation.

Wanneer gebruikers een USB-stick in een X2Go thin client van het type bare (standaardinstallatie gecombineerde server) plaatsen, wordt het medium aangekoppeld zodra op het bestaande mappictogram op het Xfce-bureaublad wordt gedubbelklikt. Afhankelijk van de media-inhoud kan het enige tijd duren voordat de inhoud verschijnt in bestandsbeheer.

17.1.6.1. Een waarschuwing in verband met verwijderbare media en LTSP-servers

Wanneer USB-sticks en andere verwijderbare media in een LTSP-server worden geplaatst, wordt het bijbehorende mappictogram weergegeven op de desktops van LTSP-thin clients. Externe gebruikers hebben toegang tot de bestanden.

17.1.7. Printers gebruiken die met LTSP-clients verbonden zijn

  • Koppel de printer aan de LTSP-clientcomputer (zowel USB- als parallelle poort worden ondersteund).

  • Configureer de LTSP-client met GOsa² om een vast IP-adres te gebruiken.

  • Configureer de printer via de webinterface https://www.intern:631 op de hoofdserver. Selecteer netwerkprinter, type AppSocket/HP JetDirect (voor alle printers ongeacht merk of model) en stel socket://<LTSP client ip>:9100 in als de URI van de verbinding.

17.2. De PXE-instellingen wijzigen

PXE staat voor Preboot eXecution Environment. Debian Edu gebruikt nu de implementatie iPXE voor een eenvoudigere LTSP-integratie.

17.2.1. Het PXE-menu configureren

Het item in het iPXE-menu betreffende systeeminstallaties wordt gegenereerd met behulp van het script debian-edu-pxeinstall. Het is mogelijk om bepaalde instellingen ervan te overschrijven door een bestand /etc/debian-edu/pxeinstall.conf aan te maken met vervangende waarden.

17.2.2. De PXE-installatie configureren

De PXE-installatie zal de instellingen voor taal, toetsenbordindeling en spiegelserver overnemen uit de bij het installeren van de hoofdserver meegegeven instellingen. De overige vragen (over profiel, deelname aan het meten van de populariteit van programmatuur, schijfindeling en beheerderswachtwoord) zullen in de loop van de installatie wel gesteld worden. Om deze vragen te voorkomen, kunt u het bestand /etc/debian-edu/www/debian-edu-install.dat aanpassen, zodat het de door u vooraf gekozen antwoorden kan doorgeven aan de overeenkomstige waarden van debconf. Enkele voorbeelden van beschikbare waarden voor debconf kunt u vinden in de commentaarregels van het bestand /etc/debian-edu/www/debian-edu-install.dat. Zodra u debian-edu-pxeinstall gebruikt om de installatie-omgeving voor PXE opnieuw aan te maken, zullen uw wijzigingen echter verloren gaan. Om waarden voor debconf te laten toevoegen aan het bestand /etc/debian-edu/www/debian-edu-install.dat tijdens dit proces van opnieuw aanmaken van de installatie-omgeving voor PXE met debian-edu-pxeinstall, moet u een bestand /etc/debian-edu/www/debian-edu-install.dat.local creëren met daarin de door u gewenste bijkomende waarden voor debconf.

U vindt bijkomende informatie over het aanpassen van PXE-installaties in het hoofdstuk Installatie.

17.2.3. Een eigen pakketbron gebruiken bij PXE-installaties

Voeg u aan het bestand /etc/debian-edu/www/debian-edu-install.dat.local iets toe in de zin van het voorbeeld hieronder om ook een eigen pakketbron te kunnen gebruiken:

d-i     apt-setup/local1/repository string      http://example.org/debian stable main contrib non-free
d-i     apt-setup/local1/comment string         Example Software Repository
d-i     apt-setup/local1/source boolean         true
d-i     apt-setup/local1/key    string          http://example.org/key.asc

en geef dan eenmaal de opdracht /usr/sbin/debian-edu-pxeinstall.

17.3. Netwerkinstellingen aanpassen

Het pakket debian-edu-config bevat een hulpmiddel waarmee u het netwerk 10.0.0.0/8 in iets anders kunt wijzigen. Kijk eens naar /usr/share/debian-edu-config/tools/subnet-change. Het is bedoeld om vlak na de installatie van de hoofdserver gebruikt te worden met het oog op het aanpassen van LDAP en van de andere bestanden die bijgewerkt moeten worden om het subnet te wijzigen.

Weet dat kiezen voor een van de subnets die reeds elders in Debian Edu gebruikt worden, niet zal werken. 192.168.1.0/24 en 192.168.1.0/24 staan reeds ingesteld als netwerken voor de LTSP clients. Omschakelen naar deze subnetwerken maakt het manueel bewerken van configuratiebestanden om er de items uit te halen die er tweemaal in voorkomen, onvermijdelijk.

Er bestaat geen gemakkelijke manier om de domeinnaam van DNS te wijzigen. Het toch doen maakt het aanpassen van de structuur van LDAP en van meerdere bestanden in het bestandssysteem van de hoofdserver noodzakelijk. Er bestaat ook geen eenvoudige manier om de computernaam en de DNS-naam van de hoofdserver (tjener.intern) te veranderen. Ook hiervoor zouden veranderingen nodig zijn in LDAP, in bestanden op de hoofdserver en in het bestandssysteem van de client. En in de beide gevallen zouden ook de instellingen van Kerberos veranderd moeten worden.

17.4. Extern Bureaublad (Remote Desktop)

Wanneer u kiest voor het profiel LTSP-server of het profiel gecombineerde server, worden ook de pakketten xrdp en x2goserver geïnstalleerd.

17.4.1. Xrdp

Xrdp maakt gebruik van het protocol Remote Desktop (bureaublad op een andere computer) om aan de clientcomputer een extern grafisch aanmeldscherm aan te bieden. Dit laat gebruikers van Microsoft Windows toe om zonder het installeren van bijkomende programmatuur toch een verbinding te maken met een LTSP-server waarop het programma xrdp draait. Er wordt dan op de Windowscomputer gewoon een verbinding geactiveerd via 'Extern bureaublad' en de gebruiker kan zich aanmelden.

Bijkomend kan xrdp ook een verbinding maken met een VNC-server of een andere RDP-server.

Xrdp biedt geen ondersteuning voor geluid; om de vereiste modules te compileren (of opnieuw te compileren) kan dit script gebruikt worden. Merk op dat root of een lid van de sudo-groep het script moet uitvoeren. Ook moet /etc/apt/sources.list een geldige deb-src-regel bevatten.

 #!/bin/bash
 set -e
  if [[ $UID -ne 0 ]] ; then  
     if ! groups | egrep -q sudo ; then
         echo "ERROR: You need to be root or a sudo group member."
         exit 1
     fi
 fi
 if ! egrep -q  ^deb-src /etc/apt/sources.list ; then
     echo "ERROR: Make sure /etc/apt/sources.list contains a deb-src line."
     exit 1
 fi
 TMP=$(mktemp -d)
 PULSE_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' pulseaudio)"
 XRDP_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' xrdp)"
 sudo apt -q update
 sudo apt -q install dpkg-dev
 cd $TMP
 apt -q source pulseaudio xrdp
 sudo apt -q build-dep pulseaudio xrdp
 cd pulseaudio-$PULSE_UPSTREAM_VERSION/
 ./configure
 cd $TMP/xrdp-$XRDP_UPSTREAM_VERSION/sesman/chansrv/pulse/
 sed -i 's/^PULSE/#PULSE/' Makefile
 sed -i "/#PULSE_DIR/a \
 PULSE_DIR = $TMP/pulseaudio-$PULSE_UPSTREAM_VERSION" Makefile
 make
 sudo cp *.so /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/
 sudo chmod 644 /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/module-xrdp*
 sudo service xrdp restart

17.4.2. X2Go

X2Go maakt het mogelijk om vanaf een pc met Linux, Windows of macOS over een verbinding met lage of hoge bandbreedte toegang te hebben tot een grafische werkomgeving op de LTSP-server. Daarvoor is op de client-computer extra software vereist. Raadpleeg voor bijkomende informatie de wiki van X2Go.

Merk op dat u best het pakket killer verwijdert van de LTSP-server als u X2Go gebruikt. Zie 890517.

17.4.3. Beschikbare clients voor verbinding met een extern bureaublad

  • freerdp-x11 wordt standaard geïnstalleerd en ondersteunt zowel RDP als VNC.

    • RDP - de eenvoudigste manier om een koppeling te maken met een Windows terminalserver. Een pakket met een alternatieve client is rdesktop.

    • Een VNC-client (Virtual Network Computer) geeft vanop afstand toegang tot Skolelinux. Een pakket met een alternatieve client is xvncviewer.

  • x2goclient is een grafische client voor het X2Go-systeem (niet standaard geïnstalleerd). U kunt dit programma gebruiken om een verbinding te maken met een actieve sessie of om een nieuwe sessie te starten.

17.5. Draadloze clients

De server freeRADIUS kan worden gebruikt om veilige netwerkverbindingen tot stand te brengen. Om dit te laten werken moet u de pakketten freeradius en winbind installeren op de hoofdserver en het commando /usr/share/debian-edu-config/tools/setup-freeradius-server uitvoeren om een basale locatiespecifieke configuratie te genereren. Op deze manier worden zowel de EAP-TTLS/PAP als de PEAP-MSCHAPV2 methode ingeschakeld. Alle configuratie zit vervat in het script zelf om site-specifieke aanpassingen te vergemakkelijken. Raadpleeg de homepagina van freeRADIUS voor details.

Extra configuratie is nodig om

  • toegangspunten in/uit te schakelen via een shared secret (gedeeld geheim) (/etc/freeradius/3.0/clients.conf).

  • draadloze toegang toe te staan/te weigeren met behulp van LDAP-groepen (/etc/freeradius/3.0/users).

  • toegangspunten samen te voegen in speciale groepen (/etc/freeradius/3.0/huntgroups)

Apparaten van eindgebruikers moeten correct worden geconfigureerd, deze apparaten moeten met een pincode zijn beveiligd voor het gebruik van EAP (802.1x)-methoden. Gebruikers moeten ook worden opgeleid om het freeradius CA-certificaat op hun apparaten te installeren om er zeker van te zijn dat ze verbinding maken met de juiste server. Op deze manier kan het wachtwoord niet worden achterhaald in het geval van een kwaadwillende server. Het locatiespecifieke certificaat is beschikbaar op het interne netwerk.

Houd er rekening mee dat het configureren van apparaten voor eindgebruikers een echte uitdaging zal zijn vanwege de verscheidenheid aan apparaten. Voor Windows-apparaten kan een installatiescript worden gemaakt, voor Apple-apparaten een mobileconfig-bestand. In beide gevallen kan het freeRADIUS CA-certificaat worden geïntegreerd, maar er zijn OS-specifieke gereedschappen nodig om de scripts te maken.

17.6. Een Windows-machine machtiging verlenen aan de hand van Debian Edu-identificatiegegevens met behulp van de LDAP-plug-in pGina

17.6.1. De gebruiker pGina toevoegen in Debian Edu

Om pGina (of een andere auth-service-applicatie van derden) te kunnen gebruiken, moet u een speciaal gebruikersaccount hebben dat wordt gebruikt bij het zoeken in LDAP.

Voeg een bijzondere gebruiker, bijv. pguser met wachtwoord pwd.777, toe op de https://www/gosa website.

17.6.2. De pGina-afsplitsing installeren

Download en installeer pGina 3.9.9.12 zoals gebruikelijke software. Let erop dat de LDAP-plug-in blijft staan in de plug-inmap van pGina:

C:\Program Files\pGina.fork\Plugins\pGina.Plugin.Ldap.dll

17.6.3. pGina configureren

Gezien de instellingen van Debian Edu gebruikt de verbinding met LDAP SSL via poort 636.

Dus de noodzakelijke instellingen in een pGina LDAP-plugin zijn de volgende

(deze worden opgeslagen in HKEY_LOCAL_MACHINE\SOFTWARE\pGina3.fork\Plugins\0f52390b-c781-43ae-bd62-553c77fa4cf7).

17.6.3.1. Hoofdgedeelte van de LDAP-plug-in
  • LDAP Host(s): 10.0.2.2 (of iets anders met "spatie" als scheidingsteken)

  • LDAP Port: 636 (voor de SSL-verbinding)

  • Timeout: 10

  • Use SSL: YES (selectievakje aanvinken)

  • Start TLS: NO (selectievakje niet aanvinken)

  • Validate Server Certificate: NO (selectievakje niet aanvinken)

  • Search DN: uid=pguser,ou=people,ou=Students,dc=skole,dc=skolelinux,dc=no

    • ("pguser" is een gebruiker die zich in LDAP kan authenticeren om te zoeken in Users (gebruikers) bij een inlogsessie)

  • Search Passwords: pwd.777 (dit is het wachtwoord van "pguser")

17.6.3.2. Het blok Authentication

Het tabblad Bind:

  • Allow Empty Passwords: NO

  • Search for DN: YES (selectievakje aanvinken)

  • Search Filter: (&(uid=%u)(objectClass=person))

17.6.3.3. Het blok Authorization
  • Default: Allow

  • Deny when LDAP authentication fails: YES (selectievakje aanvinken)

  • Allow when server is unreachable: NO (selectievakje niet aanvinken, facultatief)

17.6.3.4. Pluginselectie
  • LDAP: Authentication [v], Authorization [v], Gateway[v], Change Password [_]

  • Local Machine: Authentication [v], Gateway [v] (enkel twee selectievakjes aanvinken)

18. Samba in Debian Edu

Samba is nu geconfigureerd als autonome server met moderne SMB2/SMB3-ondersteuning en met de functie delen van gebruikersmappen ingeschakeld. Zie /etc/samba/smb-debian-edu.conf op de hoofdserver. Op deze manier kunnen gebruikers zonder beheerdersrechten gedeelde mappen aanbieden.

Voor locatiespecifieke wijzigingen moet u /usr/share/debian-edu-config/smb.conf.edu-site kopiëren naar de map /etc/samba. De instellingen in smb.conf.edu-site zullen die in smb-debian-edu.conf overschrijven.

Merk op:

  • Persoonlijke mappen zijn standaard alleen-lezen. Dit kan gewijzigd worden in /etc/samba/smb.conf.edu-site.

  • Samba-wachtwoorden worden opgeslagen met behulp van smbpasswd en worden bijgewerkt voor het geval een wachtwoord wordt gewijzigd met GOsa².

  • Om het Samba-account van een gebruiker tijdelijk uit te schakelen geeft u de opdracht smbpasswd -d <gebruikersnaam>, en met het commando smbpasswd -e <gebruikersnaam> kunt u het terug activeren.

  • Met het commando chown root:teachers /var/lib/samba/usershares op de hoofdserver schakelt de functie mappen delen uit voor 'studenten'.

18.1. Toegang tot bestanden via Samba

Verbindingen met de persoonlijke map van een gebruiker en met extra locatiespecifieke gedeelde mappen (wanneer deze geconfigureerd zijn) zijn mogelijk voor apparaten met Linux, Android, macOS, iOS, iPadOS, Chrome OS of Windows. Bijvoorbeeld, op Android gebaseerde apparaten hebben een bestandsbeheerder met SMB2/SMB3-ondersteuning nodig, ook wel LAN-toegang genoemd. X-plore of Total Commander met LAN plug-in zouden een goede keuze kunnen zijn.

Gebruik \\tjener\<gebruikersnaam> of smb://tjener/<gebruikersnaam> om toegang tot de persoonlijke map te hebben.

19. HowTo's in verband met leren en onderrichten

Alle pakketten van Debian die in dit onderdeel vermeld worden, kunt u installeren door (als systeembeheerder) de opdracht apt install <pakket> te geven.

19.1. Onderricht in programmeren

stable/education-development is een meta-pakket dat een heleboel programmeerhulpmiddelen vereist. Merk op dat bijna 2 GiB vereist is als dit pakket geïnstalleerd wordt. Raadpleeg voor bijkomende informatie (eventueel om slechts enkele pakketten te installeren) de pagina ontwikkelingspakketten van Debian Edu.

19.2. Leerlingen opvolgen

Waarschuwing: zorg ervoor dat u goed geïnformeerd bent over de wettelijke bepalingen in verband met het opvolgen en beperken van de activiteiten van uw computergebruikers in uw rechtsgebied.

Sommige scholen gebruiken controlehulpmiddelen zoals Epoptes of Veyon om hun studenten te superviseren. Bekijk ook de Homepagina van Epoptes en de Homepagina van Veyon.

19.3. De netwerktoegang voor leerlingen beperken

Sommige scholen maken gebruik van Squidguard of e2guardian om de toegang tot het Internet te beperken.

20. HowTo's voor gebruikers

20.1. Wachtwoorden wijzigen

Iedere gebruiker zou zijn of haar wachtwoord moeten wijzigen via GOsa². Om dit te doen, moet men een browser gebruiken en naar https://www/gosa/ gaan.

GOsa² gebruiken om een wachtwoord te wijzigen garandeert dat de wachtwoorden voor Kerberos (krbPrincipalKey), LDAP (userPassword) en Samba identiek zijn.

Het wijzigen van een wachtwoord met PAM functioneert ook aan de aanmeldingsprompt van GDM, maar dit past enkel het Kerberos-wachtwoord aan, en niet het wachtwoord voor Samba en GOsa² (LDAP). Indien u dus uw wachtwoord wijzigde aan de aanmeldingsprompt, zou u het zeker ook moeten wijzigen via GOsa².

20.2. Autonome Java-toepassingen uitvoeren

Autonome Java-toepassingen worden automatisch ondersteund door OpenJDK, een omgeving voor het uitvoeren van javatoepassingen.

20.3. Het gebruik van e-mail

Alle gebruikers kunnen binnen het interne netwerk e-mail versturen en ontvangen. Certificaten worden voorzien om met TLS beveiligde verbindingen mogelijk te maken. Om het gebruik van e-mail buiten het interne netwerk mogelijk te maken, moet de systeembeheerder de mailserver exim4 configureren overeenkomstig de lokale situatie. Die configuratie bijwerken begint bij de opdracht dpkg-reconfigure exim4-config.

Elke gebruiker die Thunderbird wenst te gebruiken, moet het op de volgende manier configureren. Voor een gebruiker met de gebruikersnaam jdoe, is het interne e-mailadres jdoe@postoffice.intern.

20.4. Thunderbird

  • Start Thunderbird

  • Klik op 'Deze stap overslaan en mijn bestaande e-mail gebruken'

  • Voer uw e-mailadres in

  • Voer uw wachtwoord niet in, aangezien het 'single sign on'-systeem van Kerberos gebruikt zal worden

  • Klik op 'Doorgaan'

  • Voor IMAP en SMTP moeten de instellingen telkens 'STARTTLS' en 'Kerberos/GSSAPI' zijn. Pas ze aan als dit niet automatisch gedetecteerd wordt

  • Klik op 'Klaar'

21. Meewerken

21.1. Online meewerken

In de meeste gevallen fungeert de mailinglijst voor ontwikkelaars als ons belangrijkste communicatiemedium, maar we hebben het kanaal #debian-edu op irc.debian.org en zelfs ook, weliswaar soms, echte vergaderingen waarop we elkaar persoonlijk ontmoeten.

Een goede manier om te weten wat er gebeurt op het vlak van de ontwikkeling van Debian Edu, is zich inschrijven voor de mailinglijst voor broncodeaanpassingen.

21.2. Bugs rapporteren

Debian Edu gebruikt het Bugvolgsysteem (Bug Tracking System - BTS) van Debian. Bekijk bestaande bugrapporten en functieverzoeken of maak er nieuwe aan. Rapporteer alle bugs tegen het pakket debian-edu-config. Kijk eens naar Hoe Bugs Rapporteren voor meer informatie over het rapporteren van bugs in Debian Edu.

21.3. Auteurs van documentatie en vertalers

Dit document heeft uw hulp nodig! Eerst en vooral is het op dit moment nog niet af. Terwijl u het leest, zult u merken dat er op verschillende plaatsen in de tekst nog FIXMEs staan. Indien u toevallig (een beetje) kennis mocht hebben over wat daar uitgelegd moet worden, overweeg dan alstublieft om uw kennis met ons te delen.

De broncode van de tekst is een wiki die eenvoudig met behulp van een webbrowser bewerkt kan worden. Ga gewoon naar https://wiki.debian.org/DebianEdu/Documentation/Bookworm/ en u kunt zomaar beginnen mee te werken. Noot: u heeft wel een gebruikersaccount nodig om de pagina's te bewerken: eerst moet u een wiki-gebruikersaccount aanmaken.

Een heel goede andere manier om mee te werken en gebruikers te helpen, is door programmatuur en documentatie te vertalen. Informatie over hoe dit document te vertalen, is te vinden in het hoofdstuk vertalingen van dit boek. Overweeg alstublieft om te helpen bij het vertalen van dit boek!

22. Ondersteuning

22.1. Ondersteuning op vrijwillige basis

22.1.1. in het Engels

  • https://lists.debian.org/debian-edu - mailinglijst voor het bieden van ondersteuning

  • #debian-edu op irc.debian.org - Een IRC-kanaal dat hoofdzakelijk gaat over ontwikkeling; verwacht niet om er onmiddellijke ondersteuning te krijgen, al komt het regelmatig voor dat dit toch gebeurt.

22.1.2. in het Noors

  • #skolelinux op irc.debian.org - IRC-kanaal ter ondersteuning van Noorse gebruikers

22.1.3. in het Duits

22.1.4. in het Frans

22.2. Professionele ondersteuning

Een lijst van bedrijven die professionele ondersteuning bieden vindt u op https://wiki.debian.org/DebianEdu/Help/ProfessionalHelp.

23. Nieuwe functionaliteit in Debian Edu Bookworm

23.1. Nieuwe functionaliteit voor Debian Edu 12 Bookworm

23.1.1. Veranderingen aan het installatieproces

  • Nieuwe versie van het installatieprogramma van Debian bookworm. Voor meer details kunt u terecht bij de installatiehandleiding,

    • met inbegrip van informatie over non-free-firmware, wat een nieuwe sectie is naast de bekende secties main, contrib en non-free.

  • Nieuwe grafische vormgeving die gebaseerd is op het thema Smaragd, de standaard grafische vormgeving voor Debian 12 bookworm.

23.1.2. Bijwerkingen van programmatuur

  • Alles wat nieuw is in Debian 12 bookworm, bijvoorbeeld:

    • Linux kernel versie 6.1

    • Grafische werkomgevingen KDE Plasma 5.27, GNOME 43, Xfce 4.18, LXDE 11, MATE 1.26

    • LibreOffice 7.4

    • GOsa² 2.8

    • Gereedschapskist voor het onderwijs GCompris versie 3.1

    • Programma voor muziekcreatie Rosegarden 22.12

    • LTSP 23.01

    • Debian Bookworm stelt meer 64.000 pakketten ter beschikking, klaar voor installatie.

23.1.3. Documentatie en bijwerkingen van vertalingen

  • Tijdens de installatie is de pagina over de keuze van profielen beschikbaar in 29 talen, waarvan er 22 een volledige vertaling bieden.

  • De handleiding van Debian Edu Bookworm is vertaald naar het Vereenvoudigd Chinees, het Deens, het Nederlands, het Frans, het Duits, het Italiaans, het Japans, het Noors (Bokmål), het Braziliaans-Portugees, het Europees Portugees, het Spaans, het Roemeens en het Oekraïens.

23.1.4. Bekende problemen

24. Auteursrechten en auteurs

Dit document werd geschreven door de volgende auteurs, bij wie ook de auteursrechten berusten: Holger Levsen (2007-2024), Petter Reinholdtsen (2001, 2002, 2003, 2004, 2007, 2008, 2009, 2010, 2012, 2014), Daniel Heß (2007), Patrick Winnertz (2007), Knut Yrvin (2007), Ralf Gesellensetter (2007), Ronny Aasen (2007), Morten Werner Forsbring (2007), Bjarne Nielsen (2007, 2008), Nigel Barker (2007), José L. Redrejo Rodríguez (2007), John Bildoy (2007), Joakim Seeberg (2008), Jürgen Leibner (2009, 2010, 2011, 2012, 2014), Oded Naveh (2009), Philipp Hübner (2009, 2010), Andreas Mundt (2010), Olivier Vitrat (2010, 2012), Vagrant Cascadian (2010), Mike Gabriel (2011), Justin B Rye (2012), David Prévot (2012), Wolfgang Schweer (2012-2024), Bernhard Hammes (2012), Joe Hansen (2015), Serhii Horichenko (2022) en Guido Berhörster (2023). Het document werd uitgegeven onder de licentie GPL2 of een latere versie. Geniet ervan!

Mocht u er inhoud aan toevoegen, doe dit dan alstublieft enkel voor zover u er zelf de auteur van bent. U dient die inhoud ook onder dezelfde voorwaarden vrij te geven! Voeg hier vervolgens uw naam toe en geef de inhoud vrij onder de licentie 'GPL v2 of enige latere versie'.

25. Vertalingen van dit document

Er bestaat een onlineoverzicht van alle verpakte vertalingen, dat frequent bijgewerkt wordt.

25.1. Hoe dit document vertalen

25.1.1. Gebruik PO-bestanden voor het vertalen

Zoals het geval is voor vele projecten van vrije programmatuur, worden vertalingen van dit document bijgehouden in PO-bestanden. In het bestand /usr/share/doc/debian-edu-doc/README.debian-edu-bookworm-manual-translations kunt u meer informatie vinden over het vertaalproces.

25.1.2. Online vertalen met behulp van een webbrowser

De meeste vertaalteams hebben beslist om de vertaling via Weblate te maken. Zie https://hosted.weblate.org/projects/debian-edu-documentation/bookworm-manual/ voor bijkomende informatie.

Gelieve ons eventuele problemen te rapporteren.

26. Bijlage A - De GNU Algemene Gebruikerslicentie

26.1. Handleiding voor Debian Edu 12 codenaam Bookworm

Copyright (C) 2007-2021 Holger Levsen < holger@layer-acht.org > en anderen. Raadpleeg het hoofdstuk over Auteursrechten voor de volledige lijst van personen bij wie de auteursrechten berusten.

This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version.

This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.

26.2. GNU GENERAL PUBLIC LICENSE

Version 2, June 1991

Copyright (C) 1989, 1991 Free Software Foundation, Inc. 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301, USA. Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed.

26.3. TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION

0. This License applies to any program or other work which contains a notice placed by the copyright holder saying it may be distributed under the terms of this General Public License. The "Program", below, refers to any such program or work, and a "work based on the Program" means either the Program or any derivative work under copyright law: that is to say, a work containing the Program or a portion of it, either verbatim or with modifications and/or translated into another language. (Hereinafter, translation is included without limitation in the term "modification".) Each licensee is addressed as "you".

Activities other than copying, distribution and modification are not covered by this License; they are outside its scope. The act of running the Program is not restricted, and the output from the Program is covered only if its contents constitute a work based on the Program (independent of having been made by running the Program). Whether that is true depends on what the Program does.

1. You may copy and distribute verbatim copies of the Program's source code as you receive it, in any medium, provided that you conspicuously and appropriately publish on each copy an appropriate copyright notice and disclaimer of warranty; keep intact all the notices that refer to this License and to the absence of any warranty; and give any other recipients of the Program a copy of this License along with the Program.

You may charge a fee for the physical act of transferring a copy, and you may at your option offer warranty protection in exchange for a fee.

2. You may modify your copy or copies of the Program or any portion of it, thus forming a work based on the Program, and copy and distribute such modifications or work under the terms of Section 1 above, provided that you also meet all of these conditions:

  • a) You must cause the modified files to carry prominent notices stating that you changed the files and the date of any change.

    b) You must cause any work that you distribute or publish, that in whole or in part contains or is derived from the Program or any part thereof, to be licensed as a whole at no charge to all third parties under the terms of this License.

    c) If the modified program normally reads commands interactively when run, you must cause it, when started running for such interactive use in the most ordinary way, to print or display an announcement including an appropriate copyright notice and a notice that there is no warranty (or else, saying that you provide a warranty) and that users may redistribute the program under these conditions, and telling the user how to view a copy of this License. (Exception: if the Program itself is interactive but does not normally print such an announcement, your work based on the Program is not required to print an announcement.)

These requirements apply to the modified work as a whole. If identifiable sections of that work are not derived from the Program, and can be reasonably considered independent and separate works in themselves, then this License, and its terms, do not apply to those sections when you distribute them as separate works. But when you distribute the same sections as part of a whole which is a work based on the Program, the distribution of the whole must be on the terms of this License, whose permissions for other licensees extend to the entire whole, and thus to each and every part regardless of who wrote it.

Thus, it is not the intent of this section to claim rights or contest your rights to work written entirely by you; rather, the intent is to exercise the right to control the distribution of derivative or collective works based on the Program.

In addition, mere aggregation of another work not based on the Program with the Program (or with a work based on the Program) on a volume of a storage or distribution medium does not bring the other work under the scope of this License.

3. You may copy and distribute the Program (or a work based on it, under Section 2) in object code or executable form under the terms of Sections 1 and 2 above provided that you also do one of the following:

  • a) Accompany it with the complete corresponding machine-readable source code, which must be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,

    b) Accompany it with a written offer, valid for at least three years, to give any third party, for a charge no more than your cost of physically performing source distribution, a complete machine-readable copy of the corresponding source code, to be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,

    c) Accompany it with the information you received as to the offer to distribute corresponding source code. (This alternative is allowed only for noncommercial distribution and only if you received the program in object code or executable form with such an offer, in accord with Subsection b above.)

The source code for a work means the preferred form of the work for making modifications to it. For an executable work, complete source code means all the source code for all modules it contains, plus any associated interface definition files, plus the scripts used to control compilation and installation of the executable. However, as a special exception, the source code distributed need not include anything that is normally distributed (in either source or binary form) with the major components (compiler, kernel, and so on) of the operating system on which the executable runs, unless that component itself accompanies the executable.

If distribution of executable or object code is made by offering access to copy from a designated place, then offering equivalent access to copy the source code from the same place counts as distribution of the source code, even though third parties are not compelled to copy the source along with the object code.

4. You may not copy, modify, sublicense, or distribute the Program except as expressly provided under this License. Any attempt otherwise to copy, modify, sublicense or distribute the Program is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance.

5. You are not required to accept this License, since you have not signed it. However, nothing else grants you permission to modify or distribute the Program or its derivative works. These actions are prohibited by law if you do not accept this License. Therefore, by modifying or distributing the Program (or any work based on the Program), you indicate your acceptance of this License to do so, and all its terms and conditions for copying, distributing or modifying the Program or works based on it.

6. Each time you redistribute the Program (or any work based on the Program), the recipient automatically receives a license from the original licensor to copy, distribute or modify the Program subject to these terms and conditions. You may not impose any further restrictions on the recipients' exercise of the rights granted herein. You are not responsible for enforcing compliance by third parties to this License.

7. If, as a consequence of a court judgment or allegation of patent infringement or for any other reason (not limited to patent issues), conditions are imposed on you (whether by court order, agreement or otherwise) that contradict the conditions of this License, they do not excuse you from the conditions of this License. If you cannot distribute so as to satisfy simultaneously your obligations under this License and any other pertinent obligations, then as a consequence you may not distribute the Program at all. For example, if a patent license would not permit royalty-free redistribution of the Program by all those who receive copies directly or indirectly through you, then the only way you could satisfy both it and this License would be to refrain entirely from distribution of the Program.

If any portion of this section is held invalid or unenforceable under any particular circumstance, the balance of the section is intended to apply and the section as a whole is intended to apply in other circumstances.

It is not the purpose of this section to induce you to infringe any patents or other property right claims or to contest validity of any such claims; this section has the sole purpose of protecting the integrity of the free software distribution system, which is implemented by public license practices. Many people have made generous contributions to the wide range of software distributed through that system in reliance on consistent application of that system; it is up to the author/donor to decide if he or she is willing to distribute software through any other system and a licensee cannot impose that choice.

This section is intended to make thoroughly clear what is believed to be a consequence of the rest of this License.

8. If the distribution and/or use of the Program is restricted in certain countries either by patents or by copyrighted interfaces, the original copyright holder who places the Program under this License may add an explicit geographical distribution limitation excluding those countries, so that distribution is permitted only in or among countries not thus excluded. In such case, this License incorporates the limitation as if written in the body of this License.

9. The Free Software Foundation may publish revised and/or new versions of the General Public License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns.

Each version is given a distinguishing version number. If the Program specifies a version number of this License which applies to it and "any later version", you have the option of following the terms and conditions either of that version or of any later version published by the Free Software Foundation. If the Program does not specify a version number of this License, you may choose any version ever published by the Free Software Foundation.

10. If you wish to incorporate parts of the Program into other free programs whose distribution conditions are different, write to the author to ask for permission. For software which is copyrighted by the Free Software Foundation, write to the Free Software Foundation; we sometimes make exceptions for this. Our decision will be guided by the two goals of preserving the free status of all derivatives of our free software and of promoting the sharing and reuse of software generally.

NO WARRANTY

11. BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.

12. IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.

END OF TERMS AND CONDITIONS

27. Bijlage B - Functionaliteit in oudere uitgaven

27.1. Nieuwe functionaliteit voor Debian Edu 11, codenaam Bullseye, uitgebracht op 14-08-2021

27.1.1. Veranderingen aan het installatieproces

  • Nieuwe versie van het installatieprogramma van Debian bullseye. Voor meer details kunt u terecht bij de installatiehandleiding.

  • Nieuwe grafische vormgeving die gebaseerd is op het thema Homeworld, de standaard grafische vormgeving voor Debian 11 (bullseye).

  • Het installatieprogramma van Debian biedt niet langer ondersteuning voor het opzetten van een LTSP-chroot. In het geval van een installatie van een gecombineerde server (profiel 'Hoofdserver' + 'LTSP-server') gebeurt het opzetten van thin clientondersteuning (waarvoor nu X2Go gebruikt wordt) op het einde van de installatie. Het genereren van het SquashFS-image voor ondersteuning van schijfloze clients (vanuit het bestandssysteem van de server) gebeurt bij de eerste opstart.

    Voor afzonderlijke LTSP-servers moeten beide stappen worden uitgevoerd via een hulpmiddel na de eerste opstart binnen het interne netwerk wanneer voldoende informatie van de hoofdserver beschikbaar is.

27.1.2. Bijwerkingen van programmatuur

  • Alles wat nieuw is in Debian 11 Bullseye, bijvoorbeeld:

    • Linux kernel versie 5.10

    • Grafische werkomgevingen KDE Plasma 5.20, GNOME 3.38, Xfce 4.16, LXDE 11, MATE 1.24

    • LibreOffice 7.0

    • Gereedschapskist voor het onderwijs GCompris versie 1.0

    • Programma voor muziekcreatie Rosegarden 20.12

    • LTSP 21.01

    • Debian Bullseye stelt meer 59.000 pakketten ter beschikking, klaar voor installatie.

27.1.3. Documentatie en bijwerkingen van vertalingen

  • Tijdens de installatie is de pagina over de keuze van profielen beschikbaar in 29 talen, waarvan er 22 een volledige vertaling bieden.

  • De handleiding van Debian Edu Bullseye is volledig vertaald naar het Nederlands, het Frans, het Duits, het Italiaans, het Japans, het Noorse Bokmål, het Portugees (Portugal) en het Vereenvoudigd Chinees.

    • Er bestaan gedeeltelijk vertaalde versies in het Deens en het Spaans.

27.1.4. Andere veranderingen vergeleken met de vorige uitgave

  • Verbeterde ondersteuning voor TLS/SSL op het interne netwerk. Op clients is het basiscertificaat voor de 'Debian Edu-CA' nu opgenomen in de certificatenbundel voor het hele systeem.

  • Nieuwe en volledig herschreven LTSP, waarbij ondersteuning voor thin clients weggevallen is. Thin clients worden nu met X2Go ondersteund.

  • Netboot, het opstarten over het netwerk, wordt aangeboden met iPXE in plaats van PXELINUX om compatibel te zijn met LTSP.

  • Nu wordt de map /srv/tftp gebruikt als basis voor het opstarten over het netwerk in plaats van /var/lib/tftpboot.

  • Na een opwaardering naar een tussenrelease van een systeem met het profiel Hoofdserver of LTSP-Server, moet u het commando debian-edu-pxeinstall uitvoeren om de PXE-installatieomgeving bij te werken.

  • DuckDuckGo wordt gebruikt als standaard zoekmachine voor zowel Firefox ESR als Chromium.

  • Chromium gebruikt de interne website in plaats van Google als standaard startpagina.

  • Op schijfloze werkstations is het Kerberos TGT na het inloggen automatisch beschikbaar.

  • Nieuw gereedschap toegevoegd om freeRADIUS in te stellen met ondersteuning voor zowel de methode EAP-TTLS/PAP als PEAP-MSCHAPV2.

  • Samba wordt geconfigureerd als 'autonome server' met ondersteuning voor SMB2/SMB3; toetreden tot het domein is verdwenen.

  • De GOsa²-webinterface toont geen vermeldingen in verband met Samba, omdat Samba-accountgegevens niet langer in LDAP worden opgeslagen.

  • Voor PXE installaties wordt de grafische modus van het installatieprogramma van Debian gebruikt (in plaats van de tekstmodus).

  • Centrale CUPS printserver ipp.intern, gebruikers die behoren tot de groep printer-admins, mogen CUPS beheren.

  • Het beheer van Icinga via de webinterface kan enkel gebeuren door de eerste gebruiker.

27.2. Historische informatie over oudere uitgaven

De volgende releases van Debian Edu stammen uit een nog verder verleden:

  • Debian Edu 10+edu0, codenaam Buster, uitgebracht op 06-07-2019.

  • Debian Edu 9+edu0, codenaam Stretch, uitgebracht op 17-06-2017.

  • Debian Edu 8+edu0, codenaam Jessie, uitgebracht op 02-07-2016.

  • Debian Edu 7.1+edu0, codenaam Wheezy, uitgebracht op 28-09-2013.

  • Debian Edu 6.0.7+r1 codenaam 'Squeeze', uitgebracht op 03-03-2013.

  • Debian Edu 6.0.4+r0 codenaam 'Squeeze', uitgebracht op 11-03-2012.

  • Debian Edu 5.0.6+edu1 codenaam 'Lenny', uitgebracht op 05-10-2010.

  • Debian Edu 5.0.4+edu0 codenaam 'Lenny', uitgebracht op 08-02-2010.

  • Debian Edu '3.0r1 Terra', uitgebracht op 05-12-2007.

  • Debian Edu '3.0r0 Terra', uitgebracht op 22-07-2007. De release is gebaseerd op Debian 4.0 Etch, uitgebracht op 08-04-2007.

  • Debian Edu 2.0, uitgebracht op 14-03-2006. De release is gebaseerd op Debian 3.1 Sarge, uitgebracht op 06-06-2005.

  • Debian Edu '1.0 Venus', uitgebracht op 20-06-2004. De release is gebaseerd op Debian 3.0 Woody, uitgebracht op 19-07-2002.

Een volledig en gedetailleerd overzicht van alle oude releases is te vinden in Appendix C van de handleiding voor Jessie. Raadpleeg anders de handleidingen bij de verschillende uitgaven op de pagina met handleidingen.