Inhoudsopgave
Vertaling:
2014-2022 Frans Spiesschaert
Dit is de handleiding voor de uitgave van Debian Edu 11 Bullseye.
De (Engelstalige) wikipagina https://wiki.debian.org/DebianEdu/Documentation/Bullseye bevat een regelmatig bijgewerkte versie.
De vertalingen maken deel uit van het
pakket debian-edu-doc
, dat op een webserver
geïnstalleerd kan worden en ook online
beschikbaar is.
Debian Edu, ook bekend als Skolelinux, is een op Debian gebaseerde Linux-distributie die een kant-en-klare omgeving biedt van een volledig geconfigureerd schoolnetwerk. Er wordt een client-serverbenadering toegepast. Servers en clients zijn stukjes software die met elkaar in interactie zijn. Servers leveren informatie die clients nodig hebben om te kunnen functioneren. Wanneer een server op een bepaalde machine geïnstalleerd is en zijn client op een andere machine, wordt naar deze machines ook verwezen als de server en de client, bij wijze van uitbreiding van het concept.
De hoofdstukken over hardware- en netwerkvereisten en over de architectuur bevatten basisinformatie over de omgeving.
Na de installatie van een hoofdserver worden alle diensten die in een schoolnetwerk nodig zijn, ingesteld en is het systeem klaar voor gebruik. Enkel gebruikers en apparatuur moeten toegevoegd worden via GOsa², een handige webinterface, of via een andere LDAP-editor. Er werd ook voorzien in een omgeving die opstarten over het netwerk mogelijk maakt met behulp van PXE/iPXE. Nadat u de hoofdserver met behulp van een cd, een blu-rayschijf of een USB-stick hebt geïnstalleerd, kunnen daardoor alle overige computers via het netwerk geïnstalleerd worden. Dit geldt ook voor mobiele werkstations (zoals laptops en netbooks die men uit het schoolnetwerk weg kan nemen). Computers in het netwerk kunnen ook opstarten via PXE/iPXE als schijfloze computers of thin clients.
Diverse educatieve toepassingen, zoals GeoGebra, Kalzium, KGeography, GNU Solfege en Scratch, maken deel uit van een standaard grafische werkomgeving. Deze kan eenvoudig en bijna onbegrensd uitgebreid worden met in Debian beschikbare softwarepakketten.
Debian Edu / Skolelinux is een Linuxdistributie die door het Debian Edu project gemaakt wordt. Als een zogenaamde Debian Pure Blends distributie (een gebruiksklaar geheel van Debian pakketten) is het een officieel deelproject van Debian.
Dit betekent dat Skolelinux voor uw school een versie van Debian maakt die een gebruiksklare omgeving biedt voor een volledig geconfigureerd schoolnetwerk.
Op 2 juli 2001 ging in Noorwegen het Skolelinux project van start en ongeveer gelijktijdig begon Raphaël Hertzog in Frankrijk met Debian-Edu. Sinds 2003 zijn beide projecten één gemaakt, maar beide benamingen bleven behouden. 'Skole' en (Debian-)'Education' zijn in de betrokken landen immers goed ingeburgerde termen.
Op dit ogenblik wordt het systeem gebruikt in verschillende landen over de hele wereld.
Dit hoofdstuk behandelt de netwerkarchitectuur en de diensten die door een installatie van Skolelinux geboden worden.
De afbeelding schetst het schema van de veronderstelde netwerktopologie. De standaardopstelling van een Skolelinux netwerk veronderstelt dat er één (en slechts één) hoofdserver is, die het mogelijk maakt om zowel gewone werkstations als LTSP-servers (met de ermee verbonden thin clients en/of schijfloze werkstations) toe te voegen. Het aantal werkstations kan zo groot of zo klein zijn als u wenst (gaande van nul tot zeer veel). Hetzelfde geldt voor de LTSP-servers, die elk op een apart netwerk zitten, zodat het verkeer tussen de clients en de LTSP-server de andere netwerkdiensten niet hindert. Een gedetailleerde uitleg over LTSP is te vinden in het betreffende HowTo-hoofdstuk.
De reden waarom er in elk schoolnetwerk slechts één hoofdserver kan zijn, ligt in het feit dat de hoofdserver DHCP aanbiedt. Per netwerk mag slechts één machine dat doen. Het is mogelijk om bepaalde diensten van de hoofdserver naar andere machines te verplaatsen door die dienst op een andere machine te installeren en te configureren. Nadien moet de DNS-configuratie daaraan aangepast worden, zodat de DNS-alias voor die dienst naar de juiste computer verwijst.
Om de standaard opstelling van Skolelinux eenvoudig te houden, verloopt de verbinding met het internet over een afzonderlijke router, ook gateway geheten. Raadpleeg het hoofdstuk Internetrouter voor informatie over hoe u een dergelijke gateway kunt opzetten als het niet mogelijk blijkt om een bestaand exemplaar passend te configureren.
DHCP op de hoofdserver bedient het netwerk 10.0.0.0/8 en biedt er een PXE-opstartmenu aan, waarbij u kunt kiezen uit: een nieuwe server/werkstation installeren, een thin client of een schijfloos werkstation opstarten, memtest uitvoeren, of opstarten vanaf de lokale harde schijf.
Dit is zo ontworpen dat het aangepast kan worden. Raadpleeg voor details het betreffende HowTo-hoofdstuk.
DHCP op de LTSP-servers bedient via de tweede netwerkkaart enkel een gereserveerd netwerk (192.168.0.0/24 en 192.168.1.0/24 zijn de vooraf geconfigureerde opties). Slechts uitzonderlijk zal men hieraan iets moeten veranderen.
De configuratie van alle subnetwerken ligt in LDAP opgeslagen.
Een netwerk van Skolelinux heeft één hoofdserver (ook 'tjener' genaamd, wat Noors is voor 'server') die standaard het IP-adres 10.0.2.2 heeft en geïnstalleerd wordt door te kiezen voor het profiel Hoofdserver (Main Server). Het is mogelijk (maar niet vereist) om naast het profiel hoofdserver ook de profielen LTSP-server en werkstation te selecteren en te installeren.
Behalve het beheer van de thin clients, worden initieel alle diensten geïnstalleerd op één centrale computer (de hoofdserver). Met het oog op prestatiebevordering is het aangewezen dat de LTSP-server(s) op (een) aparte computer(s) staat/staan (hoewel het mogelijk is om zowel het profiel hoofdserver als het profiel LTSP-server op één en dezelfde computer te installeren). Alle diensten krijgen een eigen DNS-naam toegewezen en worden exclusief over IPv4 aangeboden. De toegewezen DNS-naam maakt het eenvoudig om individuele diensten van de hoofdserver te verplaatsen naar een andere computer. Daarvoor dient u gewoon die dienst op de hoofdserver te stoppen en de DNS-configuratie zodanig aan te passen dat naar de nieuwe locatie van de dienst gewezen wordt (uiteraard moet die dienst eerst op die andere machine geïnstalleerd worden).
Uit veiligheidsoverwegingen worden alle verbindingen waarover wachtwoorden verzonden worden, versleuteld. Geen enkel wachtwoord wordt als klare tekst over het netwerk verzonden.
Hieronder vindt u een tabel met alle diensten die standaard geïnstalleerd worden in een netwerk van Skolelinux en hun respectieve DNS-naam. Zo mogelijk verwijst elk configuratiebestand via zijn naam (met weglating van de domeinnaam) naar de dienst waaraan het gekoppeld is. Deze benadering maakt het voor scholen gemakkelijk om wijzigingen aan te brengen aan hun domeinnaam (als ze over een eigen DNS-domein beschikken) of aan de IP-adressen die ze gebruiken.
Tabel met de diensten | ||
Beschrijving van de dienst |
Gebruikelijke naam |
DNS-naam van de dienst |
Centraal logboek |
rsyslog |
syslog |
Systeem van domeinnamen |
DNS (BIND) |
domain |
Automatische netwerkconfiguratie van machines |
DHCP |
bootps |
Synchronisatie van de systeemtijd |
NTP |
ntp |
Persoonlijke mappen via een netwerkbestandssysteem |
SMB / NFS |
homes |
Elektronische post |
IMAP (Dovecot) |
postoffice |
Registerdienst |
OpenLDAP |
ldap |
Gebruikersbeheer |
GOsa² |
--- |
Webserver |
Apache/PHP |
www |
Centrale reservekopie |
sl-backup, slbackup-php |
backup |
Webcache |
Proxy (Squid) |
webcache |
Afdrukken |
CUPS |
ipp |
Veilig aanmelden over het netwerk |
OpenSSH |
ssh |
Automatische configuratie |
CFEngine |
cfengine |
LTSP-server/s |
LTSP |
ltsp |
Toezicht op diensten en machines met foutmeldingen, evenals status en geschiedenis op het web. Foutrapportage per e-mail |
Munin, Icinga en Sitesummary |
sitesummary |
De persoonlijke bestanden van iedere gebruiker worden in diens persoonlijke map opgeslagen. De server stelt die persoonlijke mappen ter beschikking, zodat men er vanop elke machine toegang toe heeft. Zo hebben gebruikers toegang tot dezelfde bestanden, ongeacht de machine die ze gebruiken. De server werkt systeemonafhankelijk en geeft gebruikers op Unix clients via NFS toegang tot hun bestanden, terwijl gebruikers op andere clients via SMB2/SMB3 toegang tot hun bestanden krijgen.
Standaard werd de mailserver ingesteld om enkel lokale post te bedelen, dit wil zeggen binnen de school. Nochtans kan de server ook ingesteld worden om postbedeling over het internet toe te laten indien de school over een permanente internetverbinding beschikt. Clients worden geconfigureerd om e-mail bij de server af te leveren (via 'smarthost'), en gebruikers kunnen hun persoonlijke e-mail raadplegen via IMAP.
Alle diensten kunnen gebruikt worden met dezelfde gebruikersnaam en hetzelfde wachtwoord, dankzij de centrale gegevensbank voor authenticatie en autorisatie.
Om een beter prestatieniveau te bereiken, slaat een proxy-server vaak bezochte webpagina's lokaal op (Squid). In combinatie met de mogelijkheid om via de router bepaalde webtrafiek te blokkeren, biedt dit kansen om controle te houden over de toegang tot het internet van individuele machines.
De netwerkconfiguratie van de clientcomputers gebeurt automatisch met behulp van DHCP. Alle types clients kunnen verbonden worden met het private subnet 10.0.0.0/8 en zullen een overeenkomstig IP-adres toegewezen krijgen; LTSP-clients moeten verbonden worden met hun overeenkomstige LTSP-server via het afzonderlijke subnet 192.168.0.0/24 (dit is om te kunnen garanderen dat het netwerkverkeer van de LTSP-clients niet interfereert met de overige netwerkdiensten).
De centrale logboekdienst is zo geconfigureerd dat alle machines hun systeemlogboekberichten (syslog) naar de server zenden. De systeemlogboekdienst is ingesteld om enkel inkomende berichten van het lokale netwerk te aanvaarden.
De standaardinstelling van de DNS-server gaat uit van een domein dat uitsluitend intern gebruikt wordt (*.intern), totdat een echt ('extern') domein geconfigureerd kan worden. De DNS-server werkt als een cacheserver voor DNS, waardoor alle machines van het netwerk hem kunnen gebruiker als hun DNS-hoofdserver.
Leerlingen en leerkrachten krijgen de mogelijkheid om een website te publiceren. De webserver beschikt over mechanismen voor de authenticatie van gebruikers en voor het reserveren van de toegang tot bepaalde webpagina's of tot bepaalde submappen voor bepaalde gebruikers of gebruikersgroepen. Voor gebruikers is het mogelijk om dynamische webpagina's te maken, aangezien de webserver in functie daarvan programmeerbaar is.
Informatie over gebruikers en machines kan op één centrale plaats aangepast worden, en wordt automatisch toegankelijk gemaakt voor alle computers op het netwerk. In functie hiervan wordt een centrale registerdienst ontplooid. Het register bevat informatie over gebruikers, over gebruikersgroepen, over machines en over groepen van machines. Om bij gebruikers geen verwarring te zaaien, worden bestandsgroepen en netwerkgroepen op geen enkele manier verschillend behandeld. Dit heeft tot gevolg dat groepen van computers die samen een netwerkgroep vormen, dezelfde naamruimte gebruiken als gebruikersgroepen.
Het beheer van diensten en gebruikers gebeurt hoofdzakelijk via het web en volgt daarbij vastgelegde standaarden die goed functioneren in de met Skolelinux meegeleverde webbrowsers. Het administratiesysteem laat toe om bepaalde taken te delegeren naar individuele gebruikers of naar gebruikersgroepen.
Om mogelijke problemen met NFS te voorkomen en om het oplossen ervan te vergemakkelijken, moet de klok op elke machine gesynchroniseerd zijn. Daarom fungeert de Skolelinux-server als een NTP-server (Network Time Protocol) voor het lokale netwerk. Van hun kant worden alle werkstations en clientcomputers ingesteld om hun klok met die van de server te synchroniseren. De server zelf tracht zijn eigen klok via NTP te synchroniseren met machines op het internet. Dit garandeert een correcte tijdsaanduiding binnen het ganse netwerk.
Printers kunnen geplaatst worden waar dit het meest praktisch is. Ze kunnen ofwel rechtstreeks op het hoofdnetwerk aangesloten worden of aangekoppeld worden aan een server, een werkstation of een LTSP-server. Het recht van individuele gebruikers om toegang te hebben tot een printer, kan ingesteld worden op basis van de groepen waartoe zij behoren. Dit wordt geregeld via het instellen van een quotaregeling en toegangscontrole voor printers.
Een netwerk van Skolelinux kan veel LTSP-servers bevatten, welke geïnstalleerd worden door het profiel LTSP-server te selecteren.
De LTSP-servers staan ingesteld om systeemlogboekberichten (syslog) te ontvangen van thin clients en werkstations en om die door te sturen naar de centrale systeemlogboekdienst.
Merk op:
LTSP-schijfloze-werkstations gebruiken de op de server geïnstalleerde programma's.
Het basisbestandssysteem van de clients wordt via NFS aangeboden. Na elke
wijziging aan de LTSP-server moet het betreffende image opnieuw gegenereerd
worden. Voer daarvoor op de LTSP-server het commando
debian-edu-ltsp-install --diskless_workstation
yes
uit.
Een thin-clientopstelling laat toe om eenvoudige PC's te gebruiken als (X-)terminals. Dit houdt in dat de machine rechtstreeks wordt opgestart vanaf de server met behulp van PXE zonder gebruik te maken van de lokale harde schijf van de client. De thin-clientopstelling gebruikt nu X2Go, omdat ondersteuning door LTSP weggevallen is.
Thin clients zijn een goede manier om gebruik te maken van zeer oude (meestal 32-bits) machines, aangezien alle programma's die zij gebruiken op de LTSP-server uitgevoerd worden. Dit gaat als volgt in zijn werk: de dienst maakt gebruik van DHCP and TFTP om een netwerkverbinding te realiseren en over het netwerk op te starten. Nadien wordt vanaf de LTPS-server met NFS het bestandssysteem aangekoppeld, en tenslotte wordt de X2Go client gestart.
Een schijfloos werkstation voert alle programma's uit op de PC, evenwel zonder dat er lokaal een besturingssysteem geïnstalleerd is. Dit houdt in dat clientcomputers opstarten via PXE zonder op een lokale harde schijf geïnstalleerde software uit te voeren.
Het systeem van schijfloze werkstations is een excellente manier om krachtige hardware te gebruiken met een even lage onderhoudskost als met thin clients. Software wordt beheerd en onderhouden op de server en er dient op de clientcomputers geen software geïnstalleerd te worden. Persoonlijke mappen en systeeminstellingen worden eveneens op de server opgeslagen.
Alle Linuxmachines die met behulp van het installatiesysteem van Skolelinux
geïnstalleerd werden, kunnen vanaf een centrale computer, meestal de
centrale server, beheerd worden. Het is dan mogelijk om zich via SSH bij
alle machines aan te melden en er volledige toegang toe te krijgen. Als
systeembeheerder moet men eerst kinit
uitvoeren om een Kerberos TGT te bekomen.
Alle gebruikersgegevens worden bijgehouden in een LDAP-register. Aanpassingen aan gebruikersaccounts worden in die gegevensbank ingevoerd. Clientcomputers doen er beroep op voor de authenticatie van gebruikers.
Momenteel zijn er twee soorten installatiemedia-images: netinst en BD. Beide images kunnen ook opgestart worden vanaf een USB-stick.
Het is de bedoeling dat men eenmaal met behulp van om het even welk installatiemedium een server installeert en dat alle andere clients over het netwerk geïnstalleerd worden door ze vanaf het netwerk te laten opstarten.
Enkel bij het netinstall cd-image heeft men toegang tot het internet nodig tijdens het installatieproces.
Tijdens de installatie moet geen enkele vraag beantwoord worden, met uitzondering van de gewenste taal, locatie, toetsenbord en machineprofiel (hoofdserver, werkstation, LTSP-server, ...). De rest van de configuratie wordt automatisch ingesteld op aannemelijke waarden. Na installatie kan de systeembeheerder deze instellingen zo nodig aanpassen vanaf een centrale plaats.
Aan ieder gebruikersaccount van Skolelinux wordt een deel van het bestandssysteem op de bestandsserver toegewezen. Dit deel (de persoonlijke map) bevat de configuratiebestanden, de documenten, de e-mails en de webpagina's van die gebruiker. Sommige van die bestanden moeten ook door de andere gebruikers op het systeem gelezen kunnen worden, sommige moeten door iedereen op het internet gelezen kunnen worden en sommige mogen enkel door de gebruiker zelf gelezen kunnen worden.
Om een unieke naam te kunnen garanderen voor alle schijven die gebruikt
worden voor de persoonlijke mappen van gebruikers of voor de gedeelde mappen
en die verspreid kunnen zijn over de verschillende computers van het
schoolnetwerk, kan men ze aankoppelen als
/skole/host/directory/ (d.w.z. /skole/computernaam/mapnaam/)
. Tijdens de installatie wordt op de bestandsserver
initieel één map gemaakt,
/skole/tjener/home0/
, waaronder alle
persoonlijke mappen aangemaakt worden. Extra mappen kunnen naar behoefte
aangemaakt worden, naargelang de noden van specifieke gebruikersgroepen of
van specifieke vormen van gebruik.
Opdat een gedeeld gebruik van bestanden binnen het in UNIX gangbare systeem van gebruiksrechten mogelijk zou zijn, moeten gebruikers deel uitmaken van bijkomende gemeenschappelijke groepen (zoals 'studenten') naast de primaire persoonlijke groep waartoe ze standaard behoren. Indien voor gebruikers een passende umask (002 of 007) geldt, waardoor de nieuwe bestanden die zij aanmaken, voor hun groep toegankelijk gemaakt worden, en indien voor de mappen waarin zij werken de setgid bit ingesteld staat, waardoor de bestanden erin aan de juiste groep toegewezen worden, krijgt men een gecontroleerd systeem van bestandsdeling tussen de leden van een welbepaalde groep.
Welke de initiële toegangsrechten van een nieuw aangemaakt bestand zijn, is
een kwestie van beleidskeuzes. In Debian is de umask standaard 022 (hetgeen
groepstoegang zoals hiervoor beschreven onmogelijk zou maken). Debian Edu
daarentegen gebruikt een umask van 002. Dit betekent dat bestanden
aangemaakt worden met leesrechten voor iedereen. Die kunnen nadien teniet
gedaan worden mits uitdrukkelijke actie door de gebruiker. Deze gang van
zaken kan bijgestuurd worden (door in het bestand
/etc/pam.d/common-session
) de umask op 007
te zetten. Dit houdt in: initieel geen leestoegang en de gebruiker moet
actie ondernemen om zijn bestanden leesbaar te maken voor iedereen. De
eerste benadering moedigt het delen van kennis aan en maakt het systeem
transparanter, terwijl de tweede benadering het risico op het verspreiden
van gevoelige informatie vermindert. Het zwakke punt van de eerste
benadering is dat het voor de gebruiker niet duidelijk is dat het materiaal
dat hij aanmaakt, voor alle andere gebruikers toegankelijk is. Hij kan dit
enkel ontdekken door te gaan kijken in de persoonlijke mappen van andere
gebruikers en vast te stellen dat hij die bestanden kan inkijken. Bij de
tweede benadering bestaat het zwakke punt erin dat slechts weinig mensen
geneigd zullen zijn om hun bestanden voor anderen open te stellen, zelfs al
bevatten die geen gevoelige informatie en zou hun inhoud nuttig kunnen zijn
om de nieuwsgierigheid te prikkelen van gebruikers naar hoe anderen bepaalde
problemen opgelost hebben (in het bijzonder de aanpak inzake configuraties).
Skolelinux biedt keuze uit verschillende mogelijke opstellingen. Het kan geïnstalleerd worden op slechts één autonome computer, maar het kan ook een grootschalige centraal beheerde oplossing bieden aan een groep scholen in een bepaalde regio. Deze flexibiliteit vertaalt zich in grote verschillen inzake de configuratie van netwerkcomponenten, servers en clientmachines.
De betekenis van de verschillende profielen werd verduidelijkt in het hoofdstuk Architectuur van het netwerk.
Indien het de bedoeling is om gebruik te maken van LTSP, raadpleeg dan de wiki-pagina over hardwarevereisten voor LTSP.
De computers met Debian Edu / Skolelinux moeten ofwel een 32-bits (Debian architectuur 'i386' met als oudste nog ondersteunde processors die uit de klasse 686) of een 64-bits (Debian architectuur 'amd64') processor van het type x86 hebben.
Een thin-client kan al functioneren met slechts 256 MiB RAM en een processorsnelheid van 400 MHz, hoewel meer RAM en een snellere processor aanbevolen worden.
Voor werkstations, schijfloze werkstations en autonome systemen gelden als absolute minimumvereisten: 1500 MHz en 1024 MiB RAM. Om een moderne webbrowser en LibreOffice te kunnen gebruiken, wordt minstens 2048 MiB RAM aanbevolen.
De minimale benodigde schijfruimte is afhankelijk van het geïnstalleerde profiel:
combinatie van hoofdserver + LTSP-server: 60 GiB. (plus extra opslagruimte voor gebruikersaccounts).
LTSP-server: 40 GiB.
werkstations en autonome computers: 30 GiB.
Als men de standaardarchitectuur voor het netwerk aanhoudt, moet men LTSP-servers uitrusten met twee netwerkkaarten:
eth0 is verbonden met het hoofdnetwerk (10.0.0.0/8),
eth1 wordt gebruikt om LTSP-clients te bedienen.
Laptops zijn mobiele werkstations. Voor hen gelden dus dezelfde vereisten als voor werkstations.
Een lijst met geteste apparatuur vindt u op https://wiki.debian.org/DebianEdu/Hardware/. Deze lijst is evenwel verre van volledig.
Op https://wiki.debian.org/InstallingDebianOn worden de resultaten gebundeld van inspanningen om te documenteren hoe men op bepaalde specifieke apparatuur Debian kan installeren, configureren en gebruiken. Potentiële kopers van dergelijke apparatuur kunnen zo vooraf nagaan of deze ondersteund wordt, en bezitters ervan hoe ze er optimaal gebruik van kunnen maken.
Wanneer u zich houdt aan de standaard netwerkarchitectuur, gelden de volgende regels:
Er moet exact één hoofdserver zijn, de tjener genaamd.
Er kunnen honderden werkstations aangesloten worden op het hoofdnetwerk.
U kunt veel LTSP-servers aansluiten op het hoofdnetwerk. In LDAP werden twee verschillende subnetten vooraf geconfigureerd (DNS, DHCP) en er kunnen er nog meer aan toegevoegd worden.
Elke LTSP server ondersteunt een subnetwerk waarop honderden thin clients en/of schijfloze werkstations aangesloten kunnen worden.
U kunt daarnaast nog gebruik maken van honderden andere machines waaraan een dynamisch IP-adres toegekend zal worden.
Om toegang te krijgen tot het internet moet u gebruik maken van een router/gateway (zie hierna).
Een router/gateway wiens externe netwerkkaart verbonden wordt met het internet en wiens interne netwerkkaart het IP-adres 10.0.0.1 met netmask 255.0.0.0 toegewezen krijgt, is noodzakelijk om een internetverbinding tot stand te brengen.
De router mag niet fungeren als DHCP-server. Er mag een DNS-server op draaien, al is dit niet nodig. Hij zal trouwens niet gebruikt worden.
Indien u reeds over een router beschikt, maar niet in de mogelijkheid verkeert om hem te configureren zoals het moet (omdat het u niet toegestaan wordt of omwille van technische redenen), kunt u van een oudere computer met twee netwerkkaarten een gateway tussen het bestaande netwerk en dat van Debian Edu maken.
Een eenvoudige werkwijze is om op deze computer Debian Edu te installeren; selecteer tijdens de installatie het profiel 'Minimal'.
Voer na installatie het commando
/usr/share/debian-edu-config/tools/configure-edu-gateway
--firewall <yes|no>
uit waarmee de volgende
wijzigingen aangebracht worden:
Het bestand /etc/network/interfaces aanpassen.
De hostname (computernaam) definitief in 'gateway' veranderen.
Overtollige scripts verwijderen.
IP forwarding en NAT mogelijk maken voor het 10.0.0.0/8 netwerk.
Een firewall installeren (facultatief).
Indien u iets zoekt voor een ingebouwd type router of toegangspunt, raden we u OpenWRT aan, hoewel u er uiteraard ook de originele firmware op kunt laten staan. De originele firmware gebruiken is eenvoudiger; OpenWRT gebruiken geeft u meer keuzemogelijkheden en meer controle. Op de website van OpenWRT kunt u een lijst vinden van ondersteunde hardware.
Het is mogelijk om een andere netwerkopstelling te gebruiken (er bestaat een vastgelegde werkwijze om dit te doen), maar indien u niet gedwongen wordt door een reeds bestaande netwerkinfrastructuur om dit te doen, raden we u dit af en bevelen wij u aan om het bij de standaard netwerkarchitectuur te houden.
Alvorens u begint met het installeren van een systeem voor productiedoeleinden, raden we u aan eerst de Notities bij de release van Debian Bullseye te lezen of er op zijn minst eens naar te kijken. Meer informatie over de uitgave van Bullseye is te vinden in de installatiehandleiding.
Probeer Debian Edu/Skolelinux maar gerust uit. Het werkt gewoon vanzelf.
Het verdient evenwel aanbeveling om de hoofdstukken over hardware- en netwerkvereisten en over de architectuur te lezen voor u een hoofdserver begint te installeren.
Zorg er ook voor om het hoofdstuk aan de slag van deze handleiding te lezen, want daarin staat uitgelegd hoe u zich voor de eerste maal bij het systeem moet aanmelden.
amd64
en
i386
zijn de namen van twee
Debian-architecturen voor de x86-CPU's. Allebei worden of werden gemaakt
door AMD, Intel en andere
fabrikanten. amd64
is een 64-bits
architectuur en i386
een 32-bits
architectuur. Tegenwoordig moeten nieuwe installaties gebeuren met
amd64
.
i386
moet enkel nog gebruikt worden voor
oude hardware.
Het netinst iso-image kan gebruikt worden voor een installatie vanaf cd/dvd of vanaf USB-stick. Het is beschikbaar voor twee Debian-architecturen: amd64 en i386. Zoals uit de naam af te leiden valt, is toegang tot het internet nodig voor de installatie.
Nadat Bullseye vrijgegeven zal zijn, zullen deze images gedownload kunnen worden van:
Dit ISO-image is ongeveer 5 GB groot en kan gebruikt worden voor het installeren van amd64- en i386-computers, ook zonder internettoegang. Net als het netinst-image kan het op een USB-stick of op een schijf met voldoende opslagcapaciteit geplaatst worden.
Nadat Bullseye vrijgegeven zal zijn, zullen deze images gedownload kunnen worden van:
Een onderdeel van de Debian-CD FAQ bevat gedetailleerde instructies voor het verifiëren van deze images.
De broncode kunt u vinden in het Debian-archief op de gebruikelijke locaties. Er is een link naar verschillende media beschikbaar op https://get.debian.org/cdimage/release/current/source/
Wanneer u een installatie van Debian Edu uitvoert, heeft u enkele keuzemogelijkheden. Wees niet bevreesd. Het zijn er niet veel. We hebben veel geïnvesteerd om de complexiteit van Debian tijdens de installatie en nadien verborgen te houden. Niettemin, Debian Edu is Debian, en indien u dit wenst, heeft u de keuze uit meer dan 57.000 pakketten en een miljard configuratieopties. Voor de meerderheid van onze gebruikers zouden de standaardinstellingen moeten voldoen. Merk op: kies voor een lichtgewicht grafische werkomgeving, indien u zinnens bent LTSP te gebruiken.
Een gangbaar school- of thuisnetwerk met internettoegang via een router die DHCP aanbiedt:
De installatie van een hoofdserver is mogelijk, maar na het herstarten zal er geen internettoegang zijn (dit omdat het IP-adres van de eerste netwerkkaart 10.0.2.2/8 is).
Raadpleeg het hoofdstuk Internetrouter voor informatie over het opzetten van een gateway als het niet mogelijk is om een bestaand exemplaar volgens de vereisten te configureren.
Verbind alle componenten zoals geïllustreerd wordt in het hoofdstuk architectuur.
De hoofdserver zou toegang tot het internet moeten hebben nadat hij voor de eerste keer opgestart werd in de correcte omgeving.
Een gangbaar netwerk voor een school of een instelling, vergelijkbaar met dat hiervoor, maar waarbij het gebruik van een proxy vereist is.
Voeg 'debian-edu-expert' toe aan de commandoregel van de kernel. Zie hierna voor meer informatie over hoe u dit doet.
Enkele bijkomende vragen moeten beantwoord worden, met inbegrip van die welke betrekking heeft op de proxyserver.
Netwerk met een router/gateway met IP-adres 10.0.0.1/8 (die niet voorziet in een DHCP-server) en internettoegang:
Van zodra de automatisch netwerkconfiguratie mislukt (omdat er geen DHCP is), kiest u voor de handmatige netwerkconfiguratie.
Geef 10.0.2.2/8 op als IP-adres van de computer
Geef 10.0.0.1 op als IP-adres van de gateway
Geef 8.8.8.8 op als IP-adres van de naamserver, tenzij u het adres kent
Na de eerste opstart zou de hoofdserver gewoon moeten functioneren.
Offline (zonder internettoegang):
Gebruik het BD ISO-image.
Zorg ervoor dat alle (echte/virtuele) netwerkkabels losgekoppeld zijn.
Kies 'Het netwerk nu niet configureren' (nadat DHCP er niet in slaagde het netwerk te configureren en u op 'Doorgaan' drukte).
Werk het systeem bij nadat u het voor de eerste keer opstartte in de correcte omgeving met internettoegang.
Er zijn verschillende grafische werkomgevingen beschikbaar:
Xfce heeft een voetafdruk die lichtjes groter is dan die van LXDE, maar biedt een zeer goede taalondersteuning (106 talen).
KDE en GNOME hebben beide een goede taalondersteuning, maar hebben een te zware voetafdruk voor oudere computers en voor LTSP-clients.
Cinnamon is een lichter alternatief voor GNOME.
MATE is lichter dan de drie voorgaande, maar voor verschillende landen ontbreekt een goede taalondersteuning.
LXDE heeft de kleinste voetafdruk en biedt ondersteuning voor 35 talen.
LXQt is een lichtgewicht grafische werkomgeving (met een vergelijkbare taalondersteuning als LXDE) die moderner oogt en aanvoelt (gebaseerd op Qt net zoals KDE).
Als internationaal project heeft Debian Edu ervoor gekozen Xfce te gebruiken als standaard grafische werkomgeving. Zie hierna hoe u er een andere kunt instellen.
Indien u een systeem installeert met het profiel Werkstation, dan worden een heleboel programma's voor het onderwijs geïnstalleerd. Wilt u enkel het basisprofiel installeren, verwijder dan de kernel-commandoregelparameter desktop=xxxx voor u met de installatie begint. Zie hieronder voor verdere details over hoe dit moet gebeuren. Dit laat toe om een locatiespecifiek systeem te installeren en kan gebruikt worden om testinstallaties te versnellen.
Opmerking: indien u nadien een grafische werkomgeving wenst te installeren, gebruik dan niet de meta-pakketten van Debian Edu, zoals bijvoorbeeld education-desktop-mate, aangezien deze alle onderwijsgerelateerde programma's zullen installeren. Kies eerder voor het installeren van bijvoorbeeld task-mate-desktop. Eventueel kunnen een of meer van de nieuwe aan het schoolse niveau gekoppelde meta-pakketten (education-preschool, education-primaryschool, education-secondaryschool, education-highschool) geïnstalleerd worden om aan de specifieke gebruikscontext tegemoet te komen.
Raadpleeg voor details over de meta-pakketten van Debian Edu de overzichtspagina van pakketten van Debian Edu.
Opstartmenu van het installatieprogramma op 64-bits hardware
Graphical install gebruikt het grafische GTK-installatieprogramma waarin u de muis kunt gebruiken.
Install gebruikt de tekstmodus.
Advanced options > biedt een sub-menu met meer uitgebreide keuzemogelijkheden.
Help geeft aanwijzingen bij het gebruik van het installatieprogramma. Zie de schermafdrukken hieronder.
Back.. brengt u terug naar het hoofdmenu.
Graphical expert install legt alle beschikbare vragen voor; de muis kan gebruikt worden.
Graphical rescue mode doet dit installatiemedium als een reparatie-cd fungeren, zodat u noodbewerkingen kunt uitvoeren.
Graphical automated install heeft een bestand nodig waarmee een aantal configuratieopties aan het installatieprogramma doorgegeven worden. De grafische modus wordt gebruikt.
Expert install legt alle beschikbare vragen voor en gebruikt de tekstmodus.
Rescue mode tekstmodus; doet dit installatiemedium als een reparatie-cd fungeren, zodat u noodbewerkingen kunt uitvoeren.
Automated install tekstmodus; heeft een bestand nodig waarmee een aantal configuratieopties aan het installatieprogramma doorgegeven worden.
Gebruik Graphical expert install
of
Expert install
niet. Gebruik in de plaats
daarvan debian-edu-expert
als extra
kernel-parameter in uitzonderlijke gevallen.
Hulpscherm
Dit hulpscherm vraagt geen nadere uitleg. Het maakt de <F>-toetsen van het toetsenbord actief om meer uitgebreide hulp te krijgen in verband met het behandelde onderwerp.
Opstartparameters voor installaties toevoegen of wijzigen
In beide gevallen kunt u de opstartopties van het installatiesysteem bewerken door in het opstartmenu op de TAB-toets (BIOS-modus) of de E-toets (UEFI-modus) te drukken. Op de schermafdruk ziet u de commandoregel van de Grafische installatie.
U kunt een bestaande HTTP proxydienst op het netwerk gebruiken om de
installatie van het hoofdserverprofiel vanaf een cd te versnellen. Geef
bijvoorbeeld
mirror/http/proxy=http://10.0.2.2:3128/
als
bijkomende opstartparameter op.
Indien u de installatie van het hoofdserverprofiel reeds voltooid heeft, moet u de andere installaties via PXE laten verlopen. Zo wordt automatisch de proxydienst van de hoofdserver gebruikt.
Om de grafische werkomgeving GNOME te
installeren in plaats van de standaard grafische werkomgeving Xfce, moet u in de parameter
desktop=xfce
xfce
vervangen door
gnome
.
Om in plaats daarvan de grafische werkomgeving LXDE te installeren, gebruikt u
desktop=lxde
.
Om in plaats daarvan de grafische werkomgeving LXQt te installeren, gebruikt u
desktop=lxqt
.
Om in plaats daarvan de grafische werkomgeving KDE
Plasma te installeren, gebruikt u
desktop=kde
.
Om in plaats daarvan de grafische werkomgeving Cinnamon te installeren, gebruikt u
desktop=cinnamon
.
En om in plaats daarvan de grafische werkomgeving MATE te installeren, gebruikt u
desktop=mate
.
Houd rekening met de systeemvereisten en zorg ervoor dat er minstens twee netwerkkaarten (NIC's) aanwezig zijn, indien u van plan bent om een LTSP-server te installeren.
Kies een taal (voor de installatie en voor het geïnstalleerd systeem)
Kies een plaats. Meestal is dit de plaats waar u woont.
Kies een toetsenbordindeling (meestal is de standaard toetsenbordindeling voor uw land oké).
Kies (een) profiel(en) uit de volgende lijst:
Hoofdserver
Dit is de hoofdserver (tjener) van uw school, waarop alle diensten klaar voor gebruik vooraf geconfigureerd worden. U mag slechts één hoofdserver per school installeren! Dit profiel voorziet niet in een grafische gebruikersomgeving. Indien u wel een grafische gebruikersomgeving wenst op de hoofdserver, dan dient u bijkomend het profiel werkstation of LTSP-server te installeren.
Werkstation
Dit is een computer die, zoals een gewone computer, opstart vanaf de lokale harde schijf, alle programma's lokaal uitvoert en alle apparaten vanaf de lokale computer aanspreekt. Enkel de authenticatie van de gebruikers gebeurt door de hoofdserver en daarop worden ook hun bestanden en de configuratie van hun werkomgeving opgeslagen.
Mobiel werkstation
Is hetzelfde als een werkstation, maar is in staat om authenticatie uit te voeren met behulp van lokaal opgeslagen verificatie-informatie, zodat het ook buiten het schoolnetwerk gebruikt kan worden. De bestanden van de gebruiker en de configuratie van diens werkomgeving worden op de lokale harde schijf bewaard. In tegenstelling tot het advies dat we in eerdere uitgaven van Skolelinux gaven, moet u voor persoonlijke notebooks en laptops dit profiel kiezen en niet het profiel 'werkstation' of het profiel 'autonome computer'.
LTSP-server
Een server voor thin-clients (en schijfloze werkstations) wordt LTSP-server genoemd. Clients zonder harde schijf starten op en voeren programma's uit vanaf deze server. Deze computer moet twee netwerkkaarten hebben, veel geheugen en idealiter meer dan één processor of meerdere processorkernen. Raadpleeg het hoofdstuk over netwerkclients voor meer informatie. Indien u dit profiel kiest, wordt ook automatisch het profiel werkstation geactiveerd (zelfs als u het niet expliciet selecteert) - een LTSP-server kan steeds ook als werkstation dienst doen.
Autonome computer
Een gewone computer die geen hoofdserver nodig heeft om te kunnen functioneren. Hij heeft dus geen netwerk nodig. Ook geschikt voor laptops.
Minimaal
Met dit profiel worden enkel de pakketten van het basissysteem geïnstalleerd en wordt de machine nadien geconfigureerd om deel uit te maken van het netwerk van Debian Edu. Er worden geen diensten en geen toepassingssoftware op geïnstalleerd. Een computer met een dergelijk profiel is nuttig om dienst te doen als platform voor een specifieke dienst die men van de hoofdserver manueel daarnaartoe verhuist.
Wanneer gewone gebruikers een dergelijk systeem zouden moeten kunnen gebruiken, moet het worden toegevoegd met GOsa² (naar analogie met een werkstation) en moet het libpam-krb5-pakket worden geïnstalleerd.
De profielen Hoofdserver, Werkstation en LTSP-server staan voorgeselecteerd. Deze profielen kunnen samen op één machine geïnstalleerd worden indien u een zogenaamde gecombineerde hoofdserver wilt installeren. Dit betekent dat de hoofdserver tegelijk ook een LTSP-server zal zijn en als werkstation gebruikt kan worden. Dit staat ingesteld als standaardkeuze, omdat we ervan uitgaan dat de meeste mensen dit wensen. Denk eraan dat een machine die als gecombineerde hoofdserver of als LTSP-server dienst zal doen over 2 netwerkkaarten moet beschikken om na installatie bruikbaar te zijn.
Kies 'ja' of 'neen' bij de vraag in verband met automatische schijfindeling. Weet dat 'ja' antwoorden alle gegevens op de harde schijf wist! 'Neen' antwoorden anderzijds, brengt meer werk met zich mee. U zult er op moeten toezien dat de benodigde partities aangemaakt worden en groot genoeg zijn.
Wij hebben graag dat u 'ja' antwoordt op de vraag of informatie mag doorgestuurd worden naar http://popcon.debian.org/. Dit laat ons toe om een beter inzicht te verwerven in welke pakketten populair zijn en zeker behouden moeten blijven in toekomstige uitgaves. U bent er uiteraard niet toe verplicht, maar u kunt er ons op een eenvoudige manier mee helpen.
Heb wat geduld. Indien het profiel LTSP-server een van de geselecteerde profielen is, zal het installatiesysteem op het einde behoorlijk wat tijd nodig hebben bij de melding 'De installatie afronden - Bezig met het uitvoeren van debian-edu-profile-udeb...'
Nadat u het beheerderswachtwoord hebt ingevoerd, zal men u vragen om een gebruikersaccount aan te maken 'voor andere taken dan die van systeembeheer'. Voor Debian Edu is dit een zeer belangrijk account: met dit account zult u het netwerk van Skolelinux beheren.
Het wachtwoord van deze gebruiker moet minstens 5 tekens lang zijn en moet verschillen van de gebruikersnaam - anders wordt zich aanmelden onmogelijk (ook al zal het installatieprogramma een korter wachtwoord en een wachtwoord dat identiek is aan de gebruikersnaam aanvaarden).
Wacht na het herstarten van het systeem opnieuw in het geval van een gecombineerde hoofdserver. Het zal behoorlijk wat tijd kosten om het SquashFS-image voor schijfloze werkstations te genereren.
In het geval van een afzonderlijke LTSP-server, vereisen de instellingen voor schijfloze werkstations en/of thin clients enkele handmatige stappen. U vindt bijkomende informatie in het hoofdstuk HowTo voor netwerkclients.
Meest voor de hand liggend is dat u hiervoor het profiel 'Mobiel werkstation' kiest (zie eerder). U dient wel te weten dat alle gegevens lokaal bewaard worden. (Besteed dus extra zorg aan backups). Er wordt ook lokaal een spiegelkopie met de aanmeldingsinformatie bijgehouden. (Indien u dus uw wachtwoord wijzigt op het schoolnetwerk, zult u op uw laptop nog steeds uw oude wachtwoord moeten gebruiken, totdat u uw laptop opnieuw aansluit op het schoolnetwerk en u daar aanmeldt met uw nieuwe wachtwoord.)
Na een installaties met het image voor USB-stick / blu-rayschijf, zal het
bestand /etc/apt/sources.list
enkel dat
medium vermelden als pakketbron. Indien u over een internetverbinding
beschikt, raden we u ten stelligste aan om aan het bestand de volgende
regels toe te voegen, zodat eventuele veiligheidsupdates toegepast kunnen
worden:
deb http://deb.debian.org/debian/ bullseye main deb http://security.debian.org bullseye-security main
Een netinst-installatie (het type installatie dat onze cd aanbiedt) haalt sommige pakketten op van de cd en de rest van het net. Hoeveel pakketten er via het net opgehaald worden varieert naargelang het gekozen profiel, maar het volume blijft beneden 1 gigabyte (tenzij u gekozen heeft om alle mogelijke grafische werkomgevingen te installeren). Eens u de hoofdserver geïnstalleerd heeft (of het een pure hoofdserver of een combiserver is, maakt niet uit), zal voor de installatie van andere computers gebruik gemaakt worden van diens proxyserver en zo vermijden dat hetzelfde pakket verschillende keren gedownload wordt.
Het is mogelijk om een .iso
image voor
cd/BD rechtstreeks te kopiëren naar een USB-stick (ook soms aangeduid met de
term 'USB flash drive') en hiervan op te starten. Geef eenvoudigweg volgende
opdracht, waarbij u de bestandsnaam en de naam aanpast aan uw specifieke
situatie:
sudo cat debian-edu-amd64-XXX.iso >
/dev/sdX
Om de waarde van X te bepalen, moet u het volgende commando uitvoeren voor en na het plaatsen van het USB-apparaat in de USB-poort:
lsblk -p
Merk op dat het kopiëren heel wat tijd in beslag zal nemen.
Afhankelijk van het gebruikte image, zal de USB-stick zich gedragen als een cd of een blu-rayschijf.
Deze installatiemethode vereist dat u een werkende hoofdserver
heeft. Wanneer clients over het netwerk opstarten, wordt een iPXE-menu
getoond met installatie- en opstartopties. Indien de installatie via PXE
mislukt met de foutmelding dat het bestand XXX.bin ontbreekt, dan is de
meest waarschijnlijke oorzaak te vinden in het feit dat voor het
functioneren van de netwerkkaart van de client niet-vrije
fabrieksprogrammatuur nodig is. In een dergelijk geval moet het initrd van
het installatieprogramma van Debian aangepast worden. Dit doet u door op de
server de volgende opdracht te geven:
/usr/share/debian-edu-config/tools/pxe-addfirmware
.
Indien u koos voor een Hoofdserver met uitsluitend het hoofdserverprofiel, ziet het menu van iPXE er zo uit:
Met het profiel van LTSP-server, ziet het menu van iPXE er zo uit:
Een dergelijke opstelling laat toe om ook schijfloze werkstations en thin clients over het hoofdnetwerk op te starten. Anders dan het geval is bij werkstations en afzonderlijke LTSP-servers, moet u schijfloze werkstations niet ingeven in LDAP met GOsa².
U vindt bijkomende informatie over netwerkclients in het hoofdstuk HowTo voor netwerkclients.
Een PXE-installatie geeft via een bestand een aantal configuratieopties door aan het installatieprogramma van Debian. Dit bestand met configuratieopties kan aangepast worden om de installatie van bijkomende pakketten te vragen.
Voeg aan het bestand
tjener:/etc/debian-edu/www/debian-edu-install.dat
een regel toe in de zin van
d-i pkgsel/include string mijn-extra-pakket(ten)
Een PXE-installatie gebruikt het bestand
/etc/debian-edu/www/debian-edu-install.dat
dat de voorgeprogrammeerde configuratieopties bevat. Door dit bestand te
bewerken kunt u het voorgeprogrammeerde installatieproces beïnvloeden en op
die manier vermijden dat u bij een installatie over het netwerk een groter
aantal vragen moet beantwoorden. U kunt dit effect ook nog op een andere
manier bereiken, namelijk door extra instellingen op te nemen in de
bestanden /etc/debian-edu/pxeinstall.conf
en
/etc/debian-edu/www/debian-edu-install.dat.local
.
Nadien moet u de opdracht
/usr/sbin/debian-edu-pxeinstall
uitvoeren
om de gegenereerde bestanden bij te werken.
Bijkomende informatie vindt u in de handleiding bij het installatieprogramma van Debian.
Om de proxyserver uit te schakelen of diens gedrag aan te passen bij een
installatie via PXE, moet u in het bestand
tjener:/etc/debian-edu/www/debian-edu-install.dat
de regels met
mirror/http/proxy
,
mirror/ftp/proxy
en
preseed/early_command
aanpassen. Om het
gebruik van een proxyserver uit te schakelen, zet u een '#' aan het begin
van de eerste twee regels en moet u het gedeelte met de tekst
'export http_proxy="http://webcache:3128";
' wissen in de laatste regel.
Sommige instellingen kunnen niet voorgeprogrammeerd worden omdat het
installatieprogramma ze al nodig heeft vooraleer het bestand met
voorgeprogrammeerde opties opgehaald wordt. Taalkeuze, toetsenbordindeling
en grafische werkomgeving zijn voorbeelden van dergelijke
instellingen. Indien u de standaardinstellingen wilt wijzigen, moet u op de
hoofdserver het bestand voor het iPXE-menu
/srv/tftp/ltsp/ltsp.ipxe
bewerken.
Zelf een installatie-cd, -dvd of -blu-ray-schijf op maat aanmaken hoeft helemaal niet moeilijk te zijn, aangezien we het installatieprogramma van Debian gebruiken met zijn modulair ontwerp en nog andere fijne eigenschappen. In een bestand met voorgeprogrammeerde configuratieopties kunt u de antwoorden meegeven op vragen die u anders tijdens het installatieproces zouden gesteld worden.
Het enige wat u dus moet doen is een bestand maken met uw voorgeprogrammeerde configuratieopties (hoe u dit doet, wordt uitgelegd in de bijlage bij de installatiehandleiding voor Debian) en uw eigen cd/dvd op maat aanmaken.
Een installatie in tekstmodus is functioneel identiek aan een installatie in grafische modus. Ze verschillen enkel van uitzicht. In de grafische modus kunt u de muis gebruiken en natuurlijk ziet die er ook mooier en moderner uit. Tenzij de apparatuur problemen zou geven, is er geen enkele reden om de grafische modus niet te gebruiken.
Hier volgt dus een rondleiding langs enkele schermafdrukken van een 64-bits grafische installatie van Hoofdserver + Werkstation + LTSP-server, van het scherm dat u te zien krijgt als u de hoofdserver voor het eerst opstart, en van het scherm dat u ziet bij het opstarten via PXE van een computer op het netwerk voor LTSP-clients (scherm van een thin-clientsessie - en login-scherm nadat rechts de sessie aangeklikt werd).
Tijdens de installatie van de hoofdserver heeft u een eerste
gebruikersaccount aangemaakt. In het vervolg zullen we die 'de eerste
gebruiker' noemen. Het gaat om een speciaal account, omdat de
gebruiksrechten van zijn persoonlijke map ingesteld werden op 700 (daarom
moet hij de opdracht chmod o+x ~
geven om
zijn persoonlijke webpagina's toegankelijk te maken), en omdat hij de
mogelijkheid heeft om via het commando sudo
systeembeheerder te worden.
Raadpleeg de informatie over de voor Debian Edu specifieke configuratie van de bestandssysteemtoegang voor u begint met het toevoegen van gebruikers. Pas ze zo nodig aan overeenkomstig het beleid op uw locatie.
De eerste dingen die u als eerste gebruiker te doen staan na de installatie:
Inloggen op de server.
Gebruikers toevoegen met GOsa².
Werkstations toevoegen met GOsa².
Hierna gaan we meer in detail in op het toevoegen van gebruikers en werkstations. Lees dus alstublieft dit hoofdstuk volledig. Het beschrijft hoe u deze onontbeerlijke stappen op een correcte manier kunt zetten, en het behandelt ook nog andere taken die iedereen wellicht zal moeten uitvoeren.
Elders in deze handleiding is hierover meer informatie te vinden: iedereen die vertrouwd is met eerdere uitgaves zou het hoofdstuk Nieuwe functionaliteit in Bullseye moeten lezen. En wie van een eerdere versie opwaardeert, moet zeker het hoofdstuk Opwaarderingen lezen.
Indien het algemeen uitgaand DNS-verkeer voor uw netwerk geblokkeerd wordt
en indien u een specifieke DNS-server nodig heeft om internetadressen op te
zoeken, dient u de DNS-server de instructie te geven om die server te
gebruiken als zijn 'verzender' (forwarder). Pas daartoe het bestand
/etc/bind/named.conf.options
aan en vermeld
daarin het IP-adres van de DNS-server die gebruikt moet worden.
Het hoofdstuk HowTo geeft nog meer handige wenken en behandelt ook enkele veel voorkomende vragen.
GOsa² is een op het web gebaseerd hulpmiddel voor het beheer van een aantal belangrijke onderdelen van uw configuratie van Debian Edu. Met GOsa² doet u het beheer (toevoegen, wijzigen of verwijderen) van de volgende hoofdgroepen:
Gebruikersbeheer
Het beheer van groepen
Het beheer van de NIS Netgroup
Het beheer van machines
Het DNS-beheer
Het DHCP-beheer
Om het programma GOsa² te kunnen gebruiken is de hoofdserver van Skolelinux nodig en een (client)systeem waarop een webbrowser geïnstalleerd staat. Dit kan de hoofdserver zelf zijn indien u hem als een zogenaamde gecombineerde server (hoofdserver + LTSP-server + werkstation) hebt geïnstalleerd.
Indien u (misschien onbedoeld) een zuiver hoofdserver-profiel geïnstalleerd heeft en niet onmiddellijk een clientcomputer met een webbrowser bij de hand hebt, kunt u er gemakkelijk een minimale grafische werkomgeving op installeren. Als eerste gebruiker (de gebruiker die u aanmaakte tijdens de installatie van de hoofdserver) geeft u daartoe aan de commandolijn in een (niet-grafische) shell de volgende reeks opdrachten:
$ sudo apt update $ sudo apt install task-desktop-xfce lightdm education-menus ### geef na installatie de opdracht 'sudo service lightdm start' ### login als eerste gebruiker
Geef uw webbrowser het volgende adres (URL) op: https://www/gosa. Dit opent het toegangsscherm voor GOsa². Meld u daar aan als de eerste gebruiker.
Indien u een vers geïnstalleerde computer met Debian Edu Bullseye gebruikt, zal de browser het certificaat van de site kennen.
Anders krijgt u een foutmelding over een ongeldig SSL-certificaat. Indien u er zeker van bent dat u op dat ogenblik de enige gebruiker bent op het netwerk, kunt u de browser gerust opdragen de foutmelding te negeren en het certificaat te accepteren.
Nadat u zich bij GOsa² aangemeld heeft, krijgt u de overzichtspagina van het programma.
Vervolgens kunt u in het menu of via het aanklikken van een icoon op de overzichtspagina een taak kiezen. Voor navigatiedoeleinden raden we u het gebruik aan van het menu aan de linkerkant van het scherm, aangezien dat zichtbaar blijft zolang u met de beheerstaken bezig bent, ongeacht op welke specifieke pagina van GOsa² u zich bevindt.
In Debian Edu wordt informatie over accounts, groepen en systemen opgeslagen in een register van LDAP. Deze gegevens worden niet enkel door de hoofdserver gebruikt, maar ook door de (schijfloze) werkstations, de LTSP-servers en andere machines op het netwerk. Dankzij LDAP moeten de accountgegevens van studenten, leerkrachten, enz., slechts eenmaal ingevoerd worden. Nadat de gegevens in LDAP ingevoerd zijn, staat die informatie ter beschikking van alle systemen op het volledige Skolelinux-netwerk.
GOsa² is een hulpmiddel voor beheerders dat gebruik maakt van LDAP om informatie op te slaan en in een hiërarchisch opgebouwde departementale structuur te ordenen. Binnen elk 'departement' kunt u gebruikersaccounts, groepen, systemen, netgroepen, enzoverder toevoegen. Rekening houdend met de organisatiestructuur van uw instelling, kunt u gebruik maken van het departementaal gestructureerde GOsa²/LDAP om die organisatiestructuur over te nemen in de gegevensboom van LDAP op de hoofdserver van Debian Edu.
Een standaardinstallatie van een hoofdserver van Debian Edu kent momenteel, naast het basale niveau van de LDAP-boomstructuur, twee 'departementen': Leerkrachten en Studenten. Het is de bedoeling om de accounts voor studenten in het departement 'Studenten' aan te maken en die voor leerkrachten in het departement 'Leerkrachten'; systemen (servers, werkstations, printers, enzovoort) worden momenteel ingevoerd op het basisniveau. U kunt zelf een structuurschema ontwikkelen om deze structuur aan uw eigen behoeften aan te passen. (In het hoofdstuk Howto/Systeembeheer voor gevorderden van deze handleiding wordt bij wijze van voorbeeld uitgelegd hoe u gebruikers in jaargroepen kunt indelen met voor iedere groep met de groep gedeelde persoonlijke mappen.)
Afhankelijk van de taak waaraan u wenst te werken (gebruikersbeheer, groepsbeheer, machinebeheer, enzovoort), zal GOsa² u een aangepast zicht geven op het gekozen departement (of op het basale niveau).
Klik eerst op 'Users' (Gebruikers) in het linker navigatiemenu. De rechterzijde van het scherm wijzigt en toont nu een tabel met de mappen 'Students' (Studenten) en 'Teachers' (Leerkrachten) en het account van beheerder van GOsa² (de eerst aangemaakte gebruiker). Boven deze tabel ziet u een veld met de naam Base. Hiermee kunt u navigeren in de boomstructuur (beweeg de muis over die plaats en u krijgt een uitklapmenu) en kunt u een basismap kiezen voor de geplande werkzaamheden (bijvoorbeeld een nieuwe gebruiker toevoegen).
Naast dit navigatie-item uit de boomstructuur ziet u het menu 'Actions' (Acties). Beweeg de muis over dit item en op het scherm wordt een submenu zichtbaar; kies hier 'Create' (Aanmaken) en vervolgens 'User' (Gebruiker). De assistent begeleidt u bij het aanmaken van het gebruikersaccount.
De belangrijkste in te voeren gegevens zijn het te gebruiken sjabloon (newstudent (nieuwe student) of newteacher (nieuwe leerkracht)) en de volledige naam van de nieuwe gebruiker (zie de afbeelding).
Terwijl u voortgaat in de assistent, zult u merken dat GOsa² een gebruikersnaam heeft aangemaakt, afgeleid van de echte naam van de gebruiker. Het programma maakte automatisch een gebruikersnaam aan die nog niet in gebruik is. Dit betekent dat meerdere gebruikers met een volledig identieke naam geen enkel probleem vormen voor GOsa². Wees wel attent voor het feit dat GOsa² soms een ongeldige gebruikersnaam aanmaakt in het geval de echte naam niet-ASCII tekens bevat.
Indien u niet gelukkig bent met de aangemaakte gebruikersnaam, kunt u in het
uitklappend kader een ander voorstel kiezen. Maar u hebt hier in de
assistent niet de mogelijkheid om vrij een gebruikersnaam te kiezen (indien
u de mogelijkheid wenst te hebben om de voorgestelde gebruikersnaam te
bewerken, moet u in een editor het bestand
/etc/gosa/gosa.conf
openen en de regel
allowUIDProposalModification="true"
toevoegen als bijkomende optie in de sectie 'location definition'.)
Als u de assistent doorlopen heeft, toont GOsa² u een scherm met de fiche van de nieuwe gebruiker. Gebruik de tabbladen bovenaan om de ingevulde velden na te kijken.
Nadat u de nieuwe gebruiker heeft aangemaakt, klikt u op de knop 'Ok' in de rechterbenedenhoek. (Op dit ogenblik moet u zich nog geen zorgen maken over de velden die door de assistent niet ingevuld werden.)
Als laatste stap zal GOsa² u om een wachtwoord voor de nieuwe gebruiker vragen. Tik het tweemaal in en klik dan op de knop 'Set password' (Wachtwoord instellen) in de rechterbenedenhoek. Bepaalde lettertekens kunnen niet toegestaan zijn voor gebruik in een wachtwoord.
Als alles naar behoren verliep, kunt u de nieuwe gebruiker nu zien staan in de tabel die de lijst van gebruikers weergeeft. Vanaf nu is het mogelijk om zich met die gebruikersnaam op uw netwerk aan te melden vanaf elke machine van Skolelinux.
Om een gebruiker te wissen of zijn gegevens aan te passen, bladert u met GOsa² door de lijst van gebruikers op uw systeem. In het midden van uw scherm kunt u het 'Filter'-kader openen. Dit is een zoekinstrument van GOsa². Indien u zich de exacte plaats van de gebruiker binnen uw boomstructuur niet meer herinnert, daalt u af naar het basisniveau van de GOsa²/LDAP boomstructuur en voert u daar de zoekopdracht in met als aangevinkte optie 'Search in subtrees' (zoeken in sub-bomen).
Als u het 'Filter'-kader gebruikt, wordt het resultaat onmiddellijk zichtbaar middenin de tekst met de uitdraai van de tabel. Iedere regel stelt een gebruikersaccount voor en de meest rechtse items op iedere regel zijn kleine icoontjes die mogelijke acties symboliseren: de gegevens van deze gebruiker bewerken, het account blokkeren, een wachtwoord instellen en de gebruiker verwijderen.
U krijgt een nieuw scherm, waarin u de informatie over de gebruiker rechtstreeks kunt bewerken, zijn wachtwoord kunt wijzigen en wijzigingen kunt aanbrengen in de lijst van groepen waarvan hij lid is.
Studenten kunnen hun eigen wachtwoord wijzigen door zich met hun eigen gebruikersnaam bij GOsa² aan te melden. Om de toegang tot GOsa² te vergemakkelijken is een item Gosa te vinden in het menu Systeem (of Systeeminstellingen) van het bureaublad. Een aangemelde student krijgt een heel minimale versie van GOsa² te zien, die hem enkel toegang verschaft tot de gegevens betreffende zijn eigen account en tot het dialoogvenster wachtwoord instellen.
Leerkrachten die zich met hun eigen account aanmelden bij GOsa² hebben bijzondere rechten. Ze krijgen een meer uitgebreide versie van GOsa² te zien en kunnen het wachtwoord van alle studenten wijzigen. Dit kan erg handig zijn tijdens de les.
Als beheerder een nieuw wachtwoord instellen voor een gebruiker
zoek, zoals hiervoor uitgelegd, de gebruiker op wiens wachtwoord gewijzigd moet worden
op het einde van de regel waarin u de gebruikersnaam terugvindt, klikt u op het symbool van de sleutel
op het scherm dat daarop verschijnt, kunt u een nieuw door uzelf gekozen wachtwoord instellen
Wees u bewust van de mogelijke veiligheidsrisico's bij het gebruiken van gemakkelijk te raden wachtwoorden!
Met GOsa² is het mogelijk om in een keer een heleboel gebruikersaccounts aan
te maken door middel van een CSV-bestand, dat u kunt aanmaken met behulp van
elk goed rekenbladprogramma (bijvoorbeeld
localc
). De gegevens van minstens de
volgende velden moeten ingevuld worden: gebruikersidentificatie (uid),
familienaam (sn), voornaam (givenName) en wachtwoord. Draag er zorg voor dat
er geen uid-velden zijn met identieke inhoud. Daarbij moet u ook rekening
houden met de inhoud van de reeds in LDAP aanwezige uid-velden (een
overzicht daarvan kunt u krijgen door aan de commandolijn de opdracht
getent passwd | grep tjener/home | cut -d':'
-f1
in te geven).
Zo een CSV-bestand moet het volgende formaat hebben (wat dat betreft gedraagt GOsa² zich niet echt tolerant):
Gebruik ',' als scheidingsteken tussen velden
Gebruik geen aanhalingstekens
Het CSV-bestand mag geen kopregel bevatten (waarin gewoonlijk de kolomnamen staan)
De volgorde van de velden heeft geen belang. De velden kunnen gedefinieerd worden op het ogenblik dat u de gegevens in GOsa² importeert
Het importeren omvat volgende stappen:
klik in het linkernavigatiemenu op de link naar 'LDAP tools' (LDAP-hulpmiddelen)
klik in het rechterscherm op het tabblad 'Import' (Importeren)
blader door uw lokale harde schijf en selecteer het CSV-bestand met de lijst van te importeren gebruikers
kies uit de beschikbare sjablonen datgene wat bij het importeren gebruikt moet worden (bijvoorbeeld NewTeacher (Nieuwe Leerkracht) of NewStudent (Nieuwe Student))
klik in de rechterbenedenhoek op de knop 'Import' (Importeren)
U doet er goed aan eerst een test te doen met een CSV-bestand waarmee u enkele fictieve gebruikers aanmaakt, die u nadien terug kunt verwijderen.
Hetzelfde geldt voor de module voor wachtwoordbeheer, die het mogelijk maakt om een heleboel wachtwoorden opnieuw in te stellen met behulp van een CSV-bestand of om nieuwe wachtwoorden te genereren voor gebruikers die behoren tot een bijzondere onderafdeling binnen LDAP.
Het beheer van groepen is erg vergelijkbaar met het beheer van gebruikers.
Per groep kunt u een naam en een omschrijving ingeven. Zorg ervoor om in de LDAP-boom het juiste niveau te kiezen wanneer u een nieuwe groep aanmaakt.
Om gebruikers toe te voegen aan een nieuw aangemaakte groep, moet u terugkeren naar de lijst van gebruikers. Daar zult u naar alle waarschijnlijkheid het filterkader gebruiken om gebruikers te selecteren. Let ook op het niveau binnen de LDAP-boom.
Groepen aangemaakt met groepsbeheer, zijn reguliere unix-groepen. U kunt ze dus ook gebruiken voor het beheer van bestandsrechten.
Via het beheer van machines kunt u in uw netwerk van Debian Edu gewoonweg alle met het netwerk verbonden apparaten beheren. Elke machine die u met GOsa² toevoegt aan het register van LDAP heeft een naam, een IP-adres, een MAC-adres en een domeinnaam (gewoonlijk is dat 'intern'). Voor een meer volledige beschrijving van de architectuur van het netwerk van Debian Edu, verwijzen we naar het hoofdstuk architectuur in deze handleiding.
In het geval van een gecombineerde hoofdserver werken schijfloze werkstations en thin clients vanzelf.
Werkstations met een harde schijf (met inbegrip van LTSP-servers) moeten toegevoegd worden met GOsa². Achter de
schermen wordt zowel een machine-specifieke Kerberos Principal (een soort
account) als een bijbehorend keytab-bestand (met een
sleutel die als wachtwoord wordt gebruikt) gegenereerd;
het keytab-bestand moet op het werkstation aanwezig zijn om de persoonlijke
mappen van gebruikers te kunnen aankoppelen. Nadat het toegevoegde systeem
opnieuw opgestart werd, moet u zich er als systeembeheerder op aanmelden en
het commando
/usr/share/debian-edu-config/tools/copy-host-keytab
uitvoeren.
Om een Principal en een keytab-bestand aan te maken voor een systeem dat reeds met GOsa² geconfigureerd is, moet u als systeembeheerder inloggen op de hoofdserver en het volgende commando uitvoeren
/usr/share/debian-edu-config/tools/gosa-modify-host <computernaam> <IP>
Opmerking: het creëren van een keytab voor het systeem is mogelijk voor systemen van het type werkstation, server of terminal, maar niet voor deze van het type netdevice (netwerkapparaat). Raadpleeg het hoofdstuk HowTo voor netwerkclients voor NFS-configuratieopties.
Om een machine toe te voegen, gebruikt u het hoofdmenu van GOsa² en daarin kiest u achtereenvolgens systeem, toevoegen. U kunt een IP-adres/computernaam gebruiken uit het vooraf geconfigureerde adresbereik 10.0.0.0/8. Momenteel gebruiken we slechts twee vooraf gedefinieerde vaste adressen: 10.0.2.2 (tjener) en 10.0.0.1 (gateway). Het adresbereik van 10.0.16.20 tot 10.0.31.254 (ruwweg het bereik 10.0.16.0/20 of 4000 computers) zijn gereserveerd voor DHCP en worden dynamisch toegewezen.
Om een apparaat met een MAC-adres 52:54:00:12:34:10 in GOsa² een vast
IP-adres toe te kennen, moet u het MAC-adres ingeven, evenals de
computernaam en het IP-adres. U kunt ook de knop IP
voorstellen
aanklikken, waarop u het eerste vrije adres in
het bereik 10.0.0.0/8 voorgesteld wordt. Voor de eerste machine die u op
deze wijze toevoegt, zal dat hoogstwaarschijnlijk 10.0.0.2 zijn. Het is goed
om u eerst een idee te vormen over uw netwerk. U kunt bijvoorbeeld het
bereik 10.0.0.x met x>10 en x<50 voorbehouden voor servers, en
x>100 voor werkstations. Vergeet niet het zopas toegevoegde apparaat te
activeren. Met uitzondering van de hoofdserver zal het programma aan alle
apparaten een passend icoon koppelen.
Als de machines opgestart werden als thin-clients of schijfloze werkstations
of geïnstalleerd werden met een van de genetwerkte profielen, kunt u het
script sitesummary2ldapdhcp
gebruiken om
deze machines automatisch in GOsa² in te voeren. Voor eenvoudige machines
werkt dit vanzelf. Voor machines met meer dan één mac-adres moet datgene wat
daadwerkelijk gebruikt wordt, gekozen worden. De opdracht
sitesummary2ldapdhcp -h
toont informatie
over het gebruik. Merk op dat de IP-adressen die u te zien krijgt na het
gebruik van sitesummary2ldapdhcp
, binnen
het bereik van de dynamische IP-adressen vallen. Nadien kunt u evenwel deze
systemen aanpassen om ze beter te doen aansluiten bij de behoeften van uw
netwerk: u kunt ze zo nodig hernoemen, u kunt DHCP en DNS activeren en u
kunt ze desgewenst aan netgroepen toevoegen (zie de schermafdruk hieronder
voor de aanbevolen netgroepen). Nadien moet u het systeem herstarten. De
volgende schermafdrukken tonen hoe dit eruit ziet in de praktijk:
root@tjener:~# sitesummary2ldapdhcp -a -i ether-22:11:33:44:55:ff info: Create GOsa machine for am-2211334455ff.intern [10.0.16.21] id ether-22:11:33:44:55:ff. Enter password if you want to activate these changes, and ^c to abort. Connecting to LDAP as cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no enter password: ******** root@tjener:~#
Elk uur wordt een cronjob uitgevoerd om de DNS-informatie te
actualiseren. Het commando su -c ldap2bind
laat u toe om zelf de actualisering uit te lokken.
Machines zoeken en verwijderen gelijkt erg op gebruikers zoeken en verwijderen, zodat het niet nodig is om hier nogmaals op in te gaan.
Nadat u met behulp van GOsa² een machine hebt ingevoerd in de boomstructuur van LDAP, kunt u de kenmerken ervan wijzigen. U gebruikt daarvoor de zoekfunctie en klikt vervolgens op de naam van de machine (net zoals u bij gebruikers zou doen).
Het model dat voor de registratie van systemen gebruikt wordt, is gelijkaardig aan dat voor het bewerken van kenmerken van gebruikers, wat u reeds kent. Alleen hebben de velden in deze context een andere betekenis.
Een machine toevoegen aan een NetGroup
(Netgroep)
bijvoorbeeld, verandert voor die machine of voor
de gebruikers die er zich op aanmelden, niets aan hun rechten op toegang tot
bestanden en aan hun permissie om bepaalde opdrachten uit te voeren. Het
legt daarentegen beperkingen op met betrekking tot de diensten die deze
machine op de hoofdserver kan aanspreken.
De volgende NetGroups
(Netgroepen) worden
aangemaakt door de standaardinstallatie
all-hosts
cups-queue-autoflush-hosts
cups-queue-autoreenable-hosts
fsautoresize-hosts
ltsp-server-hosts
netblock-hosts
printer-hosts
server-hosts
shutdown-at-night-hosts
shutdown-at-night-wakeup-hosts-blacklist
workstation-hosts
Momenteel gebruiken we deze
NetGroup
-functionaliteit voor:
De grootte van partities te wijzigen (fsautoresize-hosts)
Bij plaatsgebrek wordt de grootte van LVM-partities automatisch aangepast voor machines van Debian Edu die tot deze groep behoren.
Computers 's nachts uit te zetten (shutdown-at-night-hosts and shutdown-at-night-wakeup-hosts-blacklist)
Machines van Debian Edu die tot deze groep behoren, zullen 's nachts automatisch uitgezet worden om energie te besparen.
Printers te beheren (cups-queue-autoflush-hosts and cups-queue-autoreenable-hosts)
Machines van Debian Edu die tot deze groepen behoren maken iedere nacht automatisch alle printerwachtrijen leeg en herstellen ieder uur de onklaar geraakte printerwachtrijen.
Internettoegang te blokkeren (netblock-hosts)
Machines van Debian Edu die tot deze groep behoren, krijgen enkel de toelating om verbinding te maken met machines op het lokale netwerk. Tijdens examens kan deze functionaliteit nuttig zijn in combinatie met restricties van de web-proxyserver.
Voor een gecentraliseerd printerbeheer gaat u met uw webbrowser naar het
adres https://www:631. Dit is de normale interface voor het
beheer van CUPS. Hiermee kunt u printers toevoegen/verwijderen/wijzigen en
de printerwachtrijen opschonen. Standaard mag enkel de eerste gebruiker deze
taken uitvoeren, maar dit kan aangepast worden door gebruikers toe te voegen
aan de GOsa²-groep printer-admins
.
Op een systeem met het profiel Werkstation wordt standaard het pakket p910nd geïnstalleerd.
Bewerk /etc/default/p910nd
zoals hieronder
(USB printer):
P910ND_OPTS=" -f /dev/usb/lp0"
P910ND_START=1
Configureer de printer via de webinterface
https://www.intern:631
. Selecteer
netwerkprinter, type AppSocket/HP JetDirect
(voor alle printers ongeacht merk of model) en stel
socket://<werkstation-ip>:9100
in als
de URI van de verbinding.
Debian Edu staat standaard ingesteld op het synchroon houden van de klok van alle machines op het netwerk. Maar dit houdt niet noodzakelijk in dat de tijd ook juist is. Om de tijd te actualiseren wordt NTP gebruikt. Standaard worden de klokken gesynchroniseerd met een externe tijdsbron. Dit kan er toe leiden dat machines de internetverbinding die ze daarvoor geopend hebben, blijven open houden.
Indien u een inbelverbinding of een ISDN-verbinding gebruikt en per minuut betaalt, moet u deze standaardinstelling aanpassen.
Om synchronisatie met een externe klok uit te schakelen, moet u op de
hoofdserver het bestand /etc/ntp.conf aanpassen. Plaats een commentaarteken
('#') voor de server
-items. Nadien moet u
de NTP-server herstarten door als systeembeheerder de opdracht
service ntp restart
te geven. Om te weten
of een machine tijdsinformatie opvraagt bij een externe klok, gebruikt u de
opdracht ntpq -c lpeer
.
Ten gevolge van een mogelijke bug in de automatische schijfindeling, kunnen
sommige partities te vol zijn na installatie. Om die partities groter te
maken, gebruikt u als systeembeheerder het commando
debian-edu-fsautoresize -n
. Raadpleeg voor
bijkomende informatie de HowTo 'De grootte van partities aanpassen' in het
hoofdstuk Systeembeheer HowTo.
Deze paragraaf legt het gebruik van apt
full-upgrade
uit.
Het gebruik van apt
is echt eenvoudig. Om
een systeem bij te werken geeft u als systeembeheerder aan de commandolijn
twee opdrachten: apt update
(om de lijst
van beschikbare pakketten bij te werken) en apt
full-upgrade
(om pakketten waarvoor een nieuwere versie
beschikbaar is, op te waarderen).
Het is ook zinvol om tijdens het proces van opwaarderen het taalgebied in te stellen op C, wat voor een uitvoer in het Engels zorgt. In geval er zich problemen voordeden, heeft u zo bij het zoeken met een zoekmachine meer kans om resultaten te bekomen.
LC_ALL=C apt full-upgrade -y
Na de opwaardering van het pakket
debian-edu-config
, kunnen er gewijzigde
Cfengine configuratiebestanden beschikbaar zijn. Voer ls
-ltr /etc/cfengine3/debian-edu/
uit om na te gaan of dit
het geval is. Om de wijzigingen toe te passen, moet u het commando
LC_ALL=C cf-agent -D installation
uitvoeren.
Na een opwaardering van de LTSP-server is het belangrijk om het commando
debian-edu-ltsp-install --diskless_workstation
yes
uit te voeren om het SquashFS-image voor schijfloze
clients gesynchroniseerd te houden.
Na een opwaardering naar een tussenrelease van een systeem met het profiel
Hoofdserver of LTSP-Server, moet u
het commando debian-edu-pxeinstall
uitvoeren om de PXE-installatieomgeving bij te werken.
U doet er ook goed aan om cron-apt
en
apt-listchanges
te installeren en ze zo te
configureren dat ze e-mail verzenden naar een adres waarvan u de berichten
regelmatig leest.
Eens per dag zal cron-apt
u via e-mail
inlichten over pakketten die opgewaardeerd kunnen worden. Het waardeert ze
niet zelf op, maar gaat ze wel zelf ophalen (meestal 's nachts). Zo moet u
niet wachten tot ze opgehaald zijn wanneer u de opdracht apt
full-upgrade
uitvoert.
Indien u dit verkiest, kunt u het systeem gemakkelijk zelf automatisch de
nodige opwaarderingen laten uitvoeren. Daarvoor dient u enkel het pakket
unattended-upgrades
te installeren en te
configureren, zoals uiteengezet wordt in wiki.debian.org/UnattendedUpgrades.
Het pakket apt-listchanges
kan u via e-mail
de toevoegingen aan het logboek changelog opsturen, of ze u anders in het
terminalvenster tonen bij het uitvoeren van de opdracht
apt
.
Het uitvoeren van cron-apt
zoals hiervoor
uitgelegd, is een goede manier om op de hoogte te blijven van beschikbare
beveiligingsbijwerkingen voor op het systeem geïnstalleerde pakketten. Een
andere manier om daarover op de hoogte te blijven is zich abonneren op de
verzendlijst
Debian security-announce. Dit heeft het voordeel dat u ook weet wat
de beveiligingsbijwerking precies inhoudt. Het nadeel (vergeleken met
cron-apt
) is, dat u ook geïnformeerd wordt
over bijwerkingen voor pakketten die niet geïnstalleerd zijn op uw systeem.
Voor het beheer van reservekopieën gaat u met de browser naar het adres https://www/slbackup-php. Denk eraan dat u deze site via SSL moet benaderen, aangezien u er het beheerderswachtwoord moet invoeren. Een verbinding tot stand brengen met dat adres zonder gebruik te maken van SSL lukt niet.
Noot: de site zal enkel functioneren als u tijdelijk toelaat dat de systeembeheerder zich op de server voor reservekopieën (standaard is dat hoofdserver 'tjener') aanmeldt met ssh.
Standaard bewaart tjener een reservekopie van
/skole/tjener/home0
,
/etc/
,
/root/.svk
en LDAP in de map /skole/backup
van het LVM-bestandssysteem. Indien u genoeg heeft aan een reservekopie van
die bestanden (voor het geval u er een zou wissen), dan sluit deze
standaardinstelling aan bij uw behoeften.
U dient te beseffen dat dit model van reservekopieën maken geen bescherming biedt tegen gegevensverlies ten gevolge van een kapotte harde schijf.
Indien u de reservekopieën wilt bewaren op een externe server, op een bandstation (tape drive) of op een andere harde schijf, dan moet u de bestaande configuratie wat aanpassen.
Indien u ineens een hele map wilt terugzetten, dan gebruikt u best de volgende opdracht aan de commandolijn:
$ sudo rdiff-backup -r <date> \ /skole/backup/tjener/skole/tjener/home0/user \ /skole/tjener/home0/user_<date>
Dit plaatst de inhoud van
/skole/tjener/home0/user
van
<datum>
in de map
/skole/tjener/home0/user_<datum>
Indien u slechts één enkel bestand wenst terug te zetten, dan kunt u dat bestand (in de passende versie) met behulp van de webinterface selecteren en terughalen.
Indien u oudere reservekopieën wenst te wissen, kies dan in het menu op de webpagina van de back-updienst het item 'Maintenance' (Onderhoud). Geef vervolgens op welke de oudste back-up is die u wenst te behouden:
Munin, het systeem voor het opvolgen van tendensen, bevindt zich op het webadres https://www/munin/. Het geeft meetresultaten weer in verband met de toestand van het systeem, opgemaakt per dag, per week, per maand, of op jaarbasis. Het biedt de systeembeheerder ook hulp bij het zoeken naar de oorzaak van knelpunten of problemen in het systeem.
Een lijst van machines die opgevolgd worden met Munin wordt automatisch
gegenereerd op basis van de lijst van computers die rapporteren aan
sitesummary. Alle computers waarop het pakket munin-node geïnstalleerd werd,
worden opgenomen in het opvolgingssysteem van Munin. Normaal gezien verloopt
er een dag tussen de installatie van een machine en het moment waarop de
opvolging ervan door Munin begint. Dit houdt verband met de volgorde waarin
crontaken uitgevoerd worden. Om dit proces te versnellen geeft u op de
sitesummary-server (gewoonlijk de hoofdserver) als systeembeheerder de
opdracht sitesummary-update-munin
. Daardoor
wordt het bestand /etc/munin/munin.conf
geactualiseerd.
Welk geheel van metingen uitgevoerd moet worden, wordt op elke machine
automatisch gegenereerd met het programma
munin-node-configure
, dat nagaat welke
plug-ins er in /usr/share/munin/plugins/
aanwezig zijn en dan een symbolische koppeling maakt in
/etc/munin/plugins/
naar die welke relevant
zijn.
Meer informatie over Munin is te vinden op http://munin-monitoring.org/.
Icinga, een gereedschap voor het opvolgen van diensten en systemen, is te
vinden op https://www/icingaweb2/. Welke machines en diensten
opgevolgd worden, wordt automatisch gegenereerd op basis van de informatie
die door het sitesummary-systeem verzameld wordt. Machines met het profiel
Hoofdserver of LTSP-server krijgen een volledige opvolging. Werkstations en
thin clients krijgen een eenvoudige opvolging. Om voor een bepaald
werkstation een volledige opvolging mogelijk te maken moet u er het pakket
nagios-nrpe-server
op installeren.
Standaard zal Icinga geen e-mailberichten versturen. Dit kan veranderd
worden door de tekst notify-by-nothing
in
het bestand
/etc/icinga/sitesummary-template-contacts.cfg
te vervangen door host-notify-by-email
en
notify-by-email
.
Het configuratiebestand van Icinga is
/etc/icinga/sitesummary.cfg
. De crontaak
sitesummary genereert het bestand
/var/lib/sitesummary/icinga-generated.cfg
dat een lijst bevat van op te volgen machines en diensten.
Aan het bestand
/var/lib/sitesummary/icinga-generated.cfg.post
kunt u bijkomende controles toevoegen welke door Icinga moeten uitgevoerd
worden, zodat ze ook toegevoegd worden aan het gegenereerde bestand.
Informatie over Icinga vindt u op http://www.icinga.com/ of
in het pakket icinga-doc
.
Hier volgen instructies voor de manier waarop u met de meest voorkomende waarschuwingen van Icinga moet omgaan.
De partitie (/usr/ in het geval van het voorbeeld) is te vol. In het
algemeen zijn er twee mogelijkheden om hiermee om te gaan: (1) een aantal
bestanden wissen, of (2) de partitie groter maken. Indien het de partitie
/var/ betreft, kunt u een aantal bestanden wissen door de cache van APT leeg
te maken. Hiervoor gebruikt u de opdracht apt
clean
. Indien er nog ruimte beschikbaar is in de groep van
schijven die door LVM beheerd worden, kunt u grotere partities bekomen met
het programma debian-edu-fsautoresize
. Om
er voor te zorgen dat dit programma ieder uur automatisch uitgevoerd wordt,
voegt u de computer in kwestie toe aan de netgroep
fsautoresize-hosts
.
Er zijn nieuwe pakketten voor opwaardering beschikbaar. De cruciale daarvan zijn meestal beveiligingsupdates. Om de opwaardering door te voeren geeft u in een terminalvenster als systeembeheerder de opdracht 'apt upgrade && apt full-upgrade. U kunt zich ook via ssh aanmelden en vervolgens dezelfde opdracht geven.
Indien u verkiest om pakketten niet manueel op te waarderen en erop
vertrouwt dat Debian goed zal omgaan met nieuwere versies van pakketten,
kunt u het pakket unattended-upgrades
instellen op het iedere nacht automatisch opwaarderen van alle pakketten met
recentere versies. Maar LTSP-chroots worden hiermee niet opgewaardeerd.
De kernel die momenteel gebruikt wordt is ouder dan degene die meest recent geïnstalleerd werd, De computer moet opnieuw opgestart worden om de meest recente kernel te activeren. Gewoonlijk is dit behoorlijk dringend, omdat een nieuwe kernelversie normaal gezien aan Debian Edu toegevoegd wordt om bepaalde beveiligingsproblemen op te lossen.
Er staan een hoop printeropdrachten te wachten in de wachtrij van CUPS. Een
niet beschikbare printer Is meestal de oorzaak. Onklaar geraakte
printerwachtrijen worden ieder uur opnieuw in gebruik gesteld op computers
die lid zijn van de netgroep
cups-queue-autoreenable-hosts
. Voor die
computers is normaal gesproken geen manuele tussenkomst vereist, Op
computers die lid zijn van de netgroep
cups-queue-autoflush-hosts
worden
printerwachtrijen iedere nacht leeggemaakt. Het is het overwegen waard om
een computer met een lange printerwachtrij aan een van beide groepen toe te
voegen.
Sitesummary wordt gebruikt om de informatie die op iedere computer verzameld
wordt, naar de hoofdserver te sturen. De verzamelde informatie staat in
/var/lib/sitesummary/entries/
. Met de
scripts in /usr/lib/sitesummary/
kunnen
rapporten opgemaakt worden.
Een eenvoudig rapport van sitesummary zonder details kan geraadpleegd worden op https://www/sitesummary/.
Documentatie over sitesummary is te vinden op http://wiki.debian.org/DebianEdu/HowTo/SiteSummary
Systeembeheerders kunnen nuttige bijkomende informatie over het aanpassen van Debian Edu vinden in het hoofdstuk Howto/Systeembeheer en in het hoofdstuk Howto/Systeembeheer voor gevorderden
Een belangrijke waarschuwing voor u begint met het lezen van deze handleiding bij opwaarderingen: ogenblikkelijke bijwerkingen aan productieservers voert u volledig op eigen risico uit. Debian Edu/Skolelinux wordt u geleverd met ABSOLUUT GEEN ENKELE GARANTIE, voor zover dit toegestaan is binnen de van toepassing zijnde wetgeving.
Gelieve dit hoofdstuk en het hoofdstuk Nieuwe functionaliteit in Bullseye in deze handleiding eerst helemaal te lezen alvorens aan een poging tot opwaarderen te beginnen.
Meestal verloopt het opwaarderen van Debian van één uitgave naar de volgende redelijk gemakkelijk. Jammer genoeg verloopt dit voor Debian Edu nog iets gecompliceerder, omdat we configuratiebestanden aanpassen op een manier die eigenlijk niet aangewezen is. Wij hebben echter de nodige stappen hieronder gedocumenteerd. (Meer informatie over hoe Debian Edu configuratiebestanden zou moeten wijzigen, vindt u in het bugrapport nummer 311188 van Debian.)
Over het algemeen is het opwaarderen van servers moeilijker dan het opwaarderen van werkstations en de opwaardering van de hoofdserver is het moeilijkst.
Indien u er zeker van wilt zijn dat na de opwaardering alles nog zal werken als voordien, moet u de opwaardering uittesten op een testsysteem dat u op dezelfde manier geconfigureerd heeft als uw machines die u voor productiedoeleinden gebruikt. Op een testsysteem kunt u de opwaardering zonder enig risico uittesten en zien of alles naar behoren functioneert.
Leest u zeker ook de informatie over de huidige stabiele uitgave van Debian in de installatiehandleiding ervoor.
Het kan ook verstandig zijn om nog even te wachten met opwaarderen en nog een aantal weken de voorlaatste stabiele uitgave (Oldstable) te blijven gebruiken. Anderen kunnen intussen het opwaarderen uittesten en de problemen die ze tegenkomen, documenteren. De voorlaatste stabiele uitgave (Oldstable) van Debian Edu blijven we trouwens ondersteunen gedurende een zekere tijd na het uitbrengen van de daaropvolgende stabiele uitgave (Stable), maar op het ogenblik dat Debian stopt met het ondersteunen van Oldstable, moet Debian Edu noodzakelijkerwijs hetzelfde doen.
Zorg dat u goed voorbereid bent: test zeker eerst een opwaardering vanaf Buster uit in een testomgeving of hou reservekopieën klaar, zodat u zo nodig naar de oorspronkelijke situatie kunt terugkeren.
Merk op dat de volgende procedure van toepassing is voor een standaardinstallatie van de hoofdserver van Debian Edu (desktop=xfce, profielen Hoofdserver, Werkstation en LTSP-server). (Raadpleeg voor een algemeen overzicht over het opwaarderen vanuit Buster naar Bullseye https://www.debian.org/releases/bullseye/releasenotes)
Werk niet in een grafische omgeving, gebruik een virtuele console, meld u aan als systeembeheerder (root).
Mocht apt
afgesloten worden met een
foutmelding, probeer die dan te verhelpen en/of voer het commando
apt -f install
uit en vervolgens nogmaals
apt -y full-upgrade
.
Begin met er voor te zorgen dat het huidige systeem up-to-date is:
apt update apt full-upgrade
Ruim de pakketcache op:
apt clean
Bereid de opwaardering naar Bullseye voor en start ze (nieuw beveiligingsitem):
sed -i 's/buster/bullseye/g' /etc/apt/sources.list sed -i 's#/debian-security bullseye/updates# bullseye-security#g' /etc/apt/sources.list export LC_ALL=C # facultatief (om Engelse uitvoer te krijgen) apt update apt full-upgrade
apt-list-changes: bereid u voor op veel te lezen NIEUWS; druk op <enter> om naar beneden te scrollen, op <q> om het pagineringsprogramma te verlaten. Alle informatie zal naar de systeembeheerder (root) verzonden worden, zodat u deze opnieuw kunt lezen (met behulp van mailx of mutt).
Lees aandachtig alle informatie van debconf, kies 'behoud de momenteel geïnstalleerde lokale versie' tenzij hieronder anders aangegeven wordt; in de meeste gevallen zal op de return-toets drukken volstaan.
restart services (diensten herstarten): kies yes (ja).
openssh-server: kies 'de momenteel geïnstalleerde lokale versie behouden'.
/etc/plymouth/plymouthd.conf: kies Y.
Samba-server en hulpprogramma's: kies 'de momenteel geïnstalleerde lokale versie behouden'.
Kerberos-servers: voer 'kerberos' in en druk op 'OK'.
/etc/default/slapd: kies N.
/etc/cups/cups-files.conf: kies N.
/etc/munin/munin.conf: kies N.
Pas de configuratie aan en pas ze toe:
cf-agent -v -D installation service squid restart
Stel de Icinga2 web-interface in en configureer deze:
Geef het commando apt install
icinga2-ido-mysql
en kies steeds Nee wanneer debconf een vraag stelt.
Voer het commando
/usr/share/debian-edu-config/tools/edu-icinga-setup
uit
Haal de nieuwe grafische vormgeving Debian Edu Homeworld op:
apt install debian-edu-artwork-homeworld apt purge debian-edu-artwork-buster # tenzij de grafische vormgeving van Buster als alternatief behouden moet blijven
Pas de configuratie van het Xfce-paneel aan:
rm -f /etc/xdg/xfce4/panel/default.xml.cfsaved mv /etc/xdg/xfce4/panel/default.xml.dpkg-new /etc/xdg/xfce4/panel/default.xml
Omgaan met het nieuwe LTSP en daarmee verband houdende wijzigingen:
rm -f /etc/default/tftpd-hpa # om aanpassingen te verwijderen die niet langer nodig zijn rm -rf /var/lib/tftpboot # om de tftp-basismap die niet langer gebruikt wordt, te verwijderen dpkg-reconfigure -p low tftpd-hpa # eerste vraag:''tftp'' als systeemaccount behouden, tweede: TFTP-hoofdmap veranderen naar ''/srv/tftp'' # derde: adres en poort behouden, laatste: voer ''--secure'' in als bijkomende optie service tftpd-hpa restart rm -rf /opt/ltsp # oude LTSP-basismap opschonen # De uitvoering van de volgende stappen neemt behoorlijk wat tijd in beslag. debian-edu-ltsp-install --arch amd64 --diskless_workstation no thin_type bare # indien ondersteuning voor 64-bits thin clients gewenst is debian-edu-ltsp-install --arch i386 --diskless_workstation no thin_type bare # indien ondersteuning voor 32-bits thin clients gewenst is debian-edu-ltsp-install --diskless_workstation yes # om het image voor schijfloze werkstations te bouwen vanuit het bestandssysteem van de server debian-edu-pxeinstall # om PXE-installatiebestanden en ermee verband houdende iPXE-menu-items toe te voegen
Omgaan met de overgang naar iPXE:
Maak een bestand ipxe.ldif aan met de volgende inhoud:
dn: cn=dhcp,cn=tjener,ou=servers,ou=systems,dc=skole,dc=skolelinux,dc=no changetype: modify add: dhcpOption dhcpOption: space ipxe dhcpOption: ipxe-encap-opts code 175 = encapsulate ipxe dhcpOption: ipxe.menu code 39 = unsigned integer 8 dhcpOption: ipxe.no-pxedhcp code 176 = unsigned integer 8 dhcpOption: arch code 93 = unsigned integer 16
Voer nadien het commando ldapadd -ZD
'cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no' -W -f
ipxe.ldif
uit om de wijzigingen toe te passen.
Wijzig nog een aantal andere DHCP-instellingen in LDAP, bijvoorbeeld met een editor zoals ldapvi. Zorg ervoor dat de met DHCP verband houdende elementen overeenkomen met deze welke in het bestand /etc/ldap/gosa-server.ldif te vinden zijn. De betrokken vermeldingen zijn:
81 cn=intern,cn=dhcp,cn=tjener,ou=servers,ou=systems,dc=skole,dc=skolelinux,dc=no 83 cn=subnet00.intern,cn=dhcp,cn=tjener,ou=servers,ou=systems,dc=skole,dc=skolelinux,dc=no 85 cn=subnet01.intern,cn=dhcp,cn=tjener,ou=servers,ou=systems,dc=skole,dc=skolelinux,dc=no
Om met de aanpassingen aan GOsa om te gaan - gebruik het nieuwe gosa.conf, repareer de toegang tot LDAP:
cp /etc/gosa/gosa.conf /etc/gosa/gosa.conf.buster # reservekopie
cp /usr/share/debian-edu-config/gosa.conf.template /etc/gosa/gosa.conf # nieuw gosa.conf-bestand
Zoek in /etc/gosa/gosa.conf naar adminPassword en snapshotAdminPassword en vervang voor deze elementen $GOSAPWD door het willekeurige wachtwoord dat in /etc/gosa/gosa.conf.orig te vinden is.
rm /etc/gosa/gosa.secrets
Voer het commando gosa-encrypt-passwords
uit
Geef de opdracht service apache2 restart
Om met de wijzigingen aan het encryptietype van Kerberos om te gaan:
sed -i 's/supported_enctypes/#supported_enctypes/' /etc/krb5kdc/kdc.conf
Geef de opdracht service krb5-kdc restart
Om met de wijzigingen aan Samba om te gaan:
Voeg een Samba-account voor de eerste gebruiker
toe:smbpasswd -a <gebruikersnaam eerste
gebruiker>
. Zodra gebruikers hun wachtwoord wijzigen,
wordt het bijbehorende Samba-account aangemaakt.
Ga na of het opgewaardeerde systeem werkt:
Herstart; log in als eerste gebruiker en test
of de grafische gebruikersomgeving van GOsa² werkt,
of LTSP-clients en werkstations verbinding kunnen maken,
of u een systeem kunt toevoegen aan een netgroep en het ook terug kunt verwijderen,
of u interne e-mail kunt verzenden en ontvangen,
of u printers kunt beheren,
en of andere locatiespecifieke zaken werken.
Doe alle basiszaken zoals op de hoofdserver en zonder de dingen te doen die niet nodig zijn. Indien dit nog niet gebeurde, configureer de computer om Kerberos te gebruiken voor het aankoppelen van de persoonlijke mappen. Raadpleeg het hoofdstuk aan de slag voor details.
Om een opwaardering uit te voeren vanuit een oudere uitgave, moet u eerst opwaarderen naar de uitgave van Debian Edu die gebaseerd is op Buster. Vervolgens kunt u de hierboven gegeven instructies opvolgen. In de Handleiding voor Debian Edu Buster vindt u de instructies om naar Buster op te waarderen vanuit de eerdere uitgave, Stretch. Op dezelfde manier beschrijft de Stretch-handleiding hoe u vanuit Jessie kunt opwaarderen.
HowTo's voor algemeen systeembeheer
HowTo's voor systeembeheer voor gevorderden
HowTo's in verband met de grafische werkomgeving
HowTo's voor netwerkclients
HowTo's in verband met Samba
HowTo's in verband met leren en onderrichten
HowTo's voor gebruikers
De hoofdstukken Aan de slag en Onderhoud beschrijven hoe u aan de slag kunt gaan met Debian Edu en hoe u de eenvoudige onderhoudstaken uitvoert. De howto's uit dit hoofdstuk bevatten een aantal tips en wenken voor 'gevorderden'.
Met etckeeper
worden de wijzigingen in al
de bestanden uit de map /etc/
opgevolgd met
behulp van Git, een systeem
voor versiebeheer.
Dit maakt het mogelijk om te zien wanneer een bestand toegevoegd werd of
gewijzigd of verwijderd. En als het om een tekstbestand gaat, kunt u ook
opvolgen wat er precies in gewijzigd werd, De plaats waar git zijn gegevens
bewaart is /etc/.git/
.
Ieder uur worden alle wijzigingen automatisch opgeslagen. Dit laat toe om de historiek van configuratiebestanden op te halen en te onderzoeken.
Om naar de geschiedenis van veranderingen te kijken, gebruikt men het
commando etckeeper vcs log
. Om de
verschillen tussen twee welbepaalde tijdstippen te onderzoeken, kunt u een
opdracht als etckeeper vcs diff
gebruiken.
Lees de uitvoer van de opdracht man
etckeeper
voor meer informatie.
Een lijst van nuttige opdrachten:
etckeeper vcs log etckeeper vcs status etckeeper vcs diff etckeeper vcs add . etckeeper vcs commit -a man etckeeper
Om op een recent geïnstalleerd systeem te bekijken welke wijzigingen er doorgevoerd werden sinds de installatie, gebruikt u deze opdracht:
etckeeper vcs log
Om na te gaan welke bestanden momenteel niet opgevolgd worden en welke niet bijgewerkt zijn, gebruikt u de opdracht:
etckeeper vcs status
Om de wijzigingen aan een bestand (resolv.conf in het voorbeeld) manueel vast te leggen, omdat u er geen volledig uur meer op kunt wachten, geeft u de opdracht:
etckeeper vcs commit -a /etc/resolv.conf
Behalve de partitie /boot/
zijn alle andere
partities LVM logische gegevensdragers. Sinds versie 2.6.10 van de
Linuxkernel, is het mogelijk om partities te vergroten terwijl ze
aangekoppeld zijn. Om partities kleiner te kunnen maken, moeten ze nog
steeds eerst afgekoppeld worden.
Het is aan te raden om geen al te grote partities aan te maken (laten we
zeggen groter dan 20 GB), omwille van de tijd die dan nodig is om op hen de
opdracht fsck
uit te voeren of om een
veiligheidskopie terug te zetten mocht het ooit nodig blijken. Indien de
mogelijkheid bestaat, is het beter meerdere kleinere partities te maken dan
één heel erg grote.
Het script debian-edu-fsautoresize
staat
ter beschikking als een hulpmiddel om het u gemakkelijker te maken om volle
partities uit te breiden.Het leest de configuratie uit de bestanden
/usr/share/debian-edu-config/fsautoresizetab
,
/site/etc/fsautoresizetab
en
/etc/fsautoresizetab
wanneer het opgestart
wordt. Het script stelt dan voor om partities met te weinig vrije ruimte uit
te breiden overeenkomstig de richtlijnen uit de ingelezen bestanden. Als men
het script uitvoert zonder opties, zal het enkel de commando's die nodig
zijn om het bestandssysteem uit te breiden, tonen. Het script heeft de optie
-n
nodig om die commando's ook effectief
uit te voeren en de bestandssystemen uit te breiden.
Op elke clientcomputer die opgenomen is in de netgroep
fsautoresize-hosts
, wordt het script ieder
uur automatisch uitgevoerd.
Als de grootte van de partitie die gebruikt wordt door de Squid-proxy,
aangepast wordt, moet ook de waarde aangepast worden van de cachegrootte in
het bestand etc/squid/squid.conf
. Het
hulpmiddel dat deze taak automatisch kan uitvoeren is het script
/usr/share/debian-edu-config/tools/squid-update-cachedir
.
Het gaat de actuele grootte na van de
partitie/var/spool/squid/
en stelt Squid in
om 80% van die ruimte voor zijn cache te gebruiken.
Het systeem van 'Logical Volume Management' (LVM) laat toe om de grootte van partities aan te passen terwijl ze aangekoppeld en in gebruik zijn. U kunt meer te weten komen over LVM op de webpagina LVM HowTo.
Om een logische gegevensdrager manueel groter te maken, moet u gewoon aan de
opdracht lvextend
laten weten welke grootte
u wenst. Om bijvoorbeeld de grootte van home0 uit te breiden tot 30 GB
gebruikt u de volgende commando's:
lvextend -L30G /dev/vg_system/skole+tjener+home0 resize2fs /dev/vg_system/skole+tjener+home0
Om aan home0 30 GB extra toe te wijzen, voegt u een '+' toe (-L+30G)
ldapvi is een hulpmiddel om aan de commandolijn met een gewone teksteditor de database van LDAP te bewerken.
U moet de volgende opdracht geven:
ldapvi --ldap-conf -ZD '(cn=admin)'
Merk op dat ldapvi
de editor zal gebruiken
die op het systeem ingesteld staat als standaardeditor. Door vooraf aan de
prompt van de shell de opdracht export
EDITOR=vim
uit te voeren, configureert men zijn eigen
werkomgeving zodanig dat men een kloon van vi als editor kan gebruiken.
Om met behulp van ldapvi een LDAP-object toe te voegen, gebruikt u het
volgnummer van het object en laat u de tekenreeks
add
voorafgaan aan het nieuwe LDAP-object.
Wees gewaarschuwd: ldapvi
is een zeer
krachtig hulpmiddel. Wees voorzichtig en draag er zorg voor om geen puinhoop
te maken van de LDAP-database. Eenzelfde waarschuwing is ook op zijn plaats
voor JXplorer.
Gebruik maken van Kerberos voor NFS om de persoonlijke mappen aan te koppelen is een veiligheidsfunctionaliteit. De niveaus krb5, krb5i en krb5p worden ondersteund (krb5 betekent Kerberos-authenticatie, i staat voor integriteitscontrole en p voor privacy, d.w.z. encryptie); de belasting voor zowel server als werkstation neemt toe met het veiligheidsniveau. Kiezen voor krb5i is goed en dit werd als standaard ingesteld.
Hoofdserver
inloggen als systeembeheerder
het commando ldapvi -ZD '(cn=admin)'
uitvoeren, zoeken naar sec=sys en dit vervangen door
sec=krb5i.
het bestand /etc/exports/edu.exports
bewerken en deze vermeldingen dienovereenkomstig aanpassen:
/srv/nfs4 gss/krb5i(rw,sync,fsid=0,crossmnt,no_subtree_check) /srv/nfs4/home0 gss/krb5i(rw,sync,no_subtree_check)
het commando exportfs -r
uitvoeren
Dit hulpmiddel laat toe om een standaardprinter in te stellen, afhankelijk
van de locatie, van de computer of van een groepslidmaatschap. Raadpleeg
voor meer informatie
/usr/share/doc/standardskriver/README.md
.
De beheerder moet in het configuratiebestand
/etc/standardskriver.cfg
voorzien. Een
voorbeeld kunt u vinden in het bestand
/usr/share/doc/standardskriver/examples/standardskriver.cfg
.
Indien u een grafische gebruikersinterface verkiest om met de database van
LDAP te werken, probeer dan eens het pakket
jxplorer
uit, dat standaard geïnstalleerd
wordt. Om met schrijfrechten toegang te krijgen, maakt u als volgt de
verbinding:
host: ldap.intern port: 636 Security level: ssl + user + password User dn: cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no
ldap-createuser-krb
is een klein
hulpmiddeltje dat aan de commandolijn gebruikt kan worden om LDAP-gebruikers
en hun wachtwoord aan te maken in Kerberos. Het is echter vooral nuttig voor
testdoeleinden.
Sinds de uitgave van Squeeze in 2011 heeft Debian de pakketten die voordien onderhouden werden in volatile.debian.org, toegevoegd aan de stable-updates suite.
Hoewel u rechtstreeks gebruik kunt maken van stable-updates, is dit niet strikt noodzakelijk. Op gezette tijden, namelijk telkens bij het uitbrengen van een actualisering (een zogenaamde point release) van de stabiele uitgave, wat ruwweg om de twee maanden gebeurt, worden de pakketten uit stable-updates naar de suite van de stabiele uitgave verplaatst.
U gebruikt Debian Edu omdat u de stabiliteit ervan waardeert. Het werkt fantastisch. Er is alleen een klein probleem: soms is bepaalde programmatuur wat meer verouderd dan u het zou wensen. Dat is het punt waarop backports.debian.org in beeld komt.
Backports zijn pakketten uit de testsuite (meestal) of de onstabiele suite (in enkele gevallen, zoals beveiligingsbijwerkingen) van Debian die opnieuw gecompileerd werden, zodat ze ook kunnen werken binnen een stabiele versie van Debian, zoals Debian Edu, en zonder gebruik te maken van nieuwere bibliotheken (in de mate van het mogelijke). We raden u aan om enkel die paar backports te installeren die echt bij uw behoeften aansluiten en niet alle backports die beschikbaar zijn.
Backports gebruiken is zeer eenvoudig:
echo "deb http://deb.debian.org/debian/ bullseye-backports main" >> /etc/apt/sources.list apt-get update
Nadien is het zeer eenvoudig om pakketten uit backports te installeren. Met het volgende commando installeert u de versie van tuxtype uit backports:
apt install -t bullseye-backports tuxtype
Pakketten uit backports worden net als andere pakketten automatisch geüpdatet (als er een update beschikbaar is). Zoals het gewone archief, bestaat ook backports uit drie secties: main, contrib en non-free.
Indien u wenst op te waarderen van een versie naar een andere (bijvoorbeeld van Bullseye 11.1 naar 11.2), maar geen internettoegang heeft en enkel over fysieke media beschikt, gaat u als volgt te werk:
Plaats de cd / dvd / blu-rayschijf / USB-stick in het station en gebruik het commando apt-cdrom:
apt-cdrom add
Het volgende is een citaat uit de man-pagina van apt-cdrom(8):
apt-cdrom wordt gebruikt om een nieuwe cd-schijf toe te voegen aan de lijst van voor APT beschikbare bronnen. apt-cdrom is in staat om zelf uit te maken wat de structuur is van de schijf, het kan ook verschillende soorten problemen ondervangen die met het branden van de schijf verband houden en het zal eveneens de indexbestanden controleren.
Het is noodzakelijk om apt-cdrom te gebruiken om nieuwe cd's toe te voegen aan het systeem van APT. Dit kan niet manueel gebeuren. Bij een set van meerdere cd's moet u tevens iedere cd afzonderlijk in het station plaatsen en hem laten controleren om met mogelijke fouten bij het branden rekening te kunnen houden.
Geef vervolgens de volgende twee opdrachten om het systeem op te waarderen:
apt update apt full-upgrade
killer
is een perl-script dat
achtergrondtaken opruimt. Achtergrondtaken zijn processen die toebehoren aan
gebruikers die op dat moment niet aangemeld zijn op de machine. Het script
wordt ieder uur vanuit een cron-opdracht uitgevoerd.
unattended-upgrades
is een pakket in Debian
dat beveiligings- (en andere) bijwerkingen automatisch installeert. Indien
het pakket geïnstalleerd wordt, is het vooraf geconfigureerd om
beveiligingsbijwerkingen te installeren. De logbestanden zijn te vinden in
/var/log/unattended-upgrades/
. En er is
natuurlijk ook nog altijd /var/log/dpkg.log
en /var/log/apt/
.
U kunt energie en geld besparen door clientmachines 's avonds uit te zetten
en 's ochtends terug op te starten. Vanaf 16.00 uur in de namiddag zal het
pakket shutdown-at-night
elk uur op het uur
proberen om de machine uit te zetten. Maar het zal dat niet doen als blijkt
dat de machine nog in gebruik is. Het zal trachten aan het BIOS de opdracht
te geven om de machine rond 7.00 uur 's ochtends terug op te starten, en de
hoofdserver zal vanaf 06.30 uur proberen om machines op te starten door hen
wake-on-lan-pakketten te sturen. Deze tijdstippen kunnen aangepast worden
door de crontabs van de individuele machines te wijzigen.
Als u zoiets opzet, moet u met enkele zaken rekening houden:
Het mag niet voorvallen dat clients uitgezet worden als er iemand op aan het
werken is. Om dit te kunnen garanderen moet de uitvoer van het commando
who
nagekeken worden, en als een bijzonder
geval moet u controleren op het ssh-verbindingscommando om met X2Go thin
clients te werken.
Om te vermijden dat de zekeringen van de elektriciteit zouden smelten, doet u er goed aan om er voor te zorgen dat niet alle clients gelijktijdig opstarten.
Er staan u twee manieren ter beschikking om clients te activeren. De ene
manier gebruikt een functie van het BIOS en een vereiste hiervoor is dat de
klok van het apparaat correct werkt en dat het moederbord en de BIOS-versie
ondersteund worden door nvram-wakeup
. De
andere methode vereist dat de clients wake-on-lan ondersteunen en dat de
server op de hoogte is van welke clients via deze methode aangezet moeten
worden.
Ofwel geeft u de opdracht touch
/etc/shutdown-at-night/shutdown-at-night
op de clients die
's nachts uitgezet moeten worden, ofwel voegt u de naam van de computer (dat
is de uitvoer van het commando 'uname -n'
op de client) toe aan de netgroep 'shutdown-at-night-hosts'. Computers
toevoegen aan die netgroep in LDAP doet u met het webhulpmiddel
GOsa²
. Het kan nodig zijn om bij de clients
in het BIOS de functionaliteit wake-on-lan te configureren. Het is ook
belangrijk dat de switches en routers die tussen de server en de clients
geplaatst staan, de WOL-pakketten op een correcte manier aan de clients
doorgeven, ook al zijn de clients uitgeschakeld. Sommige switches kunnen
geen pakketten doorgeven aan clients die ontbreken in de ARP-tabel van de
switch, hetgeen een blokkade opwerpt voor de WOL-pakketten.
Om op de server wake-on-lan in te stellen, voegt u de clients toe aan de
lijst /etc/shutdown-at-night/clients
. U
gebruikt voor elke client een aparte regel in het bestand. Op die regel komt
eerst het IP-adres en dan het MAC-adres (ethernet-adres), van elkaar
gescheiden door een spatie. U kunt ook het script
/etc/shutdown-at-night/clients-generator
aanmaken om de lijst van clients op het moment zelf te laten genereren.
Hier is een voorbeeld van het script
/etc/shutdown-at-night/clients-generator
dat gebruik maakt van sitesummary:
#!/bin/sh PATH=/usr/sbin:$PATH export PATH sitesummary-nodes -w
Indien de netgroep gebruikt wordt om shutdown-at-night op de clients te
activeren, vormt het volgende script een alternatief. Het maakt gebruik van
het netgroephulpmiddel uit het pakket
ng-utils
:
#!/bin/sh PATH=/usr/sbin:$PATH export PATH netgroup -h shutdown-at-night-hosts
Om vanaf het internet toegang te krijgen tot machines die zich achter een
firewall bevinden, kunt u het pakket
autossh
installeren. Het kan gebruikt
worden om een SSH-tunnel aan te leggen naar een machine op het internet waar
u toegang toe heeft. Vanaf die machine kunt u dan over de SSH-tunnel toegang
krijgen tot de server achter de firewall.
Volgens de standaardopstelling draaien alle diensten op de hoofdserver, tjener. Om het overplaatsen van sommige van die diensten naar een andere machine te vergemakkelijken, kunt u gebruik maken van het installatieprofiel minimal. Een installatie uitvoeren met dit profiel geeft als resultaat een machine die wel deel uitmaakt van het netwerk van Debian Edu, maar waarop nog geen enkele service draait.
De volgende bewerkingen moet u uitvoeren om een machine te installeren die tot taak heeft sommige diensten te leveren:
gebruik de opstartoptie debian-edu-expert en installeer het minimale profiel
installeer de pakketten die nodig zijn voor de dienst
configureer de dienst
schakel op de hoofdserver die dienst uit
werk (via LDAP/GOsa²) DNS op de hoofdserver bij
FIXME: The HowTos from https://wiki.debian.org/DebianEdu/HowTo/ are either user- or developer-specific. Let's move the user-specific HowTos over here (and delete them over there)! (But first ask the authors (see the history of those pages to find them) if they are fine with moving the howto and putting it under the GPL.)
In dit hoofdstuk behandelen we een aantal taken van systeembeheer voor gevorderden.
In dit voorbeeld willen we gebruikersgroepen maken per jaartal met met de groep gedeelde persoonlijke mappen (home0/2024, home0/2026, enz.). We willen de gebruikers aanmaken via het importeren van een csv-bestand.
(als systeembeheerder op de hoofdserver)
Maak de benodigde jaartalmappen
mkdir /skole/tjener/home0/2024
(als eerste gebruiker in Gosa)
Afdeling
Kies in het hoofdmenu 'Directory structure' (Registerstructuur) en klik de afdeling 'Students' (Studenten) aan. In het veld 'Base' (Basis) hoort '/Students' (Studenten) te staan. In het uitklapkader 'Actions' (Acties) kiest u 'Create'/'Department' (Aanmaken/Afdeling). Geef waarden in voor de velden Name (Naam) (2024) en Description (Beschrijving) (studenten die in 2024 afstuderen), laat het veld Base (Basis) ongewijzigd (daar zou '/Students' (Studenten) moeten staan). Bewaar door op 'Ok' te klikken. Nu zou de nieuwe afdeling (2024) zichtbaar moeten zijn onder /Students. Klik er op.
Groep
Kies in het hoofdmenu 'Groups' (Groepen) en kies vervolgens 'Actions'/Create/Group (Acties/Groep aanmaken). Voer een naam in voor de groep (laat 'Base' zoals het is, zou moeten zijn /Students/2024) en klik op 'Ok' om te bewaren.
Sjabloon
Kies 'users' (gebruikers) in het hoofdmenu. Ga nu in het veld Base naar
'Students'. Nu zou een item 'NewStudent'
(NieuweStudent) zichtbaar moeten worden. Klik het aan. Dit is het sjabloon
voor 'studenten', geen echte gebruiker. U zult aan de hand van dit voorbeeld
een gelijkaardig sjabloon moeten aanmaken (om de gegevens in uw
registerstructuur te kunnen importeren via een csv-bestand). Noteer daarom
alle items die u ziet staan in de tabbladen Generic en POSIX of maak er een
schermafdruk van om de informatie voor het nieuwe sjabloon bij de hand te
hebben.
Schakel nu in het Base-veld om naar /Students/2024. Kies Create/Template (Aanmaken/Sjabloon) en begin met het ingeven van de gewenste waarden, eerst voor het tabblad Generic (Algemeen) (voeg ook uw nieuwe groep 2024 toe aan het veld Group Membership (Groepslidmaatschap) en voeg nadien het POSIX-account toe.
Gebruikers importeren
Kies uw nieuw sjabloon bij het uitvoeren van de gegevensimport vanuit uw csv-bestand. Eerst een test doen met enkele gebruikers wordt aangeraden.
Met het volgende script kan de systeembeheerder een map aanmaken in de persoonlijke map van elke gebruiker en instellen wie de eigenaar ervan is en welke toegangsrechten gelden.
In het onderstaande voorbeeld wordt in de persoonlijke map een map 'taken' aangemaakt, met leerkrachten als groepseigenaar en met 2770 als toegangsrechten. Een student kan dan zijn taak inleveren door zijn bestand te bewaren in deze map en leerkrachten kunnen in die taak hun commentaar toevoegen omdat ze schrijfrechten hebben.
#!/bin/bash home_path="/skole/tjener/home0" shared_folder="taken" permissions="2770" created_dir=0 for home in $(ls $home_path); do if [ ! -d "$home_path/$home/$shared_folder" ]; then mkdir $home_path/$home/$shared_folder chmod $permissions $home_path/$home/$shared_folder #set the right owner and group #"username" = "group name" = "folder name" user=$home group=teachers chown $user:$group $home_path/$home/$shared_folder ((created_dir+=1)) else echo -e "de map $home_path/$home/$shared_folder bestaat al.\n" fi done echo "$created_dir mappen werden aangemaakt."
Volg dit stappenplan om een server op te zetten, bedoeld voor het opslaan van de persoonlijke mappen van gebruikers en van wellicht nog andere gegevensbestanden.
Voeg met behulp van GOsa² een nieuw systeem van het type
server
toe, zoals geschetst werd in het
hoofdstuk Aan de slag van deze
handleiding.
In dit voorbeeld gebruiken we 'nas-server.intern' als naam voor de server. Eens 'nas-server.intern' geconfigureerd werd, moet u controleren of de exportpunten van NFS op de nieuwe opslagserver geëxporteerd worden naar de betrokken subnetten en machines:
root@tjener:~# showmount -e nas-server Export list for nas-server: /storage 10.0.0.0/8 root@tjener:~#
Hier heeft iedere machine op het hoofdnetwerk toegang tot het exportpunt /storage. (Men kan het recht op toegang tot NFS-exports ook beperken tot die machines die lid zijn van de groep netgroup of tot individuele adressen, zoals gebeurt in het bestand tjener:/etc/exports ).
Voeg in LDAP met betrekking tot 'nas-server.intern' automount-informatie toe om toe te laten dat alle clients op hun verzoek automatisch het nieuwe export-punt kunnen aankoppelen.
Dit kunt u niet doen met behulp van GOsa², aangezien een module voor automount er in ontbreekt. U moet in de plaats ldapvi gebruiken en de vereiste LDAP-objecten aanmaken met behulp van die tekstbewerker.
ldapvi --ldap-conf -ZD '(cn=admin)' -b
ou=automount,dc=skole,dc=skolelinux,dc=no
Van zodra de editor actief is, voegt u de volgende LDAP-objecten toe aan het einde van het document. (Het "/&"-gedeelte in het laatste LDAP-object is een jokerteken dat staat voor alle exports van 'nas-server.intern'. Hierdoor vervalt de noodzaak om elk individueel aankoppelpunt op te lijsten in LDAP.)
add cn=nas-server,ou=auto.skole,ou=automount,dc=skole,dc=skolelinux,dc=no objectClass: automount cn: nas-server automountInformation: -fstype=autofs --timeout=60 ldap:ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no add ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no objectClass: top objectClass: automountMap ou: auto.nas-server add cn=/,ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no objectClass: automount cn: / automountInformation: -fstype=nfs,tcp,rsize=32768,wsize=32768,rw,intr,hard,nodev,nosuid,noatime nas-server.intern:/&
Voeg de relevante gegevens toe in het bestand tjener.intern:/etc/fstab. Dit is nodig omdat tjener.intern geen gebruik maakt van automount om de kans op het ontstaan van eindeloze lussen van aankoppelingen te vermijden:
Maak de aankoppelingsmappen aan met behulp van het commando
mkdir
, voer de overeenkomstige aanpassingen
in '/etc/fstab' door en geef de opdracht mount
-a
om de nieuwe bronnen aan te koppelen.
Gebruikers zouden nu in staat moeten zijn om rechtstreeks toegang te hebben tot de bestanden op 'nas-server.intern' door gewoon naar de map '/tjener/nas-server/storage/' te gaan met behulp van om het even welke toepassing op elk werkstation of elke LTSP thin-client of LTSP-server.
Er bestaan verschillende mogelijkheden om toegang via ssh in te perken. Sommige ervan worden hier opgesomd.
Indien er geen gebruik gemaakt wordt van LTSP-clients, bestaat een
eenvoudige oplossing erin een nieuwe groep aan te maken (bijvoorbeeld
sshgebruikers
) en een regel toe te voegen
in het bestand /etc/ssh/sshd_config op de computer. Enkel leden van de groep
sshgebruikers
zullen dan de toelating
hebben om zich van om het even waar via ssh op de computer aan te melden.
Een dergelijke situatie beheren is heel eenvoudig met GOsa:
Maak een groep sshgebruikers
aan in het
basisniveau (waar al andere groepen die te maken hebben met systeembeheer,
zoals gosa-admins
te vinden zijn).
Gebruikers toevoegen aan de nieuwe groep
sshgebruikers
.
Voeg de regel AllowGroups sshusers
toe in
het bestand /etc/ssh/sshd_config.
Geef de opdracht service ssh restart
.
Bij een standaardinstelling van LTSP gebruiken schijfloze clients geen ssh-verbindingen. Na het wijzigen van de ssh-instellingen volstaat het bijwerken van het SquashFS-image op de betrokken LTSP-server.
X2Go thin clients gebruiken ssh-verbindingen met de betrokken LTSP-server. Daarom is hier een andere benadering die gebruik maakt van PAM, nodig.
Activeer pam_access.so in het bestand /etc/pam.d/sshd van de LTSP-server.
Stel /etc/security/access.conf in om toestemming te geven aan (bijvoorbeeld) gebruikers alice, jane, bob en john om van overal een verbinding via ssh te maken en aan alle andere gebruikers enkel vanuit de interne netwerken. Dit doet u door de volgende regels toe te voegen:
+ : alice jane bob john : ALL + : ALL : 10.0.0.0/8 192.168.0.0/24 192.168.1.0/24 - : ALL : ALL #
Indien enkel voorbehouden LTSP-servers gebruikt worden, kunt u het netwerk 10.0.0.0/8 weglaten om de mogelijkheid uit te schakelen dat men zich intern via ssh aanmeldt. Noteer dat iemand die zijn computer aankoppelt op een gereserveerd netwerk van LTSP-clients meteen ook toegang heeft tot de LTSP-server via ssh.
Indien er X2Go-clients aangekoppeld zouden zijn op het hoofdnetwerk 10.0.0.0/8 zouden de zaken zelfs nog gecompliceerder worden. Wellicht is het dan enkel mogelijk om te verhinderen dat men zich intern via ssh aanmeldt door gebruik te maken van een gesofisticeerde DHCP-configuratie (in LDAP), waarbij de zogenaamde 'vendor-class-identifier' gecontroleerd wordt, in combinatie met een passende PAM configuratie.
Om meerdere talen te ondersteunen moeten de volgende commando's uitgevoerd worden:
Voer (als systeembeheerder) het commando dpkg-reconfigure
locales
uit en kies de gewenste talen (de UTF-8-varianten).
Voer als systeembeheerder de volgende commando's uit om de betrokken pakketten te installeren:
apt update /usr/share/debian-edu-config/tools/install-task-pkgs /usr/share/debian-edu-config/tools/improve-desktop-l10n
Gebruikers kunnen dan via de beeldschermbeheerder LightDM hun taal kiezen
vooraleer ze zich aanmelden. Dit geldt voor Xfce, LXDE en LXQt. GNOME en KDE
hanteren allebei hun eigen interne hulpmiddelen voor het configureren van
taal en regio en u moet deze gebruiken bij deze grafische
werkomgevingen. MATE gebruikt bovenop Lightdm het aanmeldvenster Arctica,
zonder de mogelijkheid om een taal te kiezen. Voer het commando
apt purge arctica-greeter
uit om het
standaardaanmeldvenster van Lightdm te krijgen.
U heeft libdvdcss nodig om de meeste commerciële dvd's te kunnen
afspelen. Om redenen van wettelijke aard zit het niet in Debian
(Edu). Indien u het rechtsgeldig mag gebruiken, kunt u lokaal uw eigen
pakketten bouwen met behulp van het Debian pakket
libdvd-pkg
. Zorg ervoor dat u de pakketbron
contrib
geactiveerd heeft in het bestand
/etc/apt/sources.list
.
apt update apt install libdvd-pkg
Beantwoord de vragen van debconf en voer dan het commando
dpkg-reconfigure libdvd-pkg
uit.
Het pakket fonts-linex
(dat standaard
geïnstalleerd wordt) installeert de tekenset 'Abecedario'. Deze tekenset met
lettertekens in handschrift vinden kinderen leuk. De tekenset bevat
verschillende varianten om met kinderen te gebruiken: gestippeld of met
lijnen.
Een algemene term voor zowel thin-clients als schijfloze werkstations is LTSP-client.
Sinds Bullseye verschilt LTSP aanzienlijk van de vorige versies. Dit betreft zowel installatie als onderhoud.
Een belangrijk verschil is dat het SquashFS-image voor schijfloze werkstations nu standaard gegenereerd wordt vanuit het bestandssysteem van de LTSP-server. Op een gecombineerde server gebeurt dit bij de eerste opstart en dit kan enige tijd in beslag nemen.
Thin clients maken niet langer deel uit van LTSP. Debian Edu maakt gebruik van X2Go om nog steeds het gebruik van thin clients te kunnen ondersteunen.
In het geval van een aparte of aanvullende LTSP-server is de vereiste informatie voor het opzetten van de LTSP-clientomgeving niet volledig op het ogenblik van de installatie. Het instellen kan worden uitgevoerd zodra het systeem is toegevoegd met GOsa².
Raadpleeg voor informatie over LTSP in het algemeen de LTSP homepagina. Op systemen met het profiel
LTSP-server geeft man
ltsp
meer informatie.
Merk op dat het hulpmiddel ltsp van LTSP zorgvuldig
moet gebruikt worden. Het commando ltsp image
/
zou er bijvoorbeeld niet in slagen het SquashFS-image te
genereren in het geval van Debian machines (deze hebben standaard een aparte
/boot-partitie), het commando ltsp ipxe
zou
er niet in slagen het iPXE-menu correct te genereren (wegens de
ondersteuning van Debian Edu voor thin clients) en ltsp
initrd
zou het opstarten van LTSP-clients volledig
verknoeien.
Het hulpmiddel debian-edu-ltsp-install is een script
dat de commando's ltsp image
,
ltsp kernel
en ltsp
ipxe
bundelt. Het wordt gebruikt om ondersteuning voor
schijfloze werkstations en thin clients in te stellen en te
configureren(zowel 64-bits als 32-bits pc's). Zie man
debian-edu-ltsp-install
of de inhoud van het script om te
zien hoe het werkt. Alle configuratie zit vervat in het script zelf (via
zogenaamde HERE documenten) om locatiespecifieke aanpassingen te
vergemakkelijken.
Voorbeelden van hoe u het bundel-script debian-edu-ltsp-install kunt gebruiken:
debian-edu-ltsp-install --diskless_workstation
yes
werkt het SquashFS-image voor schijfloze werkstations
bij (bestandssysteem van de server).
debian-edu-ltsp-install --diskless_workstation yes
--thin_type bare
creëert ondersteuning voor schijfloze
werkstations en voor 64-bits thin clients.
debian-edu-ltsp-install --arch i386 --thin_type
bare
creëert ook nog ondersteuning voor 32-bits thin
clients (chroot en SquashFS-image).
Behalve bare (kleinste thin client-systeem) zijn ook display en desktop mogelijke opties. Het type display biedt een afsluitknop, het type desktop voert Firefox ESR uit in zogenaamde kiosk modus op de client zelf (meer lokaal RAM en CPU-vermogen zijn nodig, maar er is een geringere belasting van de server).
Het hulpmiddel debian-edu-ltsp-ipxe is
een bundel-script voor ltsp ipxe
. Het zorgt
ervoor dat het bestand /srv/tftp/ltsp/ltsp.ipxe specifiek is voor Debian
Edu. De opdracht moet worden uitgevoerd nadat items in verband met iPXE
(zoals menu-wachttijd of standaard opstartinstellingen) in de sectie
[server] van /etc/ltsp/ltsp.conf zijn gewijzigd.
Het hulpmiddel debian-edu-ltsp-initrd is
een bundel-script voor ltsp initrd
. Het
zorgt ervoor dat een initrd gegenereerd wordt dat specifiek is voor dit
toepassingsgebied (/srv/tftp/ltsp/ltsp.img) en dat dan verplaatst wordt naar
de map die voor dat toepassingsgebied bedoeld is. Het commando moet worden
uitgevoerd nadat de sectie [clients] in /etc/ltsp/ltsp.conf werd gewijzigd.
Het hulpmiddel debian-edu-ltsp-chroot is een vervanging voor het hulpmiddel ltsp-chroot dat met LTSP5 geleverd wordt. Het wordt gebruikt om commando's uit te voeren in een gespecificeerde LTSP-chroot (zoals bijv. installeren, opwaarderen en verwijderen van pakketten).
Schijfloos werkstation
Een schijfloos werkstation voert alle programmatuur lokaal uit. De clientmachine start rechtstreeks op vanaf de LTSP-server zonder gebruik te maken van een lokale harde schijf. Programmatuur wordt beheerd en onderhouden op de LTSP-server, maar wordt op het schijfloos werkstation uitgevoerd. Persoonlijke mappen en systeeminstellingen worden eveneens op de server opgeslagen. Het systeem van schijfloze werkstations is een uitstekende manier om oudere (maar nog krachtige) hardware te (her)gebruiken tegen een even lage onderhoudskost als het geval is bij thin clients.
In tegenstelling tot werkstations functioneren schijfloze werkstations zonder dat men ze dient toe te voegen met GOsa².
Thin-client
Een thin-clientinstallatie stelt een gewone PC in staat om te functioneren als een (X-)terminal, waarbij alle programmatuur op de LTSP-server uitgevoerd wordt. Het betekent dat een dergelijke machine opstart via PXE zonder gebruik te maken van een lokale harde schijf op de client en dat de LTSP-server een krachtige computer moet zijn.
Debian Edu ondersteunt nog steeds het gebruik van thin clients om het gebruik van zeer oude hardware mogelijk te maken.
Aangezien Thin clients X2Go gebruiken, moeten gebruikers beeldsamenstelling uitschakelen om weergave-artefacten te voorkomen. In het standaardgeval (Xfce grafische werkomgeving): Instellingen -> Vensterbeheerder bijstellen -> Beeldsamensteller.
Fabrieksprogrammatuur voor LTSP-clients
Het opstarten van de LTSP-client zal niet lukken als de netwerkkaart van de client niet-vrije fabrieksprogrammatuur vereist. Een PXE-installatie kan gebruikt worden om problemen op te sporen bij het opstarten van een machine over het netwerk. Indien het installatiesysteem van Debian klaagt over het feit dat bestand XXX.bin ontbreekt, betekent dit dat niet-vrije fabrieksprogrammatuur toegevoegd moet worden aan het initrd van de LTSP-server.
Ga op de LTSP-server als volgt te werk:
Verzamel vooreerst informatie over firmware-pakketten; geef daarvoor de opdracht:
apt update && apt search ^firmware-
Bepaal welk pakket moet geïnstalleerd worden voor de netwerkkaart(en). Hoogstwaarschijnlijk zal dit firmware-linux zijn. Geef daarvoor de opdracht:
apt -y -q install firmware-linux
Werk het SquashFS-image voor schijfloze werkstations bij; geef daarvoor de opdracht:
debian-edu-ltsp-install --diskless_workstation yes
In het geval er X2Go thin-clients gebruikt worden, geeft u de opdracht:
/usr/share/debian-edu-config/tools/ltsp-addfirmware -h
en ga te werk volgens de gebruikersinformatie.
Werk daarna het SquashFS-image bij; bijvoorbeeld, voor de chroot /srv/ltsp/x2go-bare-amd64 gebruikt u het commando:
ltsp image x2go-bare-amd64
Elke LTSP-server heeft twee netwerkkaarten. Een ervan is geconfigureerd binnen het hoofdsubnet 10.0.0.0/8 (dat met de hoofdserver gedeeld wordt). De andere netwerkkaart geeft vorm aan een lokaal subnet (een apart subnet voor elke LTSP-server).
In beide gevallen kan men in het iPXE-menu schijfloos werkstation of thin client kiezen. Na 5 seconden wachten zal de machine opstarten als schijfloos werkstation.
Het standaard opstartmenu-item en de standaard wachttijd kunnen beide worden
geconfigureerd in /etc/ltsp/ltsp.conf
. Een
waarde van -1 voor de wachttijd wordt gebruikt om het
menu te verbergen. Voer het commando
debian-edu-ltsp-ipxe
uit om de wijzigingen
door te voeren.
Het standaard LTSP clientnetwerk is 192.168.0.0/24 als een computer
geïnstalleerd wordt met behulp van het profiel LTSP-server. Indien er zeer
veel LTSP-clients in gebruik zijn of indien verschillende LTSP-servers
tegelijk een chroot-omgeving voor i386 en voor amd64 moeten aanbieden, kan
ook het tweede vooraf ingestelde netwerk 192.168.1.0/24 gebruikt
worden. Bewerk het bestand
/etc/network/interfaces
en pas de
instellingen voor eth1 in die zin aan. Gebruik
ldapvi
of om het even welke andere editor
voor LDAP om de instellingen voor DNS en DHCP na te kijken.
Om de chroot en het SquashFS-image te creëren geeft u de opdracht:
debian-edu-ltsp-install --arch i386 --thin_type bare
Zie man debian-edu-ltsp-install
voor
details over thin-clienttypes.
Geef de opdracht man ltsp.conf
om een zicht
te krijgen op de beschikbare configuratieopties. U kunt deze ook online
raadplegen: https://ltsp.org/man/ltsp.conf/
Voeg configuratie-items toe aan de sectie [clients] van /etc/ltsp/ltsp.conf. Om de veranderingen door te voeren geeft u de opdracht:
debian-edu-ltsp-initrd
LTSP thin-clients doen beroep op genetwerkte audio om audio van de server te laten doorgeven aan de clients.
Schijfloze werkstations onder LTSP verwerken audio lokaal.
Indien gebruikers een USB-stick of een dvd/cd plaatsen in een schijfloos werkstation, verschijnt een overeenkomstig pictogram op het bureaublad, waardoor toegang tot de inhoud mogelijk is zoals op een werkstation.
Wanneer gebruikers een USB-stick in een X2Go thin client van het type bare (standaardinstallatie gecombineerde server) plaatsen, wordt het medium aangekoppeld zodra op het bestaande mappictogram op het Xfce-bureaublad wordt gedubbelklikt. Afhankelijk van de media-inhoud kan het enige tijd duren voordat de inhoud verschijnt in bestandsbeheer.
Wanneer USB-sticks en andere verwijderbare media in een LTSP-server worden geplaatst, wordt het bijbehorende mappictogram weergegeven op de desktops van LTSP-thin clients. Externe gebruikers hebben toegang tot de bestanden.
Koppel de printer aan de LTSP-clientcomputer (zowel USB- als parallelle poort worden ondersteund).
Configureer de LTSP-client met GOsa² om een vast IP-adres te gebruiken.
Configureer de printer via de webinterface
https://www.intern:631
op de
hoofdserver. Selecteer netwerkprinter, type AppSocket/HP
JetDirect
(voor alle printers ongeacht merk of model) en
stel socket://<LTSP client ip>:9100
in als de URI van de verbinding.
PXE staat voor Preboot eXecution Environment. Debian Edu gebruikt nu de implementatie iPXE voor een eenvoudigere LTSP-integratie.
Het item in het iPXE-menu betreffende systeeminstallaties wordt gegenereerd
met behulp van het script
debian-edu-pxeinstall
. Het is mogelijk om
bepaalde instellingen ervan te overschrijven door een bestand
/etc/debian-edu/pxeinstall.conf
aan te
maken met vervangende waarden.
De PXE-installatie zal de instellingen voor taal, toetsenbordindeling en
spiegelserver overnemen uit de bij het installeren van de hoofdserver
meegegeven instellingen. De overige vragen (over profiel, deelname aan het
meten van de populariteit van programmatuur, schijfindeling en
beheerderswachtwoord) zullen in de loop van de installatie wel gesteld
worden. Om deze vragen te voorkomen, kunt u het bestand
/etc/debian-edu/www/debian-edu-install.dat
aanpassen, zodat het de door u vooraf gekozen antwoorden kan doorgeven aan
de overeenkomstige waarden van debconf. Enkele voorbeelden van beschikbare
waarden voor debconf kunt u vinden in de commentaarregels van het bestand
/etc/debian-edu/www/debian-edu-install.dat
.
Zodra u debian-edu-pxeinstall
gebruikt om
de installatie-omgeving voor PXE opnieuw aan te maken, zullen uw wijzigingen
echter verloren gaan. Om waarden voor debconf te laten toevoegen aan het
bestand
/etc/debian-edu/www/debian-edu-install.dat
tijdens dit proces van opnieuw aanmaken van de installatie-omgeving voor PXE
met debian-edu-pxeinstall
, moet u een
bestand
/etc/debian-edu/www/debian-edu-install.dat.local
creëren met daarin de door u gewenste bijkomende waarden voor debconf.
U vindt bijkomende informatie over het aanpassen van PXE-installaties in het hoofdstuk Installatie.
Voeg u aan het bestand
/etc/debian-edu/www/debian-edu-install.dat.local
iets toe in de zin van het voorbeeld hieronder om ook een eigen pakketbron
te kunnen gebruiken:
#voeg een pakketbron van example.org toe d-i apt-setup/local1/repository string http://example.org/debian stable main contrib non-free d-i apt-setup/local1/comment string pakketbron met programmatuur afkomstig van example d-i apt-setup/local1/source boolean true d-i apt-setup/local1/key string http://example.org/key.asc
en geef dan eenmaal de opdracht
/usr/sbin/debian-edu-pxeinstall
.
Het pakket debian-edu-config bevat een hulpmiddel waarmee u het netwerk
10.0.0.0/8 in iets anders kunt wijzigen. Kijk eens naar
/usr/share/debian-edu-config/tools/subnet-change
.
Het is bedoeld om vlak na de installatie van de hoofdserver gebruikt te
worden met het oog op het aanpassen van LDAP en van de andere bestanden die
bijgewerkt moeten worden om het subnet te wijzigen.
Weet dat kiezen voor een van de subnets die reeds elders in Debian Edu gebruikt worden, niet zal werken. 192.168.1.0/24 en 192.168.1.0/24 staan reeds ingesteld als netwerken voor de LTSP clients. Omschakelen naar deze subnetwerken maakt het manueel bewerken van configuratiebestanden om er de items uit te halen die er tweemaal in voorkomen, onvermijdelijk.
Er bestaat geen gemakkelijke manier om de domeinnaam van DNS te wijzigen. Het toch doen maakt het aanpassen van de structuur van LDAP en van meerdere bestanden in het bestandssysteem van de hoofdserver noodzakelijk. Er bestaat ook geen eenvoudige manier om de computernaam en de DNS-naam van de hoofdserver (tjener.intern) te veranderen. Ook hiervoor zouden veranderingen nodig zijn in LDAP, in bestanden op de hoofdserver en in het bestandssysteem van de client. En in de beide gevallen zouden ook de instellingen van Kerberos veranderd moeten worden.
Wanneer u kiest voor het profiel LTSP-server of het profiel gecombineerde server, worden ook de pakketten xrdp en x2goserver geïnstalleerd.
Xrdp maakt gebruik van het protocol Remote Desktop (bureaublad op een andere computer) om aan de clientcomputer een extern grafisch aanmeldscherm aan te bieden. Dit laat gebruikers van Microsoft Windows toe om zonder het installeren van bijkomende programmatuur toch een verbinding te maken met een LTSP-server waarop het programma xrdp draait. Er wordt dan op de Windowscomputer gewoon een verbinding geactiveerd via 'Extern bureaublad' en de gebruiker kan zich aanmelden.
Bijkomend kan xrdp ook een verbinding maken met een VNC-server of een andere RDP-server.
Xrdp wordt zonder ondersteuning voor geluid geleverd; om de nodige modules te compileren zou u het volgende script kunnen gebruiken.
#!/bin/bash # Script om de PulseAudio-modules voor xrd # te compileren / hercompileren. # De uitvoerder ervan moet root of lid van de sudo-groep zijn. # Ook moet /etc/apt/sources.list # een geldige deb-src-regel bevatten. set -e if [[ $UID -ne 0 ]] ; then if ! groups | egrep -q sudo ; then echo "FOUT: U moet root of lid van de sudo-groep zijn." exit 1 fi fi if ! egrep -q ^deb-src /etc/apt/sources.list ; then echo "FOUT: Zorg voor een deb-src-regel in /etc/apt/sources.list." exit 1 fi TMP=$(mktemp -d) PULSE_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' pulseaudio)" XRDP_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' xrdp)" sudo apt -q update # Broncode en bouwvereisten ophalen: sudo apt -q install dpkg-dev cd $TMP apt -q source pulseaudio xrdp sudo apt -q build-dep pulseaudio xrdp # Voor pulseaudio moet enkel 'configure' gebeuren: cd pulseaudio-$PULSE_UPSTREAM_VERSION/ ./configure # Aanpassen van de Makefile voor de pulseaudio-modules # (het absoluut pad is vereist) # en bouwen van de pulseaudio-modules. cd $TMP/xrdp-$XRDP_UPSTREAM_VERSION/sesman/chansrv/pulse/ sed -i 's/^PULSE/#PULSE/' Makefile sed -i "/#PULSE_DIR/a \ PULSE_DIR = $TMP/pulseaudio-$PULSE_UPSTREAM_VERSION" Makefile make # Modules kopiëren naar de map voor Pulseaudio-modules, # rechten aanpassen. sudo cp *.so /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/ sudo chmod 644 /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/module-xrdp* # Herstarten van xrdp, nu met ondersteuning voor geluid. sudo service xrdp restart
X2Go maakt het mogelijk om vanaf een pc met Linux, Windows of macOS over een verbinding met lage of hoge bandbreedte toegang te hebben tot een grafische werkomgeving op de LTSP-server. Daarvoor is op de client-computer extra software vereist. Raadpleeg voor bijkomende informatie de wiki van X2Go.
Merk op dat u best het pakket killer
verwijdert van de LTSP-server als u X2Go gebruikt. Zie 890517.
freerdp-x11
wordt standaard geïnstalleerd
en ondersteunt zowel RDP als VNC.
RDP - de eenvoudigste manier om een koppeling te maken met een Windows
terminalserver. Een pakket met een alternatieve client is
rdesktop
.
Een VNC-client (Virtual Network Computer) geeft vanop afstand toegang tot
Skolelinux. Een pakket met een alternatieve client is
xvncviewer
.
x2goclient
is een grafische client voor het
X2Go-systeem (niet standaard geïnstalleerd). U kunt dit programma gebruiken
om een verbinding te maken met een actieve sessie of om een nieuwe sessie te
starten.
De server freeRADIUS kan worden gebruikt om veilige
netwerkverbindingen tot stand te brengen. Om dit te laten werken moet u de
pakketten freeradius en winbind
installeren op de hoofdserver en het commando
/usr/share/debian-edu-config/tools/setup-freeradius-server
uitvoeren om een basale locatiespecifieke configuratie te genereren. Op deze
manier worden zowel de EAP-TTLS/PAP als de PEAP-MSCHAPV2 methode
ingeschakeld. Alle configuratie zit vervat in het script zelf om
site-specifieke aanpassingen te vergemakkelijken. Raadpleeg de homepagina van freeRADIUS voor
details.
Extra configuratie is nodig om
toegangspunten in/uit te schakelen via een shared secret (gedeeld geheim) (/etc/freeradius/3.0/clients.conf).
draadloze toegang toe te staan/te weigeren met behulp van LDAP-groepen (/etc/freeradius/3.0/users).
toegangspunten samen te voegen in speciale groepen (/etc/freeradius/3.0/huntgroups)
Apparaten van eindgebruikers moeten correct worden geconfigureerd, deze apparaten moeten met een pincode zijn beveiligd voor het gebruik van EAP (802.1x)-methoden. En het belangrijkste: gebruikers moeten worden opgeleid om het freeradius CA-certificaat op hun apparaten te installeren om er zeker van te zijn dat ze verbinding maken met de juiste server. Op deze manier kan het wachtwoord niet worden achterhaald in het geval van een kwaadwillende server. Het locatiespecifieke certificaat is beschikbaar op het interne netwerk.
https://www.intern/freeradius-ca.pem (voor apparaten van eindgebruikers met Linux)
https://www.intern/freeradius-ca.crt (Linux, Android)
https://www.intern/freeradius-ca.der (macOS, iOS, iPadOS, Windows)
Houd er rekening mee dat het configureren van apparaten voor eindgebruikers een echte uitdaging zal zijn vanwege de verscheidenheid aan apparaten. Voor Windows-apparaten kan een installatiescript worden gemaakt, voor Apple-apparaten een mobileconfig-bestand. In beide gevallen kan het freeRADIUS CA-certificaat worden geïntegreerd, maar er zijn OS-specifieke gereedschappen nodig om de scripts te maken.
Om pGina (of een andere auth-service-applicatie van derden) te kunnen gebruiken, moet u een speciaal gebruikersaccount hebben dat wordt gebruikt bij het zoeken in LDAP.
Voeg een bijzondere gebruiker, bijv. pguser met wachtwoord pwd.777, toe op de https://www/gosa website.
Download en installeer pGina 3.9.9.12 zoals gebruikelijke software. Let erop dat de LDAP-plug-in blijft staan in de plug-inmap van pGina:
c:\Program Files\pGina.fork\Plugins\pGina.Plugin.Ldap.dll
Gezien de instellingen van Debian Edu gebruikt de verbinding met LDAP SSL via poort 636.
Dus de noodzakelijke instellingen in een pGina LDAP-plugin zijn de volgende
(deze worden opgeslagen in HKEY_LOCAL_MACHINE\SOFTWARE\pGina3.fork\Plugins\0f52390b-c781-43ae-bd62-553c77fa4cf7).
LDAP Host(s): 10.0.2.2 (of iets anders met "spatie" als scheidingsteken)
LDAP Port: 636 (voor de SSL-verbinding)
Timeout: 10
Use SSL: YES (selectievakje aanvinken)
Start TLS: NO (selectievakje niet aanvinken)
Validate Server Certificate: NO (selectievakje niet aanvinken)
Search DN: uid=pguser,ou=people,ou=Students,dc=skole,dc=skolelinux,dc=no
("pguser" is een gebruiker die zich in LDAP kan authenticeren om te zoeken in Users (gebruikers) bij een inlogsessie)
Search Passwords: pwd.777 (dit is het wachtwoord van "pguser")
Het tabblad Bind:
Allow Empty Passwords: NO
Search for DN: YES (selectievakje aanvinken)
Search Filter: (&(uid=%u)(objectClass=person))
Default: Allow
Deny when LDAP authentication fails: YES (selectievakje aanvinken)
Allow when server is unreachable: NO (selectievakje niet aanvinken, facultatief)
LDAP: Authentication [v], Authorization [v], Gateway[v], Change Password [_]
Local Machine: Authentication [v], Gateway [v] (enkel twee selectievakjes aanvinken)
Authentication: LDAP, Local Machine
Gateway: LDAP, Local Machine
Informatiebronnen:
Samba is nu geconfigureerd als autonome server met
moderne SMB2/SMB3-ondersteuning en met de functie delen van gebruikersmappen
ingeschakeld. Zie
/etc/samba/smb-debian-edu.conf
op de
hoofdserver. Op deze manier kunnen gebruikers zonder beheerdersrechten
gedeelde mappen aanbieden.
Omdat Samba het onveilige SMB1-protocol heeft laten vallen, is de optie om Samba in te stellen als PDC in NT4-stijl verdwenen.
Voor locatiespecifieke wijzigingen moet u /usr/share/debian-edu-config/smb.conf.edu-site kopiëren naar de map /etc/samba. De instellingen in smb.conf.edu-site zullen die in smb-debian-edu.conf overschrijven.
Merk op:
Persoonlijke mappen zijn standaard alleen-lezen. Dit kan gewijzigd worden in /etc/samba/smb.conf.edu-site.
Samba-wachtwoorden worden opgeslagen met behulp van
smbpasswd
en worden bijgewerkt voor het
geval een wachtwoord wordt gewijzigd met GOsa².
Om het Samba-account van een gebruiker tijdelijk uit te schakelen geeft u de
opdracht smbpasswd -d
<gebruikersnaam>
, en met het commando
smbpasswd -e <gebruikersnaam>
kunt u
het terug activeren.
Met het commando chown root:teachers
/var/lib/samba/usershares
op de hoofdserver schakelt de
functie mappen delen uit voor 'studenten'.
Verbindingen met de persoonlijke map van een gebruiker en met extra locatiespecifieke gedeelde mappen (wanneer deze geconfigureerd zijn) zijn mogelijk voor apparaten met Linux, Android, macOS, iOS, iPadOS, Chrome OS of Windows. Andere apparaten, zoals op Android gebaseerde apparaten, hebben een bestandsbeheerder met SMB2 / SMB3-ondersteuning nodig, ook wel LAN-toegang genoemd. X-plore of Total Commander met LAN plug-in zou een goede keuze kunnen zijn.
Gebruik \\tjener\<gebruikersnaam>
of
smb://tjener/<gebruikersnaam>
om
toegang tot de persoonlijke map te hebben.
Alle pakketten van Debian die in dit onderdeel vermeld worden, kunt u
installeren door (als systeembeheerder) de opdracht apt
install <pakket>
te geven.
stable/education-development is een meta-pakket dat een heleboel programmeerhulpmiddelen vereist. Merk op dat bijna 2 GiB vereist is als dit pakket geïnstalleerd wordt. Raadpleeg voor bijkomende informatie (eventueel om slechts enkele pakketten te installeren) de pagina ontwikkelingspakketten van Debian Edu.
Waarschuwing: zorg ervoor dat u goed geïnformeerd bent over de wettelijke bepalingen in verband met het opvolgen en beperken van de activiteiten van uw computergebruikers in uw rechtsgebied.
Sommige scholen gebruiken controlehulpmiddelen zoals Epoptes of Veyon om hun studenten te superviseren. Bekijk ook de Homepagina van Epoptes en de Homepagina van Veyon.
Sommige scholen maken gebruik van Squidguard of e2guardian om de toegang tot het Internet te beperken.
Iedere gebruiker zou zijn of haar wachtwoord moeten wijzigen via GOsa². Om
dit te doen, moet men een browser gebruiken en naar
https://www/gosa/
gaan.
GOsa² gebruiken om een wachtwoord te wijzigen garandeert dat de wachtwoorden voor Kerberos (krbPrincipalKey), LDAP (userPassword) en Samba identiek zijn.
Het wijzigen van een wachtwoord met PAM functioneert ook aan de aanmeldingsprompt van GDM, maar dit past enkel het Kerberos-wachtwoord aan, en niet het wachtwoord voor Samba en GOsa² (LDAP). Indien u dus uw wachtwoord wijzigde aan de aanmeldingsprompt, zou u het zeker ook moeten wijzigen via GOsa².
Autonome Java-toepassingen worden automatisch ondersteund door OpenJDK, een omgeving voor het uitvoeren van javatoepassingen.
Alle gebruikers kunnen binnen het interne netwerk e-mail versturen en
ontvangen. Certificaten worden voorzien om met TLS beveiligde verbindingen
mogelijk te maken. Om het gebruik van e-mail buiten het interne netwerk
mogelijk te maken, moet de systeembeheerder de mailserver
exim4
configureren overeenkomstig de lokale
situatie. Die configuratie bijwerken begint bij de opdracht
dpkg-reconfigure exim4-config
.
Elke gebruiker die Thunderbird wenst te gebruiken, moet het op de volgende manier configureren. Voor een gebruiker met de gebruikersnaam jdoe, is het interne e-mailadres jdoe@postoffice.intern.
Start Thunderbird
Klik op 'Deze stap overslaan en mijn bestaande e-mail gebruken'
Voer uw e-mailadres in
Voer uw wachtwoord niet in, aangezien het 'single sign on'-systeem van Kerberos gebruikt zal worden
Klik op 'Doorgaan'
Voor IMAP en SMTP moeten de instellingen telkens 'STARTTLS' en 'Kerberos/GSSAPI' zijn. Pas ze aan als dit niet automatisch gedetecteerd wordt
Klik op 'Klaar'
Momenteel bestaan er lokale teams in Noorwegen, Duitsland, de regio Extremadura in Spanje, Taiwan en Frankrijk. 'Individuele' medewerkers en gebruikers zijn er in Griekenland, Nederland, Japan en op nog andere plaatsen.
Het hoofdstuk ondersteuning bevat uitleg en koppelingen naar lokale hulpbronnen, aangezien meewerken en ondersteunen twee kanten zijn van dezelfde medaille.
Op internationaal vlak hebben we ons georganiseerd in meerdere teams die werken op verschillende thema's.
In de meeste gevallen fungeert de mailinglijst voor ontwikkelaars als ons belangrijkste communicatiemedium, maar eens per maand hebben we een IRC-vergadering op #debian-edu op irc.debian.org en zelfs ook, weliswaar minder frequent, echte vergaderingen waarop we elkaar persoonlijk ontmoeten. Nieuwe medewerkers zouden onze https://wiki.debian.org/DebianEdu/ArchivePolicy moeten lezen.
Een goede manier om te weten wat er gebeurt op het vlak van de ontwikkeling van Debian Edu, is zich inschrijven voor de mailinglijst voor broncodeaanpassingen.
Debian Edu gebruikt het Bugvolgsysteem (Bug Tracking System - BTS) van Debian. Bekijk bestaande bugrapporten en functieverzoeken of maak er nieuwe aan. Rapporteer alle bugs tegen het pakket debian-edu-config. Kijk eens naar Hoe Bugs Rapporteren voor meer informatie over het rapporteren van bugs in Debian Edu.
Dit document heeft uw hulp nodig! Eerst en vooral is het op dit moment nog niet af. Terwijl u het leest, zult u merken dat er op verschillende plaatsen in de tekst nog FIXMEs staan. Indien u toevallig (een beetje) kennis mocht hebben over wat daar uitgelegd moet worden, overweeg dan alstublieft om uw kennis met ons te delen.
De broncode van de tekst is een wiki die eenvoudig met behulp van een webbrowser bewerkt kan worden. Ga gewoon naar https://wiki.debian.org/DebianEdu/Documentation/Bullseye/ en u kunt zomaar beginnen mee te werken. Noot: u heeft wel een gebruikersaccount nodig om de pagina's te bewerken: eerst moet u een wiki-gebruikersaccount aanmaken.
Een heel goede andere manier om mee te werken en gebruikers te helpen, is door programmatuur en documentatie te vertalen. Informatie over hoe dit document te vertalen, is te vinden in het hoofdstuk vertalingen van dit boek. Overweeg alstublieft om te helpen bij het vertalen van dit boek!
https://lists.debian.org/debian-edu - mailinglijst voor het bieden van ondersteuning
#debian-edu op irc.debian.org - Een IRC-kanaal dat hoofdzakelijk gaat over ontwikkeling; verwacht niet om er onmiddellijke ondersteuning te krijgen, al komt het regelmatig voor dat dit toch gebeurt
#skolelinux op irc.debian.org - IRC-kanaal ter ondersteuning van Noorse gebruikers
https://lists.debian.org/debian-edu-german - mailinglijst voor het bieden van ondersteuning
https://www.skolelinux.de - Officiële voorstelling in het Duits
#skolelinux.de op irc.debian.org - IRC-kanaal ter ondersteuning van Duitse gebruikers
http://lists.debian.org/debian-edu-french - mailinglijst voor het bieden van ondersteuning
Een lijst van bedrijven die professionele ondersteuning bieden vindt u op https://wiki.debian.org/DebianEdu/Help/ProfessionalHelp.
Nieuwe versie van het installatieprogramma van Debian Bullseye. Voor meer details kunt u terecht bij de installatiehandleiding.
Nieuwe grafische vormgeving die gebaseerd is op het thema Homeworld, de standaard grafische vormgeving voor Debian 11 Bullseye.
Het installatieprogramma van Debian biedt niet langer ondersteuning voor het opzetten van een LTSP-chroot. In het geval van een installatie van een gecombineerde server (profiel 'Hoofdserver' + 'LTSP-server') gebeurt het opzetten van thin clientondersteuning (waarvoor nu X2Go gebruikt wordt) op het einde van de installatie. Het genereren van het SquashFS-image voor ondersteuning van schijfloze clients (vanuit het bestandssysteem van de server) gebeurt bij de eerste opstart.
Voor afzonderlijke LTSP-servers moeten beide stappen worden uitgevoerd via een hulpmiddel na de eerste opstart binnen het interne netwerk wanneer voldoende informatie van de hoofdserver beschikbaar is.
Alles wat nieuw is in Debian 11 Bullseye, bijvoorbeeld:
Linux kernel versie 5.10
Grafische werkomgevingen KDE Plasma 5.20, GNOME 3.38, Xfce 4.16, LXDE 11, MATE 1.24
LibreOffice 7.0
Gereedschapskist voor het onderwijs GCompris versie 1.0
Programma voor muziekcreatie Rosegarden 20.12
LTSP 21.01
Debian Bullseye stelt meer 59.000 pakketten ter beschikking, klaar voor installatie.
Meer informatie over Debian 11 Bullseye kunt u vinden in de opmerkingen bij de uitgave en in de installatiehandleiding.
Tijdens de installatie is de pagina over de keuze van profielen beschikbaar in 29 talen, waarvan er 22 een volledige vertaling bieden.
De handleiding van Debian Edu Bullseye is volledig vertaald naar het Nederlands, het Frans, het Duits, het Italiaans, het Japans, het Noorse Bokmål, het Portugees (Portugal) en het Vereenvoudigd Chinees.
Er bestaan gedeeltelijk vertaalde versies in het Deens en het Spaans.
Verbeterde ondersteuning voor TLS/SSL op het interne netwerk. Op clients is het basiscertificaat voor de 'Debian Edu-CA' nu opgenomen in de certificatenbundel voor het hele systeem.
Nieuwe en volledig herschreven LTSP, waarbij ondersteuning voor thin clients weggevallen is. Thin clients worden nu met X2Go ondersteund.
Netboot, het opstarten over het netwerk, wordt aangeboden met iPXE in plaats van PXELINUX om compatibel te zijn met LTSP.
Nu wordt de map /srv/tftp gebruikt als basis voor het opstarten over het netwerk in plaats van /var/lib/tftpboot.
Na een opwaardering naar een tussenrelease van een systeem met het profiel
Hoofdserver of LTSP-Server, moet u
het commando debian-edu-pxeinstall
uitvoeren om de PXE-installatieomgeving bij te werken.
DuckDuckGo wordt gebruikt als standaard zoekmachine voor zowel Firefox ESR als Chromium.
Chromium gebruikt de interne website in plaats van Google als standaard startpagina.
Op schijfloze werkstations is het Kerberos TGT na het inloggen automatisch beschikbaar.
Nieuw gereedschap toegevoegd om freeRADIUS in te stellen met ondersteuning voor zowel de methode EAP-TTLS/PAP als PEAP-MSCHAPV2.
Samba wordt geconfigureerd als 'autonome server' met ondersteuning voor SMB2/SMB3; toetreden tot het domein is verdwenen.
De GOsa²-webinterface toont geen vermeldingen in verband met Samba, omdat Samba-accountgegevens niet langer in LDAP worden opgeslagen.
Voor PXE installaties wordt de grafische modus van het installatieprogramma van Debian gebruikt (in plaats van de tekstmodus).
Centrale CUPS printserver ipp.intern, gebruikers die behoren tot de groep printer-admins, mogen CUPS beheren.
Het beheer van Icinga via de webinterface kan enkel gebeuren door de eerste gebruiker.
Dit document werd geschreven door de volgende auteurs, bij wie ook de auteursrechten berusten: Holger Levsen (2007-2022), Petter Reinholdtsen (2001, 2002, 2003, 2004, 2007, 2008, 2009, 2010, 2012, 2014), Daniel Heß (2007), Patrick Winnertz (2007), Knut Yrvin (2007), Ralf Gesellensetter (2007), Ronny Aasen (2007), Morten Werner Forsbring (2007), Bjarne Nielsen (2007, 2008), Nigel Barker (2007), José L. Redrejo Rodríguez (2007), John Bildoy (2007), Joakim Seeberg (2008), Jürgen Leibner (2009, 2010, 2011, 2012, 2014), Oded Naveh (2009), Philipp Hübner (2009, 2010), Andreas Mundt (2010), Olivier Vitrat (2010, 2012), Vagrant Cascadian (2010), Mike Gabriel (2011), Justin B Rye (2012), David Prévot (2012), Wolfgang Schweer (2012-2022), Bernhard Hammes (2012), Joe Hansen (2015) en Serhii Horichenko (2022). Het document werd uitgegeven onder de licentie GPL2 of een latere versie. Geniet ervan!
Mocht u er inhoud aan toevoegen, doe dit dan alstublieft enkel voor zover u er zelf de auteur van bent. U dient die inhoud ook onder dezelfde voorwaarden vrij te geven! Voeg hier vervolgens uw naam toe en geef de inhoud vrij onder de licentie 'GPL v2 of enige latere versie'.
De handleiding van Debian Edu Bullseye is volledig vertaald naar het Nederlands, het Frans, het Duits, het Italiaans, het Japans, het Noorse Bokmål, het Portugees (Portugal) en het Vereenvoudigd Chinees.
Er bestaan gedeeltelijk vertaalde versies in het Deens en het Spaans.
Op Weblate wordt gewerkt aan vertalingen naar het Pools, het Roemeens, het Zweeds en het Traditioneel Chinees.
Er bestaat een onlineoverzicht van alle vertalingen.
Zoals het geval is voor vele projecten van vrije programmatuur, worden
vertalingen van dit document bijgehouden in PO-bestanden. In het bestand
/usr/share/doc/debian-edu-doc/README.debian-edu-buster-manual-translations
kunt u meer informatie vinden over het vertaalproces.
Sommige vertaalteams hebben beslist om de vertaling via Weblate te maken. Zie https://hosted.weblate.org/projects/debian-edu-documentation/debian-edu-bullseye/ voor bijkomende informatie.
Gelieve ons eventuele problemen te rapporteren.
Copyright (C) 2007-2018 Holger Levsen < holger@layer-acht.org > en anderen. Raadpleeg het hoofdstuk over Auteursrechten voor de volledige lijst van personen bij wie de auteursrechten berusten.
This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version.
This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.
You should have received a copy of the GNU General Public License along with this program; if not, write to the Free Software Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 USA.
Version 2, June 1991
Copyright (C) 1989, 1991 Free Software Foundation, Inc. 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301, USA. Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed.
0. This License applies to any program or other work which contains a notice placed by the copyright holder saying it may be distributed under the terms of this General Public License. The "Program", below, refers to any such program or work, and a "work based on the Program" means either the Program or any derivative work under copyright law: that is to say, a work containing the Program or a portion of it, either verbatim or with modifications and/or translated into another language. (Hereinafter, translation is included without limitation in the term "modification".) Each licensee is addressed as "you".
Activities other than copying, distribution and modification are not covered by this License; they are outside its scope. The act of running the Program is not restricted, and the output from the Program is covered only if its contents constitute a work based on the Program (independent of having been made by running the Program). Whether that is true depends on what the Program does.
1. You may copy and distribute verbatim copies of the Program's source code as you receive it, in any medium, provided that you conspicuously and appropriately publish on each copy an appropriate copyright notice and disclaimer of warranty; keep intact all the notices that refer to this License and to the absence of any warranty; and give any other recipients of the Program a copy of this License along with the Program.
You may charge a fee for the physical act of transferring a copy, and you may at your option offer warranty protection in exchange for a fee.
2. You may modify your copy or copies of the Program or any portion of it, thus forming a work based on the Program, and copy and distribute such modifications or work under the terms of Section 1 above, provided that you also meet all of these conditions:
a) You must cause the modified files to carry prominent notices stating that you changed the files and the date of any change.
b) You must cause any work that you distribute or publish, that in whole or in part contains or is derived from the Program or any part thereof, to be licensed as a whole at no charge to all third parties under the terms of this License.
c) If the modified program normally reads commands interactively when run, you must cause it, when started running for such interactive use in the most ordinary way, to print or display an announcement including an appropriate copyright notice and a notice that there is no warranty (or else, saying that you provide a warranty) and that users may redistribute the program under these conditions, and telling the user how to view a copy of this License. (Exception: if the Program itself is interactive but does not normally print such an announcement, your work based on the Program is not required to print an announcement.)
These requirements apply to the modified work as a whole. If identifiable sections of that work are not derived from the Program, and can be reasonably considered independent and separate works in themselves, then this License, and its terms, do not apply to those sections when you distribute them as separate works. But when you distribute the same sections as part of a whole which is a work based on the Program, the distribution of the whole must be on the terms of this License, whose permissions for other licensees extend to the entire whole, and thus to each and every part regardless of who wrote it.
Thus, it is not the intent of this section to claim rights or contest your rights to work written entirely by you; rather, the intent is to exercise the right to control the distribution of derivative or collective works based on the Program.
In addition, mere aggregation of another work not based on the Program with the Program (or with a work based on the Program) on a volume of a storage or distribution medium does not bring the other work under the scope of this License.
3. You may copy and distribute the Program (or a work based on it, under Section 2) in object code or executable form under the terms of Sections 1 and 2 above provided that you also do one of the following:
a) Accompany it with the complete corresponding machine-readable source code, which must be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,
b) Accompany it with a written offer, valid for at least three years, to give any third party, for a charge no more than your cost of physically performing source distribution, a complete machine-readable copy of the corresponding source code, to be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,
c) Accompany it with the information you received as to the offer to distribute corresponding source code. (This alternative is allowed only for noncommercial distribution and only if you received the program in object code or executable form with such an offer, in accord with Subsection b above.)
The source code for a work means the preferred form of the work for making modifications to it. For an executable work, complete source code means all the source code for all modules it contains, plus any associated interface definition files, plus the scripts used to control compilation and installation of the executable. However, as a special exception, the source code distributed need not include anything that is normally distributed (in either source or binary form) with the major components (compiler, kernel, and so on) of the operating system on which the executable runs, unless that component itself accompanies the executable.
If distribution of executable or object code is made by offering access to copy from a designated place, then offering equivalent access to copy the source code from the same place counts as distribution of the source code, even though third parties are not compelled to copy the source along with the object code.
4. You may not copy, modify, sublicense, or distribute the Program except as expressly provided under this License. Any attempt otherwise to copy, modify, sublicense or distribute the Program is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance.
5. You are not required to accept this License, since you have not signed it. However, nothing else grants you permission to modify or distribute the Program or its derivative works. These actions are prohibited by law if you do not accept this License. Therefore, by modifying or distributing the Program (or any work based on the Program), you indicate your acceptance of this License to do so, and all its terms and conditions for copying, distributing or modifying the Program or works based on it.
6. Each time you redistribute the Program (or any work based on the Program), the recipient automatically receives a license from the original licensor to copy, distribute or modify the Program subject to these terms and conditions. You may not impose any further restrictions on the recipients' exercise of the rights granted herein. You are not responsible for enforcing compliance by third parties to this License.
7. If, as a consequence of a court judgment or allegation of patent infringement or for any other reason (not limited to patent issues), conditions are imposed on you (whether by court order, agreement or otherwise) that contradict the conditions of this License, they do not excuse you from the conditions of this License. If you cannot distribute so as to satisfy simultaneously your obligations under this License and any other pertinent obligations, then as a consequence you may not distribute the Program at all. For example, if a patent license would not permit royalty-free redistribution of the Program by all those who receive copies directly or indirectly through you, then the only way you could satisfy both it and this License would be to refrain entirely from distribution of the Program.
If any portion of this section is held invalid or unenforceable under any particular circumstance, the balance of the section is intended to apply and the section as a whole is intended to apply in other circumstances.
It is not the purpose of this section to induce you to infringe any patents or other property right claims or to contest validity of any such claims; this section has the sole purpose of protecting the integrity of the free software distribution system, which is implemented by public license practices. Many people have made generous contributions to the wide range of software distributed through that system in reliance on consistent application of that system; it is up to the author/donor to decide if he or she is willing to distribute software through any other system and a licensee cannot impose that choice.
This section is intended to make thoroughly clear what is believed to be a consequence of the rest of this License.
8. If the distribution and/or use of the Program is restricted in certain countries either by patents or by copyrighted interfaces, the original copyright holder who places the Program under this License may add an explicit geographical distribution limitation excluding those countries, so that distribution is permitted only in or among countries not thus excluded. In such case, this License incorporates the limitation as if written in the body of this License.
9. The Free Software Foundation may publish revised and/or new versions of the General Public License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns.
Each version is given a distinguishing version number. If the Program specifies a version number of this License which applies to it and "any later version", you have the option of following the terms and conditions either of that version or of any later version published by the Free Software Foundation. If the Program does not specify a version number of this License, you may choose any version ever published by the Free Software Foundation.
10. If you wish to incorporate parts of the Program into other free programs whose distribution conditions are different, write to the author to ask for permission. For software which is copyrighted by the Free Software Foundation, write to the Free Software Foundation; we sometimes make exceptions for this. Our decision will be guided by the two goals of preserving the free status of all derivatives of our free software and of promoting the sharing and reuse of software generally.
NO WARRANTY
11. BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.
12. IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.
END OF TERMS AND CONDITIONS
Momenteel zijn er geen Debian Edu Live CD/DVD's voor Bullseye beschikbaar.
Bureaublad van XFCE
Alle pakketten voor het profiel autonome computer
Alle pakketten specifiek voor een draagbare computer
Bureaublad van XFCE
Alle pakketten voor het profiel werkstation
Alle pakketten specifiek voor een draagbare computer
Om een specifieke vertaling te activeren moet u opstarten met de optie
locale=ll_CC.UTF-8
, waarbij ll_CC.UTF-8
staat voor de door u gewenste lokalisatie. Om een specifieke
toetsenbordindeling te activeren, moet u de optie
keyb=KB
gebruiken, waarbij KB staat voor de
door u gewenste toetsenbordindeling. Hierna volgt een lijst van veel
gebruikte lokalisatiecodes:
Taal (Regio) |
Code voor het taalgebied |
Toetsenbordindeling |
Noors Bokmål |
nb_NO.UTF-8 |
no |
Noors Nynorsk |
nn_NO.UTF-8 |
no |
Duits |
de_DE.UTF-8 |
de |
Frans (Frankrijk) |
fr_FR.UTF-8 |
fr |
Grieks (Giekenland) |
el_GR.UTF-8 |
el |
Japans |
ja_JP.UTF-8 |
jp |
Noordelijk Sami (Noorwegen) |
se_NO |
no(smi) |
Een volledige lijst van taalgebiedcodes vindt u in het bestand
/usr/share/i18n/SUPPORTED
, maar enkel de
UTF-8-versies van de taalgebiedcodes worden ondersteund door de
live-images. Toch zijn niet voor alle taalgebieden vertalingen
geïnstalleerd. De benamingen voor de toetsenbordindeling vindt u in
/usr/share/keymaps/amd64/.
Het wachtwoord voor de gebruiker is 'user'; voor de systeembeheerder (root) werd geen wachtwoord ingesteld.
Dit is de eerste maal dat er installatie-images voor Debian Edu beschikbaar zijn op https://cdimage.debian.org. Het zijn dus officiële Debian-images.
Nieuwe versie van het installatieprogramma van Debian Buster. Voor meer details kunt u terecht bij de installatiehandleiding.
Nieuwe grafische vormgeving die gebaseerd is op het thema futurePrototype, de standaard grafische vormgeving voor Debian 10 Buster.
Nieuwe standaard grafische werkomgeving Xfce (ter vervanging van KDE).
Vernieuwd configuratiebeheer CFEngine (het niet-onderhouden pakket cfengine2 werd vervangen door cfengine3). dit is een ingrijpende aanpassing. Bekijk voor meer details de officiële CFEngine documentatie.
De architectuur van de LTSP-chroot is nu standaard die van de server.
Alles wat nieuw is in Debian 10 Buster, bijvoorbeeld:
Linux kernel versie 4.19
Desktopomgevingen KDE Plasma Werkomgeving 5.14, GNOME 3.30, Xfce 4.12, LXDE 0.99.2, MATE 1.20
Firefox 60.7 ESR en Chromium 73.0
LibreOffice 6.1
Gereedschapskist voor het onderwijs GCompris versie 0.95
Programma voor muziekcreatie Rosegarden 18.12
GOsa 2.74
LTSP 5.18
Debian Buster stelt meer 57.000 pakketten ter beschikking, klaar voor installatie.
Meer informatie over Debian 10 Buster kunt u vinden in de opmerkingen bij de uitgave en in de installatiehandleiding.
Bijgewerkte vertalingen van de sjablonen die in het installatieprogramma gebruikt worden. Deze sjablonen zijn nu in 76 talen beschikbaar, waarvan er 31 volledig vertaald zijn. De pagina voor het selecteren van de profielen is in 29 talen beschikbaar, waarvan er 19 volledig vertaald zijn.
De handleiding van Debian Edu Buster is volledig vertaald naar het Frans, het Duits, het Italiaans, het Deens, het Nederlands, het Noorse Bokmål en het Japans.
Er bestaan gedeeltelijk vertaalde versies in het Pools, het Spaans, het Vereenvoudigd Chinees en het Traditioneel Chinees.
Met het BD ISO-image is het opnieuw mogelijk om offline installaties uit te voeren.
Er zijn nieuwe, aan het onderwijsniveau gekoppelde, metapakketten beschikbaar: education-preschool, education-primaryschool, education-secondaryschool and education-highschool. Geen van hen wordt standaard geïnstalleerd.
Sommige pakketten, die eerder behoren tot het voorschoolse niveau of tot het basisonderwijs (zoals gcompris-qt, childsplay, tuxpaint en tuxmath) worden niet langer sttandaard geïnstalleerd.
Locatiespecifieke modulaire installatie. Het is voortaan mogelijk om enkel die educatieve pakketten te installeren die effectief gewenst worden. Raadpleeg het hoofdstuk installatie voor meer informatie.
Locatiespecifieke meertalige ondersteuning. Zie het hoofdstuk Grafische werkomgeving voor meer informatie.
LXQt 0.14 wordt aangeboden als nieuwe keuzemogelijkheid bij het selecteren van de grafische werkomgeving.
Nieuw GOsa²-Plugin Password Management (voor wachtwoordbeheer).
Uit de web-interface van GOsa² werden de onbruikbare opties verwijderd.
Er is een nieuwe netgroep beschikbaar om systemen die behoren tot de netgroep shut-down-at-night-host, van een automatische opstart uit te sluiten.
Nieuw hulpmiddel Standardskriver (Standaard printer). Zie het hoofdstuk Beheer voor meer informatie.
Nieuw hulpmiddel Desktop-autoloader. Dit zorgt voor prestatieverbetering bij schijfloze LTSP-clients. Zie het hoofdstuk Netwerk-clients voor meer informatie.
Verbeterde ondersteuning voor TLS/SSL binnen het interne netwerk. Er wordt een RootCA-certificaat gebruikt om servercertificaten te ondertekenen en de persoonlijke mappen van gebruikers worden geconfigureerd om dit te accepteren bij het aanmaken van het account. Behalve Firefox ESR kunnen nu ook Chromium en Konqueror HTTPS gebruiken zonder onveilige verbindingen te moeten toelaten.
Het commando ssh met Kerberos-ondersteuning. Binnen het
interne netwerk is voor ssh-verbindingen niet langer een wachtwoord
vereist. Om dit voor de systeembeheerder te activeren, moet deze eerste het
commandokinit
uitvoeren.
NFS met Kerberos-ondersteuning. Het is nu mogelijk om de toegang tot de persoonlijke map meer te beveiligen. Zie het hoofdstuk Beheer voor meer informatie.
Het configuratiebestand
/etc/debian-edu/pxeinstall.conf
met
voorbeelden werd toegevoegd om locatiespecifieke aanpassingen makkelijker te
maken.
Het configuratiebestand
/etc/ltsp/ltsp-build-client.conf
met
voorbeelden werd toegevoegd om locatiespecifieke aanpassingen makkelijker te
maken.
Een nieuw hulpmiddel,
/usr/share/debian-edu-config/tools/edu-ldap-from-scratch
.
Het maakt het mogelijk om de LDAP-database opnieuw te genereren, zoals deze
was onmiddellijk na de installatie van de hoofdserver. Dit gereedschap zou
ook nuttig kunnen zijn om het maken van locatiespecifieke aanpassingen te
vergemakkelijken.
Nu X2Go server beschikbaar is in Debian worden de ermee verband houdende pakketten automatisch geïnstalleerd op alle systemen met het profiel LTSP-Server.
De ontwikkelaars van de browser Firefox ESR hebben de ondersteuning voor het uitvoeren van Java-applets weggelaten.
Ondersteuning voor het niet-vrije flash werd weggelaten uit de browser Firefox ESR.
Zoals dit het geval was voor de release van Stretch, wordt in Debian 10 het
pakket unattended-upgrades
niet standaard
geïnstalleerd. Raadpleeg het hoofdstuk Onderhoud
voor bijkomende informatie over beveiligingsbijwerkingen.
Nieuwe versie van het installatieprogramma van Debian Stretch. Voor meer details kunt u terecht bij de installatiehandleiding.
Het profiel 'Thin-clientserver' kreeg de nieuwe naam 'LTSP-Server'.
Nieuwe illustraties die gebaseerd zijn op het thema 'soft Waves', de standaardillustraties voor Debian 9 Stretch.
Alles wat nieuw was in Debian 9 Stretch, bijvoorbeeld:
Linux kernel versie 4.9
Desktopomgevingen KDE Plasma Werkomgeving 5.8, GNOME 3.22, Xfce 4.12, LXDE 0.99.2, MATE 1.16
De KDE Plasma Werkomgeving wordt standaard geïnstalleerd; raadpleeg deze handleiding om een van de andere te kiezen.
Firefox 45.9 ESR en Chromium 59
De naam van Iceweasel werd opnieuw veranderd naar Firefox!
De naam van Icedove werd opnieuw veranderd naar Thunderbird en wordt nu standaard geïnstalleerd.
LibreOffice 5.2.6
Gereedschapskist voor het onderwijs GCompris versie 15.10
Programma voor muziekcreatie Rosegarden 16.06
GOsa 2.7.4
LTSP 5.5.9
Debian Stretch stelt meer 50.000 pakketten ter beschikking, klaar voor installatie.
Meer informatie over Debian 9 Stretch kunt u vinden in de opmerkingen bij de uitgave en in de installatiehandleiding.
Bijgewerkte vertalingen van de sjablonen die in het installatieprogramma gebruikt worden. Deze sjablonen zijn nu in 29 talen beschikbaar.
De handleiding van Debian Edu Stretch is volledig vertaald naar het Duits, het Frans, het Italiaans, het Nederlands, het Noors Bokmål en het Japans. De Japanse vertaling is nieuw in Stretch.
Er bestaan gedeeltelijk vertaalde versies in het Spaans, het Pools en het Vereenvoudigd Chinees.
Icinga vervangt Nagios als monitoringsysteem.
kde-spectacle vervangt ksnapshot als schermafdrukgereedschap.
De vrije flash-player gnash is terug van weggeweest.
Plymouth wort standaard geïnstalleerd en geactiveerd, behalve voor de profielen 'Hoofdserver' en 'Minimaal'. U krijgt de opstart- en afsluitmeldingen te zien als u op de ESC-toets drukt.
Bij de opwaardering vanuit Jessie moet de databank van LDAP aangepast worden. De waarde 'tjener' van sudoHost moet veranderd worden in 'tjener.intern' met behulp van GOsa² of een LDAP-editor.
De zuivere i586-processor wordt niet langer ondersteund door de uitgave voor 32-bits PC's (gekend als de Debian architectuur i386). Voortaan is de i686 het ondersteunde basismodel, hoewel sommige i586-processoren (bijv. de 'AMD Geode') wel nog ondersteund blijven.
Op nieuwe installaties wordt door Debian 9 'unattended upgrades' (onbemand opwaarderen - voor beveiligingsupdates) standaard geactiveerd. Bij een systeem dat nog niet lang opgestart is kan dit het gevolg hebben dat het opnieuw afsluiten ervan ongeveer 15 minuten kan duren.
LTSP gebruikt nu NBD in plaats van NFS als basisbestandssysteem. Na iedere
verandering aan een LTSP-chroot moet het ermee verband houdende NBD-image
opnieuw gegenereerd worden
(ltsp-update-image
) opdat de wijzigingen
van kracht zouden worden.
Het wordt niet langer toegestaan dat eenzelfde gebruiker gelijktijdig aangemeld is op een LTSP-server en een LTSP thin-client.
De volgende releases van Debian Edu stammen uit een nog verder verleden:
Debian Edu 8+edu0, codenaam Jessie, uitgebracht op 02-07-2016.
Debian Edu 7.1+edu0, codenaam Wheezy, uitgebracht op 28-09-2013.
Debian Edu 6.0.7+r1 codenaam 'Squeeze', uitgebracht op 03-03-2013.
Debian Edu 6.0.7+r1 codenaam 'Squeeze', uitgebracht op 03-03-2013.
Debian Edu 6.0.4+r0 codenaam 'Squeeze', uitgebracht op 11-03-2012.
Debian Edu 5.0.6+edu1 codenaam 'Lenny', uitgebracht op 05-10-2010.
Debian Edu 5.0.4+edu0 codenaam 'Lenny', uitgebracht op 08-02-2010.
Debian Edu '3.0r1 Terra', uitgebracht op 05-12-2007.
Debian Edu '3.0r0 Terra', uitgebracht op 22-07-2007. De release is gebaseerd op Debian 4.0 Etch, uitgebracht op 08-04-2007.
Debian Edu 2.0, uitgebracht op 14-03-2006. De release is gebaseerd op Debian 3.1 Sarge, uitgebracht op 06-06-2005.
Debian Edu '1.0 Venus', uitgebracht op 20-06-2004. De release is gebaseerd op Debian 3.0 Woody, uitgebracht op 19-07-2002.
Een volledig en gedetailleerd overzicht van alle oude releases is te vinden in Appendix C van de handleiding voor Jessie. Raadpleeg anders de handleidingen bij de verschillende uitgaven op de pagina met handleidingen.