Manual do Debian Edu/Skolelinux 12 Bookworm

Data de publicação: 02/03/2024


Índice

1. Manual do Debian Edu 12 denominado bookworm
2. Sobre o Debian Edu e Skolelinux
2.1. Alguma história e o porquê de dois nomes
3. Arquitetura
3.1. Rede
3.1.1. A configuração padrão da rede
3.1.2. Servidor principal
3.1.3. Serviços rodando no servidor principal
3.1.4. Servidor(es) LTSP
3.1.5. Clientes dependentes (thin clients)
3.1.6. Estações de trabalho sem disco
3.1.7. Clientes em rede
3.2. Administração
3.2.1. Instalação
3.2.2. Configuração de acesso ao sistema de arquivos
4. Requisitos
4.1. Requisitos de hardware
4.2. Computadores identificados como funcionando com o sistema
5. Requisitos para configuração de rede
5.1. Configuração padrão
5.2. Encaminhador (router) de Internet
6. Opções de instalação e download
6.1. Onde encontrar informação adicional
6.2. Baixe a mídia de instalação do Debian Edu 12 Codename Bookworm
6.2.1. amd64 ou i386
6.2.2. Imagens iso netinst para amd64 ou i386
6.2.3. Imagens iso BD para amd64 ou i386
6.2.4. Verificação dos arquivos de imagem baixados
6.2.5. Fontes ou origens das imagens
6.3. Instalando o Debian Edu
6.3.1. Cenários de instalação do servidor principal
6.3.2. Ambientes de trabalho
6.3.3. Instalação modular
6.3.4. Tipos de instalação e opções
6.3.5. Processo de instalação
6.3.6. Instalar um gateway usando debian-edu-router
6.3.7. Notas sobre algumas características
6.3.8. Instalação usando pendrives USB em vez de discos de CD/Blu-ray
6.3.9. Instalação e inicialização através da rede via PXE
6.3.10. Modificar instalações PXE
6.3.11. Imagens personalizadas
6.4. Tour de capturas de tela
7. Primeiros passos
7.1. Passos mínimos para começar a usar
7.1.1. Serviços rodando no servidor principal
7.2. Introdução ao GOsa²
7.2.1. Acesso ao GOsa² e Visão geral
7.3. Gerenciamento de usuários com GOsa²
7.3.1. Adicionando usuários
7.3.2. Pesquisar, modificar e excluir usuários
7.3.3. Definir senhas
7.3.4. Gerenciamento avançado de usuários
7.4. Gerenciamento de Grupo com GOsa²
7.5. Gerenciamento de Máquina com GOsa²
7.5.1. Pesquisar e excluir máquinas
7.5.2. Modificar as máquinas existentes / Gerenciamento de grupos de rede
8. Gerenciamento de impressora
8.1. Use impressoras conectadas a estações de trabalho
8.2. Impressoras de rede
9. Sincronização do relógio
10. Estendendo partições completas
11. Manutenção
11.1. Atualização do software
11.1.1. Mantenha-se informado sobre as atualizações de segurança
11.2. Gerenciamento de backup
11.3. Monitoramento de Servidor
11.3.1. Munin
11.3.2. Icinga
11.3.3. Resumo do site
11.4. Mais informações sobre personalização do Debian Edu
12. Atualizações
12.1. Notas gerais sobre atualização
12.2. Atualizações do Debian Edu Bullseye
12.2.1. Atualizando o servidor principal
12.2.2. Atualizando uma estação de trabalho
12.3. Atualização a partir de instalações antigas do Debian Edu/Skolelinux (anteriores ao Bullseye)
13. Instruções
14. Instruções para administração geral
14.1. Histórico de configuração: rastreio de /etc/ utilizando o sistema de controle da versão Git
14.1.1. Exemplos de utilização
14.2. Redimensionar partições
14.2.1. Gerenciamento de volumes lógicos
14.3. Usando o ldapvi
14.4. NFS "Kerberizado"
14.4.1. Como alterar o padrão
14.5. Standardskriver
14.6. JXplorer, uma interface gráfica LDAP
14.7. ldap-createuser-krb5, uma ferramenta de linha de comando para adicionar usuários
14.8. Usar stable-updates (atualizações estáveis)
14.9. Usando backports para instalar software mais recente
14.10. Atualização com um CD ou imagem similar
14.11. Limpeza automática de processos remanescentes
14.12. Instalação automática de atualizações de segurança
14.13. Encerramento automático de máquinas durante a noite
14.13.1. Como configurar o encerramento à noite
14.14. Acessar servidores Debian-Edu localizados atrás de um firewall
14.15. Instalação de máquinas adicionais para serviços, para a distribuição da carga do servidor principal
14.16. Guias (HowTos) de wiki.debian.org
15. Instruções de administração avançada
15.1. Customizações do usuário com GOsa²
15.1.1. Criar usuários em grupos por ano
15.2. Outras personalizações do usuário
15.2.1. Criação de pastas nos diretórios home de todos os usuários
15.3. Usar um servidor de armazenamento dedicado
15.4. Restringir o acesso de login por SSH
15.4.1. Configuração sem clientes LTSP
15.4.2. Configuração com clientes LTSP
15.4.3. Uma nota para situações mais complexas
16. Instruções para o ambiente de trabalho
16.1. Preparar um ambiente de trabalho multilíngue
16.2. Reproduzir DVDs
16.3. Fontes manuscritas
17. Instruções para clientes numa rede
17.1. Introdução a clientes dependentes e estações de trabalho sem disco
17.1.1. Seleção do tipo de cliente LTSP
17.1.2. Usar uma rede de clientes LTSP diferente
17.1.3. Adicionar o LTSP chroot para suportar clientes de PCs de 32 bits
17.1.4. Configuração de cliente LTSP
17.1.5. Som em clientes LTSP
17.1.6. Acesso a unidades USB e a CD-ROMs/DVDs
17.1.7. Utilizar impressoras ligadas a clientes LTSP
17.2. Modificar a configuração do PXE
17.2.1. Configurar o menu PXE
17.2.2. Configurar a instalação PXE
17.2.3. Adicionar repositórios personalizados a instalações PXE
17.3. Alterar as definições de rede
17.4. Área de trabalho remota
17.4.1. Xrdp
17.4.2. X2Go
17.4.3. Clientes de área de trabalho remota disponíveis
17.5. Clientes sem fio
17.6. Autorizar a máquina Windows com as credenciais do Debian Edu usando a extensão LDAP pGina
17.6.1. Adicionando usuário pGina no Debian Edu
17.6.2. Instalar fork do pGina
17.6.3. Configurar pGina
18. O Samba no Debian Edu
18.1. Acessar arquivos via Samba
19. Instruções para ensino e aprendizagem
19.1. Ensino de Programação
19.2. Acompanhamento dos alunos
19.3. Restringir o acesso dos alunos à rede
20. Instruções para os usuários
20.1. Alterar senhas
20.2. Executar aplicações java autônomas
20.3. Usando e-mail
20.4. Thunderbird
21. Contribuir
21.1. Contribuir online
21.2. Reportar bugs
21.3. Redatores e tradutores de documentação
22. Apoio
22.1. Apoio baseado em voluntários
22.1.1. Em inglês
22.1.2. Em norueguês
22.1.3. Em alemão
22.1.4. Em francês
22.2. Apoio profissional
23. Novas funcionalidades no Debian Edu Bookworm
23.1. Novas funcionalidades para o Debian Edu 12 Bookworm
23.1.1. Alterações na instalação
23.1.2. Atualizações de software
23.1.3. Atualizações de documentação e tradução
23.1.4. Problemas conhecidos
24. Direitos de Autor e Autores
25. Traduções deste documento
25.1. Como traduzir este documento
25.1.1. Traduzir utilizando os arquivos PO
25.1.2. Traduzir on-line utilizando um navegador da Web
26. Apêndice A - A Licença Pública Geral GNU
26.1. Manual do Debian Edu 12 denominado Bookworm
26.2. GNU GENERAL PUBLIC LICENSE
26.3. TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION
27. Apêndice B - Recursos em versões mais antigas
27.1. Novas funcionalidades no Debian Edu 11, denominado Bullseye, lançado em 2021-08-14
27.1.1. Alterações na instalação
27.1.2. Atualizações de software
27.1.3. Atualizações de documentação e tradução
27.1.4. Outras alterações por comparação com a versão anterior
27.2. Informação histórica sobre versões mais antigas

1. Manual do Debian Edu 12 denominado bookworm


Tradução:
2021 José Vieira
2021-2022 Barbara Tostes
2021 Paulo Henrique de Lima Santana
2021, 2023-2024 Fred Maranhão
2021 Mario Gerson Miranda Magno Junior
2021 Thiago Pezzo
2024 Gabriel Francisco
2024 Ivan Rodrigues Pereira
2024 Rafael Fontenelle
2024 Reberti Carvalho Soares
2024 Ricardo Berlim Fonseca
2024 Simone Aguiar

Logotipo do instalador do Debian Edu

Este manual é para a versão Debian Edu 12 (bookworm).

A versão em https://wiki.debian.org/DebianEdu/Documentation/Bookworm é uma wiki e é atualizada frequentemente.

Traduções atualizadas estão disponíveis aqui (online).

2. Sobre o Debian Edu e Skolelinux

O Debian Edu, também conhecido como Skolelinux, é uma distribuição Debian que implementa uma abordagem cliente-servidor, disponibilizando um ambiente de rede escolar completamente configurado. Servidores e clientes são elementos de software – programas, no caso – que interagem entre si. Os servidores fornecem informações requeridas pelos clientes para estes poderem funcionar. Quando um servidor é instalado numa máquina e o seu cliente numa máquina diferente, as próprias máquinas são chamadas de servidor e cliente, por extensão do conceito.

Os capítulos sobre os requisitos de equipamento e de rede e sobre a arquitetura contêm detalhes do projeto do sistema básico.

Se a rede física estiver montada, após a instalação de um servidor principal (programa) num computador (o servidor físico), ficam configurados todos os serviços do sistema operacional necessários a uma rede escolar e o sistema fica pronto para ser utilizado. É apenas necessário registrar no sistema os utilizadores e as máquinas da rede, através do GOsa² (uma interface Web de fácil utilização) ou qualquer outro editor LDAP. Também foi preparado um ambiente de boot pela rede usando PXE (Preboot eXecution Environment)/iPXE, pelo que, após a instalação inicial do servidor principal (no servidor principal físico) a partir de CD, disco Blu-ray ou pendrive USB, o sistema pode ser instalado através da rede em todas as outras máquinas, incluindo as "estações de trabalho itinerantes" (aquelas que podem ser retiradas da rede da escola, geralmente computadores portáteis). Além disso, todas as máquinas podem iniciar via PXE/iPXE da mesma forma que as estações de trabalho sem disco e os clientes leves (thin clients).

Várias aplicações educacionais como o GeoGebra, o Kalzium, o KGeography, o GNU Solfege e o Scratch são incluídas na configuração do ambiente de área de trabalho padrão, que pode ser estendido facilmente e quase infinitamente através do universo Debian.

2.1. Alguma história e o porquê de dois nomes

O Debian Edu/Skolelinux é uma distribuição Linux criada pelo projeto Debian Edu. Enquanto distribuição Debian Pure Blend, é um subprojeto oficial Debian.

Isto significa que o Skolelinux é uma versão do Debian composta de forma a constituir um modelo pronto para uso de uma rede escolar completamente configurada.

O projeto Skolelinux foi fundado em 2 de julho de 2001 na Noruega. Na mesma época, Raphaël Hertzog iniciou o Debian-Edu na França. Em 2003 os projetos foram unificados, mas ambos os nomes permaneceram. "Skole" e (Debian-)"Education" são apenas dois termos comuns nos respetivos países – significando, respetivamente, Escola e Educação.

Hoje o sistema está em uso em vários países por todo o mundo.

3. Arquitetura

3.1. Rede

Esta seção descreve a arquitetura de rede e os serviços fornecidos por uma instalação Skolelinux.

A topologia da rede do Debian Edu

A figura é um esboço da topologia de rede assumida como padrão. A configuração predefinida de uma rede Skolelinux assume que existe um (e apenas um) servidor principal, enquanto permite a inclusão tanto de estações de trabalho normais quanto de servidores LTSP (com clientes dependentes e/ou estações de trabalho sem disco associados). O número de estações de trabalho pode ser tão grande ou tão pequeno quanto se quiser (desde nenhuma). O mesmo vale para os servidores LTSP (Linux Terminal Server Project), estando cada um deles numa rede separada para que o tráfego entre os clientes e o servidor LTSP não afete os demais serviços de rede. O LTSP é explicado em detalhe no respectivo capítulo de instruções.

A razão para que só possa haver um servidor principal em cada rede escolar é que o servidor principal permite a configuração dinâmica de hospedeiros, através do protocolo DHCP (Dynamic Host Configuration Protocol), e em cada rede só pode haver um sistema a fazê-lo. É possível transferir a execução de serviços de rede do servidor principal para outras máquinas; para o fazer, é necessário configurar a execução do serviço noutra máquina e, em seguida, atualizar a configuração do DNS, apontando o identificador ("alias") do DNS desse serviço para o computador certo.

A ligação à Internet é feita através de um encaminhador (router) separado, também chamado intermediário (gateway), para que a configuração padrão do Skolelinux possa ser mais simples do que seria de outra forma. Ver o capítulo Encaminhador de Internet (router) para informação de como instalar um encaminhador intermediário, se não for possível reconfigurar conforme necessário um encaminhador já existente.

3.1.1. A configuração padrão da rede

O DHCP no servidor principal serve a rede 10.0.0.0/8, fornecendo um menu de inicialização PXE onde se pode escolher entre instalar um novo servidor ou uma nova estação de trabalho, iniciar um cliente dependente ou uma estação de trabalho sem disco, executar o memtest (teste da(s) memória(s)), ou iniciar a partir do disco rígido local.

Mas isto pode ser modificado; para mais informações, ver o capítulo de instruções respetivo.

Nos servidores LTSP, o que o DHCP faz é apenas servir uma rede dedicada (sub-rede) na segunda interface (as opções 192.168.0.0/24 e 192.168.1.0/24 estão pré-configuradas) e raramente necessita ser alterado.

A configuração de todas as sub-redes é guardada no LDAP.

3.1.2. Servidor principal

Uma rede Skolelinux precisa de um servidor principal (também chamado "tjener", termo norueguês que significa "servidor") que por predefinição tem o endereço IP 10.0.2.2 e é instalado selecionando o perfil Servidor Principal. É possível (mas não necessário) selecionar e instalar na mesma máquina também os perfis Servidor LTSP e Estação de Trabalho, além do perfil Servidor Principal.

3.1.3. Serviços rodando no servidor principal

Com exceção do controle dos clientes dependentes, todos os serviços são inicialmente configurados num computador central (o servidor principal). Por razões de desempenho, o(s) servidor(es) LTSP deve(m) ser separado(s) (embora seja possível instalar os perfis de servidor principal e de servidor LTSP no mesmo computador). É atribuído a todos os serviços um nome DNS específico e todos funcionam exclusivamente em IPv4. O nome DNS atribuído facilita a transferência de serviços individuais do servidor principal para um computador diferente, simplesmente parando o serviço no servidor principal e alterando a configuração do DNS, apontando para a nova localização da execução do serviço (que deve primeiro ser configurada nesse computador, é claro).

Para garantir a segurança, todas as ligações em que as senhas são transmitidas pela rede são encriptadas, de modo que nenhuma senha é enviada pela rede como texto simples.

Abaixo está uma tabela dos serviços que são configurados por predefinição numa rede Skolelinux e o nome DNS de cada serviço. Se for possível, todos os arquivos de configuração irão referir-se ao serviço pelo nome (sem o nome de domínio), facilitando assim às escolas a mudança de domínio (se tiverem um domínio DNS próprio) ou dos endereços IP que utilizam.

Tabela de serviços

Descrição do serviço

Nome comum

Nome DNS

Registro centralizado

rsyslog

syslog

Serviço de nome de domínio (DNS)

DNS (BIND)

domínio

Configuração automática de rede de máquinas

DHCP

bootps

Sincronização de relógio

NTP

ntp

Diretórios pessoais via sistema de arquivos de rede

SMB/NFS

homes

Correio Eletrônico

IMAP (Dovecot)

postoffice (correios)

Serviço de diretório

OpenLDAP

ldap

Administração de usuários

GOsa²

---

Servidor web

Apache/PHP

www

Backup Central

sl-backup, slbackup-php

backup

Cache web

Proxy (Squid)

webcache

Impressão

CUPS

ipp

Login remoto seguro

OpenSSH

ssh

Configuração automática

CFEngine

cfengine

Servidor(es) LTSP

LTSP

ltsp

Vigilância de máquinas e serviços com relatório de erros, além de estado e histórico na web. Relatório de erros por e-mail

Munin, Icinga e Sitesummary

sitesummary

Os arquivos pessoais dos utilizadores são guardados nos respectivos diretórios de utilizador (pastas pessoais), que são disponibilizados pelo servidor. Os diretórios de utilizador são acessíveis a partir de todas as máquinas, dando aos utilizadores acesso aos mesmos arquivos (aos seus arquivos), independentemente da máquina que utilizem. O servidor é neutro relativamente a sistemas operacionais, proporcionando acesso via NFS a clientes do tipo Unix e via SMB2/SMB3 a outros clientes (windows, mac, etc.).

Por padrão, o e-mail é configurado para entrega local (ou seja, na escola) apenas, embora possa ser configurado o envio de correio pela Internet, se a escola tiver uma ligação permanente à Internet. Os clientes são configurados para entregar e-mail ao servidor (usando 'smarthost'), acedendo os utilizadores ao seu correio pessoal através de IMAP.

Todos os serviços são acessíveis usando o mesmo nome de usuário e respectiva senha, graças à base de dados central de usuários para a autenticação e autorização.

Para aumentar o desempenho em sites visitados frequentemente é usado um intermediário (proxy) de web (o Squid), que guarda arquivos localmente. Além de bloquear o tráfego web no encaminhador (router), isto também permite controlar o acesso à Internet nas máquinas, individualmente.

A configuração da rede nos clientes é feita automaticamente usando DHCP. Todos os tipos de clientes podem ser ligados à sub-rede privada 10.0.0.0/8, obtendo endereços IP correspondentes; os clientes LTSP devem ser ligados ao servidor LTSP correspondente através da sub-rede separada 192.168.0.0/24 (isto garante que o tráfego de rede dos clientes LTSP não interfere com o resto dos serviços de rede).

O acesso centralizado é configurado de forma que todas as máquinas enviem as suas mensagens syslog para o servidor. O serviço syslog é configurado de forma a apenas aceitar mensagens recebidas da rede local.

Por padrão, o servidor DNS é configurado com um domínio apenas para uso interno (*.intern), até que um domínio DNS real ("externo") possa ser configurado. O servidor DNS é configurado como servidor DNS de cache para que todas as máquinas da rede possam utilizá-lo como servidor DNS principal.

Alunos e professores podem publicar websites. O servidor web fornece mecanismos para autenticar utilizadores e para limitar o acesso a páginas e subdiretórios individuais a certos usuários e grupos. Os utilizadores poderão criar páginas web dinâmicas, já que o servidor web será programável no lado do servidor.

A informação sobre usuários e máquinas é alterada num local central e é tornada acessível a todos os computadores da rede automaticamente. Para conseguir isso, é configurado um servidor de diretório centralizado. O diretório terá informações sobre os utilizadores, grupos de utilizadores, máquinas e grupos de máquinas. Para evitar confusão entre utilizadores, não haverá diferença entre grupos de arquivos e grupos de rede. Isto implica que os grupos de computadores que irão formar grupos de rede utilizarão o mesmo espaço de nomes que os grupos de usuários.

A administração dos serviços e usuários será principalmente feita através da web e seguirá padrões estabelecidos, funcionando bem nos navegadores web que fazem parte do Skolelinux. A delegação de certas tarefas a usuários individuais ou grupos de usuários será possível através dos sistemas de administração.

Para evitar certos problemas com o NFS e para tornar a resolução dos problemas mais simples, os computadores necessitam de relógios sincronizados entre si. Para conseguir a sincronização, o servidor Skolelinux é configurado como um servidor local de Network Time Protocol (NTP) e todas as estações de trabalho e clientes são configurados para se sincronizarem com o servidor. O próprio servidor deve sincronizar o seu relógio através de NTP com computadores na Internet, garantindo assim que toda a rede tenha a hora correta.

As impressoras são ligadas onde for conveniente, seja diretamente na rede principal, seja a um servidor, estação de trabalho ou servidor LTSP. O acesso às impressoras pode ser controlado para usuários individuais de acordo com os grupos a que pertencem; isto será conseguido através da utilização de quotas e controle de acesso para impressoras.

3.1.4. Servidor(es) LTSP

Uma rede Skolelinux pode ter muitos servidores LTSP, que são instalados ao ser selecionado o perfil Servidor LTSP.

Os servidores LTSP são configurados para receberem o syslog de clientes dependentes e de estações de trabalho, e encaminharem essas mensagens para o destinatário central do syslog.

Observe:

  • Estações de trabalho sem disco LTSP usam os programas instalados no servidor.

  • O sistema de arquivos raiz do cliente é disponibilizado através do NFS. Após cada modificação no servidor LTSP a imagem relacionada tem que ser gerada novamente; executar debian-edu-ltsp-install --diskless_workstation yes no servidor LTSP.

3.1.5. Clientes dependentes (thin clients)

Uma configuração 'cliente dependente' permite que PCs comuns funcionem como terminais (do X). Isto significa que a máquina inicia diretamente do servidor, usando o PXE, sem usar o disco rígido do computador cliente. A configuração de clientes dependentes é feita agora pelo X2Go, uma vez que o LTSP deixou de ter essa funcionalidade.

Os clientes dependentes são uma boa maneira de ainda ser feito uso de computadores muito antigos (a maioria de 32 bits), pois eles executam eficazmente todos os programas no servidor LTSP. Isto funciona da seguinte forma: o serviço usa o DHCP (Dynamic Host Configuration Protocol) para se ligar à rede e o TFTP (Trivial File Transfer Protocol) para iniciar a partir da rede; em seguida, é montado o sistema de arquivos a partir do servidor LTSP utilizando NFS; finalmente, é iniciado o cliente X2Go.

3.1.6. Estações de trabalho sem disco

Uma estação de trabalho sem disco executa todo o software no próprio computador, apesar de não ter um sistema operacional instalado localmente. Isto significa que os computadores clientes iniciam via PXE, sem executarem software instalado num disco rígido local (mas sim no servidor).

As estações de trabalho sem disco são uma excelente forma de ser utilizado equipamento potente com o mesmo baixo custo de manutenção dos clientes dependentes. O software é administrado e mantido no servidor, sem a necessidade de software instalado localmente nos clientes. A pasta pessoal de cada usuário (os diretórios de usuário) e as configurações do sistema para cada um também são guardadas no servidor.

3.1.7. Clientes em rede

O termo "clientes em rede" é usado neste manual para se referir tanto a clientes dependentes como a estações de trabalho sem disco, assim como a computadores com sistemas operacionais MacOS ou Windows.

3.2. Administração

Todas as máquinas GNU/Linux que são instaladas com o instalador Skolelinux serão administráveis a partir de um computador central, muito provavelmente o servidor. Será possível fazer login em todos via SSH e assim ter acesso total às máquinas. É necessário executar primeiro kinit, como root, para obter um TGT (ticket-granting ticket) do Kerberos.

Toda a informação dos usuários é mantida num diretório LDAP. As atualizações das contas de utilizador são feitas nesta base de dados, que é utilizada pelos clientes para autenticação do utilizador.

3.2.1. Instalação

Atualmente existem dois tipos de imagens para suportes de instalação: netinst e BD. Ambas as imagens podem também ser carregadas a partir de pendrives via USB.

O objetivo é haver a possibilidade de fazer uma única instalação do sistema como servidor, usando qualquer tipo de suporte, e, a partir do servidor, com inicialização pela rede, instalar o sistema em todos os outros computadores (clientes) através da rede.

Apenas a imagem netinstall necessita de acesso à Internet durante a instalação.

A instalação não deve fazer solicitações, com exceção do idioma desejado, localização, disposição do teclado e perfil do computador (Servidor principal, Estação de trabalho, Servidor LTSP, ...). Todas as outras configurações são estabelecidas automaticamente com valores razoáveis, para serem alteradas a partir de uma localização central pelo administrador do sistema, após a instalação.

3.2.2. Configuração de acesso ao sistema de arquivos

A cada conta de usuário do Skolelinux é atribuída uma secção do sistema de arquivos no servidor de arquivos. Esta seção (diretório home) contém os arquivos de configuração do usuário, documentos, e-mail e páginas web. Alguns dos arquivos devem ser configurados para ter acesso de leitura para outros usuários no sistema, alguns devem ser legíveis por todos na Internet e alguns não devem ser acessíveis para leitura por ninguém, exceto pelo usuário.

Para garantir que todos os discos usados para diretórios de usuários ou diretórios compartilhados possam ser identificados de forma única em todos os computadores da instalação, os discos podem ser montados como /skole/host/directory/. É criado inicialmente um diretório no servidor de arquivos, /skole/tjener/home0/, no qual são criadas todas as contas de usuários. Posteriormente podem ser criados mais diretórios, quando necessário, para acomodar determinados grupos de usuários ou determinados padrões de uso.

Para permitir o acesso compartilhado a arquivos que usem o sistema normal de permissões UNIX, é necessário que os usuários, além de estarem no grupo pessoal primário a que pertencem por predefinição, estejam também em grupos compartilhados suplementares (p. ex. "estudantes"). Se os usuários tiverem uma máscara apropriada (002 ou 007) para tornar os itens recém-criados acessíveis a grupos e se os diretórios em que eles estiverem trabalhando estiverem configurados para fazer com que os arquivos assumam a mesma entidade detentora que o grupo, o resultado é o compartilhamento controlado de arquivos entre os membros de um grupo.

As configurações iniciais de acesso a arquivos recém-criados são uma questão de opção. A máscara (umask) predefinida do Debian é 022 (que não permite acesso de grupo como descrito acima), mas o Debian Edu usa 002 como predefinição - significando que os arquivos são criados com acesso de leitura para todos os utilizadores, acesso esse que pode ser removido posteriormente por uma ação explícita do criador do arquivo. Isto pode ser alterado (editando /etc/pam.d/common-session) para uma máscara de 007 - significando que o acesso de leitura dos arquivos é inicialmente vedado, necessitando de uma ação do usuário para os tornar acessíveis. A primeira abordagem encoraja o compartilhamento de conhecimento e torna o coletivo mais transparente, enquanto que a segunda diminui o risco de disseminação indesejada de informação sensível. O problema com a primeira opção é que não é claro para os usuários que o material que criam fica acessível a todos os outros usuários. Só o conseguem perceber inspecionando os diretórios dos outros usuários e vendo que os seus arquivos podem ser lidos. O problema com a segunda opção é que provavelmente poucas pessoas tornarão os seus arquivos acessíveis a outros, mesmo que não contenham informação sensível e o conteúdo seja útil para usuários curiosos, que querem perceber como outros resolveram problemas específicos (normalmente problemas de configuração).

4. Requisitos

Há várias possibilidades para uma solução Skolelinux. Desde a instalação apenas num PC autônomo até a instalação em muitas escolas geridas de forma centralizada como solução regional. Contudo, esta flexibilidade implica uma enorme diferença entre opções no que respeita à configuração dos componentes de rede, servidores e máquinas clientes.

4.1. Requisitos de hardware

As finalidades dos diferentes perfis são explicadas no capítulo arquitetura de rede.

Se for usado o LTSP, ver a página wiki de requisitos de equipamento para LTSP.

  • O Debian Edu/Skolelinux pode ser instalado em computadores de 32 bits (arquitetura Debian 'i386', para processadores 686 e superiores) ou em computadores de 64 bit (arquitetura Debian 'amd64', para processadores x86).

  • É possível usar clientes dependentes com apenas 256 MiB de RAM e 400 MHz de frequência, embora seja recomendado o uso de mais RAM e processadores mais rápidos.

  • Em clientes autônomos (fat clients) - isto é, estações de trabalho, estações de trabalho sem disco - e computadores independentes, 1024 MiB de RAM e 1500 MHz de frequência são os requisitos mínimos absolutos. Para utilizar navegadores web modernos e LibreOffice são recomendados pelo menos 2048 MiB de RAM.

  • O espaço em disco mínimo necessário depende do perfil a instalar:

    • espaço combinado servidor principal + servidor LTSP: 60 GiB (mais espaço adicional para contas de usuário).

    • servidor LTSP: 40 GiB.

    • estação de trabalho ou computador independente: 30 GiB.

    • instalação mínima para máquina conectada: 4 GiB.

  • Os servidores LTSP precisam de duas placas de rede ao utilizarem a arquitetura de rede predefinida:

    • a eth0 está ligada à rede principal (10.0.0.0/8),

    • a eth1 é usada para servir clientes LTSP.

  • Os computadores portáteis são estações de trabalho móveis, por isso têm os mesmos requisitos que as estações de trabalho.

4.2. Computadores identificados como funcionando com o sistema

Está disponível uma lista de computadores testados em https://wiki.debian.org/DebianEdu/Hardware/ . Esta lista está longe de incluir todos os modelos que funcionam com o sistema.

https://wiki.debian.org/InstallingDebianOn é um esforço para documentar a forma de instalar, configurar e usar o Debian em alguns computadores específicos, permitindo a potenciais compradores saberem que esses computadores aceitam o Debian e aos detentores de computadores listados saberem como obter o máximo dos seus equipamentos.

5. Requisitos para configuração de rede

5.1. Configuração padrão

Quando for usada a arquitetura de rede predefinida, aplicam-se as seguintes regras:

  • É necessário um, e apenas um, servidor principal.

  • Pode haver centenas de estações de trabalho na rede principal.

  • Pode haver muitos servidores LTSP na rede principal; estão pré-configuradas duas sub-redes diferentes (DNS, DHCP) no LDAP e podem ser adicionadas mais.

  • Pode haver centenas de clientes dependentes (thin clients) e/ou estações de trabalho sem disco em cada rede de servidores LTSP.

  • Pode haver centenas de outras máquinas, sendo-lhes atribuídos endereços IP dinâmicos.

  • Para acesso à Internet é necessário um encaminhador (router) ou um conversor (gateway) (ver abaixo).

5.2. Encaminhador (router) de Internet

Para ligação à Internet é necessário um encaminhador (router) ou um conversor (gateway) ligado à Internet na interface externa e usando o endereço IP 10.0.0.1 com a máscara de rede 255.0.0.0 na interface interna.

O encaminhador não deve ser ligado a um servidor DHCP; pode ser ligado a um servidor DNS, embora isso não seja necessário – não será utilizado.

Caso você ainda não possua um roteador ou seu roteador existente não pode ser configurado de acordo, qualquer máquina que preencher os requisitos mínimos da instalação do Debian e possuir no mínimo duas interfaces de rede pode ser configurada como um gateway entre a rede existente e a rede DebianEdu. Veja a documentação de instalação para um forma simples de instalar e configurar uma máquina Debian usando debian-edu-router-config.

Se for necessário usar algum equipamento como encaminhador (embedded) ou como ponto de acesso incorporado, recomenda-se o uso do firmware OpenWRT, embora o firmware original do equipamento também possa ser usado, é claro. Usar o firmware original é mais fácil; usar o OpenWRT dá mais opções e controle. Consultar as páginas web do OpenWRT para ver uma lista de equipamento suportado.

É possível usar uma configuração de rede diferente (há um procedimento documentado para tal), mas se a infraestrutura de rede existente não o requerer, recomenda-se que isso não seja feito e que seja usada a arquitetura de rede predefinida.

6. Opções de instalação e download

6.1. Onde encontrar informação adicional

Recomenda-se que sejam lidas as notas de lançamento do Debian Bookworm antes de começar a instalação de um sistema em ambiente de produção. Há mais informação sobre o lançamento do Debian Bookworm no seu manual de instalação.

Experimente o Debian Edu/Skolelinux. Está pronto para funcionar.

Recomenda-se, porém, ler os capítulos sobre requisitos de equipamento e de rede e sobre a arquitetura antes de começar a instalação de um servidor principal.

Deve também ser lido o capítulo Primeiros Passos deste manual, pois nele se explica como fazer login no sistema pela primeira vez.

6.2. Baixe a mídia de instalação do Debian Edu 12 Codename Bookworm

6.2.1. amd64 ou i386

amd64 e i386 são os nomes de duas arquiteturas Debian para CPUs x86; ambas são ou foram produzidas pela AMD, Intel e outros fabricantes. A arquitetura amd64 é de 64 bits e ai386 é de 32 bits. Hoje as instalações devem ser feitas usando amd64. A arquitetura i386 deve ser usada apenas para computadores muito antigos (começaram a ser vendidos computadores de 64bit em 2003 e deixaram de ser vendidos computadores de 32bit por volta de 2010).

6.2.2. Imagens iso netinst para amd64 ou i386

A imagem iso netinst (instalação via rede) pode ser usada para instalação a partir de CD/DVD e pendrives USB e está disponível para duas arquiteturas Debian: amd64 ou i386. Como o nome indica, para a instalação é necessário acesso à Internet.

Assim que o Bookworm for lançado, estas imagens estarão disponíveis para baixar em:

6.2.3. Imagens iso BD para amd64 ou i386

Esta imagem ISO tem aproximadamente 7.5 GB e pode ser usada para instalação em máquinas amd64 ou i386, também sem acesso à Internet. Como a imagem netinst, pode ser instalada em pendrives USB ou em discos de tamanho suficiente.

Assim que o Bookworm for lançado, estas imagens estarão disponíveis para baixar em:

6.2.4. Verificação dos arquivos de imagem baixados

Instruções detalhadas para verificação dessas imagens constam das Debian-CD FAQ.

6.2.5. Fontes ou origens das imagens

As imagens estão disponíveis no arquivo Debian nos locais habituais; diversas mídias possuem links em https://get.debian.org/cdimage/release/current/source/

6.3. Instalando o Debian Edu

Ao fazer uma instalação do Debian Edu, há algumas opções a fazer. Mas não são muitas. Foi feito um bom trabalho de ocultação das complexidades internas do Debian, quer durante a instalação quer no uso do sistema. Ainda assim, como o Debian Edu é essencialmente um Debian, se você quiser pode usar os mais de 59.000 pacotes do Debian e as bilhares de opções de configuração. As predefinições são adequadas para a maioria dos usuários. NOTA: se for usar o LTSP, escolha um ambiente de área de trabalho leve.

6.3.1. Cenários de instalação do servidor principal

  1. Exemplo de rede escolar ou doméstica com acesso à Internet através de um encaminhador com DHCP:

    • A instalação de um servidor principal é possível, mas após reiniciar não haverá acesso à Internet (devido ao IP 10.0.2.2/8 da interface de rede primária).

    • Ver o capítulo Encaminhador (router) para Internet para informação de ligação e configuração de um conversor (gateway), se não for possível configurar um já em uso.

    • Ligar todos os componentes como mostrado no capítulo Arquitetura.

    • O servidor principal deve ter conexão à Internet uma vez iniciado pela primeira vez no ambiente correto.

  2. Exemplo de rede escolar ou institucional, semelhante à mencionada acima, mas requerendo o uso de um intermediário (proxy).

    • Adicionar 'debian-edu-expert' à linha de comando do núcleo (kernel); ver mais abaixo instruções de como fazer.

    • Devem ser atendidas algumas solicitações adicionais, incluindo a relacionada com o servidor intermediário.

  3. Rede com encaminhador/conversor IP 10.0.0.1/8 (que não tem servidor DHCP) e acesso à Internet:

    • Assim que a configuração automática da rede falhar (devido à falta de DHCP), escolher a configuração manual da rede.

      • Introduzir 10.0.2.2/8 como IP do hospedeiro

      • Introduzir 10.0.0.1 como IP do conversor

      • Introduzir 8.8.8.8 como IP do servidor de nomes, a menos que outro se aplique

    • O servidor principal deve funcionar de imediato após a primeira inicialização.

  4. Sem ligação à Internet:

    • Usar a imagem ISO BD.

    • Confirmar que todos os cabos de rede (reais/virtuais) estão desligados.

    • Escolher 'Não configurar a rede neste momento' (depois de o DHCP não ter configurado a rede e de ter sido pressionado 'Continuar').

    • Atualizar o sistema uma vez iniciado pela primeira vez no ambiente correto com acesso à Internet.

6.3.2. Ambientes de trabalho

Estão disponíveis vários ambientes de trabalho:

  • O Xfce tem uma dimensão ligeiramente maior do que o LXDE, mas tem um bom suporte linguístico (106 idiomas).

  • O KDE e o GNOME têm ambos um bom suporte linguístico, mas são demasiado pesados, tanto para os computadores mais antigos como para os clientes LTSP.

  • O Cinnamon é uma alternativa ao GNOME, sendo mais leve.

  • O MATE é mais leve que os três acima, mas não possui um bom suporte linguístico para vários países.

  • O LXDE é o de menor dimensão e está disponível em 35 idiomas.

  • O LXQt é um ambiente de trabalho leve (tem disponibilidade de idiomas semelhante ao LXDE) com um aspecto mais moderno (é baseado em Qt, tal como o KDE).

O projeto Debian Edu, sendo um projeto internacional, optou pelo Xfce como ambiente de trabalho predefinido; ver abaixo como definir um ambiente diferente.

6.3.3. Instalação modular

  • Ao instalar um sistema com perfil Estação de trabalho incluído, são instalados muitos programas relacionados com a educação. Para instalar apenas o perfil básico, remover o parâmetro de linha de comando desktop=xxxx do núcleo (kernel) antes de iniciar a instalação; ver abaixo informação de como isto é feito. Isto permite instalar um sistema específico para cada caso e pode ser usado para acelerar instalações de teste.

  • Nota: Para instalar um ambiente de trabalho posteriormente, não use os meta-pacotes Debian Edu, como, por exemplo, education-desktop-xfce porque eles iriam trazer consigo todos os programas relacionados com educação; em vez disso, instalar, por exemplo, o task-xfce-desktop. Pode ser instalado um ou mais dos meta-pacotes relacionados com o novo nível escolar education-preschool, education-primaryschool, education-secondaryschool, education-highschool conforme o caso.

  • Para informação sobre os meta-pacotes Debian Edu, ver a página Visão geral dos pacotes Debian Edu.

6.3.4. Tipos de instalação e opções

Menu de inicialização (boot) do instalador em equipamento de 64 bits - modo BIOS

Menu de inicialização do instalador de 64 bits (modo BIOS)

A instalação gráfica utiliza o instalador construído em GTK, que permite a utilização do mouse.

Instalar utiliza o instalador em modo de texto.

Opções avançadas > apresenta um submenu com mais opções.

A Ajuda dá algumas dicas sobre como usar o instalador; ver a captura de tela abaixo.

Tela de opções avançadas 1 do instalador de 64 bits

Voltar atrás... traz de volta o menu principal.

A Instalação gráfica especializada apresenta todas as possibilidades de configuração; pode ser usado o mouse.

O Modo gráfico de recuperação faz com que o disco de instalação seja usado como disco de recuperação, se surgirem problemas graves.

A Instalação gráfica automática precisa de um arquivo de pré-configuração.

A Instalação especializada apresenta todas as possibilidades de configuração em modo texto.

Modo de recuperação modo texto; faz com que este meio de instalação se torne um disco de recuperação para tarefas de emergência.

A Instalação automatizada em modo texto; precisa de um arquivo de pré-configuração.

Não use a Instalação gráfica especializada ou Instalação especializada, use debian-edu-expert como um parâmetro adicional do kernel em casos excepcionais.

Tela de ajuda

Tela de ajuda do instalador

Esta tela de Ajuda é autoexplicativa e ativa as teclas <F>- no teclado para ajuda mais detalhada sobre os tópicos descritos.

Menu de inicialização (boot) do instalador em equipamento de 64 bits - modo UEFI

Menu de inicialização do instalador de 64 bits (modo UEFI)

Adicionar ou alterar parâmetros de inicialização para instalações

Em ambos os casos, as opções de inicialização podem ser editadas pressionando a tecla TAB ou E no menu de inicialização (boot); a captura de tela mostra a linha de comando para a Instalação gráfica.

Editar opções de linha de comando (modo BIOS)

Editar opções de linha de comando (modo UEFI)

  • Pode ser usado um serviço intermediário (proxy) HTTP existente na rede para acelerar a instalação do perfil do servidor principal a partir do CD. Adicione, por exemplo, mirror/http/proxy=http://10.0.2.2:3128 como parâmetro de inicialização adicional.

  • Após o perfil do servidor principal ser instalado numa máquina, as instalações seguintes devem ser feitas via PXE, pois isso usará automaticamente o proxy do servidor principal.

  • Para instalar o ambiente de trabalho GNOME em vez do ambiente de trabalho predefinido Xfce, substituir xfce por gnome no parâmetro desktop=xfce.

  • Para instalar o ambiente de trabalho LXDE, usar desktop=lxde.

  • Para instalar o ambiente de trabalho LXQt, usar desktop=lxqt.

  • Para instalar o ambiente de trabalho KDE Plasma, usar desktop=kde.

  • Para instalar o ambiente de trabalho Cinnamon, usar desktop=cinnamon.

  • E para instalar o ambiente de trabalho MATE, usar desktop=mate.

6.3.5. Processo de instalação

Ter presente os requisitos de sistema ; para configurar um servidor LTSP são necessárias pelo menos duas placas de rede (NICs) .

  • Escolher um idioma (para usar na instalação e no sistema instalado).

  • Escolher uma localização; normalmente será a região correspondente ao local onde você estiver.

  • Escolher um layout de teclado (o predefinido para o país geralmente é adequado).

  • Escolher o(s) perfil(s), da seguinte lista:

    • Servidor Principal

      • Este é o servidor principal (tjener) da escola, que fornece todos os serviços, pré-configurados para funcionarem de imediato. Deve ser instalado apenas um servidor principal por escola! Este perfil não inclui uma interface gráfica de utilizador. Para uso de uma interface gráfica de utilizador, além deste perfil deve ser selecionado também um dos perfis Estação de trabalho ou Servidor LTSP.

    • Estação de trabalho

      • É um computador de rede que inicia a partir de seu próprio disco rígido e executa todos os programas e gera os dispositivos localmente, como um computador comum independente. Exceto os acessos dos usuários, que são autenticados pelo servidor principal, e a localização dos arquivos dos usuários e do perfil do ambiente de trabalho de cada usuário, também guardados no servidor principal.

    • Estação de trabalho itinerante (Roaming workstation)

      • O mesmo que uma estação de trabalho, mas capaz de autenticação usando credenciais em cache, o que significa que o computador pode ser usado fora da rede escolar. Os arquivos e perfis dos usuários são guardados no disco local. Para portáteis de usuário único deve ser selecionado este perfil e não 'Estação de trabalho' ou 'Standalone', ao contrário do que era sugerido em versões anteriores.

    • Servidor LTSP

      • Um servidor de clientes dependentes (e de estações de trabalho sem disco), é chamado de servidor LTSP (Linux Terminal Server Project). É a partir deste servidor que os clientes sem disco rígido (clientes do servidor de janelas X ou, abreviadamente, terminais do X) iniciam e executam os programas a partir deste servidor. Este computador precisa de duas interfaces de rede, muita memória e, idealmente, mais do que um processador ou núcleo. Ver o capítulo sobre clientes de rede para mais informações sobre este assunto. A escolha deste perfil ativa também o perfil Estação de trabalho (mesmo que não esteja selecionado) - um servidor LTSP pode sempre ser usado também como estação de trabalho.

    • Independente (Standalone)

      • O computador comum, que funciona sem estar ligado a um servidor (ou seja, não precisa de estar na rede). Inclui os computadores portáteis.

    • Mínimo

      • Este perfil instala os pacotes base e configura a máquina para se integrar na rede Debian Edu, mas sem instalar quaisquer serviços ou aplicações. É útil como plataforma para serviços específicos movidos manualmente do servidor principal.

        Caso usuários comuns possam usar tal sistema, ele precisa ser adicionado usando GOsa² (semelhante a uma estação de trabalho) e o pacote libpam-krb5 precisa ser instalado.

    Os perfis Servidor Principal, Estação de Trabalho e Servidor LTSP estão pré-selecionados. Estes perfis podem ser instalados em conjunto numa máquina para instalar um servidor principal chamado combinado. Isto significa que o servidor principal (físico) será também um servidor LTSP e poderá ser usado como estação de trabalho. Esta é a escolha predefinida, já que se assume que esta será a opção escolhida na maioria dos casos. Notar que, para ficarem funcionais, as máquinas destinadas a servidor principal combinado ou a servidor LTSP têm que ter duas placas de rede instaladas.

  • Escolher "sim" ou "não" quanto ao particionamento automático. Esteja ciente de que dizer "sim" destruirá todos os dados nos discos rígidos! Escolher "não", por outro lado, exigirá mais trabalho - é necessário confirmar que as partições necessárias existem (se não, têm que ser criadas) e são de tamanho suficiente.

  • Solicita-se a opção pelo "sim" ao envio de informação para https://popcon.debian.org/, para permitir à equipe do Debian Edu saber que pacotes são mais usados e devem ser mantidos em futuros lançamentos. Embora não seja obrigatório, é uma forma simples de ajudar.

  • Aguardar. Se os perfis selecionados incluírem o servidor LTSP, o instalador irá demorar algum tempo ao final, "Finalizando a instalação - Executando o debian-edu-profile-udeb...".

  • Após a introdução da senha de root (administrador do computador, e não da rede), será solicitada a criação de uma conta de utilizador normal (do computador) "para tarefas não-administrativas". Para o Debian Edu esta conta é muito importante: é esta a conta usada para a gestão da rede Skolelinux.

    A senha para este utilizador tem de ter um comprimento mínimo de 5 caracteres e deve ser diferente do nome de usuário - caso contrário não será dado acesso ao computador (mesmo que uma senha mais curta e que uma senha correspondente ao nome de usuário sejam aceitas pelo instalador).

  • No caso de um servidor principal combinado esperar novamente após reiniciar. O sistema irá demorar algum tempo para gerar a imagem SquashFS para estações de trabalho sem disco.

  • No caso dos servidores LTSP separados, a configuração das estações de trabalho sem disco e/ou dos clientes dependentes precisa de alguns passos adicionais a serem feitas pelo operador. Para mais informações, ver o capítulo Instruções para clientes de rede.

6.3.6. Instalar um gateway usando debian-edu-router

O pacote debian-edu-router-config simplifica a configuração de um gateway para a rede Debian Edu através de um processo de configuração interativa onde a informação necessária é obtida através de uma série de diálogos.

Para utilizá-lo, faça uma instalação mínima do Debian. Certifique-se de usar o instalador normal do Debian e não o instalador do Debian Edu, pois as instalações do Debian Edu não são suportadas por debian-edu-router-config.

Instale o pacote debian-edu-router-config usando

DEBIAN_FRONTEND=noninteractive apt install -y -q debian-edu-router-config

Mensagens de erro relacionadas à configuração são esperadas e podem ser ignoradas por enquanto.

Para o processo de configuração após a instalação do debian-edu-router-config, é necessário acesso físico ao computador.

As interfaces de rede podem já estar conectadas às redes correspondentes, mas não necessariamente. Porém é necessário estar atento a qual interface será conectada a qual rede. Para obter mais informações sobre o hardware da rede

lshw -class network

pode ser usado.

Remova a configuração das duas interfaces de rede a serem usadas em /etc/network/interfaces ou arquivos em /etc/network/interfaces.d/ e desconfigure as duas interfaces usando

ip addr flush <interface>

O processo de configuração de fato é iniciado com

dpkg-reconfigure --force uif debian-edu-router

Selecting the uif configuration method Confirmação para configurar uif

Quando questionado sobre o método de configuração do firewall uif, selecione "debian-edu-router". Confirme que você deseja configurar o firewall para o Debian Edu Router.

Allowing ping in uif Permitir traceroute em uif

Decida se você deseja responder a pedidos de ping e traceroute. Se não tiver certeza responda com "sim" pois podem ser uteis para diagnóstico de problemas de rede.

Habilitar encaminhamento de pacote IP

Confirme que você deseja habilitar o encaminhamento de pacote IP.

Selecione o método de configuração de rede

A seguir, atribua redes as interfaces de rede noseu roteador, escolha uma das opções oferecidas dependendo se sua interface de rede já está conectada ou não.

Selecionando a interface de uplink

Selecione a interface que está conectada à rede upstream.

Selecionando redes internas

Selecione uma rede interna, caso não tenha certeza e queira apenas uma única rede interna, selecione "Educação" aqui.

Habilitando o uso de VLANs

Selecione se as VLANs devem ser usadas para redes internas; se não tiver certeza, selecione não aqui.

Selecionando versões IP compatíveis

Selecione "IPv4" aqui.

Selecionando redes que exigem um endereço IP estático

Selecione “Uplink” se sua rede upstream exigir um endereço IP estático e, se você seguiu a sugestão acima em redes internas, “Educação”.

Configurando um endereço IP estático para a rede interna

Defina 10.0.0.1/8 como o endereço IP estático para a rede interna "Educação" se você seguiu a sugestão acima em redes internas.

Ativando NAT para redes

Ative NAT para a rede interna.

Ativando acesso à Internet para redes

Ative o acesso à Internet para redes internas.

Configurando NAT reverso

Se quiser expor quaisquer serviços internos à Internet, você pode configurá-los usando a sintaxe descrita. Observe que o acesso SSH ao gateway pode ser configurado usando a caixa de diálogo a seguir.

Ativando acesso SSH para redes

Decida de quais redes você deseja permitir o acesso SSH ao gateway.

Configurar a porta SSH

Configure a porta SSH, deve ser 22 se a configuração não tiver sido alterada.

Ativando DHCP para redes

Não ative o DHCP para redes internas, ele será oferecido pelo servidor principal do Debian Edu.

Conecte as interfaces de rede, caso ainda não tenha feito isso, e reinicie a máquina.

SSH main menu Configuração SSH

Se o acesso SSH estiver habilitado, o gateway poderá ser reconfigurado remotamente através do menu oferecido ao fazer login como root. Pressionar c no menu principal muda para o menu de configuração a partir do qual toda ou parte da configuração pode ser alterada usando o mesmo sistema de diálogo que foi usado para a configuração inicial.

6.3.7. Notas sobre algumas características

6.3.7.1. Uma nota sobre computadores portáteis (notebooks)

O mais provável é que o perfil escolhido seja 'Estação de trabalho itinerante' (ver acima). Esteja ciente de que todos os dados são guardados localmente, isto é, no próprio portátil (portanto, é necessário algum cuidado extra em fazer cópias de segurança), e as credenciais de acesso são guardadas em cache (portanto, após uma alteração da senha, a entrada pode requerer a senha antiga se o computador não tiver sido ligado à rede e feito o acesso com a nova senha).

6.3.7.2. Uma nota sobre instalações a partir de unidades USB flash/imagens de disco Blu-ray

Terminada a instalação a partir da unidade flash USB/imagem de disco Blu-ray, o arquivo /etc/apt/sources.list conterá apenas fontes (repositórios origem) constantes nessa imagem. Se for possível ligar o computador à Internet, sugerimos fortemente adicionar as seguintes linhas a ele para que as atualizações de segurança disponíveis possam ser instaladas:

deb http://deb.debian.org/debian/ bookworm main 
deb http://security.debian.org bookworm-security main 
6.3.7.3. Uma nota sobre instalações a partir de CD

Uma instalação netinst (o tipo de instalação que nosso CD fornece) irá buscar alguns pacotes do CD e o resto da rede. A quantidade de pacotes obtidos da rede varia de perfil para perfil, mas fica abaixo de um gigabyte (a menos que sejam instalados todos os ambientes de trabalho possíveis). Uma vez instalado o servidor principal (não importando se é um servidor principal puro ou um servidor combinado), a instalação seguinte usará o intermediário para evitar transferir da rede o mesmo pacote várias vezes.

6.3.8. Instalação usando pendrives USB em vez de discos de CD/Blu-ray

É possível copiar diretamente uma imagem ISO CD/BD para unidades flash USB (também conhecidas como "pendrives") e iniciar a partir destas. Basta executar um comando como este, alterando os nomes do arquivo e do dispositivo de acordo com a situação:

sudo dd if=debian-edu-amd64-XXX.iso of=/dev/sdX bs=1M

Para determinar o valor de X, execute este comando antes e depois do dispositivo USB ter sido inserido:

lsblk -p

Observe que a cópia levará algum tempo.

A unidade USB flash funcionará como um CD ou como um disco Blu-ray, conforme a imagem usada.

6.3.9. Instalação e inicialização através da rede via PXE

Para este método de instalação é necessário um servidor principal em execução. Quando os clientes iniciam através da rede, é exibido um menu do iPXE com opções de seleção do instalador e de inicialização. Se a instalação através do PXE falhar com uma mensagem de erro dizendo que falta um arquivo XXX.bin, muito provavelmente a placa de rede do cliente requer firmware não livre. Neste caso, o initrd do instalador do Debian tem de ser modificado. Isso pode ser conseguido através da execução do comando:

/usr/share/debian-edu-config/tools/pxe-addfirmware

no servidor.

Esta é a aparência do menu do iPXE apenas com o perfil Servidor Principal :

O menu iPXE sem entradas LTSP

Esta é a aparência do menu iPXE com o perfil Servidor LTSP:

O menu iPXE com entradas LTSP

Esta configuração também permite que estações de trabalho sem disco e clientes dependentes iniciem a partir da rede principal. Ao contrário das estações de trabalho e servidores LTSP separados, as estações de trabalho sem disco não precisam de ser adicionadas ao LDAP, com GOsa².

Pode ser encontrada mais informações sobre clientes de rede no capítulo Instruções para clientes de rede.

6.3.10. Modificar instalações PXE

A instalação PXE usa um arquivo debian-installer pré-configurado, que pode ser modificado para solicitar a instalação de mais pacotes.

Tem que ser adicionada a tjener:/etc/debian-edu/wwww/debian-edu-install.dat uma linha como a seguinte

d-i    pkgsel/include string my-extra-package(s)

A instalação PXE usa o arquivo de pré-configuração em /etc/debian-edu/www/debian-edu-install.dat . Este arquivo pode ser alterado para ajustar a pré-configuração usada durante a instalação, para evitar mais solicitações durante a instalação pela rede. Outra maneira de o conseguir é introduzir configurações extras em /etc/debian-edu/pxeinstall.conf e /etc/debian-edu/www/debian-edu-install.dat.local e executar /usr/sbin/debian-edu-pxeinstall para atualizar os arquivos gerados.

Mais informações podem ser encontradas no manual do instalador do Debian.

Para desativar ou alterar o uso do intermediário ao instalar via PXE, têm que ser alteradas as linhas contendo mirror/http/proxy, mirror/ftp/proxy e preseed/early_command em tjener:/etc/debian-edu/wwww/debian-edu-install.dat . Para desativar o uso de um intermediário ao instalar, colocar '#' no início de cada uma das duas primeiras linhas, e remover da última a parte "export http_proxy="http://webcache:3128"; ".

Algumas definições não podem ser pré-configuradas porque são necessárias antes do arquivo de pré-configuração ser baixado. Idioma, layout de teclado e ambiente de trabalho são exemplos de tais definições. Se você quiser alterar tais configurações, edite o arquivo de menu iPXE /srv/tftp/ltsp/ltsp.ipxe no servidor principal.

6.3.11. Imagens personalizadas

Criar CDs, DVDs ou discos Blu-ray com sistemas personalizados pode ser bastante fácil, uma vez que é usado o Instalador do Debian, o qual tem uma concepção modular e outras características interessantes. A pré-configuração permite definir as opções para as solicitações mais comuns.

É necessário apenas criar um arquivo de pré-configuração com as opções a usar (isto é descrito no apêndice do manual do Instalador do Debian) e recompor o CD/DVD.

6.4. Tour de capturas de tela

A instalação em modo de texto ou em modo gráfico é funcionalmente idêntica - apenas a aparência é diferente. O modo gráfico permite utilizar o mouse e, claro, parece muito melhor e mais moderno. A menos que o equipamento apresente problemas no uso do modo gráfico, não há razão para não o usar.

Segue-se uma sequência de capturas de tela da instalação em modo gráfico de um servidor principal de 64 bits + estação de trabalho + instalação do servidor LTSP (no modo BIOS), incluindo também a sequência após a primeira inicialização do servidor principal ou de uma inicialização por PXE num computador da rede cliente LTSP (tela de sessão de cliente dependente (thin client) - e tela de login após ter sido escolhida uma sessão no painel à direita).

Menu de inicialização do instalador de 64 bits (modo BIOS)

Selecione um idioma

Selecione sua localização

Configure o teclado

Detecte o hardware de rede

Configure a rede manualmente

Configure o endereço IP

Configure o roteador

Configure o servidor de nomes

Escolha o perfil do Debian Edu

Usar a ferramenta de particionamento automático: não

Usar a ferramenta de particionamento automática: sim

Participar na pesquisa de uso de pacotes: não

Participar na pesquisa de uso de pacotes: sim

Defina a senha para o usuário root

Configure o nome completo do primeiro usuário

Configurar nome de usuário para o primeiro usuário

configurar senha para o primeiro usuário

Instalação concluída

Tela de login Lightdm

Área de trabalho Xfce mostrando janela do navegador

Tela do Xfce Desktop

Tela Thin-Client-Welcome

Tela Thin-Client-Login

7. Primeiros passos

7.1. Passos mínimos para começar a usar

Durante a instalação do servidor principal, foi criada uma primeira conta de usuário. No texto seguinte esta conta será referida por "primeiro usuário". Esta conta é especial, pois as permissões do diretório home estão definidas para 700 (pelo que é necessário executar chmod o+x ~ para tornar acessíveis páginas web pessoais), podendo o primeiro usuário usar sudo para passar para root.

Ver a informação sobre a configuração de acesso ao sistema de arquivos específico do Debian Edu antes de adicionar usuários; ajustar a política do site, se necessário.

Após a instalação, as primeiras coisas a fazer como primeiro usuário são:

  1. Faça login no servidor.

  2. Adicione usuários com o GOsa².

  3. Adicionar estações de trabalho com o GOsa².

A adição de usuários e estações de trabalho está descrita abaixo; então, por favor, leia este capítulo completamente. Cobre a execução correta dos passos mínimos, assim como outras ações que provavelmente terão que ser executadas.

Há informações adicionais em outras partes deste manual: o capítulo Novas funcionalidades no Bookworm deve ser lido por quem estiver familiarizado com versões anteriores do Debian. E para quem for atualizar a partir de uma versão anterior, certifique-se de ler o capítulo Atualizações.

Se o tráfego DNS genérico estiver bloqueado fora da rede e for necessário usar algum servidor DNS específico para procurar hospedeiros (hosts) de Internet, é necessário indicar ao servidor DNS o uso deste servidor como seu "expedidor" (forwarder). Atualizar /etc/bind/named.conf.options especificando o endereço IP do servidor DNS a usar.

O capítulo Instruções contém mais dicas e truques, assim como respostas a algumas perguntas frequentes.

7.1.1. Serviços rodando no servidor principal

Vários serviços em execução no servidor principal podem ser geridos através de uma interface de gestão da web. Esses serviços são descritos abaixo.

7.2. Introdução ao GOsa²

O GOsa² é uma ferramenta de gestão baseada na Web que ajuda a gerenciar algumas partes importantes da instalação Debian Edu. Com o GOsa² podem ser executadas ações (adicionar, modificar ou eliminar) nestas áreas principais:

  • Administração de usuários

  • Administração de Grupos

  • Administração de grupos NIS Netgroup

  • Administração de máquinas

  • Administração de DNS

  • Administração do DHCP

Para acessar o GOsa² é necessário o servidor principal do Skolelinux e um sistema (cliente) com um navegador web instalado, que pode ser o próprio servidor principal se este tiver sido instalado como servidor combinado (perfis Servidor Principal + Servidor LTSP + Estação de Trabalho).

Se foi instalado um perfil de servidor principal puro (provavelmente por acidente) e não está disponível um cliente com um navegador web, é fácil instalar um ambiente de trabalho mínimo no servidor principal usando esta sequência de comandos num terminal (não-gráfico) como o usuário criado durante a instalação do servidor principal (primeiro usuário):

  $ sudo apt update
  $ sudo apt install task-desktop-xfce lightdm education-menus
  $ sudo service lightdm start

A partir de um navegador web, usar o URL https://www/gosa para aceder ao GOsa² e iniciar sessão como primeiro usuário.

  • Se estiver usando uma nova máquina Debian Edu Bookworm, o certificado do site web será reconhecido pelo navegador.

  • Caso contrário, aparecerá uma mensagem de erro sobre o certificado SSL estar errado. Se o usuário estiver seguro de que no momento é o único usuário na rede, basta-lhe permitir que o navegador aceite o certificado, podendo ignorar o erro.

7.2.1. Acesso ao GOsa² e Visão geral

Página de visão geral do GOsa² após fazer login como o primeiro usuário

Depois de fazer login no GOsa², você verá a página de visão geral do GOsa².

Nesta página pode ser escolhida uma tarefa no menu ou clique em qualquer um dos ícones de tarefa. Para a navegação, é recomendada a utilização do menu do lado esquerdo da tela, uma vez que ficará visível em todas as páginas de administração disponibilizadas pelo GOsa².

No Debian Edu, a informação relativa a contas, grupos e sistemas é guardada num diretório LDAP. Estes dados são usados não apenas pelo servidor principal, mas também pelas estações de trabalho (sem disco), servidores LTSP e outras máquinas na rede. Com o LDAP, os dados das contas de alunos, professores, etc. só precisam ser inseridos uma vez. Após a informação ter sido fornecida no LDAP, estará disponível em todos os sistemas em toda a rede Skolelinux.

O GOsa² é uma ferramenta de administração que utiliza o LDAP para guardar a sua informação e disponibilizar uma estrutura hierárquica do departamento. A cada "departamento" podem ser adicionadas contas de usuários, grupos, sistemas, netgroups, etc. Dependendo da estrutura da instituição, a estrutura de departamentos no GOsa²/LDAP pode ser usada para transferir a estrutura organizacional para a árvore de dados do LDAP do servidor principal do Debian Edu.

Uma instalação padrão do servidor principal Debian Edu atualmente oferece dois "departamentos": Professores e Alunos, mais o nível base da árvore LDAP. As contas dos alunos devem ser adicionadas ao departamento "Alunos", as dos professores ao departamento "Professores"; os sistemas (servidores, estações de trabalho, impressoras, etc.) são presentemente adicionados ao nível base. Mas esta estrutura pode ser alterada. (No capítulo Instruções/Administração Avançada deste manual encontra-se um exemplo de como criar usuários em grupos por anos, com diretórios home comuns para cada grupo.)

Dependendo da tarefa que você deseja trabalhar (gerenciar usuários, gerenciar grupos, gerenciar sistemas, etc.), o GOsa² apresenta a você uma visão diferente sobre o departamento selecionado (ou o nível de base).

7.3. Gerenciamento de usuários com GOsa²

Primeiro, clique em "Usuários" no menu de navegação esquerdo. O lado direito da tela mudará para mostrar uma tabela com as pastas do departamento para "Alunos" e "Professores" e a conta do Administrador GOsa² (o primeiro usuário criado). Acima desta tabela, você pode ver um campo chamado Base que permite que você navegue por sua estrutura em árvore (mova o mouse sobre essa área e um menu suspenso aparecerá) e selecione uma pasta base para as suas operações pretendidas (por exemplo, adicionar um novo usuário).

7.3.1. Adicionando usuários

Ao lado desse item de navegação em árvore, está o menu "Ações". Mover o mouse sobre este item fará aparecer um submenu; no menu, selecionar "Criar" e depois "Usuário". O assistente de criação de usuários guiará o processo.

  • O mais importante a adicionar é o modelo (novo aluno ou novo professor) e o nome real do usuário (ver imagem).

  • Conforme você segue o assistente, verá que GOsa² gera um nome de usuário automaticamente com base no nome real. Ele escolhe automaticamente um nome de usuário que ainda não existe, portanto, vários usuários com o mesmo nome completo não são um problema. Observe que GOsa² pode gerar nomes de usuário inválidos se o nome completo contiver caracteres não ASCII.

  • Se você não gostar do nome de usuário gerado, você pode selecionar outro nome de usuário oferecido na caixa suspensa, mas você não tem uma escolha livre aqui no assistente. (Se quiser editar o nome de usuário proposto, abra /etc/gosa/gosa.conf com um editor e adicione allowUIDProposalModification = "true" como uma opção adicional para a "definição de local".)

  • Quando o assistente for concluído, você verá a tela GOsa² para seu novo objeto de usuário. Use as guias na parte superior para verificar os campos preenchidos.

Depois de ter sido criado o usuário (por enquanto não é necessário personalizar os campos que o assistente deixou vazios), clicar no botão "Ok" no canto inferior direito.

Como último passo, o GOsa² pede uma senha para o novo utilizador. Introduzir a senha escolhida duas vezes e depois clicar em "Definir senha" no canto inferior direito. Alguns caracteres podem não ser permitidos como parte da senha.

Se tudo correu bem, o novo usuário aparecerá na tabela da lista de usuários. Agora deve ser possível entrar com esse nome de usuário em qualquer máquina da rede que tenha o sistema Skolelinux.

7.3.2. Pesquisar, modificar e excluir usuários

Caixa de filtrar

Para modificar ou eliminar um usuário, utilizar o GOsa² para consultar a lista de usuários no sistema. No meio da tela pode ser aberta a caixa "Filtro", uma ferramenta de pesquisa do GOsa². Não sendo conhecida a localização exata da conta de usuário na árvore, mudar para o nível base da árvore GOsa²/LDAP e procurar aí, marcando a opção "Procurar em subárvores".

Ao utilizar a caixa "Filtro", os resultados aparecerão imediatamente no centro do texto, na visualização da lista de tabelas. Cada linha representa uma conta de usuário e os itens mais à direita em cada linha são pequenos ícones que possibilitam as seguintes ações: editar usuário, bloquear conta, definir senha e remover usuário.

Aparecerá uma nova página onde poderá ser modificada diretamente a informação relativa ao usuário, alterada a senha do usuário e modificar a lista de grupos aos quais o usuário pertence.

Editando dados do usuário

7.3.3. Definir senhas

Os alunos podem alterar suas próprias senhas fazendo login no GOsa² com seus próprios nomes de usuário. Para facilitar o acesso do GOsa², uma entrada chamada Gosa é fornecida no menu Sistema (ou Configurações do sistema) da área de trabalho. Um aluno conectado verá uma versão mínima do GOsa² que só permite o acesso à planilha de dados da conta do próprio aluno e ao diálogo para definir a senha.

Os professores conectados com seus próprios nomes de usuário têm privilégios especiais no GOsa². Eles têm uma visão mais privilegiada do GOsa² e podem alterar as senhas de todas as contas de alunos. Isso pode ser muito útil durante a aula.

Para definir administrativamente uma nova senha para um usuário

  1. procure o usuário a ser modificado, conforme explicado acima

  2. clique no símbolo da chave no final da linha em que o nome de usuário é mostrado

  3. na página seguinte você pode definir uma nova senha escolhida por você

Definir senha de usuário

Esteja ciente das implicações de segurança causadas por senhas fáceis de adivinhar!

7.3.4. Gerenciamento avançado de usuários

É possível criar usuários em massa com GOsa² usando um arquivo CSV, que pode ser criado com qualquer bom software de planilha (por exemplo localc ). No mínimo, as entradas para os seguintes campos devem ser fornecidas: uid, sobrenome (sn), nome (givenName) e senha. Certifique-se de que não haja entradas duplicadas no campo uid. Observe que a verificação de duplicatas deve incluir entradas uid já existentes no LDAP (que podem ser obtidas executando getent passwd | grep tjener / home | cut -d ":" -f1 na linha de comando).

Estas são as diretrizes de formato para esse arquivo CSV (GOsa² é bastante intolerante com elas):

  • Usar "," (uma vírgula) como separador de campo

  • Não usar aspas

  • O arquivo CSV não deve conter uma linha de cabeçalho (do tipo que normalmente contém os nomes das colunas)

  • A ordem dos campos não é relevante e pode ser definida no GOsa² durante a importação em massa

Os passos da importação em massa são:

  1. clicar na ligação "Gestor do LDAP" no menu de navegação, à esquerda

  2. clicar no separador "Importar" na tela à direita

  3. navegue em seu disco local e selecione um arquivo CSV com a lista de usuários a serem importados

  4. escolha um modelo de usuário disponível que deve ser aplicado durante a importação em massa (como NewTeacher ou NewStudent)

  5. clique no botão "Importar" no canto inferior direito

É uma boa ideia fazer alguns testes primeiro, de preferência usando um arquivo CSV com alguns usuários fictícios, que podem ser excluídos posteriormente.

O mesmo se aplica ao módulo de gerenciamento de senhas, que permite redefinir muitas senhas usando um arquivo CSV ou regenerar novas senhas para usuários pertencentes a uma subárvore LDAP especial.

Redefinir senhas

7.3.4.1. Adicionando usuários pela linha de comando

Contas de usuário também podem ser adicionadas a partir da linha de comando usando a ferramenta ldap-createuser-krb5. Consulte a documentação em Instruções de administração

7.4. Gerenciamento de Grupo com GOsa²

criar grupo

criar grupo

O gerenciamento de grupos é muito semelhante ao gerenciamento de usuários.

Você pode inserir um nome e uma descrição por grupo. Certifique-se de escolher o nível correto na árvore LDAP ao criar um novo grupo.

Adicionar usuários a um grupo recém-criado leva você de volta à lista de usuários, onde provavelmente gostaria de usar a caixa de filtro para localizar usuários. Verifique também o nível da árvore do LDAP.

Os grupos inseridos no gerenciamento de grupo também são grupos unix regulares, então você também pode usá-los para permissões de arquivo.

7.5. Gerenciamento de Máquina com GOsa²

O gerenciamento de máquina basicamente permite que você gerencie todos os dispositivos em rede em sua rede Debian Edu. Cada máquina adicionada ao diretório LDAP usando GOsa² tem um nome de host, um endereço IP, um endereço MAC e um nome de domínio (que geralmente é "interno"). Para uma descrição mais completa da arquitetura Debian Edu, veja o capítulo arquitetura deste manual.

Quando ligados ao servidor principal combinado, as estações de trabalho sem disco e os clientes dependentes funcionam de imediato.

As estações de trabalho com disco (incluindo servidores LTSP separados) têm de ser adicionadas através do GOsa². Internamente, são gerados tanto um Kerberos Principal (como que uma conta) específico da máquina, quanto um arquivo keytab relacionado (contendo uma chave usada como senha); o arquivo keytab tem que estar presente na estação de trabalho para ser capaz de montar os diretórios pessoais dos utilizadores. Reiniciar a máquina adicionada, fazer login no sistema através dela, como root, e executar /usr/share/debian-edu-config/tools/copy-host-keytab.

Para criar um arquivo Principal e keytab para um sistema já configurado através do GOsa², fazer login no servidor principal como root e executar

/usr/share/debian-edu-config/tools/gosa-modify-host <hostname> <IP>

Observe: a criação de keytab de host é possível para sistemas do tipo estações de trabalho , servidores e terminais mas não para aqueles do tipo netdevices . Consulte o capítulo Como fazer de clientes de rede para obter as opções de configuração de NFS.

Para adicionar uma máquina, use o menu principal do GOsa², sistemas, adicionar. Espera-se que o nome da máquina seja um hostname não-qualificado, não coloque nome de domínio aqui. Você pode usar um endereço IP/hostname (nome do hospedeiro) do espaço de endereço pré-configurado 10.0.0.0/8. Atualmente, existem apenas dois endereços fixos predefinidos: 10.0.2.2 (tjener) e 10.0.0.1 (gateway). Os endereços de 10.0.16.20 a 10.0.31.254 (aproximadamente 10.0.16.0/20 ou 4000 hosts) são reservados para DHCP e são atribuídos dinamicamente.

No GOsa², para atribuir um endereço IP estático a um hospedeiro com o endereço MAC 52:54:00:12:34:10 é necessário introduzir o endereço MAC, o nome do hospedeiro e o IP; em alternativa pode ser clicado o botão Propor IP que mostrará o primeiro endereço fixo livre em 10.0.0.0/8, provavelmente algo como 10.0.0.0.2 se a primeira máquina for adicionada desta forma. É boa prática planejar antes de executar: por exemplo, pode ser usado 10.0.0.x com x>10 e x<50 para servidores, e x>100 para estações de trabalho. Não esquecer de ativar o sistema recém-adicionado. Com a exceção do servidor principal, todos os sistemas terão um ícone correspondente.

Se as máquinas iniciarem como clientes dependentes/estações de trabalho sem disco ou forem instaladas usando qualquer um dos perfis de rede, pode ser usado o script sitesummary2ldapdhcp para adicionar automaticamente máquinas ao GOsa². Para máquinas simples funcionará de imediato; para máquinas com mais de um endereço mac tem que ser indicado o que for para usar; sitesummary2ldapdhcp -h mostra a informação de utilização. Notar que os endereços IP mostrados após o uso de sitesummary2ldapdhcp pertencem à faixa de IPs dinâmicos. Esses sistemas podem ser modificados para se adequarem à sua rede: renomeie cada novo sistema, ative DHCP e DNS, adicione-o aos grupos de rede (veja a imagem abaixo para grupos de rede recomendados), reinicie o sistema depois. As capturas de tela a seguir mostram como isso fica na prática:

root@tjener:~# sitesummary2ldapdhcp -a -i ether-22:11:33:44:55:ff
info: Create GOsa machine for am-2211334455ff.intern [10.0.16.21] id ether-22:11:33:44:55:ff.
 
Enter password if you want to activate these changes, and ^c to abort.
 
Connecting to LDAP as cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no
enter password: ********
root@tjener:~#

Lista de sistemas GOsa²

Detalhes do host (hospedeiro)

Modificar host (hospedeiro)

Adicionar grupo de rede

Um cronjob atualizando o DNS é executado a cada hora; su -c ldap2bind pode ser usado para acionar a atualização manualmente.

7.5.1. Pesquisar e excluir máquinas

Pesquisar e excluir máquinas é bastante semelhante a pesquisar e excluir usuários, de modo que as informações não se repetem aqui.

7.5.2. Modificar as máquinas existentes / Gerenciamento de grupos de rede

Depois de adicionar uma máquina à árvore do LDAP usando o GOsa², as propriedades podem ser modificadas usando a funcionalidade de busca e clicando no nome da máquina (assim como com os usuários).

O formato dessas entradas do sistema é semelhante ao que você já conhece ao modificar as entradas do usuário, mas os campos têm significados diferentes neste contexto.

Por exemplo, adicionar uma máquina a um Grupo de Rede não modifica as permissões de acesso a arquivos ou de execução de comandos para aquela máquina nem os usuários com acesso naquela máquina; em vez disso, restringe os serviços que a máquina pode usar no servidor principal.

A instalação padrão inclui os Grupos de rede

  • all-hosts

  • cups-queue-autoflush-hosts

  • cups-queue-autoreenable-hosts

  • fsautoresize-hosts

  • ltsp-server-hosts

  • netblock-hosts

  • printer-hosts

  • server-hosts

  • shutdown-at-night-hosts

  • shutdown-at-night-wakeup-hosts-blacklist

  • workstation-hosts

Atualmente, a funcionalidade Grupos de rede é usada para:

  • Redimensionar partições (fsautoresize-hosts)

    • As máquinas Debian Edu neste grupo redimensionam automaticamente as partições LVM que ficarem sem espaço.

  • Desligar máquinas à noite (shutdown-at-night-hosts e shutdown-at-night-wakeup-hosts-blacklist)

    • As máquinas Debian Edu deste grupo serão desligadas automaticamente à noite para economizar energia.

  • Gestão de impressoras (cups-queue-autoflush-hosts e cups-queue-autoreenable-hosts)

    • As máquinas Debian Edu destes grupos irão eliminar automaticamente todas as filas de impressão, todas as noites, e reativar qualquer fila de impressão desativada a cada hora.

  • Acesso à Internet Bloqueado (netblock-hosts)

    • As máquinas Debian Edu deste grupo só se podem ligar a máquinas da rede local. Em conjunto com restrições no proxy da web, isto poderá ser usado durante os exames, por exemplo.

8. Gerenciamento de impressora

Para gerenciamento centralizado das impressoras, apontar o navegador web para https://www.intern:631. Esta é a interface de gestão CUPS normal, onde podem ser adicionadas/eliminadas/modificadas as impressoras e onde pode ser limpa a fila de impressão. Por predefinição só é dada permissão ao primeiro usuário; mas isso pode ser alterado adicionando utilizadores ao grupo printer-admins do GOsa².

8.1. Use impressoras conectadas a estações de trabalho

O pacote p910nd é instalado por predefinição nos sistemas com o perfil Estação de trabalho.

  • Editar o arquivo /etc/default/p910nd desta forma (impressora USB):

    • P910ND_OPTS="-f /dev/usb/lp0"

    • P910ND_START=1

  • Configurar a impressora usando a interface web https://www.intern:631; escolher o tipo de impressora de rede AppSocket/HP JetDirect (para todas as impressoras, independentemente da marca ou modelo) e definir socket://<workstation ip>:9100 como URI de ligação.

8.2. Impressoras de rede

Recomenda-se desativar todos os recursos de auto-propaganda nas impressoras de rede usadas. Em vez disso, atribua um endereço IP fixo com GOsa² e configure-os como impressoras de rede AppSocket/HP JetDirect .

9. Sincronização do relógio

A configuração padrão no Debian Edu mantém os relógios de todas as máquinas sincronizados, mas não necessariamente com a hora certa. É usado o NTP para atualizar a hora. Os relógios são sincronizados com uma fonte externa por padrão. Isso pode fazer com que as máquinas mantenham a conexão externa à Internet aberta se a conexão for criada durante a sincronização.

No caso das ligações por linha telefônica convencional ou RDIS, com o serviço cobrado ao minuto, é recomendado alterar a configuração padrão.

Para desativar a sincronização com um relógio externo, é necessário modificar o arquivo /etc/ntp.conf no servidor principal, adicionando ("#") no início das entradas server (ficam desativadas). Depois disso, tem de ser reiniciado o servidor NTP, executando service ntp restart como root. Para testar se uma máquina está usando as fontes externas do relógio, executar ntpq -c lpeer.

10. Estendendo partições completas

Devido a um possível defeito no particionamento automático, algumas partições podem ficar muito cheias após a instalação. Para estender essas partições, execute debian-edu-fsautoresize -n como root. Consulte o HowTo "Como redimensionar partições" no capítulo HowTo de administração para obter mais informações.

11. Manutenção

11.1. Atualização do software

Esta seção explica como usar o apt full-upgrade.

Usar o apt é simples. Para atualizar um sistema através da linha de comando, é necessária a execução de dois comandos, como root: apt update (que atualiza as listas de pacotes disponíveis) e apt full-upgrade (que atualiza os pacotes para os quais haja uma atualização disponível).

Também é uma boa ideia atualizar usando a localidade C para obter saída em inglês que, em casos de problemas, tem mais probabilidade de produzir resultados em mecanismos de pesquisa.

LC_ALL=C apt full-upgrade -y

Na atualização do pacote debian-edu-config, os arquivos de configuração do Cfengine podem ser alterados. Executar ls -ltr /etc/cfengine3/debian-edu/ para verificar se foi esse o caso. Para aplicar as modificações, executar LC_ALL=C cf-agent -D installation.

É importante executar debian-edu-ltsp-install --diskless_workstation yes após as atualizações do servidor LTSP para manter a imagem SquashFS para clientes sem disco sincronizada.

Após uma atualização para uma nova versão pontual de um sistema com perfil Servidor principal ou Servidor LTSP, tem que ser executado o debian-edu-pxeinstall para atualizar o ambiente de instalação PXE.

Também é boa prática instalar os pacotes cron-apt e apt-listchanges e configurá-los para enviarem correio para um endereço usado diariamente.

Uma vez por dia o cron-apt enviará por correio uma mensagem de notificação dos pacotes que possam ser atualizados. O programa não instala os pacotes atualizados, mas descarrega-os (geralmente à noite), para que não seja necessário aguardar pela transferência quando for executado o comando apt full-upgrade.

A instalação automática de atualizações pode ser feita facilmente. Basta que o pacote unattended-upgrades seja instalado e configurado conforme descrito em wiki.debian.org/UnattendedUpgrades.

O programa apt-listchanges pode enviar novas entradas de registro de alterações por e-mail, ou em alternativa exibi-las no terminal se executado apt.

11.1.1. Mantenha-se informado sobre as atualizações de segurança

Executar cron-apt conforme descrito acima é uma boa maneira de saber quando atualizações de segurança estão disponíveis para pacotes instalados. Outra maneira de se manter informado sobre atualizações de segurança é assinar a lista de discussão de anúncios de segurança do Debian, que tem o benefício de também informar sobre o que se trata a atualização de segurança. A desvantagem (em comparação com cron-apt) é que ele também inclui informações sobre atualizações para pacotes que não estão instalados.

11.2. Gerenciamento de backup

Para gerenciamento de cópias de segurança, abrir https://www/slbackup-php no navegador da web. Notar que este site tem que ser acessado via SSL, uma vez que requer a senha de root. Se for tentado sem o uso de SSL, o acesso falhará.

Nota: o site só funcionará se for permitido temporariamente o acesso de root por ssh no servidor de cópias de segurança, que é o servidor principal (tjener.intern) por padrão.

Por padrão, cópias de segurança de /skole/tjener/home0, /etc/, /root/.svk e do LDAP são armazenadas no diretório /skole/backup, que está gerenciado como uma partição pelo LVM. Se você quiser apenas ter cópias de coisas (para o caso de alguma coisa ser inadvertidamente apagada) esta configuração deve servir para você.

Esteja ciente de que esse esquema de backup não o protege de discos rígidos com defeito.

Para fazer cópias de segurança dos dados num servidor externo, num dispositivo de fita ou em outro disco rígido, é necessário modificar um pouco a configuração existente.

Para restaurar uma pasta completa, a melhor opção é usar a linha de comando:

$ sudo rdiff-backup -r <date>  \
   /skole/backup/tjener/skole/tjener/home0/user \
   /skole/tjener/home0/user_<date>

Isto deixará o conteúdo de /skole/tjener/home/utilizador relativo a determinada<data> na pasta /skole/tjener/home_<data>

Para restaurar um arquivo específico, terá de ser selecionado o arquivo (e a versão) a partir da interface web, e transferido apenas esse arquivo.

Para eliminar cópias de segurança mais antigas, escolher "Manutenção" no menu da página de cópias de segurança e selecionar a captura mais antiga a manter:

Manutenção do slbackup-php

11.3. Monitoramento de Servidor

11.3.1. Munin

O sistema de informação de tendências Munin está disponível em https://www/munin/. Esta ferramenta apresenta gráficos de medição do estado do sistema numa base diária, semanal, mensal e anual, e fornece ao administrador do sistema ajuda na procura de estrangulamentos e das origens dos problemas do sistema.

A lista de máquinas monitoradas pelo Munin é gerada automaticamente, com base na lista de máquinas (hosts) que mandam relatórios ao sitesummary. Todos os hospedeiros com o pacote munin-node instalado são registrados para monitoramento pelo Munin. Normalmente, demora um dia desde que uma máquina é instalada até ao início do monitoramento pelo Munin, por causa da ordem em que as tarefas agendadas (cronjobs) são executadas. Para acelerar o processo, executar sitesummary-update-munin como root no servidor que tem o sitesummary (normalmente o servidor principal). Isto irá atualizar o arquivo /etc/munin/munin.conf.

O conjunto de medições coletadas é gerado automaticamente em cada máquina usando o programa munin-node-configure que sonda os plugins disponíveis em /usr/share/munin/plugins/ e cria links simbólicos para os relevantes em /etc/munin/plugins/.

Informações sobre o Munin estão disponíveis em https://munin-monitoring.org/.

11.3.2. Icinga

O sistema e serviço de monitoramento Icinga está disponível em https://www/icingaweb2/. O conjunto de máquinas e serviços monitorados é gerado automaticamente usando as informações coletadas pelo sistema de resumo do site (sitesummary). As máquinas com perfis Servidor Principal e Servidor LTSP são alvo de monitoramento completo, enquanto as estações de trabalho e os clientes dependentes são alvo de monitoramento simples. Para permitir o monitoramento completo de uma estação de trabalho, instalar o pacote nagios-nrpe-server na própria estação de trabalho.

Por predefinição, o Icinga não envia e-mail. Isto pode ser alterado substituindo notify-by-nothing por host-notify-by-email e notify-by-emaill no arquivo /etc/icinga/sitesummary-template-contacts.cfg.

O arquivo de configuração do Icinga usado é /etc/icinga/sitesummary.cfg. A tarefa agendada do sitesummary gera o arquivo /var/lib/sitesummary/icinga-generated.cfg com a lista de hospedeiros (hosts) e serviços a serem monitorados.

Podem ser colocadas verificações adicionais do Icinga no arquivo /var/lib/sitesummary/icinga-generated.cfg.post para serem incluídas no arquivo gerado.

Informação sobre o Icinga disponível em https://www.icinga.com/ ou no pacote icinga-doc.

11.3.2.1. Avisos comuns do Icinga e como lidar com eles

Aqui estão as instruções sobre como lidar com os avisos mais comuns do Icinga.

11.3.2.1.1. DISK CRITICAL - free space: /usr 309 MB (5% inode=47%):

A partição (/usr/ no exemplo) está muito cheia. Há basicamente duas maneiras de lidar com isso: (1) remover alguns arquivos ou (2) aumentar o tamanho da partição. Se a partição for /var/, limpar o cache APT executando apt clean pode remover alguns arquivos. Se houver mais espaço disponível no grupo de volumes do LVM, executar o programa debian-edu-fsautoresize para alargar as partições pode ajudar. Para executar este programa automaticamente a cada hora, a máquina (host) em questão pode ser adicionado ao grupo de rede fsautoresize-hosts.

11.3.2.1.2. APT CRITICAL: 13 packages available for upgrade (13 critical updates).

Estão disponíveis novos pacotes para atualização. Os pacotes críticos são normalmente correções de segurança. Para fazer a atualização, execute apt upgrade && apt full-upgrade num terminal, como root, ou fazer login no sistema via SSH e fazer o mesmo.

Quem tiver confiança em que o Debian gere as novas versões dos pacotes de forma segura, pode evitar a ação de atualização manual, configurando o unattended-upgrades (atualizações não vigiadas) para atualização automática, todas as noites, de todos os pacotes atualizáveis. Isto não irá atualizar os chroots LTSP.

11.3.2.1.3. WARNING - Reboot required : running kernel = 2.6.32-37.81.0, installed kernel = 2.6.32-38.83.0

O núcleo (kernel) em execução é mais antigo do que o núcleo mais recente instalado e é necessário reiniciar o computador para passar a ser usado o núcleo mais recente instalado. Normalmente, isto é bastante urgente, já que os novos núcleos são disponibilizados no Debian Edu normalmente para corrigir problemas de segurança.

11.3.2.1.4. WARNING: CUPS queue size - 61

As filas de impressão no CUPS têm muitos trabalhos pendentes. Isto acontece muito provavelmente devido a uma impressora ficar indisponível. Filas de impressão desativadas são ativadas a cada hora em máquinas (hosts) do grupo de rede cups-queue-autoreenable-hosts; portanto, para tais máquinas não deve ser necessária nenhuma ação manual. As filas de impressão são descartadas todas as noites nas máquinas do grupo de rede cups-queue-autoflush-hosts. Se uma máquina tiver muitos trabalhos em fila, pode ser adicionada a um ou a ambos os grupos de rede.

11.3.3. Resumo do site

O resumo do site (sitesummary) é usado para coletar informação de cada computador e enviá-la para o servidor central. A informação coletada fica disponível em /var/lib/sitesummary/entries/. Estão disponíveis scripts em /usr/lib/sitesummary/ para gerar relatórios.

Um relatório simples do Sitesummary, sem informação detalhada, está disponível em https://www/sitesummary/.

Há alguma documentação sobre o Sitesummary disponível em https://wiki.debian.org/DebianEdu/HowTo/SiteSummary

11.4. Mais informações sobre personalização do Debian Edu

Mais informações sobre a personalização do Debian Edu, útil para administradores de sistemas, nos capítulos Instruções de Administração e Instruções de Administração avançada

12. Atualizações

Antes de ler este guia de atualização, ter presente que as atualizações dos servidores são efetuadas por conta e risco dos administradores. O Debian Edu/Skolelinux vem SEM QUALQUER GARANTIA, na medida do permitido pela lei aplicável.

Favor ler este capítulo e o capítulo Novas funcionalidades no Bullseye deste manual por completo antes de tentar atualizar.

12.1. Notas gerais sobre atualização

Atualizar o Debian de uma versão para a seguinte normalmente é bastante fácil. Mas no que diz respeito ao Debian Edu isso infelizmente é um pouco mais complicado, pois nós modificamos os arquivos de configuração de forma que não deveríamos. Contudo, os passos necessários estão documentados abaixo. (Ver o bug do Debian 311188 para mais informação – em inglês – sobre como o Debian Edu deverá modificar os arquivos de configuração)

Em geral, a atualização dos servidores é mais difícil do que as estações de trabalho, e o servidor principal é o mais difícil de atualizar.

Para garantir que após a atualização tudo funciona como funcionava antes, a atualização deve ser testada em um ou mais sistemas de teste configurados da mesma forma que as máquinas de produção. Neles a atualização pode ser testada sem riscos e pode ser confirmado que tudo funciona como previsto.

Não deixar de ler também a informação sobre a versão correspondente do Debian Stable no respectivo manual de instalação https://www.debian.org/releases/stable/installmanual.

Também poderá ser sensato esperar um pouco e continuar a usar por mais algumas semanas a versão instalada, aguardando que outros testem a atualização e documentem quaisquer problemas com que se deparem. A versão instalada do Debian Edu receberá apoio contínuo ainda durante algum tempo após a publicação da nova versão. Mas quando o Debian cessar o apoio à versão anterior, o Debian Edu também cessará, necessariamente.

12.2. Atualizações do Debian Edu Bullseye

Esteja preparado: certifique-se de testar a atualização a partir da versão Bullseye num ambiente de teste ou de que exista cópias de segurança prontas para permitir uma restauração.

Note que o procedimento a seguir se aplica a uma instalação padrão do servidor principal Debian Edu (ambiente de trabalho xfce, perfis Servidor Principal, Estação de Trabalho, Servidor LTSP). (Para uma ideia geral sobre a atualização do Debian Bullseye para Bookworm, ver: https://www.debian.org/releases/bookworm/releasenotes)

Não usar diretamente o X (o servidor gráfico do sistema operacional), usar um console virtual, faça login como root.

Se o apt der erro, tentar corrigir o erro e/ou executar apt -f install e depois apt -y full-upgrade mais uma vez.

12.2.1. Atualizando o servidor principal

  • Começar por garantir que o sistema instalado (o Buster) está atualizado:

apt update
apt full-upgrade
  • Preparar e iniciar a atualização para Bookworm (nova entrada de segurança):

sed -i 's/bullseye/bookworm/g' /etc/apt/sources.list
export LC_ALL=C
apt update
apt upgrade --without-new-pkgs
apt full-upgrade
  • apt-list-changes: prepare-se para ler muitas INFORMAÇÕES; pressione <enter> para rolar para baixo, <q> para deixar o paginador (programa de leitura de páginas em console). Toda a informação será enviada para root para que possa ser lida novamente (usando mailx ou mutt).

  • Ler atentamente todas as informações do debconf (configuração do debian); escolher "manter a versão local atualmente instalada", a menos que indicado de forma diferente abaixo; na maioria dos casos, pressionar enter é o indicado.

    • reiniciar serviços: Escolha sim.

    • servidor Samba e utilitários: Escolher 'manter a versão local atualmente instalada'.

    • openssh-server: Escolher 'manter a versão local atualmente instalada'.

  • Aplicar e ajustar a configuração:

cf-agent -v -D installation
  • Verificar se o sistema atualizado funciona:

Reiniciar; fazer login como primeiro usuário e testar

  • se a interface GOsa² está funcionando,

  • se é possível ligar clientes e estações de trabalho LTSP,

  • se é possível adicionar/remover membros a um grupo de rede de um sistema,

  • se é possível enviar e receber e-mail interno,

  • se é possível gerenciar impressoras,

  • e se outros elementos específicos da escola estão funcionando.

12.2.2. Atualizando uma estação de trabalho

Fazer todas as coisas básicas como no servidor principal e não fazer as coisas desnecessárias.

12.3. Atualização a partir de instalações antigas do Debian Edu/Skolelinux (anteriores ao Bullseye)

Para atualizar a partir de qualquer versão antiga, é necessário atualizar primeiro para a versão Debian Edu baseada no Bullseye, antes de seguir as instruções acima. As instruções estão disponíveis no Manual do Debian Edu Bullseye sobre como atualizar para Bullseye a partir da versão anterior, Buster.

13. Instruções

14. Instruções para administração geral

Os capítulos Primeiros passos e Manutenção descrevem como começar a usar o Debian Edu e como fazer o trabalho básico de manutenção. As instruções neste capítulo têm algumas dicas e truques mais "avançados".

14.1. Histórico de configuração: rastreio de /etc/ utilizando o sistema de controle da versão Git

Usando o etckeeper, todos os arquivos em /etc/ são rastreados usando o Git como sistema de controle de versão.

Isto torna possível ver quando um arquivo é adicionado, alterado ou removido, assim como o que foi alterado se o arquivo em causa for um arquivo de texto. O repositório git é guardado em /etc/.git/.

A cada hora, quaisquer novas alterações são automaticamente registradas; o histórico de configuração pode ser extraído e consultado.

Para ver o histórico, é usado o comando etckeeper vcs log. Para ver as diferenças entre dois momentos no tempo, pode ser usado um comando como etckeeper vcs diff .

Para mais informações, ver os resultados de man etckeeper.

Lista de comandos úteis:

etckeeper vcs log
etckeeper vcs status
etckeeper vcs diff
etckeeper vcs add .
etckeeper vcs commit -a
man etckeeper

14.1.1. Exemplos de utilização

Num sistema recém-instalado, tentar este comando para ver todas as alterações feitas desde que o sistema foi instalado:

etckeeper vcs log

Para ver que arquivos não são atualmente rastreados e os que não estão atualizados:

etckeeper vcs status

Para submeter manualmente um arquivo, para você não ter que esperar até uma hora:

etckeeper vcs commit -a /etc/resolv.conf

14.2. Redimensionar partições

No Debian Edu, todas as partições que não a partição /boot/ estão em volumes lógicos LVM. Com os núcleos (kernels) Linux, desde a versão 2.6.10, é possível estender as partições estando elas montadas. Encolher partições ainda tem de ser feito com as partições desmontadas.

É uma boa prática evitar a criação de partições muito grandes (mais de, digamos, 20GiB), devido ao tempo que demora a execução do fsck sobre elas ou a restaurá-las a partir de cópias de segurança, se for necessário. É melhor, se for possível, criar várias partições menores em vez de uma partição muito grande.

É disponibilizado o script de ajuda debian-edu-fsautoresize para facilitar a extensão de partições cheias. Quando invocado, o script lê a configuração a partir de /usr/share/debian-edu-config/fsautoresizetab, /site/etc/fsautoresizetab e /etc/fsautoresizetab. Propõe então estender as partições que tenham muito pouco espaço livre, de acordo com as regras estabelecidas nestes arquivos. Se executado sem argumentos, mostrará apenas os comandos necessários à extensão do sistema de arquivos. É necessário o argumento -n para que estes comandos para extensão do sistema de arquivos sejam realmente executados.

O script é executado automaticamente a cada hora em cada cliente listado no grupo de rede fsautoresize-hosts.

Quando a partição utilizada pelo intermediário (proxy) Squid é redimensionada, o valor para o tamanho do cache em etc/squid/squid.conf também tem que ser atualizado. É disponibilizado o script de ajuda /usr/share/debian-edu-config/tools/squid-update-cachedir para fazer essa operação automaticamente, verificando o tamanho atual da partição /var/spool/squid/ e configurando o Squid para usar 80% desse valor como tamanho de cache.

14.2.1. Gerenciamento de volumes lógicos

O Logical Volume Management (LVM), ou gestão de volumes lógicos, permite redimensionar as partições enquanto elas estão montadas e em uso. Mais sobre o LVM em Gerenciamento de volumes lógicos.

Para estender manualmente um volume lógico, basta indicar no comando lvextend o tamanho pretendido para esse volume. Por exemplo, para estender home0 para 30GiB usar os seguintes comandos:

lvextend -L30G /dev/vg_system/skole+tjener+home0
resize2fs /dev/vg_system/skole+tjener+home0

Para estender home0 em 30GiB adicionais, insira um '+' (-L+30G).

14.3. Usando o ldapvi

O ldapvi é uma ferramenta para editar base de dados LDAP com um editor de texto normal no terminal.

É necessário executar o seguinte:

ldapvi -ZD '(cn=admin)'

Nota: O ldapvi usará o editor predefinido, qualquer que ele seja. Executando export EDITOR=vim na linha de comando é possível configurar o ambiente para obter um clone do vi como editor.

Aviso: O ldapvi é uma ferramenta muito poderosa. É necessário cuidado redobrado para que a base de dados LDAP não seja corrompida. Este aviso aplica-se também ao JXplorer.

14.4. NFS "Kerberizado"

Usar o Kerberos para fazer o NFS montar diretórios de usuário é uma funcionalidade de segurança. Os clientes LTSP e estações de trabalho não funcionam sem o Kerberos. São suportados os níveis krb5, krb5i e krb5p (krb5 significa autenticação Kerberos, i significa verificação de integridade e p verificação de privacidade, ou seja, criptografia); a carga, tanto no servidor quanto na estação de trabalho, aumenta com o nível de segurança; o nível krb5i é uma boa opção e foi escolhido como padrão.

14.4.1. Como alterar o padrão

Servidor principal

  • faça login como root

  • execute ldapvi -ZD '(cn=admin)', procure por sec=krb5i e substitua por sec=krb5 ou sec=krb5p, conforme for pretendido.

  • edite /etc/exports.d/edu.exports: e ajuste essas entradas conforme:

/srv/nfs4        gss/krb5i(rw,sync,fsid=0,crossmnt,no_subtree_check)
/srv/nfs4/home0  gss/krb5i(rw,sync,no_subtree_check)
  • execute exportfs -r.

14.5. Standardskriver

Esta ferramenta permite estabelecer a impressora predefinida, dependendo da localização, da máquina ou do grupo a que pertença. Para mais informações, ver /usr/share/doc/standardskriver/README.md.

O arquivo de configuração /etc/standardskriver.cfg tem de ser fornecido pelo administrador; ver /usr/share/doc/standardskriver/examples/standardskriver.cfg como exemplo.

14.6. JXplorer, uma interface gráfica LDAP

Para trabalhar com a base de dados LDAP usando uma interface gráfica, experimentar o pacote jxplorer, que é instalado por padrão. Para obter acesso de escrita, conecte-se desta forma:

host: ldap.intern
port: 636
Security level: ssl + user + password
User dn: cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no

14.7. ldap-createuser-krb5, uma ferramenta de linha de comando para adicionar usuários

O ldap-createuser-krb é uma pequena ferramenta de linha de comando para criar usuários, e é invocada como segue:

ldap-createuser-krb5 [-u uid] [-g gid] [-G group[,group]...] [-d department] <username> <gecos>

Todos os argumentos, exceto o nome de usuário e o campo GECOS, são opcionais, este último geralmente deve conter o nome completo do usuário. A menos que especificado, a ferramenta escolherá automaticamente os próximos UID e GID livres e não atribuirá nenhum grupo adicional ao usuário. Se nenhum departamento for fornecido, ela escolherá o primeiro gosaDepartment do LDAP, que provavelmente é skole. Para usuários comuns, isso geralmente não é o desejado, então você deve escolher um valor apropriado para o usuário como, por exemplo, Professores ou Alunos. Após inserir e confirmar a senha e inserir a senha do administrador do LDAP, ldap-createuser-krb5 criará a conta de usuário no LDAP, definirá a senha Kerberos, criará o diretório inicial e adicionará um usuário Samba correspondente. A captura de tela a seguir mostra um exemplo de invocação para criar uma conta de usuário chamada harhir para um professor cujo nome completo é "Harry Hirsch":

root@tjener:~# ldap-createuser-krb5 -d Teachers harhir "Harry Hirsch"
new user password: 
confirm password: 

dn: uid=harhir,ou=people,ou=Teachers,dc=skole,dc=skolelinux,dc=no
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: gosaAccount
objectClass: posixAccount
objectClass: shadowAccount
objectClass: krbPrincipalAux
objectClass: krbTicketPolicyAux
sn: Harry Hirsch
givenName: Harry Hirsch
uid: harhir
cn: Harry Hirsch
userPassword: {CRYPT}$y$j9T$TWnq55O1rvyLhjF.$oVf.t.RXC1v/4Y8FhV0umno629mo7bP7/YJyig6HET6
homeDirectory: /skole/tjener/home0/harhir
loginShell: /bin/bash
uidNumber: 1004
gidNumber: 1004
gecos: Harry Hirsch
shadowLastChange: 19641
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
krbPwdPolicyReference: cn=users,cn=INTERN,cn=kerberos,dc=skole,dc=skolelinux,dc=no
krbPrincipalName: harhir@INTERN

ldap_initialize( <DEFAULT> )
Enter LDAP Password: 
add objectClass:
        top
        person
        organizationalPerson
        inetOrgPerson
        gosaAccount
        posixAccount
        shadowAccount
        krbPrincipalAux
        krbTicketPolicyAux
add sn:
        Harry Hirsch
add givenName:
        Harry Hirsch
add uid:
        harhir
add cn:
        Harry Hirsch
add userPassword:
        {CRYPT}$y$j9T$TWnq55O1rvyLhjF.$oVf.t.RXC1v/4Y8FhV0umno629mo7bP7/YJyig6HET6
add homeDirectory:
        /skole/tjener/home0/harhir
add loginShell:
        /bin/bash
add uidNumber:
        1004
add gidNumber:
        1004
add gecos:
        Harry Hirsch
add shadowLastChange:
        19641
add shadowMin:
        0
add shadowMax:
        99999
add shadowWarning:
        7
add krbPwdPolicyReference:
        cn=users,cn=INTERN,cn=kerberos,dc=skole,dc=skolelinux,dc=no
add krbPrincipalName:
        harhir@INTERN
adding new entry "uid=harhir,ou=people,ou=Teachers,dc=skole,dc=skolelinux,dc=no"
modify complete

Authenticating as principal root/admin@INTERN with password.
kadmin.local:  change_password harhir@INTERN
Enter password for principal "harhir@INTERN": 
Re-enter password for principal "harhir@INTERN": 
Password for "harhir@INTERN" changed.
kadmin.local:  lpcfg_do_global_parameter: WARNING: The "encrypt passwords" option is deprecated
Added user harhir.

14.8. Usar stable-updates (atualizações estáveis)

Embora seja possível usar a funcionalidade de atualizações estáveis (stable-updates) diretamente, isso não é necessário: estas são enviadas para a suíte estável regularmente quando são feitas as versões pontuais estáveis, o que acontece aproximadamente a cada dois meses.

14.9. Usando backports para instalar software mais recente

Quem usa o Debian Edu é porque prefere a estabilidade do Debian, distribuição que funciona muito bem. Mas tem um problema: às vezes o software está um pouco mais desatualizado do que o desejado. É aqui que o backports.debian.org entra em cena.

Pacotes backports são pacotes recompilados do Debian testing (principalmente) e do Debian unstable (em poucos casos apenas – por exemplo, atualizações de segurança), para que funcionem sem novas bibliotecas (sempre que possível) numa distribuição Debian estável como a Debian Edu. Recomenda-se que sejam escolhidos pacotes específicos de acordo com as necessidades, e que não sejam usados todos os pacotes backports disponíveis.

O uso de pacotes backports é simples. Executar:

echo "deb http://deb.debian.org/debian/ bookworm-backports main" > /etc/apt/sources.list.d/bookworm-backports.sources.list
apt update

Após o que os pacotes backports são facilmente instaláveis: o seguinte comando irá instalar uma versão backport do tuxtype:

apt install tuxtype/bookworm-backports

Backports são atualizados automaticamente (se disponíveis), assim como outros pacotes. Como o arquivamento normal, os backports têm três seções: principal (main), contrib e non-free.

14.10. Atualização com um CD ou imagem similar

Se você deseja atualizar de uma versão para outra (por exemplo, de Bookworm 12.1 para 12.2) sem conexão com a Internet, apenas com mídias físicas, seguir estes passos:

Inserir o CD / DVD / Disco blu-ray / pendrive USB e executar o comando apt-cdrom:

apt-cdrom add

Para citar a página man do apt-cdrom (8):

  • O apt-cdrom é usado para adicionar um novo CD-ROM à lista de fontes disponíveis do APT. Identifica a estrutura do disco, pode corrigir vários possíveis erros de gravação e verifica os arquivos de índice.

  • É necessário usar o apt-cdrom para adicionar CDs ao sistema APT. Esta ação não pode ser executada manualmente. Além disso, quando forem usados conjuntos multi-CD, cada disco tem que ser inserido e verificado separadamente para prevenir possíveis falhas de gravação.

Em seguida, executar estes dois comandos para atualizar o sistema:

apt update
apt full-upgrade

14.11. Limpeza automática de processos remanescentes

O killer é um script em perl que aniquila trabalhos em segundo plano. Trabalhos em segundo plano são definidos como processos pertencentes a usuários que não estão atualmente em sessão na máquina. É executado por uma tarefa agendada (cron job) uma vez por hora.

14.12. Instalação automática de atualizações de segurança

O unattended-upgrades é um pacote (programa) Debian que instala automaticamente as atualizações de segurança (e outras). Se instalado, o pacote é pré-configurado para instalar automaticamente as atualizações de segurança. Os registros de alterações (logs) estão disponíveis em /var/log/unattended-upgrades/; também podem sempre ser consultados os arquivos /var/log/dpkg.log e /var/log/apt/.

14.13. Encerramento automático de máquinas durante a noite

É possível economizar energia e dinheiro desligando automaticamente as máquinas clientes à noite e voltando a ligá-las novamente pela manhã. O pacote shutdown-at-night tenta desligar cada máquina de hora a hora a partir das 16:00, mas não as desligará se parecerem estar em uso. Em cada máquina, o programa tenta passar informação à BIOS para ligar a máquina por volta das 07:00 da manhã e o servidor principal vai tentar ligar todas as máquinas a partir das 06:30 enviando pacotes wake-on-lan. Estes horários podem ser alterados nos crontabs das máquinas individuais.

Algumas considerações a se levar em conta ao estabelecer este procedimento:

  • Os clientes não devem ser desligados quando alguém os está usando. Isto é assegurado pela verificação do resultado de who e, como caso especial, pela verificação de que o comando de conexão SSH funciona com os clientes dependentes X2Go.

  • Para evitar queimar os fusíveis elétricos / disparar os disjuntores, é boa prática garantir que os clientes não iniciem todos ao mesmo tempo.

  • Há dois métodos diferentes para reativar os clientes. Um usa um recurso da BIOS e requer um relógio interno funcional e com a hora certa, assim como uma placa-mãe e uma versão da BIOS compatíveis com o nvram-wakeup; o outro requer que os clientes sejam compatíveis com o Wake-on-LAN e que o servidor tenha informação sobre todos os clientes a serem reativados.

14.13.1. Como configurar o encerramento à noite

Em clientes que devem ser desligados à noite, execute touch /etc/shutdown-at-night/shutdown-at-night ou adicione o nome do host (ou seja, o resultado de 'uname -n' no cliente) ao grupo de rede "shutdown-at-night-hosts". A adição de host ao grupo de rede no LDAP pode ser feita usando a ferramenta web GOsa². Os clientes podem precisar de ter o Wake-on-LAN configurado na BIOS. É importante também que os comutadores (switches) e roteadores utilizados entre o servidor de Wake-on-LAN (WOL) e os clientes passem os pacotes WOL para os clientes, mesmo que os clientes estejam desligados. Alguns comutadores não passam os pacotes aos clientes que faltem na tabela ARP do comutador, e isso bloqueia os pacotes WOL.

Para ativar o Wake-on-LAN no servidor, adicione os clientes a /etc/shutdown-at-night/clients, com uma linha por cliente, primeiro o endereço IP, seguido pelo endereço MAC (endereço ethernet), separado por um espaço; ou crie um script /etc/shutdown-at-night/clients-generator para gerar a lista de clientes em tempo real.

Um exemplo /etc/shutdown-at-night/clients-generator para uso com o sitesummary:

  #!/bin/sh
  PATH=/usr/sbin:$PATH
  export PATH
  sitesummary-nodes -w

Se o grupo de rede for usado para ativar o desligar à noite nos clientes, uma alternativa é este script usar a ferramenta netgroup do pacote ng-utils:

  #!/bin/sh
  PATH=/usr/sbin:$PATH
  export PATH
  netgroup -h shutdown-at-night-hosts

14.14. Acessar servidores Debian-Edu localizados atrás de um firewall

Para acessar a partir da Internet a máquinas protegidas por um firewall, considerar a instalação do pacote autossh. Este pacote pode ser usado para configurar um túnel SSH para uma máquina ligada à Internet. O servidor por trás da barreira/firewall fica acessível a partir dessa máquina através do túnel SSH.

14.15. Instalação de máquinas adicionais para serviços, para a distribuição da carga do servidor principal

Na instalação predefinida, todos os serviços são executados no servidor principal, nome de máquina tjener. Para simplificar a transferência da execução de alguns serviços para outra máquina, está disponível o perfil de instalação Mínimo. A instalação do sistema com este perfil numa máquina que faça parte da rede Debian Edu, fará com que a máquina fique sem qualquer serviço em execução (até que lhe seja atribuído algum).

Estes são os passos necessários para configurar uma máquina dedicada a alguns serviços:

  • escolher o perfil mínimo durante a instalação

  • instalar os pacotes correspondentes ao serviço

  • configurar o serviço

  • desativar o serviço no servidor principal

  • atualizar o DNS (via LDAP/GOsa²) no servidor principal

14.16. Guias (HowTos) de wiki.debian.org

FIXME: The HowTos from https://wiki.debian.org/DebianEdu/HowTo/ are either user- or developer-specific. Let's move the user-specific HowTos over here (and delete them over there)! (But first ask the authors (see the history of those pages to find them) if they are fine with moving the howto and putting it under the GPL.)

15. Instruções de administração avançada

Neste capítulo são descritas tarefas de administração avançada.

15.1. Customizações do usuário com GOsa²

15.1.1. Criar usuários em grupos por ano

Neste exemplo pretende-se criar usuários em grupos por ano, com diretórios home comuns para cada grupo (home0/2024, home0/2026, etc). Pretende-se criar os usuários através da importação de CSV.

(como root no servidor principal)

  • Criar os diretórios de grupo por ano que forem necessários

mkdir /skole/tjener/home0/2024

(como primeiro usuário no GOsa)

  • Departamento

Menu principal: ir para 'Estrutura de diretórios', clicar no departamento 'Alunos'. O campo 'Base' deve mostrar '/Alunos'. No campo 'Ações' da caixa suspensa, escolher 'Criar' / 'Departamento'. Preencher os valores dos campos Nome (2024) e Descrição (alunos formados em 2024), deixar o campo Base como está (deve ser '/Alunos'). Guardar clicando em 'Ok'. Agora o novo departamento (2024) deve aparecer abaixo de /Alunos. Clicar para abrir.

  • Grupo

Escolher 'Grupos' no menu principal; 'Ações'/Criar/Grupo. Introduzir o nome do grupo (deixar 'Base' como está, deve ser /Alunos/2024) e pressionar 'Ok' para salvar.

  • Modelo

Escolher 'usuários' no menu principal. No campo Base, mudar para 'Alunos'. Deve aparecer uma entrada Novo Aluno; clique para abrir. Este é o modelo 'alunos', não é um usuário. Uma vez que terá de ser criado um modelo com base neste (para poder ser feita a importação csv), deve ser tomada nota de todas as entradas que aparecem nos separadores Genéricos e POSIX, talvez fazendo capturas de tela, para que as informações necessárias ao novo modelo possam ser preparadas.

Agora, mudar para /Students/2024 no campo Base; escolher Criar/Modelo e começar a preencher com os valores desejados, primeiro na aba Genérico (adicionar também o novo grupo 2024 em Grupos, também); depois adicionar a conta POSIX.

  • Importar usuários

Escolher o novo modelo ao fazer a importação de CSV; é recomendável testá-lo com alguns usuários.

15.2. Outras personalizações do usuário

15.2.1. Criação de pastas nos diretórios home de todos os usuários

Com este script, o administrador pode criar uma pasta no diretório pessoal de cada usuário e definir permissões de acesso e propriedade.

No exemplo abaixo com grupo=professores e permissões=2770 um usuário pode entregar um trabalho guardando o arquivo na pasta "trabalhos", à qual os professores têm acesso de escrita para poderem fazer comentários.

 #!/bin/bash
 home_path="/skole/tjener/home0"
 shared_folder="assignments"
 permissions="2770"
 created_dir=0
 for home in $(ls $home_path); do
    if [ ! -d "$home_path/$home/$shared_folder" ]; then
        mkdir $home_path/$home/$shared_folder
        chmod $permissions $home_path/$home/$shared_folder
        user=$home
        group=teachers
        chown $user:$group $home_path/$home/$shared_folder
        ((created_dir+=1))
    else
        echo -e "the folder $home_path/$home/$shared_folder already exists.\n"
    fi
 done
 echo "$created_dir folders have been created"

15.3. Usar um servidor de armazenamento dedicado

Seguir estes passos para configurar um servidor de armazenamento dedicado, para diretórios home dos usuários e possivelmente outros dados.

  • Adicionar um novo sistema de tipo servidor utilizando o GOsa² como descrito no capítulo Primeiros passos deste manual.

    • Este exemplo usa 'nas-server.intern' como nome do servidor. Uma vez configurado o 'nas-server.intern', verificar se os pontos de exportação NFS do novo servidor de armazenamento são exportados para as sub-redes ou máquinas a que se apliquem:

          root@tjener:~# showmount -e nas-server
          Export list for nas-server:
          /storage         10.0.0.0/8
          root@tjener:~#

      Neste caso tudo o que estiver na rede principal tem acesso ao export /storage. (Isto pode ser restringido a grupos de rede ou a endereços IP específicos para limitar o acesso ao NFS como é feito no arquivo tjener:/etc/exports.)

  • Adicionar informação de montagem automática sobre o 'nas-server.intern' no LDAP, para permitir que todos os clientes montem automaticamente a nova exportação requerida.

    • Isto não pode ser feito através do GOsa², porque falta um módulo para montagem automática. Em vez disso, usar o ldapvi e adicionar os objetos LDAP necessários usando um editor.

      ldapvi --ldap-conf -ZD '(cn=admin)' -b ou=automount,dc=skole,dc=skolelinux,dc=no

      Quando o editor aparecer, adicionar os objetos LDAP seguintes na parte inferior do documento. (A parte "/&" no último objeto LDAP é um carácter polivalente que corresponde a tudo o que o 'nas-server.intern' exporta, evitando a necessidade de listar pontos de montagem individuais no LDAP)

          add cn=nas-server,ou=auto.skole,ou=automount,dc=skole,dc=skolelinux,dc=no
          objectClass: automount
          cn: nas-server
          automountInformation: -fstype=autofs --timeout=60 ldap:ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no
       
          add ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no
          objectClass: top
          objectClass: automountMap
          ou: auto.nas-server
       
          add cn=/,ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no
          objectClass: automount
          cn: /
          automountInformation: -fstype=nfs,tcp,rsize=32768,wsize=32768,rw,intr,hard,nodev,nosuid,noatime nas-server.intern:/&
  • Adicionar as entradas aplicáveis em tjener.intern:/etc/fstab, porque tjener.intern não usa a montagem automática para evitar montagens sucessivamente falhadas:

    • Criar os diretórios de pontos de montagem usando mkdir; editar '/etc/fstab' como adequado e executar mount -a para montar os novos recursos.

Agora, os usuários devem poder acessar diretamente os arquivos em 'nas-server.intern', bastando abrir o diretório '/tjener/nas-server/storage/' utilizando qualquer aplicação em qualquer estação de trabalho, cliente enxuto LTSP ou servidor LTSP.

15.4. Restringir o acesso de login por SSH

Há várias formas de restringir o acesso por SSH. Seguem algumas abaixo.

15.4.1. Configuração sem clientes LTSP

Se não forem usados clientes LTSP, uma solução simples é criar um novo grupo (digamos sshusers) e adicionar uma linha ao arquivo /etc/ssh/sshd_config da máquina. Os membros do grupo sshusers, e apenas eles, poderão então entrar na máquina via ssh a partir de qualquer lugar.

Gerenciar este caso através do GOsa é bastante simples:

  • Criar um grupo sshusers no nível base (onde já aparecem outros grupos relacionados, com a gestão do sistema, como gosa-admins).

  • Adicionar usuários ao novo grupo sshusers.

  • Adicionar AllowGroups sshusers a /etc/ssh/sshd_config.

  • Executar service ssh restart.

15.4.2. Configuração com clientes LTSP

A configuração predefinida de cliente LTSP sem disco não faz uso de conexões SSH. Basta atualizar a imagem SquashFS no servidor LTSP respectivo, após a configuração do SSH ter sido alterada.

Os clientes dependentes X2Go utilizam conexões SSH com o servidor LTSP respectivo. Então, é necessária uma abordagem diferente, utilizando o PAM.

  • Ativar pam_access.so no arquivo /etc/pam.d/sshd do servidor LTSP.

  • Configurar o arquivo /etc/security/access.conf para permitir ligações a partir de qualquer lugar para (por exemplo) os usuários alice, jane, bob e john, e para todos os outros usuários somente a partir das sub-redes internas, adicionando estas linhas:

+ : alice jane bob john : ALL
+ : ALL : 10.0.0.0/8 192.168.0.0/24 192.168.1.0/24
- : ALL : ALL
#

Se apenas forem utilizados servidores LTSP dedicados, a rede 10.0.0.0/8 poderá ser descartada para desativar o acesso interno via SSH. Nota: alguém que se conecte a sua máquina a qualquer rede de clientes LTSP dedicada também terá acesso SSH ao(s) servidor(es) LTSP.

15.4.3. Uma nota para situações mais complexas

Se os clientes X2Go estiverem ligados à rede principal 10.0.0.0/8, as coisas serão ainda mais complicadas e talvez apenas uma sofisticada configuração de DHCP (em LDAP), verificando o identificador do fornecedor (vendor-class-identifier) juntamente com a configuração PAM apropriada, permita desativar o acesso interno por SSH.

16. Instruções para o ambiente de trabalho

16.1. Preparar um ambiente de trabalho multilíngue

Para usar vários idiomas, estes passos precisam ser realizados:

  • Executar dpkg-reconfigure locales (como root) e escolher os idiomas (variantes UTF-8).

  • Executar estes comandos como root para instalar os pacotes necessários:

    •    apt update
         /usr/share/debian-edu-config/tools/install-task-pkgs
         /usr/share/debian-edu-config/tools/improve-desktop-l10n

Com os ambientes de trabalho Xfce, LXDE e LXQt, os usuários podem então escolher o idioma através do gerenciador de tela LightDM (apresenta-se como tela de entrada), antes de logarem no sistema. Os ambientes GNOME e KDE vêm ambos com as suas próprias ferramentas internas de configuração de localização (região e idioma), pelo que devem ser estas as usadas. O ambiente MATE usa a tela de entrada Arctica sobre o LightDM, sem um seletor de idioma. Executar apt purge arctica-greeter para obter a tela de entrada do LightDM.

16.2. Reproduzir DVDs

Para reproduzir a maioria dos DVDs comerciais é necessária a biblioteca libdvdcss. Por razões legais, esta não vem incluída no Debian (Edu). Se do ponto de vista legal o uso estiver autorizado, podem ser construídos pacotes localmente usando o pacote Debian libdvd-pkg; garantir que contrib esteja ativado em /etc/apt/sources.list.

apt update
apt install libdvd-pkg

Atender às solicitações do debconf e executar dpkg-reconfigure libdvd-pkg.

16.3. Fontes manuscritas

O pacote fonts-linex (que é instalado de origem) instala a fonte "Abecedario", uma boa fonte manuscrita para crianças. A fonte tem várias formas para uso por crianças: pontilhada e com linhas.

17. Instruções para clientes numa rede

17.1. Introdução a clientes dependentes e estações de trabalho sem disco

Um termo genérico para clientes dependentes e estações de trabalho sem disco é cliente LTSP.

Começando com Bullseye, o LTSP é bem diferente das versões anteriores. Isso diz respeito tanto à configuração quanto à manutenção.

  • Como uma diferença principal, a imagem SquashFS para estações de trabalho sem disco agora é gerada a partir do sistema de arquivos do servidor LTSP por padrão. Isso acontece em um servidor combinado na primeira inicialização, levando algum tempo.

  • Thin clients não fazem mais parte do LTSP. O Debian Edu usa o X2Go para ainda suportar o uso de thin client.

  • No caso de um servidor LTSP separado ou adicional, as informações necessárias para configurar o ambiente do cliente LTSP não estão completas no momento da instalação. A configuração pode ser feita uma vez que o sistema tenha sido adicionado com GOsa².

Para informação sobre LTSP em geral, consultar o site do LTSP. Em sistemas com perfil servidor LTSP, o comando man ltsp dá mais informações.

Observe que a ferramenta ltsp do LTSP deve ser usada com cuidado. Por exemplo, ltsp image / falharia ao gerar a imagem SquashFS no caso de máquinas Debian (estas têm uma partição /boot separada por padrão), ltsp ipxe falharia ao gerar o menu iPXE corretamente (devido ao suporte a thin client do Debian Edu), e ltsp initrd atrapalharia completamente a inicialização do cliente LTSP.

A ferramenta debian-edu-ltsp-install é um script wrapper para ltsp image, ltsp initrd e ltsp ipxe. Ele é usado para configurar e configurar estações de trabalho sem disco e suporte para thin client (PC de 64 bits e 32 bits). Veja man debian-edu-ltsp-install ou o conteúdo do script para ver como funciona. Toda a configuração está contida no próprio script (documentos AQUI) para facilitar os ajustes específicos do site.

Exemplos de como usar o script wrapper debian-edu-ltsp-install:

  • debian-edu-ltsp-install --diskless_workstation yes atualiza a imagem SquashFS da estação de trabalho sem disco (sistema de arquivos do servidor).

  • debian-edu-ltsp-install --diskless_workstation yes --thin_type bare cria uma estação de trabalho sem disco e suporte para thin client de 64 bits.

  • debian-edu-ltsp-install --arch i386 --thin_type bare cria suporte adicional para thin client de 32 bits (imagem chroot e SquashFS).

Além da opção bare (o sistema cliente dependente mais básico), também estão disponíveis as opções display e desktop. Os clientes dependentes do tipo display têm um botão de desligar, enquanto que os do tipo desktop executam o Firefox ESR em modo quiosque no próprio cliente (é necessária mais memória RAM local e mais potência de CPU, mas reduz a carga no servidor).

A ferramenta debian-edu-ltsp-ipxe é um script wrapper para ltsp ipxe. Ele garante que o arquivo /srv/tftp/ltsp/ltsp.ipxe seja específico do Debian Edu. O comando precisa ser executado após os itens relacionados ao menu iPXE (como tempo limite do menu ou configurações de inicialização padrão) na seção /etc/ltsp/ltsp.conf [server] terem sido modificados.

A ferramenta debian-edu-ltsp-initrd é um script wrapper para ltsp initrd. Ele garante que um initrd específico do caso de uso (/srv/tftp/ltsp/ltsp.img) seja gerado e então movido para o diretório relacionado ao caso de uso. O comando precisa ser executado depois que a seção /etc/ltsp/ltsp.conf [clients] for modificada.

A ferramenta debian-edu-ltsp-chroot é um substituto para a ferramenta ltsp-chroot fornecida com o LTSP5. Ele é usado para executar comandos em um chroot LTSP especificado (como, por exemplo, instalar, atualizar e remover pacotes).

Estação de trabalho sem disco

As estações de trabalho sem disco executam todo o software localmente. As máquinas não têm um disco rígido local e iniciam diretamente do servidor LTSP. O software é administrado e mantido no servidor LTSP, mas é executado nas estações de trabalho sem disco. Os diretórios pessoais e as configurações do sistema também são armazenados no servidor. As estações de trabalho sem disco são uma excelente forma de reutilizar hardware antigo (mas poderoso) com os mesmos baixos custos de manutenção típicos dos clientes dependentes.

Ao contrário das estações de trabalho sem disco, as estações de trabalho funcionam sem necessidade de serem adicionadas através do GOsa².

Cliente dependente

Uma configuração de 'thin client' (cliente dependente) permite que um PC comum funcione como um (X-)terminal, onde todos os softwares são executados no servidor LTSP. Isso significa que esta máquina inicializa via PXE sem usar um disco rígido cliente local e que o servidor LTSP precisa ser uma máquina poderosa.

O Debian Edu ainda suporta o uso de clientes dependentes, para permitir o uso de computadores muito antigos.

Como clientes leves usam X2Go, os usuários devem desabilitar composição para evitar artefatos de display. No caso padrão, (área de trabalho Xfce): Settings -> Window Manager Tweaks -> Compositor.

firmware de cliente LTSP

O boot (inicialização) do cliente LTSP falha se a interface de rede do cliente exigir um firmware não livre. Pode ser usada uma instalação PXE para resolver problemas de inicialização pela rede de uma máquina; se o Instalador do Debian indicar que está em falta um arquivo XXX.bin, então tem que ser adicionado o firmware não-livre ao initrd do servidor LTSP.

Proceda assim no servidor LTSP:

  • Primeiro obtenha informações sobre pacotes de firmware, execute:

apt update && apt search ^firmware-
  • Decida qual pacote deve ser instalado para a(s) interface(s) de rede, provavelmente será firmware-linux, execute:

apt -y -q install firmware-linux
  • Atualize a imagem do SquashFS para estações de trabalho sem disco, execute:

debian-edu-ltsp-install --diskless_workstation yes
  • Caso sejam usados thin clients X2Go, execute:

/usr/share/debian-edu-config/tools/ltsp-addfirmware -h
  • e prossiga de acordo com as informações de uso.

    Em seguida, atualize a imagem do SquashFS; por exemplo. para o chroot /srv/ltsp/x2go-bare-amd64, execute:

ltsp image x2go-bare-amd64

17.1.1. Seleção do tipo de cliente LTSP

Cada servidor LTSP tem duas interfaces ethernet: uma configurada na sub-rede principal 10.0.0.0/8 (que é partilhada com o servidor principal), e outra formando uma sub-rede local (uma sub-rede separada para cada servidor LTSP).

Em ambos os casos, pode ser escolhido estação de trabalho sem disco ou cliente dependente a partir do menu iPXE. Após 5 segundos de espera, a máquina arrancará como estação de trabalho sem disco.

O item de menu de inicialização padrão do iPXE e seu tempo limite padrão podem ser configurados em /etc/ltsp/ltsp.conf. Um valor de tempo limite de -1 é usado para ocultar o menu. Execute debian-edu-ltsp-ipxe para que as alterações tenham efeito.

17.1.2. Usar uma rede de clientes LTSP diferente

Se uma máquina for instalada usando o perfil LTSP, a rede cliente LTSP 192.168.0.0/24 é a predefinida. Se forem utilizados muitos clientes LTSP ou se servidores LTSP diferentes tiverem de servir tanto ambientes chroot i386 como amd64, a segunda rede pré-configurada, a 192.168.1.0/24, também pode ser utilizada. Editar o arquivo /etc/network/interfaces e ajustar as configurações da eth1 conforme necessário. Use o ldapvi ou qualquer outro editor LDAP para verificar as configurações DNS e DHCP.

17.1.3. Adicionar o LTSP chroot para suportar clientes de PCs de 32 bits

Para criar a imagem chroot e SquashFS, execute:

debian-edu-ltsp-install --arch i386 --thin_type bare

Veja man debian-edu-ltsp-install para detalhes sobre os tipos de thin client.

17.1.4. Configuração de cliente LTSP

Executar man ltsp.conf para ter uma visão das opções de configuração disponíveis. Ou leia a informação online: https://ltsp.org/man/ltsp.conf/

Adicione itens de configuração à seção /etc/ltsp/ltsp.conf [clients]. Para que as alterações entrem em vigor, execute:

debian-edu-ltsp-initrd

17.1.5. Som em clientes LTSP

Os clientes LTSP usam áudio em rede para passar o áudio do servidor para os clientes.

As estações de trabalho sem disco LTSP tratam o áudio localmente.

17.1.6. Acesso a unidades USB e a CD-ROMs/DVDs

Quando os usuários inserem uma unidade USB ou um DVD / CD-ROM numa estação de trabalho sem disco, aparece um ícone na área de trabalho, permitindo acesso ao conteúdo como em uma estação de trabalho.

Quando os usuários inserem uma unidade USB em um cliente leve X2Go de tipo simples (instalação de servidor combinado padrão), as unidades se montam quando se faz duplo-clique no ícone da pasta na área de trabalho Xfce. Dependendo do conteúdo multimídia, pode passar algum tempo até que o conteúdo apareça no gerenciador de arquivos.

17.1.6.1. Um aviso sobre mídias removíveis em servidores LTSP

Quando inseridas em um servidor LTSP, as unidades USB e outras mídias removíveis fazem com que o ícone da pasta relacionada apareça nas áreas de trabalho de clientes LTSP. Usuários remotos podem acessar os arquivos.

17.1.7. Utilizar impressoras ligadas a clientes LTSP

  • Ligar a impressora à máquina cliente LTSP (são suportados tanto a porta USB como a porta paralela).

  • Configurar o cliente LTSP através do GOsa² para utilizar um endereço IP fixo.

  • Configure a impressora usando a interface web https://www.intern:631 no servidor principal; escolha o tipo de impressora de rede AppSocket/HP JetDirect (para todas as impressoras independentemente da marca ou modelo) e configure socket://<LTSP client ip>:9100 como conexão URI.

17.2. Modificar a configuração do PXE

PXE é o acrônimo de Preboot eXecution Environment (Ambiente de Pré-execução). O Debian Edu usa agora a implementação iPXE para uma integração mais fácil com o LTSP.

17.2.1. Configurar o menu PXE

O item de menu do iPXE relativo às instalações do sistema é gerado usando o script debian-edu-pxeinstall. Este script permite que algumas configurações sejam substituídas usando o arquivo /etc/debian-edu/pxeinstall.conf com valores de substituição.

17.2.2. Configurar a instalação PXE

A instalação PXE assumirá o idioma, o esquema do teclado e as configurações do espelho (mirror) a partir das configurações usadas na instalação do servidor principal, e as outras questões serão feitas durante a instalação (perfil, participação no popcon, particionamento e senha de root). Para evitar essas perguntas, o arquivo /etc/debian-edu/www/debian-edu-install.dat pode ser modificado para fornecer respostas pré-selecionadas aos valores do debconf. Alguns exemplos de valores do debconf podem ser consultados em /etc/debian-edu/wwww/debian-edu-install.dat. Suas alterações serão perdidas assim que for usado o debian-edu-pxeinstall para recriar o ambiente de instalação PXE. Para anexar itens do debconf a /etc/debian-edu/wwww/debian-edu-install.dat durante a recriação através do debian-edu-pxeinstall, adicione o arquivo /etc/debian-edu/wwww/debian-edu-install.dat.local com os valores debconf.

Mais informações sobre modificar instalações PXE podem ser encontradas no capítulo Instalação.

17.2.3. Adicionar repositórios personalizados a instalações PXE

Para adicionar um repositório personalizado, adicione a /etc/debian-edu/wwww/debian-edu-install.dat.local algo como:

d-i     apt-setup/local1/repository string      http://example.org/debian stable main contrib non-free
d-i     apt-setup/local1/comment string         Example Software Repository
d-i     apt-setup/local1/source boolean         true
d-i     apt-setup/local1/key    string          http://example.org/key.asc

e em seguida execute /usr/sbin/debian-edu-pxeinstall uma vez.

17.3. Alterar as definições de rede

O pacote debian-edu-config inclui uma ferramenta que ajuda a mudar a rede de 10.0.0.0/8 para outra. Ver /usr/share/debian-edu-config/tools/subnet-change. Destina-se a ser usado logo após a instalação no servidor principal, para atualizar o LDAP e outros arquivos que têm de ser editados para alterar a sub-rede.

Notar que mudar para uma das sub-redes já usadas por outros elementos no Debian Edu não irá funcionar. As sub-redes 192.168.0.0/24 e 192.168.1.0/24 já estão configuradas como redes clientes LTSP. A mudança para estas sub-redes requer a edição manual dos ficheiros de configuração para remover entradas duplicadas.

Não há forma fácil de alterar o nome de domínio DNS. Alterá-lo exigiria mudanças tanto na estrutura LDAP como em vários arquivos no sistema de arquivos do servidor principal. Também não há forma fácil de alterar o nome da máquina e o nome DNS do servidor principal (tjener.intern). Para isso, também seriam necessárias alterações no LDAP e nos arquivos do servidor principal e do sistema de arquivos do cliente. A configuração do Kerberos também teria de ser alterada, em ambos os casos.

17.4. Área de trabalho remota

Escolher o perfil Servidor LTSP ou o perfil Servidor combinado faz instalar também os pacotes xrdp e x2goserver.

17.4.1. Xrdp

O Xrdp utiliza o Protocolo Remote Desktop para apresentar uma tela de acesso gráfico a um cliente remoto. Os usuários do Microsoft Windows podem se conectar ao servidor LTSP executando o xrdp sem instalar software adicional - iniciam simplesmente uma ligação remota de área de trabalho na sua máquina Windows e estabelecem a conexão.

Adicionalmente, o xrdp pode se conectar a um servidor VNC ou a outro servidor RDP.

Xrdp vem sem suporte a som; para compilar (ou re-compilar) os módulos necessários pode-se utilizar este script. Por favor, tenha em conta que o usuário deve ser o root ou um membro do grupo sudo. Ademais, /etc/apt/sources.list deve conter uma linha deb-src válida.

 #!/bin/bash
 set -e
  if [[ $UID -ne 0 ]] ; then  
     if ! groups | egrep -q sudo ; then
         echo "ERROR: You need to be root or a sudo group member."
         exit 1
     fi
 fi
 if ! egrep -q  ^deb-src /etc/apt/sources.list ; then
     echo "ERROR: Make sure /etc/apt/sources.list contains a deb-src line."
     exit 1
 fi
 TMP=$(mktemp -d)
 PULSE_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' pulseaudio)"
 XRDP_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' xrdp)"
 sudo apt -q update
 sudo apt -q install dpkg-dev
 cd $TMP
 apt -q source pulseaudio xrdp
 sudo apt -q build-dep pulseaudio xrdp
 cd pulseaudio-$PULSE_UPSTREAM_VERSION/
 ./configure
 cd $TMP/xrdp-$XRDP_UPSTREAM_VERSION/sesman/chansrv/pulse/
 sed -i 's/^PULSE/#PULSE/' Makefile
 sed -i "/#PULSE_DIR/a \
 PULSE_DIR = $TMP/pulseaudio-$PULSE_UPSTREAM_VERSION" Makefile
 make
 sudo cp *.so /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/
 sudo chmod 644 /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/module-xrdp*
 sudo service xrdp restart

17.4.2. X2Go

O X2Go permite acessar um ambiente de trabalho gráfico no servidor LTSP, tanto através de conexões de baixa largura de banda como de alta largura de banda, a partir de um PC com Linux, Windows ou MacOS. É necessário software adicional no lado do cliente. Para mais informações, consultar o wiki X2Go.

Notar que se for usado o X2Go será melhor remover o pacote killer no servidor LTSP. Ver 890517.

17.4.3. Clientes de área de trabalho remota disponíveis

  • O freerdp-x11 é instalado por padrão e é capaz de RDP e VNC.

    • RDP - a maneira mais fácil de acessar o servidor de terminal Windows. Um pacote cliente alternativo é rdesktop.

    • O cliente VNC (Virtual Network Computer) dá acesso ao Skolelinux remotamente. Um pacote cliente alternativo é xvncviewer.

  • O x2goclient é um cliente gráfico para o sistema X2Go (não instalado de origem). Pode ser utilizado para conectar a sessões em execução e para iniciar novas sessões.

17.5. Clientes sem fio

O servidor freeRADIUS pode ser usado para estabelecer conexões de rede seguras. Para isto funcionar, instale os pacotes freeradius e winbind no servidor principal e execute /usr/share/debian-edu-config/tools/setup-freeradius-server para gerar uma configuração básica, específica de cada caso concreto. Desta forma, ambos os métodos EAP-TTLS/PAP e PEAP-MSCHAPV2 são ativados. Toda a configuração está contida no próprio script, para facilitar os ajustes específicos para cada caso. Para mais informações, veja o site do FreeRADIUS.

É necessária configuração adicional para

  • ativar/desativar pontos de acesso através de uma chave secreta partilhada (/etc/freeradius/3.0/customers.conf).

  • permitir/negar o acesso sem fios utilizando grupos LDAP (/etc/freeradius/3.0/usuarios).

  • combinar pontos de acesso em grupos dedicados (/etc/freeradius/3.0/huntgroups)

Os dispositivos de usuário final têm de ser configurados corretamente; estes dispositivos têm de ser protegidos por PIN para uso de métodos EAP (802.1x). Os usuários precisam ser alertados para instalarem o certificado de autoridade certificadora (CA) do freeradius nos seus dispositivos, para terem a certeza de que estão se conectando ao servidor correto. Desta forma, a senha não pode ser capturada no caso de contato com um servidor malicioso. O certificado específico do site está disponível na rede interna.

Notar que a configuração de dispositivos de usuário final é um verdadeiro desafio, devido à variedade de dispositivos existentes. Para dispositivos Windows pode ser criado um script de instalação e para dispositivos Apple um arquivo mobileconfig. O certificado freeRADIUS CA pode ser integrado em ambos os casos, mas são necessárias ferramentas específicas do SO para criar os scripts.

17.6. Autorizar a máquina Windows com as credenciais do Debian Edu usando a extensão LDAP pGina

17.6.1. Adicionando usuário pGina no Debian Edu

Para poder utilizar pGina (ou qualquer outra aplicação de serviço de autenticação de terceiros) deve ter uma conta de usuário especial utilizada na busca no LDAP.

Adicionar un usuário especial, p.ex. pguser com senhapwd.777, em https://www/gosa website.

17.6.2. Instalar fork do pGina

Baixe e instale pGina 3.9.9.12 como software habitual. Leve em conta que o plugin LDAP persiste na pasta de plugins do pGina:

C:\Program Files\pGina.fork\Plugins\pGina.Plugin.Ldap.dll

17.6.3. Configurar pGina

Tendo em conta a configuração do Debian Edu, a conexão LDAP utiliza SSL pela porta 636.

Portanto, a configuração necessária em uma conexão pGina LDAP vem a seguir

(estes se armazenam em HKEY_LOCAL_MACHINE\SOFTWARE\pGina3.fork\Plugins\0f52390b-c781-43ae-bd62-553c77fa4cf7).

17.6.3.1. Seção principal do plugin LDAP
  • LDAP Host(s): 10.0.2.2 (ou qualquer outro com "espaço" como separador)

  • Porta LDAP: 636 (para conexão SSL)

  • Estouro de tempo: 10

  • Usar SSL: SIM (marcar a caixa de seleção)

  • Start TLS: NO (não marque a caixa de seleção)

  • Validar o Certificado do Servidor: NO (não marcar a caixa de verificação)

  • buscar no DN: uid=pguser,ou=people,ou=Students,dc=skole,dc=skolelinux,dc=no

    • ("pguser" é um usuário para autenticar no LDAP para buscar usuários na sessão de autenticação)

  • Senha de busca: pwd.777 (esta é a senha do "pguser")

17.6.3.2. Bloco de autenticação

Aba Bind:

  • Permitir senhas vazias: NÃO

  • Buscar por DN: SIM (marcar a caixa de seleção)

  • Filtro de busca: (&(uid=%u)(objectClass=person))

17.6.3.3. Bloco de autorização
  • Padrão: Permitir

  • Negar quando autenticação LDAP falhar: SIM (marcar a caixa de seleção)

  • Permitir quando o servir estiver indisponível: NÃO (não marcar a caixa de seleção, opcional)

17.6.3.4. Seleção de plugins
  • LDAP: Autenticação [v], Autorização [v], Roteador[v], Alterar senha [_]

  • Máquina local: Autenticação [v], Roteador [v] (marcar apenas as duas caixas de seleção)

18. O Samba no Debian Edu

O Samba está agora configurado como servidor independente com suporte smb2/SMB3 moderno e compartilhamento de usuários ativados; ver /etc/samba/smb-debian-edu.conf no servidor principal. Desta forma, os usuários não administradores podem efetuar compartilhamentos.

Para alterações específicas de cada escola, copiar /usr/share/debian-edu-config/smb.conf.edu-site para o diretório /etc/samba. As configurações em smb.conf.edu-site substituirão as contidas em smb-debian-edu.conf.

Observe:

  • Por predefinição, os diretórios 'home' de usuários (as pastas pessoais) são somente de leitura. Isso pode ser alterado em /etc/samba/smb.conf.edu-site .

  • As senhas do Samba são guardadas usando smbpasswd e são atualizadas no caso de uma senha ser alterada através do GOsa².

  • Para desativar temporariamente a conta Samba de um usuário, executar smbpasswd -d <nome de usuário>; para reativar, executar smbpasswd -e <nome de usuário>.

  • Executar chown root:teachers /var/lib/samba/usershares no servidor principal desativa os compartilhamentos de usuário para 'alunos'.

18.1. Acessar arquivos via Samba

As conexões aos diretórios dos usuários e compartilhamentos adicionais específicos de cada local (se configurados) são possíveis para dispositivos Linux, Android, macOS, iOS, iPadOS, Chrome OS e Windows. Outros dispositivos, como os baseados em Android, requerem um gerenciador de arquivos com suporte SMB2/SMB3, também conhecido como acesso LAN. O X-plore ou o Total Commander com plugin de LAN podem ser boas opções.

Executar \\tjener\<usuario> ou smb://tjener/<usuario> para acessar o diretório pessoal de um usuário.

19. Instruções para ensino e aprendizagem

Todos os pacotes Debian mencionados nesta seção podem ser instalados executando apt install <nome-do-pacote> (como root).

19.1. Ensino de Programação

stable/education-development é um meta pacote que 'depende' de um grande número de ferramentas de programação. Notar que este meta pacote ocupa quase 2 GiB de espaço em disco, se for instalado. Para mais informações (talvez para instalar apenas alguns dos pacotes), consultar a página Debian Edu pacotes de Desenvolvimento.

19.2. Acompanhamento dos alunos

Aviso: tem que ser respeitada a legislação sobre a monitorização e restrição de atividades dos usuários de computadores.

Algumas escolas usam ferramentas de controle, como o Epoptes ou o Veyon para supervisionar os seus alunos. Ver também os sites do Epoptes e do Veyon.

19.3. Restringir o acesso dos alunos à rede

Algumas escolas usam o Squidguard ou o e2guardian para restringir o acesso à Internet.

20. Instruções para os usuários

20.1. Alterar senhas

Cada usuário deve alterar a sua senha através do GOsa². Para isso, basta usar um navegador e ir a https://www/gosa/.

Usar o GOsa² para alterar a senha garante que as senhas para o Kerberos (krbPrincipalKey), para o LDAP (userPassword) e para o Samba (sambaNTPassword) sejam a mesma.

Também é possível alterar senhas usando o PAM na chamada de acesso do GDM (tela em modo de texto); mas isso não se aplica ao Samba nem ao GOsa² (LDAP), no caso aplica-se apenas ao Kerberos. Portanto, depois de uma alteração de senha na chamada de acesso em modo de texto, você também terá que fazer a alteração através do GOsa².

20.2. Executar aplicações java autônomas

As aplicações Java autônomas funcionam de imediato com o ambiente runtime OpenJDK Java.

20.3. Usando e-mail

Todos os usuários podem enviar e receber correio dentro da rede interna; são fornecidos certificados para permitir ligações seguras TLS. Para permitir o correio fora da rede interna, o administrador tem de configurar o servidor de correio exim4 para o adequar à situação local, começando com um dpkg-reconfigure exim4-config.

Todos os usuários que queiram usar o Thunderbird têm de configurar da forma que se segue. Para um usuário com nome de jdoe o endereço de e-mail interno é jdoe@postoffice.intern.

20.4. Thunderbird

  • Iniciar o Thunderbird

  • Clicar em 'Ignorar e usar o meu endereço de e-mail existente'

  • Introduzir o endereço de e-mail a ser usado

  • Não introduzir a senha, pois será utilizado o acesso único do Kerberos

  • Clicar em 'Continuar'

  • Para IMAP e SMTP, as configurações devem ser 'STARTTLS' e 'Kerberos/GSSAPI'; se não forem detectadas automaticamente, introduzir manualmente

  • Clicar em 'Concluído'

21. Contribuir

21.1. Contribuir online

Na maioria das vezes, a lista de discussão dos desenvolvedores é o principal meio de comunicação, embora haja reuniões mensais do IRC em #debian-edu no irc.debian.org e até mesmo, com menos frequência, encontros presenciais, onde os membros se encontram pessoalmente.

Uma boa forma de acompanhar o desenvolvimento do Debian Edu é subscrever na lista de correio commit mailinglist.

21.2. Reportar bugs

O Debian Edu usa o Sistema de Rastreio de Bugs do Debian Bug Tracking System (BTS). Ver comunicações de bugs existentes e pedidos de funcionalidades ou criar novas comunicações. Comunicar todos os bugs com referência ao pacote debian-edu-config. Ver em How To Report Bugs para mais informação sobre comunicação de deficiências no Debian Edu.

21.3. Redatores e tradutores de documentação

Este documento precisa da sua ajuda! Antes de mais, ainda não está terminado: se o ler, irá notar vários FIXMEs inseridos no texto. Se por acaso souber (um pouco) do que precisa de ser explicado em qualquer deles, por favor, considere compartilhar os seus conhecimentos conosco.

O texto original é um wiki e pode ser editado com um simples navegador da web. Basta ir a https://wiki.debian.org/DebianEdu/Documentation/Bookworm/ e é possível contribuir facilmente. Nota: é necessária uma conta de usuário para editar as páginas; você pode precisar primeiro criar uma conta de usuário do wiki.

Outra boa forma de contribuir e ajudar os usuários é através da tradução de software e documentação. Informação sobre como traduzir este documento pode ser encontrada no capítulo sobre traduções. Por favor, considere ajudar no esforço de tradução deste livro!

22. Apoio

22.1. Apoio baseado em voluntários

22.1.1. Em inglês

  • https://lists.debian.org/debian-edu - lista de e-mails para suporte

  • Canal IRC #debian-edu em irc.debian.org, principalmente relacionado a desenvolvimento; não espere suporte em tempo real, embora isso aconteça com frequência.

22.1.2. Em norueguês

  • #skolelinux em irc.debian.org - Canal IRC para apoiar usuários noruegueses

22.1.3. Em alemão

22.1.4. Em francês

22.2. Apoio profissional

Listas de empresas que fornecem suporte profissional estão disponíveis em https://wiki.debian.org/DebianEdu/Help/ProfessionalHelp.

23. Novas funcionalidades no Debian Edu Bookworm

23.1. Novas funcionalidades para o Debian Edu 12 Bookworm

23.1.1. Alterações na instalação

  • Nova versão do Instalador Debian usada no Debian Buster; para mais informação consultar o manual de instalação,

    • incluindo informações em non-free-firmware, que é uma nova seção em adição às bem conhecidas sções main, contrib e non-free.

  • Novas imagens baseadas no tema Emerald, o tema padrão do Debian 12 bookworm.

23.1.2. Atualizações de software

  • Tudo o que é novo no Debian 12 bookworm, por exemplo:

    • Núcleo (kernel) Linux 6.1

    • Ambientes de trabalho KDE Plasma 5.27, GNOME 43, Xfce 4.18, LXDE 11, MATE 1.26

    • LibreOffice 7.4

    • GOsa² 2.8

    • Ferramentas educativas GCompris 3.1

    • Criador de música Rosegarden 22.12

    • LTSP 23.01

    • O Debian Bookworm inclui mais de 64000 pacotes disponíveis para instalação.

23.1.3. Atualizações de documentação e tradução

  • Na instalação, a página de escolha de perfil está disponível em 29 idiomas, dos quais 22 estão totalmente traduzidos.

  • O Manual do Debian Edu Bookworm está totalmente traduzido para alemão, chinês simplificado, dinamarquês, espanhol, francês, holandês, italiano, japonês, norueguês (Bokmål), português brasileiro, português europeu, romeno e ucraniano.

23.1.4. Problemas conhecidos

24. Direitos de Autor e Autores

Este documento foi escrito e está protegido por direitos de autor por Holger Levsen (2007-2024), Petter Reinholdtsen (2001, 2002, 2003, 2004, 2007, 2008, 2009, 2010, 2012, 2014), Daniel Heß (2007), Patrick Winnertz (2007), Knut Yrvin (2007), Ralf Gesellensetter (2007), Ronny Aasen (2007), Morten Werner Forsbring (2007), Bjarne Nielsen (2007, 2008), Nigel Barker (2007), José L. Redrejo Rodríguez (2007), John Bildoy (2007), Joakim Seeberg (2008), Jürgen Leibner (2009, 2010, 2011, 2012, 2014), Oded Naveh (2009), Philipp Hübner (2009, 2010), Andreas Mundt (2010), Olivier Vitrat (2010, 2012), Vagrant Cascadian (2010), Mike Gabriel (2011), Justin B Rye (2012), David Prévot (2012), Wolfgang Schweer (2012-2024), Bernhard Hammes (2012), Joe Hansen (2015), Serhii Horichenko (2022) e Guido Berhörster (2023) e é publicado sob licença GPL2 ou qualquer versão posterior. Divirta-se!

Se adicionar conteúdo ao manual, , por favor, faça-o apenas se for o autor do conteúdo adicionado. Tem de o publicar nas mesmas condições do manual! Em seguida, adicione aqui o seu nome e mencione a publicação sob a licença "GPL v2 ou qualquer versão posterior".

25. Traduções deste documento

Há uma visão geral online das traduções empacotadas, atualizada com frequência.

25.1. Como traduzir este documento

25.1.1. Traduzir utilizando os arquivos PO

Como em muitos projetos de software livre, as traduções deste documento são mantidas em arquivos PO. Pode ser encontrada mais informação sobre o processo de tradução usando esses arquivos em /usr/share/doc/debian-edu-doc/README.debian-edu-bookworm-manual-translations.

25.1.2. Traduzir on-line utilizando um navegador da Web

Algumas equipes de tradução decidiram traduzir via Weblate. Para mais informação, veja https://hosted.weblate.org/projects/debian-edu-documentation/bookworm-manual/.

Solicita-se que quaisquer problemas sejam comunicados.

26. Apêndice A - A Licença Pública Geral GNU

26.1. Manual do Debian Edu 12 denominado Bookworm

Copyright (C) 2007-2021 Holger Levsen < holger@layer-acht.org > e outros; consultar Direitos de autor para ver a lista completa dos detentores de direitos autorais.

This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version.

This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.

26.2. GNU GENERAL PUBLIC LICENSE

Version 2, June 1991

Copyright (C) 1989, 1991 Free Software Foundation, Inc. 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301, USA. Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed.

26.3. TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION

0. This License applies to any program or other work which contains a notice placed by the copyright holder saying it may be distributed under the terms of this General Public License. The "Program", below, refers to any such program or work, and a "work based on the Program" means either the Program or any derivative work under copyright law: that is to say, a work containing the Program or a portion of it, either verbatim or with modifications and/or translated into another language. (Hereinafter, translation is included without limitation in the term "modification".) Each licensee is addressed as "you".

Activities other than copying, distribution and modification are not covered by this License; they are outside its scope. The act of running the Program is not restricted, and the output from the Program is covered only if its contents constitute a work based on the Program (independent of having been made by running the Program). Whether that is true depends on what the Program does.

1. You may copy and distribute verbatim copies of the Program's source code as you receive it, in any medium, provided that you conspicuously and appropriately publish on each copy an appropriate copyright notice and disclaimer of warranty; keep intact all the notices that refer to this License and to the absence of any warranty; and give any other recipients of the Program a copy of this License along with the Program.

You may charge a fee for the physical act of transferring a copy, and you may at your option offer warranty protection in exchange for a fee.

2. You may modify your copy or copies of the Program or any portion of it, thus forming a work based on the Program, and copy and distribute such modifications or work under the terms of Section 1 above, provided that you also meet all of these conditions:

  • a) You must cause the modified files to carry prominent notices stating that you changed the files and the date of any change.

    b) You must cause any work that you distribute or publish, that in whole or in part contains or is derived from the Program or any part thereof, to be licensed as a whole at no charge to all third parties under the terms of this License.

    c) If the modified program normally reads commands interactively when run, you must cause it, when started running for such interactive use in the most ordinary way, to print or display an announcement including an appropriate copyright notice and a notice that there is no warranty (or else, saying that you provide a warranty) and that users may redistribute the program under these conditions, and telling the user how to view a copy of this License. (Exception: if the Program itself is interactive but does not normally print such an announcement, your work based on the Program is not required to print an announcement.)

These requirements apply to the modified work as a whole. If identifiable sections of that work are not derived from the Program, and can be reasonably considered independent and separate works in themselves, then this License, and its terms, do not apply to those sections when you distribute them as separate works. But when you distribute the same sections as part of a whole which is a work based on the Program, the distribution of the whole must be on the terms of this License, whose permissions for other licensees extend to the entire whole, and thus to each and every part regardless of who wrote it.

Thus, it is not the intent of this section to claim rights or contest your rights to work written entirely by you; rather, the intent is to exercise the right to control the distribution of derivative or collective works based on the Program.

In addition, mere aggregation of another work not based on the Program with the Program (or with a work based on the Program) on a volume of a storage or distribution medium does not bring the other work under the scope of this License.

3. You may copy and distribute the Program (or a work based on it, under Section 2) in object code or executable form under the terms of Sections 1 and 2 above provided that you also do one of the following:

  • a) Accompany it with the complete corresponding machine-readable source code, which must be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,

    b) Accompany it with a written offer, valid for at least three years, to give any third party, for a charge no more than your cost of physically performing source distribution, a complete machine-readable copy of the corresponding source code, to be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,

    c) Accompany it with the information you received as to the offer to distribute corresponding source code. (This alternative is allowed only for noncommercial distribution and only if you received the program in object code or executable form with such an offer, in accord with Subsection b above.)

The source code for a work means the preferred form of the work for making modifications to it. For an executable work, complete source code means all the source code for all modules it contains, plus any associated interface definition files, plus the scripts used to control compilation and installation of the executable. However, as a special exception, the source code distributed need not include anything that is normally distributed (in either source or binary form) with the major components (compiler, kernel, and so on) of the operating system on which the executable runs, unless that component itself accompanies the executable.

If distribution of executable or object code is made by offering access to copy from a designated place, then offering equivalent access to copy the source code from the same place counts as distribution of the source code, even though third parties are not compelled to copy the source along with the object code.

4. You may not copy, modify, sublicense, or distribute the Program except as expressly provided under this License. Any attempt otherwise to copy, modify, sublicense or distribute the Program is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance.

5. You are not required to accept this License, since you have not signed it. However, nothing else grants you permission to modify or distribute the Program or its derivative works. These actions are prohibited by law if you do not accept this License. Therefore, by modifying or distributing the Program (or any work based on the Program), you indicate your acceptance of this License to do so, and all its terms and conditions for copying, distributing or modifying the Program or works based on it.

6. Each time you redistribute the Program (or any work based on the Program), the recipient automatically receives a license from the original licensor to copy, distribute or modify the Program subject to these terms and conditions. You may not impose any further restrictions on the recipients' exercise of the rights granted herein. You are not responsible for enforcing compliance by third parties to this License.

7. If, as a consequence of a court judgment or allegation of patent infringement or for any other reason (not limited to patent issues), conditions are imposed on you (whether by court order, agreement or otherwise) that contradict the conditions of this License, they do not excuse you from the conditions of this License. If you cannot distribute so as to satisfy simultaneously your obligations under this License and any other pertinent obligations, then as a consequence you may not distribute the Program at all. For example, if a patent license would not permit royalty-free redistribution of the Program by all those who receive copies directly or indirectly through you, then the only way you could satisfy both it and this License would be to refrain entirely from distribution of the Program.

If any portion of this section is held invalid or unenforceable under any particular circumstance, the balance of the section is intended to apply and the section as a whole is intended to apply in other circumstances.

It is not the purpose of this section to induce you to infringe any patents or other property right claims or to contest validity of any such claims; this section has the sole purpose of protecting the integrity of the free software distribution system, which is implemented by public license practices. Many people have made generous contributions to the wide range of software distributed through that system in reliance on consistent application of that system; it is up to the author/donor to decide if he or she is willing to distribute software through any other system and a licensee cannot impose that choice.

This section is intended to make thoroughly clear what is believed to be a consequence of the rest of this License.

8. If the distribution and/or use of the Program is restricted in certain countries either by patents or by copyrighted interfaces, the original copyright holder who places the Program under this License may add an explicit geographical distribution limitation excluding those countries, so that distribution is permitted only in or among countries not thus excluded. In such case, this License incorporates the limitation as if written in the body of this License.

9. The Free Software Foundation may publish revised and/or new versions of the General Public License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns.

Each version is given a distinguishing version number. If the Program specifies a version number of this License which applies to it and "any later version", you have the option of following the terms and conditions either of that version or of any later version published by the Free Software Foundation. If the Program does not specify a version number of this License, you may choose any version ever published by the Free Software Foundation.

10. If you wish to incorporate parts of the Program into other free programs whose distribution conditions are different, write to the author to ask for permission. For software which is copyrighted by the Free Software Foundation, write to the Free Software Foundation; we sometimes make exceptions for this. Our decision will be guided by the two goals of preserving the free status of all derivatives of our free software and of promoting the sharing and reuse of software generally.

NO WARRANTY

11. BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.

12. IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.

END OF TERMS AND CONDITIONS

27. Apêndice B - Recursos em versões mais antigas

27.1. Novas funcionalidades no Debian Edu 11, denominado Bullseye, lançado em 2021-08-14

27.1.1. Alterações na instalação

  • Nova versão do Instalador Debian do Debian bullseye; para mais informações, consultar o manual de instalação.

  • Novas imagens baseadas no tema Homeworld, o tema predefinido do Debian 11 (bullseye).

  • O Instalador Debian deixou de aceitar a configuração chroot LTSP. No caso de uma instalação de servidor combinado (perfis 'Servidor principal' + 'Servidor LTSP'), a configuração para suporte de clientes dependentes (agora usando o X2Go) acontece no final da instalação. A geração da imagem SquashFS para suporte de clientes sem disco (a partir do sistema de arquivos do servidor) é feita no primeiro boot (primeira inicialização).

    Para servidores LTSP separados, ambos os passos têm que ser feitos através de uma ferramenta, após o primeiro boot na rede interna quando estiver disponível informação suficiente a partir do servidor principal.

27.1.2. Atualizações de software

  • Tudo o que é novo no Debian 11 Bullseye, por exemplo:

    • Núcleo (kernel) Linux 5.10

    • Ambientes de trabalho KDE Plasma 5.20, GNOME 3.38, Xfce 4.16, LXDE 11, MATE 1.24

    • LibreOffice 7.0

    • Ferramentas educativas GCompris 1.0

    • Criador de música Rosegarden 20.12

    • LTSP 21.01

    • O Debian Bullseye tem mais de 59000 pacotes disponíveis para instalação.

27.1.3. Atualizações de documentação e tradução

  • Na instalação, a página de escolha de perfil está disponível em 29 idiomas, dos quais 22 estão totalmente traduzidos.

  • O Manual do Debian Edu Bullseye está totalmente traduzido para Holandês, Francês, Alemão, Italiano, Japonês, Norueguês Bokmål, Português e Chinês Simplificado.

    • Existem versões parcialmente traduzidas para dinamarquês e espanhol.

27.1.4. Outras alterações por comparação com a versão anterior

  • Melhor suporte a TLS/SSL na rede interna. Nos clientes, o certificado de raiz para o Debian Edu-CA está incluído no pacote de certificados para todo o sistema.

  • Novo LTSP, reescrito do zero, deixando de suportar clientes dependentes. Os clientes dependentes são agora suportados utilizando o X2Go.

  • O boot pela rede (Netboot) é feito utilizando o iPXE em vez do PXELINUX, para estar em conformidade com o LTSP.

  • O diretório /srv/tftp é agora usado como base do netboot, em vez do diretório /var/lib/tftpboot.

  • Após uma atualização para uma nova versão pontual de um sistema com perfil Servidor principal ou Servidor LTSP, tem que ser executado o debian-edu-pxeinstall para atualizar o ambiente de instalação PXE.

  • O DuckDuckGo é usado como motor de busca predefinido nos navegadores Firefox ESR e Chromium.

  • O Chromium usa o site web interno como página inicial padrão, em vez do Google.

  • Nas estações de trabalho sem disco, o Kerberos TGT está automaticamente disponível após o acesso.

  • Adicionada nova ferramenta para configurar o freeRADIUS com suporte para EAP-TTLS / PAP e PEAP-MSCHAPV2.

  • O Samba é configurado como "servidor autônomo" com suporte para SMB2/SMB3; deixou de haver a junção ao domínio.

  • A interface web GOsa² não mostra entradas relacionadas com o Samba porque os dados da conta Samba deixaram de ser guardados em LDAP.

  • É usado o modo gráfico do Instalador Debian para instalações PXE (em vez do modo de texto).

  • O servidor de impressão central CUPS é ipp.intern; os usuários pertencentes ao grupo printer-admins têm permissão para administrar o CUPS.

  • A administração do Icinga através da interface web está restrita ao primeiro usuário.

27.2. Informação histórica sobre versões mais antigas

Anteriormente foram lançadas as seguintes versões do Debian Edu:

  • Novas funcionalidades no Debian Edu 10+edu0, denominado Buster, lançado em 2019-07-06.

  • Debian Edu 9+edu0, denominado Stretch, lançado em 17-06-2017.

  • Debian Edu 8+edu0, denominado Jessie, lançado em 02-07-2016.

  • Debian Edu 7.1+edu0, denominado Wheezy, lançado em 28-09-2013.

  • Debian Edu 6.0.7+r1, denominado "Squeeze", lançado em 03-03-2013.

  • Debian Edu 6.0.4+r0, denominado "Squeeze", lançado em 11-03-2012.

  • Debian Edu 5.0.6+edu1, denominado "Lenny", lançado em 05-10-2010.

  • Debian Edu 5.0.4+edu0, denominado "Lenny", lançado em 08-02-2010.

  • Debian Edu "3.0r1 Terra", lançado em 05-12-2007.

  • Debian Edu "3.0r0 Terra" lançado em 22-07-2007. Baseado no Debian 4.0 Etch lançado em 08-04-2007.

  • Debian Edu 2.0, lançado em 14-03-2006. Baseado no Debian 3.1 Sarge, lançado em 06-06-2005.

  • Debian Edu "1.0 Venus" lançado em 2004-06-20. Baseado no Debian 3.0 Woody lançado em 2002-07-19.

O Apêndice C do manual do Jessie contém uma visão completa e detalhada das versões mais antigas; ou ver os manuais das respetivas versões na página manuais das diferentes versões.