Índice
Tradução:
2021 José Vieira
2021-2022 Barbara Tostes
2021 Paulo Henrique de Lima Santana
2021, 2023-2024 Fred Maranhão
2021 Mario Gerson Miranda Magno Junior
2021 Thiago Pezzo
2024 Gabriel Francisco
2024 Ivan Rodrigues Pereira
2024 Rafael Fontenelle
2024 Reberti Carvalho Soares
2024 Ricardo Berlim Fonseca
2024 Simone Aguiar
Este manual é para a versão Debian Edu 12 (bookworm).
A versão em https://wiki.debian.org/DebianEdu/Documentation/Bookworm é uma wiki e é atualizada frequentemente.
Traduções atualizadas estão disponíveis aqui (online).
O Debian Edu, também conhecido como Skolelinux, é uma distribuição Debian que implementa uma abordagem cliente-servidor, disponibilizando um ambiente de rede escolar completamente configurado. Servidores e clientes são elementos de software – programas, no caso – que interagem entre si. Os servidores fornecem informações requeridas pelos clientes para estes poderem funcionar. Quando um servidor é instalado numa máquina e o seu cliente numa máquina diferente, as próprias máquinas são chamadas de servidor e cliente, por extensão do conceito.
Os capítulos sobre os requisitos de equipamento e de rede e sobre a arquitetura contêm detalhes do projeto do sistema básico.
Se a rede física estiver montada, após a instalação de um servidor principal (programa) num computador (o servidor físico), ficam configurados todos os serviços do sistema operacional necessários a uma rede escolar e o sistema fica pronto para ser utilizado. É apenas necessário registrar no sistema os utilizadores e as máquinas da rede, através do GOsa² (uma interface Web de fácil utilização) ou qualquer outro editor LDAP. Também foi preparado um ambiente de boot pela rede usando PXE (Preboot eXecution Environment)/iPXE, pelo que, após a instalação inicial do servidor principal (no servidor principal físico) a partir de CD, disco Blu-ray ou pendrive USB, o sistema pode ser instalado através da rede em todas as outras máquinas, incluindo as "estações de trabalho itinerantes" (aquelas que podem ser retiradas da rede da escola, geralmente computadores portáteis). Além disso, todas as máquinas podem iniciar via PXE/iPXE da mesma forma que as estações de trabalho sem disco e os clientes leves (thin clients).
Várias aplicações educacionais como o GeoGebra, o Kalzium, o KGeography, o GNU Solfege e o Scratch são incluídas na configuração do ambiente de área de trabalho padrão, que pode ser estendido facilmente e quase infinitamente através do universo Debian.
O Debian Edu/Skolelinux é uma distribuição Linux criada pelo projeto Debian Edu. Enquanto distribuição Debian Pure Blend, é um subprojeto oficial Debian.
Isto significa que o Skolelinux é uma versão do Debian composta de forma a constituir um modelo pronto para uso de uma rede escolar completamente configurada.
O projeto Skolelinux foi fundado em 2 de julho de 2001 na Noruega. Na mesma época, Raphaël Hertzog iniciou o Debian-Edu na França. Em 2003 os projetos foram unificados, mas ambos os nomes permaneceram. "Skole" e (Debian-)"Education" são apenas dois termos comuns nos respetivos países – significando, respetivamente, Escola e Educação.
Hoje o sistema está em uso em vários países por todo o mundo.
Esta seção descreve a arquitetura de rede e os serviços fornecidos por uma instalação Skolelinux.
A figura é um esboço da topologia de rede assumida como padrão. A configuração predefinida de uma rede Skolelinux assume que existe um (e apenas um) servidor principal, enquanto permite a inclusão tanto de estações de trabalho normais quanto de servidores LTSP (com clientes dependentes e/ou estações de trabalho sem disco associados). O número de estações de trabalho pode ser tão grande ou tão pequeno quanto se quiser (desde nenhuma). O mesmo vale para os servidores LTSP (Linux Terminal Server Project), estando cada um deles numa rede separada para que o tráfego entre os clientes e o servidor LTSP não afete os demais serviços de rede. O LTSP é explicado em detalhe no respectivo capítulo de instruções.
A razão para que só possa haver um servidor principal em cada rede escolar é que o servidor principal permite a configuração dinâmica de hospedeiros, através do protocolo DHCP (Dynamic Host Configuration Protocol), e em cada rede só pode haver um sistema a fazê-lo. É possível transferir a execução de serviços de rede do servidor principal para outras máquinas; para o fazer, é necessário configurar a execução do serviço noutra máquina e, em seguida, atualizar a configuração do DNS, apontando o identificador ("alias") do DNS desse serviço para o computador certo.
A ligação à Internet é feita através de um encaminhador (router) separado, também chamado intermediário (gateway), para que a configuração padrão do Skolelinux possa ser mais simples do que seria de outra forma. Ver o capítulo Encaminhador de Internet (router) para informação de como instalar um encaminhador intermediário, se não for possível reconfigurar conforme necessário um encaminhador já existente.
O DHCP no servidor principal serve a rede 10.0.0.0/8, fornecendo um menu de inicialização PXE onde se pode escolher entre instalar um novo servidor ou uma nova estação de trabalho, iniciar um cliente dependente ou uma estação de trabalho sem disco, executar o memtest (teste da(s) memória(s)), ou iniciar a partir do disco rígido local.
Mas isto pode ser modificado; para mais informações, ver o capítulo de instruções respetivo.
Nos servidores LTSP, o que o DHCP faz é apenas servir uma rede dedicada (sub-rede) na segunda interface (as opções 192.168.0.0/24 e 192.168.1.0/24 estão pré-configuradas) e raramente necessita ser alterado.
A configuração de todas as sub-redes é guardada no LDAP.
Uma rede Skolelinux precisa de um servidor principal (também chamado "tjener", termo norueguês que significa "servidor") que por predefinição tem o endereço IP 10.0.2.2 e é instalado selecionando o perfil Servidor Principal. É possível (mas não necessário) selecionar e instalar na mesma máquina também os perfis Servidor LTSP e Estação de Trabalho, além do perfil Servidor Principal.
Com exceção do controle dos clientes dependentes, todos os serviços são inicialmente configurados num computador central (o servidor principal). Por razões de desempenho, o(s) servidor(es) LTSP deve(m) ser separado(s) (embora seja possível instalar os perfis de servidor principal e de servidor LTSP no mesmo computador). É atribuído a todos os serviços um nome DNS específico e todos funcionam exclusivamente em IPv4. O nome DNS atribuído facilita a transferência de serviços individuais do servidor principal para um computador diferente, simplesmente parando o serviço no servidor principal e alterando a configuração do DNS, apontando para a nova localização da execução do serviço (que deve primeiro ser configurada nesse computador, é claro).
Para garantir a segurança, todas as ligações em que as senhas são transmitidas pela rede são encriptadas, de modo que nenhuma senha é enviada pela rede como texto simples.
Abaixo está uma tabela dos serviços que são configurados por predefinição numa rede Skolelinux e o nome DNS de cada serviço. Se for possível, todos os arquivos de configuração irão referir-se ao serviço pelo nome (sem o nome de domínio), facilitando assim às escolas a mudança de domínio (se tiverem um domínio DNS próprio) ou dos endereços IP que utilizam.
Tabela de serviços | ||
Descrição do serviço |
Nome comum |
Nome DNS |
Registro centralizado |
rsyslog |
syslog |
Serviço de nome de domínio (DNS) |
DNS (BIND) |
domínio |
Configuração automática de rede de máquinas |
DHCP |
bootps |
Sincronização de relógio |
NTP |
ntp |
Diretórios pessoais via sistema de arquivos de rede |
SMB/NFS |
homes |
Correio Eletrônico |
IMAP (Dovecot) |
postoffice (correios) |
Serviço de diretório |
OpenLDAP |
ldap |
Administração de usuários |
GOsa² |
--- |
Servidor web |
Apache/PHP |
www |
Backup Central |
sl-backup, slbackup-php |
backup |
Cache web |
Proxy (Squid) |
webcache |
Impressão |
CUPS |
ipp |
Login remoto seguro |
OpenSSH |
ssh |
Configuração automática |
CFEngine |
cfengine |
Servidor(es) LTSP |
LTSP |
ltsp |
Vigilância de máquinas e serviços com relatório de erros, além de estado e histórico na web. Relatório de erros por e-mail |
Munin, Icinga e Sitesummary |
sitesummary |
Os arquivos pessoais dos utilizadores são guardados nos respectivos diretórios de utilizador (pastas pessoais), que são disponibilizados pelo servidor. Os diretórios de utilizador são acessíveis a partir de todas as máquinas, dando aos utilizadores acesso aos mesmos arquivos (aos seus arquivos), independentemente da máquina que utilizem. O servidor é neutro relativamente a sistemas operacionais, proporcionando acesso via NFS a clientes do tipo Unix e via SMB2/SMB3 a outros clientes (windows, mac, etc.).
Por padrão, o e-mail é configurado para entrega local (ou seja, na escola) apenas, embora possa ser configurado o envio de correio pela Internet, se a escola tiver uma ligação permanente à Internet. Os clientes são configurados para entregar e-mail ao servidor (usando 'smarthost'), acedendo os utilizadores ao seu correio pessoal através de IMAP.
Todos os serviços são acessíveis usando o mesmo nome de usuário e respectiva senha, graças à base de dados central de usuários para a autenticação e autorização.
Para aumentar o desempenho em sites visitados frequentemente é usado um intermediário (proxy) de web (o Squid), que guarda arquivos localmente. Além de bloquear o tráfego web no encaminhador (router), isto também permite controlar o acesso à Internet nas máquinas, individualmente.
A configuração da rede nos clientes é feita automaticamente usando DHCP. Todos os tipos de clientes podem ser ligados à sub-rede privada 10.0.0.0/8, obtendo endereços IP correspondentes; os clientes LTSP devem ser ligados ao servidor LTSP correspondente através da sub-rede separada 192.168.0.0/24 (isto garante que o tráfego de rede dos clientes LTSP não interfere com o resto dos serviços de rede).
O acesso centralizado é configurado de forma que todas as máquinas enviem as suas mensagens syslog para o servidor. O serviço syslog é configurado de forma a apenas aceitar mensagens recebidas da rede local.
Por padrão, o servidor DNS é configurado com um domínio apenas para uso interno (*.intern), até que um domínio DNS real ("externo") possa ser configurado. O servidor DNS é configurado como servidor DNS de cache para que todas as máquinas da rede possam utilizá-lo como servidor DNS principal.
Alunos e professores podem publicar websites. O servidor web fornece mecanismos para autenticar utilizadores e para limitar o acesso a páginas e subdiretórios individuais a certos usuários e grupos. Os utilizadores poderão criar páginas web dinâmicas, já que o servidor web será programável no lado do servidor.
A informação sobre usuários e máquinas é alterada num local central e é tornada acessível a todos os computadores da rede automaticamente. Para conseguir isso, é configurado um servidor de diretório centralizado. O diretório terá informações sobre os utilizadores, grupos de utilizadores, máquinas e grupos de máquinas. Para evitar confusão entre utilizadores, não haverá diferença entre grupos de arquivos e grupos de rede. Isto implica que os grupos de computadores que irão formar grupos de rede utilizarão o mesmo espaço de nomes que os grupos de usuários.
A administração dos serviços e usuários será principalmente feita através da web e seguirá padrões estabelecidos, funcionando bem nos navegadores web que fazem parte do Skolelinux. A delegação de certas tarefas a usuários individuais ou grupos de usuários será possível através dos sistemas de administração.
Para evitar certos problemas com o NFS e para tornar a resolução dos problemas mais simples, os computadores necessitam de relógios sincronizados entre si. Para conseguir a sincronização, o servidor Skolelinux é configurado como um servidor local de Network Time Protocol (NTP) e todas as estações de trabalho e clientes são configurados para se sincronizarem com o servidor. O próprio servidor deve sincronizar o seu relógio através de NTP com computadores na Internet, garantindo assim que toda a rede tenha a hora correta.
As impressoras são ligadas onde for conveniente, seja diretamente na rede principal, seja a um servidor, estação de trabalho ou servidor LTSP. O acesso às impressoras pode ser controlado para usuários individuais de acordo com os grupos a que pertencem; isto será conseguido através da utilização de quotas e controle de acesso para impressoras.
Uma rede Skolelinux pode ter muitos servidores LTSP, que são instalados ao ser selecionado o perfil Servidor LTSP.
Os servidores LTSP são configurados para receberem o syslog de clientes dependentes e de estações de trabalho, e encaminharem essas mensagens para o destinatário central do syslog.
Observe:
Estações de trabalho sem disco LTSP usam os programas instalados no servidor.
O sistema de arquivos raiz do cliente é disponibilizado através do NFS. Após
cada modificação no servidor LTSP a imagem relacionada tem que ser gerada
novamente; executar debian-edu-ltsp-install
--diskless_workstation yes
no servidor LTSP.
Uma configuração 'cliente dependente' permite que PCs comuns funcionem como terminais (do X). Isto significa que a máquina inicia diretamente do servidor, usando o PXE, sem usar o disco rígido do computador cliente. A configuração de clientes dependentes é feita agora pelo X2Go, uma vez que o LTSP deixou de ter essa funcionalidade.
Os clientes dependentes são uma boa maneira de ainda ser feito uso de computadores muito antigos (a maioria de 32 bits), pois eles executam eficazmente todos os programas no servidor LTSP. Isto funciona da seguinte forma: o serviço usa o DHCP (Dynamic Host Configuration Protocol) para se ligar à rede e o TFTP (Trivial File Transfer Protocol) para iniciar a partir da rede; em seguida, é montado o sistema de arquivos a partir do servidor LTSP utilizando NFS; finalmente, é iniciado o cliente X2Go.
Uma estação de trabalho sem disco executa todo o software no próprio computador, apesar de não ter um sistema operacional instalado localmente. Isto significa que os computadores clientes iniciam via PXE, sem executarem software instalado num disco rígido local (mas sim no servidor).
As estações de trabalho sem disco são uma excelente forma de ser utilizado equipamento potente com o mesmo baixo custo de manutenção dos clientes dependentes. O software é administrado e mantido no servidor, sem a necessidade de software instalado localmente nos clientes. A pasta pessoal de cada usuário (os diretórios de usuário) e as configurações do sistema para cada um também são guardadas no servidor.
Todas as máquinas GNU/Linux que são instaladas com o instalador Skolelinux
serão administráveis a partir de um computador central, muito provavelmente
o servidor. Será possível fazer login em todos via SSH e assim ter acesso
total às máquinas. É necessário executar primeiro
kinit
, como root, para obter um TGT
(ticket-granting ticket) do Kerberos.
Toda a informação dos usuários é mantida num diretório LDAP. As atualizações das contas de utilizador são feitas nesta base de dados, que é utilizada pelos clientes para autenticação do utilizador.
Atualmente existem dois tipos de imagens para suportes de instalação: netinst e BD. Ambas as imagens podem também ser carregadas a partir de pendrives via USB.
O objetivo é haver a possibilidade de fazer uma única instalação do sistema como servidor, usando qualquer tipo de suporte, e, a partir do servidor, com inicialização pela rede, instalar o sistema em todos os outros computadores (clientes) através da rede.
Apenas a imagem netinstall necessita de acesso à Internet durante a instalação.
A instalação não deve fazer solicitações, com exceção do idioma desejado, localização, disposição do teclado e perfil do computador (Servidor principal, Estação de trabalho, Servidor LTSP, ...). Todas as outras configurações são estabelecidas automaticamente com valores razoáveis, para serem alteradas a partir de uma localização central pelo administrador do sistema, após a instalação.
A cada conta de usuário do Skolelinux é atribuída uma secção do sistema de arquivos no servidor de arquivos. Esta seção (diretório home) contém os arquivos de configuração do usuário, documentos, e-mail e páginas web. Alguns dos arquivos devem ser configurados para ter acesso de leitura para outros usuários no sistema, alguns devem ser legíveis por todos na Internet e alguns não devem ser acessíveis para leitura por ninguém, exceto pelo usuário.
Para garantir que todos os discos usados para diretórios de usuários ou
diretórios compartilhados possam ser identificados de forma única em todos
os computadores da instalação, os discos podem ser montados como
/skole/host/directory/
. É criado
inicialmente um diretório no servidor de arquivos,
/skole/tjener/home0/
, no qual são criadas
todas as contas de usuários. Posteriormente podem ser criados mais
diretórios, quando necessário, para acomodar determinados grupos de usuários
ou determinados padrões de uso.
Para permitir o acesso compartilhado a arquivos que usem o sistema normal de permissões UNIX, é necessário que os usuários, além de estarem no grupo pessoal primário a que pertencem por predefinição, estejam também em grupos compartilhados suplementares (p. ex. "estudantes"). Se os usuários tiverem uma máscara apropriada (002 ou 007) para tornar os itens recém-criados acessíveis a grupos e se os diretórios em que eles estiverem trabalhando estiverem configurados para fazer com que os arquivos assumam a mesma entidade detentora que o grupo, o resultado é o compartilhamento controlado de arquivos entre os membros de um grupo.
As configurações iniciais de acesso a arquivos recém-criados são uma questão
de opção. A máscara (umask) predefinida do Debian é 022 (que não permite
acesso de grupo como descrito acima), mas o Debian Edu usa 002 como
predefinição - significando que os arquivos são criados com acesso de
leitura para todos os utilizadores, acesso esse que pode ser removido
posteriormente por uma ação explícita do criador do arquivo. Isto pode ser
alterado (editando
/etc/pam.d/common-session
) para uma máscara
de 007 - significando que o acesso de leitura dos arquivos é inicialmente
vedado, necessitando de uma ação do usuário para os tornar acessíveis. A
primeira abordagem encoraja o compartilhamento de conhecimento e torna o
coletivo mais transparente, enquanto que a segunda diminui o risco de
disseminação indesejada de informação sensível. O problema com a primeira
opção é que não é claro para os usuários que o material que criam fica
acessível a todos os outros usuários. Só o conseguem perceber inspecionando
os diretórios dos outros usuários e vendo que os seus arquivos podem ser
lidos. O problema com a segunda opção é que provavelmente poucas pessoas
tornarão os seus arquivos acessíveis a outros, mesmo que não contenham
informação sensível e o conteúdo seja útil para usuários curiosos, que
querem perceber como outros resolveram problemas específicos (normalmente
problemas de configuração).
Há várias possibilidades para uma solução Skolelinux. Desde a instalação apenas num PC autônomo até a instalação em muitas escolas geridas de forma centralizada como solução regional. Contudo, esta flexibilidade implica uma enorme diferença entre opções no que respeita à configuração dos componentes de rede, servidores e máquinas clientes.
As finalidades dos diferentes perfis são explicadas no capítulo arquitetura de rede.
Se for usado o LTSP, ver a página wiki de requisitos de equipamento para LTSP.
O Debian Edu/Skolelinux pode ser instalado em computadores de 32 bits (arquitetura Debian 'i386', para processadores 686 e superiores) ou em computadores de 64 bit (arquitetura Debian 'amd64', para processadores x86).
É possível usar clientes dependentes com apenas 256 MiB de RAM e 400 MHz de frequência, embora seja recomendado o uso de mais RAM e processadores mais rápidos.
Em clientes autônomos (fat clients) - isto é, estações de trabalho, estações de trabalho sem disco - e computadores independentes, 1024 MiB de RAM e 1500 MHz de frequência são os requisitos mínimos absolutos. Para utilizar navegadores web modernos e LibreOffice são recomendados pelo menos 2048 MiB de RAM.
O espaço em disco mínimo necessário depende do perfil a instalar:
espaço combinado servidor principal + servidor LTSP: 60 GiB (mais espaço adicional para contas de usuário).
servidor LTSP: 40 GiB.
estação de trabalho ou computador independente: 30 GiB.
instalação mínima para máquina conectada: 4 GiB.
Os servidores LTSP precisam de duas placas de rede ao utilizarem a arquitetura de rede predefinida:
a eth0 está ligada à rede principal (10.0.0.0/8),
a eth1 é usada para servir clientes LTSP.
Os computadores portáteis são estações de trabalho móveis, por isso têm os mesmos requisitos que as estações de trabalho.
Está disponível uma lista de computadores testados em https://wiki.debian.org/DebianEdu/Hardware/ . Esta lista está longe de incluir todos os modelos que funcionam com o sistema.
https://wiki.debian.org/InstallingDebianOn é um esforço para documentar a forma de instalar, configurar e usar o Debian em alguns computadores específicos, permitindo a potenciais compradores saberem que esses computadores aceitam o Debian e aos detentores de computadores listados saberem como obter o máximo dos seus equipamentos.
Quando for usada a arquitetura de rede predefinida, aplicam-se as seguintes regras:
É necessário um, e apenas um, servidor principal.
Pode haver centenas de estações de trabalho na rede principal.
Pode haver muitos servidores LTSP na rede principal; estão pré-configuradas duas sub-redes diferentes (DNS, DHCP) no LDAP e podem ser adicionadas mais.
Pode haver centenas de clientes dependentes (thin clients) e/ou estações de trabalho sem disco em cada rede de servidores LTSP.
Pode haver centenas de outras máquinas, sendo-lhes atribuídos endereços IP dinâmicos.
Para acesso à Internet é necessário um encaminhador (router) ou um conversor (gateway) (ver abaixo).
Para ligação à Internet é necessário um encaminhador (router) ou um conversor (gateway) ligado à Internet na interface externa e usando o endereço IP 10.0.0.1 com a máscara de rede 255.0.0.0 na interface interna.
O encaminhador não deve ser ligado a um servidor DHCP; pode ser ligado a um servidor DNS, embora isso não seja necessário – não será utilizado.
Caso você ainda não possua um roteador ou seu roteador existente não pode
ser configurado de acordo, qualquer máquina que preencher os requisitos
mínimos da instalação do Debian e possuir no mínimo duas interfaces de rede
pode ser configurada como um gateway entre a rede existente e a rede
DebianEdu. Veja a documentação
de instalação para um forma simples de instalar e configurar uma
máquina Debian usando
debian-edu-router-config
.
Se for necessário usar algum equipamento como encaminhador (embedded) ou como ponto de acesso incorporado, recomenda-se o uso do firmware OpenWRT, embora o firmware original do equipamento também possa ser usado, é claro. Usar o firmware original é mais fácil; usar o OpenWRT dá mais opções e controle. Consultar as páginas web do OpenWRT para ver uma lista de equipamento suportado.
É possível usar uma configuração de rede diferente (há um procedimento documentado para tal), mas se a infraestrutura de rede existente não o requerer, recomenda-se que isso não seja feito e que seja usada a arquitetura de rede predefinida.
Recomenda-se que sejam lidas as notas de lançamento do Debian Bookworm antes de começar a instalação de um sistema em ambiente de produção. Há mais informação sobre o lançamento do Debian Bookworm no seu manual de instalação.
Experimente o Debian Edu/Skolelinux. Está pronto para funcionar.
Recomenda-se, porém, ler os capítulos sobre requisitos de equipamento e de rede e sobre a arquitetura antes de começar a instalação de um servidor principal.
Deve também ser lido o capítulo Primeiros Passos deste manual, pois nele se explica como fazer login no sistema pela primeira vez.
amd64
e
i386
são os nomes de duas arquiteturas
Debian para CPUs x86; ambas são ou foram produzidas pela AMD, Intel e outros
fabricantes. A arquitetura amd64
é de 64
bits e ai386
é de 32 bits. Hoje as
instalações devem ser feitas usando
amd64
. A arquitetura
i386
deve ser usada apenas para
computadores muito antigos (começaram a ser vendidos computadores de 64bit
em 2003 e deixaram de ser vendidos computadores de 32bit por volta de 2010).
A imagem iso netinst (instalação via rede) pode ser usada para instalação a partir de CD/DVD e pendrives USB e está disponível para duas arquiteturas Debian: amd64 ou i386. Como o nome indica, para a instalação é necessário acesso à Internet.
Assim que o Bookworm for lançado, estas imagens estarão disponíveis para baixar em:
Esta imagem ISO tem aproximadamente 7.5 GB e pode ser usada para instalação em máquinas amd64 ou i386, também sem acesso à Internet. Como a imagem netinst, pode ser instalada em pendrives USB ou em discos de tamanho suficiente.
Assim que o Bookworm for lançado, estas imagens estarão disponíveis para baixar em:
Instruções detalhadas para verificação dessas imagens constam das Debian-CD FAQ.
As imagens estão disponíveis no arquivo Debian nos locais habituais; diversas mídias possuem links em https://get.debian.org/cdimage/release/current/source/
Ao fazer uma instalação do Debian Edu, há algumas opções a fazer. Mas não são muitas. Foi feito um bom trabalho de ocultação das complexidades internas do Debian, quer durante a instalação quer no uso do sistema. Ainda assim, como o Debian Edu é essencialmente um Debian, se você quiser pode usar os mais de 59.000 pacotes do Debian e as bilhares de opções de configuração. As predefinições são adequadas para a maioria dos usuários. NOTA: se for usar o LTSP, escolha um ambiente de área de trabalho leve.
Exemplo de rede escolar ou doméstica com acesso à Internet através de um encaminhador com DHCP:
A instalação de um servidor principal é possível, mas após reiniciar não haverá acesso à Internet (devido ao IP 10.0.2.2/8 da interface de rede primária).
Ver o capítulo Encaminhador (router) para Internet para informação de ligação e configuração de um conversor (gateway), se não for possível configurar um já em uso.
Ligar todos os componentes como mostrado no capítulo Arquitetura.
O servidor principal deve ter conexão à Internet uma vez iniciado pela primeira vez no ambiente correto.
Exemplo de rede escolar ou institucional, semelhante à mencionada acima, mas requerendo o uso de um intermediário (proxy).
Adicionar 'debian-edu-expert' à linha de comando do núcleo (kernel); ver mais abaixo instruções de como fazer.
Devem ser atendidas algumas solicitações adicionais, incluindo a relacionada com o servidor intermediário.
Rede com encaminhador/conversor IP 10.0.0.1/8 (que não tem servidor DHCP) e acesso à Internet:
Assim que a configuração automática da rede falhar (devido à falta de DHCP), escolher a configuração manual da rede.
Introduzir 10.0.2.2/8 como IP do hospedeiro
Introduzir 10.0.0.1 como IP do conversor
Introduzir 8.8.8.8 como IP do servidor de nomes, a menos que outro se aplique
O servidor principal deve funcionar de imediato após a primeira inicialização.
Sem ligação à Internet:
Usar a imagem ISO BD.
Confirmar que todos os cabos de rede (reais/virtuais) estão desligados.
Escolher 'Não configurar a rede neste momento' (depois de o DHCP não ter configurado a rede e de ter sido pressionado 'Continuar').
Atualizar o sistema uma vez iniciado pela primeira vez no ambiente correto com acesso à Internet.
Estão disponíveis vários ambientes de trabalho:
O Xfce tem uma dimensão ligeiramente maior do que o LXDE, mas tem um bom suporte linguístico (106 idiomas).
O KDE e o GNOME têm ambos um bom suporte linguístico, mas são demasiado pesados, tanto para os computadores mais antigos como para os clientes LTSP.
O Cinnamon é uma alternativa ao GNOME, sendo mais leve.
O MATE é mais leve que os três acima, mas não possui um bom suporte linguístico para vários países.
O LXDE é o de menor dimensão e está disponível em 35 idiomas.
O LXQt é um ambiente de trabalho leve (tem disponibilidade de idiomas semelhante ao LXDE) com um aspecto mais moderno (é baseado em Qt, tal como o KDE).
O projeto Debian Edu, sendo um projeto internacional, optou pelo Xfce como ambiente de trabalho predefinido; ver abaixo como definir um ambiente diferente.
Ao instalar um sistema com perfil Estação de trabalho incluído, são instalados muitos programas relacionados com a educação. Para instalar apenas o perfil básico, remover o parâmetro de linha de comando desktop=xxxx do núcleo (kernel) antes de iniciar a instalação; ver abaixo informação de como isto é feito. Isto permite instalar um sistema específico para cada caso e pode ser usado para acelerar instalações de teste.
Nota: Para instalar um ambiente de trabalho posteriormente, não use os meta-pacotes Debian Edu, como, por exemplo, education-desktop-xfce porque eles iriam trazer consigo todos os programas relacionados com educação; em vez disso, instalar, por exemplo, o task-xfce-desktop. Pode ser instalado um ou mais dos meta-pacotes relacionados com o novo nível escolar education-preschool, education-primaryschool, education-secondaryschool, education-highschool conforme o caso.
Para informação sobre os meta-pacotes Debian Edu, ver a página Visão geral dos pacotes Debian Edu.
Menu de inicialização (boot) do instalador em equipamento de 64 bits - modo BIOS
A instalação gráfica utiliza o instalador construído em GTK, que permite a utilização do mouse.
Instalar utiliza o instalador em modo de texto.
Opções avançadas > apresenta um submenu com mais opções.
A Ajuda dá algumas dicas sobre como usar o instalador; ver a captura de tela abaixo.
Voltar atrás... traz de volta o menu principal.
A Instalação gráfica especializada apresenta todas as possibilidades de configuração; pode ser usado o mouse.
O Modo gráfico de recuperação faz com que o disco de instalação seja usado como disco de recuperação, se surgirem problemas graves.
A Instalação gráfica automática precisa de um arquivo de pré-configuração.
A Instalação especializada apresenta todas as possibilidades de configuração em modo texto.
Modo de recuperação modo texto; faz com que este meio de instalação se torne um disco de recuperação para tarefas de emergência.
A Instalação automatizada em modo texto; precisa de um arquivo de pré-configuração.
Não use a Instalação gráfica especializada
ou Instalação especializada
, use
debian-edu-expert
como um parâmetro
adicional do kernel em casos excepcionais.
Tela de ajuda
Esta tela de Ajuda é autoexplicativa e ativa as teclas <F>- no teclado para ajuda mais detalhada sobre os tópicos descritos.
Menu de inicialização (boot) do instalador em equipamento de 64 bits - modo UEFI
Adicionar ou alterar parâmetros de inicialização para instalações
Em ambos os casos, as opções de inicialização podem ser editadas pressionando a tecla TAB ou E no menu de inicialização (boot); a captura de tela mostra a linha de comando para a Instalação gráfica.
Pode ser usado um serviço intermediário (proxy) HTTP existente na rede para
acelerar a instalação do perfil do servidor principal a
partir do CD. Adicione, por exemplo,
mirror/http/proxy=http://10.0.2.2:3128
como
parâmetro de inicialização adicional.
Após o perfil do servidor principal ser instalado numa máquina, as instalações seguintes devem ser feitas via PXE, pois isso usará automaticamente o proxy do servidor principal.
Para instalar o ambiente de trabalho GNOME em vez do ambiente de trabalho predefinido
Xfce, substituir
xfce
por
gnome
no parâmetro
desktop=xfce
.
Para instalar o ambiente de trabalho LXDE, usar
desktop=lxde
.
Para instalar o ambiente de trabalho LXQt, usar
desktop=lxqt
.
Para instalar o ambiente de trabalho KDE
Plasma, usar desktop=kde
.
Para instalar o ambiente de trabalho Cinnamon, usar
desktop=cinnamon
.
E para instalar o ambiente de trabalho MATE, usar
desktop=mate
.
Ter presente os requisitos de sistema ; para configurar um servidor LTSP são necessárias pelo menos duas placas de rede (NICs) .
Escolher um idioma (para usar na instalação e no sistema instalado).
Escolher uma localização; normalmente será a região correspondente ao local onde você estiver.
Escolher um layout de teclado (o predefinido para o país geralmente é adequado).
Escolher o(s) perfil(s), da seguinte lista:
Servidor Principal
Este é o servidor principal (tjener) da escola, que fornece todos os serviços, pré-configurados para funcionarem de imediato. Deve ser instalado apenas um servidor principal por escola! Este perfil não inclui uma interface gráfica de utilizador. Para uso de uma interface gráfica de utilizador, além deste perfil deve ser selecionado também um dos perfis Estação de trabalho ou Servidor LTSP.
Estação de trabalho
É um computador de rede que inicia a partir de seu próprio disco rígido e executa todos os programas e gera os dispositivos localmente, como um computador comum independente. Exceto os acessos dos usuários, que são autenticados pelo servidor principal, e a localização dos arquivos dos usuários e do perfil do ambiente de trabalho de cada usuário, também guardados no servidor principal.
Estação de trabalho itinerante (Roaming workstation)
O mesmo que uma estação de trabalho, mas capaz de autenticação usando credenciais em cache, o que significa que o computador pode ser usado fora da rede escolar. Os arquivos e perfis dos usuários são guardados no disco local. Para portáteis de usuário único deve ser selecionado este perfil e não 'Estação de trabalho' ou 'Standalone', ao contrário do que era sugerido em versões anteriores.
Servidor LTSP
Um servidor de clientes dependentes (e de estações de trabalho sem disco), é chamado de servidor LTSP (Linux Terminal Server Project). É a partir deste servidor que os clientes sem disco rígido (clientes do servidor de janelas X ou, abreviadamente, terminais do X) iniciam e executam os programas a partir deste servidor. Este computador precisa de duas interfaces de rede, muita memória e, idealmente, mais do que um processador ou núcleo. Ver o capítulo sobre clientes de rede para mais informações sobre este assunto. A escolha deste perfil ativa também o perfil Estação de trabalho (mesmo que não esteja selecionado) - um servidor LTSP pode sempre ser usado também como estação de trabalho.
Independente (Standalone)
O computador comum, que funciona sem estar ligado a um servidor (ou seja, não precisa de estar na rede). Inclui os computadores portáteis.
Mínimo
Este perfil instala os pacotes base e configura a máquina para se integrar na rede Debian Edu, mas sem instalar quaisquer serviços ou aplicações. É útil como plataforma para serviços específicos movidos manualmente do servidor principal.
Caso usuários comuns possam usar tal sistema, ele precisa ser adicionado usando GOsa² (semelhante a uma estação de trabalho) e o pacote libpam-krb5 precisa ser instalado.
Os perfis Servidor Principal, Estação de Trabalho e Servidor LTSP estão pré-selecionados. Estes perfis podem ser instalados em conjunto numa máquina para instalar um servidor principal chamado combinado. Isto significa que o servidor principal (físico) será também um servidor LTSP e poderá ser usado como estação de trabalho. Esta é a escolha predefinida, já que se assume que esta será a opção escolhida na maioria dos casos. Notar que, para ficarem funcionais, as máquinas destinadas a servidor principal combinado ou a servidor LTSP têm que ter duas placas de rede instaladas.
Escolher "sim" ou "não" quanto ao particionamento automático. Esteja ciente de que dizer "sim" destruirá todos os dados nos discos rígidos! Escolher "não", por outro lado, exigirá mais trabalho - é necessário confirmar que as partições necessárias existem (se não, têm que ser criadas) e são de tamanho suficiente.
Solicita-se a opção pelo "sim" ao envio de informação para https://popcon.debian.org/, para permitir à equipe do Debian Edu saber que pacotes são mais usados e devem ser mantidos em futuros lançamentos. Embora não seja obrigatório, é uma forma simples de ajudar.
Aguardar. Se os perfis selecionados incluírem o servidor LTSP, o instalador irá demorar algum tempo ao final, "Finalizando a instalação - Executando o debian-edu-profile-udeb...".
Após a introdução da senha de root (administrador do computador, e não da rede), será solicitada a criação de uma conta de utilizador normal (do computador) "para tarefas não-administrativas". Para o Debian Edu esta conta é muito importante: é esta a conta usada para a gestão da rede Skolelinux.
A senha para este utilizador tem de ter um comprimento mínimo de 5 caracteres e deve ser diferente do nome de usuário - caso contrário não será dado acesso ao computador (mesmo que uma senha mais curta e que uma senha correspondente ao nome de usuário sejam aceitas pelo instalador).
No caso de um servidor principal combinado esperar novamente após reiniciar. O sistema irá demorar algum tempo para gerar a imagem SquashFS para estações de trabalho sem disco.
No caso dos servidores LTSP separados, a configuração das estações de trabalho sem disco e/ou dos clientes dependentes precisa de alguns passos adicionais a serem feitas pelo operador. Para mais informações, ver o capítulo Instruções para clientes de rede.
O pacote debian-edu-router-config
simplifica a configuração de um gateway para a rede Debian Edu através de um
processo de configuração interativa onde a informação necessária é obtida
através de uma série de diálogos.
Para utilizá-lo, faça uma instalação mínima do Debian. Certifique-se de usar
o instalador normal do Debian e não o instalador do Debian Edu, pois as
instalações do Debian Edu não são suportadas por
debian-edu-router-config
.
Instale o pacote debian-edu-router-config
usando
DEBIAN_FRONTEND=noninteractive apt install -y -q debian-edu-router-config
Mensagens de erro relacionadas à configuração são esperadas e podem ser ignoradas por enquanto.
Para o processo de configuração após a instalação do
debian-edu-router-config
, é necessário
acesso físico ao computador.
As interfaces de rede podem já estar conectadas às redes correspondentes, mas não necessariamente. Porém é necessário estar atento a qual interface será conectada a qual rede. Para obter mais informações sobre o hardware da rede
lshw -class network
pode ser usado.
Remova a configuração das duas interfaces de rede a serem usadas em
/etc/network/interfaces
ou arquivos em
/etc/network/interfaces.d/
e desconfigure
as duas interfaces usando
ip addr flush <interface>
O processo de configuração de fato é iniciado com
dpkg-reconfigure --force uif debian-edu-router
Quando questionado sobre o método de configuração do firewall uif, selecione "debian-edu-router". Confirme que você deseja configurar o firewall para o Debian Edu Router.
Decida se você deseja responder a pedidos de ping e traceroute. Se não tiver certeza responda com "sim" pois podem ser uteis para diagnóstico de problemas de rede.
Confirme que você deseja habilitar o encaminhamento de pacote IP.
A seguir, atribua redes as interfaces de rede noseu roteador, escolha uma das opções oferecidas dependendo se sua interface de rede já está conectada ou não.
Selecione a interface que está conectada à rede upstream.
Selecione uma rede interna, caso não tenha certeza e queira apenas uma única rede interna, selecione "Educação" aqui.
Selecione se as VLANs devem ser usadas para redes internas; se não tiver certeza, selecione não aqui.
Selecione "IPv4" aqui.
Selecione “Uplink” se sua rede upstream exigir um endereço IP estático e, se você seguiu a sugestão acima em redes internas, “Educação”.
Defina 10.0.0.1/8
como o endereço IP
estático para a rede interna "Educação" se você seguiu a sugestão acima em
redes internas.
Ative NAT para a rede interna.
Ative o acesso à Internet para redes internas.
Se quiser expor quaisquer serviços internos à Internet, você pode configurá-los usando a sintaxe descrita. Observe que o acesso SSH ao gateway pode ser configurado usando a caixa de diálogo a seguir.
Decida de quais redes você deseja permitir o acesso SSH ao gateway.
Configure a porta SSH, deve ser 22
se a
configuração não tiver sido alterada.
Não ative o DHCP para redes internas, ele será oferecido pelo servidor principal do Debian Edu.
Conecte as interfaces de rede, caso ainda não tenha feito isso, e reinicie a máquina.
Se o acesso SSH estiver habilitado, o gateway poderá ser reconfigurado
remotamente através do menu oferecido ao fazer login como root. Pressionar
c
no menu principal muda para o menu de
configuração a partir do qual toda ou parte da configuração pode ser
alterada usando o mesmo sistema de diálogo que foi usado para a configuração
inicial.
O mais provável é que o perfil escolhido seja 'Estação de trabalho itinerante' (ver acima). Esteja ciente de que todos os dados são guardados localmente, isto é, no próprio portátil (portanto, é necessário algum cuidado extra em fazer cópias de segurança), e as credenciais de acesso são guardadas em cache (portanto, após uma alteração da senha, a entrada pode requerer a senha antiga se o computador não tiver sido ligado à rede e feito o acesso com a nova senha).
Terminada a instalação a partir da unidade flash USB/imagem de disco
Blu-ray, o arquivo /etc/apt/sources.list
conterá apenas fontes (repositórios origem) constantes nessa imagem. Se for
possível ligar o computador à Internet, sugerimos fortemente adicionar as
seguintes linhas a ele para que as atualizações de segurança disponíveis
possam ser instaladas:
deb http://deb.debian.org/debian/ bookworm main deb http://security.debian.org bookworm-security main
Uma instalação netinst (o tipo de instalação que nosso CD fornece) irá buscar alguns pacotes do CD e o resto da rede. A quantidade de pacotes obtidos da rede varia de perfil para perfil, mas fica abaixo de um gigabyte (a menos que sejam instalados todos os ambientes de trabalho possíveis). Uma vez instalado o servidor principal (não importando se é um servidor principal puro ou um servidor combinado), a instalação seguinte usará o intermediário para evitar transferir da rede o mesmo pacote várias vezes.
É possível copiar diretamente uma imagem ISO CD/BD para unidades flash USB (também conhecidas como "pendrives") e iniciar a partir destas. Basta executar um comando como este, alterando os nomes do arquivo e do dispositivo de acordo com a situação:
sudo dd if=debian-edu-amd64-XXX.iso of=/dev/sdX bs=1M
Para determinar o valor de X, execute este comando antes e depois do dispositivo USB ter sido inserido:
lsblk -p
Observe que a cópia levará algum tempo.
A unidade USB flash funcionará como um CD ou como um disco Blu-ray, conforme a imagem usada.
Para este método de instalação é necessário um servidor principal em execução. Quando os clientes iniciam através da rede, é exibido um menu do iPXE com opções de seleção do instalador e de inicialização. Se a instalação através do PXE falhar com uma mensagem de erro dizendo que falta um arquivo XXX.bin, muito provavelmente a placa de rede do cliente requer firmware não livre. Neste caso, o initrd do instalador do Debian tem de ser modificado. Isso pode ser conseguido através da execução do comando:
/usr/share/debian-edu-config/tools/pxe-addfirmware
no servidor.
Esta é a aparência do menu do iPXE apenas com o perfil Servidor Principal :
Esta é a aparência do menu iPXE com o perfil Servidor LTSP:
Esta configuração também permite que estações de trabalho sem disco e clientes dependentes iniciem a partir da rede principal. Ao contrário das estações de trabalho e servidores LTSP separados, as estações de trabalho sem disco não precisam de ser adicionadas ao LDAP, com GOsa².
Pode ser encontrada mais informações sobre clientes de rede no capítulo Instruções para clientes de rede.
A instalação PXE usa um arquivo debian-installer pré-configurado, que pode ser modificado para solicitar a instalação de mais pacotes.
Tem que ser adicionada a
tjener:/etc/debian-edu/wwww/debian-edu-install.dat
uma linha como a seguinte
d-i pkgsel/include string my-extra-package(s)
A instalação PXE usa o arquivo de pré-configuração em
/etc/debian-edu/www/debian-edu-install.dat
. Este arquivo
pode ser alterado para ajustar a pré-configuração usada durante a
instalação, para evitar mais solicitações durante a instalação pela
rede. Outra maneira de o conseguir é introduzir configurações extras em
/etc/debian-edu/pxeinstall.conf
e
/etc/debian-edu/www/debian-edu-install.dat.local
e executar
/usr/sbin/debian-edu-pxeinstall
para
atualizar os arquivos gerados.
Mais informações podem ser encontradas no manual do instalador do Debian.
Para desativar ou alterar o uso do intermediário ao instalar via PXE, têm
que ser alteradas as linhas contendo
mirror/http/proxy
,
mirror/ftp/proxy
e
preseed/early_command
em
tjener:/etc/debian-edu/wwww/debian-edu-install.dat
. Para desativar o uso de um intermediário ao instalar,
colocar '#' no início de cada uma das duas primeiras linhas, e remover da
última a parte "export http_proxy="http://webcache:3128";
".
Algumas definições não podem ser pré-configuradas porque são necessárias
antes do arquivo de pré-configuração ser baixado. Idioma, layout de teclado
e ambiente de trabalho são exemplos de tais definições. Se você quiser
alterar tais configurações, edite o arquivo de menu iPXE
/srv/tftp/ltsp/ltsp.ipxe
no servidor
principal.
Criar CDs, DVDs ou discos Blu-ray com sistemas personalizados pode ser bastante fácil, uma vez que é usado o Instalador do Debian, o qual tem uma concepção modular e outras características interessantes. A pré-configuração permite definir as opções para as solicitações mais comuns.
É necessário apenas criar um arquivo de pré-configuração com as opções a usar (isto é descrito no apêndice do manual do Instalador do Debian) e recompor o CD/DVD.
A instalação em modo de texto ou em modo gráfico é funcionalmente idêntica - apenas a aparência é diferente. O modo gráfico permite utilizar o mouse e, claro, parece muito melhor e mais moderno. A menos que o equipamento apresente problemas no uso do modo gráfico, não há razão para não o usar.
Segue-se uma sequência de capturas de tela da instalação em modo gráfico de um servidor principal de 64 bits + estação de trabalho + instalação do servidor LTSP (no modo BIOS), incluindo também a sequência após a primeira inicialização do servidor principal ou de uma inicialização por PXE num computador da rede cliente LTSP (tela de sessão de cliente dependente (thin client) - e tela de login após ter sido escolhida uma sessão no painel à direita).
Durante a instalação do servidor principal, foi criada uma primeira conta de
usuário. No texto seguinte esta conta será referida por "primeiro
usuário". Esta conta é especial, pois as permissões do diretório home estão
definidas para 700 (pelo que é necessário executar chmod o+x
~
para tornar acessíveis páginas web pessoais), podendo o
primeiro usuário usar sudo
para passar para
root.
Ver a informação sobre a configuração de acesso ao sistema de arquivos específico do Debian Edu antes de adicionar usuários; ajustar a política do site, se necessário.
Após a instalação, as primeiras coisas a fazer como primeiro usuário são:
Faça login no servidor.
Adicione usuários com o GOsa².
Adicionar estações de trabalho com o GOsa².
A adição de usuários e estações de trabalho está descrita abaixo; então, por favor, leia este capítulo completamente. Cobre a execução correta dos passos mínimos, assim como outras ações que provavelmente terão que ser executadas.
Há informações adicionais em outras partes deste manual: o capítulo Novas funcionalidades no Bookworm deve ser lido por quem estiver familiarizado com versões anteriores do Debian. E para quem for atualizar a partir de uma versão anterior, certifique-se de ler o capítulo Atualizações.
Se o tráfego DNS genérico estiver bloqueado fora da rede e for necessário usar algum servidor DNS específico para procurar hospedeiros (hosts) de Internet, é necessário indicar ao servidor DNS o uso deste servidor como seu "expedidor" (forwarder). Atualizar /etc/bind/named.conf.options especificando o endereço IP do servidor DNS a usar.
O capítulo Instruções contém mais dicas e truques, assim como respostas a algumas perguntas frequentes.
O GOsa² é uma ferramenta de gestão baseada na Web que ajuda a gerenciar algumas partes importantes da instalação Debian Edu. Com o GOsa² podem ser executadas ações (adicionar, modificar ou eliminar) nestas áreas principais:
Administração de usuários
Administração de Grupos
Administração de grupos NIS Netgroup
Administração de máquinas
Administração de DNS
Administração do DHCP
Para acessar o GOsa² é necessário o servidor principal do Skolelinux e um sistema (cliente) com um navegador web instalado, que pode ser o próprio servidor principal se este tiver sido instalado como servidor combinado (perfis Servidor Principal + Servidor LTSP + Estação de Trabalho).
Se foi instalado um perfil de servidor principal puro (provavelmente por acidente) e não está disponível um cliente com um navegador web, é fácil instalar um ambiente de trabalho mínimo no servidor principal usando esta sequência de comandos num terminal (não-gráfico) como o usuário criado durante a instalação do servidor principal (primeiro usuário):
$ sudo apt update $ sudo apt install task-desktop-xfce lightdm education-menus $ sudo service lightdm start
A partir de um navegador web, usar o URL https://www/gosa para aceder ao GOsa² e iniciar sessão como primeiro usuário.
Se estiver usando uma nova máquina Debian Edu Bookworm, o certificado do site web será reconhecido pelo navegador.
Caso contrário, aparecerá uma mensagem de erro sobre o certificado SSL estar errado. Se o usuário estiver seguro de que no momento é o único usuário na rede, basta-lhe permitir que o navegador aceite o certificado, podendo ignorar o erro.
Depois de fazer login no GOsa², você verá a página de visão geral do GOsa².
Nesta página pode ser escolhida uma tarefa no menu ou clique em qualquer um dos ícones de tarefa. Para a navegação, é recomendada a utilização do menu do lado esquerdo da tela, uma vez que ficará visível em todas as páginas de administração disponibilizadas pelo GOsa².
No Debian Edu, a informação relativa a contas, grupos e sistemas é guardada num diretório LDAP. Estes dados são usados não apenas pelo servidor principal, mas também pelas estações de trabalho (sem disco), servidores LTSP e outras máquinas na rede. Com o LDAP, os dados das contas de alunos, professores, etc. só precisam ser inseridos uma vez. Após a informação ter sido fornecida no LDAP, estará disponível em todos os sistemas em toda a rede Skolelinux.
O GOsa² é uma ferramenta de administração que utiliza o LDAP para guardar a sua informação e disponibilizar uma estrutura hierárquica do departamento. A cada "departamento" podem ser adicionadas contas de usuários, grupos, sistemas, netgroups, etc. Dependendo da estrutura da instituição, a estrutura de departamentos no GOsa²/LDAP pode ser usada para transferir a estrutura organizacional para a árvore de dados do LDAP do servidor principal do Debian Edu.
Uma instalação padrão do servidor principal Debian Edu atualmente oferece dois "departamentos": Professores e Alunos, mais o nível base da árvore LDAP. As contas dos alunos devem ser adicionadas ao departamento "Alunos", as dos professores ao departamento "Professores"; os sistemas (servidores, estações de trabalho, impressoras, etc.) são presentemente adicionados ao nível base. Mas esta estrutura pode ser alterada. (No capítulo Instruções/Administração Avançada deste manual encontra-se um exemplo de como criar usuários em grupos por anos, com diretórios home comuns para cada grupo.)
Dependendo da tarefa que você deseja trabalhar (gerenciar usuários, gerenciar grupos, gerenciar sistemas, etc.), o GOsa² apresenta a você uma visão diferente sobre o departamento selecionado (ou o nível de base).
Primeiro, clique em "Usuários" no menu de navegação esquerdo. O lado direito da tela mudará para mostrar uma tabela com as pastas do departamento para "Alunos" e "Professores" e a conta do Administrador GOsa² (o primeiro usuário criado). Acima desta tabela, você pode ver um campo chamado Base que permite que você navegue por sua estrutura em árvore (mova o mouse sobre essa área e um menu suspenso aparecerá) e selecione uma pasta base para as suas operações pretendidas (por exemplo, adicionar um novo usuário).
Ao lado desse item de navegação em árvore, está o menu "Ações". Mover o mouse sobre este item fará aparecer um submenu; no menu, selecionar "Criar" e depois "Usuário". O assistente de criação de usuários guiará o processo.
O mais importante a adicionar é o modelo (novo aluno ou novo professor) e o nome real do usuário (ver imagem).
Conforme você segue o assistente, verá que GOsa² gera um nome de usuário automaticamente com base no nome real. Ele escolhe automaticamente um nome de usuário que ainda não existe, portanto, vários usuários com o mesmo nome completo não são um problema. Observe que GOsa² pode gerar nomes de usuário inválidos se o nome completo contiver caracteres não ASCII.
Se você não gostar do nome de usuário gerado, você pode selecionar outro
nome de usuário oferecido na caixa suspensa, mas você não tem uma escolha
livre aqui no assistente. (Se quiser editar o nome de usuário proposto, abra
/etc/gosa/gosa.conf
com um editor e
adicione allowUIDProposalModification = "true"
como uma opção adicional para a "definição de local".)
Quando o assistente for concluído, você verá a tela GOsa² para seu novo objeto de usuário. Use as guias na parte superior para verificar os campos preenchidos.
Depois de ter sido criado o usuário (por enquanto não é necessário personalizar os campos que o assistente deixou vazios), clicar no botão "Ok" no canto inferior direito.
Como último passo, o GOsa² pede uma senha para o novo utilizador. Introduzir a senha escolhida duas vezes e depois clicar em "Definir senha" no canto inferior direito. Alguns caracteres podem não ser permitidos como parte da senha.
Se tudo correu bem, o novo usuário aparecerá na tabela da lista de usuários. Agora deve ser possível entrar com esse nome de usuário em qualquer máquina da rede que tenha o sistema Skolelinux.
Para modificar ou eliminar um usuário, utilizar o GOsa² para consultar a lista de usuários no sistema. No meio da tela pode ser aberta a caixa "Filtro", uma ferramenta de pesquisa do GOsa². Não sendo conhecida a localização exata da conta de usuário na árvore, mudar para o nível base da árvore GOsa²/LDAP e procurar aí, marcando a opção "Procurar em subárvores".
Ao utilizar a caixa "Filtro", os resultados aparecerão imediatamente no centro do texto, na visualização da lista de tabelas. Cada linha representa uma conta de usuário e os itens mais à direita em cada linha são pequenos ícones que possibilitam as seguintes ações: editar usuário, bloquear conta, definir senha e remover usuário.
Aparecerá uma nova página onde poderá ser modificada diretamente a informação relativa ao usuário, alterada a senha do usuário e modificar a lista de grupos aos quais o usuário pertence.
Os alunos podem alterar suas próprias senhas fazendo login no GOsa² com seus próprios nomes de usuário. Para facilitar o acesso do GOsa², uma entrada chamada Gosa é fornecida no menu Sistema (ou Configurações do sistema) da área de trabalho. Um aluno conectado verá uma versão mínima do GOsa² que só permite o acesso à planilha de dados da conta do próprio aluno e ao diálogo para definir a senha.
Os professores conectados com seus próprios nomes de usuário têm privilégios especiais no GOsa². Eles têm uma visão mais privilegiada do GOsa² e podem alterar as senhas de todas as contas de alunos. Isso pode ser muito útil durante a aula.
Para definir administrativamente uma nova senha para um usuário
procure o usuário a ser modificado, conforme explicado acima
clique no símbolo da chave no final da linha em que o nome de usuário é mostrado
na página seguinte você pode definir uma nova senha escolhida por você
Esteja ciente das implicações de segurança causadas por senhas fáceis de adivinhar!
É possível criar usuários em massa com GOsa² usando um arquivo CSV, que pode
ser criado com qualquer bom software de planilha (por exemplo
localc
). No mínimo, as entradas para os
seguintes campos devem ser fornecidas: uid, sobrenome (sn), nome (givenName)
e senha. Certifique-se de que não haja entradas duplicadas no campo
uid. Observe que a verificação de duplicatas deve incluir entradas uid já
existentes no LDAP (que podem ser obtidas executando getent
passwd | grep tjener / home | cut -d ":" -f1
na linha de
comando).
Estas são as diretrizes de formato para esse arquivo CSV (GOsa² é bastante intolerante com elas):
Usar "," (uma vírgula) como separador de campo
Não usar aspas
O arquivo CSV não deve conter uma linha de cabeçalho (do tipo que normalmente contém os nomes das colunas)
A ordem dos campos não é relevante e pode ser definida no GOsa² durante a importação em massa
Os passos da importação em massa são:
clicar na ligação "Gestor do LDAP" no menu de navegação, à esquerda
clicar no separador "Importar" na tela à direita
navegue em seu disco local e selecione um arquivo CSV com a lista de usuários a serem importados
escolha um modelo de usuário disponível que deve ser aplicado durante a importação em massa (como NewTeacher ou NewStudent)
clique no botão "Importar" no canto inferior direito
É uma boa ideia fazer alguns testes primeiro, de preferência usando um arquivo CSV com alguns usuários fictícios, que podem ser excluídos posteriormente.
O mesmo se aplica ao módulo de gerenciamento de senhas, que permite redefinir muitas senhas usando um arquivo CSV ou regenerar novas senhas para usuários pertencentes a uma subárvore LDAP especial.
Contas de usuário também podem ser adicionadas a partir da linha de comando
usando a ferramenta
ldap-createuser-krb5
. Consulte a
documentação em Instruções de
administração
O gerenciamento de grupos é muito semelhante ao gerenciamento de usuários.
Você pode inserir um nome e uma descrição por grupo. Certifique-se de escolher o nível correto na árvore LDAP ao criar um novo grupo.
Adicionar usuários a um grupo recém-criado leva você de volta à lista de usuários, onde provavelmente gostaria de usar a caixa de filtro para localizar usuários. Verifique também o nível da árvore do LDAP.
Os grupos inseridos no gerenciamento de grupo também são grupos unix regulares, então você também pode usá-los para permissões de arquivo.
O gerenciamento de máquina basicamente permite que você gerencie todos os dispositivos em rede em sua rede Debian Edu. Cada máquina adicionada ao diretório LDAP usando GOsa² tem um nome de host, um endereço IP, um endereço MAC e um nome de domínio (que geralmente é "interno"). Para uma descrição mais completa da arquitetura Debian Edu, veja o capítulo arquitetura deste manual.
Quando ligados ao servidor principal combinado, as estações de trabalho sem disco e os clientes dependentes funcionam de imediato.
As estações de trabalho com disco (incluindo servidores LTSP separados)
têm de ser adicionadas através do
GOsa². Internamente, são gerados tanto um Kerberos Principal (como que uma
conta) específico da máquina, quanto um arquivo keytab
relacionado (contendo uma chave usada como senha); o
arquivo keytab tem que estar presente na estação de trabalho para ser capaz
de montar os diretórios pessoais dos utilizadores. Reiniciar a máquina
adicionada, fazer login no sistema através dela, como root, e executar
/usr/share/debian-edu-config/tools/copy-host-keytab
.
Para criar um arquivo Principal e keytab para um sistema já configurado através do GOsa², fazer login no servidor principal como root e executar
/usr/share/debian-edu-config/tools/gosa-modify-host <hostname> <IP>
Observe: a criação de keytab de host é possível para sistemas do tipo estações de trabalho , servidores e terminais mas não para aqueles do tipo netdevices . Consulte o capítulo Como fazer de clientes de rede para obter as opções de configuração de NFS.
Para adicionar uma máquina, use o menu principal do GOsa², sistemas, adicionar. Espera-se que o nome da máquina seja um hostname não-qualificado, não coloque nome de domínio aqui. Você pode usar um endereço IP/hostname (nome do hospedeiro) do espaço de endereço pré-configurado 10.0.0.0/8. Atualmente, existem apenas dois endereços fixos predefinidos: 10.0.2.2 (tjener) e 10.0.0.1 (gateway). Os endereços de 10.0.16.20 a 10.0.31.254 (aproximadamente 10.0.16.0/20 ou 4000 hosts) são reservados para DHCP e são atribuídos dinamicamente.
No GOsa², para atribuir um endereço IP estático a um hospedeiro com o
endereço MAC 52:54:00:12:34:10 é necessário introduzir o endereço MAC, o
nome do hospedeiro e o IP; em alternativa pode ser clicado o botão
Propor IP
que mostrará o primeiro endereço
fixo livre em 10.0.0.0/8, provavelmente algo como 10.0.0.0.2 se a primeira
máquina for adicionada desta forma. É boa prática planejar antes de
executar: por exemplo, pode ser usado 10.0.0.x com x>10 e x<50 para
servidores, e x>100 para estações de trabalho. Não esquecer de ativar o
sistema recém-adicionado. Com a exceção do servidor principal, todos os
sistemas terão um ícone correspondente.
Se as máquinas iniciarem como clientes dependentes/estações de trabalho sem
disco ou forem instaladas usando qualquer um dos perfis de rede, pode ser
usado o script sitesummary2ldapdhcp
para
adicionar automaticamente máquinas ao GOsa². Para máquinas simples
funcionará de imediato; para máquinas com mais de um endereço mac tem que
ser indicado o que for para usar; sitesummary2ldapdhcp
-h
mostra a informação de utilização. Notar que os
endereços IP mostrados após o uso de
sitesummary2ldapdhcp
pertencem à faixa de
IPs dinâmicos. Esses sistemas podem ser modificados para se adequarem à sua
rede: renomeie cada novo sistema, ative DHCP e DNS, adicione-o aos grupos de
rede (veja a imagem abaixo para grupos de rede recomendados), reinicie o
sistema depois. As capturas de tela a seguir mostram como isso fica na
prática:
root@tjener:~# sitesummary2ldapdhcp -a -i ether-22:11:33:44:55:ff info: Create GOsa machine for am-2211334455ff.intern [10.0.16.21] id ether-22:11:33:44:55:ff. Enter password if you want to activate these changes, and ^c to abort. Connecting to LDAP as cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no enter password: ******** root@tjener:~#
Um cronjob atualizando o DNS é executado a cada hora; su -c
ldap2bind
pode ser usado para acionar a atualização
manualmente.
Pesquisar e excluir máquinas é bastante semelhante a pesquisar e excluir usuários, de modo que as informações não se repetem aqui.
Depois de adicionar uma máquina à árvore do LDAP usando o GOsa², as propriedades podem ser modificadas usando a funcionalidade de busca e clicando no nome da máquina (assim como com os usuários).
O formato dessas entradas do sistema é semelhante ao que você já conhece ao modificar as entradas do usuário, mas os campos têm significados diferentes neste contexto.
Por exemplo, adicionar uma máquina a um Grupo de
Rede
não modifica as permissões de acesso a arquivos ou de
execução de comandos para aquela máquina nem os usuários com acesso naquela
máquina; em vez disso, restringe os serviços que a máquina pode usar no
servidor principal.
A instalação padrão inclui os Grupos de
rede
all-hosts
cups-queue-autoflush-hosts
cups-queue-autoreenable-hosts
fsautoresize-hosts
ltsp-server-hosts
netblock-hosts
printer-hosts
server-hosts
shutdown-at-night-hosts
shutdown-at-night-wakeup-hosts-blacklist
workstation-hosts
Atualmente, a funcionalidade Grupos de rede
é usada para:
Redimensionar partições (fsautoresize-hosts)
As máquinas Debian Edu neste grupo redimensionam automaticamente as partições LVM que ficarem sem espaço.
Desligar máquinas à noite (shutdown-at-night-hosts e shutdown-at-night-wakeup-hosts-blacklist)
As máquinas Debian Edu deste grupo serão desligadas automaticamente à noite para economizar energia.
Gestão de impressoras (cups-queue-autoflush-hosts e cups-queue-autoreenable-hosts)
As máquinas Debian Edu destes grupos irão eliminar automaticamente todas as filas de impressão, todas as noites, e reativar qualquer fila de impressão desativada a cada hora.
Acesso à Internet Bloqueado (netblock-hosts)
As máquinas Debian Edu deste grupo só se podem ligar a máquinas da rede local. Em conjunto com restrições no proxy da web, isto poderá ser usado durante os exames, por exemplo.
Para gerenciamento centralizado das impressoras, apontar o navegador web
para https://www.intern:631. Esta é a interface de gestão
CUPS normal, onde podem ser adicionadas/eliminadas/modificadas as
impressoras e onde pode ser limpa a fila de impressão. Por predefinição só é
dada permissão ao primeiro usuário; mas isso pode ser alterado adicionando
utilizadores ao grupo printer-admins
do
GOsa².
O pacote p910nd é instalado por predefinição nos sistemas com o perfil Estação de trabalho.
Editar o arquivo /etc/default/p910nd
desta
forma (impressora USB):
P910ND_OPTS="-f /dev/usb/lp0"
P910ND_START=1
Configurar a impressora usando a interface web
https://www.intern:631
; escolher o tipo de
impressora de rede AppSocket/HP JetDirect
(para todas as impressoras, independentemente da marca ou modelo) e definir
socket://<workstation ip>:9100
como
URI de ligação.
A configuração padrão no Debian Edu mantém os relógios de todas as máquinas sincronizados, mas não necessariamente com a hora certa. É usado o NTP para atualizar a hora. Os relógios são sincronizados com uma fonte externa por padrão. Isso pode fazer com que as máquinas mantenham a conexão externa à Internet aberta se a conexão for criada durante a sincronização.
No caso das ligações por linha telefônica convencional ou RDIS, com o serviço cobrado ao minuto, é recomendado alterar a configuração padrão.
Para desativar a sincronização com um relógio externo, é necessário
modificar o arquivo /etc/ntp.conf no servidor principal, adicionando ("#")
no início das entradas server
(ficam
desativadas). Depois disso, tem de ser reiniciado o servidor NTP, executando
service ntp restart
como root. Para testar
se uma máquina está usando as fontes externas do relógio, executar
ntpq -c lpeer
.
Devido a um possível defeito no particionamento automático, algumas
partições podem ficar muito cheias após a instalação. Para estender essas
partições, execute debian-edu-fsautoresize -n
como root. Consulte o HowTo "Como redimensionar partições"
no capítulo HowTo de administração
para obter mais informações.
Esta seção explica como usar o apt
full-upgrade
.
Usar o apt
é simples. Para atualizar um
sistema através da linha de comando, é necessária a execução de dois
comandos, como root: apt update
(que
atualiza as listas de pacotes disponíveis) e apt
full-upgrade
(que atualiza os pacotes para os quais haja
uma atualização disponível).
Também é uma boa ideia atualizar usando a localidade C para obter saída em inglês que, em casos de problemas, tem mais probabilidade de produzir resultados em mecanismos de pesquisa.
LC_ALL=C apt full-upgrade -y
Na atualização do pacote debian-edu-config
,
os arquivos de configuração do Cfengine podem ser alterados. Executar
ls -ltr /etc/cfengine3/debian-edu/
para
verificar se foi esse o caso. Para aplicar as modificações, executar
LC_ALL=C cf-agent -D installation
.
É importante executar debian-edu-ltsp-install
--diskless_workstation yes
após as atualizações do servidor
LTSP para manter a imagem SquashFS para clientes sem disco sincronizada.
Após uma atualização para uma nova versão pontual de um sistema com perfil
Servidor principal ou Servidor
LTSP, tem que ser executado o
debian-edu-pxeinstall
para atualizar o
ambiente de instalação PXE.
Também é boa prática instalar os pacotes
cron-apt
e
apt-listchanges
e configurá-los para
enviarem correio para um endereço usado diariamente.
Uma vez por dia o cron-apt
enviará por
correio uma mensagem de notificação dos pacotes que possam ser
atualizados. O programa não instala os pacotes atualizados, mas
descarrega-os (geralmente à noite), para que não seja necessário aguardar
pela transferência quando for executado o comando apt
full-upgrade
.
A instalação automática de atualizações pode ser feita facilmente. Basta que
o pacote unattended-upgrades
seja instalado
e configurado conforme descrito em wiki.debian.org/UnattendedUpgrades.
O programa apt-listchanges
pode enviar
novas entradas de registro de alterações por e-mail, ou em alternativa
exibi-las no terminal se executado apt
.
Executar cron-apt
conforme descrito acima é
uma boa maneira de saber quando atualizações de segurança estão disponíveis
para pacotes instalados. Outra maneira de se manter informado sobre
atualizações de segurança é assinar a lista de discussão
de anúncios de segurança do Debian, que tem o benefício de também
informar sobre o que se trata a atualização de segurança. A desvantagem (em
comparação com cron-apt
) é que ele também
inclui informações sobre atualizações para pacotes que não estão instalados.
Para gerenciamento de cópias de segurança, abrir https://www/slbackup-php no navegador da web. Notar que este site tem que ser acessado via SSL, uma vez que requer a senha de root. Se for tentado sem o uso de SSL, o acesso falhará.
Nota: o site só funcionará se for permitido temporariamente o acesso de root por ssh no servidor de cópias de segurança, que é o servidor principal (tjener.intern) por padrão.
Por padrão, cópias de segurança de
/skole/tjener/home0
,
/etc/
,
/root/.svk
e do LDAP são armazenadas no
diretório /skole/backup, que está gerenciado como uma partição pelo LVM. Se
você quiser apenas ter cópias de coisas (para o caso de alguma coisa ser
inadvertidamente apagada) esta configuração deve servir para você.
Esteja ciente de que esse esquema de backup não o protege de discos rígidos com defeito.
Para fazer cópias de segurança dos dados num servidor externo, num dispositivo de fita ou em outro disco rígido, é necessário modificar um pouco a configuração existente.
Para restaurar uma pasta completa, a melhor opção é usar a linha de comando:
$ sudo rdiff-backup -r <date> \ /skole/backup/tjener/skole/tjener/home0/user \ /skole/tjener/home0/user_<date>
Isto deixará o conteúdo de
/skole/tjener/home/utilizador
relativo a
determinada<data>
na pasta
/skole/tjener/home_<data>
Para restaurar um arquivo específico, terá de ser selecionado o arquivo (e a versão) a partir da interface web, e transferido apenas esse arquivo.
Para eliminar cópias de segurança mais antigas, escolher "Manutenção" no menu da página de cópias de segurança e selecionar a captura mais antiga a manter:
O sistema de informação de tendências Munin está disponível em https://www/munin/. Esta ferramenta apresenta gráficos de medição do estado do sistema numa base diária, semanal, mensal e anual, e fornece ao administrador do sistema ajuda na procura de estrangulamentos e das origens dos problemas do sistema.
A lista de máquinas monitoradas pelo Munin é gerada automaticamente, com
base na lista de máquinas (hosts) que mandam relatórios ao
sitesummary. Todos os hospedeiros com o pacote munin-node instalado são
registrados para monitoramento pelo Munin. Normalmente, demora um dia desde
que uma máquina é instalada até ao início do monitoramento pelo Munin, por
causa da ordem em que as tarefas agendadas (cronjobs) são executadas. Para
acelerar o processo, executar
sitesummary-update-munin
como root no
servidor que tem o sitesummary (normalmente o servidor principal). Isto irá
atualizar o arquivo /etc/munin/munin.conf
.
O conjunto de medições coletadas é gerado automaticamente em cada máquina
usando o programa munin-node-configure
que
sonda os plugins disponíveis em
/usr/share/munin/plugins/
e cria links
simbólicos para os relevantes em
/etc/munin/plugins/
.
Informações sobre o Munin estão disponíveis em https://munin-monitoring.org/.
O sistema e serviço de monitoramento Icinga está disponível em https://www/icingaweb2/. O conjunto de máquinas e serviços
monitorados é gerado automaticamente usando as informações coletadas pelo
sistema de resumo do site (sitesummary). As máquinas com perfis Servidor
Principal e Servidor LTSP são alvo de monitoramento completo, enquanto as
estações de trabalho e os clientes dependentes são alvo de monitoramento
simples. Para permitir o monitoramento completo de uma estação de trabalho,
instalar o pacote nagios-nrpe-server
na
própria estação de trabalho.
Por predefinição, o Icinga não envia e-mail. Isto pode ser alterado
substituindo notify-by-nothing
por
host-notify-by-email
e
notify-by-emaill
no arquivo
/etc/icinga/sitesummary-template-contacts.cfg
.
O arquivo de configuração do Icinga usado é
/etc/icinga/sitesummary.cfg
. A tarefa
agendada do sitesummary gera o arquivo
/var/lib/sitesummary/icinga-generated.cfg
com a lista de hospedeiros (hosts) e serviços a serem monitorados.
Podem ser colocadas verificações adicionais do Icinga no arquivo
/var/lib/sitesummary/icinga-generated.cfg.post
para serem incluídas no arquivo gerado.
Informação sobre o Icinga disponível em https://www.icinga.com/ ou no pacote
icinga-doc
.
Aqui estão as instruções sobre como lidar com os avisos mais comuns do Icinga.
A partição (/usr/ no exemplo) está muito cheia. Há basicamente duas maneiras
de lidar com isso: (1) remover alguns arquivos ou (2) aumentar o tamanho da
partição. Se a partição for /var/, limpar o cache APT executando
apt clean
pode remover alguns arquivos. Se
houver mais espaço disponível no grupo de volumes do LVM, executar o
programa debian-edu-fsautoresize
para
alargar as partições pode ajudar. Para executar este programa
automaticamente a cada hora, a máquina (host) em questão pode ser adicionado
ao grupo de rede fsautoresize-hosts
.
Estão disponíveis novos pacotes para atualização. Os pacotes críticos são
normalmente correções de segurança. Para fazer a atualização, execute
apt upgrade && apt full-upgrade
num
terminal, como root, ou fazer login no sistema via SSH e fazer o mesmo.
Quem tiver confiança em que o Debian gere as novas versões dos pacotes de
forma segura, pode evitar a ação de atualização manual, configurando o
unattended-upgrades
(atualizações não
vigiadas) para atualização automática, todas as noites, de todos os pacotes
atualizáveis. Isto não irá atualizar os chroots LTSP.
O núcleo (kernel) em execução é mais antigo do que o núcleo mais recente instalado e é necessário reiniciar o computador para passar a ser usado o núcleo mais recente instalado. Normalmente, isto é bastante urgente, já que os novos núcleos são disponibilizados no Debian Edu normalmente para corrigir problemas de segurança.
As filas de impressão no CUPS têm muitos trabalhos pendentes. Isto acontece
muito provavelmente devido a uma impressora ficar indisponível. Filas de
impressão desativadas são ativadas a cada hora em máquinas (hosts) do grupo
de rede cups-queue-autoreenable-hosts
;
portanto, para tais máquinas não deve ser necessária nenhuma ação manual. As
filas de impressão são descartadas todas as noites nas máquinas do grupo de
rede cups-queue-autoflush-hosts
. Se uma
máquina tiver muitos trabalhos em fila, pode ser adicionada a um ou a ambos
os grupos de rede.
O resumo do site (sitesummary) é usado para coletar informação de cada
computador e enviá-la para o servidor central. A informação coletada fica
disponível em
/var/lib/sitesummary/entries/
. Estão
disponíveis scripts em
/usr/lib/sitesummary/
para gerar
relatórios.
Um relatório simples do Sitesummary, sem informação detalhada, está disponível em https://www/sitesummary/.
Há alguma documentação sobre o Sitesummary disponível em https://wiki.debian.org/DebianEdu/HowTo/SiteSummary
Mais informações sobre a personalização do Debian Edu, útil para administradores de sistemas, nos capítulos Instruções de Administração e Instruções de Administração avançada
Antes de ler este guia de atualização, ter presente que as atualizações dos servidores são efetuadas por conta e risco dos administradores. O Debian Edu/Skolelinux vem SEM QUALQUER GARANTIA, na medida do permitido pela lei aplicável.
Favor ler este capítulo e o capítulo Novas funcionalidades no Bullseye deste manual por completo antes de tentar atualizar.
Atualizar o Debian de uma versão para a seguinte normalmente é bastante fácil. Mas no que diz respeito ao Debian Edu isso infelizmente é um pouco mais complicado, pois nós modificamos os arquivos de configuração de forma que não deveríamos. Contudo, os passos necessários estão documentados abaixo. (Ver o bug do Debian 311188 para mais informação – em inglês – sobre como o Debian Edu deverá modificar os arquivos de configuração)
Em geral, a atualização dos servidores é mais difícil do que as estações de trabalho, e o servidor principal é o mais difícil de atualizar.
Para garantir que após a atualização tudo funciona como funcionava antes, a atualização deve ser testada em um ou mais sistemas de teste configurados da mesma forma que as máquinas de produção. Neles a atualização pode ser testada sem riscos e pode ser confirmado que tudo funciona como previsto.
Não deixar de ler também a informação sobre a versão correspondente do Debian Stable no respectivo manual de instalação https://www.debian.org/releases/stable/installmanual.
Também poderá ser sensato esperar um pouco e continuar a usar por mais algumas semanas a versão instalada, aguardando que outros testem a atualização e documentem quaisquer problemas com que se deparem. A versão instalada do Debian Edu receberá apoio contínuo ainda durante algum tempo após a publicação da nova versão. Mas quando o Debian cessar o apoio à versão anterior, o Debian Edu também cessará, necessariamente.
Esteja preparado: certifique-se de testar a atualização a partir da versão Bullseye num ambiente de teste ou de que exista cópias de segurança prontas para permitir uma restauração.
Note que o procedimento a seguir se aplica a uma instalação padrão do servidor principal Debian Edu (ambiente de trabalho xfce, perfis Servidor Principal, Estação de Trabalho, Servidor LTSP). (Para uma ideia geral sobre a atualização do Debian Bullseye para Bookworm, ver: https://www.debian.org/releases/bookworm/releasenotes)
Não usar diretamente o X (o servidor gráfico do sistema operacional), usar um console virtual, faça login como root.
Se o apt
der erro, tentar corrigir o erro
e/ou executar apt -f install
e depois
apt -y full-upgrade
mais uma vez.
Começar por garantir que o sistema instalado (o Buster) está atualizado:
apt update apt full-upgrade
Preparar e iniciar a atualização para Bookworm (nova entrada de segurança):
sed -i 's/bullseye/bookworm/g' /etc/apt/sources.list export LC_ALL=C apt update apt upgrade --without-new-pkgs apt full-upgrade
apt-list-changes: prepare-se para ler muitas INFORMAÇÕES; pressione <enter> para rolar para baixo, <q> para deixar o paginador (programa de leitura de páginas em console). Toda a informação será enviada para root para que possa ser lida novamente (usando mailx ou mutt).
Ler atentamente todas as informações do debconf (configuração do debian); escolher "manter a versão local atualmente instalada", a menos que indicado de forma diferente abaixo; na maioria dos casos, pressionar enter é o indicado.
reiniciar serviços: Escolha sim.
servidor Samba e utilitários: Escolher 'manter a versão local atualmente instalada'.
openssh-server: Escolher 'manter a versão local atualmente instalada'.
Aplicar e ajustar a configuração:
cf-agent -v -D installation
Verificar se o sistema atualizado funciona:
Reiniciar; fazer login como primeiro usuário e testar
se a interface GOsa² está funcionando,
se é possível ligar clientes e estações de trabalho LTSP,
se é possível adicionar/remover membros a um grupo de rede de um sistema,
se é possível enviar e receber e-mail interno,
se é possível gerenciar impressoras,
e se outros elementos específicos da escola estão funcionando.
Para atualizar a partir de qualquer versão antiga, é necessário atualizar primeiro para a versão Debian Edu baseada no Bullseye, antes de seguir as instruções acima. As instruções estão disponíveis no Manual do Debian Edu Bullseye sobre como atualizar para Bullseye a partir da versão anterior, Buster.
Instruções para administração geral
Instruções para administração avançada
Instruções para o ambiente de trabalho
Instruções para clientes de rede
Instruções para Samba
Instruções para ensino e aprendizagem
Instruções para usuários
Os capítulos Primeiros passos e Manutenção descrevem como começar a usar o Debian Edu e como fazer o trabalho básico de manutenção. As instruções neste capítulo têm algumas dicas e truques mais "avançados".
Usando o etckeeper
, todos os arquivos em
/etc/
são rastreados usando o Git como sistema de controle de
versão.
Isto torna possível ver quando um arquivo é adicionado, alterado ou
removido, assim como o que foi alterado se o arquivo em causa for um arquivo
de texto. O repositório git é guardado em
/etc/.git/
.
A cada hora, quaisquer novas alterações são automaticamente registradas; o histórico de configuração pode ser extraído e consultado.
Para ver o histórico, é usado o comando etckeeper vcs
log
. Para ver as diferenças entre dois momentos no tempo,
pode ser usado um comando como etckeeper vcs diff
.
Para mais informações, ver os resultados de man
etckeeper
.
Lista de comandos úteis:
etckeeper vcs log etckeeper vcs status etckeeper vcs diff etckeeper vcs add . etckeeper vcs commit -a man etckeeper
Num sistema recém-instalado, tentar este comando para ver todas as alterações feitas desde que o sistema foi instalado:
etckeeper vcs log
Para ver que arquivos não são atualmente rastreados e os que não estão atualizados:
etckeeper vcs status
Para submeter manualmente um arquivo, para você não ter que esperar até uma hora:
etckeeper vcs commit -a /etc/resolv.conf
No Debian Edu, todas as partições que não a partição
/boot/
estão em volumes lógicos LVM. Com os
núcleos (kernels) Linux, desde a versão 2.6.10, é possível estender as
partições estando elas montadas. Encolher partições ainda tem de ser feito
com as partições desmontadas.
É uma boa prática evitar a criação de partições muito grandes (mais de,
digamos, 20GiB), devido ao tempo que demora a execução do
fsck
sobre elas ou a restaurá-las a partir
de cópias de segurança, se for necessário. É melhor, se for possível, criar
várias partições menores em vez de uma partição muito grande.
É disponibilizado o script de ajuda
debian-edu-fsautoresize
para facilitar a
extensão de partições cheias. Quando invocado, o script lê a configuração a
partir de
/usr/share/debian-edu-config/fsautoresizetab
,
/site/etc/fsautoresizetab
e
/etc/fsautoresizetab
. Propõe então estender
as partições que tenham muito pouco espaço livre, de acordo com as regras
estabelecidas nestes arquivos. Se executado sem argumentos, mostrará apenas
os comandos necessários à extensão do sistema de arquivos. É necessário o
argumento -n
para que estes comandos para
extensão do sistema de arquivos sejam realmente executados.
O script é executado automaticamente a cada hora em cada cliente listado no
grupo de rede fsautoresize-hosts
.
Quando a partição utilizada pelo intermediário (proxy) Squid é
redimensionada, o valor para o tamanho do cache em
etc/squid/squid.conf
também tem que ser
atualizado. É disponibilizado o script de ajuda
/usr/share/debian-edu-config/tools/squid-update-cachedir
para fazer essa operação automaticamente, verificando o tamanho atual da
partição /var/spool/squid/
e configurando o
Squid para usar 80% desse valor como tamanho de cache.
O Logical Volume Management (LVM), ou gestão de volumes lógicos, permite redimensionar as partições enquanto elas estão montadas e em uso. Mais sobre o LVM em Gerenciamento de volumes lógicos.
Para estender manualmente um volume lógico, basta indicar no comando
lvextend
o tamanho pretendido para esse
volume. Por exemplo, para estender home0 para 30GiB usar os seguintes
comandos:
lvextend -L30G /dev/vg_system/skole+tjener+home0 resize2fs /dev/vg_system/skole+tjener+home0
Para estender home0 em 30GiB adicionais, insira um '+' (-L+30G).
O ldapvi é uma ferramenta para editar base de dados LDAP com um editor de texto normal no terminal.
É necessário executar o seguinte:
ldapvi -ZD '(cn=admin)'
Nota: O ldapvi
usará o editor predefinido,
qualquer que ele seja. Executando export
EDITOR=vim
na linha de comando é possível configurar o
ambiente para obter um clone do vi como editor.
Aviso: O ldapvi
é uma ferramenta muito
poderosa. É necessário cuidado redobrado para que a base de dados LDAP não
seja corrompida. Este aviso aplica-se também ao JXplorer.
Usar o Kerberos para fazer o NFS montar diretórios de usuário é uma funcionalidade de segurança. Os clientes LTSP e estações de trabalho não funcionam sem o Kerberos. São suportados os níveis krb5, krb5i e krb5p (krb5 significa autenticação Kerberos, i significa verificação de integridade e p verificação de privacidade, ou seja, criptografia); a carga, tanto no servidor quanto na estação de trabalho, aumenta com o nível de segurança; o nível krb5i é uma boa opção e foi escolhido como padrão.
Servidor principal
faça login como root
execute ldapvi -ZD '(cn=admin)'
, procure
por sec=krb5i e substitua por
sec=krb5 ou sec=krb5p, conforme
for pretendido.
edite /etc/exports.d/edu.exports
: e ajuste
essas entradas conforme:
/srv/nfs4 gss/krb5i(rw,sync,fsid=0,crossmnt,no_subtree_check) /srv/nfs4/home0 gss/krb5i(rw,sync,no_subtree_check)
execute exportfs -r
.
Esta ferramenta permite estabelecer a impressora predefinida, dependendo da
localização, da máquina ou do grupo a que pertença. Para mais informações,
ver
/usr/share/doc/standardskriver/README.md
.
O arquivo de configuração
/etc/standardskriver.cfg
tem de ser
fornecido pelo administrador; ver
/usr/share/doc/standardskriver/examples/standardskriver.cfg
como exemplo.
Para trabalhar com a base de dados LDAP usando uma interface gráfica,
experimentar o pacote jxplorer
, que é
instalado por padrão. Para obter acesso de escrita, conecte-se desta forma:
host: ldap.intern port: 636 Security level: ssl + user + password User dn: cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no
O ldap-createuser-krb
é uma pequena
ferramenta de linha de comando para criar usuários, e é invocada como segue:
ldap-createuser-krb5 [-u uid] [-g gid] [-G group[,group]...] [-d department] <username> <gecos>
Todos os argumentos, exceto o nome de usuário e o campo GECOS, são
opcionais, este último geralmente deve conter o nome completo do usuário. A
menos que especificado, a ferramenta escolherá automaticamente os próximos
UID e GID livres e não atribuirá nenhum grupo adicional ao usuário. Se
nenhum departamento for fornecido, ela escolherá o primeiro
gosaDepartment do LDAP, que provavelmente é
skole. Para usuários comuns, isso geralmente não é o
desejado, então você deve escolher um valor apropriado para o usuário como,
por exemplo, Professores ou
Alunos. Após inserir e confirmar a senha e inserir a
senha do administrador do LDAP,
ldap-createuser-krb5
criará a conta de
usuário no LDAP, definirá a senha Kerberos, criará o diretório inicial e
adicionará um usuário Samba correspondente. A captura de tela a seguir
mostra um exemplo de invocação para criar uma conta de usuário chamada
harhir
para um professor cujo nome completo
é "Harry Hirsch":
root@tjener:~# ldap-createuser-krb5 -d Teachers harhir "Harry Hirsch" new user password: confirm password: dn: uid=harhir,ou=people,ou=Teachers,dc=skole,dc=skolelinux,dc=no changetype: add objectClass: top objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson objectClass: gosaAccount objectClass: posixAccount objectClass: shadowAccount objectClass: krbPrincipalAux objectClass: krbTicketPolicyAux sn: Harry Hirsch givenName: Harry Hirsch uid: harhir cn: Harry Hirsch userPassword: {CRYPT}$y$j9T$TWnq55O1rvyLhjF.$oVf.t.RXC1v/4Y8FhV0umno629mo7bP7/YJyig6HET6 homeDirectory: /skole/tjener/home0/harhir loginShell: /bin/bash uidNumber: 1004 gidNumber: 1004 gecos: Harry Hirsch shadowLastChange: 19641 shadowMin: 0 shadowMax: 99999 shadowWarning: 7 krbPwdPolicyReference: cn=users,cn=INTERN,cn=kerberos,dc=skole,dc=skolelinux,dc=no krbPrincipalName: harhir@INTERN ldap_initialize( <DEFAULT> ) Enter LDAP Password: add objectClass: top person organizationalPerson inetOrgPerson gosaAccount posixAccount shadowAccount krbPrincipalAux krbTicketPolicyAux add sn: Harry Hirsch add givenName: Harry Hirsch add uid: harhir add cn: Harry Hirsch add userPassword: {CRYPT}$y$j9T$TWnq55O1rvyLhjF.$oVf.t.RXC1v/4Y8FhV0umno629mo7bP7/YJyig6HET6 add homeDirectory: /skole/tjener/home0/harhir add loginShell: /bin/bash add uidNumber: 1004 add gidNumber: 1004 add gecos: Harry Hirsch add shadowLastChange: 19641 add shadowMin: 0 add shadowMax: 99999 add shadowWarning: 7 add krbPwdPolicyReference: cn=users,cn=INTERN,cn=kerberos,dc=skole,dc=skolelinux,dc=no add krbPrincipalName: harhir@INTERN adding new entry "uid=harhir,ou=people,ou=Teachers,dc=skole,dc=skolelinux,dc=no" modify complete Authenticating as principal root/admin@INTERN with password. kadmin.local: change_password harhir@INTERN Enter password for principal "harhir@INTERN": Re-enter password for principal "harhir@INTERN": Password for "harhir@INTERN" changed. kadmin.local: lpcfg_do_global_parameter: WARNING: The "encrypt passwords" option is deprecated Added user harhir.
Embora seja possível usar a funcionalidade de atualizações estáveis (stable-updates) diretamente, isso não é necessário: estas são enviadas para a suíte estável regularmente quando são feitas as versões pontuais estáveis, o que acontece aproximadamente a cada dois meses.
Quem usa o Debian Edu é porque prefere a estabilidade do Debian, distribuição que funciona muito bem. Mas tem um problema: às vezes o software está um pouco mais desatualizado do que o desejado. É aqui que o backports.debian.org entra em cena.
Pacotes backports são pacotes recompilados do Debian testing (principalmente) e do Debian unstable (em poucos casos apenas – por exemplo, atualizações de segurança), para que funcionem sem novas bibliotecas (sempre que possível) numa distribuição Debian estável como a Debian Edu. Recomenda-se que sejam escolhidos pacotes específicos de acordo com as necessidades, e que não sejam usados todos os pacotes backports disponíveis.
O uso de pacotes backports é simples. Executar:
echo "deb http://deb.debian.org/debian/ bookworm-backports main" > /etc/apt/sources.list.d/bookworm-backports.sources.list apt update
Após o que os pacotes backports são facilmente instaláveis: o seguinte comando irá instalar uma versão backport do tuxtype:
apt install tuxtype/bookworm-backports
Backports são atualizados automaticamente (se disponíveis), assim como outros pacotes. Como o arquivamento normal, os backports têm três seções: principal (main), contrib e non-free.
Se você deseja atualizar de uma versão para outra (por exemplo, de Bookworm 12.1 para 12.2) sem conexão com a Internet, apenas com mídias físicas, seguir estes passos:
Inserir o CD / DVD / Disco blu-ray / pendrive USB e executar o comando apt-cdrom:
apt-cdrom add
Para citar a página man do apt-cdrom (8):
O apt-cdrom é usado para adicionar um novo CD-ROM à lista de fontes disponíveis do APT. Identifica a estrutura do disco, pode corrigir vários possíveis erros de gravação e verifica os arquivos de índice.
É necessário usar o apt-cdrom para adicionar CDs ao sistema APT. Esta ação não pode ser executada manualmente. Além disso, quando forem usados conjuntos multi-CD, cada disco tem que ser inserido e verificado separadamente para prevenir possíveis falhas de gravação.
Em seguida, executar estes dois comandos para atualizar o sistema:
apt update apt full-upgrade
O killer
é um script em perl que aniquila
trabalhos em segundo plano. Trabalhos em segundo plano são definidos como
processos pertencentes a usuários que não estão atualmente em sessão na
máquina. É executado por uma tarefa agendada (cron job) uma vez por hora.
O unattended-upgrades
é um pacote
(programa) Debian que instala automaticamente as atualizações de segurança
(e outras). Se instalado, o pacote é pré-configurado para instalar
automaticamente as atualizações de segurança. Os registros de alterações
(logs) estão disponíveis em
/var/log/unattended-upgrades/
; também podem
sempre ser consultados os arquivos
/var/log/dpkg.log
e
/var/log/apt/
.
É possível economizar energia e dinheiro desligando automaticamente as
máquinas clientes à noite e voltando a ligá-las novamente pela manhã. O
pacote shutdown-at-night
tenta desligar
cada máquina de hora a hora a partir das 16:00, mas não as desligará se
parecerem estar em uso. Em cada máquina, o programa tenta passar informação
à BIOS para ligar a máquina por volta das 07:00 da manhã e o servidor
principal vai tentar ligar todas as máquinas a partir das 06:30 enviando
pacotes wake-on-lan. Estes horários podem ser alterados nos crontabs das
máquinas individuais.
Algumas considerações a se levar em conta ao estabelecer este procedimento:
Os clientes não devem ser desligados quando alguém os está usando. Isto é
assegurado pela verificação do resultado de
who
e, como caso especial, pela verificação
de que o comando de conexão SSH funciona com os clientes dependentes X2Go.
Para evitar queimar os fusíveis elétricos / disparar os disjuntores, é boa prática garantir que os clientes não iniciem todos ao mesmo tempo.
Há dois métodos diferentes para reativar os clientes. Um usa um recurso da
BIOS e requer um relógio interno funcional e com a hora certa, assim como
uma placa-mãe e uma versão da BIOS compatíveis com o
nvram-wakeup
; o outro requer que os
clientes sejam compatíveis com o Wake-on-LAN e que o servidor tenha
informação sobre todos os clientes a serem reativados.
Em clientes que devem ser desligados à noite, execute touch
/etc/shutdown-at-night/shutdown-at-night
ou adicione o nome
do host (ou seja, o resultado de 'uname -n
'
no cliente) ao grupo de rede "shutdown-at-night-hosts". A adição de host ao
grupo de rede no LDAP pode ser feita usando a ferramenta web
GOsa²
. Os clientes podem precisar de ter o
Wake-on-LAN configurado na BIOS. É importante também que os comutadores
(switches) e roteadores utilizados entre o servidor de Wake-on-LAN (WOL) e
os clientes passem os pacotes WOL para os clientes, mesmo que os clientes
estejam desligados. Alguns comutadores não passam os pacotes aos clientes
que faltem na tabela ARP do comutador, e isso bloqueia os pacotes WOL.
Para ativar o Wake-on-LAN no servidor, adicione os clientes a
/etc/shutdown-at-night/clients
, com uma
linha por cliente, primeiro o endereço IP, seguido pelo endereço MAC
(endereço ethernet), separado por um espaço; ou crie um script
/etc/shutdown-at-night/clients-generator
para gerar a lista de clientes em tempo real.
Um exemplo
/etc/shutdown-at-night/clients-generator
para uso com o sitesummary:
#!/bin/sh PATH=/usr/sbin:$PATH export PATH sitesummary-nodes -w
Se o grupo de rede for usado para ativar o desligar à noite nos clientes,
uma alternativa é este script usar a ferramenta netgroup do pacote
ng-utils
:
#!/bin/sh PATH=/usr/sbin:$PATH export PATH netgroup -h shutdown-at-night-hosts
Para acessar a partir da Internet a máquinas protegidas por um firewall,
considerar a instalação do pacote
autossh
. Este pacote pode ser usado para
configurar um túnel SSH para uma máquina ligada à Internet. O servidor por
trás da barreira/firewall fica acessível a partir dessa máquina através do
túnel SSH.
Na instalação predefinida, todos os serviços são executados no servidor principal, nome de máquina tjener. Para simplificar a transferência da execução de alguns serviços para outra máquina, está disponível o perfil de instalação Mínimo. A instalação do sistema com este perfil numa máquina que faça parte da rede Debian Edu, fará com que a máquina fique sem qualquer serviço em execução (até que lhe seja atribuído algum).
Estes são os passos necessários para configurar uma máquina dedicada a alguns serviços:
escolher o perfil mínimo durante a instalação
instalar os pacotes correspondentes ao serviço
configurar o serviço
desativar o serviço no servidor principal
atualizar o DNS (via LDAP/GOsa²) no servidor principal
FIXME: The HowTos from https://wiki.debian.org/DebianEdu/HowTo/ are either user- or developer-specific. Let's move the user-specific HowTos over here (and delete them over there)! (But first ask the authors (see the history of those pages to find them) if they are fine with moving the howto and putting it under the GPL.)
Neste capítulo são descritas tarefas de administração avançada.
Neste exemplo pretende-se criar usuários em grupos por ano, com diretórios home comuns para cada grupo (home0/2024, home0/2026, etc). Pretende-se criar os usuários através da importação de CSV.
(como root no servidor principal)
Criar os diretórios de grupo por ano que forem necessários
mkdir /skole/tjener/home0/2024
(como primeiro usuário no GOsa)
Departamento
Menu principal: ir para 'Estrutura de diretórios', clicar no departamento 'Alunos'. O campo 'Base' deve mostrar '/Alunos'. No campo 'Ações' da caixa suspensa, escolher 'Criar' / 'Departamento'. Preencher os valores dos campos Nome (2024) e Descrição (alunos formados em 2024), deixar o campo Base como está (deve ser '/Alunos'). Guardar clicando em 'Ok'. Agora o novo departamento (2024) deve aparecer abaixo de /Alunos. Clicar para abrir.
Grupo
Escolher 'Grupos' no menu principal; 'Ações'/Criar/Grupo. Introduzir o nome do grupo (deixar 'Base' como está, deve ser /Alunos/2024) e pressionar 'Ok' para salvar.
Modelo
Escolher 'usuários' no menu principal. No campo Base, mudar para
'Alunos'. Deve aparecer uma entrada Novo
Aluno
; clique para abrir. Este é o modelo 'alunos', não é
um usuário. Uma vez que terá de ser criado um modelo com base neste (para
poder ser feita a importação csv), deve ser tomada nota de todas as entradas
que aparecem nos separadores Genéricos e POSIX, talvez fazendo capturas de
tela, para que as informações necessárias ao novo modelo possam ser
preparadas.
Agora, mudar para /Students/2024 no campo Base; escolher Criar/Modelo e começar a preencher com os valores desejados, primeiro na aba Genérico (adicionar também o novo grupo 2024 em Grupos, também); depois adicionar a conta POSIX.
Importar usuários
Escolher o novo modelo ao fazer a importação de CSV; é recomendável testá-lo com alguns usuários.
Com este script, o administrador pode criar uma pasta no diretório pessoal de cada usuário e definir permissões de acesso e propriedade.
No exemplo abaixo com grupo=professores e permissões=2770 um usuário pode entregar um trabalho guardando o arquivo na pasta "trabalhos", à qual os professores têm acesso de escrita para poderem fazer comentários.
#!/bin/bash home_path="/skole/tjener/home0" shared_folder="assignments" permissions="2770" created_dir=0 for home in $(ls $home_path); do if [ ! -d "$home_path/$home/$shared_folder" ]; then mkdir $home_path/$home/$shared_folder chmod $permissions $home_path/$home/$shared_folder user=$home group=teachers chown $user:$group $home_path/$home/$shared_folder ((created_dir+=1)) else echo -e "the folder $home_path/$home/$shared_folder already exists.\n" fi done echo "$created_dir folders have been created"
Seguir estes passos para configurar um servidor de armazenamento dedicado, para diretórios home dos usuários e possivelmente outros dados.
Adicionar um novo sistema de tipo servidor
utilizando o GOsa² como descrito no capítulo Primeiros passos deste manual.
Este exemplo usa 'nas-server.intern' como nome do servidor. Uma vez configurado o 'nas-server.intern', verificar se os pontos de exportação NFS do novo servidor de armazenamento são exportados para as sub-redes ou máquinas a que se apliquem:
root@tjener:~# showmount -e nas-server Export list for nas-server: /storage 10.0.0.0/8 root@tjener:~#
Neste caso tudo o que estiver na rede principal tem acesso ao export /storage. (Isto pode ser restringido a grupos de rede ou a endereços IP específicos para limitar o acesso ao NFS como é feito no arquivo tjener:/etc/exports.)
Adicionar informação de montagem automática sobre o 'nas-server.intern' no LDAP, para permitir que todos os clientes montem automaticamente a nova exportação requerida.
Isto não pode ser feito através do GOsa², porque falta um módulo para montagem automática. Em vez disso, usar o ldapvi e adicionar os objetos LDAP necessários usando um editor.
ldapvi --ldap-conf -ZD '(cn=admin)' -b
ou=automount,dc=skole,dc=skolelinux,dc=no
Quando o editor aparecer, adicionar os objetos LDAP seguintes na parte inferior do documento. (A parte "/&" no último objeto LDAP é um carácter polivalente que corresponde a tudo o que o 'nas-server.intern' exporta, evitando a necessidade de listar pontos de montagem individuais no LDAP)
add cn=nas-server,ou=auto.skole,ou=automount,dc=skole,dc=skolelinux,dc=no objectClass: automount cn: nas-server automountInformation: -fstype=autofs --timeout=60 ldap:ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no add ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no objectClass: top objectClass: automountMap ou: auto.nas-server add cn=/,ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no objectClass: automount cn: / automountInformation: -fstype=nfs,tcp,rsize=32768,wsize=32768,rw,intr,hard,nodev,nosuid,noatime nas-server.intern:/&
Adicionar as entradas aplicáveis em tjener.intern:/etc/fstab, porque tjener.intern não usa a montagem automática para evitar montagens sucessivamente falhadas:
Criar os diretórios de pontos de montagem usando
mkdir
; editar '/etc/fstab' como adequado e
executar mount -a
para montar os novos
recursos.
Agora, os usuários devem poder acessar diretamente os arquivos em 'nas-server.intern', bastando abrir o diretório '/tjener/nas-server/storage/' utilizando qualquer aplicação em qualquer estação de trabalho, cliente enxuto LTSP ou servidor LTSP.
Há várias formas de restringir o acesso por SSH. Seguem algumas abaixo.
Se não forem usados clientes LTSP, uma solução simples é criar um novo grupo
(digamos sshusers
) e adicionar uma linha ao
arquivo /etc/ssh/sshd_config da máquina. Os membros do grupo
sshusers
, e apenas eles, poderão então
entrar na máquina via ssh a partir de qualquer lugar.
Gerenciar este caso através do GOsa é bastante simples:
Criar um grupo sshusers
no nível base (onde
já aparecem outros grupos relacionados, com a gestão do sistema, como
gosa-admins
).
Adicionar usuários ao novo grupo sshusers
.
Adicionar AllowGroups sshusers
a
/etc/ssh/sshd_config.
Executar service ssh restart
.
A configuração predefinida de cliente LTSP sem disco não faz uso de conexões SSH. Basta atualizar a imagem SquashFS no servidor LTSP respectivo, após a configuração do SSH ter sido alterada.
Os clientes dependentes X2Go utilizam conexões SSH com o servidor LTSP respectivo. Então, é necessária uma abordagem diferente, utilizando o PAM.
Ativar pam_access.so no arquivo /etc/pam.d/sshd do servidor LTSP.
Configurar o arquivo /etc/security/access.conf para permitir ligações a partir de qualquer lugar para (por exemplo) os usuários alice, jane, bob e john, e para todos os outros usuários somente a partir das sub-redes internas, adicionando estas linhas:
+ : alice jane bob john : ALL + : ALL : 10.0.0.0/8 192.168.0.0/24 192.168.1.0/24 - : ALL : ALL #
Se apenas forem utilizados servidores LTSP dedicados, a rede 10.0.0.0/8 poderá ser descartada para desativar o acesso interno via SSH. Nota: alguém que se conecte a sua máquina a qualquer rede de clientes LTSP dedicada também terá acesso SSH ao(s) servidor(es) LTSP.
Se os clientes X2Go estiverem ligados à rede principal 10.0.0.0/8, as coisas serão ainda mais complicadas e talvez apenas uma sofisticada configuração de DHCP (em LDAP), verificando o identificador do fornecedor (vendor-class-identifier) juntamente com a configuração PAM apropriada, permita desativar o acesso interno por SSH.
Para usar vários idiomas, estes passos precisam ser realizados:
Executar dpkg-reconfigure locales
(como
root) e escolher os idiomas (variantes UTF-8).
Executar estes comandos como root para instalar os pacotes necessários:
apt update /usr/share/debian-edu-config/tools/install-task-pkgs /usr/share/debian-edu-config/tools/improve-desktop-l10n
Com os ambientes de trabalho Xfce, LXDE e LXQt, os usuários podem então
escolher o idioma através do gerenciador de tela LightDM (apresenta-se como
tela de entrada), antes de logarem no sistema. Os ambientes GNOME e KDE vêm
ambos com as suas próprias ferramentas internas de configuração de
localização (região e idioma), pelo que devem ser estas as usadas. O
ambiente MATE usa a tela de entrada Arctica sobre o LightDM, sem um seletor
de idioma. Executar apt purge
arctica-greeter
para obter a tela de entrada do LightDM.
Para reproduzir a maioria dos DVDs comerciais é necessária a biblioteca
libdvdcss. Por razões legais, esta não vem incluída no Debian (Edu). Se do
ponto de vista legal o uso estiver autorizado, podem ser construídos pacotes
localmente usando o pacote Debian
libdvd-pkg
; garantir que
contrib
esteja ativado em
/etc/apt/sources.list
.
apt update apt install libdvd-pkg
Atender às solicitações do debconf e executar
dpkg-reconfigure libdvd-pkg
.
Um termo genérico para clientes dependentes e estações de trabalho sem disco é cliente LTSP.
Começando com Bullseye, o LTSP é bem diferente das versões anteriores. Isso diz respeito tanto à configuração quanto à manutenção.
Como uma diferença principal, a imagem SquashFS para estações de trabalho sem disco agora é gerada a partir do sistema de arquivos do servidor LTSP por padrão. Isso acontece em um servidor combinado na primeira inicialização, levando algum tempo.
Thin clients não fazem mais parte do LTSP. O Debian Edu usa o X2Go para ainda suportar o uso de thin client.
No caso de um servidor LTSP separado ou adicional, as informações necessárias para configurar o ambiente do cliente LTSP não estão completas no momento da instalação. A configuração pode ser feita uma vez que o sistema tenha sido adicionado com GOsa².
Para informação sobre LTSP em geral, consultar o site do LTSP. Em sistemas com perfil
servidor LTSP, o comando man
ltsp
dá mais informações.
Observe que a ferramenta ltsp do LTSP deve ser usada
com cuidado. Por exemplo, ltsp image /
falharia ao gerar a imagem SquashFS no caso de máquinas Debian (estas têm
uma partição /boot separada por padrão), ltsp
ipxe
falharia ao gerar o menu iPXE corretamente (devido ao
suporte a thin client do Debian Edu), e ltsp
initrd
atrapalharia completamente a inicialização do
cliente LTSP.
A ferramenta debian-edu-ltsp-install é um
script wrapper para ltsp image
,
ltsp initrd
e ltsp
ipxe
. Ele é usado para configurar e configurar estações de
trabalho sem disco e suporte para thin client (PC de 64 bits e 32
bits). Veja man debian-edu-ltsp-install
ou
o conteúdo do script para ver como funciona. Toda a configuração está
contida no próprio script (documentos AQUI) para facilitar os ajustes
específicos do site.
Exemplos de como usar o script wrapper debian-edu-ltsp-install:
debian-edu-ltsp-install --diskless_workstation
yes
atualiza a imagem SquashFS da estação de trabalho sem
disco (sistema de arquivos do servidor).
debian-edu-ltsp-install --diskless_workstation yes
--thin_type bare
cria uma estação de trabalho sem disco e
suporte para thin client de 64 bits.
debian-edu-ltsp-install --arch i386 --thin_type
bare
cria suporte adicional para thin client de 32 bits
(imagem chroot e SquashFS).
Além da opção bare (o sistema cliente dependente mais básico), também estão disponíveis as opções display e desktop. Os clientes dependentes do tipo display têm um botão de desligar, enquanto que os do tipo desktop executam o Firefox ESR em modo quiosque no próprio cliente (é necessária mais memória RAM local e mais potência de CPU, mas reduz a carga no servidor).
A ferramenta debian-edu-ltsp-ipxe é um
script wrapper para ltsp ipxe
. Ele garante
que o arquivo /srv/tftp/ltsp/ltsp.ipxe seja específico do Debian Edu. O
comando precisa ser executado após os itens relacionados ao menu iPXE (como
tempo limite do menu ou configurações de inicialização padrão) na seção
/etc/ltsp/ltsp.conf [server] terem sido modificados.
A ferramenta debian-edu-ltsp-initrd é um
script wrapper para ltsp initrd
. Ele
garante que um initrd específico do caso de uso (/srv/tftp/ltsp/ltsp.img)
seja gerado e então movido para o diretório relacionado ao caso de uso. O
comando precisa ser executado depois que a seção /etc/ltsp/ltsp.conf
[clients] for modificada.
A ferramenta debian-edu-ltsp-chroot é um substituto para a ferramenta ltsp-chroot fornecida com o LTSP5. Ele é usado para executar comandos em um chroot LTSP especificado (como, por exemplo, instalar, atualizar e remover pacotes).
Estação de trabalho sem disco
As estações de trabalho sem disco executam todo o software localmente. As máquinas não têm um disco rígido local e iniciam diretamente do servidor LTSP. O software é administrado e mantido no servidor LTSP, mas é executado nas estações de trabalho sem disco. Os diretórios pessoais e as configurações do sistema também são armazenados no servidor. As estações de trabalho sem disco são uma excelente forma de reutilizar hardware antigo (mas poderoso) com os mesmos baixos custos de manutenção típicos dos clientes dependentes.
Ao contrário das estações de trabalho sem disco, as estações de trabalho funcionam sem necessidade de serem adicionadas através do GOsa².
Cliente dependente
Uma configuração de 'thin client' (cliente dependente) permite que um PC comum funcione como um (X-)terminal, onde todos os softwares são executados no servidor LTSP. Isso significa que esta máquina inicializa via PXE sem usar um disco rígido cliente local e que o servidor LTSP precisa ser uma máquina poderosa.
O Debian Edu ainda suporta o uso de clientes dependentes, para permitir o uso de computadores muito antigos.
Como clientes leves usam X2Go, os usuários devem desabilitar composição para evitar artefatos de display. No caso padrão, (área de trabalho Xfce): Settings -> Window Manager Tweaks -> Compositor.
firmware de cliente LTSP
O boot (inicialização) do cliente LTSP falha se a interface de rede do cliente exigir um firmware não livre. Pode ser usada uma instalação PXE para resolver problemas de inicialização pela rede de uma máquina; se o Instalador do Debian indicar que está em falta um arquivo XXX.bin, então tem que ser adicionado o firmware não-livre ao initrd do servidor LTSP.
Proceda assim no servidor LTSP:
Primeiro obtenha informações sobre pacotes de firmware, execute:
apt update && apt search ^firmware-
Decida qual pacote deve ser instalado para a(s) interface(s) de rede, provavelmente será firmware-linux, execute:
apt -y -q install firmware-linux
Atualize a imagem do SquashFS para estações de trabalho sem disco, execute:
debian-edu-ltsp-install --diskless_workstation yes
Caso sejam usados thin clients X2Go, execute:
/usr/share/debian-edu-config/tools/ltsp-addfirmware -h
e prossiga de acordo com as informações de uso.
Em seguida, atualize a imagem do SquashFS; por exemplo. para o chroot /srv/ltsp/x2go-bare-amd64, execute:
ltsp image x2go-bare-amd64
Cada servidor LTSP tem duas interfaces ethernet: uma configurada na sub-rede principal 10.0.0.0/8 (que é partilhada com o servidor principal), e outra formando uma sub-rede local (uma sub-rede separada para cada servidor LTSP).
Em ambos os casos, pode ser escolhido estação de trabalho sem disco ou cliente dependente a partir do menu iPXE. Após 5 segundos de espera, a máquina arrancará como estação de trabalho sem disco.
O item de menu de inicialização padrão do iPXE e seu tempo limite padrão
podem ser configurados em
/etc/ltsp/ltsp.conf
. Um valor de tempo
limite de -1 é usado para ocultar o menu. Execute
debian-edu-ltsp-ipxe
para que as alterações
tenham efeito.
Se uma máquina for instalada usando o perfil LTSP, a rede cliente LTSP
192.168.0.0/24 é a predefinida. Se forem utilizados muitos clientes LTSP ou
se servidores LTSP diferentes tiverem de servir tanto ambientes chroot i386
como amd64, a segunda rede pré-configurada, a 192.168.1.0/24, também pode
ser utilizada. Editar o arquivo
/etc/network/interfaces
e ajustar as
configurações da eth1 conforme necessário. Use o
ldapvi
ou qualquer outro editor LDAP para
verificar as configurações DNS e DHCP.
Para criar a imagem chroot e SquashFS, execute:
debian-edu-ltsp-install --arch i386 --thin_type bare
Veja man debian-edu-ltsp-install
para
detalhes sobre os tipos de thin client.
Executar man ltsp.conf
para ter uma visão
das opções de configuração disponíveis. Ou leia a informação online: https://ltsp.org/man/ltsp.conf/
Adicione itens de configuração à seção /etc/ltsp/ltsp.conf [clients]. Para que as alterações entrem em vigor, execute:
debian-edu-ltsp-initrd
Os clientes LTSP usam áudio em rede para passar o áudio do servidor para os clientes.
As estações de trabalho sem disco LTSP tratam o áudio localmente.
Quando os usuários inserem uma unidade USB ou um DVD / CD-ROM numa estação de trabalho sem disco, aparece um ícone na área de trabalho, permitindo acesso ao conteúdo como em uma estação de trabalho.
Quando os usuários inserem uma unidade USB em um cliente leve X2Go de tipo simples (instalação de servidor combinado padrão), as unidades se montam quando se faz duplo-clique no ícone da pasta na área de trabalho Xfce. Dependendo do conteúdo multimídia, pode passar algum tempo até que o conteúdo apareça no gerenciador de arquivos.
Ligar a impressora à máquina cliente LTSP (são suportados tanto a porta USB como a porta paralela).
Configurar o cliente LTSP através do GOsa² para utilizar um endereço IP fixo.
Configure a impressora usando a interface web
https://www.intern:631
no servidor
principal; escolha o tipo de impressora de rede AppSocket/HP
JetDirect
(para todas as impressoras independentemente da
marca ou modelo) e configure socket://<LTSP client
ip>:9100
como conexão URI.
PXE é o acrônimo de Preboot eXecution Environment (Ambiente de Pré-execução). O Debian Edu usa agora a implementação iPXE para uma integração mais fácil com o LTSP.
O item de menu do iPXE relativo às instalações do sistema é gerado usando o
script debian-edu-pxeinstall
. Este script
permite que algumas configurações sejam substituídas usando o arquivo
/etc/debian-edu/pxeinstall.conf
com valores
de substituição.
A instalação PXE assumirá o idioma, o esquema do teclado e as configurações
do espelho (mirror) a partir das configurações usadas na instalação do
servidor principal, e as outras questões serão feitas durante a instalação
(perfil, participação no popcon, particionamento e senha de root). Para
evitar essas perguntas, o arquivo
/etc/debian-edu/www/debian-edu-install.dat
pode ser modificado para fornecer respostas pré-selecionadas aos valores do
debconf. Alguns exemplos de valores do debconf podem ser consultados em
/etc/debian-edu/wwww/debian-edu-install.dat
.
Suas alterações serão perdidas assim que for usado o
debian-edu-pxeinstall
para recriar o
ambiente de instalação PXE. Para anexar itens do debconf a
/etc/debian-edu/wwww/debian-edu-install.dat
durante a recriação através do
debian-edu-pxeinstall
, adicione o arquivo
/etc/debian-edu/wwww/debian-edu-install.dat.local
com os valores debconf.
Mais informações sobre modificar instalações PXE podem ser encontradas no capítulo Instalação.
Para adicionar um repositório personalizado, adicione a
/etc/debian-edu/wwww/debian-edu-install.dat.local
algo como:
d-i apt-setup/local1/repository string http://example.org/debian stable main contrib non-free d-i apt-setup/local1/comment string Example Software Repository d-i apt-setup/local1/source boolean true d-i apt-setup/local1/key string http://example.org/key.asc
e em seguida execute
/usr/sbin/debian-edu-pxeinstall
uma vez.
O pacote debian-edu-config inclui uma ferramenta que ajuda a mudar a rede de
10.0.0.0/8 para outra. Ver
/usr/share/debian-edu-config/tools/subnet-change
.
Destina-se a ser usado logo após a instalação no servidor principal, para
atualizar o LDAP e outros arquivos que têm de ser editados para alterar a
sub-rede.
Notar que mudar para uma das sub-redes já usadas por outros elementos no Debian Edu não irá funcionar. As sub-redes 192.168.0.0/24 e 192.168.1.0/24 já estão configuradas como redes clientes LTSP. A mudança para estas sub-redes requer a edição manual dos ficheiros de configuração para remover entradas duplicadas.
Não há forma fácil de alterar o nome de domínio DNS. Alterá-lo exigiria mudanças tanto na estrutura LDAP como em vários arquivos no sistema de arquivos do servidor principal. Também não há forma fácil de alterar o nome da máquina e o nome DNS do servidor principal (tjener.intern). Para isso, também seriam necessárias alterações no LDAP e nos arquivos do servidor principal e do sistema de arquivos do cliente. A configuração do Kerberos também teria de ser alterada, em ambos os casos.
Escolher o perfil Servidor LTSP ou o perfil Servidor combinado faz instalar também os pacotes xrdp e x2goserver.
O Xrdp utiliza o Protocolo Remote Desktop para apresentar uma tela de acesso gráfico a um cliente remoto. Os usuários do Microsoft Windows podem se conectar ao servidor LTSP executando o xrdp sem instalar software adicional - iniciam simplesmente uma ligação remota de área de trabalho na sua máquina Windows e estabelecem a conexão.
Adicionalmente, o xrdp pode se conectar a um servidor VNC ou a outro servidor RDP.
Xrdp vem sem suporte a som; para compilar (ou re-compilar) os módulos necessários pode-se utilizar este script. Por favor, tenha em conta que o usuário deve ser o root ou um membro do grupo sudo. Ademais, /etc/apt/sources.list deve conter uma linha deb-src válida.
#!/bin/bash set -e if [[ $UID -ne 0 ]] ; then if ! groups | egrep -q sudo ; then echo "ERROR: You need to be root or a sudo group member." exit 1 fi fi if ! egrep -q ^deb-src /etc/apt/sources.list ; then echo "ERROR: Make sure /etc/apt/sources.list contains a deb-src line." exit 1 fi TMP=$(mktemp -d) PULSE_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' pulseaudio)" XRDP_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' xrdp)" sudo apt -q update sudo apt -q install dpkg-dev cd $TMP apt -q source pulseaudio xrdp sudo apt -q build-dep pulseaudio xrdp cd pulseaudio-$PULSE_UPSTREAM_VERSION/ ./configure cd $TMP/xrdp-$XRDP_UPSTREAM_VERSION/sesman/chansrv/pulse/ sed -i 's/^PULSE/#PULSE/' Makefile sed -i "/#PULSE_DIR/a \ PULSE_DIR = $TMP/pulseaudio-$PULSE_UPSTREAM_VERSION" Makefile make sudo cp *.so /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/ sudo chmod 644 /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/module-xrdp* sudo service xrdp restart
O X2Go permite acessar um ambiente de trabalho gráfico no servidor LTSP, tanto através de conexões de baixa largura de banda como de alta largura de banda, a partir de um PC com Linux, Windows ou MacOS. É necessário software adicional no lado do cliente. Para mais informações, consultar o wiki X2Go.
Notar que se for usado o X2Go será melhor remover o pacote
killer
no servidor LTSP. Ver 890517.
O freerdp-x11
é instalado por padrão e é
capaz de RDP e VNC.
RDP - a maneira mais fácil de acessar o servidor de terminal Windows. Um
pacote cliente alternativo é rdesktop
.
O cliente VNC (Virtual Network Computer) dá acesso ao Skolelinux
remotamente. Um pacote cliente alternativo é
xvncviewer
.
O x2goclient
é um cliente gráfico para o
sistema X2Go (não instalado de origem). Pode ser utilizado para conectar a
sessões em execução e para iniciar novas sessões.
O servidor freeRADIUS pode ser usado para estabelecer
conexões de rede seguras. Para isto funcionar, instale os pacotes
freeradius e winbind no servidor
principal e execute
/usr/share/debian-edu-config/tools/setup-freeradius-server
para gerar uma configuração básica, específica de cada caso concreto. Desta
forma, ambos os métodos EAP-TTLS/PAP e PEAP-MSCHAPV2 são ativados. Toda a
configuração está contida no próprio script, para facilitar os ajustes
específicos para cada caso. Para mais informações, veja o site do FreeRADIUS.
É necessária configuração adicional para
ativar/desativar pontos de acesso através de uma chave secreta partilhada (/etc/freeradius/3.0/customers.conf).
permitir/negar o acesso sem fios utilizando grupos LDAP (/etc/freeradius/3.0/usuarios).
combinar pontos de acesso em grupos dedicados (/etc/freeradius/3.0/huntgroups)
Os dispositivos de usuário final têm de ser configurados corretamente; estes dispositivos têm de ser protegidos por PIN para uso de métodos EAP (802.1x). Os usuários precisam ser alertados para instalarem o certificado de autoridade certificadora (CA) do freeradius nos seus dispositivos, para terem a certeza de que estão se conectando ao servidor correto. Desta forma, a senha não pode ser capturada no caso de contato com um servidor malicioso. O certificado específico do site está disponível na rede interna.
https://www.intern/freeradius-ca.pem (dispositivos Linux de usuário final)
https://www.intern/freeradius-ca.crt (Linux, Android)
https://www.intern/freeradius-ca.der (macOS, iOS, iPadOS, Windows)
Notar que a configuração de dispositivos de usuário final é um verdadeiro desafio, devido à variedade de dispositivos existentes. Para dispositivos Windows pode ser criado um script de instalação e para dispositivos Apple um arquivo mobileconfig. O certificado freeRADIUS CA pode ser integrado em ambos os casos, mas são necessárias ferramentas específicas do SO para criar os scripts.
Para poder utilizar pGina (ou qualquer outra aplicação de serviço de autenticação de terceiros) deve ter uma conta de usuário especial utilizada na busca no LDAP.
Adicionar un usuário especial, p.ex. pguser com senhapwd.777, em https://www/gosa website.
Baixe e instale pGina 3.9.9.12 como software habitual. Leve em conta que o plugin LDAP persiste na pasta de plugins do pGina:
C:\Program Files\pGina.fork\Plugins\pGina.Plugin.Ldap.dll
Tendo em conta a configuração do Debian Edu, a conexão LDAP utiliza SSL pela porta 636.
Portanto, a configuração necessária em uma conexão pGina LDAP vem a seguir
(estes se armazenam em HKEY_LOCAL_MACHINE\SOFTWARE\pGina3.fork\Plugins\0f52390b-c781-43ae-bd62-553c77fa4cf7).
LDAP Host(s): 10.0.2.2 (ou qualquer outro com "espaço" como separador)
Porta LDAP: 636 (para conexão SSL)
Estouro de tempo: 10
Usar SSL: SIM (marcar a caixa de seleção)
Start TLS: NO (não marque a caixa de seleção)
Validar o Certificado do Servidor: NO (não marcar a caixa de verificação)
buscar no DN: uid=pguser,ou=people,ou=Students,dc=skole,dc=skolelinux,dc=no
("pguser" é um usuário para autenticar no LDAP para buscar usuários na sessão de autenticação)
Senha de busca: pwd.777 (esta é a senha do "pguser")
Aba Bind:
Permitir senhas vazias: NÃO
Buscar por DN: SIM (marcar a caixa de seleção)
Filtro de busca: (&(uid=%u)(objectClass=person))
Padrão: Permitir
Negar quando autenticação LDAP falhar: SIM (marcar a caixa de seleção)
Permitir quando o servir estiver indisponível: NÃO (não marcar a caixa de seleção, opcional)
LDAP: Autenticação [v], Autorização [v], Roteador[v], Alterar senha [_]
Máquina local: Autenticação [v], Roteador [v] (marcar apenas as duas caixas de seleção)
Autenticação: LDAP, Máquina local
Roteador: LDAP, Máquina local
Fontes:
O Samba está agora configurado como servidor independente
com suporte smb2/SMB3 moderno e compartilhamento de
usuários ativados; ver
/etc/samba/smb-debian-edu.conf
no servidor
principal. Desta forma, os usuários não administradores podem efetuar
compartilhamentos.
Para alterações específicas de cada escola, copiar /usr/share/debian-edu-config/smb.conf.edu-site para o diretório /etc/samba. As configurações em smb.conf.edu-site substituirão as contidas em smb-debian-edu.conf.
Observe:
Por predefinição, os diretórios 'home' de usuários (as pastas pessoais) são somente de leitura. Isso pode ser alterado em /etc/samba/smb.conf.edu-site .
As senhas do Samba são guardadas usando
smbpasswd
e são atualizadas no caso de uma
senha ser alterada através do GOsa².
Para desativar temporariamente a conta Samba de um usuário, executar
smbpasswd -d <nome de usuário>
; para
reativar, executar smbpasswd -e <nome de
usuário>
.
Executar chown root:teachers
/var/lib/samba/usershares
no servidor principal desativa os
compartilhamentos de usuário para 'alunos'.
As conexões aos diretórios dos usuários e compartilhamentos adicionais específicos de cada local (se configurados) são possíveis para dispositivos Linux, Android, macOS, iOS, iPadOS, Chrome OS e Windows. Outros dispositivos, como os baseados em Android, requerem um gerenciador de arquivos com suporte SMB2/SMB3, também conhecido como acesso LAN. O X-plore ou o Total Commander com plugin de LAN podem ser boas opções.
Executar \\tjener\<usuario>
ou
smb://tjener/<usuario>
para acessar o
diretório pessoal de um usuário.
Todos os pacotes Debian mencionados nesta seção podem ser instalados
executando apt install
<nome-do-pacote>
(como root).
stable/education-development é um meta pacote que 'depende' de um grande número de ferramentas de programação. Notar que este meta pacote ocupa quase 2 GiB de espaço em disco, se for instalado. Para mais informações (talvez para instalar apenas alguns dos pacotes), consultar a página Debian Edu pacotes de Desenvolvimento.
Aviso: tem que ser respeitada a legislação sobre a monitorização e restrição de atividades dos usuários de computadores.
Algumas escolas usam ferramentas de controle, como o Epoptes ou o Veyon para supervisionar os seus alunos. Ver também os sites do Epoptes e do Veyon.
Algumas escolas usam o Squidguard ou o e2guardian para restringir o acesso à Internet.
Cada usuário deve alterar a sua senha através do GOsa². Para isso, basta
usar um navegador e ir a https://www/gosa/
.
Usar o GOsa² para alterar a senha garante que as senhas para o Kerberos (krbPrincipalKey), para o LDAP (userPassword) e para o Samba (sambaNTPassword) sejam a mesma.
Também é possível alterar senhas usando o PAM na chamada de acesso do GDM (tela em modo de texto); mas isso não se aplica ao Samba nem ao GOsa² (LDAP), no caso aplica-se apenas ao Kerberos. Portanto, depois de uma alteração de senha na chamada de acesso em modo de texto, você também terá que fazer a alteração através do GOsa².
As aplicações Java autônomas funcionam de imediato com o ambiente runtime OpenJDK Java.
Todos os usuários podem enviar e receber correio dentro da rede interna; são
fornecidos certificados para permitir ligações seguras TLS. Para permitir o
correio fora da rede interna, o administrador tem de configurar o servidor
de correio exim4
para o adequar à situação
local, começando com um dpkg-reconfigure
exim4-config
.
Todos os usuários que queiram usar o Thunderbird têm de configurar da forma que se segue. Para um usuário com nome de jdoe o endereço de e-mail interno é jdoe@postoffice.intern.
Iniciar o Thunderbird
Clicar em 'Ignorar e usar o meu endereço de e-mail existente'
Introduzir o endereço de e-mail a ser usado
Não introduzir a senha, pois será utilizado o acesso único do Kerberos
Clicar em 'Continuar'
Para IMAP e SMTP, as configurações devem ser 'STARTTLS' e 'Kerberos/GSSAPI'; se não forem detectadas automaticamente, introduzir manualmente
Clicar em 'Concluído'
Na maioria das vezes, a lista de discussão dos desenvolvedores é o principal meio de comunicação, embora haja reuniões mensais do IRC em #debian-edu no irc.debian.org e até mesmo, com menos frequência, encontros presenciais, onde os membros se encontram pessoalmente.
Uma boa forma de acompanhar o desenvolvimento do Debian Edu é subscrever na lista de correio commit mailinglist.
O Debian Edu usa o Sistema de Rastreio de Bugs do Debian Bug Tracking System (BTS). Ver comunicações de bugs existentes e pedidos de funcionalidades ou criar novas comunicações. Comunicar todos os bugs com referência ao pacote debian-edu-config. Ver em How To Report Bugs para mais informação sobre comunicação de deficiências no Debian Edu.
Este documento precisa da sua ajuda! Antes de mais, ainda não está terminado: se o ler, irá notar vários FIXMEs inseridos no texto. Se por acaso souber (um pouco) do que precisa de ser explicado em qualquer deles, por favor, considere compartilhar os seus conhecimentos conosco.
O texto original é um wiki e pode ser editado com um simples navegador da web. Basta ir a https://wiki.debian.org/DebianEdu/Documentation/Bookworm/ e é possível contribuir facilmente. Nota: é necessária uma conta de usuário para editar as páginas; você pode precisar primeiro criar uma conta de usuário do wiki.
Outra boa forma de contribuir e ajudar os usuários é através da tradução de software e documentação. Informação sobre como traduzir este documento pode ser encontrada no capítulo sobre traduções. Por favor, considere ajudar no esforço de tradução deste livro!
https://lists.debian.org/debian-edu - lista de e-mails para suporte
Canal IRC #debian-edu em irc.debian.org, principalmente relacionado a desenvolvimento; não espere suporte em tempo real, embora isso aconteça com frequência.
https://lists.debian.org/debian-edu-german - lista de e-mails para suporte
#skolelinux.de em irc.debian.org - Canal IRC para apoiar usuários alemães
https://lists.debian.org/debian-edu-french - lista de e-mails para suporte
Listas de empresas que fornecem suporte profissional estão disponíveis em https://wiki.debian.org/DebianEdu/Help/ProfessionalHelp.
Nova versão do Instalador Debian usada no Debian Buster; para mais informação consultar o manual de instalação,
incluindo informações em non-free-firmware
,
que é uma nova seção em adição às bem conhecidas sções
main
,
contrib
e
non-free
.
Novas imagens baseadas no tema Emerald, o tema padrão do Debian 12 bookworm.
Tudo o que é novo no Debian 12 bookworm, por exemplo:
Núcleo (kernel) Linux 6.1
Ambientes de trabalho KDE Plasma 5.27, GNOME 43, Xfce 4.18, LXDE 11, MATE 1.26
LibreOffice 7.4
GOsa² 2.8
Ferramentas educativas GCompris 3.1
Criador de música Rosegarden 22.12
LTSP 23.01
O Debian Bookworm inclui mais de 64000 pacotes disponíveis para instalação.
Mais informação sobre o Debian 12 Bookworm nas notas de lançamento e no manual de instalação.
Na instalação, a página de escolha de perfil está disponível em 29 idiomas, dos quais 22 estão totalmente traduzidos.
O Manual do Debian Edu Bookworm está totalmente traduzido para alemão, chinês simplificado, dinamarquês, espanhol, francês, holandês, italiano, japonês, norueguês (Bokmål), português brasileiro, português europeu, romeno e ucraniano.
Este documento foi escrito e está protegido por direitos de autor por Holger Levsen (2007-2024), Petter Reinholdtsen (2001, 2002, 2003, 2004, 2007, 2008, 2009, 2010, 2012, 2014), Daniel Heß (2007), Patrick Winnertz (2007), Knut Yrvin (2007), Ralf Gesellensetter (2007), Ronny Aasen (2007), Morten Werner Forsbring (2007), Bjarne Nielsen (2007, 2008), Nigel Barker (2007), José L. Redrejo Rodríguez (2007), John Bildoy (2007), Joakim Seeberg (2008), Jürgen Leibner (2009, 2010, 2011, 2012, 2014), Oded Naveh (2009), Philipp Hübner (2009, 2010), Andreas Mundt (2010), Olivier Vitrat (2010, 2012), Vagrant Cascadian (2010), Mike Gabriel (2011), Justin B Rye (2012), David Prévot (2012), Wolfgang Schweer (2012-2024), Bernhard Hammes (2012), Joe Hansen (2015), Serhii Horichenko (2022) e Guido Berhörster (2023) e é publicado sob licença GPL2 ou qualquer versão posterior. Divirta-se!
Se adicionar conteúdo ao manual, , por favor, faça-o apenas se for o autor do conteúdo adicionado. Tem de o publicar nas mesmas condições do manual! Em seguida, adicione aqui o seu nome e mencione a publicação sob a licença "GPL v2 ou qualquer versão posterior".
Há uma visão geral online das traduções empacotadas, atualizada com frequência.
Como em muitos projetos de software livre, as traduções deste documento são
mantidas em arquivos PO. Pode ser encontrada mais informação sobre o
processo de tradução usando esses arquivos em
/usr/share/doc/debian-edu-doc/README.debian-edu-bookworm-manual-translations
.
Algumas equipes de tradução decidiram traduzir via Weblate. Para mais informação, veja https://hosted.weblate.org/projects/debian-edu-documentation/bookworm-manual/.
Solicita-se que quaisquer problemas sejam comunicados.
Copyright (C) 2007-2021 Holger Levsen < holger@layer-acht.org > e outros; consultar Direitos de autor para ver a lista completa dos detentores de direitos autorais.
This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version.
This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.
Version 2, June 1991
Copyright (C) 1989, 1991 Free Software Foundation, Inc. 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301, USA. Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed.
0. This License applies to any program or other work which contains a notice placed by the copyright holder saying it may be distributed under the terms of this General Public License. The "Program", below, refers to any such program or work, and a "work based on the Program" means either the Program or any derivative work under copyright law: that is to say, a work containing the Program or a portion of it, either verbatim or with modifications and/or translated into another language. (Hereinafter, translation is included without limitation in the term "modification".) Each licensee is addressed as "you".
Activities other than copying, distribution and modification are not covered by this License; they are outside its scope. The act of running the Program is not restricted, and the output from the Program is covered only if its contents constitute a work based on the Program (independent of having been made by running the Program). Whether that is true depends on what the Program does.
1. You may copy and distribute verbatim copies of the Program's source code as you receive it, in any medium, provided that you conspicuously and appropriately publish on each copy an appropriate copyright notice and disclaimer of warranty; keep intact all the notices that refer to this License and to the absence of any warranty; and give any other recipients of the Program a copy of this License along with the Program.
You may charge a fee for the physical act of transferring a copy, and you may at your option offer warranty protection in exchange for a fee.
2. You may modify your copy or copies of the Program or any portion of it, thus forming a work based on the Program, and copy and distribute such modifications or work under the terms of Section 1 above, provided that you also meet all of these conditions:
a) You must cause the modified files to carry prominent notices stating that you changed the files and the date of any change.
b) You must cause any work that you distribute or publish, that in whole or in part contains or is derived from the Program or any part thereof, to be licensed as a whole at no charge to all third parties under the terms of this License.
c) If the modified program normally reads commands interactively when run, you must cause it, when started running for such interactive use in the most ordinary way, to print or display an announcement including an appropriate copyright notice and a notice that there is no warranty (or else, saying that you provide a warranty) and that users may redistribute the program under these conditions, and telling the user how to view a copy of this License. (Exception: if the Program itself is interactive but does not normally print such an announcement, your work based on the Program is not required to print an announcement.)
These requirements apply to the modified work as a whole. If identifiable sections of that work are not derived from the Program, and can be reasonably considered independent and separate works in themselves, then this License, and its terms, do not apply to those sections when you distribute them as separate works. But when you distribute the same sections as part of a whole which is a work based on the Program, the distribution of the whole must be on the terms of this License, whose permissions for other licensees extend to the entire whole, and thus to each and every part regardless of who wrote it.
Thus, it is not the intent of this section to claim rights or contest your rights to work written entirely by you; rather, the intent is to exercise the right to control the distribution of derivative or collective works based on the Program.
In addition, mere aggregation of another work not based on the Program with the Program (or with a work based on the Program) on a volume of a storage or distribution medium does not bring the other work under the scope of this License.
3. You may copy and distribute the Program (or a work based on it, under Section 2) in object code or executable form under the terms of Sections 1 and 2 above provided that you also do one of the following:
a) Accompany it with the complete corresponding machine-readable source code, which must be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,
b) Accompany it with a written offer, valid for at least three years, to give any third party, for a charge no more than your cost of physically performing source distribution, a complete machine-readable copy of the corresponding source code, to be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,
c) Accompany it with the information you received as to the offer to distribute corresponding source code. (This alternative is allowed only for noncommercial distribution and only if you received the program in object code or executable form with such an offer, in accord with Subsection b above.)
The source code for a work means the preferred form of the work for making modifications to it. For an executable work, complete source code means all the source code for all modules it contains, plus any associated interface definition files, plus the scripts used to control compilation and installation of the executable. However, as a special exception, the source code distributed need not include anything that is normally distributed (in either source or binary form) with the major components (compiler, kernel, and so on) of the operating system on which the executable runs, unless that component itself accompanies the executable.
If distribution of executable or object code is made by offering access to copy from a designated place, then offering equivalent access to copy the source code from the same place counts as distribution of the source code, even though third parties are not compelled to copy the source along with the object code.
4. You may not copy, modify, sublicense, or distribute the Program except as expressly provided under this License. Any attempt otherwise to copy, modify, sublicense or distribute the Program is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance.
5. You are not required to accept this License, since you have not signed it. However, nothing else grants you permission to modify or distribute the Program or its derivative works. These actions are prohibited by law if you do not accept this License. Therefore, by modifying or distributing the Program (or any work based on the Program), you indicate your acceptance of this License to do so, and all its terms and conditions for copying, distributing or modifying the Program or works based on it.
6. Each time you redistribute the Program (or any work based on the Program), the recipient automatically receives a license from the original licensor to copy, distribute or modify the Program subject to these terms and conditions. You may not impose any further restrictions on the recipients' exercise of the rights granted herein. You are not responsible for enforcing compliance by third parties to this License.
7. If, as a consequence of a court judgment or allegation of patent infringement or for any other reason (not limited to patent issues), conditions are imposed on you (whether by court order, agreement or otherwise) that contradict the conditions of this License, they do not excuse you from the conditions of this License. If you cannot distribute so as to satisfy simultaneously your obligations under this License and any other pertinent obligations, then as a consequence you may not distribute the Program at all. For example, if a patent license would not permit royalty-free redistribution of the Program by all those who receive copies directly or indirectly through you, then the only way you could satisfy both it and this License would be to refrain entirely from distribution of the Program.
If any portion of this section is held invalid or unenforceable under any particular circumstance, the balance of the section is intended to apply and the section as a whole is intended to apply in other circumstances.
It is not the purpose of this section to induce you to infringe any patents or other property right claims or to contest validity of any such claims; this section has the sole purpose of protecting the integrity of the free software distribution system, which is implemented by public license practices. Many people have made generous contributions to the wide range of software distributed through that system in reliance on consistent application of that system; it is up to the author/donor to decide if he or she is willing to distribute software through any other system and a licensee cannot impose that choice.
This section is intended to make thoroughly clear what is believed to be a consequence of the rest of this License.
8. If the distribution and/or use of the Program is restricted in certain countries either by patents or by copyrighted interfaces, the original copyright holder who places the Program under this License may add an explicit geographical distribution limitation excluding those countries, so that distribution is permitted only in or among countries not thus excluded. In such case, this License incorporates the limitation as if written in the body of this License.
9. The Free Software Foundation may publish revised and/or new versions of the General Public License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns.
Each version is given a distinguishing version number. If the Program specifies a version number of this License which applies to it and "any later version", you have the option of following the terms and conditions either of that version or of any later version published by the Free Software Foundation. If the Program does not specify a version number of this License, you may choose any version ever published by the Free Software Foundation.
10. If you wish to incorporate parts of the Program into other free programs whose distribution conditions are different, write to the author to ask for permission. For software which is copyrighted by the Free Software Foundation, write to the Free Software Foundation; we sometimes make exceptions for this. Our decision will be guided by the two goals of preserving the free status of all derivatives of our free software and of promoting the sharing and reuse of software generally.
NO WARRANTY
11. BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.
12. IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.
END OF TERMS AND CONDITIONS
Nova versão do Instalador Debian do Debian bullseye; para mais informações, consultar o manual de instalação.
Novas imagens baseadas no tema Homeworld, o tema predefinido do Debian 11 (bullseye).
O Instalador Debian deixou de aceitar a configuração chroot LTSP. No caso de uma instalação de servidor combinado (perfis 'Servidor principal' + 'Servidor LTSP'), a configuração para suporte de clientes dependentes (agora usando o X2Go) acontece no final da instalação. A geração da imagem SquashFS para suporte de clientes sem disco (a partir do sistema de arquivos do servidor) é feita no primeiro boot (primeira inicialização).
Para servidores LTSP separados, ambos os passos têm que ser feitos através de uma ferramenta, após o primeiro boot na rede interna quando estiver disponível informação suficiente a partir do servidor principal.
Tudo o que é novo no Debian 11 Bullseye, por exemplo:
Núcleo (kernel) Linux 5.10
Ambientes de trabalho KDE Plasma 5.20, GNOME 3.38, Xfce 4.16, LXDE 11, MATE 1.24
LibreOffice 7.0
Ferramentas educativas GCompris 1.0
Criador de música Rosegarden 20.12
LTSP 21.01
O Debian Bullseye tem mais de 59000 pacotes disponíveis para instalação.
Mais informações sobre o Debian 11 bullseye disponível nas notas de lançamento e no manual de instalação.
Na instalação, a página de escolha de perfil está disponível em 29 idiomas, dos quais 22 estão totalmente traduzidos.
O Manual do Debian Edu Bullseye está totalmente traduzido para Holandês, Francês, Alemão, Italiano, Japonês, Norueguês Bokmål, Português e Chinês Simplificado.
Existem versões parcialmente traduzidas para dinamarquês e espanhol.
Melhor suporte a TLS/SSL na rede interna. Nos clientes, o certificado de raiz para o Debian Edu-CA está incluído no pacote de certificados para todo o sistema.
Novo LTSP, reescrito do zero, deixando de suportar clientes dependentes. Os clientes dependentes são agora suportados utilizando o X2Go.
O boot pela rede (Netboot) é feito utilizando o iPXE em vez do PXELINUX, para estar em conformidade com o LTSP.
O diretório /srv/tftp é agora usado como base do netboot, em vez do diretório /var/lib/tftpboot.
Após uma atualização para uma nova versão pontual de um sistema com perfil
Servidor principal ou Servidor
LTSP, tem que ser executado o
debian-edu-pxeinstall
para atualizar o
ambiente de instalação PXE.
O DuckDuckGo é usado como motor de busca predefinido nos navegadores Firefox ESR e Chromium.
O Chromium usa o site web interno como página inicial padrão, em vez do Google.
Nas estações de trabalho sem disco, o Kerberos TGT está automaticamente disponível após o acesso.
Adicionada nova ferramenta para configurar o freeRADIUS com suporte para EAP-TTLS / PAP e PEAP-MSCHAPV2.
O Samba é configurado como "servidor autônomo" com suporte para SMB2/SMB3; deixou de haver a junção ao domínio.
A interface web GOsa² não mostra entradas relacionadas com o Samba porque os dados da conta Samba deixaram de ser guardados em LDAP.
É usado o modo gráfico do Instalador Debian para instalações PXE (em vez do modo de texto).
O servidor de impressão central CUPS é ipp.intern; os usuários pertencentes ao grupo printer-admins têm permissão para administrar o CUPS.
A administração do Icinga através da interface web está restrita ao primeiro usuário.
Anteriormente foram lançadas as seguintes versões do Debian Edu:
Novas funcionalidades no Debian Edu 10+edu0, denominado Buster, lançado em 2019-07-06.
Debian Edu 9+edu0, denominado Stretch, lançado em 17-06-2017.
Debian Edu 8+edu0, denominado Jessie, lançado em 02-07-2016.
Debian Edu 7.1+edu0, denominado Wheezy, lançado em 28-09-2013.
Debian Edu 6.0.7+r1, denominado "Squeeze", lançado em 03-03-2013.
Debian Edu 6.0.4+r0, denominado "Squeeze", lançado em 11-03-2012.
Debian Edu 5.0.6+edu1, denominado "Lenny", lançado em 05-10-2010.
Debian Edu 5.0.4+edu0, denominado "Lenny", lançado em 08-02-2010.
Debian Edu "3.0r1 Terra", lançado em 05-12-2007.
Debian Edu "3.0r0 Terra" lançado em 22-07-2007. Baseado no Debian 4.0 Etch lançado em 08-04-2007.
Debian Edu 2.0, lançado em 14-03-2006. Baseado no Debian 3.1 Sarge, lançado em 06-06-2005.
Debian Edu "1.0 Venus" lançado em 2004-06-20. Baseado no Debian 3.0 Woody lançado em 2002-07-19.
O Apêndice C do manual do Jessie contém uma visão completa e detalhada das versões mais antigas; ou ver os manuais das respetivas versões na página manuais das diferentes versões.