Durante a instalação do servidor principal, foi criada uma primeira conta de
usuário. No texto seguinte esta conta será referida por "primeiro
usuário". Esta conta é especial, pois as permissões do diretório home estão
definidas para 700 (pelo que é necessário executar chmod o+x
~
para tornar acessíveis páginas web pessoais), podendo o
primeiro usuário usar sudo
para passar para
root.
Ver a informação sobre a configuração de acesso ao sistema de arquivos específico do Debian Edu antes de adicionar usuários; ajustar a política do site, se necessário.
Após a instalação, as primeiras coisas a fazer como primeiro usuário são:
Faça login no servidor.
Adicione usuários com o GOsa².
Adicionar estações de trabalho com o GOsa².
A adição de usuários e estações de trabalho está descrita abaixo; então, por favor, leia este capítulo completamente. Cobre a execução correta dos passos mínimos, assim como outras ações que provavelmente terão que ser executadas.
Há mais informações em outras partes deste manual: o capítulo Novas funcionalidades no Bullseye deve ser lido por quem estiver familiarizado com versões anteriores do Debian. No caso de substituição de uma versão anterior do Debian Edu, é importante ler o capítulo Atualizações.
Se o tráfego DNS genérico estiver bloqueado fora da rede e for necessário
usar algum servidor DNS específico para procurar hospedeiros (hosts) de
Internet, é necessário indicar ao servidor DNS o uso deste servidor como seu
"expedidor" (forwarder). Atualizar /etc/bind/named.conf.options
especificando o endereço IP do servidor DNS a usar.
O capítulo Instruções contém mais dicas e truques, assim como respostas a algumas perguntas frequentes.
O GOsa² é uma ferramenta de gestão baseada na Web que ajuda a gerenciar algumas partes importantes da instalação Debian Edu. Com o GOsa² podem ser executadas ações (adicionar, modificar ou eliminar) nestas áreas principais:
Administração de usuários
Administração de Grupos
Administração de grupos NIS Netgroup
Administração de máquinas
Administração de DNS
Administração do DHCP
Para acessar o GOsa² é necessário o servidor principal do Skolelinux e um sistema (cliente) com um navegador web instalado, que pode ser o próprio servidor principal se este tiver sido instalado como servidor combinado (perfis Servidor Principal + Servidor LTSP + Estação de Trabalho).
Se foi instalado um perfil de servidor principal puro (provavelmente por acidente) e não está disponível um cliente com um navegador web, é fácil instalar um ambiente de trabalho mínimo no servidor principal usando esta sequência de comandos num terminal como primeiro usuário (o usuário criado durante a instalação do servidor principal):
$ sudo apt update $ sudo apt install task-desktop-xfce lightdm education-menus ### after installation, run 'sudo service lightdm start' ### login as first user
A partir de um navegador web, usar o URL https://www/gosa para aceder ao GOsa² e iniciar sessão como primeiro usuário.
Se estiver usando uma nova máquina Debian Edu Bullseye, o certificado do site web será reconhecido pelo navegador.
Caso contrário, aparecerá uma mensagem de erro sobre o certificado SSL estar errado. Se o usuário estiver seguro de que no momento é o único usuário na rede, basta-lhe permitir que o navegador aceite o certificado, podendo ignorar o erro.
Depois de fazer login no GOsa², você verá a página de visão geral do GOsa².
Nesta página pode ser escolhida uma tarefa no menu ou clique em qualquer um dos ícones de tarefa. Para a navegação, é recomendada a utilização do menu do lado esquerdo da tela, uma vez que ficará visível em todas as páginas de administração disponibilizadas pelo GOsa².
No Debian Edu, a informação relativa a contas, grupos e sistemas é guardada num diretório LDAP. Estes dados são usados não apenas pelo servidor principal, mas também pelas estações de trabalho (sem disco), servidores LTSP e outras máquinas na rede. Com o LDAP, os dados das contas de alunos, professores, etc. só precisam ser inseridos uma vez. Após a informação ter sido fornecida no LDAP, estará disponível em todos os sistemas em toda a rede Skolelinux.
O GOsa² é uma ferramenta de administração que utiliza o LDAP para guardar a sua informação e disponibilizar uma estrutura hierárquica do departamento. A cada "departamento" podem ser adicionadas contas de usuários, grupos, sistemas, netgroups, etc. Dependendo da estrutura da instituição, a estrutura de departamentos no GOsa²/LDAP pode ser usada para transferir a estrutura organizacional para a árvore de dados do LDAP do servidor principal do Debian Edu.
Uma instalação padrão do servidor principal Debian Edu atualmente oferece dois "departamentos": Professores e Alunos, mais o nível base da árvore LDAP. As contas dos alunos devem ser adicionadas ao departamento "Alunos", as dos professores ao departamento "Professores"; os sistemas (servidores, estações de trabalho, impressoras, etc.) são presentemente adicionados ao nível base. Mas esta estrutura pode ser alterada. (No capítulo Instruções/Administração Avançada deste manual encontra-se um exemplo de como criar usuários em grupos por anos, com diretórios home comuns para cada grupo.)
Dependendo da tarefa que você deseja trabalhar (gerenciar usuários, gerenciar grupos, gerenciar sistemas, etc.), o GOsa² apresenta a você uma visão diferente sobre o departamento selecionado (ou o nível de base).
Primeiro, clique em "Usuários" no menu de navegação esquerdo. O lado direito da tela mudará para mostrar uma tabela com as pastas do departamento para "Alunos" e "Professores" e a conta do Administrador GOsa² (o primeiro usuário criado). Acima desta tabela, você pode ver um campo chamado Base que permite que você navegue por sua estrutura em árvore (mova o mouse sobre essa área e um menu suspenso aparecerá) e selecione uma pasta base para as suas operações pretendidas (por exemplo, adicionar um novo usuário).
Ao lado desse item de navegação em árvore, está o menu "Ações". Mover o mouse sobre este item fará aparecer um submenu; no menu, selecionar "Criar" e depois "Usuário". O assistente de criação de usuários guiará o processo.
O mais importante a adicionar é o modelo (novo aluno ou novo professor) e o nome real do usuário (ver imagem).
Conforme você segue o assistente, verá que GOsa² gera um nome de usuário automaticamente com base no nome real. Ele escolhe automaticamente um nome de usuário que ainda não existe, portanto, vários usuários com o mesmo nome completo não são um problema. Observe que GOsa² pode gerar nomes de usuário inválidos se o nome completo contiver caracteres não ASCII.
Se você não gostar do nome de usuário gerado, você pode selecionar outro
nome de usuário oferecido na caixa suspensa, mas você não tem uma escolha
livre aqui no assistente. (Se quiser editar o nome de usuário proposto, abra
/etc/gosa/gosa.conf
com um editor e
adicione allowUIDProposalModification = "true"
como uma opção adicional para a "definição de local".)
Quando o assistente for concluído, você verá a tela GOsa² para seu novo objeto de usuário. Use as guias na parte superior para verificar os campos preenchidos.
Depois de ter sido criado o usuário (por enquanto não é necessário personalizar os campos que o assistente deixou vazios), clicar no botão "Ok" no canto inferior direito.
Como último passo, o GOsa² pede uma senha para o novo utilizador. Introduzir
a senha escolhida duas vezes e depois clicar em "Definir senha" no canto
inferior direito. Alguns caracteres podem não ser permitidos como parte da senha.
Se tudo correu bem, o novo usuário aparecerá na tabela da lista de usuários. Agora deve ser possível entrar com esse nome de usuário em qualquer máquina da rede que tenha o sistema Skolelinux.
Para modificar ou eliminar um usuário, utilizar o GOsa² para consultar a lista de usuários no sistema. No meio da tela pode ser aberta a caixa "Filtro", uma ferramenta de pesquisa do GOsa². Não sendo conhecida a localização exata da conta de usuário na árvore, mudar para o nível base da árvore GOsa²/LDAP e procurar aí, marcando a opção "Procurar em subárvores".
Ao utilizar a caixa "Filtro", os resultados aparecerão imediatamente no centro do texto, na visualização da lista de tabelas. Cada linha representa uma conta de usuário e os itens mais à direita em cada linha são pequenos ícones que possibilitam as seguintes ações: editar usuário, bloquear conta, definir senha e remover usuário.
Aparecerá uma nova página onde poderá ser modificada diretamente a informação relativa ao usuário, alterada a senha do usuário e modificar a lista de grupos aos quais o usuário pertence.
Os alunos podem alterar suas próprias senhas fazendo login no GOsa² com seus próprios nomes de usuário. Para facilitar o acesso do GOsa², uma entrada chamada Gosa é fornecida no menu Sistema (ou Configurações do sistema) da área de trabalho. Um aluno conectado verá uma versão mínima do GOsa² que só permite o acesso à planilha de dados da conta do próprio aluno e ao diálogo para definir a senha.
Os professores conectados com seus próprios nomes de usuário têm privilégios especiais no GOsa². Eles têm uma visão mais privilegiada do GOsa² e podem alterar as senhas de todas as contas de alunos. Isso pode ser muito útil durante a aula.
Para definir administrativamente uma nova senha para um usuário
procure o usuário a ser modificado, conforme explicado acima
clique no símbolo da chave no final da linha em que o nome de usuário é mostrado
na página seguinte você pode definir uma nova senha escolhida por você
Atenção às implicações de segurança, se usadas senhas fáceis de adivinhar!
É possível criar usuários em massa com GOsa² usando um arquivo CSV, que pode
ser criado com qualquer bom software de planilha (por exemplo
localc
). No mínimo, as entradas para os
seguintes campos devem ser fornecidas: uid, sobrenome (sn), nome (givenName)
e senha. Certifique-se de que não haja entradas duplicadas no campo
uid. Observe que a verificação de duplicatas deve incluir entradas uid já
existentes no LDAP (que podem ser obtidas executando getent
passwd | grep tjener / home | cut -d ":" -f1
na linha de
comando).
Estas são as diretrizes de formato para esse arquivo CSV (GOsa² é bastante intolerante com elas):
Usar "," (uma vírgula) como separador de campo
Não usar aspas
O arquivo CSV não deve conter uma linha de cabeçalho (do tipo que normalmente contém os nomes das colunas)
A ordem dos campos não é relevante e pode ser definida no GOsa² durante a importação em massa
Os passos da importação em massa são:
clicar na ligação "Gestor do LDAP" no menu de navegação, à esquerda
clicar no separador "Importar" na tela à direita
navegue em seu disco local e selecione um arquivo CSV com a lista de usuários a serem importados
escolha um modelo de usuário disponível que deve ser aplicado durante a importação em massa (como NewTeacher ou NewStudent)
clique no botão "Importar" no canto inferior direito
É uma boa ideia fazer alguns testes primeiro, de preferência usando um arquivo CSV com alguns usuários fictícios, que podem ser excluídos posteriormente.
O mesmo se aplica ao módulo de gerenciamento de senhas, que permite redefinir muitas senhas usando um arquivo CSV ou regenerar novas senhas para usuários pertencentes a uma subárvore LDAP especial.
O gerenciamento de grupos é muito semelhante ao gerenciamento de usuários.
Você pode inserir um nome e uma descrição por grupo. Certifique-se de escolher o nível correto na árvore LDAP ao criar um novo grupo.
Adicionar usuários a um grupo recém-criado leva você de volta à lista de usuários, onde provavelmente gostaria de usar a caixa de filtro para localizar usuários. Verifique também o nível da árvore do LDAP.
Os grupos inseridos no gerenciamento de grupo também são grupos unix regulares, então você também pode usá-los para permissões de arquivo.
O gerenciamento de máquina basicamente permite que você gerencie todos os dispositivos em rede em sua rede Debian Edu. Cada máquina adicionada ao diretório LDAP usando GOsa² tem um nome de host, um endereço IP, um endereço MAC e um nome de domínio (que geralmente é "interno"). Para uma descrição mais completa da arquitetura Debian Edu, veja o capítulo arquitetura deste manual.
Quando ligados ao servidor principal combinado, as estações de trabalho sem disco e os clientes dependentes funcionam de imediato.
As estações de trabalho com disco (incluindo servidores LTSP separados)
têm de ser adicionadas através do
GOsa². Internamente, são gerados tanto um Kerberos Principal (como que uma
conta) específico da máquina, quanto um arquivo keytab
relacionado (contendo uma chave usada como senha); o
arquivo keytab tem que estar presente na estação de trabalho para ser capaz
de montar os diretórios pessoais dos utilizadores. Reiniciar a máquina
adicionada, fazer login no sistema através dela, como root, e executar
/usr/share/debian-edu-config/tools/copy-host-keytab
.
Para criar um arquivo Principal e keytab para um sistema já configurado através do GOsa², fazer login no servidor principal como root e executar
/usr/share/debian-edu-config/tools/gosa-modify-host <hostname> <IP>
Observe: a criação de keytab de host é possível para sistemas do tipo estações de trabalho , servidores e terminais mas não para aqueles do tipo netdevices . Consulte o capítulo Como fazer de clientes de rede para obter as opções de configuração de NFS.
Para adicionar uma máquina, use o menu principal do GOsa², sistemas, adicionar. Você pode usar um endereço IP/hostname (nome do hospedeiro) do espaço de endereço pré-configurado 10.0.0.0/8. Atualmente, existem apenas dois endereços fixos predefinidos: 10.0.2.2 (tjener) e 10.0.0.1 (gateway). Os endereços de 10.0.16.20 a 10.0.31.254 (aproximadamente 10.0.16.0/20 ou 4000 hosts) são reservados para DHCP e são atribuídos dinamicamente.
No GOsa², para atribuir um endereço IP estático a um hospedeiro com o
endereço MAC 52:54:00:12:34:10 é necessário introduzir o endereço MAC, o
nome do hospedeiro e o IP; em alternativa pode ser clicado o botão
Propor IP
que mostrará o primeiro endereço
fixo livre em 10.0.0.0/8, provavelmente algo como 10.0.0.0.2 se a primeira
máquina for adicionada desta forma. É boa prática planejar antes de
executar: por exemplo, pode ser usado 10.0.0.x com x>10 e x<50 para
servidores, e x>100 para estações de trabalho. Não esquecer de ativar o
sistema recém-adicionado. Com a exceção do servidor principal, todos os
sistemas terão um ícone correspondente.
Se as máquinas iniciarem como clientes dependentes/estações de trabalho sem
disco ou forem instaladas usando qualquer um dos perfis de rede, pode ser
usado o script sitesummary2ldapdhcp
para
adicionar automaticamente máquinas ao GOsa². Para máquinas simples
funcionará de imediato; para máquinas com mais de um endereço mac tem que
ser indicado o que for para usar; sitesummary2ldapdhcp
-h
mostra a informação de utilização. Notar que os
endereços IP mostrados após o uso de
sitesummary2ldapdhcp
pertencem à faixa de
IPs dinâmicos. Esses sistemas podem ser modificados para se adequarem à sua
rede: renomeie cada novo sistema, ative DHCP e DNS, adicione-o aos grupos de
rede (veja a imagem abaixo para grupos de rede recomendados), reinicie o
sistema depois. As capturas de tela a seguir mostram como isso fica na
prática:
root@tjener:~# sitesummary2ldapdhcp -a -i ether-22:11:33:44:55:ff info: Create GOsa machine for am-2211334455ff.intern [10.0.16.21] id ether-22:11:33:44:55:ff. Enter password if you want to activate these changes, and ^c to abort. Connecting to LDAP as cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no enter password: ******** root@tjener:~#
Um cronjob atualizando o DNS é executado a cada hora; su -c
ldap2bind
pode ser usado para acionar a atualização
manualmente.
Pesquisar e excluir máquinas é bastante semelhante a pesquisar e excluir usuários, de modo que as informações não se repetem aqui.
Depois de adicionar uma máquina à árvore do LDAP usando o GOsa², as propriedades podem ser modificadas usando a funcionalidade de busca e clicando no nome da máquina (assim como com os usuários).
O formato dessas entradas do sistema é semelhante ao que você já conhece ao modificar as entradas do usuário, mas os campos têm significados diferentes neste contexto.
Por exemplo, adicionar uma máquina a um Grupo de
Rede
não modifica as permissões de acesso a arquivos ou de
execução de comandos para aquela máquina nem os usuários com acesso naquela
máquina; em vez disso, restringe os serviços que a máquina pode usar no
servidor principal.
A instalação padrão inclui os Grupos de
rede
all-hosts
cups-queue-autoflush-hosts
cups-queue-autoreenable-hosts
fsautoresize-hosts
ltsp-server-hosts
netblock-hosts
printer-hosts
server-hosts
shutdown-at-night-hosts
shutdown-at-night-wakeup-hosts-blacklist
workstation-hosts
Atualmente, a funcionalidade Grupos de rede
é usada para:
Redimensionar partições (fsautoresize-hosts)
As máquinas Debian Edu neste grupo redimensionam automaticamente as partições LVM que ficarem sem espaço.
Desligar máquinas à noite (shutdown-at-night-hosts e shutdown-at-night-wakeup-hosts-blacklist)
As máquinas Debian Edu deste grupo serão desligadas automaticamente à noite para economizar energia.
Gestão de impressoras (cups-queue-autoflush-hosts e cups-queue-autoreenable-hosts)
As máquinas Debian Edu destes grupos irão eliminar automaticamente todas as filas de impressão, todas as noites, e reativar qualquer fila de impressão desativada a cada hora.
Acesso à Internet Bloqueado (netblock-hosts)
As máquinas Debian Edu deste grupo só se podem ligar a máquinas da rede local. Em conjunto com restrições no proxy da web, isto poderá ser usado durante os exames, por exemplo.