Manual do Debian Edu / Skolelinux 12 Bookworm

Data de publicação: 29/03/2024


Índice

1. Manual do Debian Edu 12, denominado bookworm
2. Sobre o Debian Edu ou Skolelinux
2.1. Alguma história e o porquê de dois nomes
3. Arquitetura
3.1. Rede
3.1.1. A configuração da rede predefinida
3.1.2. Servidor principal
3.1.3. Serviços executados no servidor principal
3.1.4. Servidor(es) LTSP
3.1.5. Clientes dependentes (thin clients)
3.1.6. Estações de trabalho sem disco
3.1.7. Clientes em rede
3.2. Administração
3.2.1. Instalação
3.2.2. Configuração de acesso ao sistema de ficheiros
4. Requisitos
4.1. Requisitos de equipamento
4.2. Computadores identificados como funcionando com o sistema
5. Requisitos para configuração de rede
5.1. Configuração predefinida
5.2. Encaminhador (router) de Internet
6. Opções de instalação e transferência
6.1. Onde encontrar informação adicional
6.2. Descarregar a imagem de instalação do Debian Edu 12, denominado Bookworm
6.2.1. amd64 ou i386
6.2.2. Imagens iso netinst para amd64 ou i386
6.2.3. Imagens iso BD para amd64 ou i386
6.2.4. Verificação dos ficheiros de imagem transferidos
6.2.5. Fontes ou origens das imagens
6.3. Instalar o Debian Edu
6.3.1. Cenários de instalação do servidor principal
6.3.2. Ambientes de trabalho
6.3.3. Instalação modular
6.3.4. Tipos e opções de instalação
6.3.5. Processo de instalação
6.3.6. Instalar um conversor (gateway) usando o pacote debian-edu-router
6.3.7. Notas sobre algumas especificidades
6.3.8. Instalação usando pendrives USB em vez de discos CD / Blu-ray
6.3.9. Instalação e arranque através da rede via PXE
6.3.10. Modificar instalações PXE
6.3.11. Imagens personalizadas
6.4. Sequência de capturas de ecrã
7. Primeiros passos
7.1. Passos mínimos a dar para começar a usar
7.1.1. Serviços executados no servidor principal
7.2. Introdução ao GOsa²
7.2.1. Acesso ao GOsa² e Página inicial
7.3. Gestão de utilizadores através do GOsa²
7.3.1. Adicionar utilizadores
7.3.2. Buscar, modificar e eliminar utilizadores
7.3.3. Definir senhas
7.3.4. Gestão avançada de utilizadores
7.4. Gestão de Grupos através do GOsa²
7.5. Gestão de Máquinas através do GOsa²
7.5.1. Procurar e eliminar máquinas
7.5.2. Modificar as máquinas existentes / Gestão de grupos de rede
8. Gestão de Impressoras
8.1. Utilização de impressoras ligadas a estações de trabalho
8.2. Impressoras de rede
9. Sincronização do relógio
10. Expandir partições cheias
11. Manutenção
11.1. Atualização do software
11.1.1. Monitorizar as atualizações de segurança
11.2. Gestão de cópias de segurança
11.3. Monitorização do Servidor
11.3.1. Munin
11.3.2. Icinga
11.3.3. Sitesummary
11.4. Mais informação sobre personalização do Debian Edu
12. Atualizações
12.1. Notas gerais sobre atualização
12.2. Atualizações a partir do Debian Edu 11 Bullseye
12.2.1. Atualização do servidor principal
12.2.2. Atualização de uma estação de trabalho
12.3. Atualização de instalações Debian Edu / Skolelinux antigas (anteriores ao Bullseye)
13. Instruções
14. Instruções para administração geral
14.1. Histórico de configuração: rastreio de /etc/ utilizando o sistema de controlo da versão Git
14.1.1. Exemplos de utilização
14.2. Redimensionar partições
14.2.1. Gestão de volumes lógicos
14.3. Usar o ldapvi
14.4. NFS "Kerberizado"
14.4.1. Como alterar a predefinição
14.5. Standardskriver
14.6. JXplorer, uma interface gráfica LDAP
14.7. ldap-createuser-krb5, uma ferramenta de linha de comando para adicionar utilizadores
14.8. Usar stable-updates (actualizações estáveis)
14.9. Utilização de pacotes retroportados (backports) para instalar software mais recente
14.10. Atualização com um CD ou imagem similar
14.11. Limpeza automática de processos remanescentes
14.12. Instalação automática de atualizações de segurança
14.13. Encerramento automático de máquinas durante a noite
14.13.1. Como configurar o encerramento à noite
14.14. Aceder a servidores Debian-Edu protegidos por uma barreira (firewall)
14.15. Instalação de serviços noutras máquinas, para a distribuição da carga e sua consequente redução no servidor principal
14.16. HowTos from wiki.debian.org
15. Instruções de administração avançada
15.1. Gestão de utilizadores com o GOsa²
15.1.1. Criar utilizadores em grupos por ano
15.2. Outras ações
15.2.1. Criação de pastas nos diretórios home de todos os utilizadores
15.3. Usar um servidor de armazenamento dedicado
15.4. Restringir acesso por SSH
15.4.1. Situação sem clientes LTSP
15.4.2. Situação com clientes LTSP
15.4.3. Uma nota para situações mais complexas
16. Instruções para o ambiente de trabalho
16.1. Preparar um ambiente de trabalho multilingue
16.2. Reproduzir DVDs
16.3. Fontes de caligrafia
17. Instruções para clientes numa rede
17.1. Introdução a clientes dependentes e estações de trabalho sem disco
17.1.1. Seleção do tipo de cliente LTSP
17.1.2. Usar uma rede de clientes LTSP diferente
17.1.3. Adicionar chroot LTSP para suportar clientes de PC de 32 bits
17.1.4. Configuração de cliente LTSP
17.1.5. Som em clientes LTSP
17.1.6. Acesso a unidades USB e a CD-ROMs/DVDs
17.1.7. Utilizar impressoras ligadas a clientes LTSP
17.2. Modificar a configuração do PXE
17.2.1. Configurar o menu PXE
17.2.2. Configurar a instalação PXE
17.2.3. Adicionar repositórios a instalações PXE
17.3. Alterar as definições de rede
17.4. Área de trabalho remota
17.4.1. Xrdp
17.4.2. X2Go
17.4.3. Clientes de área de trabalho remota disponíveis
17.5. Clientes sem fio
17.6. Autorizar o uso do acrescento pGina para LDAP em máquinas Windows com credenciais Debian Edu
17.6.1. Adicionar utilizador pGina no Debian Edu
17.6.2. Instalação
17.6.3. Configurar o pGina
18. O Samba no Debian Edu
18.1. Aceder a ficheiros via Samba
19. Instruções para ensino e aprendizagem
19.1. Ensino de Programação
19.2. Acompanhamento dos alunos
19.3. Restringir o acesso dos alunos à rede
20. Instruções para os utilizadores
20.1. Alterar senhas
20.2. Executar aplicações java autónomas
20.3. Usar o correio
20.4. Thunderbird
21. Contribuir
21.1. Contribuir pela Internet
21.2. Comunicar deficiências
21.3. Redatores e tradutores de documentação
22. Apoio
22.1. Apoio baseado em voluntários
22.1.1. Em inglês
22.1.2. Em norueguês
22.1.3. Em alemão
22.1.4. Em francês
22.2. Apoio profissional
23. Novas funcionalidades no Debian Edu Bookworm
23.1. Novas funcionalidades do Debian Edu 12 Bookworm
23.1.1. Alterações na instalação
23.1.2. Atualizações de software
23.1.3. Atualizações de documentação e tradução
23.1.4. Problemas conhecidos
24. Direitos de Autor e Autores
25. Traduções deste documento
25.1. Como traduzir este documento
25.1.1. Traduzir utilizando os ficheiros PO
25.1.2. Traduzir on-line utilizando um navegador da Web
26. Apêndice A - A Licença Pública Geral GNU
26.1. Manual do Debian Edu 12, denominado Bookworm
26.2. GNU GENERAL PUBLIC LICENSE
26.3. TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION
27. Apêndice B – Aspetos salientes de versões anteriores
27.1. Novas funcionalidades no Debian Edu 11, denominado Bullseye, lançado em 2021-08-14
27.1.1. Alterações na instalação
27.1.2. Atualizações de software
27.1.3. Atualizações de documentação e tradução
27.1.4. Outras alterações por comparação com a versão anterior
27.2. Informação histórica sobre versões mais antigas

1. Manual do Debian Edu 12, denominado bookworm


Tradução:
2020 Diogo Marques
2020-2021 Silvério Santos
2020-2021, 2023-2024 José Vieira
2022 Luis Debonoir

Logótipo do instalador do Debian Edu

Este manual é para a versão Debian Edu 12 (bookworm).

O original deste manual está em https://wiki.debian.org/DebianEdu/Documentation/Bookworm, uma página wiki atualizada com frequência.

Estão disponíveis na rede traduções atualizadas.

2. Sobre o Debian Edu ou Skolelinux

O Debian Edu, também designado Skolelinux, é uma distribuição Debian que implementa uma abordagem cliente-servidor, disponibilizando um ambiente de rede informática escolar completamente configurado. Servidores e clientes são elementos de software – programas, no caso – que interagem entre si: os servidores fornecem informações requeridas pelos clientes para estes poderem funcionar. Quando um servidor é instalado numa máquina e o seu cliente numa máquina diferente, as próprias máquinas são chamadas de servidor e cliente, por extensão do conceito.

Os capítulos sobre os requisitos de equipamento e de rede e sobre a arquitetura contêm informação básica sobre a conceção do sistema.

Com a instalação de um servidor principal, todos os serviços necessários a uma rede de escola estão configurados e o sistema está pronto a ser usado. É necessário apenas adicionar-lhe os utilizadores e as máquinas, via GOsa² – uma interface de rede de fácil utilização – ou qualquer outro editor LDAP. Também foi incluído no sistema um modo de arranque (boot) através da rede, usando PXE/iPXE, pelo que após a instalação inicial do servidor principal a partir de um CD, um disco Blu-ray ou uma pen-USB, o sistema pode ser instalado em todas as outras máquinas, incluindo «estações itinerantes» (as que podem ser levadas da rede da escola, normalmente computadores portáteis), através da rede. Além disso, as máquinas podem arrancar via PXE/iPXE como estações de trabalho sem disco ou clientes dependentes (thin clients).

O ambiente de trabalho pré-definido inclui várias aplicações educativas, como o GeoGebra, o Kalzium, o KGeography, o GNU Solfege e o Scratch, sendo que o sistema pode ser ampliado facilmente e quase infinitamente, por ser parte do universo Debian.

2.1. Alguma história e o porquê de dois nomes

O Debian Edu / Skolelinux é uma distribuição Linux criada pelo projeto Debian Edu. Enquanto distribuição Debian Pure Blend (Debian especializada), é um sub-projeto oficial Debian.

Isto significa que o Skolelinux é uma versão do Debian composta de forma a constituir um modelo pronto a usar de uma rede escolar completamente configurada.

O projeto Skolelinux foi fundado em 2 de julho de 2001 na Noruega. Pela mesma época, Raphaël Hertzog iniciou o Debian-Edu em França. Em 2003 os projetos foram unificados, mas ambos os nomes permaneceram. "Skole" e (Debian-)"Education" são apenas dois termos comuns nos respetivos países – significando, respetivamente, Escola e Educação.

Hoje o sistema está em uso em vários países por todo o mundo.

3. Arquitetura

3.1. Rede

Esta secção descreve a arquitetura de rede e os serviços fornecidos por uma instalação Skolelinux.

A topologia da rede Debian Edu

A figura é um esboço da topologia de rede assumida como padrão. A configuração predefinida de uma rede Skolelinux assume que existe um (e apenas um) servidor principal, enquanto permite a inclusão tanto de estações de trabalho normais quanto de servidores LTSP (com clientes dependentes e/ou estações de trabalho sem disco associados). O número de estações de trabalho pode ser tão grande ou tão pequeno quanto se quiser (desde nenhuma). O mesmo vale para os servidores LTSP, estando cada um deles numa rede separada (redes por departamento, p. ex.) para que o tráfego entre os clientes e o servidor LTSP não afete os restantes serviços de rede. O LTSP é explicado em detalhe no capítulo de instruções respectivo.

A razão para que só possa haver um servidor principal em cada rede escolar é que o servidor principal permite a configuração dinâmica de hospedeiros, através do protocolo DHCP (Dynamic Host Configuration Protocol), e em cada rede só pode haver um sistema a fazê-lo. No entanto, é possível transferir a execução de serviços de rede do servidor principal para outras máquinas. Para o fazer, é necessário configurar a execução do serviço noutra máquina e, de seguida, atualizar a configuração do DNS, apontando o identificador ("alias") DNS desse serviço para a dita máquina.

Para simplificar a configuração padrão do Skolelinux, a ligação à Internet é feita através de um encaminhador (router) separado, também chamado conversor (gateway). Ver o capítulo Encaminhador de Internet para informação sobre como preparar um conversor, se não for possível configurar conforme necessário um já existente.

3.1.1. A configuração da rede predefinida

O DHCP no servidor principal serve a rede 10.0.0.0/8, disponibilizando um menu de arranque PXE com as opções de instalar um novo servidor ou uma nova estação de trabalho, fazer arrancar um cliente dependente ou uma estação de trabalho sem disco, executar o memtest (teste do(s) módulo(s)) de memória, ou arrancar a partir do disco rígido local.

Mas isto pode ser modificado; para mais informação, ver o capítulo de instruções respetivo.

Nos servidores LTSP, o que o DHCP faz é apenas servir uma rede dedicada (sub-rede) na segunda interface (as opções 192.168.0.0/24 e 192.168.1.0/24 estão pré-configuradas), o que raramente necessita de ser alterado.

A configuração de todas as sub-redes é guardada no LDAP.

3.1.2. Servidor principal

Uma rede Skolelinux precisa de um servidor principal (nome de hospedeiro «tjener», termo norueguês que significa «servidor») que por predefinição tem o endereço IP 10.0.2.2 e é instalado selecionando o perfil Servidor Principal. É possível (mas não necessário) selecionar e instalar na mesma máquina também os perfis Servidor LTSP e Estação de Trabalho, além do perfil Servidor Principal.

3.1.3. Serviços executados no servidor principal

Com exceção do controlo dos clientes dependentes, todos os serviços de rede são inicialmente configurados num computador central (o servidor principal). Por razões de desempenho, o(s) servidor(es) LTSP deve(m) ser separado(s) (embora seja possível instalar os perfis de servidor principal e de servidor LTSP no mesmo computador). É atribuído a todos os serviços um nome DNS específico e todos funcionam exclusivamente em IPv4. O nome DNS atribuído facilita a transferência de serviços individuais do servidor principal para um computador diferente. Basta parar o serviço no servidor principal e alterar a configuração DNS, apontando para a nova localização da execução do serviço (que deve primeiro ser configurada no computador de destino, evidentemente).

Para garantir a segurança, são encriptadas todas as ligações em que as senhas são transmitidas pela rede, de modo que nenhuma senha é enviada pela rede como texto em claro.

Abaixo está uma tabela dos serviços que são configurados por predefinição numa rede Skolelinux e o nome DNS de cada serviço. Se for possível, todos os ficheiros de configuração irão referir-se ao serviço pelo nome (sem o nome de domínio), facilitando assim às escolas a mudança de domínio (se tiverem um domínio DNS próprio) ou dos endereços IP que utilizam.

Tabela de serviços

Descrição do serviço

Designação comum

Nome DNS

Registo de eventos centralizado

rsyslog

syslog

Serviço de nome de domínio

DNS (BIND)

domain

Configuração de rede automática das máquinas

DHCP

bootps

Sincronização do relógio

NTP

ntp

Diretórios de utilizador via Network File System

SMB / NFS

homes

Central de correio eletrónico

IMAP (Dovecot)

postoffice

Serviço de diretório

OpenLDAP

ldap

Administração de utilizadores

GOsa²

---

Servidor de web

Apache/PHP

www

Central de cópias de segurança

sl-backup, slbackup-php

backup

Cache de web

Proxy (Squid)

webcache

Impressão

CUPS

ipp

Acesso remoto seguro

OpenSSH

ssh

Configuração automática

CFEngine

cfengine

Servidor(es) LTSP

LTSP

ltsp

Vigilância de máquinas e serviços com comunicação de erros, assim como estado e histórico na web. Comunicação de erros por correio

Munin, Icinga e Sitesummary

sitesummary

Os ficheiros de cada utilizador são guardados nos respetivos diretórios de utilizador (pastas pessoais), que são disponibilizados pelo servidor. Os diretórios de utilizador são acedíveis a partir de todas as máquinas, dando aos utilizadores acesso aos mesmos ficheiros (aos seus ficheiros), qualquer que seja a máquina que utilizem. O servidor é neutro relativamente a sistemas operativos, proporcionando acesso via NFS a clientes do tipo Unix e via SMB2/SMB3 a outros clientes (Windows, MacOS, etc.).

Por predefinição, o correio é configurado para entrega local apenas (ou seja, na rede da escola), embora possa ser configurado o envio de correio pela Internet, se a escola tiver uma ligação permanente à Internet. Os clientes são configurados para entregar correio ao servidor (usando 'smarthost'), acedendo os utilizadores ao seu correio através de IMAP.

Todos os serviços são acedíveis usando o mesmo nome de utilizador e respetiva senha, graças à base de dados central de utilizadores para a autenticação e autorização.

Para aumentar o desempenho em sítios visitados com frequência é usado um intermediário (proxy) de web (o Squid), que guarda ficheiros na sua cache (cache local). Além de bloquear o tráfego web no encaminhador, isto também permite controlar o acesso das máquinas à Internet, individualmente.

A configuração da ligação à rede nos clientes é feita automaticamente, usando o DHCP. Todos os tipos de clientes podem ser ligados à sub-rede privada 10.0.0.0/8, obtendo endereços IP correspondentes; os clientes LTSP devem ser ligados ao servidor LTSP correspondente através da sub-rede separada 192.168.0.0/24 (isto garante que o tráfego de rede dos clientes LTSP não interfere com o resto dos serviços de rede).

O registo de eventos centralizado é configurado de forma a que todas as máquinas enviem as suas mensagens syslog para o servidor. O serviço syslog é configurado de forma a apenas aceitar mensagens recebidas da rede local.

Por predefinição, o servidor DNS é configurado com um domínio para uso interno apenas (*.intern); posteriormente pode ser configurado um domínio DNS real ("externo"). É configurado como servidor DNS de cache, para que todas as máquinas da rede o possam utilizar como servidor DNS principal.

Alunos e professores podem publicar sítios web. O servidor web disponibiliza mecanismos para autenticar utilizadores e para limitar a certos utilizadores e grupos o acesso a páginas e sub-diretórios individuais. Os utilizadores podem criar páginas web dinâmicas, já que o servidor de web é programável no lado do servidor.

A informação sobre utilizadores e máquinas é alterada num local central e é automaticamente tornada acessível a todos os computadores da rede. Para conseguir isso, é configurado um servidor de diretório centralizado. O diretório terá informação sobre os utilizadores, grupos de utilizadores, máquinas e grupos de máquinas. Para evitar a confusão dos utilizadores, não haverá qualquer diferença entre grupos de ficheiros e grupos de rede. Isto implica que os grupos de computadores que irão formar grupos de rede utilizarão o mesmo espaço de nomes que os grupos de utilizadores.

A administração dos serviços e dos utilizadores é feita principalmente através da web e segue padrões estabelecidos, funcionando bem nos navegadores web que fazem parte do Skolelinux. Através dos sistemas de administração, é possível a delegação de certas tarefas em utilizadores individuais ou grupos de utilizadores.

Para evitar certos problemas com o NFS e para tornar a resolução dos problemas mais simples, os computadores necessitam de relógios sincronizados entre si. Para conseguir a sincronização, o servidor Skolelinux é configurado como servidor local de Network Time Protocol (NTP) e todas as estações de trabalho e clientes são configurados para se sincronizarem com o servidor. O servidor, por seu lado, deve sincronizar o seu relógio com computadores na Internet através do NTP, garantindo assim que toda a rede tenha a hora correta.

As impressoras são ligadas onde for conveniente, seja diretamente na rede principal, seja a um servidor, estação de trabalho ou servidor LTSP. O acesso às impressoras pode ser controlado para utilizadores individuais de acordo com os grupos a que pertencem; isto será conseguido através da utilização de quotas e controlo de acesso para impressoras.

3.1.4. Servidor(es) LTSP

Uma rede Skolelinux pode ter muitos servidores LTSP, que são instalados ao ser selecionado o perfil Servidor LTSP.

Os servidores LTSP são configurados para receberem o syslog de clientes dependentes e de estações de trabalho, e encaminharem essas mensagens para o destinatário central do syslog.

Notar que:

  • Estações de trabalho sem disco LTSP usam os programas instalados no servidor.

  • O sistema de ficheiros raiz do cliente é disponibilizado através do NFS. Após cada modificação no servidor LTSP a imagem relacionada tem que ser gerada novamente; executar debian-edu-ltsp-install --diskless_workstation yes no servidor LTSP.

3.1.5. Clientes dependentes (thin clients)

Uma configuração 'cliente dependente' permite que PCs comuns funcionem como terminais (do X). Isto significa que a máquina arranca diretamente do servidor, usando o PXE, sem usar o disco rígido do computador cliente. A configuração de clientes dependentes é feita agora pelo X2Go, uma vez que o LTSP deixou de ter essa funcionalidade.

Os clientes dependentes são uma boa maneira de ainda ser feito uso de computadores muito antigos (a maioria de 32 bits), pois eles executam eficazmente todos os programas no servidor LTSP. Isto funciona da seguinte forma: o serviço usa o DHCP (Dynamic Host Configuration Protocol) para se ligar à rede e o TFTP (Trivial File Transfer Protocol) para arrancar a partir da rede; em seguida, é montado o sistema de ficheiros a partir do servidor LTSP utilizando NFS; finalmente, é iniciado o cliente X2Go.

3.1.6. Estações de trabalho sem disco

Uma estação de trabalho sem disco executa todo o software no próprio computador, apesar de não ter um sistema operativo instalado localmente. Isto significa que os computadores clientes arrancam via PXE, sem executarem software instalado num disco rígido local (mas sim no servidor).

As estações de trabalho sem disco são uma excelente forma de ser utilizado equipamento potente com o mesmo baixo custo de manutenção dos clientes dependentes. O software é administrado e mantido no servidor, sem a necessidade de software instalado localmente nos clientes. A pasta pessoal de cada utilizador (os diretórios de utilizador) e as configurações do sistema para cada um também são guardadas no servidor.

3.1.7. Clientes em rede

O termo "clientes em rede" é usado neste manual para se referir tanto a clientes dependentes como a estações de trabalho sem disco, assim como a computadores com sistemas operativos MacOS ou Windows.

3.2. Administração

Todos os sistemas que forem instalados com o instalador do Skolelinux são administráveis a partir de um computador central, muito provavelmente o servidor. Será possível aceder a todos via SSH e assim ter acesso total às máquinas. É necessário executar primeiro kinit, como root, para obter um TGT (ticket-granting ticket) do Kerberos.

Toda a informação dos utilizadores é mantida num diretório LDAP. As atualizações das contas de utilizador são feitas nesta base de dados, que é utilizada pelos clientes para autenticação do utilizador.

3.2.1. Instalação

Atualmente existem dois tipos de imagens para suportes de instalação: netinst e BD (Blue-Ray Disc). Ambas as imagens podem também ser carregadas a partir de pens USB.

O objetivo é haver a possibilidade de fazer uma única instalação do sistema como servidor, usando qualquer tipo de suporte, e, a partir do servidor, com arranque pela rede, instalar o sistema em todos os outros computadores (clientes) através da rede.

Apenas a imagem netinstall necessita de acesso à Internet durante a instalação.

A instalação não deve fazer solicitações, com exceção de idioma desejado, localização, teclado e perfil do computador (Servidor principal, Estação de trabalho, Servidor LTSP, ...). Todas as outras configurações são estabelecidas automaticamente com valores razoáveis, para serem alteradas a partir de uma localização central pelo administrador do sistema, após a instalação.

3.2.2. Configuração de acesso ao sistema de ficheiros

A cada conta de utilizador do Skolelinux é atribuída uma secção do sistema de ficheiros no servidor de ficheiros. Esta secção (diretório home) contém os ficheiros de configuração do utilizador, documentos, e-mail e páginas web. Alguns dos ficheiros devem ser configurados para ter acesso de leitura para outros utilizadores no sistema, alguns devem ser legíveis por todos na Internet e alguns não devem ser acessíveis para leitura por ninguém, exceto pelo utilizador.

Para garantir que todos os discos usados para diretórios de utilizador ou diretórios partilhados possam ser identificados de forma única em todos os computadores da instalação, os discos podem ser montados como /skole/host/directory/. É criado inicialmente um diretório no servidor de ficheiros, /skole/tjener/home0/, no qual são criadas todas as contas de utilizador. Posteriormente podem ser criados mais diretórios, quando necessário para acomodar determinados grupos de utilizadores ou determinados padrões de uso.

Para permitir o acesso partilhado a ficheiros que usem o sistema normal de permissões UNIX, é necessário que os utilizadores, além de estarem no grupo pessoal primário a que pertencem por predefinição, estejam também em grupos partilhados suplementares (p. ex. "estudantes"). Se os utilizadores tiverem uma máscara apropriada (002 ou 007) para tornar os itens recém-criados acessíveis a grupos e se os diretórios em que eles estiverem a trabalhar estiverem configurados para fazer com que os ficheiros assumam a mesma entidade detentora que o grupo, o resultado é a partilha controlada de ficheiros entre os membros de um grupo.

As configurações iniciais de acesso a ficheiros recém-criados são uma questão de opção. A máscara (umask) predefinida do Debian é 022 (que não permite acesso de grupo como descrito acima), mas o Debian Edu usa 002 como predefinição - significando que os ficheiros são criados com acesso de leitura para todos os utilizadores, acesso esse que pode ser removido posteriormente por uma acção explícita do criador do ficheiro. Isto pode ser alterado (editando /etc/pam.d/common-session) para uma máscara de 007 - significando que o acesso de leitura dos ficheiros é inicialmente vedado, necessitando de uma acção do utilizador para os tornar acessíveis. A primeira abordagem encoraja a partilha de conhecimento e torna o colectivo mais transparente, enquanto que a segunda diminui o risco de disseminação indesejada de informação sensível. O problema com a primeira opção é que não é claro para os utilizadores que o material que criam fica acessível a todos os outros utilizades. Só o conseguem perceber inspecionando os diretórios dos outros utilizadores e vendo que os seus ficheiros podem ser lidos. O problema com a segunda opção é que provavelmente poucas pessoas tornarão os seus ficheiros acessíveis a outros, mesmo que não contenham informação sensível e o conteúdo seja útil para utilizadores curiosos, que querem perceber como outros resolveram problemas específicos (normalmente problemas de configuração).

4. Requisitos

Há várias possibilidades para uma solução Skolelinux. Desde a instalação apenas num PC autónomo até à instalação em muitas escolas geridas de forma centralizada como solução regional. Contudo, esta flexibilidade implica uma enorme diferença entre opções no que respeita à configuração dos componentes de rede, servidores e máquinas clientes.

4.1. Requisitos de equipamento

As finalidades dos diferentes perfis são explicadas no capítulo arquitectura de rede.

Se for usado o LTSP, ver a página wiki de requisitos de equipamento para LTSP.

  • O Debian Edu / Skolelinux pode ser instalado em computadores de 32 bit (arquitectura Debian 'i386', para processadores 686 e superiores) ou em computadores de 64 bit (arquitectura Debian 'amd64', para processadores x86).

  • É possível usar clientes dependentes com apenas 256 MiB de RAM e 400 MHz de frequência, embora seja recomendado o uso de mais RAM e processadores mais rápidos.

  • Em clientes autónomos (fat clients) - isto é, estações de trabalho, estações de trabalho sem disco - e computadores independentes, 1024 MiB de RAM e 1500 MHz de frequência são os requisitos mínimos absolutos. Para utilizar navegadores web modernos e LibreOffice são recomendados pelo menos 2048 MiB de RAM.

  • O espaço em disco mínimo necessário depende do perfil a instalar:

    • servidor principal combinado + servidor LTSP + estação de trabalho (se for pretendido ter uma interface gráfica no servidor): 60 GiB (mais espaço adicional para contas de utilizador).

    • servidor LTSP: 40 GiB.

    • estação de trabalho ou computador independente: 30 GiB.

    • instalação mínima de máquina em rede: 4 GiB.

  • Os servidores LTSP precisam de duas placas de rede ao utilizarem a arquitetura de rede predefinida:

    • a eth0 está ligada à rede principal (10.0.0.0/8),

    • a eth1 é usada para servir clientes LTSP.

  • Os computadores portáteis são estações de trabalho móveis, por isso têm os mesmos requisitos que as estações de trabalho.

4.2. Computadores identificados como funcionando com o sistema

Está disponível uma lista de computadores testados em https://wiki.debian.org/DebianEdu/Hardware/ . Esta lista está longe de ser completa.

https://wiki.debian.org/InstallingDebianOn é um esforço para documentar a forma de instalar, configurar e usar o Debian em alguns computadores específicos, permitindo a potenciais compradores saberem que esses computadores aceitam o Debian e aos detentores de computadores listados saberem como obter o máximo dos seus equipamentos.

5. Requisitos para configuração de rede

5.1. Configuração predefinida

Quando for usada a arquitetura de rede predefinida, aplicam-se as seguintes regras:

  • É necessário um, e apenas um, servidor principal.

  • Pode haver centenas de estações de trabalho na rede principal.

  • Pode haver muitos servidores LTSP na rede principal; estão pré-configuradas duas sub-redes diferentes (DNS, DHCP) no LDAP e podem ser adicionadas mais.

  • Pode haver centenas de clientes dependentes (thin clients) e/ou estações de trabalho sem disco em cada rede de servidores LTSP.

  • Pode haver centenas de outras máquinas, sendo-lhes atribuídos endereços IP dinâmicos.

  • Para acesso à Internet é necessário um encaminhador (router) ou um conversor (gateway) (ver abaixo).

5.2. Encaminhador (router) de Internet

Para ligação à Internet é necessário um encaminhador (router) ou um conversor (gateway) ligado à Internet na interface externa e usando o endereço IP 10.0.0.1 com a máscara de rede 255.0.0.0 na interface interna, .

O encaminhador não deve ser ligado a um servidor DHCP; pode ser ligado a um servidor DNS, embora isso não seja necessário – não será utilizado.

Caso não haja nenhum encaminhador disponível ou o encaminhador existente não possa ser configurado adequadamente, qualquer máquina que satisfaça os requisitos para uma instalação Debian mínima e que tenha pelo menos duas placas de rede pode ser transformada num conversor entre a rede existente e a do Debian Edu. Consultar a documentação de instalação para informação sobre uma forma simples de instalar e configurar uma máquina Debian usando debian-edu-router-config.

Se for necessário usar algum equipamento como encaminhador (embedded) ou como ponto de acessso incorporado, recomenda-se o uso do firmware OpenWRT, embora o firmware original do equipamento também possa ser usado, é claro. Usar o firmware original é mais fácil; usar o OpenWRT dá mais opções e controlo. Consultar as páginas web do OpenWRT para ver uma lista de equipamento suportado.

É possível usar uma configuração de rede diferente (há um procedimento documentado para tal), mas se a infra-estrutura de rede existente não o requerer, recomenda-se que isso não seja feito e que seja usada a arquitectura de rede predefinida.

6. Opções de instalação e transferência

6.1. Onde encontrar informação adicional

Recomenda-se que sejam lidas as notas de lançamento do Debian Bookworm antes de começar a instalação dum sistema. Há mais informação sobre o lançamento do Debian Bookworm no manual de instalação.

Experimente o Debian Edu/Skolelinux. Está pronto a funcionar.

Recomenda-se vivamente que sejam lidos os capítulos sobre os requisitos de equipamento e de rede e sobre a arquitectura antes de começar a instalação dum servidor principal.

Deve também ser lido o capítulo Primeiros Passos deste manual, pois nele se explica como aceder ao sistema pela primeira vez.

6.2. Descarregar a imagem de instalação do Debian Edu 12, denominado Bookworm

6.2.1. amd64 ou i386

amd64 e i386 são os nomes de duas arquiteturas Debian para CPUs x86; ambas são ou foram produzidas pela AMD, Intel e outros fabricantes. A arquitetura amd64 é de 64 bits e ai386 é de 32 bits. Hoje em dia, as instalações devem ser feitas usando amd64. A arquitetura i386 deve ser usada apenas para computadores antigos (começaram a ser vendidos computadores de 64bit em 2003 e deixaram de ser vendidos computadores de 32bit por volta de 2010; a arq. i386 pode ser usada em máquinas de 64bit, mas a arq. amd64 não pode ser usada em máquinas de 32bit).

6.2.2. Imagens iso netinst para amd64 ou i386

A imagem iso netinst pode ser usada para instalação a partir de CD/DVD e unidades USB flash e está disponível para as duas arquiteturas Debian referidas: amd64 e i386. Como o nome indica, para a instalação é necessário acesso à Internet .

Assim que o Bookworm for lançado, estas imagens estarão disponíveis para descarga a partir de:

6.2.3. Imagens iso BD para amd64 ou i386

Estas imagens ISO tem aproximadamente 7,5 GB e podem ser usadas para instalação em máquinas amd64 ou i386, também sem acesso à Internet. Como a imagem netinst, esta imagem pode ser instalada em unidades USB flash ou em discos de tamanho suficiente.

Assim que o Bookworm for lançado, estas imagens estarão disponíveis para descarga a partir de:

6.2.4. Verificação dos ficheiros de imagem transferidos

Instruções detalhadas para verificação e uso dessas imagens constam das P&R do CD Debian.

6.2.5. Fontes ou origens das imagens

As imagens estão disponíveis no arquivo Debian nos locais habituais; há ligações para imagens para vários em https://get.debian.org/cdimage/release/current/source/

6.3. Instalar o Debian Edu

Ao fazer uma instalação do Debian Edu, há algumas escolhas a fazer. Mas não são muitas. Foi feito um bom trabalho de ocultação para o utilizador das complexidades internas do Debian, quer durante a instalação quer no uso do sistema. De qualquer modo, porque o Debian Edu é essencialmente um sistema Debian, é possível usar no Debian Edu os mais de 59 000 pacotes do Debian e milhares de opções de configuração. Além disso, as predefinições são adequadas para a maioria dos utilizadores. NOTA: se for para usar o LTSP, deve ser escolhido um ambiente de trabalho ligeiro.

6.3.1. Cenários de instalação do servidor principal

  1. Exemplo de rede escolar ou doméstica com acesso à Internet através de um encaminhador com DHCP:

    • A instalação de um servidor principal é possível, mas após reiniciar não haverá acesso à Internet (devido ao IP 10.0.2.2/8 da interface de rede primária).

    • Ver o capítulo Encaminhador (router) para Internet para informação de ligação e configuração de um conversor (gateway), se não for possível configurar um já em uso.

    • Ligar todos os componentes como mostrado no capítulo Arquitetura.

    • O servidor principal deve ter ligação à Internet quando iniciado pela primeira vez no ambiente correto.

  2. Exemplo de rede escolar ou institucional, semelhante à mencionada acima, mas requerendo o uso de um intermediário (proxy).

    • Adicionar 'debian-edu-expert' à linha de comando do núcleo (kernel); ver mais abaixo instruções de como fazer.

    • Devem ser atendidas algumas solicitações adicionais, incluindo a relacionada com o servidor intermediário.

  3. Rede com encaminhador/conversor IP 10.0.0.1/8 (que não tem servidor DHCP) e acesso à Internet:

    • Assim que a configuração automática da rede falhar (devido à falta de DHCP), escolher a configuração manual da rede.

      • Introduzir 10.0.2.2/8 como IP do hospedeiro

      • Introduzir 10.0.0.1 como IP do conversor

      • Introduzir 8.8.8.8 como IP do servidor de nomes, a menos que outro se aplique

    • O servidor principal deve funcionar de imediato após o primeiro arranque.

  4. Sem ligação à Internet:

    • Usar a imagem ISO para BD (Blue-ray Disc).

    • Confirmar que todos os cabos de rede (reais/virtuais) estão desligados.

    • Escolher 'Não configurar a rede neste momento' (depois de o DHCP não ter configurado a rede e de ter sido pressionado 'Continuar').

    • Atualizar o sistema uma vez iniciado pela primeira vez no ambiente correcto com acesso à Internet.

6.3.2. Ambientes de trabalho

Estão disponíveis vários ambientes de trabalho:

  • O Xfce tem uma dimensão ligeiramente maior do que o LXDE, mas tem um bom suporte linguístico (106 idiomas).

  • O KDE e o GNOME têm ambos um bom suporte linguístico, mas são demasiado pesados, tanto para os computadores mais antigos como para os clientes LTSP.

  • O Cinnamon é uma alternativa ao GNOME, sendo mais ligeiro.

  • O MATE é mais ligeiro do que os três acima, mas não possui um bom suporte linguístico para vários países.

  • O LXDE é o de menor dimensão e está disponível em 35 idiomas.

  • O LXQt é um ambiente de trabalho ligeiro (tem disponibilidade de idiomas semelhante ao LXDE) com um aspecto mais moderno (é baseado em Qt, tal como o KDE).

O projeto Debian Edu, sendo um projeto internacional, optou pelo Xfce como ambiente de trabalho predefinido; ver abaixo como definir um ambiente diferente.

6.3.3. Instalação modular

  • Ao instalar um sistema com perfil Estação de trabalho incluído, são instalados muitos programas relacionados com a educação. Para instalar apenas o perfil básico, remover o parâmetro de linha de comando desktop=xxxx do núcleo (kernel) antes de iniciar a instalação; ver abaixo informação de como isto é feito. Isto permite instalar um sistema específico para cada caso e pode ser usado para acelerar instalações de teste.

  • Nota: Havendo a intenção de posteriormente instalar um ambiente de trabalho, não usar os meta-pacotes Debian Edu, como, por exemplo, education-desktop-xfce porque eles iriam trazer consigo todos os programas relacionados com educação; em vez disso, instalar, por exemplo, o task-xfce-desktop. Pode ser instalado um ou mais dos meta-pacotes relacionados com o novo nível escolar education-preschool, education-primaryschool, education-secondaryschool, education-highschool conforme o caso.

  • Para informação sobre os meta-pacotes Debian Edu, ver a página Visão geral dos pacotes Debian Edu.

6.3.4. Tipos e opções de instalação

Menu de arranque do instalador em equipamento de 64 bits - modo BIOS

Menu de arranque do instalador de 64 bits (modo BIOS)

A Instalação gráfica utiliza o instalador construído em GTK, que permite a utilização do rato.

Instalar utiliza o instalador em modo de texto.

Opções avançadas > apresenta um submenu com mais opções.

A Ajuda dá algumas dicas sobre como usar o instalador; ver a captura de ecrã abaixo.

64-bit Installer advanced options screen 1

Voltar atrás... traz de volta o menu principal.

A Instalação gráfica especializada apresenta todas as possiblidades de configuração; pode ser usado o rato.

O Modo gráfico de recuperação faz com que o disco de instalação seja usado como disco de recuperação, se surgirem problemas graves.

A Instalação gráfica automática precisa de um ficheiro de pré-configuração.

A Instalação especializada apresenta todas as possiblidades de configuração em modo de texto.

Modo de recuperação modo de texto; faz com que o disco de instalação seja usado como disco de recuperação, se emergirem problemas graves.

A Instalação automatizada em modo de texto precisa de um ficheiro de pré-configuração.

Não usar a Instalação gráfica especializada ou Instalação especializada; em casos excecionais usar antes debian-edu-expert como parâmetro adicional do núcleo (kernel).

Ecrã de ajuda

Installer help screen

Este ecrã de Ajuda é auto-explicativo e activa as teclas <F>- no teclado para ajuda mais detalhada sobre os tópicos descritos.

Menu de arranque do instalador em equipamento de 64 bits - modo UEFI

Menu de arranque do instalador de 64 bits (modo UEFI)

Adicionar ou alterar parâmetros de arranque para instalações

Em ambos os casos, as opções de arranque podem ser editadas pressionando a tecla TAB ou E no menu de arranque; as capturas de ecrã mostram a linha de comando para a Instalação gráfica.

Editar opções de linha de comando (modo BIOS)

Editar opções de linha de comando (modo UEFI)

  • Pode ser usado um serviço de intermediário (proxy) HTTP existente na rede para agilizar a instalação do perfil do Servidor Principal a partir do CD. Adicionar p. ex. mirror/http/proxy=http://10.0.2.2:3128 como parâmetro de arranque adicional.

  • Se já foi instalado o perfil do Servidor Principal numa máquina, as instalações seguintes devem ser feitas via PXE, que vai usar automaticamente o intermediário do servidor principal.

  • Para instalar o ambiente de trabalho GNOME em vez do ambiente de trabalho predefinido Xfce, substituir xfce por gnome no parâmetro desktop=xfce.

  • Para instalar o ambiente de trabalho LXDE, usar desktop=lxde.

  • Para instalar o ambiente de trabalho LXQt, usar desktop=lxqt.

  • Para instalar o ambiente de trabalho KDE Plasma, usar desktop=kde.

  • Para instalar o ambiente de trabalho Cinnamon, usar desktop=cinnamon.

  • E para instalar o ambiente de trabalho MATE, usar desktop=mate.

6.3.5. Processo de instalação

Ter presente os requisitos de sistema ; para configurar um servidor LTSP são necessárias pelo menos duas placas de rede (NICs) .

  • Escolher um idioma (a usar na instalação e no sistema instalado).

  • Escolher uma localização; normalmente será a região correspondente ao sítio onde se estiver.

  • Escolher um esquema de teclado (o predefinido para o país geralmente é adequado).

  • Escolher o(s) perfil(s), da seguinte lista:

    • Servidor principal

      • Este é o servidor principal (tjener) da escola, que fornece todos os serviços, pré-configurados para funcionarem de imediato. Deve ser instalado apenas um servidor principal por escola! Este perfil não inclui uma interface gráfica de utilizador. Para uso duma interface gráfica de utilizador, além deste perfil deve ser selecionado também um dos perfis Estação de trabalho ou Servidor LTSP.

    • Estação de trabalho

      • É um computador de rede que arranca a partir de seu próprio disco rígido e executa todos os programas e gere os dispositivos localmente, como um computador comum independente. Exceptuam-se os acessos dos utilizadores, que são autenticados pelo servidor principal, e a localização dos ficheiros dos utilizadores e do perfil do ambiente de trabalho de cada utilizador, também guardados no servidor principal.

    • Estação de trabalho itinerante (Roaming workstation)

      • O mesmo que uma estação de trabalho, mas capaz de autenticação usando credenciais em cache, o que significa que o computador pode ser usado fora da rede escolar. Os ficheiros e perfis dos utilizadores são guardados no disco local. Para portáteis de utilizador único deve ser selecionado este perfil e não 'Estação de trabalho' ou 'Standalone', ao contrário do que era sugerido em versões anteriores.

    • Servidor LTSP

      • Um servidor de clientes dependentes (e de estações de trabalho sem disco), é chamado de servidor LTSP (Linux Terminal Server Project). É a partir deste servidor que os clientes sem disco rígido (clientes do servidor de janelas X ou, abreviadamente, terminais do X) arrancam e executam os programas a partir deste servidor. Este computador precisa de duas interfaces de rede, muita memória e, idealmente, mais do que um processador ou núcleo. Ver o capítulo sobre clientes de rede para mais informação sobre este assunto. A escolha deste perfil activa também o perfil Estação de trabalho (mesmo que não esteja selecionado) - um servidor LTSP pode sempre ser usado também como estação de trabalho.

    • Independente (Standalone)

      • O computador comum, que funciona sem estar ligado a um servidor (ou seja, não precisa de estar na rede). Inclui os computadores portáteis.

    • Mínimo

      • Este perfil instala os pacotes base e configura a máquina para se integrar na rede Debian Edu, mas sem instalar quaisquer serviços ou aplicações. É útil como plataforma para serviços específicos transferidos manualmente do servidor principal para outro computador.

        Caso os utilizadores comuns possam usar tal sistema, o mesmo tem de ser adicionado através do GOsa² (como uma estação de trabalho) e tem de ser instalado o pacote libpam-krb5.

    Os perfis Servidor Principal, Estação de Trabalho e Servidor LTSP estão pré-selecionados. Estes perfis podem ser instalados em conjunto numa máquina para instalar um servidor principal chamado combinado. Isto significa que o servidor principal (físico) será também um servidor LTSP e poderá ser usado como estação de trabalho. Esta é a escolha predefinida, já que se assumime que esta será a opção escolhida na maioria dos casos. Notar que, para ficarem funcionais, as máquinas destinadas a servidor principal combinado ou a servidor LTSP têm que ter duas placas de rede instaladas.

  • Escolher "sim" ou "não" quanto ao particionamento automático. Ter presente que escolher "sim" destruirá todos os dados nos discos rígidos! Escolher "não", por outro lado, exigirá mais trabalho - é necessário confirmar que as partições necessárias existem (se não, têm que ser criadas) e são de tamanho suficiente.

  • Solicita-se a opção pelo "sim" ao envio de informação para https://popcon.debian.org/, para permitir à equipa do Debian Edu saber que pacotes são mais usados e devem ser mantidos em futuros lançamentos. Embora não seja obrigatório, é uma forma simples de ajudar.

  • Aguardar. Se os perfis selecionados incluírem o servidor LTSP, o instalador irá demorar algum tempo no final, quando aparecer a mensagem "A finalizar a instalação - a executar o debian-edu-profile-udeb...".

  • Após a introdução da senha de root (administrador do computador, e não da rede), será solicitada a criação duma conta de utilizador normal (do computador) "para tarefas não-administrativas". Para o Debian Edu esta conta é muito importante: é esta a conta usada para a gestão da rede Skolelinux.

    A senha para este utilizador tem de ter um comprimento mínimo de 5 caracteres e deve ser diferente do nome de utilizador - caso contrário não será dado acesso ao computador (mesmo que uma senha mais curta e que uma senha correspondente ao nome de utilizador sejam aceites pelo instalador).

  • No caso de um servidor principal combinado esperar novamente após reiniciar. O sistema irá demorar algum tempo a gerar a imagem SquashFS para estações de trabalho sem disco.

  • No caso dos servidores LTSP separados, a configuração das estações de trabalho sem disco e/ou dos clientes dependentes precisa de alguns passos adicionais a efectuar pelo operador. Para mais informação, ver o capítulo Instruções para clientes de rede.

6.3.6. Instalar um conversor (gateway) usando o pacote debian-edu-router

O pacote debian-edu-router-config simplifica a configuração de um conversor para uma rede Debian Edu através de um processo de configuração interactivo em que a informação necessária é obtida através de uma série de caixas de diálogo.

Para usar esta funcionalidade, deve ser efetuada uma instalação Debian mínima. Garantir que é usado o instalador Debian normal, e não o instalador do Debian Edu, pois o instalador do Debian Edu não é compatível com o debian-edu-router-config.

Instalar o pacote debian-edu-router-config usando

DEBIAN_FRONTEND=noninteractive apt install -y -q debian-edu-router-config

São esperadas mensagens de erro relativas à configuração, as quais podem ser ignoradas por enquanto.

Para o processo de configuração após a instalação do debian-edu-router-config é necessário acesso físico ao computador.

As interfaces de rede podem já estar ligadas às redes correspondentes, mas não é obrigatório. É necessário dar atenção às ligações – que interface será ligada a que rede. Para obter mais informação sobre o equipamento (hardware) da rede"

lshw -class network

pode ser usado.

Remover a configuração das duas interfaces de rede a serem usadas de /etc/network/interfaces ou os ficheiros em /etc/network/interfaces.d/ e desconfigurar as duas interfaces usando

ip addr flush <interface>

O processo de configuração propriamente dito é iniciado com

dpkg-reconfigure --force uif debian-edu-router

Selecting the uif configuration method Confirmação para configurar a uif

Para o método de configuração da barreira (firewall) uif, escolher \"debian-edu-router\". Confirmar configuração da barreira para o Debian Edu Router.

Allowing ping in uif Permitir traceroute na uif

Decidir sobre responder ou não a pedidos de ping e traceroute. Na dúvida responder "sim/yes" pois a informação pode ser útil para diagnóstico de problemas de rede.

Ativar o encaminhamento de pacotes IP

Confirmar a ativação do encaminhamento de pacotes IP.

Selecionar o método de configuração de rede

A seguir, atribuir redes às interfaces de rede no encaminhador; escolher uma das opções disponíveis, dependendo de a interface de rede já estar ligada ou não.

Selecionar a interface de uplink

Selecionar a interface que está ligada à rede a montante (upstream) - a primeira da lista.

Selecionar redes internas

Selecionar uma rede interna; em caso de dúvida e sendo pretendida apenas uma única rede interna, selecionar "Educação".

Ativar o uso de VLANs

Determinar se as VLANs devem ser usadas para redes internas; em caso de dúvida, selecionar "no/não".

Selecionar versões IP compatíveis

Selecionar "IPv4".

Selecionar redes que requerem um endereço IP estático

Selecionar “Uplink” se a rede a montante requerer um endereço IP estático e “Educação” se foi seguida a sugestão acima para redes internas.

Configurar um endereço IP estático para a rede interna

Definir 10.0.0.1/8 como o endereço IP estático para a rede interna "Educação" se foi seguida a sugestão acima para redes internas.

Ativar NAT para redes

Activar NAT para a rede interna.

Ativar acesso à Internet para redes

Ativar o acesso à Internet para redes internas.

Configurar NAT reverso

Se for pretendido expor quaisquer serviços internos à Internet, estes podem ser configurados usando a sintaxe descrita. Notar que o acesso SSH ao conversor pode ser configurado usando a caixa de diálogo a seguir.

Ativar acesso SSH para redes

Decidir sobre as redes a partir das quais será permitido acesso SSH ao conversor.

Configurar o porto SSH

Configurar o porto SSH; deve ser 22 se a configuração não tiver sido alterada.

Ativar o DHCP para redes

Não activar o DHCP para redes internas; será disponibilizado pelo servidor principal do Debian Edu.

Ligar as interfaces de rede, caso ainda não tenham sido ligadas, e reiniciar a máquina.

SSH main menu Configuração SSH

Se o acesso SSH estiver ativado, o conversor poderá ser reconfigurado remotamente através do menu que aparece ao aceder como root. Pressionar c no menu principal faz mudar para o menu de configuração; a partir deste a configuração pode ser alterada completa ou parcialmente usando o mesmo método que foi usado para a configuração inicial.

6.3.7. Notas sobre algumas especificidades

6.3.7.1. Uma nota sobre computadores portáteis

O mais provável é que o perfil escolhido seja 'Estação de trabalho itinerante' (ver acima). Ter presente que todos os dados são guardados localmente, isto é, no próprio portátil (portanto é necessário algum cuidado extra em fazer cópias de segurança), e as credenciais de acesso são guardadas na cache (portanto, após uma alteração da senha, a entrada pode requerer a senha antiga se o computador não tiver sido ligado à rede e feito o acesso com a nova senha).

6.3.7.2. Uma nota sobre instalações a partir de unidades USB flash / imagens de disco Blu-ray

Terminada a instalação a partir da unidade flash USB / imagem de disco Blu-ray, o ficheiro /etc/apt/sources.list conterá apenas fontes (repositórios origem) constantes nessa imagem. Se for possível ligar o computador à Internet, sugere-se vivamente que sejam acrescentadas as seguintes linhas ao ficheiro, para que as atualizações de segurança disponíveis possam ser instaladas:

deb http://deb.debian.org/debian/ bookworm main 
deb http://security.debian.org bookworm-security main 
6.3.7.3. Uma nota sobre instalações a partir de CD

Uma instalação netinst (o tipo de instalação que o CD proporciona) irá buscar alguns pacotes ao CD e o resto à rede. A quantidade de pacotes transferidos da rede varia de perfil para perfil, mas fica abaixo de um gigabyte (a menos que sejam instalados todos os ambientes de trabalho possíveis). Uma vez instalado o servidor principal (seja um servidor principal puro ou um servidor combinado), as instalações seguintes farão uso do intermediário (proxy), evitando assim transferir da rede o mesmo pacote várias vezes.

6.3.8. Instalação usando pendrives USB em vez de discos CD / Blu-ray

É possível copiar directamente uma imagem ISO de CD/BD para unidades USB flash (também conhecidas como "pen drive", "pen-USB", etc.) e arrancar a partir delas. Executar um comando como este, simplesmente, alterando os nomes de ficheiro e de dispositivo para o que for usado :

sudo dd if=debian-edu-amd64-XXX.iso of=/dev/sdX bs=1M

Para identificar o valor de X em sdX, executar este comando antes e depois de o dispositivo USB ter sido inserido (a informação estará na diferença):

lsblk -p

A cópia demorará algum tempo a ser efectuada.

A unidade USB flash funcionará como um CD ou como um disco Blu-ray, conforme a imagem usada.

6.3.9. Instalação e arranque através da rede via PXE

Para este método de instalação é necessário um servidor principal em execução. Quando os clientes arrancam através da rede, é exibido um menu do iPXE com opções de seleção do instalador e de arranque. Se a instalação através do PXE falhar e aparecer uma mensagem de erro a dizer que falta um ficheiro XXX.bin, muito provavelmente a placa de rede do cliente requer firmware não livre. Neste caso, o initrd do instalador do Debian tem de ser modificado. Isso pode ser conseguido através da execução do comando:

/usr/share/debian-edu-config/tools/pxe-addfirmware

no servidor.

Esta é a aparência do menu do iPXE apenas com o perfil Servidor principal :

Menu iPXE sem entradas LTSP

Esta é a aparência do menu iPXE com o perfil Servidor LTSP:

Menu iPXE com entradas LTSP

Esta configuração também permite que estações de trabalho sem disco e clientes dependentes arranquem a partir da rede principal. Ao contrário das estações de trabalho e servidores LTSP separados, as estações de trabalho sem disco não precisam de ser adicionadas ao LDAP, com GOsa².

Pode ser encontrada mais informação sobre clientes de rede no capítulo Instruções para clientes de rede.

6.3.10. Modificar instalações PXE

A instalação PXE usa um ficheiro debian-installer pré-configurado, que pode ser modificado para solicitar a instalação de mais pacotes.

Tem que ser adicionada a tjener:/etc/debian-edu/wwww/debian-edu-install.dat uma linha como a seguinte

d-i    pkgsel/include string my-extra-package(s)

A instalação PXE usa o ficheiro pré-configurado (preseeding file) /etc/debian-edu/www/debian-edu-install.dat. Este ficheiro pode ser alterado para ajustar a pré-configuração usada durante a instalação, para evitar mais solicitações ao instalar pela rede. Outra forma de conseguir isto é fornecer definições extra em /etc/debian-edu/pxeinstall.conf e /etc/debian-edu/www/debian-edu-install.dat.local e executar /usr/sbin/debian-edu-pxeinstall para atualizar os ficheiros gerados.

O manual do Instalador do Debian contém informação adicional.

Para desativar ou alterar o uso do intermediário ao instalar via PXE, têm que ser alteradas as linhas contendo mirror/http/proxy, mirror/ftp/proxy e preseed/early_command em tjener:/etc/debian-edu/wwww/debian-edu-install.dat . Para desativar o uso de um intermediário ao instalar, colocar '#' no início de cada uma das duas primeiras linhas, e remover da última a parte "export http_proxy="http://webcache:3128"; ".

Algumas definições não podem ser pré-configuradas, porque são necessárias antes de o ficheiro de pré-configuração ser descarregado. O idioma, a disposição do teclado e o ambiente de trabalho são exemplos de tais definições. Para alterar as predefinições, editar o ficheiro do menu iPXE /srv/tftp/ltsp/ltsp.ipxe no servidor principal.

6.3.11. Imagens personalizadas

Criar CDs, DVDs ou discos Blu-ray com sistemas personalizados pode ser bastante fácil, uma vez que é usado o Instalador do Debian, o qual tem uma concepção modular e outras caracgterísticas interessantes. A pré-configuração permite definir as opções para as solicitações mais comuns.

É apenas necessário criar um ficheiro de pré-configuração com as opções a usar (isto é descrito no apêndice do manual do Instalador do Debian) e recompor o CD/DVD.

6.4. Sequência de capturas de ecrã

A instalação em modo de texto ou em modo gráfico é funcionalmente idêntica - apenas a aparência é diferente. O modo gráfico permite utilizar o rato e, claro, tem um aspecto muito mais apelativo e moderno. A menos que o equipamento apresente problemas no uso do modo gráfico, não há razão para não o usar.

Segue-se uma sequência de capturas de ecrã da instalação em modo gráfico de um servidor principal de 64 bits + estação de trabalho + instalação do servidor LTSP (em modo BIOS), incluindo também a sequência após o primeiro arranque do servidor principal e de um arranque por PXE num computador da rede clientes LTSP (ecrã de sessão de cliente dependente e ecrã de acesso após ter sido escolhida uma sessão no painel à direita).

Menu de arranque do instalador de 64 bits (modo BIOS)

Selecionar um idioma

Selecionar a localização

Configurar o teclado

Detetar o equipamento de rede

Configurar a rede manualmente

Configurar o endereço IP

Configurar o conversor (gateway)

Configurar o servidor de nomes

Escolher o perfil do Debian Edu

Usar a ferramenta de particionamento automático: não

Usar a ferramenta de particionamento automático: sim

Participar no inquérito de uso de pacotes: não

Participar no inquérito de uso de pacotes: sim

Definir a senha para o utilizador root

Introduzir o nome completo do primeiro utilizador

Introduzir um nome de utilizador para o primeiro utilizador

Definir a senha para o primeiro utilizador

Instalação concluída

Interface de acesso Lightdm

Área de trabalho Xfce mostrando uma janela com um navegador em execussão

Imagem do Ambiente de trabalho Xfce

Ecrã de Boas-vindas de cliente dependente

Interface de acesso de cliente dependente

7. Primeiros passos

7.1. Passos mínimos a dar para começar a usar

Durante a instalação do servidor principal, foi criada uma primeira conta de utilizador. No texto seguinte esta conta será referida por "primeiro utilizador". Esta conta é especial, pois as permissões do diretório home estão definidas para 700 (pelo que é necessário executar chmod o+x ~ para tornar acessíveis páginas web pessoais), podendo o primeiro utilizador usar sudo para passar para root.

Ver a informação sobre a configuração de acesso ao sistema de ficheiros específico do Debian Edu antes de adicionar utilizadores; ajustar a política do site, se necessário.

Após a instalação, as primeiras coisas a fazer como primeiro utilizador são:

  1. Aceder ao servidor.

  2. Adicionar utilizadores com o GOsa².

  3. Adicionar estações de trabalho com o GOsa².

A adição de utilizadores e estações de trabalho está descrita abaixo, pelo que este capítulo deve ser lido até ao fim. Cobre a execução correcta dos passos mínimos, assim como outras acções que provavelmente terão de ser executadas.

Há mais informação noutras partes deste manual: o capítulo Novas funcionalidades no Bookworm deve ser lido por quem estiver familiarizado com versões anteriores do Debian. No caso de substituição de uma versão anterior do Debian Edu, é importante ler o capítulo Actualizações.

Se o tráfego DNS genérico estiver bloqueado fora da rede e for necessário usar algum servidor DNS específico para procurar hospedeiros (hosts) de Internet, é necessário indicar ao servidor DNS o uso deste servidor como seu "expedidor". Atualizar /etc/bind/named.conf.options especificando o endereço IP do servidor DNS a usar.

O capítulo Instruções contém mais dicas e truques, assim como respostas a algumas perguntas frequentes.

7.1.1. Serviços executados no servidor principal

Vários serviços em execução no servidor principal podem ser geridos através de uma interface de gestão da web. Esses serviços são descritos abaixo.

7.2. Introdução ao GOsa²

O GOsa² é uma ferramenta de gestão baseada na Web que ajuda a gerir algumas partes importantes da instalação Debian Edu. Com o GOsa² podem ser executadas acções (adicionar, modificar ou eliminar) nestas áreas principais:

  • Administração de utilizadores

  • Administração de Grupos

  • Administração de grupos NIS Netgroup

  • Administração de máquinas

  • Administração de DNS

  • Administração do DHCP

Para aceder ao GOsa² é necessário o servidor principal do Skolelinux e um sistema (cliente) com um navegador web instalado, que pode ser o próprio servidor principal se este tiver sido instalado como servidor combinado (perfis Servidor Principal + Servidor LTSP + Estação de Trabalho).

Se foi instalado um perfil de Servidor Principal puro (provavelmente por engano) e não está disponível um cliente com um navegador da web, é fácil instalar um ambiente de trabalho mínimo no servidor principal usando esta sequência de comandos num terminal (não-gráfico) como primeiro utilizador (o utilizador criado durante a instalação do servidor principal):

  $ sudo apt update
  $ sudo apt install task-desktop-xfce lightdm education-menus
  $ sudo service lightdm start

A partir de um navegador web, usar o URL https://www/gosa para aceder ao GOsa² e iniciar sessão como primeiro utilizador.

  • Se estiver a ser usada uma nova máquina Debian Edu Bookworm, o certificado do sítio web será reconhecido pelo navegador.

  • Caso contrário, aparecerá uma mensagem de erro sobre o certificado SSL estar errado. Se o utilizador estiver seguro de que no momento é o único utilizador na rede, basta-lhe permitir que o navegador aceite o certificado, podendo ignorar o erro.

7.2.1. Acesso ao GOsa² e Página inicial

GOsa² overview page after login as the first user

Quando o GOsa² é acedido, apresenta a página inicial.

Nesta página pode ser escolhida uma tarefa no menu ou clicado qualquer um dos ícones de tarefa. Para a navegação, é recomendada a utilização do menu do lado esquerdo do ecrã, uma vez que ficará visível em todas as páginas de administração disponibilizadas pelo GOsa².

No Debian Edu, a informação relativa a contas, grupos e sistemas é guardada num diretório LDAP. Estes dados são usados não apenas pelo servidor principal, mas também pelas estações de trabalho (sem disco), servidores LTSP e outras máquinas na rede. Com o LDAP, os dados das contas de alunos, professores, etc. só precisam ser inseridos uma vez. Após a informação ter sido fornecida no LDAP, estará disponível em todos os sistemas em toda a rede Skolelinux.

O GOsa² é uma ferramenta de administração que utiliza o LDAP para guardar a sua informação e disponibilizar uma estrutura hierárquica do departamento. A cada "departamento" podem ser adicionadas contas de utilizador, grupos, sistemas, netgroups, etc. Dependendo da estrutura da instituição, a estrutura de departamentos no GOsa²/LDAP pode ser usada para transferir a estrutura organizacional para a árvore de dados do LDAP do servidor principal do Debian Edu.

Presentemente, uma instalação padrão do servidor principal Debian Edu inclui dois "departamentos" (Professores e Alunos) mais o nível base da árvore LDAP. As contas dos alunos devem ser adicionadas ao departamento "Alunos", as dos professores ao departamento "Professores"; os sistemas (servidores, estações de trabalho, impressoras, etc.) são presentemente adicionados ao nível base. Mas esta estrutura pode ser alterada. (No capítulo Instruções/Administração Avançada deste manual pode encontra-se um exemplo de como criar utilizadores em grupos por anos, com diretórios home comuns para cada grupo.)

Dependendo das tarefas a efectuar (gerir utilizadores, gerir grupos, gerir sistemas, etc.) a vista apresentada pelo GOsa² sobre o departamento selecionado (ou o nível base) difere.

7.3. Gestão de utilizadores através do GOsa²

Primeiro, clicar em "Utilizadores" no menu de navegação à esquerda. O lado direito do ecrã mudará, passando a mostrar uma tabela com pastas de departamento para "Alunos" e "Professores" e a conta do Administrador do GOsa² (o primeiro utilizador criado). Acima desta tabela há um campo chamado Base que permite navegar através da estrutura em árvore (mover o rato sobre essa área fará aparecer um menu suspenso) e selecionar uma pasta base para as operações pretendidas (por exemplo, adicionar um novo utilizador).

7.3.1. Adicionar utilizadores

Ao lado desse item de navegação em árvore, está o menu "Ações". Mover o rato sobre este item fará aparecer um submenu; no menu, selecionar "Criar" e depois "Utilizador". O assistente de criação de utilizadores guiará o processo.

  • O mais importante a adicionar é o modelo (novo aluno ou novo professor) e o nome real do utilizador (ver imagem).

  • Se for seguido o assistente, ver-se-á que o GOsa² gera automaticamente um nome de utilizador com base no nome real introduzido. Para cada novo utilizador, o GOsa² gera automaticamente um nome de utilizador que ainda não exista, pelo que não há problema se houver vários utilizadores que tenham o mesmo nome real. Notar que o GOsa² pode gerar nomes de utilizador inválidos se o nome real contiver caracteres não-ASCII (caracteres com acento, cedilha, etc.).

  • Se o nome de utilizador gerado não for pretendido, pode ser seleccionado outro nome de utilizador sugerido na caixa suspensa; mas não há escolha livre aqui no assistente. (Para editar o nome de utilizador proposto, abrir /etc/gosa/gosa.conf com um editor e adicionar allowUIDProposalModification="true" como uma opção adicional à "definição de localização".)

  • Quando o processo através do assistente chega ao fim, é apresentado o ecrã do GOsa² para o uma nova entrada de utilizador. Utilizar os separadores no topo para ver os campos já preenchidos.

Depois de ter sido criado o utilizador (por enquanto não é necessário personalizar os campos que o assistente deixou vazios), clicar no botão "Ok" no canto inferior direito.

Como último passo, o GOsa² pede uma senha para o novo utilizador. Introduzir a senha escolhida duas vezes e depois clicar em "Definir senha" no canto inferior direito. Alguns caracteres podem não ser permitidos como parte da senha.

Se tudo correr bem, o novo utilizador aparecerá na tabela da lista de utilizadores. Agora deve ser possível entrar com esse nome de utilizador em qualquer máquina da rede que tenha o sistema Skolelinux.

7.3.2. Buscar, modificar e eliminar utilizadores

Caixa de filtrar

Para modificar ou eliminar um utilizador, utilizar o GOsa² para consultar a lista de utilizadores no sistema. No meio do ecrã pode ser aberta a caixa "Filtro", uma ferramenta de pesquisa do GOsa². Não sendo conhecida a localização exata da conta de utilizador na árvore, mudar para o nível base da árvore GOsa²/LDAP e procurar aí, marcando a opção "Procurar em sub-árvores".

Ao utilizar a caixa "Filtro", os resultados aparecerão imediatamente no centro do texto, na visualização da lista de tabelas. Cada linha representa uma conta de utilizador e os itens mais à direita em cada linha são pequenos ícones que possibilitam as seguintes ações: editar utilizador, bloquear conta, definir senha e remover utilizador.

Aparecerá uma nova página onde poderá ser modificada diretamente a informação relativa ao utilizador, alterada a senha do utilizador e modificada a lista de grupos aos quais o utilizador pertence.

Editing user data

7.3.3. Definir senhas

Os alunos podem alterar suas próprias senhas acedendo ao GOsa² com os seus próprios nomes de utilizador. Para facilitar o acesso ao GOsa², no menu Sistema (ou Configurações do Sistema) da área de trabalho é disponibilizada uma entrada chamada Gosa. A um aluno que tenha entrado será apresentada uma versão muito mínima do GOsa², que só permite o acesso à ficha da própria conta do aluno e à caixa de diálogo de definição de senha.

Os professores têm privilégios especiais no GOsa². Têm uma vista do GOsa² mais completa e podem alterar as senhas de todas as contas dos alunos. Isto pode ser muito útil durante as aulas.

Para definir administrativamente uma nova senha para um utilizador

  1. procurar o utilizador a ser modificado, como explicado acima

  2. clicar no ícone 'chave', no final da linha em que é mostrado o nome de utilizador

  3. na página seguinte pode ser definida uma nova senha

Set user password

Atenção às implicações de segurança inerentes às senhas fáceis de adivinhar!

7.3.4. Gestão avançada de utilizadores

Com o GOsa² é possível criar utilizadores em massa usando um ficheiro CSV, que pode ser criado com qualquer bom software de folhas de cálculo (por exemplo localc). No mínimo, devem ser preenchidos os seguintes campos: uid, apelido(s) (sn), primeiro(s) nome(s) (givenName) e senha. Confirmar que não existem entradas duplicadas no campo uid. Notar que a verificação de duplicados deve incluir as entradas uid já existentes no LDAP (que podem ser obtidas executando getent passwd | grep tjener/home | cut -d":" -f1 na linha de comando).

Estas são as diretrizes de formato para tal ficheiro CSV (o GOsa² é bastante exigente em relação às mesmas):

  • Usar "," (uma vírgula) como separador de campo

  • Não usar aspas

  • O ficheiro CSV não deve conter uma linha de cabeçalho (do tipo que normalmente contém os nomes das colunas)

  • A ordem dos campos não é relevante e pode ser definida no GOsa² durante a importação em massa

Os passos da importação em massa são:

  1. clicar na ligação "Gestor do LDAP" no menu de navegação, à esquerda

  2. clicar no separador "Importar" no ecrã à direita

  3. selecionar um ficheiro CSV com a lista de utilizadores a serem importados, procurando no disco local

  4. escolher um modelo de utilizador a ser usado durante a importação em massa (como NovoProfessor ou NovoAluno)

  5. clicar no botão "Importar" no canto inferior direito

É boa prática fazer primeiro alguns testes, de preferência usando um ficheiro CSV com alguns utilizadores fictícios, que possa depois ser apagado.

O mesmo se aplica ao módulo de gestão de senhas, que permite redefinir muitas senhas, usando um ficheiro CSV, ou gerar novamente novas senhas para utilizadores pertencentes a uma sub-árvore especial do LDAP.

Reset passwords

7.3.4.1. Adicionar utilizadores pela linha de comando

As contas de utilizador também podem ser adicionadas a partir da linha de comando usando a ferramenta ldap-createuser-krb5; consultar as Instruções de administração

7.4. Gestão de Grupos através do GOsa²

criar grupo

criar grupo

A gestão de grupos é muito semelhante à gestão de utilizadores.

Podem ser introduzidos um nome e uma descrição por grupo. Ao criar um novo grupo, confirmar que é escolhido o nível certo na árvore do LDAP.

Adicionar utilizadores a um grupo recentemente criado leva de volta à lista de utilizadores, onde provavelmente faz sentido usar a caixa de filtro para encontrar utilizadores. Confirmar também o nível na árvore do LDAP.

Os grupos inseridos na gestão de grupos são grupos normais unix, pelo que também podem ser usados para gerir permissões de ficheiros.

7.5. Gestão de Máquinas através do GOsa²

A gestão de máquinas basicamente permite gerir todos os dispositivos na rede Debian Edu. Cada máquina adicionada ao diretório LDAP através do GOsa² tem um nome de hospedeiro, um endereço IP, um endereço MAC e um nome de domínio (que normalmente é "interno"). Para uma descrição mais completa da arquitetura Debian Edu ver o capítulo Arquitetura.

Quando ligados ao servidor principal combinado, as estações de trabalho sem disco e os clientes dependentes funcionam de imediato.

As estações de trabalho com disco (incluindo servidores LTSP separados) têm de ser adicionadas através do GOsa². Internamente, são gerados tanto um Kerberos Principal (como que uma conta) específico da máquina, quanto um ficheiro keytab relacionado (contendo uma chave usada como senha); o ficheiro keytab tem que estar presente na estação de trabalho para ser capaz de montar os diretórios pessoais dos utilizadores. Reiniciar a máquina adicionada, aceder ao sistema através dela, como root, e executar /usr/share/debian-edu-config/tools/copy-host-keytab.

Para criar um Principal e ficheiro keytab para um sistema já configurado através do GOsa², aceder ao servidor principal como root e executar

/usr/share/debian-edu-config/tools/gosa-modify-host <hostname> <IP>

Nota: a criação do ficheiro keytab do hospedeiro é possível para estações de trabalho, servidores e terminais, mas não para dispositivos de rede. Para opções de configuração NFS ver o capítulo Instruções para clientes de rede.

Para adicionar uma máquina, no menu principal do GOsa² escolher 'sistemas' e neste 'adicionar'. O nome da máquina deve ser um nome válido não qualificado - não adicionar o nome de domínio aqui. Pode ser usado um endereço IP ou um nome de hospedeiro do espaço de endereços pré-configurado 10.0.0.0/8. Presentemente, existem apenas dois endereços fixos pré-definidos: 10.0.2.2 (servidor [tjener]) e 10.0.0.1 (conversor [gateway]). Os endereços de 10.0.16.20 a 10.0.31.254 (aproximadamente 10.0.16.0/20 ou 4000 hospedeiros) são reservados para o DHCP e são atribuídos dinamicamente.

No GOsa², para atribuir um endereço IP estático a um hospedeiro com o endereço MAC 52:54:00:12:34:10 é necessário introduzir o endereço MAC, o nome do hospedeiro e o IP; em alternativa pode ser clicado o botão Propor IP que mostrará o primeiro endereço fixo livre em 10.0.0.0/8, provavelmente algo como 10.0.0.0.2 se a primeira máquina for adicionada desta forma. É boa prática planear antes de executar: por exemplo, pode ser usado 10.0.0.x com x>10 e x<50 para servidores, e x>100 para estações de trabalho. Não esquecer de ativar o sistema recém-adicionado. Com a exceção do servidor principal, todos os sistemas terão um ícone correspondente.

Se as máquinas arrancarem como clientes dependentes/estações de trabalho sem disco ou forem instaladas usando qualquer um dos perfis de rede, pode ser usado o script sitesummary2ldapdhcp para adicionar automaticamente máquinas ao GOsa². Para máquinas simples funcionará de imediato; para máquinas com mais de um endereço mac tem que ser indicado o que for para usar; sitesummary2ldapdhcp -h mostra a informação de utilização. Notar que os endereços IP mostrados após o uso de sitesummary2ldapdhcp pertencem à faixa de IPs dinâmicos. Estes sistemas podem de seguida ser modificados para se adequarem à rede: renomear da novo sistema, ativar o DHCP e o DNS, adicionar aos grupos de rede (ver na captura de ecrã abaixo os grupos de rede recomendados) e reiniciar o sistema. As capturas deecrã seguintes mostram o resultado na prática:

root@tjener:~# sitesummary2ldapdhcp -a -i ether-22:11:33:44:55:ff
info: Create GOsa machine for am-2211334455ff.intern [10.0.16.21] id ether-22:11:33:44:55:ff.
 
Enter password if you want to activate these changes, and ^c to abort.
 
Connecting to LDAP as cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no
enter password: ********
root@tjener:~#

GOsa² systems listing

Host details

Modify host

Add netgroup

A todas as horas é executado um cronjob (tarefa calendarizada) que atualiza o DNS; pode ser usado o comando su -c ldap2bind para acionar a atualização manual.

7.5.1. Procurar e eliminar máquinas

Procurar e eliminar máquinas é bastante semelhante a procurar e eliminar utilizadores, pelo que não se repete a informação aqui.

7.5.2. Modificar as máquinas existentes / Gestão de grupos de rede

Depois de adicionar uma máquina à árvore do LDAP usando o GOsa², as propriedades podem ser modificadas usando a funcionalidade de busca e clicando no nome da máquina (como com os utilizadores).

O formato destas entradas do sistema é semelhante ao das entradas de utilizador, mas neste contexto os campos requerem informação diferente.

Por exemplo, adicionar uma máquina a um Grupo de Rede não modifica as permissões de acesso a ficheiros ou de execução de comandos para aquela máquina nem os utilizadores com acesso naquela máquina; em vez disso, restringe os serviços que a máquina pode usar no servidor principal.

A instalação padrão inclui os Grupos de rede

  • all-hosts

  • cups-queue-autoflush-hosts

  • cups-queue-autoreenable-hosts

  • fsautoresize-hosts

  • ltsp-server-hosts

  • netblock-hosts

  • printer-hosts

  • server-hosts

  • shutdown-at-night-hosts

  • shutdown-at-night-wakeup-hosts-blacklist

  • workstation-hosts

Atualmente, a funcionalidade Grupos de rede é usada para:

  • Redimensionar partições (fsautoresize-hosts)

    • As máquinas Debian Edu neste grupo redimensionam automaticamente as partições LVM que ficarem sem espaço.

  • Desligar máquinas à noite (shutdown-at-night-hosts e shutdown-at-night-wakeup-hosts-blacklist)

    • As máquinas Debian Edu deste grupo serão desligadas automaticamente à noite para economizar energia.

  • Gestão de impressoras (cups-queue-autoflush-hosts e cups-queue-autoreenable-hosts)

    • As máquinas Debian Edu destes grupos irão eliminar automaticamente todas as filas de impressão, todas as noites, e re-activar qualquer fila de impressão desactivada a cada hora.

  • Acesso à Internet Bloqueado (netblock-hosts)

    • As máquinas Debian Edu deste grupo só se podem ligar a máquinas da rede local. Em conjunto com restrições no intermediário de web, isto poderá ser usado durante os exames, por exemplo.

8. Gestão de Impressoras

Para gestão centralizada das impressoras, apontar o navegador web para https://www.intern:631. Esta é a interface de gestão CUPS normal, onde podem ser adicionadas/eliminadas/modificadas as impressoras e onde pode ser limpa a fila de impressão. Por predefinição só é dada permissão ao primeiro utilizador; mas isso pode ser alterado adicionando utilizadores ao grupo printer-admins do GOsa².

8.1. Utilização de impressoras ligadas a estações de trabalho

O pacote p910nd é instalado por predefinição nos sistemas com o perfil Estação de trabalho.

  • Editar o ficheiro /etc/default/p910nd desta forma (impressora USB):

    • P910ND_OPTS="-f /dev/usb/lp0"

    • P910ND_START=1

  • Configurar a impressora usando a interface web https://www.intern:631; escolher o tipo de impressora de rede AppSocket/HP JetDirect (para todas as impressoras, independentemente da marca ou modelo) e definir socket://<workstation ip>:9100 como URI de ligação.

8.2. Impressoras de rede

É recomendado que sejam desativadas todas as funcionalidades de auto-publicitação nas impressoras usadas na rede. Em vez disso, atribuir um endereço IP fixo através do GOsa² e configurar as impressoras como impressoras de rede AppSocket/HP JetDirect.

9. Sincronização do relógio

A configuração predefinida no Debian Edu mantém os relógios de todas as máquinas sincronizados, mas não necessariamente com a hora certa. É usado o NTP para atualizar a hora. Os relógios são sincronizados com uma fonte externa, por predefinição. Isso pode fazer com que as máquinas mantenham a ligação externa à Internet aberta, não a fechem, se a ligação for criada durante a sincronização.

No caso das ligações por linha telefónica convencional ou RDIS, com o serviço cobrado ao minuto, é recomendado alterar a configuração predefinida.

Para desativar a sincronização com um relógio externo, é necessário modificar o ficheiro /etc/ntp.conf no servidor principal, adicionando ("#") no início das entradas server (ficam desativadas). De seguida, tem de ser reiniciado o servidor NTP, executando service ntp restart como root. Para testar se uma máquina está usando as fontes externas do relógio, executar ntpq -c lpeer.

10. Expandir partições cheias

Devido a um possível defeito no particionamento automático, algumas partições podem ficar muito cheias após a instalação. Para expandir essas partições, executar debian-edu-fsautoresize -n como root. Para mais informação, ver as instruções de redimensionamento de partições no capítulo Instruções de administração.

11. Manutenção

11.1. Atualização do software

Nesta secção é explicado o uso do comando apt full-upgrade.

Usar o apt é simples. Para atualizar um sistema através da linha de comando, é necessária a execução de dois comandos, como root: apt update (que atualiza as listas de pacotes disponíveis) e apt full-upgrade (que atualiza os pacotes para os quais haja uma atualização disponível).

É uma boa prática fazer a atualização usando a localização C (C locale) para obter resultados em inglês, pois em caso de surgirem problemas é mais provável que os motores de busca encontrem informação relevante com base nos resultados obtidos.

LC_ALL=C apt full-upgrade -y

Na atualização do pacote debian-edu-config, os ficheiros de configuração do Cfengine podem ser alterados. Executar ls -ltr /etc/cfengine3/debian-edu/ para verificar se foi esse o caso. Para aplicar as modificações, executar LC_ALL=C cf-agent -D installation.

Após serem feitas atualizações do servidor LTSP é importante executar debian-edu-ltsp-install --diskless_workstation yes, para manter a imagem SquashFS para clientes sem disco em sincronia.

Após uma atualização para uma nova versão pontual de um sistema com perfil Servidor principal ou Servidor LTSP, tem que ser executado o debian-edu-pxeinstall para atualizar o ambiente de instalação PXE.

Também é boa prática instalar os pacotes cron-apt e apt-listchanges e configurá-los para enviarem correio para um endereço usado diariamente.

Uma vez por dia o cron-apt enviará por correio uma mensagem de notificação dos pacotes que possam ser atualizados. O programa não instala os pacotes atualizados, mas descarrega-os (geralmente à noite), para que não seja necessário aguardar pela transferência quando for executado o comando apt full-upgrade.

A instalação automática de atualizações pode ser feita facilmente. Basta que o pacote unattended-upgrades seja instalado e configurado conforme descrito em wiki.debian.org/UnattendedUpgrades.

O programa apt-listchanges pode enviar novas entradas de registo de alterações por correio, ou em alternativa exibi-las no terminal se executado apt.

11.1.1. Monitorizar as atualizações de segurança

Executar cron-apt como descrito acima é uma boa maneira de saber quando estão disponíveis atualizações de segurança para pacotes instalados. Outra maneira é a inscrição na Debian security-announce mailinglist. Esta tem a vantagem de também informar sobre o que trata a atualização de segurança. A desvantagem (em comparação com a execução docron-apt) é que a lista também inclui informação sobre atualizações de pacotes que não estão instalados.

11.2. Gestão de cópias de segurança

Para gestão de cópias de segurança, abrir https://www/slbackup-php no navegador da web. Notar que este sítio tem que ser acedido via SSL, uma vez que requer a senha de root. Se for tentado sem o uso de SSL, o acesso falhará.

Nota: o sítio só funcionará se for permitido temporariamente o acesso de root por SSH no servidor de cópias de segurança, que é o servidor principal (tjener.intern) por predefinição.

Por predefinição, o servidor (tjener) faz cópias de segurança de /skole/tjener/home0, /etc/, /root/.svk e de LDAP em /skole/backup, que está sob a LVM. Se só for pretendido ter cópias de segurança da informação (para o caso de alguma coisa ser inadvertidamente apagada) esta configuração será adequada.

Ter presente que esta modalidade de cópias segurança não protege contra falhas nos discos rígidos.

Para fazer cópias de segurança dos dados num servidor externo, num dispositivo de fita ou noutro disco rígido, é necessário modificar um pouco a configuração existente.

Para restaurar uma pasta completa, a melhor opção é usar a linha de comando:

$ sudo rdiff-backup -r <date>  \
   /skole/backup/tjener/skole/tjener/home0/user \
   /skole/tjener/home0/user_<date>

Isto deixará o conteúdo de /skole/tjener/home/utilizador relativo a determinada<data> na pasta /skole/tjener/home_<data>

Para restaurar um ficheiro específico, terá de ser selecionado o ficheiro (e a versão) a partir da interface de web, e transferido apenas esse ficheiro.

Para eliminar cópias de segurança mais antigas, escolher "Manutenção" no menu da página de cópias de segurança e selecionar a captura mais antiga a manter:

slbackup-php Maintenance

11.3. Monitorização do Servidor

11.3.1. Munin

O sistema de informação de tendências Munin está disponível em https://www/munin/. Esta ferramenta apresenta gráficos de medição do estado do sistema numa base diária, semanal, mensal e anual, e fornece ao administrador do sistema ajuda na procura de estrangulamentos e das origens dos problemas do sistema.

A lista de máquinas monitorizadas pelo Munin é gerada automaticamente, com base na lista de hospedeiros que dão informação ao sitesummary (resumo do sítio). Todos os hospedeiros com o pacote munin-node instalado são registados para monitorização pelo Munin. Normalmente, demora um dia desde que uma máquina é instalada até ao início da monitorazação pelo Munin, por causa da ordem em que as tarefas agendadas (cronjobs) são executadas. Para acelerar o processo, executar sitesummary-update-munin como root no servidor que tem o sitesummary (normalmente o servidor principal). Isto irá atualizar o ficheiro /etc/munin/munin.conf.

O conjunto de medições coletadas é gerado automaticamente em cada máquina usando o programa munin-node-configure que sonda os acrescentos (plugins) disponíveis a partir de /usr/share/munin/plugins/ e liga os relevantes a /etc/munin/plugins/ (através de atalhos symlink).

Informação sobre o Munin em http://munin-monitoring.org/.

11.3.2. Icinga

O sistema e serviço de monitorização Icinga está disponível em https://www/icingaweb2/. O conjunto de máquinas e serviços monitorizados é gerado automaticamente usando as informações coletadas pelo sistema de resumo do sítio (sitesummary). As máquinas com perfis Servidor Principal e Servidor LTSP são alvo de monitorização completa, enquanto as estações de trabalho e os clientes dependentes são alvo de monitorização simples. Para permitir a monitorização completa numa estação de trabalho, instalar o pacote nagios-nrpe-server na própria estação de trabalho.

Por predefinição, o Icinga não envia correio. Isto pode ser alterado substituindo notify-by-nothing por host-notify-by-email na estação de trabalho, e por notify-by-emaill no ficheiro /etc/icinga/sitesummary-template-contacts.cfg.

O ficheiro de configuração do Icinga usado é /etc/icinga/sitesummary.cfg. A tarefa agendada do sitesummary gera o ficheiro /var/lib/sitesummary/icinga-generated.cfg com a lista de hospedeiros e serviços a serem monitorizados.

Podem ser colocadas verificações adicionais do Icinga no ficheiro /var/lib/sitesummary/icinga-generated.cfg.post para serem incluídas no ficheiro gerado.

Informação sobre o Icinga disponível em https://www.icinga.com/ ou no pacote icinga-doc.

11.3.2.1. Avisos comuns do Icinga e como lidar com eles

Seguem-se instruções sobre como lidar com os avisos mais comuns do Icinga.

11.3.2.1.1. DISK CRITICAL - free space: /usr 309 MB (5% inode=47%):

A partição (/usr/ no exemplo) está muito cheia. Há basicamente duas maneiras de lidar com isso: (1) remover alguns ficheiros ou (2) aumentar o tamanho da partição. Se a partição for /var/, purgar a cache do APT executando apt clean pode remover alguns ficheiros. Se houver mais espaço disponível no grupo de volumes do LVM, executar o programa debian-edu-fsautoresize para alargar as partições pode ajudar. Para executar este programa automaticamente a cada hora, o hospedeiro em questão pode ser adicionado ao grupo de rede fsautoresize-hosts.

11.3.2.1.2. APT CRITICAL: 13 packages available for upgrade (13 critical updates).

Estão disponíveis novos pacotes para atualização de pacotes instalados. Os pacotes críticos são normalmente correções de segurança. Para fazer a atualização, executar apt upgrade && apt full-upgrade num terminal, como root, ou aceder ao sistema via SSH e fazer o mesmo.

Quem tiver confiança em que o Debian gere as novas versões dos pacotes de forma segura, pode evitar a ação de atualização manual, configurando o unattended-upgrades (atualizações não vigiadas) para atualização automática, todas as noites, de todos os pacotes atualizáveis. Isto não irá atualizar os chroots LTSP.

11.3.2.1.3. WARNING - Reboot required : running kernel = 2.6.32-37.81.0, installed kernel = 2.6.32-38.83.0

O núcleo (kernel) em execução é mais antigo do que o núcleo mais recente instalado e é necessário reiniciar o computador para passar a ser usado o núcleo mais recente instalado. Normalmente, isto é bastante urgente, já que os novos núcleos são disponibilizados no Debian Edu normalmente para corrigir problemas de segurança.

11.3.2.1.4. WARNING: CUPS queue size - 61

As filas de impressão no CUPS têm muitos trabalhos pendentes. Isto acontece muito provavelmente devido a uma impressora ficar indisponível. Filas de impressão desativadas são ativadas a cada hora em hospedeiros do grupo de rede cups-queue-autoreenable-hosts; portanto, para tais hospedeiros não deve ser necessária nenhuma ação manual. As filas de impressão são descartadas todas as noites nos hospedeiros do grupo de rede cups-queue-autoflush-hosts. Se um hospedeiro tiver muitos trabalhos em fila de espera, pode ser adicionado a um ou a ambos os grupos de rede.

11.3.3. Sitesummary

O programa sitesummary é usado para coligir informação de cada computador e enviá-la para o servidor central. A informação coligida fica disponível em /var/lib/sitesummary/entries/. Estão disponíveis scripts em /usr/lib/sitesummary/ para gerar relatórios.

Um relatório simples do sitesummary, sem informação detalhada, está disponível em https://www/sitesummary/.

Há alguma documentação sobre o Sitesummary em http://wiki.debian.org/DebianEdu/HowTo/SiteSummary

11.4. Mais informação sobre personalização do Debian Edu

Mais informação sobre personalização do Debian Edu, útil para administradores de sistemas, nos capítulos Instruções de Administração e Instruções de Administração avançada

12. Atualizações

Antes de ler este guia de atualização, ter presente que as atualizações dos servidores são efetuadas por conta e risco dos administradores. O Debian Edu/Skolelinux vem SEM QUALQUER GARANTIA, na medida do permitido pela lei aplicável.

Ler completamente este capítulo e o capítulo Novas funcionalidades no Bookworm antes de tentar atualizar o sistema.

12.1. Notas gerais sobre atualização

Actualizar o Debian de uma versão para a seguinte normalmente é bastante fácil. Mas no que respeita ao Debian Edu isso infelizmente é um pouco mais complicado, pois os ficheiros de configuração são modificamos de formas que não deveriam ser usadas. Contudo, os passos necessários estão documentados abaixo. (Ver a deficiência (bug) do Debian 311188 para mais informação – em inglês – sobre como o Debian Edu deverá modificar os ficheiros de configuração)

Em geral, a atualização dos servidores é mais difícil do que a das estações de trabalho; e o servidor principal é o mais difícil de atualizar.

Para garantir que após a atualização tudo funciona como funcionava antes, a atualização deve ser testada num ou mais sistemas de teste configurados da mesma forma que as máquinas de uso normal. Nesse sistema ou sistemas, a atualização pode ser testada sem riscos e pode ser confirmado que tudo funciona como previsto.

Não deixar de ler também a informação sobre a versão correspondente do Debian Stable no respetivo manual de instalação https://www.debian.org/releases/stable/installmanual.

Também poderá ser sensato esperar um pouco e continuar a usar por mais algumas semanas a versão instalada, aguardando que outros testem a atualização e documentem quaisquer problemas com que se deparem. A versão instalada do Debian Edu receberá apoio contínuo ainda durante algum tempo após a publicação da nova versão. Mas quando o Debian cessar o apoio à versão anterior, o Debian Edu também cessará, necessariamente.

12.2. Atualizações a partir do Debian Edu 11 Bullseye

Preparação contra contingências: testar a actualização a partir da versão Bullseye num ambiente de teste ou ter cópias de segurança, para que a situação inicial possa ser reposta quer em termos de funcionamento quer em termos de dados.

Notar que o procedimento que se segue se aplica a uma instalação padrão do servidor principal Debian Edu (ambiente de trabalho xfce, perfis Servidor Principal, Estação de Trabalho, Servidor LTSP). (Para uma ideia geral sobre a atualização do Debian Bullseye para Bookworm, ver: https://www.debian.org/releases/bookworm/releasenotes)

Não usar diretamente o X (o servidor de grafismos do sistema operativo), usar uma consola virtual, acedendo como root.

Se o apt der erro, tentar corrigir o erro e/ou executar apt -f install e depois apt -y full-upgrade mais uma vez.

12.2.1. Atualização do servidor principal

  • Começar por garantir que o sistema instalado (o Buster) está atualizado:

apt update
apt full-upgrade
  • Preparar e iniciar a atualização para Bookworm:

sed -i 's/bullseye/bookworm/g' /etc/apt/sources.list
export LC_ALL=C
apt update
apt upgrade --without-new-pkgs
apt full-upgrade
  • apt-list-changes: será apresentada muita INFORMAÇÃO que é importante ler; premir <introduzir> (enter) para rolar para baixo, <q> para deixar o paginador (programa de leitura de páginas em consola). Toda a informação será enviada para root para que possa ser lida novamente (usando mailx ou mutt).

  • Ler atentamente todas as informações do debconf (configuração do debian); escolher "manter a versão local atualmente instalada", a menos que indicado de forma diferente abaixo; na maioria dos casos, premir introduzir (enter) é o indicado.

    • restart services / reiniciar serviços: escolher "yes / sim".

    • servidor Samba e utilitários: Escolher 'manter a versão local atualmente instalada'.

    • openssh-server: Escolher 'manter a versão local atualmente instalada'.

  • Aplicar e ajustar a configuração:

cf-agent -v -D installation
  • Verificar se o sistema atualizado funciona:

Reiniciar; aceder como primeiro utilizador e testar

  • se a interface GOsa² está a funcionar,

  • se é possível ligar clientes e estações de trabalho LTSP,

  • se é possível adicionar/remover membros a um grupo de rede de um sistema,

  • se é possível enviar e receber correio interno,

  • se é possível gerir impressoras,

  • e se outros elementos específicos da escola estão a funcionar.

12.2.2. Atualização de uma estação de trabalho

Fazer todas as coisas básicas como no servidor principal, sem fazer o que for desnecessário.

12.3. Atualização de instalações Debian Edu / Skolelinux antigas (anteriores ao Bullseye)

Para atualizar a partir de qualquer versão antiga, é necessário atualizar primeiro para a versão Debian Edu baseada no Bullseye, antes de poderem ser seguidas as instruções acima. As instruções para essa atualização são dadas no Manual do Debian Edu Bullseye sobre como atualizar para Bullseye a partir da versão anterior, Buster.

13. Instruções

14. Instruções para administração geral

Os capítulos Primeiros passos e Manutenção descrevem como começar a usar o Debian Edu e como fazer o trabalho básico de manutenção. As instruções neste capítulo têm algumas dicas e truques mais "avançados".

14.1. Histórico de configuração: rastreio de /etc/ utilizando o sistema de controlo da versão Git

Usando o etckeeper, todos os ficheiros em /etc/ são rastreados usando o Git como sistema de controle de versão.

Isto torna possível ver quando um ficheiro é adicionado, alterado ou removido, assim como o que foi alterado se o ficheiro em causa for um ficheiro de texto. O repositório git é guardado em /etc/.git/.

A cada hora, quaisquer novas alterações são automaticamente registadas; o histórico de configuração pode ser extraído e consultado.

Para ver o histórico, é usado o comando etckeeper vcs log. Para ver as diferenças entre dois momentos no tempo, pode ser usado um comando como etckeeper vcs diff .

Para mais informação, ver os resultados de man etckeeper.

Lista de comandos úteis:

etckeeper vcs log
etckeeper vcs status
etckeeper vcs diff
etckeeper vcs add .
etckeeper vcs commit -a
man etckeeper

14.1.1. Exemplos de utilização

Num sistema recém-instalado, tentar este comando para ver todas as alterações feitas desde que o sistema foi instalado:

etckeeper vcs log

Para ver os ficheiros que não são atualmente rastreados e que não estão atualizados:

etckeeper vcs status

Para submeter manualmente um ficheiro, para não ter que esperar até uma hora:

etckeeper vcs commit -a /etc/resolv.conf

14.2. Redimensionar partições

No Debian Edu, todas as partições que não a partição /boot/ estão em volumes lógicos LVM. Com os núcleos (kernels) Linux, desde a versão 2.6.10, é possível estender as partições estando elas montadas. Encolher partições ainda tem de ser feito com as partições desmontadas.

É uma boa prática evitar a criação de partições muito grandes (mais de, digamos, 20GiB), devido ao tempo que demora a execução do fsck sobre elas ou a restaurá-las a partir de cópias de segurança, se for necessário. É melhor, se for possível, criar várias partições menores em vez de uma partição muito grande.

É disponibilizado o script de ajuda debian-edu-fsautoresize para facilitar a extensão de partições cheias. Quando invocado, o script lê a configuração a partir de /usr/share/debian-edu-config/fsautoresizetab, /site/etc/fsautoresizetab e /etc/fsautoresizetab. Propõe então estender as partições que tenham muito pouco espaço livre, de acordo com as regras estabelecidas nestes ficheiros. Se executado sem argumentos, mostrará apenas os comandos necessários à extensão do sistema de ficheiros. É necessário o argumento -n para que estes comandos para extensão do sistema de ficheiros sejam realmente executados.

O script é executado automaticamente a cada hora em cada cliente listado no grupo de rede fsautoresize-hosts.

Quando a partição utilizada pelo intermediário (proxy) Squid é redimensionada, o valor para o tamanho da cache em etc/squid/squid.conf também tem que ser atualizado. É disponibilizado o script auxiliar /usr/share/debian-edu-config/tools/squid-update-cachedir para fazer essa operação automaticamente, verificando o tamanho atual da partição /var/spool/squid/ e configurando o Squid para usar 80% desse valor como tamanho da cache.

14.2.1. Gestão de volumes lógicos

O Logical Volume Management (LVM), ou gestão de volumes lógicos, permite redimensionar as partições enquanto elas estão montadas e em uso. Mais sobre o LVM em Gestão de volumes lógicos.

Para estender manualmente um volume lógico, basta indicar no comando lvextend o tamanho pretendido para esse volume. Por exemplo, para estender home0 para 30GiB usar os seguintes comandos:

lvextend -L30G /dev/vg_system/skole+tjener+home0
resize2fs /dev/vg_system/skole+tjener+home0

Para estender home0 em mais 30GiB, inserir um '+' (-L+30G).

14.3. Usar o ldapvi

O ldapvi é uma ferramenta para editar a base de dados LDAP com um editor de texto normal no terminal.

É necessário executar o seguinte:

ldapvi -ZD '(cn=admin)'

Nota: O ldapvi usará o editor predefinido, qualquer que ele seja. Executando export EDITOR=vim na linha de comando é possível configurar o ambiente para obter um clone do vi como editor.

Aviso: O ldapvi é uma ferramenta muito poderosa. É necessário cuidado redobrado para que a base de dados LDAP não seja corrompida. Este aviso aplica-se também ao JXplorer.

14.4. NFS "Kerberizado"

Usar o Kerberos para fazer o NFS montar diretórios de utilizador (pastas pessoais) é uma funcionalidade de segurança. As estações de trabalho e os clientes LTSP não funcionam sem o Kerberos. São suportados os níveis krb5, krb5i e krb5p (krb5 significa autenticação Kerberos, i significa verificação de integridade e p verificação de privacidade, ou seja, encriptação); a carga, tanto no servidor como na estação de trabalho, aumenta com o nível de segurança; o nível krb5i é uma boa opção e foi escolhido como predefinição.

14.4.1. Como alterar a predefinição

Servidor principal

  • aceder como root

  • executar ldapvi -ZD '(cn=admin)', procurar por sec=krb5i e substituir por sec=krb5 ou sec=krb5p, conforme for pretendido.

  • editar /etc/exports.d/edu.exports e ajustar as seguintes entradas em conformidade:

/srv/nfs4        gss/krb5i(rw,sync,fsid=0,crossmnt,no_subtree_check)
/srv/nfs4/home0  gss/krb5i(rw,sync,no_subtree_check)
  • executar exportfs -r.

14.5. Standardskriver

Esta ferramenta permite estabelecer a impressora predefinida, dependendo da localização, da máquina ou do grupo de pertença. Para mais informação, ver /usr/share/doc/standardskriver/README.md.

O ficheiro de configuração /etc/standardskriver.cfg tem de ser fornecido pelo administrador; ver /usr/share/doc/standardskriver/examples/standardskriver.cfg como exemplo.

14.6. JXplorer, uma interface gráfica LDAP

Para trabalhar com a base de dados LDAP usando uma interface gráfica, experimentar o pacote jxplorer, que é instalado por predefinição. Para obter acesso de escrita, ligar-se desta forma:

host: ldap.intern
port: 636
Security level: ssl + user + password
User dn: cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no

14.7. ldap-createuser-krb5, uma ferramenta de linha de comando para adicionar utilizadores

O ldap-createuser-krb é uma pequena ferramenta de linha de comando para criar utilizadores e é invocada da seguinte forma:

ldap-createuser-krb5 [-u uid] [-g gid] [-G group[,group]...] [-d department] <username> <gecos>

Todos os argumentos são opcionais, exceto o utilizador e o campo GECOS. Este último normalmente contém o nome real do utilizador. A menos que especificado de forma diferente, a ferramenta assume automaticamente os próximos UID e GID livres e não atribui quaisquer grupos adicionais ao utilizador. Se não for atribuído nenhum departamento, assumirá o primeiro gosaDepartment do LDAP, que em princípio será skole, sendo que este não é o pretendido para utilizadores normais. Por isso, deve ser escolhida a opção correspondente ao utilizador, p. ex. Professores ou Alunos. Após a introdução e confirmação da senha e introdução da senha de administrador LDAP, o ldap-createuser-krb5 cria a conta de utilizador no LDAP, define a senha do Kerberos, cria a pasta pessoal e adiciona um utilizador do Samba correspondente. A captura de ecrã seguinte mostra um exemplo de invocação para criar uma conta de utilizador chamada harhir para um professor cujo nome real é "Harry Hirsch":

root@tjener:~# ldap-createuser-krb5 -d Teachers harhir "Harry Hirsch"
new user password: 
confirm password: 

dn: uid=harhir,ou=people,ou=Teachers,dc=skole,dc=skolelinux,dc=no
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: gosaAccount
objectClass: posixAccount
objectClass: shadowAccount
objectClass: krbPrincipalAux
objectClass: krbTicketPolicyAux
sn: Harry Hirsch
givenName: Harry Hirsch
uid: harhir
cn: Harry Hirsch
userPassword: {CRYPT}$y$j9T$TWnq55O1rvyLhjF.$oVf.t.RXC1v/4Y8FhV0umno629mo7bP7/YJyig6HET6
homeDirectory: /skole/tjener/home0/harhir
loginShell: /bin/bash
uidNumber: 1004
gidNumber: 1004
gecos: Harry Hirsch
shadowLastChange: 19641
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
krbPwdPolicyReference: cn=users,cn=INTERN,cn=kerberos,dc=skole,dc=skolelinux,dc=no
krbPrincipalName: harhir@INTERN

ldap_initialize( <DEFAULT> )
Enter LDAP Password: 
add objectClass:
        top
        person
        organizationalPerson
        inetOrgPerson
        gosaAccount
        posixAccount
        shadowAccount
        krbPrincipalAux
        krbTicketPolicyAux
add sn:
        Harry Hirsch
add givenName:
        Harry Hirsch
add uid:
        harhir
add cn:
        Harry Hirsch
add userPassword:
        {CRYPT}$y$j9T$TWnq55O1rvyLhjF.$oVf.t.RXC1v/4Y8FhV0umno629mo7bP7/YJyig6HET6
add homeDirectory:
        /skole/tjener/home0/harhir
add loginShell:
        /bin/bash
add uidNumber:
        1004
add gidNumber:
        1004
add gecos:
        Harry Hirsch
add shadowLastChange:
        19641
add shadowMin:
        0
add shadowMax:
        99999
add shadowWarning:
        7
add krbPwdPolicyReference:
        cn=users,cn=INTERN,cn=kerberos,dc=skole,dc=skolelinux,dc=no
add krbPrincipalName:
        harhir@INTERN
adding new entry "uid=harhir,ou=people,ou=Teachers,dc=skole,dc=skolelinux,dc=no"
modify complete

Authenticating as principal root/admin@INTERN with password.
kadmin.local:  change_password harhir@INTERN
Enter password for principal "harhir@INTERN": 
Re-enter password for principal "harhir@INTERN": 
Password for "harhir@INTERN" changed.
kadmin.local:  lpcfg_do_global_parameter: WARNING: The "encrypt passwords" option is deprecated
Added user harhir.

14.8. Usar stable-updates (actualizações estáveis)

Embora seja possível usar a funcionalidade de actualizações estáveis (stable-updates) diretamente, isso não é necessário: estas são enviadas para a suite estável regularmente quando são feitas as versões pontuais estáveis, o que acontece aproximadamente a cada dois meses.

14.9. Utilização de pacotes retroportados (backports) para instalar software mais recente

Quem usa o Debian Edu é porque prefere a estabilidade do Debian, distribuição que funciona muito bem. Mas tem um problema: às vezes o software está um pouco mais desatualizado do que o desejado. É aqui que o backports.debian.org entra em cena.

Pacotes retroportados (backports) são pacotes recompilados do Debian testing (principalmente) e do Debian unstable (em poucos casos apenas – por exemplo, atualizações de segurança), para que funcionem sem novas bibliotecas (sempre que possível) numa distribuição Debian estável como a Debian Edu. Recomenda-se que sejam escolhidos pacotes específicos de acordo com as necessidades, e que não sejam usados todos os pacotes retroportados disponíveis.

O uso de pacotes retroportados é simples. Executar:

echo "deb http://deb.debian.org/debian/ bookworm-backports main" > /etc/apt/sources.list.d/bookworm-backports.sources.list
apt update

Após o que os pacotes retroportados são facilmente instaláveis: o seguinte comando irá instalar uma versão retroportada do tuxtype:

apt install tuxtype/bookworm-backports

Os pacotes retroportados são automaticamente atualizados (se disponíveis) da mesma forma que os outros pacotes. Tal como o arquivo normal, o arquivo backports (retroportados) têm três secções: main, contrib e non-free.

14.10. Atualização com um CD ou imagem similar

Para atualizar de uma versão para outra (por exemplo, de Bookworm 12.1 para 12.2) sem ligação à Internet, apenas por meios físicos, seguir estes passos:

Insirir o CD / DVD / Disco blu-ray / pen USB e executar o comando apt-cdrom:

apt-cdrom add

Da página man do apt-cdrom(8):

  • O apt-cdrom é usado para adicionar um novo CD-ROM à lista de fontes disponíveis nos APTs. Identifica a estrutura do disco, pode corrigir vários possíveis erros de gravação e verifica os ficheiros de índice.

  • É necessário usar o apt-cdrom para adicionar CDs ao sistema APT. Esta ação não pode ser axecutada manualmente. Além disso, quando forem usados conjuntos multi-CD, cada disco tem que ser inserido e digitalizado separadamente para prevenir possíveis falhas de gravação.

Em seguida, executar estes dois comandos para atualizar o sistema:

apt update
apt full-upgrade

14.11. Limpeza automática de processos remanescentes

O killer é um script em perl que aniquila trabalhos em segundo plano. Trabalhos em segundo plano são definidos como processos pertencentes a utilizadores que não estão atualmente em sessão na máquina. É executado por uma tarefa agendada (cron job) uma vez por hora.

14.12. Instalação automática de atualizações de segurança

O unattended-upgrades é um pacote (programa) Debian que instala automaticamente as atualizações de segurança (e outras). Se instalado, o pacote é pré-configurado para instalar automaticamente as atualizações de segurança. Os registos de alterações (logs) estão disponíveis em /var/log/unattended-upgrades/; também podem sempre ser consultados os ficheiros /var/log/dpkg.log e /var/log/apt/.

14.13. Encerramento automático de máquinas durante a noite

É possível poupar energia e dinheiro desligando automaticamente as máquinas clientes à noite e voltando a ligá-las novamente de manhã. O programa (pacote) shutdown-at-night tenta desligar cada máquina de hora a hora a partir das 16:00, mas não as desligará se parecerem estar em utilização. Em cada máquina, o programa tenta passar informação ao BIOS para ligar a máquina por volta das 07:00 da manhã e o servidor principal vai tentar ligar todas as máquinas a partir das 06:30 enviando pacotes Wake-on-LAN. Estes horários podem ser alterados nos separadores de agendamento das máquinas individuais.

Algumas considerações a ter em conta ao estabelecer este procedimento:

  • Os clientes não devem ser desligados quando alguém os está a usar. Isto é assegurado pela verificação do resultado de who e, como caso especial, pela verificação de que o comando de ligação SSH funciona com os clientes dependentes X2Go.

  • Para evitar queimar os fusíveis eléctricos / disparar os disjuntores, é boa prática garantir que os clientes não arranquem todos ao mesmo tempo.

  • Há dois métodos diferentes para reativar os clientes. Um usa um recurso do BIOS e requer um relógio interno funcional e com a hora certa, assim como uma placa-mãe e uma versão do BIOS compatíveis com o nvram-wakeup; o outro requer que os clientes sejam compatíveis com o Wake-on-LAN e que o servidor tenha informação sobre todos os clientes a serem reativados.

14.13.1. Como configurar o encerramento à noite

Em clientes que devam ser desligados à noite, executar /etc/shutdown-at-night/shutdown-at-night ou adicionar o nome de hospedeiro (ou seja, o resultado de 'uname -n' no cliente) ao grupo de rede "shutdown-at-night-hosts". A adição de hospedeiros ao grupo de rede no LDAP pode ser feita usando a ferramenta web GOsa². Os clientes podem precisar de ter o Wake-on-LAN configurado no BIOS. É importante também que os comutadores (switches) e encaminhadores (routers) utilizados entre o servidor Wake-on-LAN (WOL) e os clientes passem os pacotes WOL para os clientes, mesmo que os clientes estejam desligados. Alguns comutadores não passam os pacotes aos clientes que faltem na tabela ARP (Address Resolution Protocol) do comutador, e isso bloqueia os pacotes WOL.

Para ativar o Wake-on-LAN no servidor, adicionar os clientes a /etc/shutdown-at-night/clients, com uma linha por cliente, primeiro o endereço IP, seguido pelo endereço MAC (endereço ethernet), separado por um espaço; ou criar um script /etc/shutdown-at-night/clients-generator para gerar a lista de clientes em tempo real.

Um exemplo /etc/shutdown-at-night/clients-generator para uso com o sitesummary:

  #!/bin/sh
  PATH=/usr/sbin:$PATH
  export PATH
  sitesummary-nodes -w

Se o grupo de rede for usado para ativar o desligar à noite nos clientes, uma alternativa é este script usar a ferramenta netgroup do pacote ng-utils:

  #!/bin/sh
  PATH=/usr/sbin:$PATH
  export PATH
  netgroup -h shutdown-at-night-hosts

14.14. Aceder a servidores Debian-Edu protegidos por uma barreira (firewall)

Para aceder a partir da Internet a máquinas protegidas por uma barreira (firewall), considerar a instalação do pacote autossh. Este pacote pode ser usado para configurar um túnel SSH para uma máquina ligada à Internet. O servidor por trás da barreira/firewall fica acessível a partir dessa máquina através do túnel SSH.

14.15. Instalação de serviços noutras máquinas, para a distribuição da carga e sua consequente redução no servidor principal

Na instalação padrão, todos os serviços são executados no servidor principal, nome de máquina tjener. Para simplificar a transferência de alguns serviços para outra máquina, está disponível o perfil de instalação minimal (mínimo). A instalação do sistema com este perfil numa máquina que faça parte da rede Debian Edu, levará a que a máquina fique sem qualquer serviço em execução (por enquanto).

Estes são os passos necessários para configurar uma máquina dedicada a alguns serviços:

  • escolher o perfil Minimal/Mínimo durante a instalação

  • instalar os pacotes correspondentes ao serviço

  • configurar o serviço

  • desativar o serviço no servidor principal

  • atualizar o DNS (via LDAP/GOsa²) no servidor principal

14.16. HowTos from wiki.debian.org

FIXME: The HowTos from https://wiki.debian.org/DebianEdu/HowTo/ are either user- or developer-specific. Let's move the user-specific HowTos over here (and delete them over there)! (But first ask the authors (see the history of those pages to find them) if they are fine with moving the howto and putting it under the GPL.)

15. Instruções de administração avançada

Neste capítulo são descritas tarefas de administração avançada.

15.1. Gestão de utilizadores com o GOsa²

15.1.1. Criar utilizadores em grupos por ano

Neste exemplo pretende-se criar utilizadores em grupos por ano, com diretórios home comuns para cada grupo (home0/2024, home0/2026, etc). Queremos criar os utilizadores através da importação de CSV.

(como root no servidor principal)

  • Criar os diretórios de grupo por ano que forem necessários

mkdir /skole/tjener/home0/2024

(como primeiro utilizador, no GOsa)

  • Departamento

Menu principal: ir para 'Estrutura de diretórios', clicar no departamento 'Alunos'. O campo 'Base' deve mostrar '/Alunos'. No campo 'Ações' da caixa suspensa, escolher 'Criar' / 'Departamento'. Preencher os valores dos campos Nome (2024) e Descrição (alunos formados em 2024), deixar o campo Base como está (deve ser '/Alunos'). Guardar clicando em 'Ok'. Agora o novo departamento (2024) deve aparecer abaixo de /Alunos. Clicar para abrir.

  • Grupo

Escolher 'Grupos' no menu principal; 'Ações'/Criar/Grupo. Introduzir o nome do grupo (deixar 'Base' como está, deve ser /Alunos/2024) e premir 'Ok' para guardar.

  • Modelo

Escolher 'utilizadores' no menu principal. No campo Base, mudar para 'Alunos'. Deve aparecer uma entrada Novo Aluno; premir para abrir. Este é o modelo 'alunos', não é um utilizador. Uma vez que terá de ser criado um modelo com base neste (para poder ser feita a importação csv), deve ser tomada nota de todas as entradas que aparecem nos separadores Genéricos e POSIX, talvez fazendo capturas de ecrã, para que as informações necessárias ao novo modelo possam ser preparadas.

Agora, mudar para /Alunos/2024 no campo Base; escolher Criar/Modelo e começar a preencher com os valores desejados, primeiro no separador Genérico (adicionar também o novo grupo 2024 em Pertença a Grupos); depois adicionar a conta POSIX.

  • Importar utilizadores

Escolher o novo modelo ao fazer a importação de CSV; é recomendável testá-lo com alguns utilizadores.

15.2. Outras ações

15.2.1. Criação de pastas nos diretórios home de todos os utilizadores

Com este script, o administrador pode criar uma pasta no diretório pessoal de cada utilizador e definir permissões de acesso e de detenção.

No exemplo abaixo com grupo=professores e permissões=2770 um utilizador pode entregar um trabalho guardando o ficheiro na pasta "trabalhos", à qual os professores têm acesso de escrita para poderem fazer comentários.

 #!/bin/bash
 home_path="/skole/tjener/home0"
 shared_folder="assignments"
 permissions="2770"
 created_dir=0
 for home in $(ls $home_path); do
    if [ ! -d "$home_path/$home/$shared_folder" ]; then
        mkdir $home_path/$home/$shared_folder
        chmod $permissions $home_path/$home/$shared_folder
        user=$home
        group=teachers
        chown $user:$group $home_path/$home/$shared_folder
        ((created_dir+=1))
    else
        echo -e "the folder $home_path/$home/$shared_folder already exists.\n"
    fi
 done
 echo "$created_dir folders have been created"

15.3. Usar um servidor de armazenamento dedicado

Seguir estes passos para configurar um servidor de armazenamento dedicado, para diretórios home dos utilizadores e possivelmente outros dados.

  • Adicionar um novo sistema de tipo servidor utilizando o GOsa² como descrito no capítulo Primeiros passos deste manual.

    • Este exemplo usa 'nas-server.intern' como nome do servidor. Uma vez configurado o 'nas-server.intern', verificar se os pontos de exportação NFS do novo servidor de armazenamento são exportados para as sub-redes ou máquinas a que se apliquem:

          root@tjener:~# showmount -e nas-server
          Export list for nas-server:
          /storage         10.0.0.0/8
          root@tjener:~#

      Neste caso tudo o que estiver na rede principal tem acesso ao /armazenamento. (Isto pode restringido à pertença a grupos de rede ou a endereços IP específicos para limitar o acesso ao NFS como é feito no ficheiro tjener:/etc/exports.)

  • Adicionar informação de montagem automática sobre o 'nas-server.intern' no LDAP, para permitir que todos os clientes montem automaticamente a nova exportação a pedido.

    • Isto não pode ser feito através do GOsa², porque falta um módulo para montagem automática. Em vez disso, usar o ldapvi e adicionar os objetos LDAP necessários usando um editor.

      ldapvi --ldap-conf -ZD '(cn=admin)' -b ou=automount,dc=skole,dc=skolelinux,dc=no

      Quando o editor aparecer, adicionar os objetos LDAP seguintes na parte inferior do documento. (A parte "/&" no último objeto LDAP é um carácter polivalente que corresponde a tudo o que o 'nas-server.intern' exporta, evitando a necessidade de listar pontos de montagem individuais no LDAP)

          add cn=nas-server,ou=auto.skole,ou=automount,dc=skole,dc=skolelinux,dc=no
          objectClass: automount
          cn: nas-server
          automountInformation: -fstype=autofs --timeout=60 ldap:ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no
       
          add ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no
          objectClass: top
          objectClass: automountMap
          ou: auto.nas-server
       
          add cn=/,ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no
          objectClass: automount
          cn: /
          automountInformation: -fstype=nfs,tcp,rsize=32768,wsize=32768,rw,intr,hard,nodev,nosuid,noatime nas-server.intern:/&
  • Adicionar as entradas aplicáveis em tjener.intern:/etc/fstab, porque tjener.intern não usa a montagem automática para evitar montagens sucessivamente falhadas:

    • Criar os diretórios de pontos de montagem usando mkdir; editar '/etc/fstab' como adequado e executar mount -a para montar os novos recursos.

Agora, os utilizadores devem poder aceder diretamente aos ficheiros em 'nas-server.intern', bastando abrir o diretório '/tjener/nas-server/storage/' utilizando qualquer aplicação de gestão/exploração de ficheiros em qualquer estação de trabalho, cliente dependente LTSP ou servidor LTSP.

15.4. Restringir acesso por SSH

Há várias formas de restringir o acesso por SSH. Seguem-se algumas.

15.4.1. Situação sem clientes LTSP

Se não forem usados clientes LTSP, uma solução simples é criar um novo grupo (digamos sshusers) e adicionar uma linha ao ficheiro /etc/ssh/sshd_config da máquina. Os membros do grupo sshusers, e apenas eles, poderão então entrar na máquina via ssh a partir de qualquer lugar.

Gerir este caso através do GOsa é bastante simples:

  • Criar um grupo sshusers no nível base (onde já aparecem outros grupos relacionados, com a gestão do sistema, como gosa-admins).

  • Adicionar utilizadores ao novo grupo sshusers.

  • Adicionar AllowGroups sshusers a /etc/ssh/sshd_config.

  • Executar service ssh restart.

15.4.2. Situação com clientes LTSP

A configuração predefinida de cliente LTSP sem disco não faz uso de ligações SSH. Basta atualizar a imagem SquashFS no servidor LTSP respetivo, após a configuração do SSH ter sido alterada.

Os clientes dependentes X2Go utilizam ligações SSH com o servidor LTSP respetivo. Por conseguinte, é necessária uma abordagem diferente, utilizando o PAM.

  • Ativar pam_access.so no ficheiro /etc/pam.d/sshd do servidor LTSP.

  • Configurar o ficheiro /etc/security/access.conf para permitir ligações a partir de qualquer lugar para (por exemplo) os utilizadores alice, jane, bob e john, e para todos os outros utilizadores somente a partir das sub-redes internas, adicionando estas linhas:

+ : alice jane bob john : ALL
+ : ALL : 10.0.0.0/8 192.168.0.0/24 192.168.1.0/24
- : ALL : ALL
#

Se apenas forem utilizados servidores LTSP dedicados, a rede 10.0.0.0/8 poderá ser descartada, para desativar o acesso interno via SSH. Nota: alguém que ligue a sua máquina a qualquer rede de clientes LTSP dedicada também terá acesso ao(s) servidor(es) LTSP.

15.4.3. Uma nota para situações mais complexas

Se os clientes X2Go estiverem ligados à rede principal 10.0.0.0/8, as coisas serão ainda mais complicadas e talvez apenas uma sofisticada configuração de DHCP (em LDAP), verificando o identificador do fornecedor (vendor-class-identifier) juntamente com a configuração PAM apropriada, permita desativar o acesso interno por SSH.

16. Instruções para o ambiente de trabalho

16.1. Preparar um ambiente de trabalho multilingue

Para usar vários idiomas, são necessárias estas ações:

  • Executar dpkg-reconfigure locales (como root) e escolher os idiomas (variantes UTF-8).

  • Executar estes comandos como root para instalar os pacotes necessários:

    •    apt update
         /usr/share/debian-edu-config/tools/install-task-pkgs
         /usr/share/debian-edu-config/tools/improve-desktop-l10n

Com os ambientes de trabalho Xfce, LXDE e LXQt, os utilizadores podem então escolher o idioma através do gestor de exibição LightDM (apresenta-se como ecrã de acesso), antes de acederem ao sistema. Os ambientes GNOME e KDE vêm ambos com as suas próprias ferramentas internas de configuração de localização (região e idioma), pelo que devem ser estas as usadas. O ambiente MATE usa o ecrã de acesso Arctica sobre o LightDM, sem um seletor de idioma. Executar apt purge arctica-greeter para obter o ecrã de acesso do LightDM.

16.2. Reproduzir DVDs

Para reproduzir a maioria dos DVDs comerciais é necessária a biblioteca libdvdcss. Por razões legais, esta não vem incluída no Debian (Edu). Se do ponto de vista legal o uso estiver autorizado, podem ser construídos pacotes localmente usando o pacote Debian libdvd-pkg; garantir que contrib esteja ativado em /etc/apt/sources.list.

apt update
apt install libdvd-pkg

Atender às solicitações do debconf e executar dpkg-reconfigure libdvd-pkg.

16.3. Fontes de caligrafia

O pacote fonts-linex (que é instalado de origem) instala a fonte "Abecedario", uma boa fonte de caligrafia para crianças. A fonte tem várias formas para uso por crianças: pontilhada e com linhas.

17. Instruções para clientes numa rede

17.1. Introdução a clientes dependentes e estações de trabalho sem disco

Um termo genérico para clientes dependentes e estações de trabalho sem disco é cliente LTSP.

A partir do Bullseye, o LTSP é diferente das versões anteriores, tanto no que diz respeito à configuração como à manutenção.

  • Uma das principais diferenças é o facto de a imagem SquashFS para estações de trabalho sem disco ser agora gerada a partir do sistema de ficheiros do servidor LTSP, por predefinição. Isto acontece no primeiro arranque dos servidores combinados, demorando algum tempo.

  • O LTSP deixou de incluir clientes dependentes. O Debian Edu usa o X2Go para continuar a suportar o uso de clientes dependentes.

  • No caso de um servidor LTSP separado ou adicional, a informação necessária para a configuração do ambiente do cliente LTSP não está completa na altura da instalação. A configuração pode ser feita depois de o sistema ter sido adicionado com o GOsa².

Para informação sobre LTSP em geral, consultar o sítio do LTSP. Em sistemas com perfil servidor LTSP, o comando man ltsp dá mais informação.

Notar que a ferramenta ltsp deve ser utilizada com cuidado. Por exemplo, o comando ltsp image / não gera a imagem SquashFS em máquinas Debian (estas têm uma partição /boot separada por predefinição), o comando ltsp ipxe não gera o menu iPXE corretamente (devido ao suporte a clientes dependentes do Debian Edu) e o comando ltsp initrd vai descontrolar completamente o arranque do cliente LTSP.

A ferramenta debian-edu-ltsp-install é um script invólucro (wrapper script) de ltsp image, ltsp initrd e ltsp ipxe. É usado para montar e configurar estações de trabalho sem disco e clientes dependentes (tanto em PCs de 64-Bit como de 32-Bit). Executar man debian-edu-ltsp-install ou analisar o conteúdo do script para ver como funciona. Toda a configuração é contida no próprio script (documentos AQUI) para facilitar ajustes específicos de cada rede.

Exemplos de como usar o script invólucro debian-edu-ltsp-install em vez da ferramenta ltsp:

  • debian-edu-ltsp-install --diskless_workstation yes actualiza a imagem SquashFS da estação de trabalho sem disco (sistema de ficheiros do servidor).

  • debian-edu-ltsp-install --diskless_workstation yes --thin_type bare cria suporte a estações de trabalho sem disco e a clientes dependentes de 64 bits.

  • debian-edu-ltsp-install --arch i386 --thin_type bare cria suporte adicional a clientes dependentes de 32 bits (chroot e imagem SquashFS).

Além da opção bare (o sistema cliente dependente mais básico), também estão disponíveis as opções display e desktop. Os clientes dependentes do tipo display têm um botão de desligar, enquanto que os do tipo desktop executam o Firefox ESR em modo quiosque no próprio cliente (é necessária mais memória RAM local e mais potência de CPU, mas reduz a carga no servidor).

A ferramenta debian-edu-ltsp-ipxe é um script envelope (script wrapper) para ltsp ipxe. Esta ferramenta assegura que o ficheiro /srv/tftp/ltsp/ltsp.ipxe seja específico do Debian Edu. O comando tem de ser executado sempre que seja alterado qualquer item relativo ao menu iPXE (como o tempo máximo de exposição do menu ou as definições de arranque predefinidas) na secção /etc/ltsp/ltsp.conf [servidor].

A ferramenta debian-edu-ltsp-initrd é um script invólucro para ltsp initrd. Garante que um initrd específico de um tipo de utilização (/srv/tftp/ltsp/ltsp.img) seja gerado e movido para o diretório do tipo de utilização respetivo. O comando só deve ser executado depois da secção /etc/ltsp/ltsp.conf [clients] ter sido modificada.

A ferramenta debian-edu-ltsp-chroot é um substituto para a ferramenta ltsp-chroot que vem com o LTSP5. É usada para executar comandos num chroot LTSP específico (como por exemplo instalar, atualizar e remover pacotes).

Estação de trabalho sem disco

As estações de trabalho sem disco executam todo o software localmente. As máquinas não têm um disco rígido local e arrancam diretamente do servidor LTSP. O software é administrado e mantido no servidor LTSP, mas é executado nas estações de trabalho sem disco. Os diretórios pessoais e as configurações do sistema também são armazenados no servidor. As estações de trabalho sem disco são uma excelente forma de reutilizar hardware antigo (mas poderoso) com os mesmos baixos custos de manutenção típicos dos clientes dependentes.

Ao contrário das estações de trabalho sem disco, as estações de trabalho funcionam sem necessidade de serem adicionadas através do GOsa².

Cliente dependente

Uma configuração 'cliente dependente' (thin client) permite que um PC comum funcione como se fosse apenas um terminal (do X), sendo todo o software executado no servidor LTSP. Isto significa que esta máquina arranca via PXE sem utilizar o seu disco como disco rígido cliente local.

O Debian Edu ainda suporta o uso de clientes dependentes, para permitir o uso de computadores muito antigos.

Uma vez que os clientes dependentes usam o X2Go, os utilizadores devem desativar a composição para evitar o aparecimento de distorções de imagem. No caso padrão (ambiente de trabalho Xfce): Definições -> Ajustes do Gestor de Janelas -> Compositor.

firmware de cliente LTSP

O arranque do cliente LTSP falha se a interface de rede do cliente exigir um firmware não livre. Pode ser usada uma instalação PXE para resolver problemas de arranque pela rede de uma máquina; se o Instalador do Debian indicar que está em falta um ficheiro XXX.bin, então tem que ser adicionado o firmware não-livre ao initrd do servidor LTSP.

Proceder da seguinte forma no servidor LTSP:

  • Primeiro obter informação sobre pacotes de firmware; executar:

apt update && apt search ^firmware-
  • Instalar o pacote compatível com a(s) interface(s) de rede (muito provavelmente será o firmware-linux); executar:

apt -y -q install firmware-linux
  • Atualizar a imagem do SquashFS para estações de trabalho sem disco; executar:

debian-edu-ltsp-install --diskless_workstation yes
  • No caso de serem usados clientes dependentes X2Go, executar:

/usr/share/debian-edu-config/tools/ltsp-addfirmware -h
  • e continuar de acordo com a informação de utilização.

    Seguidamente, atualizar a imagem SquashFS; p. ex. para o 'chroot' /srv/ltsp/x2go-bare-amd64, executar:

ltsp image x2go-bare-amd64

17.1.1. Seleção do tipo de cliente LTSP

Cada servidor LTSP tem duas interfaces ethernet: uma configurada na sub-rede principal 10.0.0.0/8 (que é partilhada com o servidor principal), e outra formando uma sub-rede local (uma sub-rede separada para cada servidor LTSP).

Em ambos os casos, pode ser escolhido estação de trabalho sem disco ou cliente dependente a partir do menu iPXE. Após 5 segundos de espera, a máquina arrancará como estação de trabalho sem disco.

O item predefinido do menu de arranque iPXE e o respetivo tempo limite de espera podem ser configurados em /etc/ltsp/ltsp.conf. O valor de espera -1 é usado para ocultar o menu. Executar debian-edu-ltsp-ipxe para aplicar as alterações.

17.1.2. Usar uma rede de clientes LTSP diferente

Se uma máquina for instalada usando o perfil LTSP, a rede cliente LTSP 192.168.0.0/24 é a predefinida. Se forem utilizados muitos clientes LTSP ou se servidores LTSP diferentes tiverem de servir tanto ambientes chroot i386 como amd64, a segunda rede pré-configurada, a 192.168.1.0/24, também pode ser utilizada. Editar o ficheiro /etc/network/interfaces e ajustar as configurações da eth1 conforme necessário. Use o ldapvi ou qualquer outro editor LDAP para verificar as configurações DNS e DHCP.

17.1.3. Adicionar chroot LTSP para suportar clientes de PC de 32 bits

Para criar o chroot e a imagem SquashFS, executar:

debian-edu-ltsp-install --arch i386 --thin_type bare

Ver man debian-edu-ltsp-install para informação sobre os tipos de cliente dependente (thin client).

17.1.4. Configuração de cliente LTSP

Executar man ltsp.conf para ter uma visão das opções de configuração disponíveis. Ou ler a informação online: https://ltsp.org/man/ltsp.conf/

Adicionar itens de configuração à secção /etc/ltsp/ltsp.conf [clients]. Para aplicar as alterações, executar:

debian-edu-ltsp-initrd

17.1.5. Som em clientes LTSP

Os clientes dependentes LTSP usam áudio em rede para passar o áudio do servidor para os clientes.

As estações de trabalho sem disco LTSP gerem o áudio localmente.

17.1.6. Acesso a unidades USB e a CD-ROMs/DVDs

Quando os utilizadores inserem uma unidade USB ou um DVD /CD-ROM numa estação de trabalho (sem disco), aparece um ícone na área de trabalho, que permite o acesso ao conteúdo da unidade como numa estação de trabalho.

Quando os utilizadores inserem uma unidade USB num cliente dependente X2Go do tipo "bare" (instalação de servidor combinado predefinida), a unidade é montada quando é feito duplo-clique no ícone de pasta na área de trabalho Xfce. Dependendo do conteúdo da unidade, o conteúdo pode demorar a aparecer no gestor de ficheiros.

17.1.6.1. Um aviso sobre meios amovíveis em servidores LTSP

Quando inseridos em servidores LTSP, as unidades USB e outros meios amovíveis levam ao aparecimento do respetivo ícone de pasta nas áreas da trabalho dos clientes dependentes LTSP. Utilizadores remotos podem aceder aos ficheiros.

17.1.7. Utilizar impressoras ligadas a clientes LTSP

  • Ligar a impressora à máquina cliente LTSP (são suportados tanto o porto USB como porto paralelo).

  • Configurar o cliente LTSP através do GOsa² para utilizar um endereço IP fixo.

  • Configurar a impressora usando a interface web https://www.intern:631 no servidor principal; escolher o tipo de impressora de rede AppSocket/HP JetDirect (para todas as impressoras independentemente da marca ou modelo) e configurar socket://<LTSP client ip>:9100 como URI de ligação.

17.2. Modificar a configuração do PXE

PXE é o acrónimo de Preboot eXecution Environment (Ambiente de Execução Pré-arranque). O Debian Edu usa agora a implementação iPXE para uma integração mais fácil com o LTSP.

17.2.1. Configurar o menu PXE

O item de menu do iPXE relativo às instalações do sistema é gerado usando o script debian-edu-pxeinstall. Este script permite que algumas configurações sejam substituídas usando o ficheiro /etc/debian-edu/pxeinstall.conf com valores de substituição.

17.2.2. Configurar a instalação PXE

A instalação PXE assumirá o idioma, o esquema do teclado e definições espelhadas das definições usadas na instalação do servidor principal; os outros elementos de configuração serão solicitados durante a instalação (perfil, participação em popcon, particionamento e senha de root). Para evitar estas solicitações, o ficheiro /etc/debian-edu/wwww/debian-edu-install.dat pode ser modificado para fornecer respostas pré-selecionadas aos itens do debconf. Podem ser consultados alguns exemplos de itens do debconf em /etc/debian-edu/wwww/debian-edu-install.dat. As alterações serão perdidas assim que for usado o comando debian-edu-pxeinstall para recriar o ambiente de instalação PXE. Para anexar valores do debconf a /etc/debian-edu/wwww/debian-edu-install.dat durante a recriação através do debian-edu-pxeinstall, adicionar o ficheiro /etc/debian-edu/wwww/debian-edu-install.dat.local com os valores debconf adicionais.

No capítulo Instalação pode ser encontrada mais informação sobre a modificação de instalações PXE.

17.2.3. Adicionar repositórios a instalações PXE

Para adicionar um repositório, adicionar a /etc/debian-edu/wwww/debian-edu-install.dat.local algo como:

d-i     apt-setup/local1/repository string      http://example.org/debian stable main contrib non-free
d-i     apt-setup/local1/comment string         Example Software Repository
d-i     apt-setup/local1/source boolean         true
d-i     apt-setup/local1/key    string          http://example.org/key.asc

e de seguida executar /usr/sbin/debian-edu-pxeinstall uma vez.

17.3. Alterar as definições de rede

O pacote debian-edu-config inclui uma ferramenta que ajuda a mudar a rede de 10.0.0.0/8 para outra. Ver /usr/share/debian-edu-config/tools/subnet-change. Destina-se a ser usado logo após a instalação no servidor principal, para atualizar o LDAP e outros ficheiros que têm de ser editados para alterar a subrede.

Notar que mudar para uma das sub-redes já usadas por outros elementos no Debian Edu não resulta. As sub-redes 192.168.0.0/24 e 192.168.1.0/24 já estão configuradas como redes clientes LTSP. A mudança para estas sub-redes requer a edição manual dos ficheiros de configuração para remover entradas duplicadas.

Não há forma fácil de alterar o nome de domínio DNS. Alterá-lo exigiria mudanças tanto na estrutura LDAP como em vários ficheiros no sistema de ficheiros do servidor principal. Também não há forma fácil de alterar o nome do hospedeiro e o nome DNS do servidor principal (tjener.intern). Para isso, também seriam necessárias alterações no LDAP e nos ficheiros do servidor principal e do sistema de ficheiros do cliente. A configuração do Kerberos também teria de ser alterada, em ambos os casos.

17.4. Área de trabalho remota

Escolher o perfil Servidor LTSP ou o perfil Servidor combinado faz instalar também os pacotes xrdp e x2goserver.

17.4.1. Xrdp

O Xrdp utiliza o Remote Desktop Protocol para apresentar um ecrã de acesso gráfico a um cliente remoto. Os utilizadores do Microsoft Windows podem ligar-se ao servidor LTSP executando o xrdp sem instalar software adicional - iniciam simplesmente uma ligação remota de área de trabalho na sua máquina Windows e estabelecem a ligação.

Adicionalmente, o xrdp pode ligar-se a um servidor VNC ou a outro servidor RDP.

O Xrdp vem sem suporte para som; para compilar (ou recompilar) os módulos necessários, pode ser usado este script. Nota: o "caller" tem de ser o root ou um membro do grupo sudo. Além disso, /etc/apt/sources.list deve conter uma linha deb-src válida.

 #!/bin/bash
 set -e
  if [[ $UID -ne 0 ]] ; then  
     if ! groups | egrep -q sudo ; then
         echo "ERROR: You need to be root or a sudo group member."
         exit 1
     fi
 fi
 if ! egrep -q  ^deb-src /etc/apt/sources.list ; then
     echo "ERROR: Make sure /etc/apt/sources.list contains a deb-src line."
     exit 1
 fi
 TMP=$(mktemp -d)
 PULSE_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' pulseaudio)"
 XRDP_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' xrdp)"
 sudo apt -q update
 sudo apt -q install dpkg-dev
 cd $TMP
 apt -q source pulseaudio xrdp
 sudo apt -q build-dep pulseaudio xrdp
 cd pulseaudio-$PULSE_UPSTREAM_VERSION/
 ./configure
 cd $TMP/xrdp-$XRDP_UPSTREAM_VERSION/sesman/chansrv/pulse/
 sed -i 's/^PULSE/#PULSE/' Makefile
 sed -i "/#PULSE_DIR/a \
 PULSE_DIR = $TMP/pulseaudio-$PULSE_UPSTREAM_VERSION" Makefile
 make
 sudo cp *.so /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/
 sudo chmod 644 /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/module-xrdp*
 sudo service xrdp restart

17.4.2. X2Go

O X2Go permite aceder a um ambiente de trabalho gráfico no servidor LTSP, tanto através de ligações de baixa largura de banda como de alta largura de banda, a partir de um PC com Linux, Windows ou MacOS. É necessário software adicional no lado do cliente. Para mais informação consultar o wiki X2Go.

Notar que se for usado o X2Go será melhor remover o pacote killer no servidor LTSP. Ver 890517.

17.4.3. Clientes de área de trabalho remota disponíveis

  • O freerdp-x11 é instalado de origem e é capaz de RDP e VNC.

    • RDP - a maneira mais fácil de aceder ao servidor de terminal Windows. Um pacote cliente alternativo é rdesktop.

    • O cliente VNC (Virtual Network Computer) dá acesso ao Skolelinux remotamente. Um pacote cliente alternativo é xvncviewer.

  • O x2goclient é um cliente gráfico para o sistema X2Go (não instalado de origem). Pode ser utilizado para ligação a sessões em execução e para iniciar novas sessões.

17.5. Clientes sem fio

O servidor freeRADIUS pode ser usado para estabelecer ligações de rede seguras. Para isto funcionar, instalar os pacotes freeradius e winbind no servidor principal e executar /usr/share/debian-edu-config/setup-freeradius-server para gerar uma configuração básica, específica de cada caso concreto. Desta forma, são ativados ambos os métodos EAP-TTLS/PAP e PEAP-MSCHAPV2. Toda a configuração está contida no próprio script, para facilitar os ajustes específicos para cada caso. Para mais informação, ver o sítio do FreeRADIUS.

É necessária configuração adicional para

  • ativar/desativar pontos de acesso através de uma chave secreta partilhada (/etc/freeradius/3.0/customers.conf).

  • permitir/negar o acesso sem fios utilizando grupos LDAP (/etc/freeradius/3.0/utilizadores).

  • combinar pontos de acesso em grupos dedicados (/etc/freeradius/3.0/huntgroups)

Os equipamentos de utilizador final têm de ser configurados corretamente; estes equipamentos têm de ser protegidos por PIN para uso do EAP (802.1x). Os utilizadores têm de ser alertados para instalarem o certificado freeradius CA nos seus equipamentos, para garantir que se ligam ao servidor correto. Desta forma, a senha não pode ser capturada no caso de contacto com um servidor malicioso. O certificado específico do sítio está disponível na rede interna.

Notar que a configuração de dispositivos de utilizador final é um verdadeiro desafio, devido à variedade de dispositivos existentes. Para dispositivos Windows pode ser criado um script de instalação e para dispositivos Apple um ficheiro mobileconfig. O certificado freeRADIUS CA pode ser integrado em ambos os casos, mas são necessárias ferramentas específicas do SO para criar os scripts.

17.6. Autorizar o uso do acrescento pGina para LDAP em máquinas Windows com credenciais Debian Edu

17.6.1. Adicionar utilizador pGina no Debian Edu

Para haver a possibilidade de usar o acrescento (plugin) pGina (acrescento ao LDAP) - ou qualquer outra aplicação de terceiros de autenticação e autorização de serviços - é necessário ter uma conta de utilizador especial usada nas buscas dentro do LDAP.

Adicionar um utilizador especial, p. ex. pguser com senha pwd.777, no sítio https://www/gosa.

17.6.2. Instalação

Descarregar e instalar o pGina 3.9.9.12 como software comum. Confirmar que a pasta 'Plugins' do pGina contém o acrescento 'pGina.Plugin.Ldap.dll':

C:\Program Files\pGina.fork\Plugins\pGina.Plugin.Ldap.dll

17.6.3. Configurar o pGina

Nas configurações do Debian Edu considerar que a ligação ao LDAP usa SSL pelo porto 636.

As definições necessárias ao acrescento pGina para LDAP estão abaixo

(estão guardadas em HKEY_LOCAL_MACHINE\\SOFTWARE\\pGina3.fork\\Plugins\\0f52390b-c781-43ae-bd62-553c77fa4cf7).

17.6.3.1. Secção principal do acrescento para LDAP
  • Hospedeiro(s) LDAP: 10.0.2.2 (mais qualquer outro, com "espaço" como separador)

  • Porto LDAP: 636 (para ligação SSL)

  • Tempo limite: 10

  • Usar SSL: SIM/YES (marcar a caixa)

  • Iniciar TLS: NÃO (não marcar a caixa)

  • Validar o Certificado do Servidor: NO (não marcar a caixa)

  • Buscar DN: uid=pguser,ou=people,ou=Students,dc=skole,dc=skolelinux,dc=no

    • ("pguser" é um utilizador específico de acesso ao LDAP para busca de utilizadores numa sessão)

  • Senha de busca: pwd.777 (esta é a senha do "pguser")

17.6.3.2. Bloco de autenticação

Separador Bind:

  • Permitir senha vazia: NÃO

  • Buscar DN: SIM (marcar a caixa)

  • Filtro de busca: (&(uid=%u)(objectClass=person))

17.6.3.3. Bloco de autorização
  • Predefinição: Permitir

  • Negar quando a autenticação LDAP falhar: SIM/YES (marcar a caixa)

  • Permitir quando o servir estiver indisponível: NÃO/NO (não marcar a caixa, opcional)

17.6.3.4. Seleção do acrescento
  • LDAP: Autenticação [v], Autorização [v], Conversor[v], Alterar senha [_]

  • Máquina local: Autenticação [v], Conversor [v] (marcar apenas as duas caixas)

18. O Samba no Debian Edu

O Samba está agora configurado como servidor independente com suporte smb2/SMB3 moderno e partilhas de utilizadores ativadas; ver /etc/samba/smb-debian-edu.conf no servidor principal. Desta forma, os utilizadores não administradores podem efectuar partilhas.

Para alterações específicas de cada escola, copiar /usr/share/debian-edu-config/smb.conf.edu-site para o diretório /etc/samba. As configurações em smb.conf.edu-site substituirão as contidas em smb-debian-edu.conf.

Notar que:

  • Por predefinição, os diretórios de utilizador (as pastas pessoais) são somente de leitura. Isso pode ser alterado em /etc/samba/smb.conf.edu-site .

  • As senhas do Samba são guardadas usando smbpasswd e são atualizadas no caso de uma senha ser alterada através do GOsa².

  • Para desativar temporariamente a conta Samba de um utilizador, executar smbpasswd -d <utilizador>; para reativar, executarsmbpasswd -e <utilizador>.

  • Executar chown root:teachers /var/lib/samba/usershares no servidor principal desativa as partilhas de utilizador para 'alunos'.

18.1. Aceder a ficheiros via Samba

As ligações aos diretórios dos utilizadores e a partilhas adicionais específicas de cada escola (se configuradas) são possíveis para dispositivos Linux, Android, macOS, iOS, iPadOS, Chrome OS e Windows. Outros dispositivos, como os baseados em Android, requerem um gestor de ficheiros com suporte SMB2/SMB3, também conhecido como acesso LAN. O X-plore ou o Total Commander with LAN plugin podem ser boas opções.

Executar tjener<utilizador> ou smb://tjener/<utilizador> para aceder ao diretório pessoal de um utilizador.

19. Instruções para ensino e aprendizagem

Todos os pacotes Debian mencionados nesta secção podem ser instalados executando apt install <nome-do-pacote> (como root).

19.1. Ensino de Programação

stable/education-development é um meta-pacote que 'depende' de um grande número de ferramentas de programação. Notar que este meta-pacote ocupa quase 2 GiB de espaço em disco, se for instalado. Para mais informação (talvez para instalar apenas alguns dos pacotes), consultar a página Debian Edu Development.

19.2. Acompanhamento dos alunos

Aviso: tem que ser respeitada a legislação sobre a monitorização e restrição de atividades dos utilizadores de computadores.

Algumas escolas usam ferramentas de controlo, como o Epoptes ou o Veyon para supervisionar os seus alunos. Ver também os sítios do Epoptes e do Veyon.

19.3. Restringir o acesso dos alunos à rede

Algumas escolas usam o Squidguard ou o e2guardian para restringir o acesso à Internet.

20. Instruções para os utilizadores

20.1. Alterar senhas

Cada utilizador deve alterar a sua senha através do GOsa². Para isso, basta usar um navegador e ir a https://www/gosa/.

Usar o GOsa² para alterar a senha garante que as senhas para o Kerberos (krbPrincipalKey), para o LDAP (userPassword) e para o Samba (sambaNTPassword) sejam a mesma.

Também é possível alterar senhas usando o PAM na chamada de acesso do GDM (ecrã em modo de texto); mas isso não se aplica ao Samba nem ao GOsa² (LDAP), no caso aplica-se apenas ao Kerberos. Portanto, depois de uma alteração de senha na chamada de acesso em modo de texto, é recomendado fazer a alteração também através do GOsa².

20.2. Executar aplicações java autónomas

As aplicações Java autónomas funcionam de imediato com o ambiente runtime OpenJDK Java.

20.3. Usar o correio

Todos os utilizadores podem enviar e receber correio dentro da rede interna; são fornecidos certificados para permitir ligações seguras TLS. Para permitir o correio fora da rede interna, o administrador tem de configurar o servidor de correioexim4 para o adequar à situação local, começando pelo dpkg-reconfigure exim4-config.

Todos os utilizadores que queiram usar o Thunderbird têm de o configurar da forma que se segue. Para um utilizador com nome de utilizador jdoe o endereço de e-mail interno é jdoe@postoffice.intern.

20.4. Thunderbird

  • Iniciar o Thunderbird

  • Clicar em 'Ignorar e usar o meu endereço existente'

  • Introduzir o endereço a ser usado

  • Não introduzir a senha, pois será utilizado o acesso único do Kerberos

  • Clicar em 'Continuar'

  • Para IMAP e SMTP, as configurações devem ser 'STARTTLS' e 'Kerberos / GSSAPI'; se não forem detetadas automaticamente, introduzir manualmente

  • Clicar em 'Concluído'

21. Contribuir

21.1. Contribuir pela Internet

Na maioria das vezes, a lista de discussão dos desenvolvedores é o nosso principal meio de comunicação, embora haja reuniões em #debian-edu no irc.debian.org e até mesmo, com menos frequência, encontros presenciais, onde os membros se encontram pessoalmente.

Uma boa forma de acompanhar o desenvolvimento do Debian Edu é subscrever a lista de correio commit mailinglist.

21.2. Comunicar deficiências

O Debian Edu usa o Sistema de Rastreio de Deficiências do Debian Bug Tracking System (BTS). Ver comunicações de deficiências existentes e pedidos de funcionalidades ou criar novas comunicações. Comunicar todas as deficiências com referência ao pacote debian-edu-config. Ver em How To Report Bugs para mais informação sobre comunicação de deficiências no Debian Edu.

21.3. Redatores e tradutores de documentação

Este documento precisa da sua ajuda! Antes de mais, ainda não está terminado: se o ler, irá notar vários FIXMEs inseridos no texto. Se por acaso souber (um pouco) do que precisa de ser explicado em qualquer deles, por favor, considere partilhar os seus conhecimentos connosco.

O texto original é uma wiki e pode ser editado com um simples navegador da web. Basta ir a https://wiki.debian.org/DebianEdu/Documentation/Bookworm/ e é possível contribuir facilmente. Nota: é necessária uma conta de utilizador para editar as páginas; tem de ser criada primeiro uma conta de utilizador do wiki.

Outra boa forma de contribuir e ajudar os utilizadores é através da tradução de software e documentação. Informação sobre como traduzir este documento pode ser encontrada no capítulo sobre traduções. Por favor, considere ajudar no esforço de tradução deste livro!

22. Apoio

22.1. Apoio baseado em voluntários

22.1.1. Em inglês

  • https://lists.debian.org/debian-edu - support mailing list

  • #debian-edu no irc.debian.org - canal IRC, relacionado sobretudo com o desenvolvimento; não deve ser esperado apoio em tempo real, embora isso aconteça com frequência.

22.1.2. Em norueguês

  • #skolelinux on irc.debian.org - IRC channel to support Norwegian users

22.1.3. Em alemão

22.1.4. Em francês

22.2. Apoio profissional

Lists of companies providing professional support are available from https://wiki.debian.org/DebianEdu/Help/ProfessionalHelp.

23. Novas funcionalidades no Debian Edu Bookworm

23.1. Novas funcionalidades do Debian Edu 12 Bookworm

23.1.1. Alterações na instalação

  • Nova versão do Instalador Debian do Debian bookworm; ver o manual de instalação para mais informação

    • nomeadamente sobre non-free-firmware, que é uma nova secção a par das bem conhecidas main, contrib e non-free.

  • Novas imagens baseadas no tema Emerald, o tema predefinido do Debian 12 Bookworm.

23.1.2. Atualizações de software

  • Tudo o que é novo no Debian 12 Bookworm; por exemplo:

    • Núcleo (kernel) Linux 6.1

    • Ambientes de trabalho KDE Plasma 5.27, GNOME 43, Xfce 4.18, LXDE 11, MATE 1.26

    • LibreOffice 7.4

    • GOsa² 2.8

    • Ferramentas educativas GCompris 3.1

    • Editor de música Rosegarden 22.12

    • LTSP 23.01

    • O Debian Bookworm inclui mais de 64 000 pacotes disponíveis para instalação.

23.1.3. Atualizações de documentação e tradução

  • Na instalação, a página de escolha de perfil está disponível em 29 idiomas, dos quais 22 estão totalmente traduzidos.

  • O Manual do Debian Edu Bookworm está totalmente traduzido para Chinês Simplificado, Dinamarquês, Nederlandês, Francês, Alemão, Italiano, Japonês, Norueguês Bokmål, Português do Brasil, Português europeu, Castelhano, Romeno e Ucraniano.

23.1.4. Problemas conhecidos

24. Direitos de Autor e Autores

Este documento foi escrito e protegido por direitos de autor por Holger Levsen (2007-2021), Petter Reinholdtsen (2001, 2002, 2003, 2004, 2007, 2008, 2009, 2010, 2012, 2014), Daniel Heß (2007), Patrick Winnertz (2007) , Knut Yrvin (2007), Ralf Gesellensetter (2007), Ronny Aasen (2007), Morten Werner Forsbring (2007), Bjarne Nielsen (2007, 2008), Nigel Barker (2007), José L. Redrejo Rodríguez (2007), John Bildoy (2007), Joakim Seeberg (2008), Jürgen Leibner (2009, 2010, 2011, 2012, 2014), Oded Naveh (2009), Philipp Hübner (2009, 2010), Andreas Mundt (2010), Olivier Vitrat (2010, 2012), Vagrant Cascadian (2010), Mike Gabriel (2011), Justin B Rye (2012), David Prévot (2012), Wolfgang Schweer (2012-2021), Bernhard Hammes (2012), Joe Hansen (2015), Serhii Horichenko (2022) e Guido Berhörster (2023) e é publicado sob licença GPL2 ou qualquer versão posterior. Para ser usufruído!

Se adicionar conteúdo ao manual, , por favor, faça-o apenas se for o autor do conteúdo adicionado. Tem de o publicar nas mesmas condições do manual! Em seguida, adicione aqui o seu nome e mencione a publicação sob a licença "GPL v2 ou qualquer versão posterior".

25. Traduções deste documento

Há uma visão geral em linha das traduções disponíveis, que é atualizada com frequência.

25.1. Como traduzir este documento

25.1.1. Traduzir utilizando os ficheiros PO

Como em muitos projetos de software livre, as traduções deste documento são mantidas em ficheiros PO. Pode ser encontrada mais informação sobre o processo de tradução usando esses ficheiros em /usr/share/doc/debian-edu-doc/README.debian-edu-bookworm-manual-translations.

25.1.2. Traduzir on-line utilizando um navegador da Web

A maioria das equipas de tradução decidiram por traduzir via Weblate. Para mais informação, ver https://hosted.weblate.org/projects/debian-edu-documentation/bookworm-manual/.

Solicita-se que quaisquer problemas sejam comunicados.

26. Apêndice A - A Licença Pública Geral GNU

26.1. Manual do Debian Edu 12, denominado Bookworm

Copyright (C) 2007-2021 Holger Levsen < holger@layer-acht.org > e outros; consultar a secção Direitos de autor para ver a lista completa dos detentores de direitos de autor.

This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version.

This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.

26.2. GNU GENERAL PUBLIC LICENSE

Version 2, June 1991

Copyright (C) 1989, 1991 Free Software Foundation, Inc. 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301, USA. Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed.

26.3. TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION

0. This License applies to any program or other work which contains a notice placed by the copyright holder saying it may be distributed under the terms of this General Public License. The "Program", below, refers to any such program or work, and a "work based on the Program" means either the Program or any derivative work under copyright law: that is to say, a work containing the Program or a portion of it, either verbatim or with modifications and/or translated into another language. (Hereinafter, translation is included without limitation in the term "modification".) Each licensee is addressed as "you".

Activities other than copying, distribution and modification are not covered by this License; they are outside its scope. The act of running the Program is not restricted, and the output from the Program is covered only if its contents constitute a work based on the Program (independent of having been made by running the Program). Whether that is true depends on what the Program does.

1. You may copy and distribute verbatim copies of the Program's source code as you receive it, in any medium, provided that you conspicuously and appropriately publish on each copy an appropriate copyright notice and disclaimer of warranty; keep intact all the notices that refer to this License and to the absence of any warranty; and give any other recipients of the Program a copy of this License along with the Program.

You may charge a fee for the physical act of transferring a copy, and you may at your option offer warranty protection in exchange for a fee.

2. You may modify your copy or copies of the Program or any portion of it, thus forming a work based on the Program, and copy and distribute such modifications or work under the terms of Section 1 above, provided that you also meet all of these conditions:

  • a) You must cause the modified files to carry prominent notices stating that you changed the files and the date of any change.

    b) You must cause any work that you distribute or publish, that in whole or in part contains or is derived from the Program or any part thereof, to be licensed as a whole at no charge to all third parties under the terms of this License.

    c) If the modified program normally reads commands interactively when run, you must cause it, when started running for such interactive use in the most ordinary way, to print or display an announcement including an appropriate copyright notice and a notice that there is no warranty (or else, saying that you provide a warranty) and that users may redistribute the program under these conditions, and telling the user how to view a copy of this License. (Exception: if the Program itself is interactive but does not normally print such an announcement, your work based on the Program is not required to print an announcement.)

These requirements apply to the modified work as a whole. If identifiable sections of that work are not derived from the Program, and can be reasonably considered independent and separate works in themselves, then this License, and its terms, do not apply to those sections when you distribute them as separate works. But when you distribute the same sections as part of a whole which is a work based on the Program, the distribution of the whole must be on the terms of this License, whose permissions for other licensees extend to the entire whole, and thus to each and every part regardless of who wrote it.

Thus, it is not the intent of this section to claim rights or contest your rights to work written entirely by you; rather, the intent is to exercise the right to control the distribution of derivative or collective works based on the Program.

In addition, mere aggregation of another work not based on the Program with the Program (or with a work based on the Program) on a volume of a storage or distribution medium does not bring the other work under the scope of this License.

3. You may copy and distribute the Program (or a work based on it, under Section 2) in object code or executable form under the terms of Sections 1 and 2 above provided that you also do one of the following:

  • a) Accompany it with the complete corresponding machine-readable source code, which must be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,

    b) Accompany it with a written offer, valid for at least three years, to give any third party, for a charge no more than your cost of physically performing source distribution, a complete machine-readable copy of the corresponding source code, to be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,

    c) Accompany it with the information you received as to the offer to distribute corresponding source code. (This alternative is allowed only for noncommercial distribution and only if you received the program in object code or executable form with such an offer, in accord with Subsection b above.)

The source code for a work means the preferred form of the work for making modifications to it. For an executable work, complete source code means all the source code for all modules it contains, plus any associated interface definition files, plus the scripts used to control compilation and installation of the executable. However, as a special exception, the source code distributed need not include anything that is normally distributed (in either source or binary form) with the major components (compiler, kernel, and so on) of the operating system on which the executable runs, unless that component itself accompanies the executable.

If distribution of executable or object code is made by offering access to copy from a designated place, then offering equivalent access to copy the source code from the same place counts as distribution of the source code, even though third parties are not compelled to copy the source along with the object code.

4. You may not copy, modify, sublicense, or distribute the Program except as expressly provided under this License. Any attempt otherwise to copy, modify, sublicense or distribute the Program is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance.

5. You are not required to accept this License, since you have not signed it. However, nothing else grants you permission to modify or distribute the Program or its derivative works. These actions are prohibited by law if you do not accept this License. Therefore, by modifying or distributing the Program (or any work based on the Program), you indicate your acceptance of this License to do so, and all its terms and conditions for copying, distributing or modifying the Program or works based on it.

6. Each time you redistribute the Program (or any work based on the Program), the recipient automatically receives a license from the original licensor to copy, distribute or modify the Program subject to these terms and conditions. You may not impose any further restrictions on the recipients' exercise of the rights granted herein. You are not responsible for enforcing compliance by third parties to this License.

7. If, as a consequence of a court judgment or allegation of patent infringement or for any other reason (not limited to patent issues), conditions are imposed on you (whether by court order, agreement or otherwise) that contradict the conditions of this License, they do not excuse you from the conditions of this License. If you cannot distribute so as to satisfy simultaneously your obligations under this License and any other pertinent obligations, then as a consequence you may not distribute the Program at all. For example, if a patent license would not permit royalty-free redistribution of the Program by all those who receive copies directly or indirectly through you, then the only way you could satisfy both it and this License would be to refrain entirely from distribution of the Program.

If any portion of this section is held invalid or unenforceable under any particular circumstance, the balance of the section is intended to apply and the section as a whole is intended to apply in other circumstances.

It is not the purpose of this section to induce you to infringe any patents or other property right claims or to contest validity of any such claims; this section has the sole purpose of protecting the integrity of the free software distribution system, which is implemented by public license practices. Many people have made generous contributions to the wide range of software distributed through that system in reliance on consistent application of that system; it is up to the author/donor to decide if he or she is willing to distribute software through any other system and a licensee cannot impose that choice.

This section is intended to make thoroughly clear what is believed to be a consequence of the rest of this License.

8. If the distribution and/or use of the Program is restricted in certain countries either by patents or by copyrighted interfaces, the original copyright holder who places the Program under this License may add an explicit geographical distribution limitation excluding those countries, so that distribution is permitted only in or among countries not thus excluded. In such case, this License incorporates the limitation as if written in the body of this License.

9. The Free Software Foundation may publish revised and/or new versions of the General Public License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns.

Each version is given a distinguishing version number. If the Program specifies a version number of this License which applies to it and "any later version", you have the option of following the terms and conditions either of that version or of any later version published by the Free Software Foundation. If the Program does not specify a version number of this License, you may choose any version ever published by the Free Software Foundation.

10. If you wish to incorporate parts of the Program into other free programs whose distribution conditions are different, write to the author to ask for permission. For software which is copyrighted by the Free Software Foundation, write to the Free Software Foundation; we sometimes make exceptions for this. Our decision will be guided by the two goals of preserving the free status of all derivatives of our free software and of promoting the sharing and reuse of software generally.

NO WARRANTY

11. BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.

12. IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.

END OF TERMS AND CONDITIONS

27. Apêndice B – Aspetos salientes de versões anteriores

27.1. Novas funcionalidades no Debian Edu 11, denominado Bullseye, lançado em 2021-08-14

27.1.1. Alterações na instalação

  • Nova versão do Instalador Debian no Debian Bullseye; para mais informação, consultar o manual de instalação.

  • Novas imagens baseadas no tema Homeworld, o tema predefinido do Debian 11 Bullseye.

  • O Instalador Debian deixou de aceitar a configuração chroot LTSP. No caso de uma instalação de servidor combinado (perfis 'Servidor principal' + 'Servidor LTSP'), a configuração para suporte de clientes dependentes (agora usando o X2Go) acontece no final da instalação. A geração da imagem SquashFS para suporte de clientes sem disco (a partir do sistema de ficheiros do servidor) é feita no primeiro arranque.

    Para servidores LTSP separados, ambos os passos têm que ser feitos através de uma ferramenta, após o primeiro arranque na rede interna quando estiver disponível informação suficiente a partir do servidor principal.

27.1.2. Atualizações de software

  • Tudo o que é novo no Debian 11 Bullseye, por exemplo:

    • Núcleo (kernel) Linux 5.10

    • Ambientes de trabalho KDE Plasma 5.20, GNOME 3.38, Xfce 4.16, LXDE 11, MATE 1.24

    • LibreOffice 7.0

    • Ferramentas educativas GCompris 1.0

    • Criador de música Rosegarden 20.12

    • LTSP 21.01

    • O Debian Bullseye tem mais de 59000 pacotes disponíveis para instalação.

27.1.3. Atualizações de documentação e tradução

  • Na instalação, a página de escolha de perfil está disponível em 29 idiomas, dos quais 22 estão totalmente traduzidos.

  • O Manual do Debian Edu Bullseye está totalmente traduzido para Holandês, Francês, Alemão, Italiano, Japonês, Norueguês Bokmål, Português e Chinês Simplificado.

    • Existem versões parcialmente traduzidas para dinamarquês e espanhol.

27.1.4. Outras alterações por comparação com a versão anterior

  • Melhor suporte a TLS/SSL na rede interna. Nos clientes, o certificado de raiz para o Debian Edu-CA está incluído no pacote de certificados para todo o sistema.

  • Novo LTSP, reescrito do zero, deixando de suportar clientes dependentes. Os clientes dependentes são agora suportados utilizando o X2Go.

  • O Arranque pela rede (Netboot) é feito utilizando o iPXE em vez do PXELINUX, para estar em conformidade com o LTSP.

  • O diretório / srv / tftp é agora usado como base do netboot, em vez do diretório / var / lib / tftpboot .

  • Após uma atualização para uma nova versão pontual de um sistema com perfil Servidor principal ou Servidor LTSP, tem que ser executado o debian-edu-pxeinstall para atualizar o ambiente de instalação PXE.

  • O DuckDuckGo é usado como motor de busca predefinido nos navegadores Firefox ESR e Chromium.

  • O Chromium usa o sítio web interno como página inicial padrão, em vez do Google.

  • Nas estações de trabalho sem disco, o Kerberos TGT está automaticamente disponível após o acesso.

  • Adicionada nova ferramenta para configurar o freeRADIUS com suporte para EAP-TTLS / PAP e PEAP-MSCHAPV2.

  • O Samba é configurado como "servidor autónomo" com suporte para SMB2/SMB3; deixou de haver a junção ao domínio.

  • A interface web GOsa² não mostra entradas relacionadas com o Samba porque os dados da conta Samba deixaram de ser guardados em LDAP.

  • É usado o modo gráfico do Instalador Debian para instalações PXE (em vez do modo de texto).

  • O servidor de impressão central CUPS é ipp.intern; os utilizadores pertencentes ao grupo printer-admins têm permissão para administrar o CUPS.

  • A administração do Icinga através da interface web está restrita ao primeiro utilizador.

27.2. Informação histórica sobre versões mais antigas

Anteriormente foram lançadas as seguintes versões do Debian Edu:

  • Debian Edu 10+edu0 codinome Buster lançado em 2019-07-06.

  • Debian Edu 9+edu0 Codenome Stretch lançado em 2017-06-17.

  • Debian Edu 8+edu0, denominado Jessie, lançado em 02-07-2016.

  • Debian Edu 7.1+edu0, denominado Wheezy, lançado em 28-09-2013.

  • Debian Edu 6.0.7+r1, denominado "Squeeze", lançado em 03-03-2013.

  • Debian Edu 6.0.4+r0, denominado "Squeeze", lançado em 11-03-2012.

  • Debian Edu 5.0.6+edu1, denominado "Lenny", lançado em 05-10-2010.

  • Debian Edu 5.0.4+edu0, denominado "Lenny", lançado em 08-02-2010.

  • Debian Edu "3.0r1 Terra", lançado em 05-12-2007.

  • Debian Edu "3.0r0 Terra" lançado em 22-07-2007. Baseado no Debian 4.0 Etch lançado em 08-04-2007.

  • Debian Edu 2.0, lançado em 14-03-2006. Baseado no Debian 3.1 Sarge, lançado em 06-06-2005.

  • Debian Edu "1.0 Venus" lançado em 20-06-2004. Baseado no Debian 3.0 Woody lançado em 19-07-2002.

O Apêndice C do manual do Jessie contém uma visão completa e detalhada das versões mais antigas; ou ver os manuais das respetivas versões na página manuais das diferentes versões.