Зміст
Переклад:
2023-2024 Serhii Horichenko
2024 Сергій
2024 Dominic “Dee.” Furber
Це посібник для випуску Debian Edu 12 (bookworm).
Джерелом https://wiki.debian.org/DebianEdu/Documentation/Bookworm є вікі і часто оновлюється.
Оновлені переклади доступні в мережі.
Debian Edu також відома, як Skolelinux — дистрибутив Linux, оснований на Debian, який забезпечує з коробки повне налаштування шкільної мережі. Він реалізує клієнт-серверну схему. Сервери та клієнти — елементи ПЗ, які працюють один з одним. Сервери надають інформацію, необхідну клієнтам для функціонування. Коли один комп'ютер налаштований як сервер, а інший як клієнт, вони відповідно до концепції називаються сервером та клієнтом.
Розділи про апаратні та мережеві вимоги та про архітектуру містять основну інформацію про проєкт системи.
Після встановлення головного сервера, усі необхідні служби шкільної мережі будуть налаштовані та система буде готовою до використання. Залишиться лише через GOsa² (зручний вебінструмент) або через інший редактор LDAP додати користувачів та комп'ютери. Також буде налаштоване завантаження з мережі PXE/iPXE, тож після встановлення головного сервера з CD, диску Blu-ray або з USB-флешки, усі інші комп'ютери можна налаштувати через мережу, включно з "переміщуваними робочими станціями" (ті, що можна виводити зі шкільної мережі, зазвичай ноутбуки та нетбуки). Також комп'ютери можна завантажувати через PXE/iPXE — як бездискові робочі станції або тонкі клієнти.
Декілька навчальних програм, на кшталт GeoGebra, Kalzium, KGeography, GNU Solfege та Scratch вже включені до стандартного набору, який можна легко розширити з екосистемою Debian майже до безкраю.
Debian Edu / Skolelinux — дистрибутив Linux, створений проєктом Debian Edu. Як і Debian Pure Blends (якісний збір Debian) — це підпроєкт офіційного підпроєкту Debian.
Для Вашої школи це означає, що Skolelinux — це версія Debian, яка надає готове середовище для повністю налаштованої шкільної комп’ютерної мережі.
Проєкт Skolelinux заснований 2 липня 2001 у Норвегії та приблизно в цей самий час Raphaël Hertzog заснував у Франції Debian-Edu. У 2003 році проєкти об'єдналися, але обидві назви використовуються паралельно. "Skole" та (Debian-)"Education" — два зрозумілих у цих регіонах терміни.
Сьогодні система використовується у декількох країнах світу.
Ця частина документа описує мережеву архітектуру та сервіси, отримані від встановлення Skolelinux.
Малюнок є ескізом уявної топології комп’ютерної мережі. Стандартне налаштування мережі Skolelinux передбачає наявність одного (і тільки одного) головного сервера, але дозволяє включати в мережу як звичайні робочі станції, так і сервери LTSP (з під'єднаними тонкими клієнтами та/або бездисковими робочими станціями). Кількість робочих станцій може бути як великою так і малою, або взагалі нульовою — залежно від Ваших бажань. Те саме стосується серверів LTSP, кожен з яких знаходиться в окремій мережі, тому мережевий трафік між клієнтами та сервером LTSP не впливає на решту мережевих служб. LTSP докладно описано у відповідному розділі HowTo.
Причина, чому в кожній шкільній мережі може бути лише один головний сервер, полягає в тому, що головний сервер забезпечує DHCP, і лише одна машина в мережі може обслуговувати DHCP; можна перенести служби з головного сервера на інші комп'ютери, встановивши на них певні служби, а після оновлення конфігурації DNS, вказавши псевдонім DNS для цієї служби на відповідний комп’ютер.
Щоб спростити стандартне встановлення Skolelinux, підключення до Інтернету працює через окремий роутер, який також називають шлюзом. Якщо немає можливості налаштувати наявний шлюз, можете детально ознайомитися про налаштування у розділі Інтернет-роутер.
DHCP на головному сервері обслуговує мережу 10.0.0.0/8, забезпечуючи меню завантаження PXE, де можна вибрати, що робити: встановити новий сервер/робочу станцію, завантажити тонкий клієнт чи бездискову робочу станцію, запустити memtest чи завантажитися з локального жорсткого диска.
Це було розроблено для модифікації; подробиці див. у відповідному розділі настанов.
DHCP на серверах LTSP обслуговує лише виділену мережу на другому інтерфейсі (192.168.0.0/24 та 192.168.1.0/24 є попередньо налаштованими параметрами), але це потрібно змінювати рідко.
Конфігурація усіх підмереж зберігається в LDAP.
Для мережі Skolelinux потрібен один головний сервер (ім’я хосту "tjener", що норвезькою означає "сервер"), який стандартно має IP-адресу 10.0.2.2 та встановлюється шляхом вибору профілю головного сервера. Можна (але не обов’язково) також вибрати та встановити профілі сервера LTSP і робочої станції на додаток до профілю основного сервера.
За винятком керування тонкими клієнтами, усі служби спочатку встановлюються на одному центральному комп’ютері (головному сервері). З міркувань продуктивності сервери LTSP повинні бути окремими комп'ютерами (хоча на одній машині можна інсталювати як профіль Master Server, так і профіль LTSP Server). Усім службам надані окремі імена DNS і вони пропонуються виключно через IPv4. Призначене ім’я DNS дозволяє легко переміщувати окремі служби з основного сервера на інші комп'ютери, просто зупиняючи службу на основному сервері та змінюючи конфігурацію DNS на точку нового розташування служби (що, звичайно, повинно бути встановлено на цій машині до того).
Для забезпечення безпеки усі з’єднання, де через мережу передаються паролі, вони шифруються, тому жоден пароль не надсилається через мережу у вигляді звичайного тексту.
Нижче наведено таблицю служб, стандартно встановлених у мережі Skolelinux та імена DNS для кожної служби. Якщо це можливо, усі конфігураційні файли посилаються на службу за назвою (без імені домену). Це полегшує школам або зміну домену (якщо вони мають власний домен DNS), або зміну IP-адрес, які вони використовують.
Таблиця служб | ||
Опис служби |
Звичайна назва |
Назва служби DNS |
Централізоване журналювання |
rsyslog |
syslog |
Служба доменних імен |
DNS (BIND) |
домен |
Автоматична мережева конфігурація машин |
DHCP |
bootps |
Синхронізація годинника |
NTP |
ntp |
Домашні каталоги через мережеву файлову систему |
SMB / NFS |
домашні каталоги |
Електронний поштамт |
IMAP (Dovecot) |
postoffice (пошта) |
Служба каталогів |
OpenLDAP |
ldap |
Керування користувачами |
GOsa² |
--- |
Вебсервер |
Apache/PHP |
www |
Центральна резервна копія |
sl-backup, slbackup-php |
backup (рез.копія) |
Вебкеш |
Proxy (Squid) |
webcache |
Друк |
CUPS |
ipp |
Захищений віддалений вхід |
OpenSSH |
ssh |
Автоматична конфігурація |
CFEngine |
cfengine |
Сервер/-и LTSP |
LTSP |
ltsp |
Спостереження за машиною та службами зі звітами про помилки, а також станом та історією в Інтернеті. Звіти про помилки електронною поштою |
Munin, Icinga та Sitesummary |
sitesummary |
Особисті файли кожного користувача зберігаються в їх домашніх каталогах, доступ до яких можливий через сервер. Домашні каталоги доступні з усіх машин. Завдяки цьому користувачі мають доступ до тих самих файлів незалежно від того, яку машину вони використовують. Сервер має "агностичну" операційну систему: він пропонує доступ через NFS для клієнтів Unix і через SMB2/SMB3 для інших клієнтів.
Стандартно електронна пошта налаштована лише для локальної доставки (тобто всередині школи), хоча, якщо у школи є постійне з'єднання з інтернет, можна налаштувати доставку по всьому інтернету. Клієнти налаштовані доставляти пошту на сервер (використовуючи "smarthost"), а користувачі можуть мати доступ до особистої пошти через IMAP.
Завдяки центральній базі користувачів для аутентифікації та авторизації усі служби доступні з використанням тих самих логінів та паролів.
Для підвищення продуктивності на часто відвідуваних сайтах використовується веб-проксі, який тимчасово зберігає файли локально (Squid). У поєднанні з блокуванням мережевого трафіку в маршрутизаторі це також дозволяє контролювати доступ до інтернету на окремих машинах.
Конфігурація мережі на клієнтах виконується автоматично за допомогою DHCP. Усі типи клієнтів можуть бути під'єднані до приватної підмережі 10.0.0.0/8 і отримають відповідні IP-адреси. Клієнти LTSP мають бути під'єднані до відповідного сервера LTSP через окрему підмережу 192.168.0.0/24 (це необхідно для того, щоб мережевий трафік клієнтів LTSP не заважав решті мережевих служб).
Централізоване журналювання налаштоване так, що усі машини надсилають свої syslog-повідомлення на сервер. Службу системного журналу syslog налаштовано так, що вона приймає вхідні повідомлення лише з локальної мережі.
Стандартно сервер DNS налаштований з доменом лише для внутрішнього користування (*.intern), допоки не буде налаштований реальний ("зовнішній") домен DNS. Сервер DNS налаштований як сервер DNS із кешуванням, щоби усі машини в мережі могли його використовувати як головний сервер DNS.
Учні та вчителі мають можливість створення вебсторінок. Вебсерер надає механізми для аутентифікації користувачів та обмеження доступу до особистих сторінок та підкаталогів певних користувачів та груп. Користувачі матимуть можливість створення динамічних вебсторінок — за умови такого програмування вебсервера на серверному боці.
Інформацію про користувачів та машини можна змінювати в одному центральному місці і це забезпечує доступ до всіх комп'ютерів у мережі. Для цього встановлено централізований сервер каталогів. Цей каталог буде містити інформацію про користувачів, групи користувачів, машини та групи машин. Для уникнення плутанини користувачів, немає жодної різниці між файловими групами та мережевими групами. Такий підхід передбачає, що групи машин, які мають сформувати мережеві групи, використовуватимуть той самий простір імен, що й групи користувачів.
Адміністрування служб та користувачів здійснюватиметься переважно через вебінтерфейс відповідно до встановлених стандартів, які добре працюють у веб-браузерах, які є частиною Skolelinux. Делегування певних завдань окремим користувачам або групам користувачів буде можливе через системи адміністрування.
Для уникнення проблем з NFS та спрощення у розв'язанні проблем, різні машини повинні мати синхронізований час. Для досягнення цього, сервер Skolelinux встановлюється як локальний сервер мережевого протоколу часу (NTP) і всі робочі станції та клієнти налаштовуються для синхронізації з цим сервером. Для забезпечення правильного часу для всієї мережі, сам сервер повинен синхронізувати свій час через NTP з машинами в інтернеті.
Принтери можуть бути під'єднаними, в залежності від потреб, напряму до головної мережі або до сервера, робочої станції або ж до сервера LTSP. Доступ до принтерів можна забезпечити для окремих користувачів відповідно до груп, до яких користувачі належать. Ці типи підключень можна забезпечити за допомогою квот та контролю доступу до принтерів.
Мережа Skolelinux може мати безліч серверів LTSP, які встановлюються через вибір профілю Сервер LTSP.
Сервери LTSP налаштовуються для отримання журналу syslog від тонких клієнтів та робочих станцій з пересиланням цих повідомлень центральному збирачу системних журналів.
Будь ласка, зауважте:
Бездискові робочі станції LTSP використовують програми, встановленні на сервері.
Коренева файлова система клієнта забезпечена за допомогою NFS. Після кожної
модифікації сервера LTSP відповідний образ потрібно створити повторно;
виконайте на сервері LTSP debian-edu-ltsp-install
--diskless_workstation yes
.
Конфігурація тонкого клієнта дозволяє звичайним ПК працювати як (X-)термінали. Це означає, що машина завантажується безпосередньо з сервера за допомогою PXE, без використання локального жорсткого диска на боці клієнта. Налаштування тонкого клієнта тепер використовує X2Go, оскільки LTSP більше не підтримується.
Тонкий клієнт — гарний спосіб використання дуже старих (зазвичай 32-розрядних) машин, оскільки вони запускають усі програми на сервері LTSP. Це працює так: служба використовує DHCP та TFTP для під'єднання до мережі й завантаження з мережі. Потім з сервера LTSP за допомогою NFS монтується файлова система і, нарешті, запускається клієнт X2Go.
Бездискова робоча станція запускає все ПЗ на ПК без локальної операційної системи. Це означає, що клієнтські машини завантажуються через PXE без запуску програмного забезпечення, встановленого на локальному жорсткому диску.
Бездискові робочі станції є чудовим способом використання потужного заліза з такими ж низькими витратами на обслуговування, як і з тонкими клієнтами. Програмне забезпечення адмініструється та підтримується на сервері без необхідності встановлення локального програмного забезпечення на клієнтах. Домашні каталоги та системні налаштування також зберігаються на сервері.
Усі машини Linux, встановлені з інсталятором Skolelinux, можна буде
адмініструвати з центрального комп’ютера, швидше за все, з сервера. Можна
буде увійти на всі машини через SSH і таким чином отримати повний доступ до
машин. Для отримання Kerberos TGT, потрібно спочатку запустити
kinit
як root.
Уся користувацька інформація зберігається в каталозі LDAP. Оновлення облікових записів користувачів здійснюється на основі цієї бази даних, яка використовується клієнтами для автентифікації користувачів.
Зараз існує два типи інсталяційних образів: netinst та BD. Обидва образи також можна завантажити з USB-флешки.
Мета полягає в тому, щоб мати можливість один раз встановити сервер з будь-якого типу носія, а потім встановити через мережу усіх інших клієнтів, завантажуючись з мережі.
Під час встановлення лише образ netinstall вимагає доступу до інтернету.
Встановлення не повинно викликати жодних запитань, за винятком бажаної мови, розташування, розкладки клавіатури та профілю машини (головний сервер, робоча станція, сервер LTSP, …). Вся інша конфігурація буде налаштована автоматично з розумними значеннями, які системний адміністратор може змінити з центрального розташування після інсталяції.
Кожному обліковому запису користувача Skolelinux призначається частина файлової системи на файловому сервері. Цей розділ (домашній каталог) містить конфігураційні файли користувача, документи, електронну пошту та вебсторінки. Для деяких файлів має бути встановлено доступ для читання для інших користувачів у системі, деякі мають бути доступні для читання всім в інтернеті, а деякі не повинні бути доступні для читання нікому, крім користувача.
Щоб переконатися, що всі диски, які використовуються для каталогів
користувачів або спільних каталогів, можуть мати унікальні назви на всіх
комп’ютерах під час встановлення, їх можна приєднати як
/skole/host/directory/
. Спочатку на
файловому сервері створюється один каталог,
/skole/tjener/home0/
, у якому створюються
усі облікові записи користувачів. У разі потреби можна створити більше
каталогів для певних груп користувачів або певних шаблонів використання.
Для увімкнення спільного доступу до файлів у звичайній системі дозволів UNIX, користувачі повинні входити до додаткових спільних груп (наприклад, "студенти"), а також до особистої первинної групи, до якої вони належать стандартно. Якщо користувачі мають відповідну umask для створення нових елементів, доступних для груп (002 або 007), і якщо каталоги, з якими вони працюють, мають setgid (атрибути файлів та каталогів, які дозволяють запускати виконуваний файл з правами власника файлу/групи), результатом є контрольований спільний доступ до файлів між членами групи.
Налаштування початкового доступу для щойно створених файлів є питанням
політики. Значення umask для Debian типово становить 022 (це не дозволяє
груповий доступ, як описано вище), але Debian Edu використовує типове
значення 002, що означає, що файли створюються з доступом на читання для
всіх, який пізніше можна видалити прямою дією користувача. Це також можна
змінити (редагуванням
/etc/pam.d/common-session
) на umask 007, що
означає, що доступ для читання на початку заблоковано. Перший підхід
заохочує обмін знаннями та робить систему більш прозорою, тоді як другий
метод знижує ризик розповсюдження небажаної конфіденційної
інформації. Проблема першого рішення полягає в тому, що користувачі не
бачать, чи будуть створені ними матеріали доступні іншим. Користувачі можуть
виявити це, лише перевіривши каталоги інших користувачів і переконавшись, що
їх файли доступні для читання. Проблема з другим рішенням полягає в тому, що
дуже мало людей, ймовірно, захочуть поділитися своїми файлами, навіть якщо
вони не містять конфіденційної інформації, а вміст у них не є корисним для
допитливих користувачів, які б хотіли дізнатися, як інші розв'язують певні
проблеми (зазвичай пов'язані з проблемами конфігурації).
Існують різні способи встановлення Skolelinux. Його можна встановити на одному окремому ПК або як регіональне рішення для багатьох шкіл, яке працює централізовано. Ця гнучкість має величезне значення для налаштування мережевих компонентів, серверів та клієнтських машин.
Призначення різних профілів пояснюється в розділі про архітектуру мережі.
Якщо планується використовувати LTSP, перегляньте вікі-сторінку з описом вимог до обладнання LTSP.
Комп'ютери, на яких працює Debian Edu / Skolelinux, повинні мати 32-розрядні (архітектура Debian "i386", найстаріші підтримувані процесори — процесори класу 686) або 64-розрядні (архітектура Debian "amd64") процесори x86.
Можливі тонкі клієнти лише з 256 МБ оперативної пам'яті та частотою 400 МГц, хоча рекомендується мати більше оперативної пам’яті та швидші процесори.
Для робочих станцій, бездискових робочих станцій і автономних систем 1500 МГц та 1024 МБ оперативної пам’яті є абсолютними мінімальними вимогами. Для роботи сучасних веббраузерів та LibreOffice рекомендовано мати принаймні 2048 МБ оперативної пам’яті.
Мінімальні вимоги щодо вільного місця на диску залежать від встановленого профілю:
комбінований головний сервер + сервер LTSP + робоча станція (якщо потрібен графічний інтерфейс на сервері): 60 ГБ (плюс додаткове місце для облікових записів користувачів).
сервер LTSP: 40 ГБ.
робоча станція або окремий ПК: 30 ГБ.
мінімальна установка машини в мережі: 4 ГБ.
При використанні стандартної мережевої архітектури серверам LTSP потрібні дві мережеві карти:
eth0 під'єднано до основної мережі (10.0.0.0/8),
eth1 використовується для обслуговування клієнтів LTSP.
Ноутбуки є переносними робочими станціями, тому до них пред'являються ті самі вимоги, що й до робочих станцій.
Список перевіреного обладнання див. за адресою https://wiki.debian.org/DebianEdu/Hardware/. Цей список не є вичерпним.
https://wiki.debian.org/InstallingDebianOn — це спроба документування як встановлювати, налаштовувати та використовувати Debian на деякому особливому обладнанні, щоби допомогти потенційним покупцям дізнатися чи підтримується те чи інше обладнання та допомогти теперішнім власникам отримати максимум від наявного обладнання.
Під час використання стандартної мережевої архітектури застосовуються такі правила:
Вам потрібен рівно один головний сервер.
Ви можете мати сотні робочих станцій в головній мережі.
Ви можете мати багато серверів LTSP в основній мережі; у LDAP попередньо налаштовані дві різні підмережі (DNS, DHCP), можна також додати ще.
У кожній мережі серверів LTSP Ви можете мати сотні тонких клієнтів та/або бездискових робочих станцій.
Ви можете мати сотні інших машин, яким будуть призначені динамічні IP-адреси.
Для доступу до інтернету Вам потрібен маршрутизатор(роутер)/шлюз (див. нижче).
Для підключення до інтернету потрібен маршрутизатор/шлюз, підключений до інтернету на зовнішньому інтерфейсі та налаштований з IP-адресою 10.0.0.1 та маскою мережі 255.0.0.0 на внутрішньому інтерфейсі.
DHCP не повинен працювати на маршрутизаторі, але на ньому може працювати служба DNS, хоча це не потрібно і не використовуватиметься.
Якщо у Вас ще немає маршрутизатора або Ваш теперішній маршрутизатор не можна
налаштувати відповідним чином, перетворити на шлюз між наявною мережею та
DebianEdu можна будь-яку машину, яка відповідає вимогам для мінімальної
інсталяції Debian і має принаймні два мережеві інтерфейси. Перегляньте документацію
щодо встановлення, — там можна дізнатися про простий спосіб
встановлення та налаштування Debian за допомогою
debian-edu-router-config
.
Якщо Вам щось потрібно для вбудованого маршрутизатора або точки доступу, ми рекомендуємо використовувати OpenWRT, хоча, звичайно, Ви також можете користуватися оригінальною прошивкою — це простіше. Користування OpenWRT дає більше налаштувань та контролю. Перегляньте вебсторінки OpenWRT та ознайомтеся зі списком підтримуваного обладнання.
Можна використовувати іншу мережеву конфігурацію (як це зробити описано у задокументованій процедурі), але якщо Ви не вимушені це робити з наявною мережевою інфраструктурою, ми радимо утриматися від цього та залишатися у стандартній мережевій архітектурі.
Перед початком встановлення системи для постійного використання (production) ми радимо Вам прочитати або хоча б ознайомитися з нотатками про випуск Debian Bookworm.Більше інформації про випуск Debian Bookworm можна знайти у цій настанові з інсталяції.
Будь ласка, дайте Debian Edu/Skolelinux шанс і спробуйте, — все повинно працювати.
Як би не було, перед початком встановлення головного сервера, ми дуже радимо прочитати розділи про вимоги до обладнання та мережі та про архітектуру.
Переконайтеся, що Ви також ознайомилися з розділом цієї настанови про початок роботи, — там описано як увійти в систему вперше.
amd64
та
i386
— назви двох архітектур Debian для ПК
з процесорами x86, обидві створені або AMD, або Intel, або іншими
виробниками. amd64
— це 64-розрядна
архітектура, а i386
— 32-розрядна
архітектура. Нові інсталяції сьогодні краще робити з
amd64
.
i386
можна використовувати лише для дуже
старого обладнання.
Образ iso netinst можна використовувати для встановлення з CD/DVD та USB-флешки і він доступний для двох архітектур Debian: amd64 або i386. Як видно з назви, для встановлення потрібен доступ до інтернету.
Після випуску Bookworm ці образи будуть доступні для завантаження з:
Ці ISO-образи мають розмір приблизно 7,5 ГБ та можуть використовуватися для встановлення машин amd64 або i386 навіть без доступу до інтернету. Як і образи netinst, їх можна використовувати на USB-флешках або дисках достатнього розміру.
Після випуску Bookworm ці образи будуть доступні для завантаження з:
Докладні інструкції щодо перевірки та використання цих образів є частиною Debian-CD FAQ.
Вихідний код доступний в архіві Debian у звичайних місцях, посилання на деякі медіа наведено на https://get.debian.org/cdimage/release/current/source/
Коли Ви встановлюєте Debian Edu, Ви маєте декілька варіантів на вибір. Не бійтеся — їх не так багато. Ми гарно попрацювали, щоб приховати складність Debian під час встановлення та після нього. Проте Debian Edu — це Debian, і якщо Ви хочете, у Вас є понад 59 000 пакетів на вибір і мільярд варіантів конфігурації. Для більшості наших користувачів стандартні значення будуть в самий раз. Зауважте: якщо планується використовувати LTSP, виберіть полегшене робоче середовище.
Типова шкільна або домашня мережа з доступом до інтернету через маршрутизатор з DHCP:
Встановлення головного сервера можливе, але після перезавантаження доступ до інтернету буде відсутній (через основний мережевий інтерфейс IP 10.0.2.2/8).
Щоб дізнатися, як налаштувати шлюз (якщо неможливо налаштувати наявний як потрібно), див. розділ Інтернет-маршрутизатор.
З'єднайте усі компоненти, як показано в розділі архітектура.
Головний сервер повинен отримати з'єднання з інтернетом після першого завантаження у правильному середовищі.
Типова мережа школи чи установи подібна до наведеної вище, але з обов’язковим використанням проксі-сервера.
Додайте "debian-edu-expert" до командного рядка ядра; подробиці про те, як це робиться, див. нижче.
Необхідно відповісти на деякі додаткові запитання, включно з проксі-сервером.
Мережа з маршрутизатором/шлюзом IP 10.0.0.1/8 (без DHCP) і доступом до інтернету:
Коли автоматичне налаштування мережі не працює (через відсутність DHCP), обирайте налаштування мережі вручну.
Введіть 10.0.2.2/8 як IP хоста
Введіть 10.0.0.1 як IP шлюзу
Введіть 8.8.8.8 як IP-адресу сервера DNS, якщо не знаєте кращого
Головний сервер після першого завантаження повинен просто працювати.
Офлайн (без з'єднання з інтернетом):
Скористайтеся ISO-образом BD.
Переконайтеся, що всі (реальні/віртуальні) мережеві кабелі від'єднані.
Виберіть "Зараз мережу не налаштовувати" (після того, як DHCP не вдалося налаштувати мережу і Ви натиснули "Продовжити").
Після першого завантаження в правильному середовищі з доступом до інтернету оновіть систему.
Деякі доступні графічні середовища:
Xfce займає дещо більший об’єм за LXDE, але має дуже гарну мовну підтримку (106 мов).
KDE та GNOME мають гарну мовну підтримку, але досить великий розмір як для старих комп'ютерів, так і для клієнтів LTSP.
Cinnamon є легшою альтернативою GNOME.
MATE легше за три вищезгадані, але не має гарної мовної підтримки для кількох країн.
LXDE має найменший розмір і підтримує 35 мов.
LXQt — це полегшене графічне середовище (мовна підтримка подібна до LXDE) із сучаснішим виглядом (на основі Qt, як і KDE).
Debian Edu як міжнародний проєкт вирішив користуватися графічним середовищем Xfce. Нижче можете переглянути, як встановити інше.
Під час встановлення системи з профілем Робоча станція встановлюється багато освітніх програм. Щоб установити лише базовий профіль, видаліть параметр командного рядка ядра desktop=xxxx перед встановленням (детальніше про те, як це робиться, див. нижче). Це дозволяє інсталювати систему, підлаштовану під певне місце та може прискорити тестові встановлення.
Будь ласка, зверніть увагу: якщо Ви хочете встановити графічне середовище, не користуйтеся мета-пакетами Debian Edu, на кшталт education-desktop-xfce, оскільки вони додають усі освітні програми; краще встановіть напр. task-xfce-desktop. Один або кілька пов'язаних із новим шкільним рівнем метапакетів education-preschool, education-primaryschool, education-secondaryschool, education-highschool можна встановити відповідно до необхідного використання.
Докладніше про мета-пакети Debian Edu див. на сторінці Огляд пакетів Debian Edu.
Завантажувальне меню інсталятора на 64-розрядному обладнанні — режим BIOS
Графічне встановлення використовує інсталятор GTK, де можна використовувати мишу.
Встановлення використовує текстовий режим.
Розширені параметри > відкриває підменю з більш детальними варіантами вибору.
Довідка містить деякі підказки щодо використання програми встановлення; див. знімок екрана нижче.
Назад.. повертає до головного меню.
Експертне графічне встановлення надає доступ до всіх доступних запитань з використанням миші.
Графічний режим відновлення робить цей інсталяційний носій диском відновлення для екстрених завдань.
Для Графічної автоматичної інсталяції потрібен файл "preseed".
Експертне встановлення надає доступ до всіх доступних запитань у текстовому режимі.
Режим відновлення в текстовому режимі робить цей інсталяційний носій аварійним диском для екстрених завдань.
Для Автоматичного встановлення в текстовому режимі потрібен файл "preseed".
Не використовуйте Графічне експертне
встановлення
чи Експертне
встановлення
— краще у виняткових випадках використовуйте
як додатковий параметр ядра
debian-edu-expert
.
Екран допомоги
Цей екран допомоги не потребує додаткових пояснень і дозволяє для отримання більш докладної довідки з описаних тем використовувати на клавіатурі функціональні клавіші <F>.
Завантажувальне меню інсталятора на 64-розрядному обладнанні — режим UEFI
Додавання або зміна параметрів завантаження під час встановлення
В обох випадках параметри завантаження можна редагувати у меню завантаження натисканням клавіш TAB або E; на знімках екрана показано командний рядок для графічної інсталяції.
Для прискорення встановлення профілю Головного сервера
з компакт-диска, можна скористатися наявною в мережі службою
HTTP-проксі. Додайте, наприклад, як додатковий параметр завантаження
mirror/http/proxy=http://10.0.2.2:3128
.
Якщо Ви вже встановили профіль Головного сервера на машині, подальші інсталяції слід виконувати через PXE, оскільки це автоматично використовуватиме проксі головного сервера.
Для встановлення графічного середовища GNOME замість стандартного Xfce, замініть у
desktop=xfce
параметр
xfce
на
gnome
.
Щоб замінити графічне середовище під час встановлення на LXDE, використовуйте
desktop=lxde
.
Щоб замінити графічне середовище під час встановлення на LXQt, використовуйте
desktop=lxqt
.
Щоб замінити графічне середовище під час встановлення на KDE Plasma, використовуйте
desktop=kde
.
Щоб замінити графічне середовище під час встановлення на Cinnamon, використовуйте
desktop=cinnamon
.
І щоб замінити графічне середовище під час встановлення на MATE, використовуйте
desktop=mate
.
Пам'ятайте про системні вимоги та переконайтеся, що у Вас є принаймні дві мережеві карти (NICs), якщо плануєте встановити сервер LTSP.
Виберіть мову (для встановлення та встановленої системи).
Виберіть місце, яке зазвичай має бути місцем Вашого проживання.
Виберіть розкладку клавіатури (зазвичай підходить стандартна для країни).
Виберіть один або декілька профілів з наступного списку:
Головний сервер
Це головний сервер (tjener) для Вашої школи, який надає з коробки попередньо налаштовані для роботи усі служби. Ви повинні встановити лише один головний сервер на школу! Цей профіль не містить графічного інтерфейсу. Якщо Вам потрібен графічний інтерфейс, виберіть Workstation (робочу станцію) або Сервер LTSP на додаток до цього.
Робоча станція
Комп'ютер, завантажується зі свого локального жорсткого диска та запускає все програмне забезпечення та пристрої локально, як звичайний комп’ютер, за винятком того, що авторизація користувачів проходить автентифікацію на головному сервері, де зберігаються файли користувачів та їх робочі профілі.
Переносна робоча станція
Те саме, що робоча станція, але з можливістю автентифікації за допомогою кешованих облікових даних, тобто її можна використовувати за межами шкільної мережі. Файли та профілі користувачів зберігаються на локальному диску. Для однокористувацьких ноутбуків потрібно вибрати саме цей профіль, а не "Робочу станцію" чи "Автономний", як пропонувалося у попередніх версіях.
Сервер LTSP
Сервер тонкого клієнта (та бездискової робочої станції) називається сервером LTSP. Клієнти без жорстких дисків завантажуються та запускають програмне забезпечення з цього сервера. Цьому комп'ютеру потрібні два мережеві інтерфейси, багато пам'яті та, в ідеалі, більше одного процесора чи ядра. Для більш докладної інформації щодо цього перегляньте розділ мережеві клієнти. Вибір цього профілю також увімкне профіль робочої станції (навіть якщо його не вибрано) — сервер LTSP також завжди можна використовувати як робочу станцію.
Автономний
Звичайний комп'ютер, який може працювати без головного сервера (тобто йому не обов'язково бути в мережі). Включно з ноутбуками.
Мінімальний
Цей профіль встановить базові пакети та налаштує машину для інтеграції в мережу Debian Edu, але без будь-яких служб і програм. Це корисно як платформа для ручного переміщення окремих служб з головного сервера.
Для того щоби звичайні користувачі могли використовувати таку систему, її потрібно додати через GOsa² (так само як робочу станцію) і встановити пакет libpam-krb5.
Профілі Головного сервера, Робочої станції та Сервера LTSP вибрані попередньо. Якщо Ви хочете встановити так званий комбінований головний сервер, ці профілі можна встановити на одній машині разом. Це означає, що головний сервер буде LTSP-сервером і також буде використовуватися як робоча станція. Це стандартний вибір, оскільки ми припускаємо, що більшість людей цього захоче. Будь ласка, зверніть увагу, що на машині, яка буде встановлена як комбінований головний сервер або як сервер LTSP, і щоб вона була корисною після встановлення, на ній повинно бути 2 мережеві карти.
Скажіть "так" чи "ні" автоматичному розділенню. Майте на увазі, що відповідь "так" знищить усі дані на жорстких дисках! З іншого боку, якщо сказати "ні", буде потрібно попрацювати більше — Вам потрібно буде переконатися, що створені усі необхідні розділи та вони достатньо великі.
Будь ласка, скажіть "так", щоб надіслати інформацію на https://popcon.debian.org/, — це допоможе нам знати, які пакунки є популярними та які слід зберегти для майбутніх версій. Хоча це не обов’язково, це гарний спосіб допомогти.
Зачекайте. Якщо вибрані профілі включають сервер LTSP, інсталятор витратить на завершенні додатковий час, "Завершення встановлення — Виконується debian-edu-profile-udeb...".
Після введення пароля root вам буде запропоновано створити звичайний обліковий запис користувача "для неадміністративних завдань". Для Debian Edu цей обліковий запис дуже важливий: Ви будете його використовувати для керування мережею Skolelinux.
Пароль для цього користувача повинен бути довжиною принаймні 5 символів і має відрізнятися від імені користувача інакше вхід буде неможливим (навіть якщо програма встановлення прийме коротший пароль, а також пароль, який збігається з іменем користувача).
У випадку комбінованого головного сервера зачекайте знову після перезавантаження системи — потрібно більше часу для створення образу SquashFS для бездискових робочих станцій.
У разі окремого сервера LTSP для налаштування бездискової робочої станції та/або тонкого клієнта потрібні деякі маніпуляції. Докладніше див. у розділі Інструкції для мережевих клієнтів.
Пакет debian-edu-router-config
спрощує
налаштування шлюзу для мережі Debian Edu за допомогою інтерактивного процесу
конфігурації, у якому необхідну інформацію можна отримати через чергу
діалогів.
Щоб ним скористатися, виконайте мінімальну установку Debian. Обов'язково
користуйтеся звичайним інсталятором Debian, а не інсталятором Debian Edu,
оскільки інсталяції Debian Edu не підтримуються
debian-edu-router-config
.
Встановіть пакет debian-edu-router-config
використовуючи
DEBIAN_FRONTEND=noninteractive apt install -y -q debian-edu-router-config
Можливі повідомлення про помилки конфігурації, як наразі можна ігнорувати.
Для процесу налаштування після встановлення
debian-edu-router-config
потрібен фізичний
доступ до комп’ютера.
Мережеві інтерфейси можуть бути вже підключені до відповідних мереж, але це не обов’язково. Однак необхідно знати, який інтерфейс до якої мережі буде під'єднано. Щоб отримати більше інформації про мережеве обладнання
lshw -class network
можна скористатися.
Видаліть з /etc/network/interfaces
або
файлів у /etc/network/interfaces.d/
конфігурацію двох мережевих інтерфейсів, які будуть використовуватися та
скасуйте конфігурацію двох інтерфейсів використовуючи
ip addr flush <interface>
Фактичний процес налаштування починається з
dpkg-reconfigure --force uif debian-edu-router
Коли Вас запитають про метод налаштування брандмауера uif, виберіть "debian-edu-router". Підтвердьте, що хочете налаштувати брандмауер для Debian Edu Router.
Вирішіть, чи хочете відповідати на ping і traceroute. Якщо не впевнені, дайте відповідь "так", оскільки це може бути корисним для діагностики проблем з мережею.
Підтвердьте, що Ви хочете увімкнути пересилання IP-пакетів.
Далі призначте мережі мережевим інтерфейсам у Вашому маршрутизаторі, виберіть один із запропонованих варіантів залежно від того, чи вже підключені Ваші мережеві інтерфейси, чи ні.
Виберіть інтерфейс, під'єднаний до зовнішньої (upstream) мережі.
Виберіть внутрішню мережу. Якщо Ви не впевнені та просто хочете єдину внутрішню мережу, виберіть тут "Освіта".
Виберіть, чи потрібно використовувати VLAN для внутрішніх мереж. Якщо не впевнені, виберіть тут ні.
Виберіть тут "IPv4".
Виберіть "Зовнішню мережу (Uplink)", якщо для Вашої зовнішньої мережі потрібна статична IP-адреса, і, якщо Ви дотримувались наведеної вище пропозиції щодо внутрішніх мереж, виберіть "Освіта".
Установіть 10.0.0.1/8
як статичну IP-адресу
для внутрішньої мережі "Освіта", якщо Ви дотримувались наведеної вище
пропозиції щодо внутрішніх мереж.
Увімкніть NAT для внутрішньої мережі.
Увімкніть доступ до інтернету для внутрішніх мереж.
Якщо Ви хочете виставити будь-які внутрішні служби в інтернет, Ви можете налаштувати їх за допомогою описаного синтаксису. Зверніть увагу, що SSH-доступ до шлюзу можна налаштувати за допомогою наступного діалогового вікна.
Вирішіть, з яких мереж Ви хочете дозволити SSH-доступ до шлюзу.
Налаштуйте порт SSH, це має бути 22
, якщо
конфігурацію не було змінено.
Не вмикайте DHCP для внутрішніх мереж, його забезпечить головний сервер Debian Edu.
Під'єднайте мережеві інтерфейси, якщо Ви цього ще не зробили, і перезавантажте машину.
Якщо доступ SSH увімкнено, шлюз можна переналаштувати віддалено за допомогою
меню, запропонованого під час входу в систему як root. Натиснувши
c
у головному меню, Ви перейдете до меню
конфігурації, з якого можна змінити все або частину конфігурації за
допомогою тієї самої діалогової системи, яка використовувалася для
початкової конфігурації.
Швидше за все, Ви захочете використовувати профіль "Переносна робоча станція" (див. вище). Майте на увазі, що всі дані зберігаються локально (тому особливо потурбуйтеся щодо резервних копій), а облікові дані для входу зберігаються в кеш-пам’яті (тому після зміни пароля для входу може ще знадобитися Ваш старий пароль, якщо Ви не під'єднували свій ноутбук до мережі та не входили в систему з новим паролем).
Після встановлення з флешки USB або диска Blu-ray
/etc/apt/sources.list
буде містити лише
джерела з цього образу. Якщо у Вас є підключення до інтернету, ми настійно
радимо додати до нього такі рядки, щоб можна було встановити доступні
оновлення безпеки:
deb http://deb.debian.org/debian/ bookworm main deb http://security.debian.org bookworm-security main
Встановлення netinst (це тип інсталяції, який пропонує наш компакт-диск) отримає деякі пакунки з компакт-диска, а решту — з мережі. Кількість пакетів, отриманих з мережі, залежить від профілю, але не перевищує гігабайта (поки Ви не вирішите інсталювати усі можливі графічні середовища). Після того, як Ви встановили основний сервер (чистий головний сервер чи комбінований сервер не має значення), подальша інсталяція використовуватиме його проксі для уникнення повторного завантаження з мережі того самого пакета.
Можна безпосередньо скопіювати ISO-образ CD/BD на флешку USB (також відомі як "USB-накопичувачі") і завантажитися з неї. Просто виконайте таку команду, лише адаптувавши назву файлу та пристрою до своїх потреб:
sudo dd if=debian-edu-amd64-XXX.iso of=/dev/sdX bs=1M
Щоб визначити значення X, виконайте цю команду до та після того, як USB-пристрій буде вставлено:
lsblk -p
Зверніть увагу, що копіювання займе деякий час.
Залежно від того, який образ Ви виберете, флеш-накопичувач USB працюватиме так само як компакт-диск або диск Blu-ray.
Для цього способу інсталяції потрібен запущений головний сервер. Коли клієнти завантажуються через мережу, відображається меню iPXE з інсталятором та параметрами вибору завантаження. Якщо інсталяція PXE не вдається з повідомленням про відсутність файлу XXX.bin, то, швидше за все, для мережевої карти клієнта необхідна закрита мікропрограма. У цьому випадку потрібно змінити initrd інсталятора Debian. Цього можна досягти, виконавши команду:
/usr/share/debian-edu-config/tools/pxe-addfirmware
на сервері.
Так виглядає меню iPXE лише з профілем Головний сервер:
Так виглядає меню iPXE із профілем Сервер LTSP:
Це налаштування також дозволяє завантажувати бездискові робочі станції та тонкі клієнти в основній мережі. На відміну від робочих станцій і окремих серверів LTSP, бездискові робочі станції не потрібно додавати до LDAP за допомогою GOsa².
Додаткову інформацію про мережевих клієнтів можна знайти в розділі Настанови щодо мережевих клієнтів.
Інсталяція PXE використовує підготований файл preseed інсталятора debian, який можна змінити для запиту для встановлення додаткових пакетів.
До
tjener:/etc/debian-edu/www/debian-edu-install.dat
потрібно додати рядок, подібний до наступного
d-i pkgsel/include string my-extra-package(s)
Встановлення PXE використовує попередньо налаштований файл
/etc/debian-edu/www/debian-edu-install.dat
.
Його можна змінити для попередніх налаштувань, щоб уникнути додаткових
запитань під час встановлення через мережу. Ще один спосіб досягти цього —
надати додаткові параметри у
/etc/debian-edu/pxeinstall.conf
та
/etc/debian-edu/www/debian-edu-install.dat.local
,
після чого для оновлення згенерованих файлів виконати
/usr/sbin/debian-edu-pxeinstall
.
Додаткову інформацію можна знайти в настанові інсталятора Debian.
Щоб вимкнути або змінити використання проксі під час інсталяції з PXE,
рядки, що містять mirror/http/proxy
,
mirror/ftp/proxy
та
preseed/early_command
у
tjener:/etc/debian-edu/www/debian-edu-install.dat
потрібно змінити. Щоб вимкнути використання проксі під
час встановлення, поставте "#" перед першими двома рядками та видаліть з
останнього частину "export
http_proxy="http://webcache:3128";
".
Деякі параметри не можна записати наперед, оскільки вони потрібні перед
завантаженням файлу з попередніми налаштуваннями. Наприклад, це мова,
розкладка клавіатури та графічне середовище. Якщо Ви хочете змінити
стандартні налаштування, відредагуйте файл меню iPXE
/srv/tftp/ltsp/ltsp.ipxe
на головному
сервері.
Створення власних компакт-дисків, DVD-дисків або дисків Blu-ray може бути досить простим, оскільки ми використовуємо Інсталятор Debian, який має модульну схему та інші чудові властивості. Попереднє налаштування (Preseeding) дозволяє визначати наперед відповіді на запитання, які будуть поставлені.
Отже, все, що Вам потрібно зробити, це створити попередній файл із Вашими відповідями (це описано в додатку до настанов інсталятора Debian) та переробити CD/DVD.
Текстовий режим і графічне встановлення функціонально ідентичні — відрізняється лише зовнішній вигляд. Графічний режим дозволяє використовувати мишу та насправді виглядає набагато приємніше і сучасніше. Якщо апаратне забезпечення не має проблем із графічним режимом, немає причин не використовувати його.
Отже, тут у нас невеличка екскурсія зі знімками з екрана як виглядає графічне встановлення, де є 64-бітний Головний сервер + Робоча станція + Сервер LTSP (у режимі BIOS) та як виглядає перше завантаження головного сервера, завантаження PXE в клієнтській мережі LTSP (екран сеансу тонкого клієнта та екран входу після вибору сеансу на правій панелі).
Під час встановлення головного сервера був створений обліковий запис першого
користувача. Далі у тексті цей обліковий запис буде згадуватися як "перший
користувач". Цей обліковий запис — особливий, оскільки дозвіл на домашній
каталог встановлено як 700 (через це, для того, щоб зробити особисті
вебсторінки доступними, потрібно виконати chmod o+x
~
). Крім того, перший користувач може користуватися
командою sudo
, щоб стати root.
Перш ніж додавати користувачів, перегляньте інформацію про спеціальну конфігурацію доступу до файлової системи для Debian Edu та за потреби відкоригуйте політику свого сайту.
Після встановлення, найперше, що Вам потрібно зробити як першому користувачеві:
Увійдіть на сервер.
Додайте користувачів з GOsa².
Додайте робочі станції з GOsa².
Додавання користувачів і робочих станцій детально описано нижче, тому прочитайте цей розділ повністю. У ньому описано, як правильно виконати ці мінімальні кроки, а також інші речі, які, ймовірно, доведеться зробити кожному.
У цьому посібнику є додаткова інформація: розділ Нові функції в Bookworm повинен прочитати кожен, хто знайомий із попередніми випусками. А для тих, хто оновлює попередній випуск, обов’язково потрібно прочитати розділ Оновлення.
Якщо загальний DNS-трафік у Вашій мережі заблоковано, а Вам потрібно використовувати певний DNS-сервер для пошуку інтернет-хостів, Вам потрібно сказати DNS-серверу використовувати цей сервер як "пересильний" ("forwarder"). Оновіть /etc/bind/named.conf.options і вкажіть IP-адресу DNS-сервера, яку потрібно використовувати.
Розділ HowTo містить більше порад і підказок, а також деякі поширені запитання.
GOsa² — це вебінструмент для керування, який допомагає керувати деякими важливими частинами налаштування Вашого Debian Edu. За допомогою GOsa² Ви можете керувати (додавати, змінювати або видаляти) цими основними групами:
Керування користувачами
Адміністрування групи
Адміністрування мережевої групи NIS
Адміністрування комп'ютера
Адміністрування DNS
Адміністрування DHCP
Для доступу до GOsa² Вам потрібен головний сервер Skolelinux та (клієнтська) система зі встановленим веббраузером, який сам може бути головним сервером, якщо його встановлено як так званий комбінований сервер (профілі головного сервера + сервера LTSP + робочої станції).
Якщо Ви (ймовірно випадково) встановили чистий профіль Головного сервера і не маєте під рукою клієнта з веббраузером, можна з легкістю встановити мінімальний робочий стіл на головному сервері такою послідовністю команд у (текстовій) оболонці (shell) від імені користувача, якого Ви створили під час інсталяції основного сервера (перший користувач):
$ sudo apt update $ sudo apt install task-desktop-xfce lightdm education-menus $ sudo service lightdm start
У веббраузері для доступу до GOsa² скористайтеся URL-адресою https://www/gosa та увійдіть як перший користувач.
Якщо Ви використовуєте нову машину з Debian Edu Bookworm, сертифікат сайту буде браузеру відомий.
В іншому випадку Ви отримаєте повідомлення про неправильний сертифікат SSL. Якщо Ви знаєте, що Ви у своїй мережі зараз єдиний користувач, просто скажіть браузеру прийняти це та далі ігнорувати.
Після входу у GOsa² Ви побачите сторінку огляду GOsa².
Далі Ви можете вибрати завдання в меню або натиснути будь-яку іконку завдання на оглядовій сторінці. Для навігації радимо користуватися меню в лівій частині екрана, оскільки воно залишатиметься видимим на всіх сторінках адміністрування GOsa².
У Debian Edu дані про обліковий запис, групу та систему зберігаються в каталозі LDAP. Ці дані використовуються не лише головним сервером, але й (бездисковими) робочими станціями, серверами LTSP та іншими машинами в мережі. Дякуючи LDAP, облікову інформацію про студентів, викладачів тощо потрібно вводити лише один раз. Після збереження інформації в LDAP вона буде доступна для усіх систем всієї мережі Skolelinux.
GOsa² — це інструмент адміністрування, який використовує LDAP для зберігання інформації та створення ієрархічної структури відділу. До кожного "відділу" (або підрозділу/департаменту) Ви можете додати облікові записи користувачів, груп, систем, мережевих груп тощо. Залежно від ієрархії у Вашій установі Ви можете використовувати функціонал структури відділу в GOsa²/LDAP для відтворення своєї організаційної структури в дереві даних LDAP головного сервера Debian Edu.
Стандартна інсталяція головного сервера Debian Edu забезпечує два "відділи": викладачів та студентів, а також базовий рівень дерева LDAP. Студентські облікові записи потрібно додавати у відділ "Студенти", а викладачів у відділ "Викладачі". Системи (сервери, робочі станції, принтери тощо) наразі додано до базового рівня. Знайдіть свою власну схему налаштування цієї структури. (Ви можете знайти у цій настанові в розділі HowTo/Досвідчене адміністрування приклад створення користувачів у річних групах із загальними домашніми каталогами для кожної групи.)
Залежно від завдання, над яким Ви хочете працювати (керування користувачами, керування групами, керування системами тощо), GOsa² надає Вам різний вигляд вибраного відділу (або базового рівня).
Спочатку натисніть "Користувачі" в лівому навігаційному меню. У правій частині екрана з'явиться таблиця з теками відділу для "Студентів» та "Викладачів", та обліковим записом адміністратора GOsa² (першого створеного користувача). Над цією таблицею Ви зможете побачити поле з назвою База, яке дозволяє Вам переміщатися по структурі (наведіть вказівник миші на цю область — з'явиться додаткове меню) і вибирати базову теку для Ваших запланованих операцій (наприклад, додавання нового користувача).
Поруч із навігацією по структурі Ви можете побачити меню "Дії". Наведіть курсор миші на цей пункт і на екрані з'явиться підменю; виберіть тут "Створити", а потім "Користувач". Далі майстер Вас проведе по пунктах для створення користувача.
Найважливіше, що потрібно додати, — це шаблон (новий студент newstudent або новий вчитель newteacher) та повне ім'я Вашого користувача (див. зображення).
Дотримуючись вказівок майстра, Ви побачите, що GOsa² генерує ім'я користувача автоматично на основі справжнього імені. Він автоматично вибирає ім'я користувача, яке ще не існує, тому кілька користувачів з однаковим повним іменем не буде проблемою. Зауважте, що GOsa² може генерувати помилкові імена користувачів, якщо повне ім'я містить символи, відмінні від ASCII.
Якщо Вам з якихось причин не подобається згенероване ім'я користувача, Ви
можете вибрати інше ім’я користувача, запропоноване у додатковому списку,
але у Вас немає вільного вибору у майстрі. (Якщо хочете мати можливість
редагувати запропоноване ім'я користувача, відкрийте в текстовому редакторі
/etc/gosa/gosa.conf
та додайте
allowUIDProposalModification="true"
як
додаткову опцію до "визначення розташування"/"location definition".)
Коли майстер завершить роботу, Ви побачите екран GOsa² з даними нового користувача. Для перевірки заповнених полів користуйтеся вкладками вгорі.
Після створення користувача (не обов'язково налаштовувати поля, які майстер залишив порожніми), натисніть у нижньому правому куті кнопку "ОК".
На останньому кроці GOsa² запитає пароль для нового користувача. Введіть його двічі, а потім натисніть у нижньому правому куті "Встановити пароль". Деякі символи в паролі використовувати не можна.
Якщо все пройшло добре, Ви можете побачити нового користувача в таблиці користувачів. Тепер з новим логіном Ви зможете входити у своїй мережі на будь-якій машині Skolelinux.
Для зміни або видалення користувача в системі перегляньте список користувачів з GOsa². У центрі екрана Ви можете відкрити вікно "Фільтр", інструмент пошуку від GOsa². Якщо Ви точно не знаєте розташування свого облікового запису у дереві, перейдіть на базовий рівень дерева GOsa²/LDAP та виконайте там пошук з параметром "Пошук у піддеревах".
Під час використання вікна "Фільтр" результати з’являться одразу посередині тексту у вигляді таблиці. Кожен рядок відповідає обліковому запису користувача, а крайні праві елементи кожного рядка — це маленькі символи, які пропонують Вам такі дії: редагування користувача, блокування облікового запису, встановлення пароля та вилучення користувача.
З'явиться нова сторінка, де Ви зможете змінити інформацію про користувача, змінити його пароль та змінити список груп, до яких він належить.
Студенти можуть змінити власні паролі, увійшовши в GOsa² зі своїми власними іменами користувачів. Для полегшення доступу до GOsa², на робочому столі у системному меню (або у параметрах системи) є пункт під назвою "Gosa". Студент, який увійшов у систему, зможе побачити мінімальну версію GOsa², яка надає доступ лише до таблиці з даними власного облікового запису студента та до діалогу встановлення пароля.
Викладачі, які увійшли з власними іменами користувачів, мають особливі права в GOsa². Вони мають більш привілейований доступ до GOsa² і можуть змінювати паролі всіх облікових записів студентів. Це може бути дуже зручно під час уроку.
Для адміністративного встановлення нового пароля користувачеві
знайдіть користувача, якого потрібно редагувати, за наданими вище вказівками
у рядку з іменем користувача натисніть в кінці символ ключа
на наступній сторінці Ви можете встановити новий пароль, обраний Вами
Пам'ятайте про наслідки безпеки, оскільки деякі паролі легко вгадуються!
За допомогою файлу CSV GOsa² дозволяє масово створювати користувачів. Цей
файл можна створити за допомогою будь-якого ПЗ для роботи з електронними
таблицями (наприклад, localc
). Необхідно
вказати принаймні записи для таких полів: uid, прізвище (sn), ім'я
(givenName) та пароль (password). Переконайтеся, що в полі uid немає
дублів. Зверніть увагу, що перевірка на наявність дублів має включати вже
наявні записи uid у LDAP (які можна отримати, виконавши у командному рядку
getent passwd | grep tjener/home | cut -d":"
-f1
).
Ознайомтесь з форматуванням такого файлу CSV (GOsa² ставиться до цього досить прискіпливо):
Як роздільник використовуйте ","
Не використовуйте лапки
Файл CSV не повинен містити рядок заголовка (який зазвичай містить назви стовпців)
Порядок полів нерелевантний і може бути визначений у GOsa² під час масового імпорту
Кроки для масованого імпорту:
натисніть зліва у навігаційному меню посилання "Менеджер LDAP"
натисніть на екрані ліворуч вкладку "Імпорт"
перегляньте свій локальний диск і виберіть файл CSV зі списком користувачів, який потрібно імпортувати
виберіть доступний шаблон користувачів, який потрібно застосувати під час масового імпорту (наприклад, NewTeacher або NewStudent)
натисніть у нижньому правому куті кнопку "Імпорт"
Було б добре провести спочатку деякі тести, бажано з використанням файлу CSV, в якому будуть лише кілька вигаданих користувачів, які можна пізніше видалити.
Те саме стосується модуля керування паролями, який дозволяє скидати багато паролів за допомогою файлу CSV або повторно створювати нові для користувачів з окремого піддерева LDAP.
Облікові записи користувачів також можна додати з командного рядка за
допомогою інструмента ldap-createuser-krb5
,
див. документацію у Administration
HowTo
Керування групами дуже схоже на керування користувачами.
Ви можете ввести назву та опис для кожної групи. Під час створення нової групи переконайтеся, що Ви вибрали правильний рівень у LDAP.
Додавання користувачів до новоствореної групи повертає Вас до списку користувачів, де Ви, ймовірно, захочете скористатися вікном фільтра для пошуку користувачів. Також перевірте рівень дерева LDAP.
Групи, введені в керуванні групами, також є звичайними групами unix, тож Ви можете їх також використовувати для дозволів на файли.
Керування машинами в основному дозволяє керувати всіма мережевими пристроями у Вашій мережі Debian Edu. Кожен комп'ютер, доданий до каталогу LDAP за допомогою GOsa², має ім’я хосту, IP-адресу, MAC-адресу та доменне ім'я (зазвичай "intern"). Для більш докладного опису архітектури Debian Edu див. розділ Архітектура цієї настанови.
Бездискові робочі станції та тонкі клієнти у випадку комбінованого головного сервера працюють "з коробки".
Робочі станції з дисками (включно з окремими серверами LTSP) потрібно додавати з GOsa². За лаштунками
генеруються як специфічний для машини Kerberos Principal (щось на зразок
облікового запису), так і відповідний файл keytab
(містить ключ, який використовується як пароль). Файл
keytab має бути присутнім на робочій станції, щоб мати можливість
приєднувати домашні каталоги користувачів. Після перезавантаження доданої
системи увійдіть до неї як root і виконайте
/usr/share/debian-edu-config/tools/copy-host-keytab
.
Щоб створити Principal та файл keytab для вже налаштованої з GOsa² системи, увійдіть на головний сервер як root та виконайте
/usr/share/debian-edu-config/tools/gosa-modify-host <hostname> <IP>
Зверніть увагу: створення keytab для хоста можливе для систем типів робочі станції, сервери та термінали, але не для пристроїв типу netdevices. Щоб дізнатися про параметри конфігурації NFS, перегляньте розділ Настанови для мережевих клієнтів.
Щоб додати машину, скористайтеся головним меню GOsa², системи, додати. Очікується, що ім'я машини буде дійсним некваліфікованим іменем хоста, і не додавайте сюди доменне ім'я. Ви можете використовувати IP-адресу/ім'я хоста з попередньо налаштованого адресного простору 10.0.0.0/8. Наразі існує лише дві попередньо визначені фіксовані адреси: 10.0.2.2 (tjener) та 10.0.0.1 (шлюз). Адреси від 10.0.16.20 до 10.0.31.254 (приблизно 10.0.16.0/20 або 4000 хостів) зарезервовані для DHCP і призначаються динамічно.
Щоб призначити хосту з MAC-адресою 52:54:00:12:34:10 статичну IP-адресу в
GOsa², Вам потрібно ввести MAC-адресу, ім'я хоста та IP; або Ви можете
натиснути кнопку Запропонувати IP (Propose
ip)
, яка покаже першу вільну фіксовану адресу у 10.0.0.0/8,
швидше за все, щось на кшталт 10.0.0.2, якщо додасте першу машину таким
чином. Можливо, краще спочатку подумати про свою мережу: наприклад, Ви б
могли використовувати 10.0.0.x з x>10 та x<50 для серверів і x>100
для робочих станцій. Не забудьте активувати щойно додану систему. За
винятком основного сервера, усі системи матимуть відповідний значок.
Якщо машини завантажувалися як тонкі клієнти/бездискові робочі станції або
були встановлені за допомогою будь-якого з мережевих профілів, для
автоматичного додавання машин до GOsa² можна використовувати скрипт
sitesummary2ldapdhcp
. Для простих машин це
працюватиме одразу, для машин із кількома MAC-адресами потрібно вибрати
фактично використовувану, sitesummary2ldapdhcp
-h
показує інформацію про використання. Зверніть увагу, що
IP-адреси, які відображаються після використання
sitesummary2ldapdhcp
, належать до
динамічного діапазону IP. Ці системи можна змінити пізніше відповідно до
Вашої мережі: перейменувати кожну нову систему, активувати DHCP та DNS,
додати її до мережевих груп (рекомендовані мережеві групи див. на знімку
екрана нижче), і потім перезавантажити систему. Наступні знімки екрана
показують, як це виглядає на практиці:
root@tjener:~# sitesummary2ldapdhcp -a -i ether-22:11:33:44:55:ff info: Create GOsa machine for am-2211334455ff.intern [10.0.16.21] id ether-22:11:33:44:55:ff. Enter password if you want to activate these changes, and ^c to abort. Connecting to LDAP as cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no enter password: ******** root@tjener:~#
Завдання для оновлення DNS запускається щогодини; для оновлення вручну можна
виконати команду su -c ldap2bind
.
Пошук з видаленням машин дуже схожий на пошук з видаленням користувачів, тому ця інформація тут не повторюється.
Після додавання машини через GOsa² до дерева LDAP Ви можете змінити її властивості через пошук та натискання на назві машини (так само як з користувачами).
Формат цих системних записів подібний до вже відомого Вам з редагування записів користувача, але в цьому контексті поля означають різні речі.
Наприклад, додавання комп'ютера до мережевої групи
(NetGroup)
не змінює доступ до файлів або дозволи на
виконання команд для цього комп'ютера чи користувачів, які ввійшли до цього
комп’ютера. Замість цього він обмежує служби, які ця машина може
використовувати на Вашому головному сервері.
Стандартна інсталяція створює мережеві групи
(NetGroups)
all-hosts
cups-queue-autoflush-hosts
cups-queue-autoreenable-hosts
fsautoresize-hosts
ltsp-server-hosts
netblock-hosts
printer-hosts
server-hosts
shutdown-at-night-hosts
shutdown-at-night-wakeup-hosts-blacklist
workstation-hosts
Наразі функціональність NetGroup
використовується для:
Зміна розміру розділів (fsautoresize-hosts)
Комп'ютери Debian Edu у цій групі автоматично змінюватимуть розміри розділів LVM, де закінчується місце.
Вимикати машини вночі (shutdown-at-night-hosts та shutdown-at-night-wakeup-hosts-blacklist)
Машини Debian Edu у цій групі вимикатимуться вночі автоматично для економії енергії.
Керування принтерами (cups-queue-autoflush-hosts та cups-queue-autoreenable-hosts)
Машини Debian Edu у цих групах щовечора автоматично очищатимуть усі черги друку та щогодини повторно вмикатимуть будь-яку вимкнену чергу друку.
Блокування доступу до інтернету (netblock-hosts)
Машинам Debian Edu у цій групі буде дозволено підключатися до машин лише в локальній мережі. У поєднанні з обмеженнями веб-проксі це можна використовувати під час іспитів.
Для централізованого керування принтерами перейдіть у веббраузері до https://www.intern:631. Це звичайний інтерфейс керування CUPS, за
допомогою якого Ви можете додавати/видаляти/змінювати свої принтери та
очищати чергу друку. Стандартно, це дозволено лише першому користувачу, але
це можна змінити, додавши користувачів до групи GOsa²
printer-admins
.
Пакет p910nd встановлений з профілем Робоча станція у системі стандартно.
Відредагуйте /etc/default/p910nd
таким
чином (принтер USB):
P910ND_OPTS="-f /dev/usb/lp0"
P910ND_START=1
Налаштуйте принтер за допомогою вебінтерфейсу
https://www.intern:631
; виберіть тип
мережевого принтера AppSocket/HP JetDirect
(для усіх принтерів, незалежно від марки чи моделі) та встановіть
socket://<IP комп'ютера>:9100
як URI
підключення.
Стандартна конфігурація Debian Edu полягає в тому, щоб годинники на всіх машинах були синхронними, але не обов'язково правильними. Для оновлення часу використовується NTP. Стандартно годинник буде синхронізуватися із зовнішнім джерелом. Це може призвести до того, що комп'ютери залишатимуть відкритим зовнішнє з'єднання до інтернету, якщо під час використання воно було створене.
Якщо Ви використовуєте комутоване з'єднання або ISDN і платите похвилинно, Вам потрібно змінити це стандартне налаштування.
Для вимкнення синхронізації із зовнішнім годинником потрібно на головному
сервері змінити файл /etc/ntp.conf. Додайте на початку записів
server
символ коментаря ("#"). Після цього
потрібно перезапустити сервер NTP, виконавши з привілеями root команду
service ntp restart
. Для перевірки, чи
використовує машина зовнішні ресурси часу, виконайте ntpq -c
lpeer
.
Маючи ризик збою з використанням автоматичного розподілу, деякі розділи
після встановлення можуть бути майже повністю зайнятими. Для розширення
(збільшення) цих розділів виконайте від імені root команду
debian-edu-fsautoresize -n
. Ви можете
ознайомитися з деталями у частині "Перерозподіл розділів" настанови про адміністрування.
Цей розділ пояснює як використовувати apt
full-upgrade
.
Використання apt
доволі просте. Для
оновлення системи Вам потрібно виконати дві команди від імені root:
apt update
(оновлення списку доступних
пакетів) та apt full-upgrade
(оновлення
доступних для оновлення пакетів).
Буде добре також в разі виникнення проблем робити оновлення з використанням локалі C – для отримання результатів англійською мовою – це допоможе отримати результати для зручного пошуку рішення в інтернет.
LC_ALL=C apt full-upgrade -y
Після оновлення пакета debian-edu-config
,
можливо буде потрібно змінити конфігураційні файли Cfengine. Для перевірки
виконайте команду ls -ltr
/etc/cfengine3/debian-edu/
. Для підтвердження змін,
виконайте LC_ALL=C cf-agent -D
installation
.
Після оновлення сервера LTSP для збереження образу SquashFS у синхронізації
для бездискових клієнтів важливо на сервері виконати
debian-edu-ltsp-install --diskless_workstation
yes
.
Після оновлення релізу системи з Головним сервером або
з профілем Сервер LTSP, потрібно оновити інсталяційне
оточення PXE командою
debian-edu-pxeinstall
.
Також буде корисним встановити cron-apt
та
apt-listchanges
і налаштувати через них
надсилання ел.пошти на адресу, яку Ви читаєте.
cron-apt
буде Вам сповіщати ел.поштою раз
на день про можливі оновлення пакетів. Цей інструмент не оновлює нічого, але
отримує ці оновлення (зазвичай вночі), щоб Вам не було потрібно очікувати,
коли Ви запустите apt full-upgrade
.
Якщо є бажання, можна налаштувати автоматичне оновлення. Для цього лише
потрібно встановити пакет
unattended-upgrades
та налаштувати його, як
описано на сторінці wiki.debian.org/UnattendedUpgrades.
Програма apt-listchanges
може надсилати Вам
ел.поштою записи про оновлення або під час виконання
apt
виводити їх у терміналі.
Виконання cron-apt
за попереднім описом —
гарний шлях для розуміння коли будуть доступні оновлення безпеки для
встановлених пакетів. Інший спосіб контролю оновлення безпеки — це
підписатися на Розсилку Debian
security-announce, де розповідається про оновлення безпеки. Мінус
цього рішення (у порівнянні з cron-apt
) —
це включення інформації про оновлення навіть не встановлених пакетів.
Для керування резервним копіюванням перейдіть у веббраузері на https://www/slbackup-php. Зверніть увагу, що Вам потрібно на цю сторінку заходити з SSL, оскільки буде потрібно вводити пароль root. Якщо спробуєте зайти без SSL, буде помилка.
Примітка: сайт буде працювати лише якщо Ви тимчасово дозволите вхід через SSH від імені root на сервер резервних копій (backup server), який у стандартному налаштуванні — це головний сервер (tjener.intern).
Типово, резервні копії /skole/tjener/home0
,
/etc/
,
/root/.svk
та LDAP зберігаються у каталозі
/skole/backup/, який налаштований як окремий розділ LVM. Якщо Вам потрібні
запасні копії елементів (на випадок їх видалення) це налаштування повинно
Вам допомогти.
Майте на увазі, що ця схема резервного копіювання не захищає Вас від збою жорстких дисків.
Якщо Ви хочете створити резервну копію своїх даних на зовнішньому сервері, стрімері або на іншому жорсткому диску, Вам буде потрібно трішки змінити наявну конфігурацію.
Якщо Ви хочете відновити весь каталог, найкращим буде використання командного рядка:
$ sudo rdiff-backup -r <date> \ /skole/backup/tjener/skole/tjener/home0/user \ /skole/tjener/home0/user_<date>
Це залишить зміст /skole/tjener/home0/user
за <дату>
у каталозі
/skole/tjener/home0/user_<дата>
Якщо Ви хочете відновити один файл, Вам потрібно вказати файл (та версію) у вебінтерфейсі та отримати лише цей файл.
Якщо Ви хочете позбутися старіших резервних копій, виберіть в меню на сторінці резервного копіювання пункт "Обслуговування" та найстаріший знімок, який потрібно зберегти:
Система звітів Munin доступна за адресою https://www/munin/. Вона надає графіки контролю стану системи на щоденній, щотижневій, місячній та річній основі та допомагає системному адміністратору під час пошуку вузьких місць і джерел системних проблем.
Список комп'ютерів, які відстежуються за допомогою Munin, створюється
автоматично на основі списку хостів, які повідомляються у sitesummary. Усі
хости з встановленим пакетом munin-node зареєстровані для моніторингу
Munin. Зазвичай після встановлення Munin на машину до початку моніторингу
минає один день — через порядок виконання завдань cron. Щоб пришвидшити цей
процес, виконайте на сервері sitesummary (зазвичай це основний сервер) від
імені root команду
sitesummary-update-munin
. Це оновить файл
/etc/munin/munin.conf
.
Набір вимірювань, що збираються, автоматично генерується на кожній машині за
допомогою програми munin-node-configure
,
яка перевіряє плагіни з
/usr/share/munin/plugins/
та створює
відповідні символічні посилання у
/etc/munin/plugins/
.
Інформація про Munin доступна за посиланням https://munin-monitoring.org/.
Програма Icinga — для моніторингу системи та сервісів — доступна за адресою
https://www/icingaweb2/. Перелік машин та служб, які
відстежуються, автоматично генерується з загальної зібраної системної
інформації. Машини з профілем "Головний сервер" та "Сервер LTSP" отримують
повний моніторинг, а робочі станції та тонкі клієнти — простий. Для
увімкнення повного моніторингу на робочій станції на ній потрібно встановити
пакет nagios-nrpe-server
.
Стандартно Icinga не надсилає електронні листи. Це можна змінити, замінивши
у файлі
/etc/icinga/sitesummary-template-contacts.cfg
параметри notify-by-nothing
на
host-notify-by-email
та
notify-by-email
.
Використовується конфігураційний файл Icinga
/etc/icinga/sitesummary.cfg
. Завдання Cron
збору загальної системної інформації генерує
/var/lib/sitesummary/icinga-generated.cfg
зі списком хостів та служб для моніторингу.
Додаткові перевірки Icinga для включення їх у згенерований файл можна
розмістити у файлі
/var/lib/sitesummary/icinga-generated.cfg.post
.
Інформація про Icinga доступна на https://www.icinga.com/ або
в пакеті icinga-doc
.
Деякі настанови щодо найпоширеніших попереджень Icinga.
Розділ (/usr/ у прикладі) заповнений. Загалом існує два варіанти що з цим
робити: (1) видалити деякі файли або (2) збільшити розмір розділу. Якщо це
розділ /var/, можна видалити деякі файли командою очищення кешу APT
apt clean
. Якщо в групі томів LVM є більше
місця, для розширення розділів можна виконати
debian-edu-fsautoresize
. Для автоматичного
запуску цієї програми щогодини можна додати до мережевої групи
fsautoresize-hosts
відповідний хост.
Новий пакет доступний для оновлення. Критичні — зазвичай це виправлення
безпеки. Щоб оновити, виконайте від імені root команду apt
upgrade && apt full-upgrade
або увійдіть через SSH,
щоб зробити те саме.
Якщо Ви не бажаєте оновлювати пакунки вручну й довіряєте Debian, що він
добре справлятиметься з новими версіями, можете налаштувати
unattended-upgrades
для автоматичного
оновлення щоночі усіх нових пакунків. Це не оновить chroots LTSP.
Запущене ядро старіше за останнє встановлене ядро, і для активації останнього встановленого ядра необхідне перезавантаження. Зазвичай це досить терміново, оскільки нові ядра зазвичай з’являються в Debian Edu для виправлення проблем безпеки.
У чергах принтерів CUPS є багато незавершених завдань. Швидше за все це
через недоступність принтера. Вимкнені черги друку вмикаються щогодини на
хостах-учасниках мережевої групи
cups-queue-autoreenable-hosts
, тому для
таких хостів не потрібно виконувати ручні дії. Щоночі на хостах-учасниках
мережевої групи cups-queue-autoflush-hosts
черги друку очищуються. Якщо хост має багато завдань у своїй черзі,
подумайте про додавання цього хоста до однієї або обох мережевих груп.
Sitesummary використовується для збору інформації з кожного комп’ютера та
передачі її на центральний сервер. Зібрана інформація доступна у
/var/lib/sitesummary/entries/
. Для
створення звітів, у каталозі
/usr/lib/sitesummary/
є скрипти.
Простий звіт Sitesummary без будь-яких деталей доступний за адресою https://www/sitesummary/.
Деяка документація щодо Sitesummary доступна за посиланням https://wiki.debian.org/DebianEdu/HowTo/SiteSummary
Додаткову інформацію про налаштування Debian Edu, корисну для системних адміністраторів, можна знайти в розділі "Адміністрування" та в розділі "Розширене адміністрування"
Перш ніж читати цей посібник з оновлення, зверніть увагу, що оновлення Ваших робочих серверів виконуються на Ваш власний ризик. Debian Edu/Skolelinux постачається АБСОЛЮТНО БЕЗ ЖОДНИХ ГАРАНТІЙ в межах, дозволених чинним законодавством.
Будь ласка, перед спробами оновлення прочитайте повністю цей розділ та розділ Нові функції в Bookworm цієї настанови.
Оновлення Debian з одного випуску до наступного зазвичай досить просте. Для Debian Edu це, на жаль, дещо складніше, оскільки ми змінюємо файли конфігурації у власний спосіб. Проте ми задокументували необхідні кроки нижче. (Щоб дізнатися більше, як у Debian Edu повинні змінюватися файли конфігурацій див. інформацію про помилку Debian 311188.)
Загалом, оновлення серверів складніше за робочі станції, а оновлення головного сервера — найскладніше.
Якщо Ви хочете бути впевненими, що після оновлення все запрацює як раніше, радимо Вам спочатку перевірити оновлення на тестовій системі або системах, налаштованих так само як Ваші робочі машини. Там Ви зможете без ризику перевірити оновлення та переглянути чи все працює належним чином.
Переконайтеся, що Ви не забули також прочитати інформацію про поточний випуск Debian Stable у його настанові зі встановлення.
Також було б розумно трохи почекати та продовжити роботу зі "старим та надійним" (Oldstable) ще на кілька тижнів, поки інші перевірять оновлення та задокументують будь-які проблеми, які у них виникають. Випуск Oldstable Debian Edu отримуватиме підтримку ще деякий час після наступного стабільного (Stable) випуску, але коли Debian припинить підтримку Oldstable, Debian Edu обов’язково зробить те саме.
Будьте готові: переконайтеся, що Ви протестували оновлення з Bullseye у тестовому середовищі або підготували резервні копії, щоб можна було повернутися.
Зауважте, що наведений нижче рецепт стосується стандартної інсталяції Головного сервера Debian Edu (desktop=xfce, профілі Головний сервер (Main Server), Робоча станція (Workstation), Сервер LTSP (LTSP Server)). (Для загального ознайомлення щодо оновлення Bullseye до Bookworm, див.: https://www.debian.org/releases/bookworm/releasenotes)
Не використовуйте X (графічний інтерфейс), — використовуйте віртуальну консоль, увійдіть як root.
Якщо apt
завершує роботу з помилкою,
спробуйте виправити її та/або запустіть apt -f
install
, а потім ще раз apt -y
full-upgrade
.
Почніть з перевірки, чи поточна система оновлена:
apt update apt full-upgrade
Підготуйте та розпочніть оновлення до Bookworm:
sed -i 's/bullseye/bookworm/g' /etc/apt/sources.list export LC_ALL=C apt update apt upgrade --without-new-pkgs apt full-upgrade
apt-list-changes: будьте готові прочитати багато НОВИН; натисніть <return> для прокрутити вниз, <q> для виходу з пейджера. Усю інформацію буде надіслано root'у, щоб Ви могли прочитати її ще раз (за допомогою mailx або mutt).
Уважно прочитайте всю інформацію про debconf, виберіть "зберігати поточну встановлену локальну версію", якщо нижче не вказано інше; у більшості випадків достатньо натискання return.
перезапуск служб: Виберіть так (yes).
Сервер та утиліти Samba: Виберіть "зберігати поточну встановлену локальну версію".
openssh-server: Виберіть "зберігати поточну встановлену локальну версію".
Збережіть та налаштуйте конфігурацію:
cf-agent -v -D installation
Перевірте, чи працює оновлена система:
Перезавантажтеся, увійдіть як перший користувач та перевірте
чи працює графічний інтерфейс GOsa²,
чи з'єднуються клієнти LTSP та робочі станції,
чи можна додати систему до мережевої групи або вилучити з групи,
чи можна надсилати та отримувати внутрішню ел.пошту,
чи можна керувати принтерами,
та чи працюють інші особливі для сайту/сервера речі.
Для оновлення з будь-якої попередньої версії, перш ніж Ви зможете виконувати наведені вище інструкції, Вам потрібно спочатку оновитися до випуску Debian Edu на основі Bullseye. У Посібнику для Debian Edu Bullseye наведено інструкції щодо оновлення до Bullseye з попереднього випуску Buster.
HowTo для загального адміністрування
HowTo для розширеного адміністрування
HowTo для стільниці
HowTo для мережевих клієнтів
HowTo для Samba
HowTo для викладання та навчання
HowTo для користувачів
Розділи Початок роботи та Обслуговування описують, як розпочати роботу з Debian Edu та як виконувати основну роботу з обслуговування. Настанови в цьому розділі містять деякі більш професійні поради та підказки.
За допомогою etckeeper
усі файли у
/etc/
відстежуються з Git як система контролю версій.
Це дає змогу побачити, коли файл додано, змінено та вилучено, а також що
було змінено, якщо файл текстовий. Репозиторій git зберігається у
/etc/.git/
.
Щогодини будь-які зміни записуються автоматично, що дозволяє витягувати та переглядати історію конфігурацій.
Для перегляду історії користуйтеся командою etckeeper vcs
log
. Для перевірки різниці між двома моментами часу, можна
скористатися командою etckeeper vcs diff
.
Для отримання додаткової інформації перегляньте результат команди
man etckeeper
.
Список корисних команд:
etckeeper vcs log etckeeper vcs status etckeeper vcs diff etckeeper vcs add . etckeeper vcs commit -a man etckeeper
У щойно встановленій системі, щоб побачити всі зміни, внесені після встановлення, спробуйте це:
etckeeper vcs log
Перегляньте, які файли зараз не відстежуються та які не оновлені:
etckeeper vcs status
Для ручного commit'у файлу, якщо не хочете очікувати до години:
etckeeper vcs commit -a /etc/resolv.conf
У Debian Edu всі розділи, крім /boot/
,
знаходяться на логічних томах LVM. З ядром Linux, починаючи з версії 2.6.10,
можна збільшувати розділи коли вони приєднані/змонтовані. Але зменшення
розділів поки що можливе лише коли розділ не змонтовано.
Бажано уникати створення дуже великих розділів (понад, скажімо, 20 ГБ), тому
що для запуску fsck
для них або їх
відновлення з резервної копії, якщо виникне така необхідність, буде потрібен
додатковий час. Краще, якщо це можливо, створювати кілька менших розділів,
ніж один дуже великий.
Для полегшення розширення/збільшення заповнених розділів є допоміжний скрипт
debian-edu-fsautoresize
. Під час запуску
він зчитує конфігурацію з
/usr/share/debian-edu-config/fsautoresizetab
,
/site/etc/fsautoresizetab
та з
/etc/fsautoresizetab
. Потім пропонується
розширити розділи з надто малим вільним простором відповідно до правил,
наданих у цих файлах. Якщо запустити без аргументів, будуть показані лише
команди, необхідні для розширення файлової системи. Аргумент
-n
потрібен для фактичного виконання цих
команд для розширення файлових систем.
Скрипт виконується автоматично щогодини на кожному клієнті, зазначеному в
мережевій групі fsautoresize-hosts
.
Коли розмір розділу, який використовується проксі Squid, змінюється,
значення розміру кешу у
etc/squid/squid.conf
також потрібно
оновити. Допоміжний скрипт
/usr/share/debian-edu-config/tools/squid-update-cachedir
надається для виконання цього автоматично, перевіряючи поточний розмір
розділу /var/spool/squid/
та налаштовує
Squid на використання 80% розділу для кешу.
Керування логічними томами (LVM) дозволяє змінювати розміри розділів коли вони змонтовані та використовуються. Дізнатися більше про LVM Ви можете з Настанов до LVM.
Для збільшення логічного тому вручну, просто вкажіть команді
lvextend
, до якого розміру Ви хочете його
збільшити. Наприклад, щоб розширити home0 до 30 ГБ, потрібно використати
такі команди:
lvextend -L30G /dev/vg_system/skole+tjener+home0 resize2fs /dev/vg_system/skole+tjener+home0
Для розширення home0 на додаткові 30 ГБ, потрібно вставити "+" (-L+30G).
ldapvi — це інструмент для редагування бази даних LDAP у командному рядку у звичайному текстовому редакторі.
Потрібно виконати наступне:
ldapvi -ZD '(cn=admin)'
Нотатка: ldapvi
використовуватиме
стандартний редактор. Виконуючи export
EDITOR=vim
у командному рядку, можна призначити редактором
у середовищі клон vi.
Увага: ldapvi
— дуже потужний
інструмент. Будьте обережні та не зіпсуйте базу даних LDAP; те саме
попередження стосується JXplorer.
Використання Kerberos для NFS для монтування домашніх каталогів є функцією безпеки. Робочі станції та клієнти LTSP не працюватимуть без Kerberos. Підтримуються рівні krb5, krb5i та krb5p (krb5 означає автентифікацію Kerberos, i > означає перевірку цілісності, а p — конфіденційність, тобто шифрування); навантаження як на сервер, так і на робочу станцію зростає разом із рівнем безпеки, krb5i є гарним вибором та його вибрано типово.
Головний сервер
вхід від імені root
виконайте ldapvi -ZD '(cn=admin)'
, знайдіть
sec=krb5i та замініть на sec=krb5
або на sec=krb5p.
змініть /etc/exports.d/edu.exports
та
налаштуйте відповідно ці записи:
/srv/nfs4 gss/krb5i(rw,sync,fsid=0,crossmnt,no_subtree_check) /srv/nfs4/home0 gss/krb5i(rw,sync,no_subtree_check)
виконайте exportfs -r
.
Цей інструмент дозволяє встановити типовий принтер залежно від місця
розташування, машини чи належності до групи. Для отримання додаткової
інформації перегляньте
/usr/share/doc/standardskriver/README.md
.
Файл конфігурації /etc/standardskriver.cfg
має надати адміністратор, див. для прикладу
/usr/share/doc/standardskriver/examples/standardskriver.cfg
.
Якщо Ви віддаєте перевагу графічному інтерфейсу для роботи з базою даних
LDAP, ознайомтеся з пакетом jxplorer
, який
типово встановлений. Щоб отримати доступ на запис, під'єднайтеся так:
host: ldap.intern port: 636 Security level: ssl + user + password User dn: cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no
ldap-createuser-krb
— це малий інструмент
командного рядка для створення облікових записів користувачів, який
викликається в такий спосіб:
ldap-createuser-krb5 [-u uid] [-g gid] [-G group[,group]...] [-d department] <username> <gecos>
Усі аргументи, окрім імені користувача та поля GECOS, є необов’язковими,
останнє зазвичай має містити повне ім’я користувача. Якщо воно не вказане,
інструмент автоматично вибере наступні вільні UID та GID і не призначить
користувачеві жодних додаткових груп. Якщо не вказано жодного підрозділу,
він вибере перший gosaDepartment з LDAP, який,
імовірно, є skole та для звичайних користувачів
зазвичай не є тим, що б Ви хотіли бачити, тому Вам потрібно вибрати для
користувача відповідне значення, напр. Викладачі
(Teachers) або Студенти (Students). Після
введення та підтвердження пароля та введення пароля адміністратора LDAP
ldap-createuser-krb5
створить обліковий
запис користувача в LDAP, встановить пароль Kerberos, створить домашній
каталог та додасть відповідного користувача Samba. На наведеному знімку
екрана показано приклад команди для створення облікового запису користувача
з іменем harhir
для вчителя, повне ім’я
якого "Harry Hirsch":
root@tjener:~# ldap-createuser-krb5 -d Teachers harhir "Harry Hirsch" new user password: confirm password: dn: uid=harhir,ou=people,ou=Teachers,dc=skole,dc=skolelinux,dc=no changetype: add objectClass: top objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson objectClass: gosaAccount objectClass: posixAccount objectClass: shadowAccount objectClass: krbPrincipalAux objectClass: krbTicketPolicyAux sn: Harry Hirsch givenName: Harry Hirsch uid: harhir cn: Harry Hirsch userPassword: {CRYPT}$y$j9T$TWnq55O1rvyLhjF.$oVf.t.RXC1v/4Y8FhV0umno629mo7bP7/YJyig6HET6 homeDirectory: /skole/tjener/home0/harhir loginShell: /bin/bash uidNumber: 1004 gidNumber: 1004 gecos: Harry Hirsch shadowLastChange: 19641 shadowMin: 0 shadowMax: 99999 shadowWarning: 7 krbPwdPolicyReference: cn=users,cn=INTERN,cn=kerberos,dc=skole,dc=skolelinux,dc=no krbPrincipalName: harhir@INTERN ldap_initialize( <DEFAULT> ) Enter LDAP Password: add objectClass: top person organizationalPerson inetOrgPerson gosaAccount posixAccount shadowAccount krbPrincipalAux krbTicketPolicyAux add sn: Harry Hirsch add givenName: Harry Hirsch add uid: harhir add cn: Harry Hirsch add userPassword: {CRYPT}$y$j9T$TWnq55O1rvyLhjF.$oVf.t.RXC1v/4Y8FhV0umno629mo7bP7/YJyig6HET6 add homeDirectory: /skole/tjener/home0/harhir add loginShell: /bin/bash add uidNumber: 1004 add gidNumber: 1004 add gecos: Harry Hirsch add shadowLastChange: 19641 add shadowMin: 0 add shadowMax: 99999 add shadowWarning: 7 add krbPwdPolicyReference: cn=users,cn=INTERN,cn=kerberos,dc=skole,dc=skolelinux,dc=no add krbPrincipalName: harhir@INTERN adding new entry "uid=harhir,ou=people,ou=Teachers,dc=skole,dc=skolelinux,dc=no" modify complete Authenticating as principal root/admin@INTERN with password. kadmin.local: change_password harhir@INTERN Enter password for principal "harhir@INTERN": Re-enter password for principal "harhir@INTERN": Password for "harhir@INTERN" changed. kadmin.local: lpcfg_do_global_parameter: WARNING: The "encrypt passwords" option is deprecated Added user harhir.
Хоча Ви можете використовувати stable-updates безпосередньо, це не обов’язково: stable-updates регулярно додаються у стабільний пакет, коли виходять стабільні випуски, що у свою чергу відбувається приблизно кожні два місяці.
Ви працюєте з Debian Edu через її стабільність. Вона працює чудово; є лише одна проблема: іноді програмне забезпечення трохи старіше, ніж Вам би хотілося. Тут на допомогу приходить backports.debian.org.
Бекпорти — це перекомпільовані пакети тестової версії Debian (здебільшого) та нестабільної (лише в кількох випадках, наприклад, в оновленні безпеки), тому вони працюватимуть без нових бібліотек (усюди, де це можливо) у стабільному дистрибутиві Debian, як-от Debian Edu. Ми радимо Вам вибрати окремі бекпорти, які відповідають Вашим потребам, та не використовувати усі доступні.
Користуватися бекпортами просто:
echo "deb http://deb.debian.org/debian/ bookworm-backports main" > /etc/apt/sources.list.d/bookworm-backports.sources.list apt update
Після чого можна легко інсталювати "бекпортові" пакети, наприклад, команда встановить "бекпортову" версію tuxtype:
apt install tuxtype/bookworm-backports
Backports оновлюються автоматично (якщо доступні) разом з іншими пакетами. Як і звичайний архів, backports має три секції: main, contrib та non-free.
Якщо Ви хочете оновитися з однієї версії до іншої (наприклад, з Bookworm 12.1 до 12.2), але у Вас немає підключення до Інтернету, і маєте лише фізичний носій, виконайте такі дії:
Вставте диск CD / DVD / Blu-ray / флешку USB та виконайте apt-cdrom команду:
apt-cdrom add
Щоб відкрити довідкову (man) сторінку apt-cdrom(8):
apt-cdrom використовується для додавання нового компакт-диска до списку доступних джерел APT. apt-cdrom визначає структуру диска, а також виправляє кілька можливих помилок запису та перевіряє файли індексу.
Щоб додати компакт-диски до системи APT, необхідно використовувати apt-cdrom, і це не можна зробити вручну. Крім того, щоб врахувати можливі помилки запису, кожен диск з набору з декількох CD потрібно вставляти та сканувати окремо.
Потім, для оновлення системи, виконайте ці дві команди:
apt update apt full-upgrade
killer
— це скрипт на perl, який усуває
фонові завдання. Фонові завдання визначаються як процеси, які належать
користувачам, які зараз не ввійшли в систему. Він запускається через cron
раз на годину.
unattended-upgrades
— це пакет Debian, який
автоматично встановлює оновлення безпеки та інших програм. Якщо встановлено,
пакет попередньо налаштовано для встановлення оновлень безпеки. Журнали
доступні в /var/log/unattended-upgrades/
;
також завжди є /var/log/dpkg.log
та
/var/log/apt/
.
Можна заощадити енергію та гроші, автоматично вимикаючи клієнтські машини на
ніч та знову вмикаючи вранці. Пакет
shutdown-at-night
намагатиметься вимкнути
машину щогодини о 16:00 дня, але не вимкне її, якщо на ній працюють
користувачі. Він спробує наказати BIOS увімкнути машину близько 07:00 ранку,
а головний сервер спробує увімкнути машини з 06:30, надсилаючи пакети
Wake-on-LAN. Ці часи можна змінити в кронтабах (crontabs) окремих машин.
Налаштовуючи це, потрібно дещо мати на увазі:
Клієнти не повинні вимикатися, коли хтось ними користується. Це
забезпечується шляхом перевірки результату від команди
who
та, як окремий випадок, перевірки
команди підключення SSH для роботи з тонкими клієнтами X2Go.
Для уникнення перегорання електричних запобіжників, радимо переконатися, що всі клієнти не запускаються одночасно.
Існує два способи розбудити клієнтів. Один використовує функцію BIOS та
вимагає робочого та правильного апаратного годинника, а також материнської
плати та версії BIOS, що підтримують
nvram-wakeup
; інший вимагає, щоб клієнти
мали підтримку Wake-on-LAN, а сервер знав про всіх клієнтів, яких потрібно
вивести з режиму сну.
На клієнтах, які повинні на ніч вимикатися, створіть
/etc/shutdown-at-night/shutdown-at-night
або додайте ім’я хоста (тобто результат виконання на клієнті
"uname -n
") до мережевої групи
"shutdown-at-night-hosts". Додати хости до мережевої групи в LDAP можна за
допомогою веб-інструменту GOsa²
. Клієнтам
може знадобитися налаштувати Wake-on-LAN у BIOS. Також важливо, щоб
комутатори та маршрутизатори, які використовуються між сервером Wake-on-LAN
та клієнтами, передавали пакети WOL клієнтам, навіть якщо клієнти
вимкнені. Деякі комутатори/свічі не можуть передавати пакети клієнтам, яких
немає у внутрішній таблиці ARP, і це блокує пакети WOL.
Для увімкнення на сервері Wake-on-LAN, додайте клієнтів до
/etc/shutdown-at-night/clients
— по одному
на рядок, спочатку IP-адреса, потім MAC-адреса (адреса Ethernet), розділені
пробілом або створіть скрипт
/etc/shutdown-at-night/clients-generator
для складання списку клієнтів на льоту.
Приклад
/etc/shutdown-at-night/clients-generator
для використання з sitesummary:
#!/bin/sh PATH=/usr/sbin:$PATH export PATH sitesummary-nodes -w
По іншому, якщо для активації нічного вимкнення (shutdown-at-night) на
клієнтах використовується мережева група, є скрипт з пакету
ng-utils
для використання інструменту
мережевої групи:
#!/bin/sh PATH=/usr/sbin:$PATH export PATH netgroup -h shutdown-at-night-hosts
Щоб отримати з інтернету доступ до машин за брандмауером, подумайте про
встановлення autossh
. Його можна
використовувати для налаштування SSH-тунелю до комп’ютера в інтернеті, до
якого у Вас є доступ. З цієї машини Ви можете отримати доступ до сервера за
брандмауером через тунель SSH.
Під час стандартної інсталяції усі служби працюють на головному сервері з іменем tjener. Для спрощення переміщення деяких програм на іншу машину, доступний мінімальний профіль встановлення. Встановлення з цим профілем налаштує машину бути частиною мережі Debian Edu, але без якихось запущених служб.
Необхідні кроки для налаштування машини, призначеної для деяких служб:
під час встановлення виберіть профіль Мінімальний
встановіть необхідні для служби/сервісів пакети
налаштуйте служби/сервіси
вимкніть сервіс на головному сервері
оновіть на головному сервері DNS (через LDAP/GOsa²)
FIXME: The HowTos from https://wiki.debian.org/DebianEdu/HowTo/ are either user- or developer-specific. Let's move the user-specific HowTos over here (and delete them over there)! (But first ask the authors (see the history of those pages to find them) if they are fine with moving the howto and putting it under the GPL.)
У цьому розділі описані розширені завдання адміністрування.
У цьому прикладі ми хочемо створити користувачів у річних групах зі спільними домашніми каталогами для кожної групи (home0/2024, home0/2026 тощо). Ми хочемо створити користувачів через імпорт CSV.
(як root на головному сервері)
Створіть структуру необхідних річних груп
mkdir /skole/tjener/home0/2024
(як перший користувач у Gosa)
Підрозділ
Головне меню: перейдіть до "Структури довідника", виберіть підрозділ "Студенти". У полі "Основа" має бути "/Студенти". У спадному вікні "Дії" виберіть "Створити"/"Підрозділ". Заповніть значення для полів "Назва" (2024) та "Опис" (студенти, які закінчують навчання у 2024 році), залиште поле "Основа" як є (має бути "/Студенти"). Збережіть це, натиснувши "ОК". Тепер новий підрозділ (2024) має з’явитися під "/Студентами". Клацніть там.
Група
Виберіть "Групи" у головному меню; "Дії"/Створити/Групувати. Введіть назву групи (залиште "Основу" як є, має бути /Students/2024) та натисніть "ОК" для збереження.
Шаблон
У головному меню виберіть "користувачі". Змініть в полі "Основа" на
"Студенти". Має з’явитися запис NewStudent
,
натисніть його. Це шаблон "студенти", а не реального користувача. Оскільки
Вам доведеться створювати на його основі такий шаблон (щоб мати можливість
імпортувати CSV у Вашій структурі), зверніть увагу на всі записи на вкладках
Generic та POSIX, можливо, зробіть знімки екрана, щоб мати інформацію для
нового шаблону.
Тепер змініть на /Students/2024 у полі Base (Основа); виберіть "Створити/Шаблон" та почніть заповнювати потрібні значення, спочатку вкладку "Загальне" (додайте також свою нову групу 2024 у "Членство в групі"), а потім додайте обліковий запис POSIX.
Імпорт користувачів
Під час імпорту CSV виберіть новий шаблон, радимо протестувати його з кількома користувачами.
За допомогою цього скрипту адміністратор може створювати теки в домашніх каталогах усіх користувачів та встановлювати права доступу та права власності.
У наведеному нижче прикладі з group=teachers та permissions=2770 користувач може подати завдання, зберігши файл у теці "assignments", де вчителям надається доступ на запис, щоб мати можливість робити коментарі.
#!/bin/bash home_path="/skole/tjener/home0" shared_folder="assignments" permissions="2770" created_dir=0 for home in $(ls $home_path); do if [ ! -d "$home_path/$home/$shared_folder" ]; then mkdir $home_path/$home/$shared_folder chmod $permissions $home_path/$home/$shared_folder user=$home group=teachers chown $user:$group $home_path/$home/$shared_folder ((created_dir+=1)) else echo -e "the folder $home_path/$home/$shared_folder already exists.\n" fi done echo "$created_dir folders have been created"
Виконайте ці кроки для налаштування виділеного сервера зберігання для домашніх каталогів користувачів і, можливо, інших даних.
Додайте нову систему типу сервер
з GOsa²,
як описано в розділі Початок роботи цієї
настанови.
У цьому прикладі використовується ім'я сервера "nas-server.intern". Після налаштування "nas-server.intern" перевірте, чи точки експорту NFS на новому сервері зберігання експортовані до відповідних підмереж або машин:
root@tjener:~# showmount -e nas-server Export list for nas-server: /storage 10.0.0.0/8 root@tjener:~#
Усе в магістральній мережі отримує доступ до експорту /storage. (Для обмеження доступу NFS як це робиться у файлі tjener:/etc/exports, це можна обмежити членством у мережевій групі або окремими IP-адресами.)
Щоб дозволити усім клієнтам монтувати автоматично нове експортування за запитом, додайте інформацію про автомонтування "nas-server.intern" у LDAP.
Це неможливо зробити за допомогою GOsa², оскільки відсутній модуль для автоматичного монтування. Натомість використовуйте ldapvi та додайте необхідні об’єкти LDAP за допомогою редактора.
ldapvi --ldap-conf -ZD '(cn=admin)' -b
ou=automount,dc=skole,dc=skolelinux,dc=no
Коли з’явиться редактор, додайте наступні об’єкти LDAP в кінці документа. (Частина "/&" в останньому об’єкті LDAP є символом заміни, що відповідає всьому експорту "nas-server.intern", усуваючи необхідність перераховувати окремі точки монтування в LDAP.)
add cn=nas-server,ou=auto.skole,ou=automount,dc=skole,dc=skolelinux,dc=no objectClass: automount cn: nas-server automountInformation: -fstype=autofs --timeout=60 ldap:ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no add ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no objectClass: top objectClass: automountMap ou: auto.nas-server add cn=/,ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no objectClass: automount cn: / automountInformation: -fstype=nfs,tcp,rsize=32768,wsize=32768,rw,intr,hard,nodev,nosuid,noatime nas-server.intern:/&
Для уникнення циклів монтування додайте відповідні записи у tjener.intern:/etc/fstab, оскільки tjener.intern не використовує автомонтування:
Для монтування нових ресурсів створіть з
mkdir
каталоги для точок монтування,
відредагуйте відповідно "/etc/fstab" та виконайте mount
-a
.
Тепер користувачі повинні мати прямий доступ до файлів на "nas-server.intern" просто відвідавши каталог "/tjener/nas-server/storage/" за допомогою будь-якої програми на будь-якій робочій станції, тонкому клієнті LTSP або сервері LTSP.
Є кілька способів обмежити вхід через SSH, деякі з яких наведені тут.
Якщо клієнти LTSP не використовуються, простим рішенням буде створити нову
групу (напр. sshusers
) та додати рядок до
файлу /etc/ssh/sshd_config на машині. Таким чином під'єднуватися до машини
за протоколом SSH буде дозволено лише учасникам групи
sshusers
.
Керувати у такій ситуації через GOsa досить просто:
Створіть групу sshusers
на основному рівні
(де вже видно інші групи, пов’язані з керуванням системою, наприклад
gosa-admins
).
Додайте користувачів до нової групи
sshusers
.
Додайте AllowGroups sshusers
до
/etc/ssh/sshd_config.
Виконайте service ssh restart
.
Стандартне налаштування бездискового клієнта LTSP не використовує з’єднання SSH. Після зміни налаштувань SSH достатньо буде на пов’язаному сервері LTSP оновити образ SquashFS.
Тонкі клієнти X2Go використовують підключення SSH до відповідного сервера LTSP. Тому потрібен інший підхід до використання PAM.
Увімкніть pam_access.so у файлі /etc/pam.d/sshd на сервері LTSP.
Щоб дозволити підключення для (наприклад) користувачів alice, jane, bob та john з будь-якого місця, а для всіх інших користувачів лише з внутрішніх мереж, налаштуйте /etc/security/access.conf, додавши ці рядки:
+ : alice jane bob john : ALL + : ALL : 10.0.0.0/8 192.168.0.0/24 192.168.1.0/24 - : ALL : ALL #
Якщо використовуються лише виділені сервери LTSP, для вимкнення внутрішнього доступу до SSH мережа 10.0.0.0/8 може бути відкинута. Примітка: хтось, хто підключає свій ящик до виділеної клієнтської мережі LTSP, також отримає доступ SSH до сервера (серверів) LTSP.
Якби клієнти X2Go були підключені до магістральної мережі 10.0.0.0/8, усе було б ще складніше та, можливо, лише складне налаштування DHCP (у LDAP), перевіряючи ідентифікатор класу постачальника (vendor-class-identifier) разом із відповідною конфігурацією PAM, дозволило б вимкнути внутрішній логін SSH.
Для підтримки декількох мов, необхідно виконати такі дії:
Виконайте dpkg-reconfigure locales
(як
root) та виберіть мови (варіанти UTF-8).
Щоб установити відповідні пакунки, виконайте ці команди від імені користувача root:
apt update /usr/share/debian-edu-config/tools/install-task-pkgs /usr/share/debian-edu-config/tools/improve-desktop-l10n
Пізніше, перед входом, за допомогою диспетчера дисплея LightDM користувачі
зможуть вибрати мову; це стосується Xfce, LXDE та LXQt. GNOME та KDE мають
власні інструменти налаштування внутрішнього регіону та мови —
використовуйте їх. MATE використовує засіб привітання Arctica поверх LightDM
без вибору мови. Щоб отримати стандартну програму привітання LightDM
виконайте apt purge arctica-greeter
.
Для відтворення більшості комерційних DVD потрібен libdvdcss. З юридичних
причин його не включено до Debian (Edu). Якщо Вам юридично дозволено
використовувати його, Ви можете створити власні локальні пакунки за
допомогою пакета Debian libdvd-pkg
, але
переконайтеся, що у /etc/apt/sources.list
увімкнено contrib
.
apt update apt install libdvd-pkg
Дайте відповіді на запитання debconf, а потім виконайте
dpkg-reconfigure libdvd-pkg
.
Одним з основних термінів для тонких клієнтів та бездискових робочих станцій є клієнт LTSP.
Починаючи з Bullseye, LTSP значно відрізняється від попередніх версій. Це стосується як налаштування, так і обслуговування.
Основною відмінністю є те, що образ SquashFS для бездискових робочих станцій генерується тепер типово з файлової системи сервера LTSP. Це відбувається на комбінованому сервері під час першого завантаження, що займає деякий час.
Тонкі клієнти більше не є частиною LTSP. Debian Edu використовує X2Go для продовження підтримки у використанні тонкого клієнта.
У разі окремого або додаткового сервера LTSP необхідна для налаштування клієнтського середовища LTSP інформація не є повною під час встановлення. Налаштування можна виконати, коли у систему буде додано GOsa².
Щоб отримати загальну інформацію про LTSP, відвідайте домашню сторінку LTSP. У системах із профілем
сервер LTSP більше інформації надає man
ltsp
.
Зауважте, що інструментом ltsp від LTSP слід
користуватися обережно. Наприклад, ltsp image
/
не зможе створити образ SquashFS у випадку з машинами на
Debian (вони типово мають окремий розділ /boot), ltsp
ipxe
не зможе правильно створити меню iPXE (через підтримку
тонкого клієнта Debian Edu), а ltsp initrd
повністю зіпсує завантаження клієнта LTSP.
Інструмент debian-edu-ltsp-install — це
скрипт оболонки для образу ltsp
,
ltsp initrd
та ltsp
ipxe
. Він використовується для встановлення та налаштування
бездискових робочих станцій та для підтримки тонких клієнтів (обох платформ
— 64-Bit та 32-Bit). Як це працює подивіться у man
debian-edu-ltsp-install
або у складі скрипту. Усе
конфігурування, для полегшення налаштувань на сайті, містяться безпосередньо
у самому скрипті (документи ТУТ).
Приклади використання скрипту debian-edu-ltsp-install:
debian-edu-ltsp-install --diskless_workstation
yes
оновлює образ SquashFS бездискової робочої станції
(серверна файлова система).
debian-edu-ltsp-install --diskless_workstation yes
--thin_type bare
створює підтримку бездискових робочих
станцій та 64-розрядних тонких клієнтів.
debian-edu-ltsp-install --arch i386 --thin_type
bare
створює додаткову підтримку 32-розрядних тонких
клієнтів (chroot та образ SquashFS).
Окрім bare (голої) системи (найменшої системи для тонких клієнтів), також доступні параметри display (дисплей) та desktop (стаціонарний комп’ютер). Тип display пропонує кнопку вимкнення, тип desktop запускає Firefox ESR у режимі кіоску на самому клієнті (потрібно більше локальної оперативної пам’яті та потужності ЦП, але навантаження на сервер зменшене).
Інструмент debian-edu-ltsp-ipxe — скрипт
оболонки для ltsp ipxe
. Це гарантує, що
файл /srv/tftp/ltsp/ltsp.ipxe стосується Debian Edu. Цю команду потрібно
виконати після того, як у розділі [server] файлу /etc/ltsp/ltsp.conf буде
змінено пункти, пов’язані з меню iPXE (наприклад, тайм-аут меню або
стандартні параметри завантаження).
Інструмент debian-edu-ltsp-initrd —
скрипт оболонки для ltsp initrd
. Він
перевіряє, що створений для відповідного використання initrd
(/srv/tftp/ltsp/ltsp.img) переміщений до відповідного каталогу. Цю команду
потрібно виконати після того, як буде змінено розділ [clients] у файлі
/etc/ltsp/ltsp.conf.
Інструмент debian-edu-ltsp-chroot — заміна ltsp-chroot, який постачається з LTSP5. Він використовується для виконання команд у відповідному LTSP chroot (наприклад, встановлення, оновлення та видалення пакетів).
Бездискова робоча станція
Бездискова робоча станція запускає все програмне забезпечення локально. Клієнтські машини завантажуються безпосередньо з сервера LTSP без локального жорсткого диска. Програмне забезпечення адмініструється та підтримується на сервері LTSP, але працює на бездискових робочих станціях. Домашні каталоги та налаштування системи також зберігаються на сервері. Бездискові робочі станції — чудовий спосіб повторного використання старого (але потужного) обладнання з такими ж низькими витратами на обслуговування, як і тонкі клієнти.
На відміну від робочих станцій, бездискові робочі станції працюють без необхідності їх додавання до GOsa².
Тонкий клієнт
Налаштування тонкого клієнта дозволяє звичайному ПК функціонувати як (X-)термінал, де все програмне забезпечення працює на сервері LTSP. Це означає, що ця машина завантажується через PXE без використання локального жорсткого диска, а сервер LTSP повинен бути потужною машиною.
Debian Edu все ще підтримує використання тонких клієнтів для використання дуже старого обладнання.
Оскільки тонкі клієнти використовують X2Go, для уникнення артефактів зображення користувачі повинні вимкнути компонування. У стандартному налаштуванні (графічне середовище Xfce): Налаштування -> Твіки (Tweaks) Window Manager -> Компонувач (Compositor).
Клієнтська прошивка LTSP
Завантаження клієнта LTSP не вдасться, якщо мережевому інтерфейсу клієнта потрібен "не вільний" (non-free) драйвер. Встановлення PXE можна використовувати для розв'язання проблем із завантаженням машин з мережі. Якщо інсталятор Debian скаржиться на відсутність файлу XXX.bin, тоді до initrd сервера LTSP потрібно додати "не вільний" драйвер.
Виконайте на сервері LTSP такі дії:
Спочатку, для отримання інформації про пакети мікропрограм (драйверів) запустіть:
apt update && apt search ^firmware-
Вирішіть, який пакет потрібно встановити для мережевого інтерфейсу (інтерфейсів), швидше за все, це буде firmware-linux, запустіть:
apt -y -q install firmware-linux
Оновіть образ SquashFS для бездискових робочих станцій, виконавши:
debian-edu-ltsp-install --diskless_workstation yes
Якщо використовуються тонкі клієнти X2Go, виконайте:
/usr/share/debian-edu-config/tools/ltsp-addfirmware -h
і продовжуйте відповідно до настанов про використання.
Потім оновіть образ SquashFS, напр. для chroot /srv/ltsp/x2go-bare-amd64:
ltsp image x2go-bare-amd64
Кожен сервер LTSP має два інтерфейси Ethernet: один налаштований у головній підмережі 10.0.0.0/8 (яка є спільною з головним сервером), а інший утворює локальну підмережу (окрему для кожного сервера LTSP).
Обидва варіанти — чи бездискова робоча станція, чи тонкий клієнт — можна вибрати в меню iPXE. Після очікування протягом 5 секунд машина завантажиться як бездискова робоча станція.
Стандартний пункт меню завантаження iPXE та типовий час очікування можна
налаштувати у /etc/ltsp/ltsp.conf
. Значення
часу очікування -1 використовується для приховування
меню. Щоб зміни набули чинності виконайте
debian-edu-ltsp-ipxe
.
192.168.0.0/24 — це стандартна клієнтська мережа LTSP, якщо машина
встановлена з використанням профілю LTSP. Якщо використовується багато
клієнтів LTSP або якщо середовища chroot i386 та amd64 повинні обслуговувати
різні сервери LTSP, можна також використовувати другу попередньо налаштовану
мережу 192.168.1.0/24. Відредагуйте файл
/etc/network/interfaces
і налаштуйте
відповідно параметри eth1. Для перевірки конфігурації DNS та DHCP
використовуйте ldapvi
або будь-який інший
редактор LDAP.
Щоб створити chroot та образ SquashFS виконайте:
debian-edu-ltsp-install --arch i386 --thin_type bare
Щодо інформації про типи тонких клієнтів перегляньте man
debian-edu-ltsp-install
.
Для перегляду доступних параметрів конфігурації виконайте
man ltsp.conf
або прочитайте онлайн: https://ltsp.org/man/ltsp.conf/
Додайте до розділу [clients] у /etc/ltsp/ltsp.conf елементи конфігурації. Щоб зміни набрали чинності, виконайте:
debian-edu-ltsp-initrd
Тонкі клієнти LTSP використовують мережеве аудіо для передачі аудіо з сервера до клієнтів.
Бездискові робочі станції LTSP обробляють звук локально.
Коли користувачі вставляють накопичувачі USB або DVD/CD-ROM у бездискову робочу станцію, на робочому столі з'являються відповідні значки, які дозволяють отримати доступ до вмісту, як на звичайному ПК.
Коли користувачі вставляють накопичувачі USB у тонкі клієнти X2Go типу bare (стандартне об'єднане встановлення сервера), носії під'єднуються після подвійного клацання на значок наявної на робочому столі Xfce теки. Залежно від вмісту файлів може знадобитися деякий час для відображення у файловому менеджері.
Під'єднайте принтер до клієнтської машини LTSP (підтримуються як USB, так і паралельні порти).
Налаштуйте клієнта LTSP з GOsa² використовувати фіксовану IP-адресу.
Налаштуйте принтер, використовуючи вебінтерфейс
https://www.intern:631
на головному
сервері; виберіть тип мережевого принтера AppSocket/HP
JetDirect
(для всіх принтерів незалежно від марки чи
моделі) та встановіть socket://<IP клієнта
LTSP>:9100
як з'єднання URI.
PXE означає Передзавантажувальне робоче середовище (Preboot eXecution Environment). Для простішої інтеграції LTSP Debian Edu використовує тепер реалізацію iPXE.
Пункт меню iPXE, що стосується встановлення системи, створюється скриптом
debian-edu-pxeinstall
. З файлом
/etc/debian-edu/pxeinstall.conf
зі
значеннями заміни можна перевизначати деякі параметри.
Інсталяція PXE успадкує мову, розкладку клавіатури та налаштування дзеркал з
налаштувань, які використовувалися під час встановлення головного сервера, а
інші запитання будуть поставлені під час інсталяції (профіль, участь у
popcon, розділення та пароль адміністратора). Для того, щоб уникнути цих
запитань, та щоби задати попередньо вибрані відповіді на значення debconf
можна змінити файл
/etc/debian-edu/www/debian-edu-install.dat
.
Деякі приклади доступних значень debconf вже закоментовані у
/etc/debian-edu/www/debian-edu-install.dat
.
Ваші зміни будуть втрачені, щойно
debian-edu-pxeinstall
буде використано для
відтворення середовища інсталяції PXE. Щоб додати значення debconf до
/etc/debian-edu/www/debian-edu-install.dat
під час нового створення з
debian-edu-pxeinstall
, додайте файл
/etc/debian-edu/www/debian-edu-install.dat.local
зі своїми
додатковими значеннями debconf.
Додаткову інформацію про зміну інсталяцій PXE можна знайти в розділі Встановлення/інсталяція.
Для того, щоб додати власний репозиторій, додайте щось подібне до
/etc/debian-edu/www/debian-edu-install.dat.local
:
d-i apt-setup/local1/repository string http://example.org/debian stable main contrib non-free d-i apt-setup/local1/comment string Example Software Repository d-i apt-setup/local1/source boolean true d-i apt-setup/local1/key string http://example.org/key.asc
та виконайте
/usr/sbin/debian-edu-pxeinstall
.
Пакет debian-edu-config має інструмент, який допомагає змінити мережу з
10.0.0.0/8 на іншу. Перегляньте
/usr/share/debian-edu-config/tools/subnet-change
.
Він призначений для оновлення LDAP та інших файлів, які необхідно редагувати
для зміни підмережі, для використання одразу після інсталяції на головному
сервері.
Зауважте, що зміна на одну з підмереж, які вже десь використовуються у Debian Edu, не спрацює. Підмережі 192.168.0.0/24 та 192.168.1.0/24 вже налаштовані як клієнтські мережі LTSP. Для видалення задубльованих записів перехід на ці підмережі вимагатиме ручного редагування конфігураційних файлів.
Немає простого способу змінити доменне ім'я DNS. Його зміна/перейменування вимагає змін у структурі LDAP та у декількох файлах файлової системи головного сервера. Також немає простого способу змінити ім'я хосту та сервера DNS головного сервера (tjener.intern). Для цього також знадобляться зміни в LDAP та файлах головного сервера та клієнта. В обох випадках також потрібно буде змінити налаштування Kerberos.
Вибір профілю сервера LTSP або комбінованого серверного профілю інсталює також пакети xrdp та x2goserver.
Xrdp використовує протокол віддаленого робочого стола для представлення графічного входу на віддаленому клієнту. Користувачі Microsoft Windows можуть під'єднуватися до сервера LTSP, на якому працює xrdp, без встановлення додаткового програмного забезпечення — вони просто ініціюють підключення до віддаленого робочого стола на своєму комп’ютері з Windows і під'єднуються.
Окрім того, xrdp може під'єднуватися до сервера VNC або до іншого сервера RDP.
Xrdp поставляється без підтримки аудіо; для компіляції (або перекомпіляції) необхідних модулів можна використати цей сценарій. Будь ласка, зверніть увагу: користувач має бути root або учасником групи sudo. Крім того, /etc/apt/sources.list повинен містити дійсний рядок deb-src.
#!/bin/bash set -e if [[ $UID -ne 0 ]] ; then if ! groups | egrep -q sudo ; then echo "ERROR: You need to be root or a sudo group member." exit 1 fi fi if ! egrep -q ^deb-src /etc/apt/sources.list ; then echo "ERROR: Make sure /etc/apt/sources.list contains a deb-src line." exit 1 fi TMP=$(mktemp -d) PULSE_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' pulseaudio)" XRDP_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' xrdp)" sudo apt -q update sudo apt -q install dpkg-dev cd $TMP apt -q source pulseaudio xrdp sudo apt -q build-dep pulseaudio xrdp cd pulseaudio-$PULSE_UPSTREAM_VERSION/ ./configure cd $TMP/xrdp-$XRDP_UPSTREAM_VERSION/sesman/chansrv/pulse/ sed -i 's/^PULSE/#PULSE/' Makefile sed -i "/#PULSE_DIR/a \ PULSE_DIR = $TMP/pulseaudio-$PULSE_UPSTREAM_VERSION" Makefile make sudo cp *.so /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/ sudo chmod 644 /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/module-xrdp* sudo service xrdp restart
X2Go дає змогу отримати доступ до графічного робочого столу на сервері LTSP через з’єднання з будь-якою швидкістю — низькою чи високою — з ПК під керуванням Linux, Windows або macOS. На боці клієнта потрібне додаткове ПЗ. Більше зможете дізнатися з вікі X2Go.
Зауважте, що якщо використовується X2Go, пакет
killer
на сервері LTSP краще видалити
(див. 890517).
freerdp-x11
встановлений типово та
підтримує RDP й VNC.
RDP - найпростіший спосіб доступу до термінального сервера
Windows. Альтернативним клієнтським пакунком є
rdesktop
.
Клієнт VNC (Virtual Network Computer) надає віддалений доступ до
Skolelinux. Альтернативним клієнтським пакунком є
xvncviewer
.
x2goclient
— це графічний клієнт для
системи X2Go (типово не встановлений). Ви можете використовувати його для
під'єднання до запущених сеансів та запуску нових.
Сервер freeRADIUS можна використовувати для організації
безпечних мережевих з’єднань. Щоб це працювало, інсталюйте на головному
сервері пакети freeradius та
winbind та виконайте
/usr/share/debian-edu-config/tools/setup-freeradius
-server
для створення базової конфігурації для конкретного
сайту/сервера. Щоб полегшити коригування для конкретного сайту будуть
увімкнуті обидва протоколи — EAP-TTLS/PAP та PEAP-MSCHAPV2. Уся конфігурація
міститься в самому скрипті. Більш докладно на домашній сторінці freeRADIUS.
Додаткова конфігурація, потрібна для
активування/вимкнення точок доступу через спільний секрет (shared secret) (/etc/freeradius/3.0/clients.conf).
дозволу/заборони бездротового доступу через групи LDAP(/etc/freeradius/3.0/users).
об'єднання точок доступу у виділені групи (/etc/freeradius/3.0/huntgroups)
Кінцеві пристрої користувачів потрібно правильно налаштувати, для використання методів EAP (802.1x) ці пристрої повинні бути захищеними PIN-кодом. Для того, щоб користувачі могли під'єднуватися до потрібного сервера їх слід навчити встановлювати CA сертифікат freeradius на своїх пристроях. Таким чином, у разі зламу сервера, їхні паролі не можна буде перехопити. Сертифікат сайту доступний у внутрішній мережі.
https://www.intern/freeradius-ca.pem (для кінцевих пристроїв користувачів на Linux)
https://www.intern/freeradius-ca.crt (Linux, Android)
https://www.intern/freeradius-ca.der (macOS, iOS, iPadOS, Windows)
Зверніть увагу, що налаштування кінцевих пристроїв користувачів буде справжньою проблемою через різноманітність пристроїв. Для пристроїв Windows можна створити інсталяційний скрипт, для пристроїв Apple — файл mobileconfig. В обох випадках можна інтегрувати сертифікат CA freeRADIUS, але для створення скриптів потрібні спеціальні інструменти ОС.
Для того, щоб мати можливість користуватися pGina (або будь-якою іншою програмою-сервісом для автентифікації сторонніми сервісами) Вам потрібно мати особливий обліковий засіб для пошуку всередині LDAP.
Додайте на вебсайті https://www/gosa окремого користувача, напр. pguser з паролем pwd.777.
Завантажте на ПК та встановіть pGina 3.9.9.12 як звичайне ПЗ. Зверніть увагу, що доповнення LDAP зберігається у теці доповнень pGina:
C:\Program Files\pGina.fork\Plugins\pGina.Plugin.Ldap.dll
Враховуючи налаштування Debian Edu, підключення до LDAP використовує SSL на порту 636.
Отже, необхідні налаштування в доповненні pGina LDAP наведені нижче
(вони зберігаються у HKEY_LOCAL_MACHINE\SOFTWARE\pGina3.fork\Plugins\0f52390b-c781-43ae-bd62-553c77fa4cf7).
LDAP Хост(и): 10.0.2.2 (або будь-які інші з розділенням через "пробіл")
LDAP порт: 636 (для з'єднань SSL)
Таймаут: 10
Використання SSL: ТАК (поставте позначку)
Ініціювати TLS: НІ (не ставте позначку)
Перевірка серверного сертифіката: НІ (не ставте позначку)
Пошук DN: uid=pguser,ou=people,ou=Students,dc=skole,dc=skolelinux,dc=no
("pguser" — обліковий запис для автентифікації у LDAP для пошуку користувачів під час входу у систему)
Пошуковий пароль: pwd.777 (це пароль облікового запису "pguser")
Вкладка прив'язки:
Дозволити порожні паролі: НІ
Шукати DN: ТАК (поставте позначку)
Пошуковий фільтр: (&(uid=%u)(objectClass=person))
Типово: Дозволити
Заборонити у разі помилки автентифікації LDAP: ТАК (поставте позначку)
Дозволити в разі недоступності сервера: НІ (не ставте позначку; необов'язковий пункт)
LDAP: Автентифікація [v], Авторизація [v], Шлюз[v], Зміна пароля [_]
Локальна машина: Автентифікація [v], Шлюз [v] (поставте лише дві позначки)
Автентифікація: LDAP, Локальна машина
Шлюз: LDAP, Локальна машина
Джерела:
Samba зараз налаштована як окремий сервер з підтримкою
сучасних SMB2/SMB3 та увімкненими загальними теками користувачів,
див. /etc/samba/smb-debian-edu.conf
на
головному сервері. У такий спосіб звичайні користувачі (не адміни) можуть
надавати теки у спільний доступ.
Для змін, пов’язаних із сайтом, скопіюйте /usr/share/debian-edu-config/smb.conf.edu-site до каталогу /etc/samba. Налаштування у smb.conf.edu-site замінять ті, що містяться у smb-debian-edu.conf.
Будь ласка, зауважте:
Типово домашні каталоги доступні лише для читання. Це можна змінити у /etc/samba/smb.conf.edu-site.
Паролі Samba зберігаються з smbpasswd
та
оновлюються (в разі необхідності зміни паролів) через GOsa².
Для тимчасового вимкнення облікового запису користувача у Samba виконайте
smbpasswd -d <логін користувача>
,
smbpasswd -e <логін користувача>
знову його увімкне.
Виконання chown root:teachers
/var/lib/samba/usershares
на головному сервері деактивує
користувацькі загальні теки (usershares) для "students".
Для пристроїв на Linux, Android, macOS, iOS, iPadOS, Chrome OS або Windows можливе з’єднання з домашнім каталогом користувача та додатковими спільними ресурсами сайту (якщо налаштовано). Для інших пристроїв, скажімо на базі Android, потрібен файловий менеджер з підтримкою SMB2/SMB3, також відомий як доступ до локальної мережі (LAN). X-plore або Total Commander з плагіном LAN можуть бути вдалим вибором.
Для доступу до домашнього каталогу використовуйте
\\tjener\<username>
або
smb://tjener/<username>
.
Усі пакунки Debian, згадані у цьому розділі, можна встановити командою
apt install <package>
(від імені
root).
stable/education-development — це метапакет, який залежить від багатьох інструментів для програмування. Зверніть, будь ласка, увагу, що для встановлення цього пакета потрібно майже 2 ГБ дискового простору. Більше інформації (можливо, щоб встановити лише деякі пакети) знайдете на сторінці Пакунки для розробки Debian Edu.
Попередження: переконайтеся, що Ви знаєте у своїй юрисдикції стан законів про моніторинг та обмеження дій користувачів комп’ютерів.
Деякі школи використовують інструменти контролю, такі як Epoptes або Veyon, щоб контролювати своїх учнів. Відвідайте також Домашню сторінку Epoptes та Домашню сторінку Veyon.
Деякі навчальні заклади для обмеження доступу в інтернет використовують Squidguard або e2guardian.
Кожен користувач повинен змінити свій пароль через GOsa². Для цього потрібно
відкрити веббраузер та перейти на
https://www/gosa/
.
Використання GOsa² для зміни пароля дає впевненість, що паролі для Kerberos (krbPrincipalKey), LDAP (userPassword) та Samba — будуть однакові.
Зміна паролів через PAM працює також під час входу GDM, але це оновлює лише пароль Kerberos (паролі для Samba та GOsa² (LDAP) залишаються без змін). Таким чином, після зміни пароля на вході у систему, Вам все одно потрібно буде його змінити через GOsa².
Окремі програми на Java підтримуються "з коробки" пакетом OpenJDK Java runtime.
Усі користувачі можуть надсилати та отримувати листи всередині внутрішньої
мережі; сертифікати надаються для забезпечення захищених з’єднань TLS. Щоб
дозволити пошту назовні, адміністратор повинен налаштувати поштовий сервер
exim4
відповідно до локальної ситуації,
починаючи з dpkg-reconfigure exim4-config
.
Кожен користувач, який хоче використовувати Thunderbird, повинен налаштувати його наступним чином. Для користувача з іменем користувача jdoe внутрішня адреса ел.пошти буде jdoe@postoffice.intern.
Запустіть Thunderbird
Натисніть "Пропустити та використати мою наявну електронну адресу"
Напишіть свою адресу ел.пошти
Не вказуйте пароль, оскільки буде використовуватися пароль "єдиного входу" (SSO) Kerberos
Натисніть "Продовжити"
Для IMAP, як і для SMTP, параметри повинні бути "STARTTLS" та "Kerberos/GSSAPI"; налаштуйте, якщо не визначено автоматично
Натисніть "Готово"
У більшості випадків нашим основним засобом спілкування є список розсилки розробників, хоча ми також ще маємо #debian-edu на irc.debian.org та навіть іноді справжні особисті зустрічі.
Гарним спосіб дізнатися, що відбувається в розробці Debian Edu — це підписатися на чинний список розсилки.
Debian Edu використовує систему відстеження помилок (BTS) від Debian. Перегляньте наявні звіти про помилки та запити на нові функції або створіть нові. Будь ласка, повідомляйте про усі помилки пакета debian-edu-config. Для того, щоб дізнатися більше про те, як звітувати про помилки в Debian Edu, перегляньте Як повідомляти про помилки.
Цьому документу потрібна Ваша допомога! По-перше, він ще не закінчений: якщо Ви його прочитаєте, то помітите у тексті різні FIXME ("виправ мене"). Якщо Ви раптом знаєте (хоча б трішки), що потрібно ще пояснити, поділіться своїми знаннями з нами.
Джерелом тексту є вікі (wiki), і його можна редагувати за допомогою простого веббраузера. Достатньо перейти на https://wiki.debian.org/DebianEdu/Documentation/Bookworm/ і Ви зможете зробити свій внесок. Примітка: для редагування сторінок потрібен обліковий запис користувача wiki; можливо спочатку Вам буде потрібно його створити.
Ще один дуже гарний спосіб зробити внесок і допомогти користувачам – це переклад програмного забезпечення та документації. Інформацію про те, як перекласти цей документ, можна знайти в розділі про переклади цієї книги. Будь ласка, подумайте про допомогу в перекладі цієї книги!
https://lists.debian.org/debian-edu - список розсилки підтримки
#debian-edu на irc.debian.org - канал IRC, переважно пов'язаний з розробкою; не очікуйте підтримки в реальному часі, хоча це трапляється часто.
https://lists.debian.org/debian-edu-german - список розсилки підтримки
#skolelinux.de на irc.debian.org - канал IRC для підтримки німецьких користувачів
https://lists.debian.org/debian-edu-french - список розсилки підтримки
Списки компаній, які надають професійну підтримку, доступні на https://wiki.debian.org/DebianEdu/Help/ProfessionalHelp.
Нова версія інсталятора Debian від Debian bookworm, більше інформації про який див. у настанові зі встановлення,
включно з інформацією на non-free-firmware
,
що є новим розділом на додаток до відомих розділів
main
,
contrib
та
non-free
.
Нове оздоблення на основі теми Emerald, стандартного оформлення для Debian 12 bookworm.
Все, що є новим у Debian 12 bookworm, наприклад:
Ядро Linux 6.1
Графічні середовища KDE Plasma 5.27, GNOME 43, Xfce 4.18, LXDE 11, MATE 1.26
LibreOffice 7.4
GOsa² 2.8
Освітній комплекс GCompris 3.1
Програма для створення музики Rosegarden 22.12
LTSP 23.01
Debian Bookworm містить понад 64000 доступних для встановлення пакетів.
Більше інформації щодо Debian 12 Bookworm надано у примітках до випуску та у настановах з інсталяції.
Під час встановлення сторінка вибору профілю доступна 29 мовами, з яких 22 — повністю перекладені.
Посібник Debian Edu Bookworm перекладений спрощеною китайською, данською, голландською, французькою, німецькою, італійською, японською, норвезькою (букмол), бразильською португальською, європейською португальською, іспанською, румунською та українською.
Цей документ складений та публікується під авторськими правами Holger Levsen (2007-2024), Petter Reinholdtsen (2001, 2002, 2003, 2004, 2007, 2008, 2009, 2010, 2012, 2014), Daniel Heß (2007), Patrick Winnertz (2007), Knut Yrvin (2007), Ralf Gesellensetter (2007), Ronny Aasen (2007), Morten Werner Forsbring (2007), Bjarne Nielsen (2007, 2008), Nigel Barker (2007), José L. Redrejo Rodríguez (2007), John Bildoy (2007), Joakim Seeberg (2008), Jürgen Leibner (2009, 2010, 2011, 2012, 2014), Oded Naveh (2009), Philipp Hübner (2009, 2010), Andreas Mundt (2010), Olivier Vitrat (2010, 2012), Vagrant Cascadian (2010), Mike Gabriel (2011), Justin B Rye (2012), David Prévot (2012), Wolfgang Schweer (2012-2024), Bernhard Hammes (2012), Joe Hansen (2015), Serhii Horichenko (2022) та Guido Berhörster (2023) та розповсюджується під ліцензією GPL2 або будь-якою новішою версією. Насолоджуйтесь!
Якщо Ви додаєте до нього вміст, робіть це, лише якщо Ви є автором. Вам потрібно його опублікувати за тих же умов! Потім додайте тут своє ім’я та опублікуйте його під ліцензією "GPL v2 або будь-якої новішої версії".
Існує онлайновий огляд упакованих перекладів, який часто оновлюється.
Як і в багатьох проєктах безплатного програмного забезпечення, переклади
цього документа зберігаються у файлах PO. Більше інформації про процес можна
знайти у
/usr/share/doc/debian-edu-doc/README.debian-edu-bookworm-manual-translations
.
Більшість мовних команд вирішили робити переклад з використанням Weblate. Для отримання додаткової інформації див. https://hosted.weblate.org/projects/debian-edu-documentation/bookworm-manual/.
Будь ласка, повідомляйте про будь-які проблеми.
Copyright (C) 2007-2021 Holger Levsen < holger@layer-acht.org > та інші, для повного списку власників авторських прав див. Авторські права.
This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version.
This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.
Version 2, June 1991
Copyright (C) 1989, 1991 Free Software Foundation, Inc. 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301, USA. Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed.
0. This License applies to any program or other work which contains a notice placed by the copyright holder saying it may be distributed under the terms of this General Public License. The "Program", below, refers to any such program or work, and a "work based on the Program" means either the Program or any derivative work under copyright law: that is to say, a work containing the Program or a portion of it, either verbatim or with modifications and/or translated into another language. (Hereinafter, translation is included without limitation in the term "modification".) Each licensee is addressed as "you".
Activities other than copying, distribution and modification are not covered by this License; they are outside its scope. The act of running the Program is not restricted, and the output from the Program is covered only if its contents constitute a work based on the Program (independent of having been made by running the Program). Whether that is true depends on what the Program does.
1. You may copy and distribute verbatim copies of the Program's source code as you receive it, in any medium, provided that you conspicuously and appropriately publish on each copy an appropriate copyright notice and disclaimer of warranty; keep intact all the notices that refer to this License and to the absence of any warranty; and give any other recipients of the Program a copy of this License along with the Program.
You may charge a fee for the physical act of transferring a copy, and you may at your option offer warranty protection in exchange for a fee.
2. You may modify your copy or copies of the Program or any portion of it, thus forming a work based on the Program, and copy and distribute such modifications or work under the terms of Section 1 above, provided that you also meet all of these conditions:
a) You must cause the modified files to carry prominent notices stating that you changed the files and the date of any change.
b) You must cause any work that you distribute or publish, that in whole or in part contains or is derived from the Program or any part thereof, to be licensed as a whole at no charge to all third parties under the terms of this License.
c) If the modified program normally reads commands interactively when run, you must cause it, when started running for such interactive use in the most ordinary way, to print or display an announcement including an appropriate copyright notice and a notice that there is no warranty (or else, saying that you provide a warranty) and that users may redistribute the program under these conditions, and telling the user how to view a copy of this License. (Exception: if the Program itself is interactive but does not normally print such an announcement, your work based on the Program is not required to print an announcement.)
These requirements apply to the modified work as a whole. If identifiable sections of that work are not derived from the Program, and can be reasonably considered independent and separate works in themselves, then this License, and its terms, do not apply to those sections when you distribute them as separate works. But when you distribute the same sections as part of a whole which is a work based on the Program, the distribution of the whole must be on the terms of this License, whose permissions for other licensees extend to the entire whole, and thus to each and every part regardless of who wrote it.
Thus, it is not the intent of this section to claim rights or contest your rights to work written entirely by you; rather, the intent is to exercise the right to control the distribution of derivative or collective works based on the Program.
In addition, mere aggregation of another work not based on the Program with the Program (or with a work based on the Program) on a volume of a storage or distribution medium does not bring the other work under the scope of this License.
3. You may copy and distribute the Program (or a work based on it, under Section 2) in object code or executable form under the terms of Sections 1 and 2 above provided that you also do one of the following:
a) Accompany it with the complete corresponding machine-readable source code, which must be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,
b) Accompany it with a written offer, valid for at least three years, to give any third party, for a charge no more than your cost of physically performing source distribution, a complete machine-readable copy of the corresponding source code, to be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,
c) Accompany it with the information you received as to the offer to distribute corresponding source code. (This alternative is allowed only for noncommercial distribution and only if you received the program in object code or executable form with such an offer, in accord with Subsection b above.)
The source code for a work means the preferred form of the work for making modifications to it. For an executable work, complete source code means all the source code for all modules it contains, plus any associated interface definition files, plus the scripts used to control compilation and installation of the executable. However, as a special exception, the source code distributed need not include anything that is normally distributed (in either source or binary form) with the major components (compiler, kernel, and so on) of the operating system on which the executable runs, unless that component itself accompanies the executable.
If distribution of executable or object code is made by offering access to copy from a designated place, then offering equivalent access to copy the source code from the same place counts as distribution of the source code, even though third parties are not compelled to copy the source along with the object code.
4. You may not copy, modify, sublicense, or distribute the Program except as expressly provided under this License. Any attempt otherwise to copy, modify, sublicense or distribute the Program is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance.
5. You are not required to accept this License, since you have not signed it. However, nothing else grants you permission to modify or distribute the Program or its derivative works. These actions are prohibited by law if you do not accept this License. Therefore, by modifying or distributing the Program (or any work based on the Program), you indicate your acceptance of this License to do so, and all its terms and conditions for copying, distributing or modifying the Program or works based on it.
6. Each time you redistribute the Program (or any work based on the Program), the recipient automatically receives a license from the original licensor to copy, distribute or modify the Program subject to these terms and conditions. You may not impose any further restrictions on the recipients' exercise of the rights granted herein. You are not responsible for enforcing compliance by third parties to this License.
7. If, as a consequence of a court judgment or allegation of patent infringement or for any other reason (not limited to patent issues), conditions are imposed on you (whether by court order, agreement or otherwise) that contradict the conditions of this License, they do not excuse you from the conditions of this License. If you cannot distribute so as to satisfy simultaneously your obligations under this License and any other pertinent obligations, then as a consequence you may not distribute the Program at all. For example, if a patent license would not permit royalty-free redistribution of the Program by all those who receive copies directly or indirectly through you, then the only way you could satisfy both it and this License would be to refrain entirely from distribution of the Program.
If any portion of this section is held invalid or unenforceable under any particular circumstance, the balance of the section is intended to apply and the section as a whole is intended to apply in other circumstances.
It is not the purpose of this section to induce you to infringe any patents or other property right claims or to contest validity of any such claims; this section has the sole purpose of protecting the integrity of the free software distribution system, which is implemented by public license practices. Many people have made generous contributions to the wide range of software distributed through that system in reliance on consistent application of that system; it is up to the author/donor to decide if he or she is willing to distribute software through any other system and a licensee cannot impose that choice.
This section is intended to make thoroughly clear what is believed to be a consequence of the rest of this License.
8. If the distribution and/or use of the Program is restricted in certain countries either by patents or by copyrighted interfaces, the original copyright holder who places the Program under this License may add an explicit geographical distribution limitation excluding those countries, so that distribution is permitted only in or among countries not thus excluded. In such case, this License incorporates the limitation as if written in the body of this License.
9. The Free Software Foundation may publish revised and/or new versions of the General Public License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns.
Each version is given a distinguishing version number. If the Program specifies a version number of this License which applies to it and "any later version", you have the option of following the terms and conditions either of that version or of any later version published by the Free Software Foundation. If the Program does not specify a version number of this License, you may choose any version ever published by the Free Software Foundation.
10. If you wish to incorporate parts of the Program into other free programs whose distribution conditions are different, write to the author to ask for permission. For software which is copyrighted by the Free Software Foundation, write to the Free Software Foundation; we sometimes make exceptions for this. Our decision will be guided by the two goals of preserving the free status of all derivatives of our free software and of promoting the sharing and reuse of software generally.
NO WARRANTY
11. BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.
12. IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.
END OF TERMS AND CONDITIONS
Нова версія інсталятора Debian від Debian bullseye, для отримання додаткової інформації див. посібник зі встановлення.
Нове оздоблення на основі теми Homeworld, стандартного оформлення для Debian 11 (bullseye).
Інсталятор Debian більше не підтримує налаштування chroot LTSP. У разі комбінованого встановлення сервера (профілі "Головний сервер" + "Сервер LTSP") підтримка тонких клієнтів (тепер із використанням X2Go) налаштовується наприкінці інсталяції. Створення образу SquashFS для підтримки бездискових клієнтів (з файлової системи сервера) виконується під час першого завантаження.
Для окремих серверів LTSP обидва кроки потрібно виконувати за допомогою інструменту після першого завантаження у внутрішній мережі, коли на головному сервері є достатньо інформації.
Все, що є новим у Debian 11 Bullseye, наприклад:
Ядро Linux 5.10
Графічні середовища KDE Plasma 5.20, GNOME 3.38, Xfce 4.16, LXDE 11, MATE 1.24
LibreOffice 7.0
Освітній комплекс GCompris 1.0
Програма для створення музики Rosegarden 20.12
LTSP 21.01
Debian Bullseye містить понад 59000 доступних для встановлення пакетів.
Більше інформації щодо Debian 11 bullseye надано у примітках до випуску та у настановах з інсталяції.
Під час встановлення сторінка вибору профілю доступна 29 мовами, з яких 22 — повністю перекладені.
Посібник Debian Edu Bullseye повністю перекладено нідерландською, французькою, німецькою, італійською, японською, норвезькою (букмолом), португальською (Португалія) та спрощеною китайською.
Існують частково перекладені версії для данської та іспанської мов.
Покращена підтримка TLS/SSL у внутрішній мережі. На клієнтах кореневий сертифікат для Debian Edu-CA розташований у пакеті сертифікатів для всієї системи.
Новий LTSP, переписаний з нуля, припиняється підтримка тонких клієнтів. Тонкі клієнти тепер підтримуються через X2Go.
Netboot (завантаження з мережі) забезпечується з використанням iPXE замість PXELINUX — для сумісності з LTSP.
Тепер як основа для мережевого завантаження замість /var/lib/tftpboot використовується каталог /srv/tftp.
Після оновлення релізу системи з Головним сервером або
з профілем Сервер LTSP, потрібно оновити інсталяційне
оточення PXE командою
debian-edu-pxeinstall
.
У Firefox ESR та Chromium стандартна пошукова служба тепер DuckDuckGo.
Тепер початкова сторінка у Chromium це внутрішній вебсайт замість Google.
На бездискових робочих станціях Kerberos TGT доступний автоматично після входу.
Додано новий інструмент для налаштування freeRADIUS із підтримкою EAP-TTLS/PAP та PEAP-MSCHAPV2.
Samba налаштована як "автономний сервер" з підтримкою SMB2/SMB3; приєднання до домену зникло.
Вебінтерфейс GOsa² не показує записи, пов’язані з Samba, оскільки дані облікових записів Samba більше не зберігаються в LDAP.
Для встановлення PXE використовується графічний режим інсталятора Debian (замість текстового).
Центральний сервер друку CUPS ipp.intern, адміністрування CUPS дозволено користувачам, які належать до групи printer-admins.
Адміністрування Icinga через вебінтерфейс обмежено для першого користувача.
Випуски Debian Edu, які були створені в минулому:
Debian Edu 10+edu0 з кодовою назвою Buster випущений 2019-07-06.
Debian Edu 9+edu0 з кодовою назвою Stretch випущений 2017-06-17.
Debian Edu 8+edu0 з кодовою назвою Jessie випущений 2016-07-02.
Debian Edu 7.1+edu0 з кодовою назвою Wheezy випущений 2013-09-28.
Debian Edu 6.0.7+r1 з кодовою назвою Squeeze, випущений 2013-03-03.
Debian Edu 6.0.4+r0 з кодовою назвою Squeeze, випущений 2012-03-11.
Debian Edu 5.0.6+edu1 з кодовою назвою Lenny, випущений 2010-10-05.
Debian Edu 5.0.4+edu0 з кодовою назвою Lenny, випущений 2010-02-08.
Debian Edu 3.0r1 Terra, випущений 2007-12-05.
Debian Edu 3.0r0 Terra випущений 2007-07-22. Базується на Debian 4.0 Etch, випущеному 2007-04-08.
Debian Edu 2.0, випущений 2006-03-14. Базується на Debian 3.1 Sarge, випущеному 2005-06-06.
Debian Edu 1.0 Venus випущений 2004-06-20. Базується на Debian 3.0 Woody, випущеному 2002-07-19.
Повний і детальний огляд попередніх випусків міститься у Додатку C посібника Jessie; або перегляньте відповідні настанови до випусків/релізів на сторінці настанов до випусків.