Handbuch für Debian Edu / Skolelinux Buster 10+edu0 20.11.2019


Inhaltsverzeichnis

1. Handbuch für Debian Edu 10+edu0, Codename Buster
2. Über Debian Edu und Skolelinux
2.1. Einiges zur Entstehungsgeschichte und zum Vorhandensein der beiden Namen
3. Architektur
3.1. Netzwerk
3.1.1. Die Standard-Einrichtung des Netzwerks
3.1.2. Hauptserver (»tjener«)
3.1.3. Dienste des Hauptservers
3.1.4. LTSP-Server
3.1.5. Thin Clients
3.1.6. Diskless Workstations
3.1.7. Netzwerk-Clients
3.2. Administration
3.2.1. Installation
3.2.2. Konfiguration der Zugriffsrechte auf das Dateisystem
4. Voraussetzungen
4.1. Hardwareanforderungen
4.2. Getestete Hardware
5. Voraussetzungen für die Einrichtung des Netzwerks
5.1. Standardinstallation
5.2. Router (Internet)
6. Installation und Optionen für das Herunterladen
6.1. Hinweise auf weitere Informationsquellen
6.2. Herunterladen des Installationsmediums für Debian Edu 10+edu0, Codename Buster
6.2.1. amd64 oder i386
6.2.2. Netzwerk-Installer-Images für amd64 oder i386
6.2.3. BD-ISO-Images für i386 oder amd64
6.2.4. Überprüfung heruntergeladener Image-Dateien
6.2.5. Quellen
6.3. Anforderung einer CD / DVD auf dem Postweg
6.4. Die Installation von Debian Edu
6.4.1. Szenarien der Installation eines Hauptservers
6.4.2. Wahl der graphischen Arbeitsumgebung
6.4.3. Modulare Installation
6.4.4. Installationsarten und Optionen
6.4.5. Der Installationsprozess
6.4.6. Anmerkungen zu einigen Eigenschaften
6.4.7. Installation per USB-Stick anstelle von CD / Blu-ray Disc
6.4.8. Installation über das Netzwerk (PXE) und Starten von Diskless Clients
6.4.9. Angepasste Images
6.5. Screenshots
7. Erste Schritte
7.1. Unbedingt erforderliche erste Schritte
7.1.1. Dienste des Hauptservers
7.2. Einführung in GOsa²
7.2.1. GOsa²-Anmeldung und Übersicht
7.3. Benutzerverwaltung mit GOsa²
7.3.1. Benutzer hinzufügen
7.3.2. Benutzer suchen, modifizieren und löschen
7.3.3. Passwörter setzen
7.3.4. Fortgeschrittene Nutzerverwaltung
7.4. Gruppen mit GOsa² verwalten
7.4.1. Gruppenverwaltung auf der Befehlszeile
7.5. Rechnerverwaltung mit GOsa²
7.5.1. Suchen und Löschen von Maschinen
7.5.2. Modifizieren von eingetragenen Maschinen / Verwalten von »Netgroups«
8. Druckerverwaltung
8.1. An Arbeitsplatzrechner angeschlossene Drucker verwenden
9. Zeitsynchronisation
10. Volle Partitionen erweitern
11. Wartung
11.1. Aktualisieren der Software
11.1.1. Über Sicherheitsaktualisierungen auf dem Laufenden bleiben
11.2. Verwaltung von Backups
11.3. Serverüberwachung (Monitoring)
11.3.1. Munin
11.3.2. Icinga
11.3.3. Sitesummary
11.4. Weitergehende Informationen über Anpassungen von Debian Edu
12. Upgrades
12.1. Allgemeine Hinweise zum Upgrade
12.2. Upgrade von Debian Edu Stretch
12.2.1. Upgrade des Hauptservers
12.2.2. Upgrade eines Arbeitsplatzrechners
12.2.3. Upgrade für LTSP-Chroot-Umgebungen
12.2.4. Eine LTSP-Chroot-Umgebung erneut einrichten
12.2.5. Zusätzlich einen LTSP-Chroot für 64-Bit-PC-Rechner einrichten
12.3. Aktualisieren von älteren Debian Edu / Skolelinux-Installationen (vor Stretch)
13. HowTo
14. HowTos für allgemeine Administration
14.1. Änderungen der Konfiguration: /etc/ mit dem Versionskontrollsystem Git verfolgen
14.1.1. Benutzungsbeispiele
14.2. Partitionsgrößen verändern
14.2.1. Verwaltung logischer Datenträger
14.3. Installation einer graphischen Umgebung auf dem Hauptserver, um GOsa² nutzen zu können
14.4. Verwendung von ldapvi
14.5. NFS mittels Kerberos
14.5.1. So wird es aktiviert
14.6. Standarddrucker (»Standardskriver«)
14.7. JXplorer, ein LDAP-Editor mit graphischer Benutzeroberfläche
14.8. ldap-createuser-krb, ein Werkzeug für die Befehlszeile
14.9. Verwenden von »stable-updates«
14.10. Mittels Backports neuere Software installieren
14.11. Upgrade mit einer CD oder einem vergleichbaren Medium
14.12. Automatisches Aufräumen übrig gebliebener Prozesse
14.13. Automatische Installation von Sicherheitsaktualisierungen
14.14. Automatisches Herunterfahren von Rechnern während der Nacht
14.14.1. Das Herunterfahren in der Nacht einrichten
14.15. Zugriff auf Debian-Edu-Server von außen (durch die Firewall)
14.16. Dienste auf separaten Rechnern zur Entlastung des Hauptservers installieren
14.17. HowTos von wiki.debian.org
15. HowTo für fortgeschrittene Administration
15.1. Angepasste Benutzerverwaltung mit GOsa²
15.1.1. Anlegen von Benutzerkonten in Jahrgangsgruppen
15.2. Andere Anpassungen für Benutzer
15.2.1. Ordner in den Home-Verzeichnissen aller Nutzer erstellen
15.2.2. Einfacher Zugriff auf USB-Laufwerke und CD-ROMs/DVDs
15.3. Einen speziellen Dateiserver benutzen
15.4. Den SSH-Zugang beschränken
15.4.1. Setup ohne LTSP-Clients
15.4.2. Setup mit LTSP-Clients
15.4.3. Ein Hinweis für kompliziertere Setups
16. HowTos für die graphische Arbeitsumgebung
16.1. Eine mehrsprachige Arbeitsumgebung einrichten
16.2. DVDs abspielen
16.3. Schreibschrift-Zeichensätze
17. HowTos für Netzwerk-Clients
17.1. Einführung in Thin Clients (auch als Terminals bezeichnet) und Diskless Workstations (Arbeitsplatzrechner ohne Festplatte)
17.1.1. Typ des LTSP-Clients auswählen
17.2. Konfiguration des PXE-Menüs
17.2.1. Konfiguration der PXE-Installation
17.2.2. Ein eigenes Depot für die PXE-Installation hinzufügen
17.2.3. Verändern des PXE-Menüs auf einem Kombiserver (Haupt- und LTSP-Server)
17.2.4. Trennen von Haupt- und LTSP-Server
17.2.5. Ein anderes LTSP-Client-Netzwerk verwenden
17.2.6. LTSP-Chroot für 32-Bit-PC-Rechner einrichten
17.3. Netzwerkeinstellungen ändern
17.4. LTSP im Detail
17.4.1. Konfiguration von LTSP-Clients in LDAP (und lts.conf)
17.4.2. Festlegen von LXDE als vorgegebene graphische Arbeitsumgebung für alle LTSP Clients
17.4.3. Desktop-Autoloader
17.4.4. Lastverteilung auf LTSP-Servern
17.4.5. Sound auf LTSP-Clients
17.4.6. An LTSP-Clients angeschlossene Drucker verwenden
17.4.7. NFS anstelle von NBD benutzen
17.4.8. Aktualisieren der LTSP-Umgebung
17.4.9. Langsames Login und Sicherheit
17.5. Windows-Rechner mit dem Netzwerk verbinden / Integration von Windows
17.5.1. Einer Domäne beitreten
17.6. Remote Desktop (Entfernte Arbeitsfläche)
17.6.1. Xrdp
17.6.2. X2Go
17.6.3. Verfügbare Remote-Desktop-Clients
18. Samba in Debian Edu
18.1. Erste Schritte
18.1.1. Zugriff auf Dateien via Samba
18.2. Domänen-Mitgliedschaft
18.2.1. Windows-Rechnername
18.3. Erste Anmeldung an der Domäne
19. HowTos für Lehren und Lernen
19.1. Programmierung unterrichten
19.2. Schüler/-innen beobachten
19.3. Den Netzwerkzugang von Schülern beschränken
20. HowTos für Anwender
20.1. Passwörter verändern
20.2. Java
20.2.1. Java-Anwendungen ausführen
20.3. Verwendung von E-Mail
20.3.1. Thunderbird
20.3.2. Kerberos-Ticket zum Lesen von E-Mail auf Diskless Workstations anfordern
20.4. Lautstärkeregelung
21. Arbeiten Sie mit
21.1. Vor Ort mitarbeiten
21.2. Weltweit mitgestalten
21.3. Verfasser der Dokumentation und Übersetzer
22. Unterstützung
22.1. Unterstützung auf Freiwilligenbasis
22.1.1. auf Englisch
22.1.2. auf Norwegisch
22.1.3. auf Deutsch
22.1.4. auf Französisch
22.2. Professionelle Unterstützung
23. Neuerungen in Debian Edu Buster
23.1. Neuigkeiten für Debian Edu 10+edu0, Codename Buster
23.1.1. Installationsbezogene Änderungen
23.1.2. Aktualisierte Software
23.1.3. Aktualisierungen von Dokumentation und Übersetzungen
23.1.4. Andere Änderungen im Vergleich zum vorhergehenden Release
23.1.5. Bekannte Probleme
24. Copyright und Autoren
25. Autoren und Copyright der Übersetzungen
26. Übersetzungen dieses Dokuments
26.1. Anleitung zum Übersetzen dieses Dokuments
26.1.1. Unter Verwendung von PO-Dateien übersetzen
26.1.2. Online mittels Web-Browser übersetzen
27. Anhang A - The GNU General Public Licence
27.1. Handbuch für Debian Edu 10+edu0, Codename Buster
27.2. GNU GENERAL PUBLIC LICENSE
27.3. TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION
28. Anhang B - für Debian Edu Buster gibt noch keine Live-CDs/DVDs
28.1. Eigenschaften des Profils »Einzelplatzrechner«
28.2. Eigenschaften des Profils »Arbeitsplatzrechner«
28.3. Aktivieren von Übersetzungen und Regionalsupport
28.4. Gut zu wissen
28.5. Bekannte Probleme mit dem Image
28.6. Download
29. Anhang C - Neuerungen in alten Veröffentlichungen
29.1. Neuerungen in Debian Edu 9+edu0, Codename Stretch veröffentlicht am 17.06.2017
29.1.1. Installationsbezogene Änderungen
29.1.2. Aktualisierte Software
29.1.3. Aktualisierungen von Dokumentation und Übersetzungen
29.1.4. Andere Änderungen im Vergleich zum vorhergehenden Release
29.2. Neuerungen in Debian Edu 8+edu0, Codename Jessie veröffentlicht am 02.07.2016
29.2.1. Installationsbezogene Änderungen
29.2.2. Aktualisierte Software
29.2.3. Aktualisierungen von Dokumentation und Übersetzungen
29.2.4. Andere Änderungen im Vergleich zum vorhergehenden Release
29.3. Neuerungen in Debian Edu 7.1+edu0, Codename Wheezy, freigegeben am 28.09.2013
29.3.1. Für den Benutzer wahrnehmbare Änderungen
29.3.2. Installationsbezogene Änderungen
29.3.3. Aktualisierte Software
29.3.4. Aktualisierungen von Dokumentation und Übersetzungen
29.3.5. Änderungen mit Bezug auf LDAP
29.3.6. Sonstige Änderungen
29.3.7. Bekannte Probleme
29.4. Historische Informationen zu älteren Veröffentlichungen
29.4.1. Mehr Informationen zu noch älteren Veröffentlichungen

1. Handbuch für Debian Edu 10+edu0, Codename Buster

Debian Edu Login

Dies ist das Handbuch für das Release Debian Edu Buster 10+edu0.

Die (englischsprachige) Originalversion auf http://wiki.debian.org/DebianEdu/Documentation/Buster ist eine Wikiseite, die regelmäßig aktualisiert wird.

Übersetzungen sind Teil des Pakets debian-edu-doc, das auf einem Webserver installiert werden kann und auch online verfügbar ist.

2. Über Debian Edu und Skolelinux

Debian Edu, auch unter dem Namen Skolelinux bekannt, ist eine auf Debian basierende Distribution, die eine gebrauchsfertige Umgebung für ein komplett konfiguriertes Schulnetzwerk bereit stellt.

Die Kapitel über Hardware- und Netzwerkanforderungen sowie über die Architektur enthalten grundlegende Detailinformationen zu dieser Umgebung.

Nach der Installation eines Hauptservers stehen alle für ein Schulnetzwerk notwendigen Dienste zur Verfügung (siehe Details dazu im nächsten Kapitel zu den Einzelheiten der Architektur dieses Setups) und das System ist gebrauchsfertig. Es müssen nur noch Benutzer und Maschinen hinzugefügt werden, was mit der komfortablen Weboberfläche von GOsa² oder einem anderen LDAP-Editor erfolgen kann. Eine Umgebung für das Booten über das Netzwerk mittels PXE wurde ebenfalls vorbereitet; damit können nach der anfänglichen Installation des Hauptservers von CD, Blu-ray Disc oder USB-Stick alle anderen Rechner über das Netz installiert werden - eingeschlossen mobile Arbeitsplatzrechner (also solche, die ausserhalb des Netzwerks benutzt werden können wie Laptops und Netbooks). Auch das Booten mittels PXE für Rechner ohne Festplatten - wie traditionelle Thin Clients - ist dadurch verfügbar.

Mehrere für den Unterricht geeignete Anwendungen wie GeoGebra, Kalzium, KGeography, GNU Solfege und Scratch sind in der Standardversion der graphischen Arbeitsumgebung enthalten; diese kann leicht und fast unbegrenzt durch in Debian verfügbare Pakete erweitert werden.

2.1. Einiges zur Entstehungsgeschichte und zum Vorhandensein der beiden Namen

Skolelinux ist eine Linux-Distribution, die vom Debian Edu-Projekt erstellt wird. Als »Debian Pure Blend« ist sie ein offizielles Projekt von Debian.

Skolelinux stellt somit für Ihre Schule eine Version von Debian bereit, die eine gebrauchsfertige Umgebung für ein komplett konfiguriertes Schulnetzwerk bietet.

Das norwegische Skolelinux-Projekt wurde am 2.Juli 2001 gegründet; fast gleichzeitig begann in Frankreich Raphaël Hertzog mit Debian-Edu. Seit 2003 sind beide Projekte vereint, die beiden Namen blieben aber. Die Bezeichnungen »Skole« bzw. (Debian-)»Education« sind in beiden Regionen einfach sehr gut bekannt.

Heute ist das System in mehreren Ländern der Welt im Einsatz.

3. Architektur

Dieser Abschnitt des Dokuments erläutert die Netzwerkstruktur und die Serverdienste einer Skolelinux-Installation.

3.1. Netzwerk

Die Struktur des Debian-Edu-Netzwerks

Die Abbildung skizziert die vorgesehene Netzwerkstruktur. Die Standardeinrichtung eines Skolelinux-Netzwerks setzt genau einen Hauptserver voraus; normale Arbeitsstationen und LTSP-Server (mit ihren zugehörigen Thin Clients und/oder Diskless Workstations) können eingebunden werden. Die Anzahl der Arbeitsstationen kann so groß oder klein sein, wie gewünscht: von keiner bis zu vielen. Gleiches gilt für LTSP-Server, die ihre Thin Clients jeweils auf einem separaten Netzwerk bedienen, so dass der Netzwerkverkehr zwischen den Clients und ihrem LTSP-Server den Rest der Netzwerkdienste nicht stört. Detaillierte Informationen zu LTSP gibt es im entsprechenden Handbuchkapitel.

Der Grund für nur einen Hauptserver in jedem Schulnetzwerk ist, dass der Hauptserver DHCP anbietet. Dies kann immer nur eine Maschine in einem Netzwerk machen. Es ist möglich, Dienste des Hauptservers auf andere Maschinen auszulagern, indem diese Dienste dort aufsetzt werden und die DNS-Konfiguration auf dem Hauptserver so abgeändert wird, dass der DNS-Alias für die geänderten Dienste auf die richtige Maschine zeigt.

Um die Standardinstallation von Skolelinux einfach zu halten, läuft die Internetverbindung über einen separaten Router, auch Gateway genannt. Das Kapitel Internet-Router enthält Informationen, wie ein solches Gateway aufgesetzt werden kann, wenn ein vorhandener Router keine entsprechende Konfiguration erlaubt.

3.1.1. Die Standard-Einrichtung des Netzwerks

Der DHCP-Server auf dem Hauptserver (»tjener«) bedient das Netzwerk 10.0.0.0/8; er stellt für das Booten ein PXE-Menü bereit, aus dem ausgewählt werden kann, ob ein neuer Server oder Arbeitsplatzrechner installiert, der Rechner als Thin Client bzw. als Diskless Workstation gestartet, ein Speichertest (Memtest) ausgeführt oder von der lokalen Festplatte gestartet werden soll.

Dies lässt sich ändern; Einzelheiten dazu gibt es im entsprechenden HowTo-Kapitel.

Auf den LTSP-Servern bedient der DHCP-Server auf der zweiten Netzwerkkarte ein dediziertes Netzwerk (192.168.0.0/24 und 192.168.1.0/24 sind vorkonfigurierte Optionen); der Dienst sollte nur selten geändert werden müssen.

Die Konfiguration aller Subnetze ist in LDAP gespeichert.

3.1.2. Hauptserver (»tjener«)

Ein Skolelinux-Netzwerk benötigt einen Hauptserver, der auch »tjener« genannt wird, was norwegisch ist und »Server« heißt. Dieser »tjener« hat die vorgegebene IP-Adresse 10.0.2.2 und wird durch Auswahl des Hauptserver-Profils installiert. Es ist möglich (aber nicht unbedingt notwendig), die Profile des LTSP-Servers und die des Arbeitplatzrechners ergänzend zum Hauptserver-Profil zu installieren.

3.1.3. Dienste des Hauptservers

Abgesehen von der Versorgung der Thin Clients werden alle Netzwerkdienste von einem zentralen Computer (dem Hauptserver) bereitgestellt. Es ist möglich, das LTSP-Server-Profil ebenfalls auf dem Hauptserver zu installieren (Kombiserver), wovon aber aus Performanzgründen abzuraten ist. Den unterschiedlichen Diensten wird ein festgelegter DNS-Name zugewiesen (IPv4). Dadurch lassen sich einzelne Dienste leicht auf dedizierte Server auslagern: Nachdem der Dienst auf einem anderen Server installiert wurde, wird dieser auf dem Hauptserver abgeschaltet und die DNS-Konfiguration entsprechend angepasst.

Aus Sicherheitsgründen werden Passwörter stets verschlüsselt übertragen, so dass keine Klartextpasswörter über das Netzwerk gesendet werden.

Es folgt eine Liste von Diensten, die voreingestellt in einem Skolelinux-Netzwerk eingerichtet werden. Soweit möglich entspricht der DNS-Name dem Dienstnamen in /etc/services, sonst wurde die allgemeine Bezeichnung des Dienstes als DNS-Name verwendet. Alle Konfigurationsdateien verwenden möglichst den DNS-Namen (ohne Domäne), um die Änderung von IP-Bereichen oder Domänennamen zu erleichtern.

Tabelle der Dienste

Beschreibung des Dienstes

Üblicher Name

DNS-Name des Dienstes

Zentralisierte Systemprotokollierung

rsyslog

syslog

Domain-Name-System

DNS (BIND)

domain

Automatische Netzwerkkonfiguration von Maschinen

DHCP

bootps

Synchronisation der Systemzeit

NTP

ntp

Home-Verzeichnisse über Netzwerk-Dateisysteme

SMB / NFS

homes

Elektronisches Postamt

IMAP (Dovecot)

postoffice

Verzeichnisdienst

OpenLDAP

ldap

Benutzerverwaltung

GOsa²

---

Web-Server

Apache/PHP

www

Zentrale Datensicherung

sl-backup, slbackup-php

backup

Web-Zwischenspeicher

Proxy (Squid)

webcache

Drucken

CUPS

ipp

Sicherer Fernzugriff

OpenSSH

ssh

Automatische Konfiguration

CFEngine

cfengine

LTSP-Server

LTSP

ltsp

Netzwerk-Blockgerät-Server

NBD

---

Rechner- und Dienstüberwachung mit Fehlermeldungen, sowie Status und Verlauf (Web-Schnittstelle). Benachrichtigung per E-Mail im Fehlerfall

Munin, Icinga und Sitesummary

sitesummary

Die persönlichen Dateien eines jeden Nutzers werden im (vom Server bereitgestellten) Home-Verzeichnis gespeichert. Home-Verzeichnisse sind von jedem Rechner aus verfügbar - unabhängig vom Arbeitsplatz, an dem der Nutzer gerade sitzt. Der Server lässt sich plattformübergreifend nutzen, da er neben NFS für Unix-Clients auch Windows- und Macintosh-Clients per SMB bedient.

Das E-Mail-System ist nur zur lokalen Auslieferung vorkonfiguriert (d.h. innerhalb der Schule). Die E-Mail-Zustellung kann aber, sofern die Schule einen festen Internetzugang hat, so konfiguriert werden, dass E-Mails auch in das Internet ausgeliefert werden. Alle Clients sind so konfiguriert, dass sie ihre E-Mails an den Server (als »Smarthost«) senden. Benutzer können auf ihre persönlichen E-Mails mittels IMAP zugreifen.

Alle Dienste können mit einheitlichen Zugangsdaten (Anmeldename/Kennwort) genutzt werden, da es eine zentrale Datenbank für Authentifizierung und Autorisierung gibt.

Um die Leistung bei häufig aufgerufenen Web-Seiten zu steigern, wird ein lokaler Proxy-Server (Squid) benutzt. Angefragte Web-Seiten werden für den wiederholten Zugriff gespeichert. In Verbindung mit der Sperrung des Netzwerkverkehrs durch den Router ermöglicht dies auch die Kontrolle über den Internetzugriff einzelner Maschinen.

Die Netzwerkeinrichtung der Client-Rechner erfolgt automatisch mittels DHCP. Alle Client-Typen können mit dem privaten Subnetz 10.0.0.0/8 verbunden werden und bekommen entsprechende IP-Adressen zugeteilt; LTSP-Clients sollten mit dem zugehörigen LTSP-Server über das entsprechende separate Subnetz 192.168.0.0/24 verbunden werden (damit der Netzwerkverkehr der LTSP-Clients nicht den Rest der Netzwerkdienste stört).

Das zentrale Protokollieren von Systemnachrichten ist so konfiguriert, dass alle Maschinen ihre Syslog-Meldungen zum Server übertragen. Der Syslog-Dienst akzeptiert ausschließlich aus dem lokalen Netzwerk eingehende Nachrichten.

Der DNS-Server ist voreingestellt mit einer Domain für nur interne Benutzung konfiguriert (*.intern), bis eine richtige (»externe«) DNS-Domain konfiguriert werden kann. Der DNS-Server ist als zwischenspeichernder DNS-Server konfiguriert, so dass alle Maschinen des Netzwerks ihn als Haupt-DNS-Server benutzen können.

Schüler und Lehrer können eigene Webseiten veröffentlichen. Der Webserver bietet Mechanismen zur Authentifizierung von Benutzern und der Einschränkung des Zugriffs auf individuelle Seiten und Unterverzeichnisse für bestimmte Benutzer und Gruppen. Serverseitig steht der Erstellung dynamischer Webseiten nichts im Wege.

Informationen über Benutzer und Maschinen können an zentraler Stelle geändert werden und sind automatisch von allen Maschinen abrufbar. Um dies zu erreichen, ist ein zentraler Verzeichnisserver eingerichtet, der Informationen über Benutzer, Benutzergruppen, Maschinen und »Netgroups« bereitstellt. Um eine Verwirrung des Benutzers zu vermeiden, wird kein Unterschied zwischen Mailinglisten und »Netgroups« gemacht. Da Gruppen von Maschinen die gleichen »Netgroups« teilen müssen, impliziert dies, dass sie den gleichen Namensraum wie Benutzergruppen und Mailinglisten haben.

Die Verwaltung von Diensten und Benutzern wird überwiegend webbasiert durchgeführt und folgt dabei etablierten Standards, die mit den in Skolelinux enthaltenen Webbrowsern gut funktionieren. Die Übertragung von bestimmten Aufgaben an individuelle Benutzer oder Benutzergruppen wird vom Verwaltungssystem ermöglicht.

Um bestimmte Probleme mit NFS zu vermeiden und um die Fehlersuche zu vereinfachen, muss die Zeit der verschiedenen Maschinen im Netzwerk synchronisiert werden. Um dies zu gewährleisten, ist der Skolelinux-Server als ein lokaler Netzwerk-Zeitserver (NTP) eingerichtet und alle Arbeitsstationen und Clients sind so konfiguriert, dass sie ihre Uhr mit der des Servers abgleichen. Der Server selbst sollte sich mit NTP über das Internet gegen Zeitserver höherer Ordnung synchronisieren, um sicherzustellen, dass das ganze Netzwerk die korrekte Zeit hat.

Drucker können entweder an das Hauptnetzwerk, an den Server, eine Workstation oder einen LTSP-Server angeschlossen werden. Zugriff auf Drucker kann für bestimmte Benutzer entsprechend ihrer Gruppenzugehörigkeit kontrolliert werden. Dies wird durch die Benutzung von Mengenbegrenzungen und Zugriffskontrolllisten für Drucker erreicht.

3.1.4. LTSP-Server

In einem Skolelinux-Netzwerk kann es mehrere LTSP-Server (in Releases vor Stretch »Terminal-Server« genannt) geben; die Installation erfolgt durch Auswahl des Profils »LTSP-Server«.

Der LTSP-Server ist so konfiguriert, dass er die Systemmeldungen (Syslog) der Thin Clients empfängt und an den zentralen Systemprotokollierungsdienst des Hauptservers weiterleitet.

Bitte beachten:

  • Thin Clients benutzen die auf dem Server installierten Programme.

  • Diskless Workstations benutzen die im LTSP-Chroot des Servers installierten Programme.

  • Für LTSP-Clients sollte eine eher schlanke graphische Arbeitsumgebung verwendet werden; diese kann bei der Installation spezifiziert werden, siehe das Kapitel zur Installation.

  • Das Root-Dateisystem des Clients wird mittels NBD (Netzwerk-Blockgerät) bereitgestellt. Nach jeder Veränderung des LTSP-Chroots muss das entsprechende NBD-Image neu generiert werden; führen Sie dazu ltsp-update-image auf dem LTSP-Server aus.

3.1.5. Thin Clients

Durch Einrichtung als Thin Client kann ein gewöhnlicher Rechner als (X-)Terminal eingesetzt werden. Das heißt, dass diese Maschine via PXE direkt vom Server startet, ohne die lokale Festplatte zu benutzen. Die Einrichtung der Thin Clients verwendet das Setup des Linux-Terminal-Server-Projekts (LTSP).

Thin Clients sind ein guter Weg, um alte und leistungsschwache Rechner zu verwenden, da alle Programme effektiv auf dem LTSP-Server ausgeführt werden. Dies funktioniert folgendermaßen: Der Dienst benutzt DHCP und TFTP, um dem Client zu ermöglichen, sich mit dem Netzwerk zu verbinden und davon zu starten. Als nächstes wird das Dateisystem mittels NBD vom LTSP-Server eingehängt und letztendlich X11 gestartet. Der Anmeldemanager (LDM) verbindet sich über SSH mit X-forwarding mit dem LTSP-Server. Dadurch sind sämtliche Daten im Netzwerk verschlüsselt.

3.1.6. Diskless Workstations

Für Arbeitsplatzrechner ohne Festplatte werden auch Begriffe wie »Stateless-Workstation«, »Lowfat-Arbeitsplatzrechner« oder »Half-Thick-Client« benutzt. In diesem Handbuch soll der Begriff »Diskless Workstation« verwendet werden.

Bei einer Diskless Workstation läuft alle Software auf dieser selbst; ein lokal installiertes Betriebssystem ist nicht notwendig. Das heißt, der Rechner startet direkt mit Software von der Festplatte des Servers, ohne auf der lokalen Festplatte installierte Software auszuführen.

Eine Diskless Workstation ermöglicht es, ältere (aber leistungsfähige) Hardware mit ebenso niedrigem Wartungsaufwand wie bei Thin Clients einzusetzen. Bei einer Diskless Workstation laufen alle Anwendungen lokal. Die Software wird aber auf dem Server administriert und gewartet, ohne dass sie auf den Clients installiert werden muss. Ebenso werden Home-Verzeichnisse und Systemeinstellungen auf dem Server bereitgehalten.

3.1.7. Netzwerk-Clients

Mit dem Ausdruck »Netzwerk-Clients« werden in dieser Anleitung Thin Clients und Diskless Workstations bezeichnet; gleiches gilt für Computer, die Mac OS oder Windows verwenden.

3.2. Administration

Alle Linux-Rechner, die mittels Skolelinux-Installer installiert wurden, können von einem zentralen Computer, üblicherweise dem Hauptserver, verwaltet werden. Per SSH ist es möglich, sich auf allen Rechnern anzumelden und damit vollen Zugriff auf die Maschinen zu bekommen. Der Benutzer »root« muss vorher kinit ausführen, um ein Kerberos TGT zu erhalten.

Alle Benutzerinformationen werden in einem LDAP-Verzeichnis gespeichert. Aktualisierungen von Benutzerkonten werden in dieser Datenbank durchgeführt, die auch von den Clients zur Authentifizierung der Benutzer verwendet wird.

3.2.1. Installation

Gegenwärtig gibt es zwei Arten von Installationsmedien: »netinst« und »BD«. Beide können auch von einem USB-Stick gebootet werden.

Die Idee ist, einmalig einen Server von irgendeiner Art von Medium und danach alle anderen Clients über das Netzwerk via PXE-Boot installieren zu können.

Nur die Netzwerk-Installer-CD benötigt während der Installation Internetzugang.

Die Installation sollte keine Fragen mit Ausnahme der gewünschten Sprache (z.B. Norwegian Bokmål, Nynorsk, Sami, German) und dem Rechnerprofil (Hauptserver, Arbeitsplatzrechner, LTSP-Server) stellen. Alle anderen Einstellungen werden automatisch mit vernünftigen Werten versehen, die vom Systemadministrator von einer zentralen Stelle aus nach der Installation geändert werden können.

3.2.2. Konfiguration der Zugriffsrechte auf das Dateisystem

Jedem Skolelinux-Benutzerkonto ist ein Teil des Dateisystems auf dem Server zugeordnet. Dieser Bereich (Home-Verzeichnis) beinhaltet die individuelle Konfiguration, Dokumente, E-Mails und Webseiten des Benutzers. Etliche der Dateien sollten mit Lesezugriff für andere System-Benutzer ausgestattet sein, einige sollten im Internet für jedermann lesbar und manche ausschließlich dem Benutzer selbst zugänglich sein.

Um sicherzustellen, dass die Benennung aller Festplatten für Home-Verzeichnisse oder gemeinsame Verzeichnisse auf allen installierten Computern einheitlich erfolgt, können die Platten unter /skole/host/VERZEICHNIS/ eingehängt werden. Zu Beginn wird auf dem Hauptserver nur das Verzeichnis /skole/tjener/home0/ erstellt, in dem alle Home-Verzeichnisse angelegt werden. Weitere Verzeichnisse können bei Bedarf erstellt werden, um bestimmte Benutzergruppen oder Nutzungsmuster abzubilden.

Um den gemeinsamen Zugriff auf Dateien unter Verwendung der normalen UNIX-Berechtigungen zu realisieren, müssen Benutzer zusätzlichen Gruppen (wie »students«) sowie der primären persönlichen Gruppe (per Voreinstellung vorhanden) angehören. Benutzer müssen eine umask von 002 oder 007 haben, um neu erstellten Objekten Gruppenzugriff zu ermöglichen und die betreffenden Verzeichnisse müssen mittels »setgid« so mit Rechten versehen sein, dass Dateien die richtigen Gruppenrechte erben. Unter diesen Bedingungen ist ein kontrollierter gemeinsamer Dateizugriff unter den Mitgliedern einer Gruppe möglich.

Die anfängliche Einstellung der Zugriffsrechte für neu erstellte Dateien ist eine Frage der zugrundeliegenden Philosophie. Debian verwendet die umask 022 als Voreinstellung; damit ist der oben beschriebene Gruppenzugriff nicht möglich. Debian Edu benutzt als Voreinstellung 002 - was Lesezugriff für alle Benutzer auf neu erstellte Dateien bedeutet, der später explizit durch den Benutzer entfernt werden kann. Alternativ kann die umask von 002 durch Editieren der Datei /etc/pam.d/common-session in 007 geändert werden - damit ist der Lesezugriff zunächst nicht erlaubt und müsste durch den Benutzer später ausdrücklich gesetzt werden. Der erste Ansatz fördert das Teilen von Wissen und macht das System transparenter, wohingegen die zweite Methode das Risiko ungewünschter Verbreitung privater Inhalte senkt. Das Problem mit der ersten Lösung ist, dass es für die Benutzer nicht ersichtlich ist, dass das von ihnen erstellte Material von allen anderen Benutzern lesbar ist. Dies ist nur durch die Untersuchung der Home-Verzeichnisse erkennbar, wo ersichtlich ist, dass die Dateien lesbar sind. Das Problem mit der zweiten Lösung besteht darin, dass wahrscheinlich wenig Leute ihre Dateien lesbar machen möchten, selbst wenn sie keine sensiblen Informationen enthalten, der Inhalt aber hilfreich für neugierige Benutzer sein könnte, die lernen wollen, wie andere Benutzer bestimmte Probleme gelöst haben (typischerweise Konfigurationseinstellungen).

4. Voraussetzungen

Es gibt verschiedene Möglichkeiten, eine Skolelinux-Lösung einzurichten. Skolelinux kann einfach auf einem einzelnen PC oder für eine ganze Region mit vielen Schulen (bei zentralisierter Verwaltung) installiert werden. Diese Flexibilität hat große Unterschiede bezüglich der Konfiguration von Netzwerkkomponenten, Servern und Client-Rechnern zur Folge.

4.1. Hardwareanforderungen

Die Bedeutung der verschiedenen Profile wird im Kapitel Netzwerk-Architektur erläutert.

/!\ Falls LTSP zum Einsatz kommen soll, finden Sie auf der (englischsprachigen) LTSP Hardware Requirements wiki page weitere Informationen.

  • Rechner, auf denen Debian Edu / Skolelinux installiert werden soll, müssen entweder 32-Bit (Debian-Architektur 'i386', 686-Prozessoren als älteste) oder 64-Bit (Debian-Architektur 'amd64') x86-Prozessoren haben.

  • Mindestens 12 GiB RAM für 30 Thin Clients und 20 GiB RAM für 50-60 Thin Clients werden für die Profile »Hauptserver« und »LTSP-Server« empfohlen.

  • Thin Clients mit nur 256 MiB RAM und 400 MHz sind möglich, es werden aber mehr RAM und schnellere Prozessoren empfohlen.

    • Speicherauslagerung über das Netzwerk ist für LTSP Clients automatisch voreingestellt; die Größe des Auslagerungsspeichers beträgt 512 MiB. Wenn Sie mehr benötigen, können Sie das durch Editieren der Datei /etc/ltsp/nbdswapd.conf auf »Tjener« ändern, indem Sie die SIZE-Variable entsprechend erhöhen.

    • Wenn Ihre Diskless Workstations eine Festplatte besitzen, sollten Sie diese als Swap (Auslagerungsspeicher) verwenden. Dies ist viel schneller als die Auslagerung über das Netzwerk.

  • Für Arbeitsplatzrechner, Diskless Workstations und Einzelplatzrechner sind mindestens 1500 Mhz und 1024 MiB RAM das absolute Minimum. Um moderne Webbrowser und LibreOffice nutzen zu können, werden mindestens 2048 MiB RAM empfohlen.

    • Auf Arbeitsplatzrechnern mit wenig RAM könnte die Rechtschreibprüfung LibreOffice einfrieren lassen, falls der Auslagerungsspeicher ebenfalls zu klein ist. Wenn dies häufig vorkommt, kann die Rechtschreibprüfung vom Systemverwalter deaktiviert werden.

  • Die Minimalanforderung für den Plattenplatz hängt vom installierten Profil ab:

    • Hauptserver + LTSP-Server: 70 GiB (plus zusätzlicher Platz für Benutzerkonten).

    • LTSP-Server: 50 GiB.

    • Arbeitsplatzrechner oder Einzelplatzrechner: 30 GiB.

  • LTSP-Server benötigen zwei Netzwerkkarten, wenn sie die Standard-Netzwerkarchitektur nutzen sollen:

    • eth0 ist verbunden mit dem Hauptnetzwerk (10.0.0.0/8),

    • eth1 wird benutzt, um LTSP-Clients zu bedienen (standardmäßig 192.168.0.0/24, aber auch andere sind möglich).

  • Laptops sind mobile Arbeitsplatzrechner; es gelten daher dieselben Anforderungen wie für Arbeitsplatzrechner.

4.2. Getestete Hardware

Eine Liste getesteter Hardware erhalten Sie unter http://wiki.debian.org/DebianEdu/Hardware/. Diese Liste ist aber nicht einmal annähernd vollständig. :)

http://wiki.debian.org/InstallingDebianOn stellt einen Versuch dar, die Installation, Konfiguration und Benutzung von Debian auf spezieller Hardware zu dokumentieren. Potentielle Käufer oder Eigentümer dieser Hardware können sich ein Bild von eventuell auftretenden Problemen oder besonderer Konfiguration machen.

Eine ausgezeichnete Datenbank von Hardware, die von Debian unterstützt wird, gibt es online unter http://kmuto.jp/debian/hcl/.

5. Voraussetzungen für die Einrichtung des Netzwerks

5.1. Standardinstallation

Die folgenden Regeln gelten, solange die Standard-Netzwerkarchitektur verwendet wird:

  • Sie benötigen genau einen Hauptserver, genannt »tjener«.

  • Sie können hunderte von Arbeitsplatzrechnern im Hauptnetzwerk einsetzen.

  • Sie können viele LTSP-Server im Hauptnetzwerk haben. In LDAP sind zwei verschiedene Subnetze vorkonfiguriert (DNS, DHCP), weitere können hinzugefügt werden.

  • Sie können hunderte von Thin Clients und/oder Diskless Workstations in jedem LTSP-Netzwerk verwenden.

  • Sie können mehrere Hundert weitere Rechner verwenden; diese bekommen ihre IP-Adresse dynamisch zugewiesen.

  • Um den Zugang zum Internet zu ermöglichen, benötigen Sie einen Router/Gateway (siehe unten).

5.2. Router (Internet)

Um Internetzugang zu haben, wird ein Router/Gateway benötigt, welcher über die externe Schnittstelle mit dem Internet verbunden ist und auf der internen Schnittstelle die IP-Adresse 10.0.0.1 sowie die Netzmaske 255.0.0.0 hat.

Auf dem Router sollte kein DHCP-Server laufen; ein DNS-Server kann laufen, ist aber nicht notwendig und wird auch nicht benutzt.

Wenn Sie bereits einen Router haben, diesen jedoch nicht nach Bedarf konfigurieren können (z.B. weil Sie das nicht dürfen oder aus technischen Gründen), kann ein älterer Computer mit zwei Netzwerkschnittstellen als Gateway zwischen dem bestehenden und dem Debian-Edu-Netzwerk verwendet werden.

Ein einfacher Weg ist, Debian Edu auf diesem Computer zu installieren. Wählen Sie während der Installation »Minimal« als Profil.

Nach der Installation:

  • Die Datei »/etc/network/interfaces« anpassen.

  • Den Rechnernamen permanent auf »gateway« ändern.

  • IP-Forwarding und NAT für das Netzwerk 10.0.0.0/8 einrichten.

  • Als Option eine Firewall und / oder ein Programm zur Kontrolle der Netzwerkbelastung (traffic shaping) installieren.

 #!/bin/sh
 # Turn a system with profile 'Minimal' into a gateway/firewall. 
 #
 sed -i 's/auto eth0/auto eth0 eth1/' /etc/network/interfaces
 sed -i '/eth1/ s/dhcp/static/' /etc/network/interfaces
 echo 'address 10.0.0.1' >> /etc/network/interfaces
 echo 'netmask 255.0.0.0' >> /etc/network/interfaces
 hostname -b gateway
 hostname > /etc/hostname 
 service networking stop
 service networking start
 sed -i 's#NAT=#NAT="10.0.0.0/8"#' /etc/default/enable-nat 
 service enable-nat restart
 # You might want a firewall (shorewall or ufw) and traffic shaping.
 #apt update
 #apt install shorewall
 # or
 #apt install ufw
 #apt install wondershaper  

Für Hardwarerouter und Accesspoints kann OpenWRT benutzt werden, wobei Sie natürlich auch die Originalfirmware verwenden können. Das ist einfacher, allerdings haben Sie mit OpenWRT mehr Auswahlmöglichkeiten und Kontrolle. Eine Liste unterstützter Hardware finden Sie auf der Hardware-Seite von OpenWRT.

Es ist möglich, eine abweichende Netzwerk-Struktur zu verwenden. Wie das geht, ist hier dokumentiert. Wenn Sie dazu jedoch nicht aufgrund einer existierenden Netzwerk-Infrastruktur gezwungen sind, ist die Nutzung der Standard-Netzwerkarchitektur zu empfehlen.

6. Installation und Optionen für das Herunterladen

6.1. Hinweise auf weitere Informationsquellen

Es wird empfohlen, die Veröffentlichungshinweise für Debian Buster vor einer Installation zu lesen - oder zumindest einen Blick darauf zu werfen, bevor Sie ein Produktivsystem installieren. Weitere Informationen über Debian Buster enthält die Installationsanleitung.

Bitte probieren Sie Debian Edu / Skolelinux aus, es sollte einfach funktionieren. :-)

Es wird allerdings empfohlen, die Kapitel über Hardware- und Netzwerkanforderungen sowie über die Architektur zu lesen, bevor die Installation eines Hauptrechners begonnen wird.

/!\ Bitte unbedingt in diesem Handbuch das Kapitel Erste Schritte lesen, da dort erklärt wird, wie die erste Anmeldung funktioniert.

6.2. Herunterladen des Installationsmediums für Debian Edu 10+edu0, Codename Buster

6.2.1. amd64 oder i386

amd64 und i386 sind die Namen von zwei Debian-Architekturen für x86-CPUs, beide stammen oder stammten von AMD, Intel und anderen Herstellern. amd64 ist eine 64-Bit-Architektur und i386 ist eine 32-Bit-Architektur. Neue Installationen sollten heutzutage amd64 verwenden. i386 sollte nur auf alter Hardware eingesetzt werden.

6.2.2. Netzwerk-Installer-Images für amd64 oder i386

Das Netzwerk-Installer-Image kann für die Installation mittels CD/DVD und USB-Stick benutzt werden, es ist für zwei Debian-Architekturen verfügbar: i386- bzw. amd64. Wie der Name schon sagt, ist während der Installation eine Internetverbindung notwendig.

Nach der Veröffentlichung von Buster werden diese Images hier zum Download zur Verfügung stehen:

6.2.3. BD-ISO-Images für i386 oder amd64

Dieses ISO-Image ist etwa 5 GB groß; es eignet sich zur Installation von amd64- oder i386-Maschinen - auch bei fehlender Internetverbindung. Es kann wie das Netzwerk-Installer-Image auf einen USB-Stick oder eine USB-Festplatte geeigneter Größe kopiert werden.

Nach der Veröffentlichung von Buster werden diese Images hier zum Download zur Verfügung stehen:

6.2.4. Überprüfung heruntergeladener Image-Dateien

Eine detaillierte Anleitung für das Überprüfen dieser Images ist Teil der Debian-CD FAQ.

6.2.5. Quellen

Sources gibt es im Debian-Depot an den üblichen Orten, mehrere Medien sind hier verlinkt: http://get.debian.org/cdimage/release/current/source/

6.3. Anforderung einer CD / DVD auf dem Postweg

Für alle ohne eine schnelle Internetverbindung wird eine CD/DVD zum Selbstkostenpreis (CD/DVD + Transport) angeboten. Senden Sie einfach eine E-Mail an: cd@skolelinux.no und es werden ihnen die Kosten (Medium und Transport) sowie die Zahlungsweise mitgeteilt. :) Bitte denken Sie daran, eine Zustelladresse in der E-Mail anzugeben.

6.4. Die Installation von Debian Edu

Wenn Sie Debian Edu installieren, haben Sie verschiedene Varianten zur Auswahl. Aber keine Angst, es sind nicht sehr viele. Es wurde versucht, die Komplexität von Debian während der Installation und darüber hinaus überschaubar zu gestalten. Aber Debian Edu ist ein Teil von Debian und mehr als 57000 Pakete mit einer Milliarde von Konfigurationsmöglichkeiten stehen zur Auswahl. Für die Mehrheit der Anwender sollten die Voreinstellungen sehr gut passen. Bitte beachten: Falls LTSP eingesetzt werden soll, dann ist die Wahl einer schlanken graphischen Oberfläche sinnvoll.

6.4.1. Szenarien der Installation eines Hauptservers

  1. Typisches Schul- oder Heimnetzwerk mit Internet-Zugang per Router (mit DHCP):

    • Die Installation eines Hauptservers ist möglich, aber nach dem Neustart fehlt die Internet-Verbindung (wegen der IP-Adresse 10.0.2.2/8 für die erste Netzwerkschnittstelle).

    • Das Kapitel Internet-Router enthält Informationen, wie ein solches Gateway aufgesetzt werden kann, wenn ein vorhandener Router keine entsprechende Konfiguration erlaubt.

    • Verbinden Sie alle Komponenten so, wie es dem Kapitel Netzwerk-Architektur zu entnehmen ist.

    • Der Hauptserver sollte nach dem ersten Start in der richtigen Umgebung Zugang zum Internet haben.

  2. Typisches Netzwerk einer Schule oder Institution (ähnlich wie oben, aber mit dem Zwang, einen Proxy verwenden zu müssen).

    • Den Eintrag 'debian-edu-expert' zur Kernel-Kommandozeile hinzufügen; weiter unten wird erklärt, wie die Bearbeitung vorgenommen wird.

    • Einige zusätzliche Fragen sind zu beantworten, darunter die nach dem Proxy-Server.

  3. Netzwerk mit Router/Gateway-IP-Adresse 10.0.0.1/8 (ohne DHCP-Server) und Internet-Verbindung:

    • Nach dem Scheitern der automatischen Einrichtung des Netzwerks (wegen fehlendem DHCP) manuelle Konfiguration auswählen.

      • Als IP-Adresse 10.0.2.2/8 eingeben

      • Als Gateway-IP-Adresse 10.0.0.1 eingeben

      • Als Nameserver-IP-Adresse 8.8.8.8 eingeben (oder eine bekannte andere)

    • Der Hauptserver sollte nach dem ersten Start funktionieren.

  4. Offline (keine Internet-Verbindung):

    • Das BD-ISO-Image verwenden.

    • Sicherstellen, dass alle (realen/virtuellen) Netzwerkverbindungen gekappt sind.

    • »Netzwerk unkonfiguriert lassen« auswählen (nachdem die automatische Konfiguration gescheitert ist und »Weiter« gewählt wurde).

    • Das System aktualisieren, sobald dieses erstmalig in der richtigen Umgebung mit Internet-Zugang gestartet wurde.

6.4.2. Wahl der graphischen Arbeitsumgebung

  • KDE und GNOME bieten jeweils eine gute Unterstützung für viele Sprachen, haben aber für ältere Computer und für LTSP-Clients zu hohe Leistungsanforderungen.

  • MATE hat einen geringeren Ressourcenbedarf als die beiden oben genannten, lässt aber für mehrere Länder eine gute Sprachunterstützung vermissen.

  • LXDE hat den geringsten Ressourcenbedarf und unterstützt 35 Sprachen.

  • LXQt ist eine ressourcenschonende Arbeitsumgebung (Sprachunterstützung ähnlich wie LXDE) mit modernerem Aussehen und Verhalten (so wie KDE auf Qt basierend).

  • Xfce hat einen etwas höheren Ressourcenbedarf als LXDE, aber eine sehr gute Sprachunterstützung (106 Sprachen).

Als internationales Projekt hat sich Debian Edu für die graphische Arbeitsumgebung Xfce als Standard entschieden; siehe unten, wie eine andere gesetzt werden kann.

6.4.3. Modulare Installation

  • Wenn die Installation eines Systems (auch) das Profil Arbeitsplatzrechner enthält, dann werden sehr viele bildungsbezogene Progamme installiert. Um nur das Basissystem zu installieren, muss der Kernel-Befehlszeilen-Parameter desktop=xxxx vor dem Start der Installation entfernt werden; weiter unten ist beschrieben, wie dies gemacht wird. Auf diese Weise lässt sich ein an die örtlchen Gegebenheiten angepasstes System installieren und auch eine Testinstallation kann so deutlich beschleunigt werden.

  • Bitte beachten: Falls anschließend eine graphische Arbeitsumgebung installiert werden soll, dann verwenden Sie nicht die Debian-Edu-Metapakete wie z. B. education-desktop-mate (dies würde alle bildungsbezogenen Pakete mitinstallieren), sondern z. B. das Metapaket task-mate-desktop. Eines (oder mehrere) der schulstufenbezogenen Metapakete education-preschool, education-primaryschool, education-secondaryschool, education-highschool könnten passend zum Verwendungszweck installiert werden.

  • Auf der (englischsprachigen) Seite Debian Edu packages overview gibt es Informationen zu den Debian-Edu-Metapaketen.

6.4.4. Installationsarten und Optionen

Startmenü des Installers auf 64-Bit-Hardware.

64-bit Installer Boot-Menu

Graphical install benutzt das graphische Installationsprogramm mit Maus.

Install verwendet den Textmodus.

Advanced options > zeigt ein Untermenü mit weiteren Optionen.

Help zeigt einige Hinweise für die Benutzung des Installationsprogrammes; siehe Screenshot weiter unten.

64-bit Installer advanced options

Back.. führt zum Hauptmenü zurück.

Graphical expert install zeigt alle verfügbaren Fragen; Maus ist benutzbar.

Graphical rescue mode verwendet dieses Installationsmedium als Rettungswerkzeug für Notfälle.

Graphical automated install benötigt eine Preseed-Datei.

Expert install zeigt alle verfügbaren Fragen für den Textmodus an.

Rescue mode Textmodus; verwendet dieses Installationsmedium als Rettungswerkzeug für Notfälle.

Automated install Textmodus; benötigt eine Preseed-Datei.

Help screen

Installer help screen

Diese Hilfeseite ist selbsterklärend; mittels der <F>-Tasten können Sie weitergehende Informationen zu den angegebenen Themen bekommen.

Boot-Parameter für die Installation ändern oder hinzufügen

In beiden Fällen können die Boot-Optionen eingegeben werden, wenn im Boot-Menü die Tabulator-Taste gedrückt wird. Der Screenshot zeigt die Kommandozeile für den Typ Graphical install.

Optionen der Kommandozeile bearbeiten

  • Sie können einen existierenden HTTP-Proxy in Ihrem Netzwerk benutzen, um die CD-Installation des »Hauptserver«-Profils zu beschleunigen. Verwenden Sie dazu beispielsweise mirror/http/proxy=http://10.0.2.2:3128 als zusätzlichen Boot-Parameter.

  • Falls Sie bereits das »Hauptserver«-Profil auf einer Maschine installiert haben, sollten weitere Installationen via PXE erfolgen, da dann automatisch der Proxy des Hauptservers benutzt wird.

  • Um den GNOME-Desktop anstatt des vorgegebenen Xfce--Desktops zu installieren, ersetzen Sie xfce durch gnome in desktop=xfce.

  • Um stattdessen den LXDE-Desktop zu installieren, verwenden Sie desktop=lxde.

  • Um stattdessen den LXQt-Desktop zu installieren, verwenden Sie desktop=lxqt.

  • Um alternativ den KDE Plasma-Desktop zu installieren, verwenden Sie desktop=kde.

  • Und um alternativ den MATE-Desktop zu installieren, verwenden Sie desktop=mate.

6.4.5. Der Installationsprozess

Denken Sie an die Systemvoraussetzungen und stellen Sie sicher, dass mindestens zwei Netzwerkkarten vorhanden sind, wenn Sie einen LTSP-Server einrichten wollen.

  • Wählen Sie eine Sprache (sowohl für die Installation als auch für das zu installierende System).

  • Wählen Sie ein Land, welches im Regelfall dasjenige ist, in dem Sie leben.

  • Wählen Sie eine Tastaturbelegung (üblicherweise ist die jeweilige Ländereinstellung das Beste).

  • Wählen Sie ein Profil (oder mehrere) von dieser Liste:

    • Hauptserver

      • Dies ist der Hauptserver (»tjener«) für Ihre Schule, bei dem alle Dienste vorkonfiguriert sind, damit diese sofort funktionieren. Sie dürfen nur einen Hauptserver pro Schule einrichten! Das Profil enthält keine graphische Arbeitsumgebung. Um letztere zu erhalten, wählen Sie zusätzlich »Arbeitsplatzrechner« oder »LTSP-Server«.

    • Arbeitsplatzrechner

      • Ein Computer, der von seiner eigenen lokalen Festplatte bootet, und bei dem alle Programme und Geräte lokal laufen, wie bei einem gewöhnlichen Computer. Nur die Benutzeranmeldung erfolgt am Hauptserver, wo die Nutzerdaten und das Arbeitsflächenprofil gespeichert sind.

    • Mobiler Arbeitsplatzrechner

      • Wie Arbeitsplatzrechner, aber mit der Fähigkeit, die Authentifizierung mittels gespeicherter Zugangsdaten vorzunehmen - somit auch außerhalb des Schulnetzwerks verwendbar. Benutzerdaten und Profile werden lokal gespeichert. Für Netbooks und Laptops von Einzelbenutzern sollte dieses Profil anstelle der früher empfohlenen Profile »Arbeitsplatzrechner« oder »Einzelplatzrechner« gewählt werden.

    • LTSP-Server

      • Ein Server für Thin Clients (und Diskless Workstations) wird LTSP-Server genannt. Rechner ohne Festplatte erhalten die Software zum Booten und ihre Programme von diesem Server. Der LTSP-Server benötigt zwei Netzwerkkarten, viel Speicher und idealerweise mehr als einen Prozessor oder Prozessorkern. Schauen Sie sich für mehr Informationen das Kapitel über Netzwerkrechner an. Die Auswahl dieses Profils aktiviert auch das Arbeitsplatzrechner-Profil (auch wenn dieses nicht explizit ausgewählt wird). Ein LTSP-Server kann immer auch als Arbeitsplatzrechner verwendet werden.

    • Einzelplatzrechner

      • Ein gewöhnlicher Computer, der ohne einen Hauptserver funktioniert, insbesondere nicht in ein Netzwerk eingebunden sein muss, Laptops eingeschlossen.

    • Minimal

      • Dieses Profil installiert die Basispakete und konfiguriert den Rechner so, dass er in das Debian-Edu-Netzwerk integriert werden kann - jedoch ohne irgendwelche Dienste und Anwendungen. Es kann genutzt werden, um einzelne Dienste manuell vom Server auf diesen Rechner zu verlagern.

    Die Profile Hauptserver, Arbeitsplatzrechner und LTSP-Server sind die Voreinstellung. Diese Profile können gleichzeitig auf einer Maschine installiert werden, wenn Sie einen sogenannten Kombiserver haben wollen. Damit ist der Hauptserver gleichzeitig ein LTSP-Server und kann auch als Arbeitsplatzrechner eingesetzt werden. Dies ist die Voreinstellung, da anzunehmen ist, dass in vielen Fällen danach weitere Installationen mittels PXE erfolgen sollen. Bitte beachten: Eine Maschine, die als »Kombiserver« oder als »LTSP-Server« dienen soll, muss zwei Netzwerkkarten haben, damit sie dem Zweck entsprechend genutzt werden kann.

  • Bitte »ja« oder »nein« zur automatischen Partitionierung sagen. Beachten Sie, dass Ihre Zustimmung (»ja«) alle Daten auf den Festplatten zerstört! Andererseits erfordert die Ablehnung (»nein«) mehr Arbeit, da Sie alle Partitionen selbst anlegen und dabei auf ausreichende Größe achten müssen.

  • Bitte gestatten Sie die Übertragung von Informationen an https://popcon.debian.org/, damit festgestellt werden kann, welche Pakete populär sind und auch in Zukunft bereitgestellt werden sollten. Damit können Sie auf einfache Art helfen. :)

  • Bitte beachten: Falls sich das Profil »LTSP-Server« unter den gewählten Profilen befindet, wird das Installationsprogramm am Ende einige Zeit für den Punkt »Beende die Installation - Führe debian-edu-profile-udeb aus ...« benötigen.

  • Nach Eingabe des Passwortes für »root« werden Sie aufgefordert, ein normales Benutzerkonto für nichtadministrative Aufgaben einzurichten. Für Debian Edu ist dieses Konto sehr wichtig: Mit diesem Konto werden Sie das Skolelinux-Netzwerk verwalten.

    /!\ Das Passwort dieses Benutzers muss eine Länge von mindestens 5 Zeichen aufweisen und sich vom Benutzernamen unterscheiden, da das Anmelden sonst nicht möglich ist. (Dies gilt, obwohl vom Installer sowohl kürzere als auch mit dem Benutzernamen übereinstimmende Passwörter akzeptiert werden).

  • Freuen Sie sich.

6.4.6. Anmerkungen zu einigen Eigenschaften

6.4.6.1. Eine Bemerkung zu Notebooks

Sehr wahrscheinlich wollen Sie das Profil »Mobiler Arbeitsplatzrechner« verwenden (s.o.). Bitte beachten Sie, dass alle Daten lokal gespeichert werden (also an Sicherungskopien denken) und dass Anmeldedaten zwischengespeichert werden (weshalb es nach einem Ändern des Passwortes erforderlich sein kann, das alte Passwort zu verwenden, wenn der Laptop nicht mit dem Netzwerk verbunden war und Sie sich auf dem Laptop mit einem neuen Passwort angemeldet haben.)

6.4.6.2. Ein Hinweis zur Installation mittels »USB-Stick / Blu-ray Disc-Image«

Wenn Sie von einem USB-Stick / Blu-ray-Disc-Image installieren, enthält die Datei /etc/apt/sources.list nur Quellen von der DVD. Wenn Sie eine Internetverbindung haben, wird dringend empfohlen, die folgenden Zeilen zu der Datei hinzuzufügen. Damit stellen Sie sicher, dass (Sicherheits-)Aktualisierungen installiert werden können:

deb http://deb.debian.org/debian/ buster main 
deb http://security.debian.org/ buster/updates main 
6.4.6.3. Eine Bemerkung zur CD-Installation

Eine Installation mittels Netzwerk-Installer (Installationsart mit unserer CD) wird einige Pakete von der CD und den Rest aus dem Netz holen. Der Umfang der aus dem Netz geholten Pakete variiert von Profil zu Profil, bleibt aber unter einem Gigabyte (wenn nicht gerade alle Desktopumgebungen gewählt wurden). Sobald der Hauptserver installiert wurde (egal, ob reiner Hauptserver oder Kombiserver), nutzen alle weiteren Installationen dessen Proxy, um das mehrfache Herunterladen desselben Pakets aus dem Netz zu vermeiden.

6.4.6.4. Bemerkungen zu LTSP-Server-Installationen, die ausschließlich Thin Clients bedienen

Durch Angabe des Kernel-Parameters edu-skip-ltsp-make-client kann der Schritt übersprungen werden, der den LTSP-Chroot von einer Thin-Client-Chroot-Umgebung in eine kombinierte Chroot-Umgebung für Thin Clients und Diskless Workstations umwandelt.

Dies ist in bestimmten Situationen nützlich, z.B. wenn eine Chroot-Umgebung ausschließlich für Thin Clients erwünscht ist oder wenn schon eine Chroot-Umgebung für Diskless Workstations auf einem anderen Server existiert, die mittels rsync kopiert werden kann. In solchen Situationen reduziert das Überspringen die Installationszeit erheblich.

Abgesehen von der längeren Installationszeit hat das Aufsetzen von kombinierten Chroot-Umgebungen keine negativen Auswirkungen und wird darum voreingestellt durchgeführt.

6.4.7. Installation per USB-Stick anstelle von CD / Blu-ray Disc

Es ist möglich, ein CD/BD .iso Image auf einen USB-Stick zu kopieren und von diesem zu booten. Dazu wird ein Befehl wie der folgende ausgeführt, wobei Datei- und Device-Name angepasst werden müssen:

sudo cp debian-edu-amd64-XXX.iso /dev/sdX

Führen Sie diesen Befehl vor und nach dem Einstecken des USB-Geräts aus, um den Wert von X zu bestimmen:

lsblk -p

Bitte beachten Sie, dass das Kopieren einige Zeit in Anspruch nimmt.

Je nach gewähltem Image wird sich der USB-Stick wie eine CD oder Blu-ray Disc verhalten.

6.4.8. Installation über das Netzwerk (PXE) und Starten von Diskless Clients

Diese Installationsmethode setzt voraus, dass Sie einen laufenden Hauptserver haben. Wenn Clients über das Hauptnetzwerk booten, wird ein neues PXE-Menü mit Optionen für das Installationsprogramm bzw. für das Booten angezeigt. Falls die PXE-Installation mit einer Fehlermeldung wegen fehlender Firmware (XXX.bin) scheitert, dann ist höchstwahrscheinlich für die Netzwerkkarte des Clients Firmware aus »nonfree« erforderlich. In diesem Fall muss die Initrd des Debian-Installationsprogramms modifiziert werden. Dies kann durch Ausführen des Befehls /usr/share/debian-edu-config/tools/pxe-addfirmware auf dem Server erreicht werden.

So sieht das PXE-Menü mit dem Hauptserver als alleinigem Profil aus:

width=400

So sieht das PXE-Menü mit dem Hauptserver- und LTSP-Server-Profil aus:

width=400

Um anstelle der Vorgabe eine Arbeitsumgebung Ihrer Wahl zu installieren, drücken Sie TAB und ändern dann die Kernel-Boot-Optionen (wie oben beschrieben).

Dieses Setup erlaubt es auch, Diskless Workstations und Thin Clients aus dem Hauptnetzwerk zu booten. Im Unterschied zu normalen Arbeitsplatzrechnern müssen Diskless Workstations nicht mittels GOsa² zu LDAP hinzugefügt werden; dies kann aber erfolgen, wenn beispielsweise dem Rechner ein bestimmter Hostname zugewiesen werden soll.

Mehr Information über Netzwerk-Clients findet sich im Kapitel Netzwerk-Clients HowTo.

6.4.8.1. PXE-Installationen modifizieren

Die PXE-Installation benutzt eine Preseed-Datei für das Debian-Installationsprogramm. Diese Datei kann verändert werden, um weitere Pakete zu installieren.

Dafür muss eine Zeile wie die folgende in die Datei tjener:/etc/debian-edu/www/debian-edu-install.dat eingefügt werden

d-i    pkgsel/include string Meine_zusätzlichen_Pakete

Das PXE-Installationsprogramm verwendet /var/lib/tftpboot/debian-edu/install.cfg und die Preseed-Datei /etc/debian-edu/www/debian-edu-install.dat. Durch Anpassen dieser Dateien können z.B. Fragen während der Installation über das Netzwerk vermieden werden. Gleiches wird erreicht durch Modifikation von /etc/debian-edu/pxeinstall.conf und /etc/debian-edu/www/debian-edu-install.dat.local, wobei anschließend /usr/sbin/debian-edu-pxeinstall aufgerufen werden muss, um die generierten Dateien zu aktualisieren.

Weitere Informationen sind in der Debian-Buster-Installationsanleitung zu finden.

Um die Benutzung des Proxys während der Installation mittels PXE zu ändern oder zu deaktivieren, müssen die Zeilen mirror/http/proxy, mirror/ftp/proxy und preseed/early_command in der Datei tjener:/etc/debian-edu/www/debian-edu-install.dat geändert werden. Um die Benutzung des Proxys während der Installation zu deaktivieren, kommentieren Sie die beiden ersten Zeilen mit '#' aus und entfernen Sie den Teil export http_proxy="http://webcache:3128"; in der letzten Zeile.

Einige Einstellungen können nicht im voraus in der Preseed-Datei vorgegeben werden, da Sie benötigt werden, bevor diese heruntergeladen wird. Diese Einstellungen werden als Argumente dem PXE-basierten Boot-Vorgang in der Datei /var/lib/tftproot/debian-edu/install.cfg mitgegeben. Sprache, Tastaturlayout und graphische Arbeitsumgebung sind Beispiele solcher Einstellungen.

6.4.9. Angepasste Images

Angepasste CDs, DVDs oder Blu-ray Discs zu erstellen ist recht einfach, da der Debian-Installer verwendet wird, der ein modulares Design und andere schöne Eigenschaften hat. Mit dem sogenannten Preseeding können Antworten auf die Standardfragen des Installationsprogramms bereitgestellt werden.

Sie müssen nur eine Preseed-Datei mit Ihren Antworten erstellen (dies wird im Anhang des Debian-Installers näher beschrieben) und Ihre CD/DVD remastern.

6.5. Screenshots

Der Text-Modus und die graphische Installation sind bis auf das Aussehen identisch. Der graphische Modus erlaubt die Verwendung einer Maus und sieht natürlich schöner und moderner aus. Solange die Hardware keine Probleme mit der graphischen Darstellung hat, gibt es keinen Grund, diesen Modus nicht zu verwenden.

Hier folgt nun eine Serie von Screenshots einer graphischen Installation (Hauptserver + Arbeitsplatzrechner + LTSP-Server); gefolgt von Screenshots nach dem ersten Starten des Hauptservers, dem PXE-Start eines Rechners im Netzwerk für Arbeitsplatzrechner bzw. für Thin Clients:

01-Installer_64bit_boot_menu.png

02-select_a_language.png

03-select_your_location.png

04-Configure_the_keyboard.png

05-Detect_and_mount_CD-ROM.png

06-Load_installer_components_from_CD.png

07-Detect_network_hardware.png

08-Choose_Debian_Edu_profile.png

09-Really_use_the_automatic_partitioning_tool.png

10-Really_use_the_automatic_partitioning_tool-Yes.png

11-Participate_in_the_package_usage_survey.png

12-Set_up_users_and_passwords.png

12a-Set_up_users_and_passwords.png

12b-Set_up_users_and_passwords.png

12c-Set_up_users_and_passwords.png

12d-Setting-up-the-partitioner.png

13-Install the base system.png

14-Select_and_install_software.png

17-Select_and_install_software.png

18-Build LTSP chroot.png

19-Install_the_GRUB_boot_loader_on_a_hard_disk.png

20-Finish_the_Installation.png

21-Finish_the_Installation-Installation_complete.png

22-Tjener_GRUB_boot_menu.png

Lightdm-Login auf den Hauptserver

Xfce mit Browser

Xfce-Desktop

28-Diskless-WS-GRUB_Boot_menu-PXE.png

Diskless Workstation Login

7. Erste Schritte

7.1. Unbedingt erforderliche erste Schritte

Während der Installation wurde eine erste Benutzerkennung eingerichtet. Im folgenden Text wird diese Kennung als »Erstbenutzer« bezeichnet. Diese Kennung weist Besonderheiten auf: Ein Samba-Konto fehlt (kann aber mittels GOsa² angelegt werden), die Zugriffsberechtigung des Home-Verzeichnisses ist auf 700 gesetzt (also ist chmod o+x ~ auszuführen, um Zugriff auf persönliche Webseiten zu erlauben), und der Erstbenutzer kann sudo benutzen, um Root zu werden.

Bevor Sie Benutzer hinzufügen, sollten Sie die Informationen über die spezifisch für Debian Edu geltende Konfiguration der Dateiberechtigungen lesen; passen Sie diese gegegebenfalls an die örtlichen Richtlinien an.

Nach der Installation müssen vom Erstbenutzer zuerst folgende Dinge erledigt werden:

  1. Am Hauptserver anmelden.

  2. Benutzerkonten mit GOsa² hinzufügen.

  3. Workstations mit GOsa² hinzufügen - Thin Clients und Diskless Workstations können ohne diesen Schritt sofort verwendet werden.

Das Hinzufügen von Benutzern und Arbeitsplatzrechnern wird im Folgenden beschrieben; bitte lesen Sie deshalb das Kapitel vollständig. Es beschreibt die unbedingt notwendigen Schritte sowie all das, was wahrscheinlich für jedes System konfiguriert werden muss.

In diesem Handbuch gibt es noch an anderen Stellen zusätzliche Informationen: Das Kapitel Neue Features in Buster sollte von jedem gelesen werden, der mit früheren Releases vertraut ist. Und wer ein Upgrade von einem früheren Release durchführt, sollte auf jeden Fall das Kapitel Upgrades lesen.

/!\ Falls in Ihrem Netzwerk DNS-Anfragen nach außen geblockt werden und ein spezieller DNS-Server für das Nachschlagen von Rechnern im Internet verwendet werden muss, dann muss dieser Server dem DNS-Server als sein »forwarder« bekannt sein. Aktualisieren Sie /etc/bind/named.conf.options, indem Sie die IP-Adresse des zu verwendenden DNS-Servers angeben.

Im Kapitel HowTo gibt es mehr Tipps und Tricks, sowie Antworten auf häufig gestellte Fragen.

Debian Edu Xfce-Desktop

7.1.1. Dienste des Hauptservers

Es gibt eine Reihe verschiedener Dienste, die auf dem Hauptserver laufen und die über eine Weboberfläche verwaltet werden können. Hier wird jeder einzelne Service beschrieben.

7.2. Einführung in GOsa²

GOsa² ist ein webbasiertes Verwaltungswerkzeug, das Ihnen helfen wird, einige wichtige Teile Ihrer Debian-Edu-Installation einzurichten und zu bearbeiten. Mit GOsa² können Sie diese Hauptgruppen warten (hinzufügen, ändern, löschen):

  • Benutzerverwaltung

  • Gruppenverwaltung

  • »NIS Netgroup«-Verwaltung

  • Maschinenverwaltung

  • DNS-Verwaltung

  • DHCP-Verwaltung

Um auf GOsa² zugreifen zu können, benötigen Sie den Skolelinux-Hauptserver und ein (Client-)System mit installiertem Webbrowser; dabei kann es sich um den Hauptserver handeln, falls dieser als sogenannter »Kombiserver« (Hauptserver + LTSP-Server + Arbeitsplatzrechner) installiert wurde. Falls dies nicht der Fall sein sollte, sehen Sie bitte hier nach: Installation einer graphischen Benutzerumgebung auf dem Hauptserver, um GOsa² nutzen zu können.

Verwenden Sie in einem Webbrowser die URL https://www/gosa, um auf GOsa² zuzugreifen; melden Sie sich mit der Kennung des Erstbenutzers an.

  • Falls Sie in Debian Edu Buster einen neu hinzugefügten Rechner verwenden, wird das Zertifikat der Site dem Browser bekannt sein.

  • Andernfalls werden Sie eine Fehlermeldung bezüglich des SSL-Zertifikats erhalten. Falls Sie der Einzige im Netzwerk sind, dann ignorieren Sie den Fehler und weisen Sie Ihren Browser an, das Zertifikat zu akzeptieren.

Allgemeine Informationen über GOsa² finden Sie unter https://oss.gonicus.de/labs/gosa/wiki/documentation.

7.2.1. GOsa²-Anmeldung und Übersicht

Übersichtsseite von GOsa² nach der Anmeldung als Erstbenutzer

Nach der Anmeldung in GOsa² erscheint diese Übersichtsseite von GOsa².

Jetzt kann eine Aufgabe per Menüeintrag oder Anklicken eines der Symbole auf der Übersichtseite gewählt werden. Für die Navigation wird am besten das Menü auf der linken Seite des Fensters benutzt, da dieses bei allen Administrationsseiten von GOsa² sichtbar bleibt.

In Debian Edu werden die Daten von Benutzern, Gruppen und Systemen in einem LDAP-Verzeichnis gespeichert. Darauf greifen nicht nur der Hauptserver, sondern auch Arbeitsplatzrechner, Diskless Workstations, die LTSP-Server und die Windows-Rechner im Netzwerk zu. So müssen die Informationen über Schüler, Lehrer usw. nur einmal eingegeben werden. Anschließend stehen sie allen Systemen im Skolelinux-Netzwerk zur Verfügung.

GOsa² ist ein Verwaltungswerkzeug, das LDAP benutzt, um Informationen zu speichern und eine hierarchisch gegliederte Abteilungsstruktur zur Verfügung zu stellen. Zu jeder »Abteilung« können Sie Benutzerkennungen, Gruppen, Systeme, »NIS Netgroups« usw. hinzufügen. Je nach Struktur Ihrer Institution können Sie die Abteilungsstruktur in GOsa²/LDAP nutzen, um Ihre Organisationsstruktur im LDAP-Baum auf dem Hauptserver von Debian Edu abzubilden.

Eine Standardinstallation von Debian Edu stellt gegenwärtig die beiden »Abteilungen« Teachers und Students zur Verfügung; hinzu kommt die Basisebene des LDAP-Baums. Die Accounts von Studierenden (oder Schülern) sollten in der Abteilung »Students« abgelegt werden, diejenigen von Lehrenden in der Abteilung »Teachers«; Systeme (Server, Skolelinux-Arbeitsplatzrechner, Windows-Rechner, Drucker usw.) werden gegenwärtig der Basisebene zugeordnet. Sie können diese Struktur an eigene Anforderungen anpassen. (Sie können im Handbuch-Kapitel HowTo/Fortgeschrttene Administration ein Beispiel finden, wie Benutzerkonten nach Jahrgangsgruppen mit Benutzerverzeichnissen in einem jeweiligen Unterverzeichnis angelegt werden können.)

Je nach zu erledigender Aufgabe (Benutzer verwalten, Gruppen verwalten, Systeme verwalten usw.) zeigt GOsa² eine angepasste Ansicht der betreffenden Abteilung (oder der Basisebene).

7.3. Benutzerverwaltung mit GOsa²

Klicken Sie auf »Benutzer« im Navigationsmenü auf der linken Seite. Die rechte Seite des Fensters zeigt dann eine Tabelle mit den Ordnern »Students« und »Teachers« sowie den Account des GOsa²-Administrators (Erstbenutzer). Über dieser Tabelle ist ein (Eingabe-)Feld namens Basis zu sehen; wenn Sie die Maus über dieses Feld bewegen, haben Sie die Möglichkeit, mittels Drop-Down-Menü durch die Baumstruktur zu navigieren und einen Basisordner für vorgesehene Aktionen zu wählen - wie z.B. für das Hinzufügen eines neuen Benutzers.

7.3.1. Benutzer hinzufügen

Rechts neben dem Basis-Feld ist das Menü »Aktionen« zu sehen. Beim Überfahren mit der Maus erscheint ein Untermenü; wählen Sie hier »Anlegen« , dann »Benutzer«. Ein Assistent führt Sie durch die nächsten Schritte.

  • Am wichtigsten ist es, die Vorlage (newstudent oder newteacher) und den vollständigen Namen des Benutzers anzugeben (siehe Bild).

  • Nach einem Klick auf »Fortsetzen« zeigt der Assistent dann die von GOsa² automatisch (aus Vornamen und Namen) generierte Kennung an, wobei eine noch nicht vorhandene Zeichenfolge gewählt wird. Benutzer mit übereinstimmenden Vor- und Nachnamen stellen also kein Problem dar. Bitte beachten: Umlaute und ß werden umgewandelt, andere Nicht-ASCII-Zeichen können jedoch zu ungültigen Kennungen führen.

  • Wenn Ihnen die generierte Kennung nicht gefällt, können Sie aus dem Drop-Down-Menü eine andere wählen - eine freie Wahl bietet der Assistent jedoch nicht. (Um den vorgeschlagenen Benutzernamen verändern zu können, öffnen Sie die Datei /etc/gosa/gosa.conf mit einem Editor und fügen allowUIDProposalModification="true" als zusätzliche Option der »location definition« hinzu.)

  • Nach dem Generieren der Kennung durch den Assistenten wird eine GOsa²-Übersichtsseite für den neuen Benutzer angezeigt. Sie können durch Klick auf die Reiter den Inhalt aller ausgefüllten Felder kontrollieren.

Nach Anlegen des Benutzers (es ist nicht notwendig, Einträge in Feldern vorzunehmen, die vom Assistenten leer gelassen wurden) klicken Sie unten rechts auf die Schaltfläche »OK«.

Abschließend fordert GOsa² zur Eingabe eines Passworts für den neuen Benutzer auf. Geben Sie dieses zweimal ein und klicken Sie dann unten rechts auf »Passwort setzen«. /!\ Einige Zeichen könnten als Bestandteil des Passwortes nicht erlaubt sein.

Wenn alles in Ordnung war, sehen Sie nun den neuen Benutzer in der »Liste der Benutzer«. Es sollte nun möglich sein, sich mit dieser Kennung an einer beliebigen Skolelinux-Maschine in Ihrem Netzwerk anzumelden.

7.3.2. Benutzer suchen, modifizieren und löschen

Filterbox

Um ein Benutzerkonto zu modifizieren oder zu löschen, verwenden Sie GOsa², um die Benutzerliste auf Ihrem System zu durchsuchen: Auf der Seitenmitte finden Sie die »Filter«-Box, das von GOsa² für die Suche bereitgestellte Werkzeug. Wenn Sie nicht genau wissen, an welcher Stelle sich das Benutzerkonto im Baum befindet, dann wechseln Sie auf die Basisebene des GOsa²/LDAP-Baums; benutzen Sie dort bei aktivierter »Filter«-Option die »Suche in Teilbäumen«.

Bei Verwendung der »Filterbox« erscheinen die Ergebnisse unmittelbar in der Liste der Benutzer. Jede Zeile repräsentiert eine Benutzerkennung; am rechten Ende einer Zeile stellen die Symbole Aktionen zur Verfügung: Bearbeiten, Kennung deaktivieren, Passwort setzen, löschen.

Es wird eine neue Seite angezeigt, auf der Sie die Informationen, die zu einem Benutzer gehören, modifizieren können; dort kann auch das Passwort und die Zugehörigkeit zu Gruppen geändert werden.

Benutzerdaten bearbeiten

7.3.3. Passwörter setzen

Benutzer der Abteilung »Students« können ihr eigenes Passwort ändern, indem sie sich bei GOsa² mit ihrer Kennung anmelden. Um das Auffinden der richtigen Webseite zu erleichtern, steht ein Menüeintrag »System/GOsa« bzw. »Systemeinstellungen/GOsa« zur Verfügung. Nach der Anmeldung wird eine Minimal-Version von GOsa² angezeigt, die ausschließlich Zugang zu den zur Kennung gehörenden Daten und die Möglichkeit zum Ändern des Passworts bietet.

Unter ihrer eigenen Kennung angemeldete Benutzer der Abteilung »Teachers« besitzen spezielle Privilegien in GOsa². Ihnen wird eine weitergehende Ansicht von GOsa² geboten, die es ihnen erlaubt, die Passwörter aller Kennungen der Abteilung »Students« zu ändern. Dies könnte sich während des Unterrichts als praktisch erweisen.

Neues Benutzerpasswort administrativ setzen

  1. suchen Sie nach dem zu modifizierenden Benutzer wie oben beschrieben

  2. klicken Sie auf das Schlüsselsymbol am Ende der zu dem Benutzer gehörenden Zeile

  3. auf der anschließend gezeigten Seite können Sie ein selbst gewähltes Passwort setzen

Passwort setzen

Beachten Sie die durch leicht zu erratende Passwörter entstehenden Sicherheitsaspekte!

7.3.4. Fortgeschrittene Nutzerverwaltung

Es ist mittels GOsa² möglich, viele Benutzerkonten auf einmal einzurichten; dazu wird eine CSV-Datei benötigt, die sich mit jeder guten Tabellenkalkulation (wie z.B. localc) generieren lässt. Es müssen darin im Minimalfall Einträge für die Felder Benutzername (uid), Nachname (sn), Vorname (givenName) und Passwort vorhanden sein. Stellen Sie sicher, dass es im Feld »Benutzername« keine doppelten Einträge gibt. Die Kontrolle auf Duplikate muss auch die bereits in LDAP vorhandenen Benutzernamen einschließen. (Diese können Sie durch Ausführen des Befehls getent passwd | grep tjener/home | cut -d":" -f1 erhalten.)

Hier sind die Richtlinien für solch eine CSV-Datei (GOsa² ist in dieser Hinsicht ziemlich intolerant):

  • Als Feldtrenner "," benutzen

  • Keine Anführungszeichen verwenden

  • Die CSV-Datei darf keine Titelzeile enthalten (in der gewöhnlicherweise die Spaltennamen stehen)

  • Die Reihenfolge der Felder ist beliebig; diese kann beim Import in GOsa² festgelegt werden

Die Schritte für den Import massenhafter Kennungen:

  1. klicken Sie auf »LDAP-Manager« im Navigationsmenü auf der linken Seite

  2. klicken Sie auf den Reiter »Import« im rechten Teil der Seite

  3. durchsuchen Sie die lokale Festplatte und wählen Sie eine CSV-Datei mit der Liste zu importierender Nutzer

  4. wählen Sie eine vorhandene Vorlage (wie NewTeacher oder NewStudent), die während des Imports angewandt werden soll

  5. klicken Sie auf die Schaltfläche »Import« in der oberen rechten Ecke

Es ist sinnvoll, diesen Vorgang zunächst mit einer CSV-Datei zu testen, die einige fiktive Nutzer enthält. Diese Konten können später wieder gelöscht werden.

Dies gilt ebenfalls für das Passwort-Management-Modul; es erlaubt das Zurücksetzen einer großen Menge von Passwörtern mittels einer CSV-Datei bzw. das Generieren neuer Passwörter für Benutzer, die einem spezifischen LDAP-Zweig zugeordnet sind.

Passwörter zurücksetzen

7.4. Gruppen mit GOsa² verwalten

Gruppe einrichten

Gruppe einrichten

Die Verwaltung von Gruppen ist derjenigen von Benutzerkonten sehr ähnlich.

Sie können pro Gruppe einen Namen und eine Beschreibung eingeben. Stellen Sie sicher, dass Sie die richtige LDAP-Ebene wählen, wenn Sie die Gruppe anlegen.

Voreingestellt wird keine entsprechende Samba-Gruppe eingerichtet. Falls Sie vergessen haben, die Option für die Samba-Gruppe während des Anlegens zu setzen, können Sie die Gruppe später noch ändern.

Das Hinzufügen von Benutzern zu einer neu angelegten Gruppe bringt Sie zurück zur »Liste der Benutzer«; dort können Sie die Filterbox benutzen, um Benutzer herauszusuchen. Überprüfen Sie bitte auch die LDAP-Ebene.

Die mittels Gruppenverwaltung eingetragenen Gruppen sind reguläre UNIX-Gruppen; sie können daher zum Setzen von Zugriffsrechten verwendet werden.

7.4.1. Gruppenverwaltung auf der Befehlszeile

# Listen Sie die existierende Zuordnung zwischen UNIX und Windows-Gruppen auf.
net groupmap list

# Fügen Sie Ihre neuen oder fehlenden Gruppen hinzu:
net groupmap add unixgroup=NEUE_GRUPPE type=domain ntgroup="NEUE_GRUPPE"\
                 comment="BESCHREIBUNG DER NEUEN_GRUPPE"

7.5. Rechnerverwaltung mit GOsa²

Mit dem Maschinen-Management können grundsätzlich alle Netzwerkgeräte im Debian-Edu-Netzwerk verwaltet werden. Jedes Gerät, das mittels GOsa² zum LDAP-Verzeichnis hinzugefügt wird, hat einen Namen, eine IP-Adresse, eine MAC-Adresse und einen Domainnamen. Letzterer lautet üblicherweise "intern". Eine ausführlichere Beschreibung des Debian Edu-Netzwerks ist im Kapitel über die Netzwerkstruktur zu finden.

Diskless Workstations und Thin Clients arbeiten unmittelbar, wenn sie mit dem Hauptnetzwerk verbunden sind. Nur Arbeitsplatzrechner mit Festplatten müssen mittels GOsa² zu LDAP hinzugefügt werden; bei allen anderen kann dies erfolgen.

Um eine Maschine hinzufügen, benutzen Sie das GOsa²-Menü, dort »Systeme« und als Aktion »Hinzufügen«. Sie können eine IP aus dem vorkonfigurierten Bereich 10.0.0.0/8 verwenden. Gegenwärtig gibt es nur zwei vordefinierte feste IP-Adressen: 10.0.2.2 (tjener) und 10.0.0.1 (gateway). Die Adressen von 10.0.16.20 bis 10.0.31.254 (etwa 10.0.16.0/20 oder 4000 Rechner) sind für DHCP reserviert und werden dynamisch zugewiesen.

Um einem Rechner mit der MAC-Adresse 52:54:00:12:34:10 eine statische IP-Adresse zuzuweisen, müssen Sie die MAC-Adresse, den Rechnernamen und die IP eintragen; alternativ können Sie die Schaltfläche Schlage IP vor klicken, wodurch die erste freie feste Adresse aus dem Bereich 10.0.0.0/8 angezeigt wird - höchstwahrscheinlich etwas wie 10.0.0.2, wenn Sie die erste Maschine auf diesem Wege hinzufügen. Es wäre gut, vorher über einen für Ihr Netzwerk geeigneten IP-Bereich nachzudenken: Zum Beispiel könnten Sie 10.0.0.x mit x>10 und x<50 für Server und x>100 für Arbeitsplatzrechner verwenden. Vergessen Sie nicht, das gerade hinzugefügte System zu aktivieren. Mit Ausnahme des Hauptservers wird dann für alle Systeme ein entsprechendes Icon angezeigt.

Wenn die Maschinen als Thin Clients bzw. Diskless Workstations gestartet oder wenn sie unter Verwendung eines der Netzwerkprofile installiert wurden, dann können Sie das Skript sitesummary2ldapdhcp verwenden, um diese Maschinen automatisch zu GOsa² hinzuzufügen; für einfache Maschinen funktioniert das ohne weiteres, bei Maschinen mit mehreren MAC-Adressen muss die aktuell benutzte ausgewählt werden, sitesummary2ldapdhcp -h zeigt Hilfeinformationen an. Beachten Sie bitte, dass die nach der Benutzung von sitesummary2ldapdhcp angezeigten IP-Adressen aus dem dynamischen IP-Bereich stammen. Diese Systeme können anschließend aber so bearbeitet werden, dass sie zu Ihrem Netzwerk passen: Jedes neue System umbenennen, DHCP und DNS aktivieren, zu Netgroups hinzufügen (empfohlene Netgroups dem Screenshot weiter unten entnehmen), das System anschließend neu starten. Einige Bilder zeigen, wie dies in der Praxis erfolgen könnte:

root@tjener:~# sitesummary2ldapdhcp -a -i ether-22:11:33:44:55:ff
info: Create GOsa machine for am-2211334455ff.intern [10.0.16.21] id ether-22:11:33:44:55:ff.

Enter password if you want to activate these changes, and ^c to abort.

Connecting to LDAP as cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no
enter password: ********
root@tjener:~#

GOsa² Liste der Systeme

Host Details

Host bearbeiten

Netgroup hinzufügen

Stündlich läuft ein Cronjob, der DNS aktualisiert; das Skript su -c ldap2bind kann verwendet werden, um die Aktualisierung manuell durchzuführen.

7.5.1. Suchen und Löschen von Maschinen

Das Suchen und Löschen von Maschinen ist ebenso einfach wie das Suchen und Löschen von Benutzern; deshalb wird die Beschreibung hier nicht wiederholt.

7.5.2. Modifizieren von eingetragenen Maschinen / Verwalten von »Netgroups«

Nachdem Sie mit GOsa² eine Maschine zum LDAP-Verzeichnis hinzugefügt haben, können Sie die Eigenschaften mit Hilfe der Suchfunktion und durch Klicken auf den entsprechenden Eintrag bearbeiten (so, wie Sie es auch mit Benutzern tun).

Die Vorlage, die Sie nach einem Klick auf einen Maschinennamen erreichen, ist einerseits die gleiche, wie Sie es von der Bearbeitung der Benutzer-Einträge her kennen. Andererseits aber haben die Einträge in diesem Zusammenhang eine andere Bedeutung.

Zum Beispiel ändert das Hinzufügen einer Maschine zu einer NetGroup nicht die Rechte dieser Maschine (oder der Nutzer, die auf dieser Maschinen angemeldet sind) in Bezug auf die Berechtigung für Dateien und Programme auf dem Server. Es beschränkt vielmehr die Dienste, die eine Maschine auf Ihrem Hauptserver nutzen kann.

Die Standardinstallation enthält die NetGroups

  • cups-queue-autoflush-hosts

  • cups-queue-autoreenable-hosts

  • fsautoresize-hosts

  • ltsp-server-hosts

  • netblock-hosts

  • printer-hosts

  • server-hosts

  • shutdown-at-night-hosts

  • shutdown-at-night-wakeup-hosts-blacklist

  • winstation-hosts

  • workstation-hosts

Derzeit findet die NetGroup-Funktionalität Verwendung für

  • NFS

    • Die Home-Verzeichnisse werden vom Hauptserver exportiert, damit sie von den Arbeitsplatzrechnern und den LTSP-Servern eingehängt werden können. Aus Sicherheitsgründen können nur Rechner aus den NetGroups workstation-hosts, ltsp-server-hosts and server-hosts die exportierten NFS-Verzeichnisse einhängen. Deshalb ist es sehr wichtig, diese Art von Rechnern sauber mit GOsa² in LDAP zu konfigurieren und dabei statische IP-Adressen in LDAP festzulegen.

      /!\ Denken Sie daran, Arbeitsplatzrechner und LTSP-Server richtig mit GOsa² zu konfigurieren, weil sonst die Benutzer nicht auf ihre Home-Verzeichnisse zugreifen können. Diskless Workstations und Thin Clients müssen nicht konfiguriert werden, weil NFS dort nicht benutzt wird.

  • fs-autoresize

    • Bei Debian-Edu-Maschinen dieser Gruppe werden LVM-Partitionen bei Bedarf automatisch vergrößert.

  • Herunterfahren während der Nacht

    • Debian-Edu-Maschinen dieser Gruppe werden über Nacht automatisch heruntergefahren, um Energie zu sparen.

  • CUPS (cups-queue-autoflush-hosts und cups-queue-autoreenable-hosts)

    • Die Druckerwarteschlangen auf Debian-Edu-Maschinen dieser Gruppen werden über Nacht geleert; deaktivierte Druckerwarteschlangen werden stündlich erneut aktiviert.

  • netblock-hosts

    • Die Debian-Edu-Maschinen dieser Gruppe werden nur mit Maschinen im lokalen Netzwerk Verbindung aufnehmen können. Kombiniert mit Einschränkungen durch den Web-Proxy könnte dies während Prüfungen Verwendung finden.

Ein weiterer wichtiger Punkt der Maschinen-Konfiguration ist die Option »Samba host« (im Bereich »Host Information«). Falls Sie vorhaben, bereits installierte Windows-Rechner in die Skolelinux Samba-Domäne aufzunehmen, dann muss der Rechner zum LDAP-Baum hinzugefügt werden und die Option entsprechend gesetzt werden, um den Windows-Rechner in die Domäne aufnehmen zu können. Weitere Informationen über das Einfügen von Windows-Rechnern ins Skolelinux-Netz finden Sie im Kapitel HowTo/Netzwerk-Clients.

8. Druckerverwaltung

Um Drucker zu verwalten, öffnen Sie https://www:631. Dies ist die normale CUPS-Verwaltungsseite, auf der Sie Drucker hinzufügen, löschen oder deren Einstellungen ändern sowie Jobs aus der Warteschlange löschen können. Voreingestellt darf dies nur der Benutzer »root«, doch das lässt sich ändern: Öffnen Sie die Datei /etc/cups/cups-files.conf mit einem Editor und fügen Sie in der Zeile mit dem Eintrag SystemGroup lpadmin eine oder mehrere für Ihr Setup geeignete Gruppennamen hinzu. Diese in GOsa² vorhandenen Gruppen könnten geeignet sein: gosa-admins und printer-admins (beide mit dem Erstbenutzer als Mitglied), teachers und jradmins (keine Mitglieder nach der Installation).

8.1. An Arbeitsplatzrechner angeschlossene Drucker verwenden

Das Paket p910nd ist auf allen Systemen mit dem Profil Arbeitsplatzrechner standardmäßig installiert.

  • Die Datei /etc/default/p910nd bearbeiten (USB-Drucker):

    • P910ND_OPTS="-f /dev/usb/lp0"

    • P910ND_START=1

  • Konfigurieren Sie den Drucker über die Website https://www.intern:631; wählen Sie den Netzwerkdrucker-Typ AppSocket/HP JetDirect (für alle Drucker gültig, egal welche Marke oder welches Modell) und geben Sie socket://<Arbeitsplatzrechner-IP>:9100 als Verbindungs-URI ein.

9. Zeitsynchronisation

Die Standardeinstellung in Debian Edu hält die Uhrzeit auf allen Rechnern synchron, aber nicht unbedingt korrekt. NTP wird eingesetzt, um die Zeit zu aktualisieren. Die Uhren werden voreingestellt mit einer externen Quelle synchronisiert. Dies kann dazu führen, dass Maschinen die Internetverbindung offen halten, wenn sie für diesen Zweck geöffnet wurde.

/!\ Es ist ratsam, diese Voreinstellung zu ändern, falls eine Einwahl- oder ISDN-Verbindung benutzt und dabei nach Verbindungszeit abgerechnet wird.

Um die Synchronisation mit einer externen Quelle zu deaktivieren, müssen Sie die Datei /etc/ntp.conf auf dem Hauptserver anpassen. Auch auf allen Clients und in jedem LTSP-Chroot muss dies geschehen. Setzen Sie ein Kommentarzeichen (#) vor den server-Einträgen. Danach starten Sie den NTP-Server als Root mit /etc/init.d/ntp restart neu. Um zu testen, ob der Server die externe Quelle zum Synchronisieren nutzt, geben Sie ntpq -c lpeer ein.

10. Volle Partitionen erweitern

Wegen eines möglichen Fehlers in der automatischen Partitionierung könnten einige Partitionen nach der Installation zu voll sein. Um diese zu erweitern, führen Sie debian-edu-fsautoresize -n als Root aus. Mehr Informationen zum Vergrößern und Verkleinern von Partitionen finden Sie unter »Partitionen verändern« im Kapitel Administrations-HowTo.

11. Wartung

11.1. Aktualisieren der Software

Dieser Abschnitt erklärt die Benutzung von apt-get upgrade.

Das Werkzeug apt-get ist nicht schwer zu bedienen. Um ein System auf den neuesten Stand zu bringen, müssen Sie auf der Befehlszeile nur zwei Befehle als Root ausführen: apt-get update (erneuert die Liste der verfügbaren Pakete von den apt-Quellen) und apt-get upgrade (aktualisiert die installierten Pakete auf die neueste vorhandene Version).

Es ist auch eine gute Idee, während des Upgrades die Locale C zu verwenden, um eine englischsprachige Ausgabe zu erhalten; diese wird in Problemfällen vermutlich bessere Suchmaschinen-Ergebnisse liefern.

LC_ALL=C apt-get update ; LC_ALL=C ltsp-chroot apt-get update
LC_ALL=C apt-get upgrade -y
LC_ALL=C ltsp-chroot -m apt-get upgrade -y
cf-agent -D installation # On upgrades of debian-edu-config
ltsp-chroot -m cf-agent -D installation  # On upgrades of debian-edu-config
ltsp-update-kernels # If a new kernel was installed
ltsp-update-image

/!\ Nach einem Upgrade des Pakets debian-edu-config könnten geänderte Cfengine-Konfigurationsdateien vorhanden sein. Führen Sie ls -ltr /etc/cfengine3/debian-edu/ aus, um festzustellen, ob dies zutrifft. Führen Sie cf-agent -D installation aus, um die Änderungen zu aktivieren.

/!\ Es ist wichtig, nach dem Installieren eines neuen Kernels im LTSP-Chroot ltsp-update-kernels auszuführen, da so der Kernel und die Kernel-Module synchron gehalten werden. Der Kernel wird von TFTP ausgeliefert, wenn die Maschine mittels PXE bootet, die Module werden aus dem LTSP-Chroot geladen.

/!\ Führen Sie ltsp-update-image aus, um die NBD-Image-Datei(en) zu aktualisieren.

Es empfiehlt sich auch, cron-apt und apt-listchanges zu installieren und so zu konfigurieren, dass Sie E-Mails an eine von ihnen gelesene Adresse schicken.

cron-apt informiert Sie einmal am Tag darüber, ob es Pakete gibt, die aktualisiert werden können. Es installiert diese Pakete jedoch nicht, sondern lädt sie nur herunter (meistens in der Nacht), damit sie schon lokal verfügbar sind, wenn Sie apt-get upgrade ausführen.

Falls gewünscht, können Aktualisierungen automatisch installiert werden. Dazu muss lediglich das Paket unattended-upgrades installiert und so konfiguriert werden, wie es in wiki.debian.org/UnattendedUpgrades beschrieben ist.

Das Paket apt-listchanges kann Ihnen neue Änderungsmeldungen per E-Mail schicken oder diese alternativ in einem Terminalfenster anzeigen, wenn apt oder apt-get ausgeführt wird.

11.1.1. Über Sicherheitsaktualisierungen auf dem Laufenden bleiben

Die Ausführung von cron-apt (wie oben beschrieben) ist eine gute Möglichkeit, sich über das Vorhandensein aktualisierter Pakete zu informieren. Sie können auch die Mailing-Liste Debian security-announce abonnieren, was den Vorteil hat, auch über den Grund der Aktualisierung informiert zu werden. Nachteilig ist dabei nur, dass im Gegensatz zu cron-apt auch Informationen über Pakete geliefert werden, die gar nicht installiert sind.

11.2. Verwaltung von Backups

Um Backups zu verwalten, gehen Sie mit Ihrem Browser auf https://www/slbackup-php. Diese Seite müssen Sie mit SSL aufrufen, da Sie für die Backupverwaltung das Root-Passwort eingeben müssen. Ein Zugriff ohne SSL ist nicht möglich.

/!\ Hinweis: Diese Website wird nur funktionieren, wenn temporär der SSH-Zugang auf dem Backup-Server (voreingestellt »tjener«) erlaubt ist.

In der Standardeinstellung macht Tjener ein Backup von /skole/tjener/home0, /etc/, /root/.svk und LDAP nach /skole/backup (LVM gesteuert). Falls Sie alles nur einmal gesichert haben wollen (um versehentlich gelöschte Dateien wieder herzustellen), genügt das.

/!\ Sie sollten sich allerdings im Klaren darüber sein, dass diese Art des Backups keinen Schutz vor defekten Festplatten darstellt.

Falls Sie Ihre Daten auf einen externen Server, ein Bandlaufwerk oder eine andere Festplatte sichern wollen, müssen Sie die Konfiguration ein wenig anpassen.

Um ein ganzes Verzeichnis wiederherzustellen, nutzen Sie am besten die Befehlszeile:

$ sudo rdiff-backup -r <date>  \
   /skole/backup/tjener/skole/tjener/home0/user \
   /skole/tjener/home0/user_<date>

Dies wird den Inhalt von /skole/tjener/home0/user von <date> im Verzeichnis /skole/tjener/home0/user_<date> ablegen.

Falls Sie nur eine einzelne Datei wiederherstellen möchten, sollten Sie nur diese Datei (in der entsprechenden Version) in der Web-Schnittstelle auswählen und herunterladen.

Wenn Sie ältere Sicherungskopien löschen wollen, dann wählen Sie »Wartung« (Maintenance) im Menü auf der Backup-Seite und wählen dort den ältesten zu bewahrenden Zustand (snapshot):

slbackup-php Maintenance

11.3. Serverüberwachung (Monitoring)

11.3.1. Munin

Das Munin Trend-Reporting-System findet sich unter https://www/munin/. Es stellt graphische Darstellungen von Systemstatusmessungen zur Verfügung, die in täglicher, wöchentlicher, monatlicher oder jährlicher Ansicht eingesehen werden können und dem Administrator helfen, Engpässe und Systemprobleme aufzuspüren.

Die Liste der von Munin überwachten Computer wird automatisch von den an Sitesummery berichtenden Rechnern erstellt. Ein Rechner berichtet an den Server, wenn das Paket »munin-node« installiert ist. Wegen der Reihenfolge der Cronjobs dauert es normalerweise zwei Tage, bevor ein Rechner von Munin registriert wird. Wenn Sie dies beschleunigen wollen, führen Sie sitesummary-client als Root auf dem neuen Rechner und anschließend /etc/cron.daily/sitesummary (ebenfalls als Root) auf dem Server aus, auf dem Sitesummary läuft (dies ist normalerweise der Hauptserver).

Die Menge der zu sammelnden Messergebnisse wird automatisch auf jeder Maschine generiert; dazu wird das Programm munin-node-configure verwendet, das die verfügbaren Plugins in /usr/share/munin/plugins/ überprüft und für die relevanten einen Symlink in /etc/munin/plugins/ setzt.

Weitere Informationen über Munin gibt es unter http://munin-monitoring.org/.

11.3.2. Icinga

Die System- und Dienstüberwachung Icinga ist unter https://www/icinga/ verfügbar. Die Liste der zu überwachenden Maschinen und Dienste wird automatisch aus Informationen des Sitesummary-Systems generiert. Die Rechner mit Hauptserver- und LTSP-Server-Profil werden vollständig kontrolliert. Arbeitsplatzrechner und Thin Clients unterliegen vereinfachter Kontrolle. Zur vollständigen Überwachung von Arbeitsplatzrechnern installieren Sie auf diesen das Paket nagios-nrpe-server.

Der Benutzername ist icingaadmin und das vorgegebene Passwort ist skolelinux. Aus Sicherheitsgründen sollten Sie davon absehen, das gleiche Passwort wie für Root zu verwenden. Um das Passwort zu ändern, führen Sie bitte den folgenden Befehl als Root aus:

htpasswd /etc/icinga/htpasswd.users nagiosadmin

Icinga versendet voreingestellt keine E-Mails. Dies kann geändert werden, indem in der Datei /etc/icinga/sitesummary-template-contacts.cfg der Eintrag notify-by-nothing durch host-notify-by-email und notify-by-email ersetzt wird.

Die benutzte Icinga-Konfiguration ist /etc/icinga/sitesummary.cfg. Der Sitesummary-Cron-Job generiert /var/lib/sitesummary/icinga-generated.cfg mit einer Liste von zu überwachenden Rechnern und Diensten.

Zusätzliche Icinga-Kontrollen können in der Datei /var/lib/sitesummary/icinga-generated.cfg.post hinzugefügt werden. Sie werden anschließend in der generierten Datei berücksichtigt.

Informationen über Icinga können unter https://www.icinga.com/ oder in dem Paket icinga-doc gefunden werden.

11.3.2.1. Übliche Warnungen von Icinga und wie damit umzugehen ist

Hier sind Anleitungen, wie mit den häufigsten Warnungen von Icinga umzugehen ist.

11.3.2.1.1. DISK CRITICAL - free space: /usr 309 MB (5% inode=47%):

Die Partition (im Beispiel /usr/) ist voll. Es gibt im allgemeinen zwei Möglichkeiten, damit umzugehen: (1) einige Dateien löschen oder (2) die Partition vergrößern. Falls die Partition /var/ ist, dann könnte (durch apt-get clean) das Bereinigen des Zwischenspeichers von Apt einige Dateien löschen. Falls in der LVM-Datenträgergruppe noch Platz ist, könnte das Ausführen des Programms debian-edu-fsautoresize zum Vergrößern von Partitionen hilfreich sein. Um dieses Programm automatisch jede Stunde ausführen zu lassen, kann der betreffende Rechner der »Netgroup« fsautoresize-hosts hinzugefügt werden.

11.3.2.1.2. APT CRITICAL: 13 packages available for upgrade (13 critical updates).

Neue Pakete stehen für Upgrades zur Verfügung. Die Bezeichnung »critical« tragen normalerweise Pakete, die Sicherheitslücken schließen. Um das Upgrade durchzuführen, benutzen Sie als Root »apt-get upgrade && apt-get dist-upgrade« in einem Terminal - oder Sie melden sich via SSH an, um den Befehl auszuführen. Denken Sie auf LTSP-Servern daran, auch den LTSP-Chroot mittels ltsp-chroot apt-get update && ltsp-chroot apt-get upgrade zu aktualisieren.

Falls Sie keine manuellen Upgrades von Paketen vornehmen wollen und Debian zutrauen, mit neuen Versionen gut umzugehen, dann können Sie unattended-upgrades so konfigurieren, dass jede Nacht ein automatisches Upgrade neuer Pakete erfolgt. In LTSP-Chroots werden auf diese Weise aber keine Upgrades vorgenommen.

Um im LTSP-Chroot ein Upgrade durchzuführen, kann ltsp-chroot apt-get update && ltsp-chroot apt-get upgrade verwendet werden. Auf 64-Bit-Servern muss dem Befehl »ltsp-chroot« das Argument -a i386 mitgegeben werden. Es ist ratsam, bei jedem Upgrade eines LTSP-Servers dies auch im Chroot zu tun.

11.3.2.1.3. WARNING - Reboot required : running kernel = 2.6.32-37.81.0, installed kernel = 2.6.32-38.83.0

Der laufende Kernel ist älter als der neueste installierte Kernel und ein Neustart ist erforderlich, um den neuesten installierten Kernel zu aktivieren. Dies ist normalerweise ziemlich dringend, da neue Kernel in Debian Edu gewöhnlich zur Verfügung gestellt werden, um Sicherheitslücken zu schließen.

11.3.2.1.4. WARNING: CUPS queue size - 61

Die CUPS-Druckerwarteschlangen enthalten viele unerledigte Aufträge. Dies liegt höchstwahrscheinlich an einem nicht verfügbaren Drucker. Auf Rechnern, die der »Netgroup« cups-queue-autoreenable-hosts angehören, werden inaktive Druckerwarteschlangen jede Stunde neu aktiviert; deshalb sollte für solche Rechner ein manuelles Eingreifen unnötig sein. Auf Rechnern, die der »Netgroup« cups-queue-autoflush-hosts angehören, werden alle Druckerwarteschlangen während der Nacht geleert. Sie könnten einen Rechner, der viele Druckaufträge in der Warteschlange hat, einer oder beiden dieser »Netgroups« zuordnen.

11.3.3. Sitesummary

Sitesummary wird verwendet, um Informationen aller Rechner zu sammeln und sie zum zentralen Server zu schicken. Die gesammelten Informationen befinden sich in /var/lib/sitesummary/entries/. Skripte in /usr/lib/sitesummary/ sind zur Erstellung von Berichten verfügbar.

Einen durch "sitesummary" erstellten einfachen Bericht gibt es unter https://www/sitesummary/.

Dokumentation über Sitesummary kann unter http://wiki.debian.org/DebianEdu/HowTo/SiteSummary gefunden werden.

11.4. Weitergehende Informationen über Anpassungen von Debian Edu

Für Systemadministratoren finden sich Informationen über Anpassungen von Debian Edu im Kapitel Administration-Howto und im Kapitel Fortgeschrittene Administration.

12. Upgrades

/!\ Bevor Sie diese Anleitung für ein Upgrade lesen, beachten Sie bitte diesen wichtigen Hinweis: Das Upgrade erfolgt auf eigene Gefahr. Debian Edu/Skolelinux bietet ABSOLUT KEINE GEWÄHRLEISTUNG für Funktionstüchtigkeit und wird auf eigene Gefahr eingesetzt.

Bitte lesen Sie dieses Kapitel sowie das Kapitel Neue Features in Buster in diesem Handbuch vollständig durch, bevor Sie ein Upgrade versuchen.

12.1. Allgemeine Hinweise zum Upgrade

Das Aktualisieren von Debian ist im Allgemeinen leicht vorzunehmen. Für Debian Edu ist dies leider noch nicht so einfach, da Konfigurationsdateien so modifiziert werden, wie es eigentlich nicht sein sollte. (Debian-Bug 311188 gibt dazu mehr Informationen). Die Aktualisierung ist zwar möglich, erfordert aber einige zusätzliche Arbeit.

Generell ist ein Upgrade der Server schwieriger als der von Arbeitsplatzrechnern. Das Aktualisieren des Hauptservers ist am schwierigsten. Das Upgrade von Rechnern ohne Festplatte ist einfach, da ihre Chroot-Umgebung, soweit Sie diese nicht verändert haben, gelöscht und neu erzeugt werden kann. Haben Sie Veränderungen vorgenommen, so handelt es sich im Wesentlichen um eine Chroot-Umgebung für Arbeitsplatzrechner, deren Upgrade nicht allzu schwierig ist.

Wenn Sie sicher gehen wollen, dass auch nach einem Upgrade noch alles funktioniert, sollten Sie das Upgrade zunächst auf einem Testsystem durchführen, welches genau wie das produktive System konfiguriert ist. So können Sie das Upgrade ohne Risiko ausprobieren und prüfen, ob alles so funktioniert wie es soll.

Bitte lesen Sie auch unbedingt die Informationen über das aktuelle stabile Debian-Release in dessen Installationsanleitung.

Es könnte klug sein, etwas abzuwarten und noch ein paar Wochen lang Oldstable zu verwenden, sodass andere das Upgrade testen und Probleme dokumentieren können. Debian Oldstable wird noch eine Zeit lang nach Veröffentlichung von »Stable« unterstützt werden, aber wenn Debian die Unterstützung für Oldstable einstellt, wird auch Debian Edu die Unterstützung einstellen (müssen).

12.2. Upgrade von Debian Edu Stretch

/!\ Achtung: Stellen Sie sicher, dass Sie das Upgrade von Stretch in einer Testumgebung getestet haben oder über Sicherungskopien verfügen, die es ihnen ermöglichen, notfalls wieder zurückzugehen.

Bitte beachten Sie, dass sich das folgende Rezept auf die Standardinstallation eines Debian-Edu-Hauptservers bezieht (desktop=xfce, Profile Hauptserver, Arbeitsplatzrechner, LTSP-Server). (Eine allgemeinere Beschreibung zum Upgrade von Stretch auf Buster finden Sie hier: https://www.debian.org/releases/buster/releasenotes.)

Benutzen Sie keine graphische Arbeitsumgebung; wechseln Sie zu einer virtuellen Konsole und melden Sie sich als root an.

Sollte apt mit einer Fehlermeldung abbrechen, dann versuchen Sie, den Fehler zu finden und/oder führen Sie apt -f install und danach apt -y full-upgrade erneut aus.

12.2.1. Upgrade des Hauptservers

  • Zuerst sicherstellen, dass das gegenwärtige System aktualisiert ist:

apt update
apt full-upgrade
  • Den Paket-Cache leeren:

apt clean
  • Sicherstellen, dass genügend Plattenplatz vorhanden ist. Für /usr und /var werden temporär jeweils 5 GiB an freiem Plattenplatz benötigt. Weitere Informationen enthält das entsprechende Handbuchkapitel.

  • Das Upgrade auf Buster vorbereiten und starten:

sed -i 's/stretch/buster/g' /etc/apt/sources.list
export LC_ALL=C        # optional (to get English output)
apt update
apt purge atftpd       # needed because tftpd will be installed
apt install libcurl4   # needed to replace libcurl3
apt install apache2    # needed first to avoid additional work later on
apt full-upgrade
  • apt-list-changes: Stellen Sie sich darauf ein, eine Menge an NEWS zu lesen; <Return> drücken, um weiter zu blättern, <q> um das Anzeigeprogramm zu beenden. Alle Informationen werden als E-Mail an »root« geschickt, können also (mittels mailx oder mutt) noch einmal gelesen werden.

  • Lesen Sie alle Debconf-Informationen sorgfältig durch, wählen Sie »Die momentan installierte Version beibehalten« für die unten gelisteten Fragen (falls nicht anders angegeben); in den meisten Fällen wird das Drücken von »Enter« richtig sein.

    • Services neustarten: »yes« wählen.

    • ntp: »N« wählen.

    • smb

    • dovecot

    • grub

  • Konfiguration anpassen und anwenden:

cf-agent -I -D installation
  • Das neue Artwork für Debian Edu Buster installieren:

apt install debian-edu-artwork-buster
  • Unterstützung für PHP 7.3 einrichten:

apt purge php7.0*
a2enmod php7.3
a2enconf php7.3-cgi
service apache2 restart
  • Den Gosa²-Zugang anpassen (geänderte Verschlüsselungsmethode):

    • Sicherungskopie der Datei /etc/gosa/gosa.conf.orig erstellen

    • In der Datei /etc/gosa/gosa.conf das lange Passwort (Hash) mit dem kurzem Passwort (zufallsgeneriert) aus der Datei /etc/gosa/gosa.conf.orig ersetzen (sowohl das adminPassword als auch das snapshotAdminPassword)

    • Die Datei /etc/gosa/gosa.secrets löschen

    • Ausführen von gosa-encrypt-passwords

    • Ausführen von service apache2 reload

  • Nach einem Neustart weiter aufräumen:

apt purge linux-image-4.9.0-*
apt purge linux-headers-4.9.0-*
apt --purge autoremove
  • Kontrollieren, ob das System nach dem Upgrade funktioniert:

Einen Neustart durchführen; als 'Erstbenutzer' anmelden und testen

  • ob die GOsa²-Webseite funktioniert,

  • ob sich LTSP-Clients und Arbeitsplatzrechner einbinden lassen,

  • ob sich die Mitgliedschaft eines Systems zu einer 'Netgroup' hinzufügen/entfernen lässt,

  • ob sich interne E-Mail versenden und empfangen lässt,

  • ob sich Drucker verwalten lassen,

  • und ob andere standortspezifische Dinge funktionieren.

12.2.2. Upgrade eines Arbeitsplatzrechners

Führen Sie alle grundlegenden Dinge wie auf dem Hauptserver durch, lassen Sie unnötige Schritte aus.

12.2.3. Upgrade für LTSP-Chroot-Umgebungen

Stellen Sie sicher, dass genügend Plattenplatz vorhanden ist. LTSP benutzt Network Block Device (NBD). Die NBD-Imagedatei hat eine Größe von etwa 4 GiB (bei vorgegebener Installation). Wenn die Imagedatei aktualisiert werden muss, werden zusätzliche 4 GiB für eine temporäre Datei benötigt.

Bitte beachten Sie, dass i386 die LTSP-Standard-Architektur für Stretch war. Weiter unten wird beschrieben, wie ein Chroot für 64-bit-PCs (amd64) eingerichtet wird.

ltsp-chroot -m -a i386 apt update
ltsp-chroot -m -a i386 apt -y full-upgrade
sed -i 's/stretch/buster/g' /opt/ltsp/i386/etc/apt/sources.list
ltsp-chroot -m -a i386 apt update
ltsp-chroot -m -a i386 apt -y full-upgrade
ltsp-chroot -m -a i386 apt -f install
ltsp-chroot -m -a i386 apt -y full-upgrade
  • Aufräumen:

ltsp-chroot -m -a i386 apt --purge autoremove
  • LTSP-Support auf der Server-Seite aktualisieren:

ltsp-update-kernels
ltsp-update-sshkeys
ltsp-update-image

Um Plattenplatz zu sparen, könnte auch ltsp-update-image -n benutzt werden; siehe man ltsp-update-image.

12.2.4. Eine LTSP-Chroot-Umgebung erneut einrichten

Auf LTSP-Servern könnte die LTSP-Chroot-Umgebung neu erzeugt werden. Diese wird weiterhin automatisch sowohl Thin Clients wie auch Diskless Workstations unterstützen. Bitte beachten: Standardmäßig wird ab Buster für den LTSP-Chroot dieselbe Architektur wie für die Serverseite verwendet.

Löschen Sie /opt/ltsp/i386 (oder /opt/ltsp/amd64, je nach Einrichtung). Wenn Sie genug Speicherplatz haben, sollten Sie über ein Backup nachdenken.

Informationen über verfügbare Optionen gibt es durch Ausführen von ltsp-build-client --help und ltsp-build-client --extra-help. Die Datei /etc/ltsp/ltsp-build-client.conf enthält einige nützliche (kommentierte) Optionen.

Den Chroot durch Ausführen von ltsp-build-client als »root« neu erzeugen.

12.2.5. Zusätzlich einen LTSP-Chroot für 64-Bit-PC-Rechner einrichten

Es wird mindestens 20 GiB zusätzlicher Plattenplatz unter /opt benötigt.

  • Führen Sie »ltsp-build-client --arch amd64« aus, um Chroot und NBD-Image zu erzeugen.

  • Verwenden Sie »ldapvi -ZD '(cn=admin)'« um i386 durch amd64 für ein ausgewähltes Netzwerk zu ersetzen (DHCP-Angaben in LDAP).

  • Führen Sie »service isc-dhcp-server restart« aus.

  • Bearbeiten Sie /etc/debian-edu/pxeinstall.conf (ltsparch=amd64 setzen).

  • Führen Sie »debian-edu-pxeinstall« aus, um das PXE-Menü zu regenerieren.

  • Führen Sie »service nbd-service restart« aus, damit die neue NBD-Datei verwendet wird.

12.3. Aktualisieren von älteren Debian Edu / Skolelinux-Installationen (vor Stretch)

Um von älteren Veröffentlichungen zu aktualisieren, müssen Sie zuerst auf das auf Stretch basierende Debian Edu aktualisieren. Anschließend folgen Sie obiger Anleitung. Das Aktualisieren von Jessie auf Stretch wird in Handbuch für Debian Edu Stretch beschrieben; das Jessie-Handbuch beschreibt das Upgrade davor.

13. HowTo

14. HowTos für allgemeine Administration

Die Kapitel Erste Schritte und Wartung erklären den Einstieg in den Umgang und die Wartung von Debian Edu. Die HowTos in diesem Kapitel sind Tipps und Tricks für Fortgeschrittene.

14.1. Änderungen der Konfiguration: /etc/ mit dem Versionskontrollsystem Git verfolgen

Mit der Einführung von etckeeper in Debian Edu Squeeze (frühere Versionen verwendeten etcinsvk, was nicht mehr in Debian enthalten ist), lassen sich alle Änderungen an Dateien in /etc/ mit Hilfe von git als System für die Versionskontrolle zurückverfolgen.

Dies ermöglicht es festzustellen, wann eine Datei hinzugefügt, verändert oder entfernt wurde. Im Falle einer Textdatei lässt sich auch feststellen, was geändert wurde. Das Git-Repository befindet sich in /etc/.git/.

Änderungen werden automatisch stündlich protokolliert; damit ist es möglich, die Entwicklung der Konfiguration zurück zu verfolgen.

Um die Entwicklung anzusehen, kann der Befehl etckeeper vcs log benutzt werden. Um Änderungen zwischen zwei Zeitpunkten einzusehen, kann ein Befehl wie z.B. etckeeper vcs diff verwendet werden.

Rufen Sie man etckeeper auf, um weitere Optionen kennenzulernen.

Nützliche Befehle sind:

etckeeper vcs log
etckeeper vcs status
etckeeper vcs diff
etckeeper vcs add .
etckeeper vcs commit -a
man etckeeper

14.1.1. Benutzungsbeispiele

Auf einem neu installierten System alle Änderungen herausfinden, seitdem das System installiert wurde:

etckeeper vcs log

Ansehen, welche Dateien gegenwärtig nicht kontrolliert werden und welche nicht auf aktuellem Stand sind:

etckeeper vcs status

Um eine Datei manuell einzureichen, weil Sie nicht eine Stunde lang warten wollen, verwenden Sie den folgenden Befehl:

etckeeper vcs commit -a /etc/resolv.conf

14.2. Partitionsgrößen verändern

Mit Ausnahme der /boot/-Partition sind alle Partitionen in Debian Edu auf logischen LVM-Datenträgern. Seit dem Linux-Kernel 2.6.10 ist es möglich, Partitionen zu vergrößern, während sie eingehängt sind. Um Partitionen zu verkleinern, müssen diese weiterhin ausgehängt sein.

Es ist eine gute Idee, das Anlegen sehr großer Partitionen (etwa mehr als 20 GiB) zu vermeiden, weil es sehr lange dauert, um darauf fsck auszuführen oder um sie per Backup wiederherzustellen, wenn das notwendig sein sollte. Falls möglich, ist es besser, statt einer großen mehrere kleine Partitionen zu erstellen.

Um die Vergrößerung voller Partitionen zu vereinfachen, wird das Skript debian-edu-fsautoresize zur Verfügung gestellt. Es liest die Konfiguration unter /usr/share/debian-edu-config/fsautoresizetab, /site/etc/fsautoresizetab und /etc/fsautoresizetab ein und schlägt - basierend auf den in diesen Dateien definierten Regeln - die Vergrößerung zu kleiner Partitionen vor. Ohne Argumente aufgerufen gibt es nur die Befehle aus, die zum Vergrößern der Dateisysteme nötig sind. Wenn die Dateisysteme tatsächlich vergrößert werden sollen, muss das Skript mit dem Argument -n ausgeführt werden.

Das Skript wird stündlich automatisch auf jedem Client der fsautoresize-hosts-»Netgroup« ausgeführt.

Wenn die Größe der vom Squid-Proxy genutzten Partition geändert wird, muss die Zwischenspeicher-Größe in etc/squid/squid.conf entsprechend aktualisiert werden. Das Skript /usr/share/debian-edu-config/tools/squid-update-cachedir leistet dies automatisch, indem es die gegenwärtige Partitionsgröße ermittelt und Squid so konfiguriert, dass 80% der aktuellen Partitionsgröße von /var/spool/squid/ als Zwischenspeicher-Größe verwendet werden.

14.2.1. Verwaltung logischer Datenträger

»Logical-Volume-Management« (LVM) erlaubt es, Partitionen zu vergrößern, während diese eingehängt sind und benutzt werden. Mehr Informationen zu LVM finden Sie unter LVM HowTo.

Um einen logischen Datentäger zu vergrößern, müssen Sie einfach dem lvextend Befehl mitteilen, auf wie viel Sie die Partition vergrößern wollen. Um beispielsweise die Partition home0 auf 30GiB zu vergrößern, verwenden Sie:

lvextend -L30G /dev/vg_system/skole+tjener+home0 
resize2fs /dev/vg_system/skole+tjener+home0

Um home0 um 30GiB zu vergrößern, fügen Sie ein '+' (-L+30G) hinzu.

14.3. Installation einer graphischen Umgebung auf dem Hauptserver, um GOsa² nutzen zu können

Falls Sie (wahrscheinlich aus Versehen) ein reines Hauptserver-Profil installiert haben und kein Client mit einem Webbrowser zur Verfügung steht, ist es leicht, eine minimale graphische Arbeitsumgebung auf dem Hauptserver zu installieren; führen Sie dazu die folgenden Befehle in einer Shell als derjenige Benutzer aus, der während der Installation des Hauptservers zuerst angelegt wurde (Erstbenutzer):

  $ sudo apt update
  $ sudo apt install education-desktop-xfce lightdm
  ### Nach der Installation ausführen: 'sudo service lightdm start' 
  ### Als Erstbenutzer anmelden

14.4. Verwendung von ldapvi

Mit ldapvi können Einträge in der LDAP-Datenbank mit einem normalen Texteditor von der Befehlszeile aus editiert werden.

Folgender Befehl muss ausgeführt werden:

ldapvi --ldap-conf -ZD '(cn=admin)'

Bemerkung: ldapvi verwendet den durch die Umgebungsvariable EDITOR als Standard vorgegebenen Editor. Nach Ausführen von beispielsweise export EDITOR=vim wird vim als Editor verwendet.

Um ein LDAP-Objekt mittes ldapvi hinzuzufügen, verwenden Sie als Objekt-Nummer die Zeichenfolge add vor dem neuen LDAP-Objekt.

/!\ Achtung: ldapvi ist ein sehr mächtiges Werkzeug. Verwenden Sie es vorsichtig und richten Sie kein Durcheinander in der LDAP-Datenbank an; dies gilt auch für JXplorer.

14.5. NFS mittels Kerberos

Die Verwendung von NFS mittels Kerberos für das Einhängen der Home-Verzeichnisse stellt ein Sicherheitsfeature dar. Die Level krb5, krb5i und krb5p werden unterstützt (krb5 bedeutet Kerberos Authentifizierung, i steht für Integritätsprüfung und p für Privatsphäre, d.h. Verschlüsselung); die Last auf Server und Arbeitsplatzrechner nimmt mit dem Sicherheitslevel zu, krb5i könnte eine gute Wahl sein.

Für neu mittels GOsa² hinzugefügte Systeme werden »host keytab«-Dateien automatisch generiert.

Eine solche Datei lässt sich für ein bereits mit GOsa² eingerichtetes System erzeugen. Als »root« auf dem Hauptserver anmelden und ausführen

/usr/share/debian-edu-config/tools/gosa-modify-host <hostname> <IP>

Bitte beachten: Ein »host keytab« kann für Systeme vom Typ workstations, servers und terminals aber nicht für solche vom Typ netdevices erzeugt werden. LTSP-Clients verwenden sshfs, um auf das Home-Verzeichnis zuzugreifen; es gibt daher für Diskless Workstations nichts zu tun.

14.5.1. So wird es aktiviert

Hauptserver

  • Als »root« anmelden

  • Ausführen von ldapvi -ZD '(cn=admin)', nach sec=sys suchen und dies ersetzen durch sec=krb5i

  • Die Datei /etc/exports bearbeiten: Kommentarzeichen entfernen/Anpassen/Kommentieren der bestehenden Einträge für /srv/*; sicherstellen, dass diese so aussehen:

/srv/nfs4        gss/krb5i(rw,sync,fsid=0,crossmnt,no_subtree_check)
/srv/nfs4/home0  gss/krb5i(rw,sync,no_subtree_check)
  • Ausführen von exportfs -r

  • Ausführen von exportfs zur Kontrolle, ob gss/krb5i für beide Einträge aktiviert ist.

Arbeitsplatzrechner

  • Als »root« anmelden.

  • Ausführen von /usr/share/debian-edu-config/tools/copy-host-keytab

14.6. Standarddrucker (»Standardskriver«)

Dieses Tool erlaubt es, den Standarddrucker in Abhängigkeit von Ort, Maschine oder Gruppenzugehörigkeit zu setzen. Weitere Informationen stehen in der Datei /usr/share/doc/standardskriver/README.md.

Die Konfigurationsdatei /etc/standardskriver.cfg muss durch den Admin erstellt werden, die Datei /usr/share/doc/standardskriver/examples/standardskriver.cfg kann als Beispiel dienen.

14.7. JXplorer, ein LDAP-Editor mit graphischer Benutzeroberfläche

Wenn Sie für die Bearbeitung von Daten in LDAP einen Editor mit graphischer Benutzeroberfläche bevorzugen, dann probieren Sie den standardmäßig installierten jxplorer aus. Verwenden Sie diese Einträge, um Schreibzugriff zu bekommen:

host: ldap.intern
port: 636
Security level: ssl + user + password
User dn: cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no

14.8. ldap-createuser-krb, ein Werkzeug für die Befehlszeile

ldap-createuser-krb ist ein kleines Befehlszeilen-Werkzeug, um Benutzerkonten in LDAP anzulegen und deren Kerberos-Passwort zu setzen. Es ist eher für Testzwecke vorgesehen.

14.9. Verwenden von »stable-updates«

Seit der Veröffentlichung von Squeeze im Jahr 2011 stellt Debian die früher unter volatile.debian.org betreuten Pakete im Repository stable-updates bereit.

Es ist möglich, aber nicht notwendig, stable-updates direkt zu verwenden: Stable-Updates werden regelmäßig (etwa alle zwei Monate) anlässlich der Veröffentlichung von Stable-Pointreleases in die Stable-Suite übernommen.

14.10. Mittels Backports neuere Software installieren

Sie benutzen Debian Edu, weil Sie seine Stabilität schätzen. Es läuft sehr gut, es gibt nur ein Problem: Manchmal ist eine Software ein wenig mehr veraltet als Ihnen recht ist. Hier kommt backports.debian.org ins Spiel.

Backports sind extra kompilierte Pakete aus Debian-Testing (meistens) und Debian-Unstable (allerdings nur in Ausnahmefällen, insbesondere Sicherheitsaktualisierungen), so dass sie ohne neue Bibliotheken (sofern das möglich ist) auf einer stabilen Debian-Distribution wie Debian Edu laufen. Es wird empfohlen, nur diejenigen Backports auszuwählen, die Sie benötigen und nicht alle verfügbaren zu benutzen.

Die Nutzung von Backports ist einfach:

echo "deb http://deb.debian.org/debian/ buster-backports main" >> /etc/apt/sources.list
apt-get update

Anschießend können Pakete aus Backports einfach installiert werden; das folgende Kommando wird die Backports-Version von tuxtype installieren:

apt-get install -t buster-backports tuxtype

Backports werden (falls verfügbar) automatisch aktualisiert - genauso wie andere Pakete. So wie das normale Depot hat Backports drei Sektionen: main, contrib und non-free.

14.11. Upgrade mit einer CD oder einem vergleichbaren Medium

Falls Sie ein Upgrade von einer Version zu einer nächsten (wie z.B. von Buster 10.1+edu0 auf 10.3+edu1) durchführen wollen, aber keine Internetverbindung, nur physikalische Medien haben, dann führen Sie folgende Schritte aus:

Legen Sie die CD / DVD / Blu-ray Disc ein oder stecken Sie den USB-Stick ein und benutzen Sie das Kommando apt-cdrom:

apt-cdrom add

Zitat aus der Handbuchseite von apt-cdrom(8):

  • apt-cdrom wird benutzt, um eine neue CD-ROM zu APTs Liste der verfügbaren Quellen hinzuzufügen. apt-cdrom kümmert sich um die Feststellung der Struktur des Mediums, sowie um die Korrektur für mehrere mögliche Fehlbrennungen und prüft die Indexdateien.

  • Es ist notwendig, apt-cdrom zu benutzen, um CDs zum APT-System hinzuzufügen; dies kann nicht manuell erfolgen. Weiterhin muss jedes Medium in einer Zusammenstellung aus mehreren CDs einzeln eingelegt und gescannt werden, um auf mögliche Fehlbrennungen zu testen.

Dann sind diese beiden Befehle für das Upgrade auszuführen:

apt-get update
apt-get upgrade

14.12. Automatisches Aufräumen übrig gebliebener Prozesse

killer ist ein Perl-Skript, das Hintergrundprozesse aufräumt. Hintergrundprozesse sind definiert als Prozesse, die zu Nutzern gehören, die zur Zeit nicht am System angemeldet sind. Das Skript wird per Cron-Job einmal in der Stunde ausgeführt.

14.13. Automatische Installation von Sicherheitsaktualisierungen

unattended-upgrades ist ein Debian-Paket, das automatisch Sicherheitsaktualisierungen (und andere Aktualisierungen) installieren kann. Falls installiert, ist das Paket so vorkonfiguriert, dass Sicherheitsaktualisierungen erfolgen. Die Log-Dateien gibt es in /var/log/unattended-upgrades/; außerdem gibt es immer /var/log/dpkg.log und /var/log/apt/.

14.14. Automatisches Herunterfahren von Rechnern während der Nacht

Um Energie und Geld zu sparen, können Rechner nachts abgeschaltet und morgens automatisch wieder gestartet werden. Das Paket versucht stündlich (von 16 Uhr an) betroffene Rechner herunter zu fahren, falls keine Benutzer mehr daran arbeiten. Es versucht ausserdem, dem BIOS des Rechners mitzuteilen, den Rechner am Morgen gegen 7 Uhr wieder zu starten. Der Hauptserver versucht ebenfalls, die Maschinen ab 06:30 Uhr mittels wake-on-lan hochzufahren. Die Zeiten können in der Crontab der jeweiligen Maschine konfiguriert werden.

Falls Sie das vorhaben, sollten folgende Punkte beachtet werden:

  • Die Client-Rechner sollen nicht ausgeschaltet werden, wenn sie noch von jemandem benutzt werden. Dies wird durch Überprüfen der Ausgabe des Befehls who sichergestellt. Bei LTSP-Terminals wird geprüft, ob das SSH-Kommando von LDM zur Verbindung mit dem Server noch läuft.

  • Um das Herausspringen von Sicherungen zu vermeiden, sollte sichergestellt sein, dass nicht alle Client-Rechner gleichzeitig eingeschaltet werden.

  • Es gibt zwei Methoden, Client-Rechner aufzuwecken. Eine Methode nutzt eine BIOS-Eigenschaft und setzt eine korrekt arbeitende Hardware-Uhr voraus sowie eine Hauptplatine und eine BIOS-Version, die von nvram-wakeup unterstützt wird. Die andere verlangt die Unterstützung von Wake-On-Lan auf allen Client-Rechnern sowie einen Server, der weiß, wie alle Clients aufzuwecken sind.

14.14.1. Das Herunterfahren in der Nacht einrichten

Legen Sie auf Rechnern, die über Nacht abgeschaltet werden sollen, die Datei /etc/shutdown-at-night/shutdown-at-night mit Hilfe von »touch« an - oder fügen Sie die entsprechenden Rechnernamen (wie in 'uname -n' angegeben) der »Netgroup« »shutdown-at-night-hosts« hinzu. Das Hinzufügen der Rechner zur »Netgroup« in LDAP kann mit der GOsa²Webschnittstelle erfolgen. Für diese Rechner muss ggf. im BIOS die Wake-On-Lan-Funktion (WOL) aktiviert werden. Außerdem muss sichergestellt werden, dass alle Router und Switches auch dann WOL-Pakete weiterleiten, wenn die angesprochenen Rechner ausgeschaltet sind. Von einigen Switches ist bekannt, dass sie keine WOL-Pakete weiterleiten, wenn die Empfängeradresse nicht in deren ARP-Tabelle vorhanden ist.

Um Wake-On-Lan auf dem Server einzuschalten, tragen Sie die Client-Rechner in die Datei /etc/shutdown-at-night/clients ein: Eine Zeile pro Client, zuerst die IP-Adresse, danach die MAC-Adresse (bzw. Ethernet-Adresse), durch Leerzeichen voneinander getrennt. Alternativ können Sie ein Skript /etc/shutdown-at-night/clients-generator schreiben, das eine solche Liste erstellt.

Hier sehen Sie ein Beispiel /etc/shutdown-at-night/clients-generator, das mit sitesummary genutzt werden kann:

  #!/bin/sh
  PATH=/usr/sbin:$PATH
  export PATH
  sitesummary-nodes -w

Wenn die »Netgroup« benutzt wird, um shutdown-at-night auf den Clients zu aktivieren, ist dieses Skript eine Alternative; es nutzt das Netgroup-Werkzeug aus dem Paket ng-utils:

  #!/bin/sh
  PATH=/usr/sbin:$PATH
  export PATH
  netgroup -h shutdown-at-night-hosts

14.15. Zugriff auf Debian-Edu-Server von außen (durch die Firewall)

Um Maschinen, die hinter einer Firewall liegen, vom Internet aus erreichen zu können, könnten Sie das Paket autossh installieren. Dies erlaubt das Einrichten eines SSH-Tunnels zu einer Maschine im Internet, zu der Sie Zugang haben. Von dieser Maschine aus können Sie dann über den SSH-Tunnel den Server hinter der Firewall erreichen.

14.16. Dienste auf separaten Rechnern zur Entlastung des Hauptservers installieren

Bei der Standardinstallation laufen alle Dienste auf dem Hauptserver (tjener). Um auf einfache Weise einige Dienste auf eine andere Maschine zu verlagern, gibt es das Installationsprofil Minimal. Eine Installation unter Verwendung dieses Profils führt zu einer Maschine, die zum Debian-Edu-Netzwerk gehört, auf der aber (noch) keine Dienste laufen.

Diese Schritte sind erforderlich, um eine Maschine für einige Dienste aufzusetzen:

  • Installieren Sie das Profil Minimal mit der Boot-Option debian-edu-expert

  • Installieren Sie die Pakete für den gewünschten Dienst

  • Konfigurieren Sie den Dienst

  • Deaktivieren Sie den Dienst auf dem Hauptserver

  • Aktualisieren Sie (via LDAP/GOsa²) den DNS-Dienst auf dem Hauptserver

14.17. HowTos von wiki.debian.org

FIXME: The HowTos from http://wiki.debian.org/DebianEdu/HowTo/ are either user- or developer-specific. Let's move the user-specific HowTos over here (and delete them over there)! (But first ask the authors (see the history of those pages to find them) if they are fine with moving the howto and putting it under the GPL.)

15. HowTo für fortgeschrittene Administration

In diesem Kapitel werden fortgeschrittene Administrationsaufgaben beschrieben.

15.1. Angepasste Benutzerverwaltung mit GOsa²

15.1.1. Anlegen von Benutzerkonten in Jahrgangsgruppen

In diesem Beispiel sollen Benutzerkonten in Jahrgangsgruppen angelegt werden, mit Home-Verzeichnissen in einem jeweiligen Gruppenverzeichnis (home0/2014, home0/2015 etc.). Die Konten sollen mittels CSV-Import angelegt werden.

(als Root auf dem Hauptserver)

  • Legen Sie das gewünschte Gruppenverzeichnis an

mkdir /skole/tjener/home0/2014

(als Erstbenutzer in GOsa²)

  • Abteilung

Wählen Sie im Hauptmenü »Verzeichnistruktur«. Klicken Sie auf die Abteilung »Students«. Im Basis-Feld sollte »/Students« angezeigt werden. Wählen Sie aus der »Aktionen«-Box »Anlegen/Abteilung«. Geben Sie Werte in die Felder »Name der Abteilung« (2014) und »Beschreibung« (Abschluss 2014) ein, lassen Sie das Basis-Feld unverändert (es sollte »/Students« zeigen). Klicken Sie zum Speichern auf »OK«. Die neue Abteilung (2014) sollte nun unterhalb von »/Students« angezeigt werden. Klicken Sie darauf.

  • Gruppe

Wählen Sie aus dem Hauptmenü »Gruppen«; dann »Aktionen/Anlegen/Gruppe«. Geben Sie den Gruppennamen ein (lassen Sie »Basis« unverändert, es sollte dort »/Students/2014« stehen) und klicken Sie die Checkbox links neben »Samba-Gruppe« an; »OK«, um zu speichern.

  • Vorlage

Wählen Sie aus dem Hauptmenü »Benutzer«. Wechseln Sie im Basis-Feld zu »/Students«. Es sollte dort ein Eintrag NewStudent vorhanden sein: klicken Sie darauf. Dies ist die Vorlage »NewStudents«, kein normaler Benutzer. Für den CSV-Import in Ihre Verzeichnisstruktur müssen Sie eine neue Vorlage anlegen, die auf dieser basiert. Notieren Sie sich deshalb alle Einträge in den Feldern der Reiter »Allgemein«, »POSIX« und »Samba«; eventuell Screenshots erstellen, um die Informationen für das neue Template verfügbar zu haben.

Wechseln Sie nun im Basis-Feld zu »/Students/2014«; wählen Sie »Anlegen/Vorlage« und beginnen Sie mit dem Eintragen der von Ihnen gewünschen Werte, zuerst unter dem Reiter »Allgemein«, dann »POSIX«- und »Samba«-Einstellungen hinzufügen (unter »POSIX« zusätzlich die neu erstellte Gruppe »2014« unter »Gruppenmitgliedschaft« hinzufügen).

  • Benutzerdaten importieren

Wählen Sie beim CSV-Import die neue Vorlage aus; ein Test mit einigen Benutzern ist zu empfehlen.

15.2. Andere Anpassungen für Benutzer

15.2.1. Ordner in den Home-Verzeichnissen aller Nutzer erstellen

Mit diesem Skript kann der Administrator einen Ordner im Home-Verzeichnis eines jeden Nutzers erstellen und Zugriffsrechte sowie den Besitzer einstellen.

Im Beispiel unten mit group=teachers (die Gruppe Lehrer) und permissions=2770 (die Zugriffsrechte des Ordners für die gemeinsame Ablage) kann ein Nutzer eine Arbeit abgeben, indem er die Datei im Ordner »Arbeiten« speichert. In diesem Ordner besitzen Lehrer (genauer: alle Nutzer in der Gruppe teachers) Schreibrechte, um beispielsweise Kommentare hinzuzufügen.

 #!/bin/bash
 home_path="/skole/tjener/home0"
 shared_folder="Arbeiten"
 permissions="2770"
 created_dir=0
 for home in $(ls $home_path); do
    if [ ! -d "$home_path/$home/$shared_folder" ]; then
        mkdir $home_path/$home/$shared_folder
        chmod $permissions $home_path/$home/$shared_folder
        # Richtige Gruppe und richtigen Benutzer setzen
        #"username" = "group name" = "folder name"
        user=$home
        group=teachers
        chown $user:$group $home_path/$home/$shared_folder
        ((created_dir+=1))
    else
        echo -e "the folder $home_path/$home/$shared_folder already exists.\n"
    fi
 done
 echo "$created_dir Verzeichnisse wurden angelegt"

15.2.2. Einfacher Zugriff auf USB-Laufwerke und CD-ROMs/DVDs

Wenn Benutzer an einem Arbeitsplatzrechner oder einer Diskless Workstation ein USB-Laufwerk anschließen oder eine DVD/CD-ROM einlegen, erscheint ein Popup-Fenster mit der Frage, was damit passieren soll - genau wie bei jeder normalen Installation.

Wenn Benutzer ein USB-Laufwerk an ein Terminal anschließen oder dort eine DVD/CD-ROM in ein Laufwerk einlegen, dann erscheint lediglich für einige Sekunden eine Benachrichtigung auf dem Bildschirm. Der Datenträger wird automatisch eingebunden und steht im Ordner /media/$user zum Zugriff bereit. Für unerfahrene Nutzer ist es recht schwierig, dies zu verstehen.

Wenn KDE »Plasma« (oder LXDE, falls zusätzlich zu KDE »Plasma« installiert) als graphische Benutzerumgebung verwendet wird, dann ist es möglich, das System so einzurichten, dass (voreingestellt) der KDE »Plasma«-Dateimanager Dolphin startet. Führen Sie dazu einfach /usr/share/debian-edu-config/ltspfs-mounter-kde enable auf dem LTSP-Server aus. (Falls GNOME verwendet wird, werden Gerätesymbole auf der Arbeitsfläche erscheinen, wodurch ein einfacher Zugriff gegeben ist.)

Mit dem folgenden Skript wird ein symbolischer Verweis »media« für alle Nutzer im Home-Verzeichnis angelegt. Dieser ermöglicht den einfachen Zugriff auf USB-Laufwerke, CD-ROMs oder andere ähnliche Medien, die an ein Terminal angeschlossen werden. Dies könnte nützlich sein, wenn ein Benutzer Dateien direkt auf dem angeschlossenen Gerät bearbeiten will.

 #!/bin/bash
 home_path="/skole/tjener/home0"
 shared_folder="media"
 permissions="775"
 created_dir=0;
 for home in $(ls $home_path); do
    if [ ! -d "$home_path/$home/$shared_folder" ]; then
        ln -s /media/$home $home_path/$home/$shared_folder
        ((created_dir+=1))
    else
        echo -e "the folder $home_path/$home/$shared_folder already exists.\n"
    fi
 done
 echo "$created_dir folders has been created"
15.2.2.1. Warnhinweis zu Wechseldatenträgern auf LTSP-Servern

/!\ Achtung: Wenn ein USB-Laufwerk oder ein anderer Wechseldatenträger an einen LTSP-Server angeschlossen wird, löst das eine Popup-Meldung auf den angeschlossenen LTSP-Clients aus.

Wenn ein entfernter Nutzer das Popup-Fenster entsprechend quittiert oder in der Konsole pmount verwendet, kann er sogar das Gerät einhängen und hat Zugriff auf die Dateien.

15.3. Einen speziellen Dateiserver benutzen

Führen Sie diese Schritte aus, um einen eigenen Dateiserver für das Speichern von Benutzerverzeichnissen - und möglicherweise auch anderen Daten - einzurichten.

  • Verwenden Sie GOsa², um ein neues System vom Typ server einzurichten - wie im Kapitel Erste Schritte dieses Handbuchs beschrieben.

    • In diesem Beispiel wird 'nas-server.intern' als Servername verwendet. Sobald 'nas-server.intern' konfiguriert ist, sollte kontrolliert werden, ob die NFS-Exporte des neuen Dateiservers für die relevanten Subnetze bzw. Rechner zur Verfügung stehen:

          root@tjener:~# showmount -e nas-server
          Export list for nas-server:
          /storage         10.0.0.0/8
          root@tjener:~#

      Hier wird allem auf dem »backbone«-Netzwerk Zugang zum Export »/storage« gewährt. (Um den NFS-Zugang einzuschränken, könnte dies auf die Zugehörigkeit zu einer »netgroup« oder auf einzelne IP-Adressen beschränkt werden - ähnlich, wie dies in der Datei »tjener:/etc/exports« geschieht.

  • »automount«-Information für 'nas-server.intern' in LDAP hinzufügen, um allen Clients auf Anforderung das automatische Einhängen zu erlauben.

    • Dies kann nicht mittels GOsa² erfolgen, da dort ein Modul für »automount« fehlt. Verwenden Sie stattdessen »ldapvi« und fügen Sie die erforderlichen LDAP-Objekte mittels Editor hinzu.

      ldapvi --ldap-conf -ZD '(cn=admin)' -b ou=automount,dc=skole,dc=skolelinux,dc=no

      Sobald der Editor bereit ist, fügen Sie die folgenden LDAP-Objekte am Ende des Dokuments hinzu. (Der Bestandteil "/&" im letzten LDAP-Objekt ist ein Platzhalter für alle 'nas-server.intern'-Exporte; damit entfällt das Auflisten individueller Einhängepunkte in LDAP.)

          add cn=nas-server,ou=auto.skole,ou=automount,dc=skole,dc=skolelinux,dc=no
          objectClass: automount
          cn: nas-server
          automountInformation: -fstype=autofs --timeout=60 ldap:ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no
      
          add ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no
          objectClass: top
          objectClass: automountMap
          ou: auto.nas-server
      
          add cn=/,ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no
          objectClass: automount
          cn: /
          automountInformation: -fstype=nfs,tcp,rsize=32768,wsize=32768,rw,intr,hard,nodev,nosuid,noatime nas-server.intern:/&
  • Hinzufügen relevanter Einträge in der Datei »tjener.intern:/etc/fstab«, da »tjener.intern« zum Vermeiden von Endlosschleifen beim Einhängen kein »automount« verwendet:

    • Legen Sie die Einhängeverzeichnisse mittels mkdir an, editieren Sie '/etc/fstab' entsprechend und führen Sie mount -a aus, um die neuen Ressourcen einzuhängen.

  • Den Zugriff ermöglichen, falls Diskless Workstations eingesetzt werden. Dies ist ein spezieller Fall, da SSHFS anstelle von NFS und Automount benutzt wird:

    • Die Einhängepunkt-Verzeichnisse ebenfalls im Root-Verzeichnis der LTSP-Diskless-Clients (vorgegeben /opt/ltsp/i386/) erstellen.

      Eine Zeile mit dem Inhalt 'LOCAL_APPS_EXTRAMOUNTS=/storage' in der Datei /opt/ltsp/i386/etc/lts.conf hinzufügen (Beispiel).

      Einen Link wie 'ln -s /storage Storage' im Home-Verzeichnis eines jeden Benutzers anlegen, um dem Benutzer die Suche nach Ressourcen zu erleichtern.

Die Benutzer sollten nun Zugang zu den Dateien des Dateiservers 'nas-server.intern' haben, wenn Sie mit einer Anwendung auf das Verzeichnis '/tjener/nas-server/storage/' zugreifen - sei es von einer Workstation, einem LTSP-Thin-Client oder einem LTSP-Server aus, bzw. auf ~/Storage, falls LTSP-Diskless-Workstations benutzt werden.

15.4. Den SSH-Zugang beschränken

Es gibt mehrere Wege, den SSH-Zugang zu beschränken; einige sind hier aufgeführt.

15.4.1. Setup ohne LTSP-Clients

Falls keine LTSP-Clients verwendet werden, besteht eine einfache Lösung darin, eine neue Gruppe (wie z.B. sshusers) anzulegen und auf dem Rechner in der Datei /etc/ssh/sshd_config eine Zeile zu ergänzen. Dann könnten sich nur Mitglieder der Gruppe sshusers mittels ssh auf der Maschine von überall her anmelden.

Dieser Fall kann mit GOsa² ziemlich einfach erledigt werden:

  • Legen Sie auf dem Basis-Level eine Gruppe sshusers an; dort sind schon einige für das Systemmanagement wichtige Gruppen wie gosa-admins vorhanden.

  • Fügen Sie der neuen Gruppe sshusers Benutzer hinzu.

  • Ergänzen Sie den Inhalt der Datei /etc/ssh/sshd_config um die Zeile AllowGroups sshusers.

  • service ssh restart ausführen.

15.4.2. Setup mit LTSP-Clients

Das Standard-Setup für LTSP-Clients benutzt ssh-Verbindungen zum LTSP-Server. Deshalb ist in diesem Fall ein anderer Ansatz mittels PAM erforderlch.

  • Auf dem LTSP-Server pam_access.so in der Datei /etc/pam.d/sshd aktivieren.

  • In der Datei /etc/security/access.conf den Zugang für die (Beispiel-)Benutzer alice, jane, bob and john von überall her sowie für alle anderen Benutzer nur aus den internen Netzwerken ermöglichen durch Einfügen dieser Zeilen:

+ : alice jane bob john : ALL
+ : ALL : 10.0.0.0/8 192.168.0.0/24 192.168.1.0/24
- : ALL : ALL
#

Das Netzwerk 10.0.0.0/8 könnte aus der Liste entfernt und damit der interne SSH-Zugang verhindert werden, falls dedizierte LTSP-Server Verwendung finden. Hinweis: Jemand, der seinen Rechner mit einem der dedizierten LTSP-Client-Netzwerke verbindet, hat dann auch ssh-Zugang zu dem jeweiligen LTSP-Server.

15.4.3. Ein Hinweis für kompliziertere Setups

Noch komplizierter wird es, falls LTSP-Clients an das Hauptnetzwerk 10.0.0.0/8 angeschlossen werden (wie bei Kombiservern oder einem LTSP-Custer). Dann dürfte nur eine ausgeklügelte DHCP-Konfiguration (in LDAP), die einen Check des vendor-class-identifiers umfasst, und eine angepasste PAM-Konfiguration den internen SSH-Zugang verhindern.

16. HowTos für die graphische Arbeitsumgebung

16.1. Eine mehrsprachige Arbeitsumgebung einrichten

Um mehrere Sprachen zu unterstützen, müssen diese Schritte erfolgen:

  • Als Benutzer »root« dpkg-reconfigure locales ausführen und die Sprachen wählen (UTF-8-Varianten).

  • Führen Sie dies als »root« aus, um die entsprechenden Pakete zu installieren:

apt update
/usr/share/debian-edu-config/tools/install-task-pkgs
/usr/share/debian-edu-config/tools/improve-desktop-l10n

Benutzern wird es dann möglich sein, die Sprache vor dem Anmelden über den LightDM-Displaymanager zu wählen; dies trifft für Xfce, LXDE und LXQt zu. GNOME und auch KDE haben eigene Einstellmöglichkeiten für Region und Sprache; diese sollten benutzt werden. MATE verwendet (zusätzlich zu LightDM) den Arctica-Greeter, der kein Sprachwahlmodul hat. Nach dem Ausführen von apt purge arctica-greeter ist der normale LightDM-Greeter vorhanden.

Falls LTSP-Diskless-Clients verwendet werden, müssen die obigen Schritte auch innerhalb des LTSP-Chroots ausgeführt werden. LDM unterstützt alle Arbeitsumgebungen. Vor dem Login muss die Sprache unter »Einstellungen« geändert werden.

16.2. DVDs abspielen

Um die meisten kommerziellen DVDs abzuspielen, benötigen Sie das Paket libdvdcss. Dies ist aus rechtlichen Gründen nicht in Debian (Edu) enthalten. Wenn Sie libdvdcss legal verwenden dürfen, können Sie eigene lokale Pakete mittels libdvd-pkg selbst bauen; dazu muss contrib in /etc/apt/sources.list aktiviert sein.

apt update
apt install libdvd-pkg

Beantworten Sie die Debconf-Fragen und führen Sie dann dpkg-reconfigure libdvd-pkg aus.

16.3. Schreibschrift-Zeichensätze

Das Paket fonts-linex (das voreingestellt installiert wird) installiert den Zeichensatz "Abecedario", ein schöner Schreibschrift-Zeichensatz für Kinder. Der Zeichensatz beinhaltet verschiedene, für Kinder geeignete Formen: gepunktet oder liniert.

17. HowTos für Netzwerk-Clients

17.1. Einführung in Thin Clients (auch als Terminals bezeichnet) und Diskless Workstations (Arbeitsplatzrechner ohne Festplatte)

(!) Standard für neue Installationen von Debian Edu Buster: LTSP-Clients verwenden dieselbe Architektur wie der LTSP-Server, also 64-Bit-PC (auch als amd64 bezeichnet) oder 32-Bit-PC (i386).

/!\ Bitte daran denken: Bei allen unten aufgeführten Befehlen ist die zutreffende Architektur zu verwenden.

Eine allgemeine Bezeichnung für sowohl Thin Clients wie auch «Diskless-Workstations« ist LTSP-Client. LTSP bezeichnet das Linux Terminal Server Projekt.

Thin Client

Die Einrichtung des Systems mit Thin Clients ermöglicht es gewöhnlichen PCs, als (X-)Terminal zu funktionieren, wobei alle Programme auf dem LTSP-Server laufen. Thin Clients starten via PXE, ohne eine lokale Festplatte zu benutzen.

Diskless Workstation

Bei einer Diskless Workstation laufen alle Anwendungen lokal. Die Maschine bootet ohne lokale Festplatte direkt vom LTSP-Server. Die Software wird auf dem LTSP-Server (im LTSP-Chroot) administriert und gewartet, läuft aber auf der Diskless Workstation. Ebenso werden Home-Verzeichnisse und Systemeinstellungen auf dem Server gespeichert. Diskless Workstations sind eine ausgezeichnete Möglichkeit, ältere (aber leistungsfähige) Hardware mit ebenso geringem Wartungsaufwand wie Thin Clients verwenden zu können.

LTSP definiert 320MB als das (standardmäßig vorgegebene) Minimum an RAM für Diskless Workstations. Wenn weniger RAM vorhanden ist, wird die Maschine als Thin Client starten. Der zugehörige LTSP-Parameter ist FAT_RAM_THRESHOLD mit dem Standardwert 300. Wenn zum Beispiel alle Clients nur dann als Diskless Workstation laufen sollen, wenn sie 1 GB RAM haben, dann fügen Sie den Eintrag FAT_RAM_THRESHOLD=1000 in lts.conf hinzu (oder ergänzen diese Einstellung in LDAP). Im Unterschied zu Arbeitsplatzrechnern laufen Diskless Workstations, ohne dass sie mit GOsa² erfasst werden müssen, weil LDM zum Anmelden und Verbinden mit dem LTSP-Server verwendet wird.

Firmware der LTSP-Clients

Der Start von LTSP-Clients wird scheitern, falls für die Netzwerkschnittstelle des Clients Firmware aus »non-free« erforderlich ist. Eine PXE-Installation könnte zur Fehlersuche bei Problemen mit solchen Maschinen verwendet werden: Falls der Debian-Installer wegen fehlender XXX.bin-Dateien abbricht, dann ist es notwendig, die Initrd für LTSP-Clients mit Firmware aus »non-free« zu ergänzen.

Führen Sie in diesem Fall folgende Befehle auf dem LTSP-Server aus.

# Zunächst Informationen über Firmware-Pakete einholen.
apt-get update && apt-cache search ^firmware-

# Entscheiden Sie, welches Paket für die Netzwerkschnittstelle(n) erforderlich ist.
# Höchstwahrscheinlich wird es das Paket firmware-linux-nonfree sein.
# Die Änderungen müssen im LTSP-Chroot für die Architektur amd64 vorgenommen werden.
ltsp-chroot -a amd64 apt-get update
ltsp-chroot -d -a amd64 apt-get -y -q install <package name>

# Die neue Initrd in das Verzeichnis »tftpboot« des Servers kopieren.
ltsp-update-kernels
ltsp-update-image

Als schnellere Alternative - alle verfügbare Firmware installieren sowie das Verzeichnis »tftpboot« aktualisieren - könnten Sie dies ausführen:

/usr/share/debian-edu-config/tools/ltsp-addfirmware

17.1.1. Typ des LTSP-Clients auswählen

Jeder LTSP-Server hat zwei Ethernet-Schnittstellen. Eine ist für das Subnetz 10.0.0.0/8 (in dem auch der Hauptserver liegt) konfiguriert. Die andere ist mit einem lokalen Subnetz 192.168.0.0/24 verbunden. (Jeder LTSP-Server versorgt ein eigenes Subnetz.)

Im Hauptsubnetz wird das vollständige PXE-Menü angeboten; im separaten Subnetz eines LTSP-Servers können nur Diskless Workstation und Thin Client gewählt werden.

Mittels des Standard-PXE-Menüs im Hauptsubnetz 10.0.0.0/8 kann eine Maschine als Diskless Workstation oder Thin Client gestartet werden. Voreingestellt laufen alle Clients im separaten Subnetz 192.168.0.0/24 als Diskless Workstation, wenn sie genügend RAM haben.

(1) Öffnen Sie die Datei /opt/ltsp/amd64/etc/ltsp/update-kernels.conf mit einem Editor
und ersetzen Sie die Zeile
CMDLINE_LINUX_DEFAULT="init=/sbin/init-ltsp quiet"
durch
CMDLINE_LINUX_DEFAULT="init=/sbin/init-ltsp LTSP_FATCLIENT=False quiet"
(2) Führen Sie 'ltsp-chroot -a amd64 /usr/share/ltsp/update-kernels' aus.
(3) Führen Sie 'ltsp-update-kernels aus.'
(4)Execute 'ltsp-update-image'

17.2. Konfiguration des PXE-Menüs

Die PXE-Konfiguration wird mittels debian-edu-pxeinstall generiert. Einige Einstellungen können durch Bearbeiten der Datei /etc/debian-edu/pxeinstall.conf überschrieben werden.

17.2.1. Konfiguration der PXE-Installation

Die PXE-Installations-Option ist voreingestellt für jeden verfügbar, der einen Rechner über PXE starten kann. Um die PXE-Installation durch ein Passwort abzusichern, kann die Datei /var/lib/tftpboot/menupassword.cfg mit folgendem Inhalt erstellt werden:

MENU PASSWD $4$NDk0OTUzNTQ1NTQ5$7d6KvAlVCJKRKcijtVSPfveuWPM$

Den Password-Hash sollten Sie mit einem MD5-Hash des gewünschten Passworts ersetzen.

Die PXE-Installation wird Sprache, Tastaturlayout und weitere Einstellungen vom Hauptserver übernehmen. Alles andere (Profil, Popcon-Teilnahme, Partitionierung und Root-Passwort) wird während der Installation abgefragt. Um diese Fragen zu vermeiden, kann die Datei /etc/debian-edu/www/debian-edu-install.dat so modifiziert werden, dass sie vorgegebene Antworten für debconf-Werte bereithält. Einige Beispiele für vorhandene debconf-Werte sind schon kommentiert in /etc/debian-edu/www/debian-edu-install.dat vorhanden. Ihre Änderungen werden allerdings verloren gehen, sobald debian-edu-pxeinstall benutzt wird, um die PXE-Installationsumgebung neu zu erzeugen. Um debconf-Werte bei Erzeugung der Umgebung mit debian-edu-pxeinstall in /etc/debian-edu/www/debian-edu-install.dat einzufügen, kann die Datei /etc/debian-edu/www/debian-edu-install.dat.local mit den zusätzlichen debconf-Werten hinzugefügt werden.

Weitere Informationen zum Anpassen einer PXE-Installation befinden sich im Kapitel Installation.

17.2.2. Ein eigenes Depot für die PXE-Installation hinzufügen

Um ein eigenes Depot hinzuzufügen, wird /etc/debian-edu/www/debian-edu-install.dat.local beispielsweise um die folgenden Zeilen ergänzt:

# Ein lokales Depot hinzufügen
d-i     apt-setup/local1/repository string      http://example.com/debian stable main contrib non-free
d-i     apt-setup/local1/comment string        Example Software Repository
d-i     apt-setup/local1/source boolean        true
d-i     apt-setup/local1/key    string          http://example.com/key.asc

und dann einmal /usr/sbin/debian-edu-pxeinstall ausführen.

17.2.3. Verändern des PXE-Menüs auf einem Kombiserver (Haupt- und LTSP-Server)

Das PXE-Menue erlaubt es, die Installation über das Netzwerk vorzunehmen bzw. LTSP-Clients oder andere Alternativen zu starten. Die Datei /var/lib/tftpboot/pxelinux.cfg/default wird voreingestellt verwendet, wenn keine andere auf den Client passt. Sie ist ein symbolischer Link auf /var/lib/tftpboot/debian-edu/default-menu.cfg.

Wenn alle Clients als Diskless Workstations booten sollen, statt ein PXE-Menü zu erhalten, kann dies durch Änderung des folgenden Symlinks erreicht werden:

ln -s /var/lib/tftpboot/debian-edu/default-diskless.cfg /var/lib/tftpboot/pxelinux.cfg/default

Wenn hingegen alle Clients als Thin Clients gestartet werden sollen, muss der Symlink folgendermaßen gesetzt werden:

ln -s /var/lib/tftpboot/debian-edu/default-thin.cfg /var/lib/tftpboot/pxelinux.cfg/default

Siehe auch die PXELINUX-Dokumentation unter http://syslinux.zytor.com/wiki/index.php/PXELINUX.

17.2.4. Trennen von Haupt- und LTSP-Server

Aufgrund von Performance- und Sicherheitsüberlegungen könnte es wünschenswert sein, einen separaten Hauptserver aufzusetzen, der nicht gleichzeitig als LTSP-Server fungiert.

Wenn der Hauptserver kein kombinierter Server ist und mit dem ltspserver00 Diskless Workstations im Hauptnetz (10.0.0.0/8) betrieben werden sollen, dann sind folgende Schritte erforderlich:

  • kopieren Sie das ltsp-Verzeichnis aus /var/lib/tftpboot von ltspserver00 ins gleiche Verzeichnis auf dem Hauptserver.

  • kopieren Sie /var/lib/tftpboot/debian-edu/default-diskless.cfg ins gleiche Verzeichnis auf dem Hauptserver.

  • editieren Sie /var/lib/tftpboot/debian-edu/default-diskless.cfg so, dass die IP-Adresse des ltspserver00 verwendet wird. Das folgende Beispiel benutzt 10.0.2.10 als IP-Adresse von ltspserver00 im Hauptnetzwerk:

 DEFAULT ltsp/amd64/vmlinuz initrd=ltsp/amd64/initrd.img nfsroot=10.0.2.10:/opt/ltsp/amd64 init=/sbin/init-ltsp boot=nfs ro quiet ipappend 2
  • lassen sie auf dem Hauptserver den symbolischen Link in /var/lib/tftpboot/pxelinux.cfg auf /var/lib/tftpboot/debian-edu/default-diskless.cfg zeigen.

Alternativ könnten Sie ldapvi benutzen, nach 'next server tjener' suchen, und tjener durch ltspserver00 ersetzen.

17.2.5. Ein anderes LTSP-Client-Netzwerk verwenden

192.168.0.0/24 ist das vorgegebene LTSP-Client-Netzwerk, wenn für die Installation einer Maschine das Profil »LTSP-Server« gewählt wird. Falls sehr viele LTSP-Clients betrieben werden oder wenn i386- und amd64-Chroot-Umgebungen von verschiedenen LTSP-Servern zur Verfügung gestellt werden sollen, dann kann auch das zweite vorkonfigurierte Netzwerk 192.168.1.0/24 verwendet werden. Öffnen Sie die Datei /etc/network/interfaces und passen Sie die Einstellungen für »eth1« entsprechend an. Verwenden Sie ldapvi oder einen anderen LDAP-Editor, um die DNS- und DHCP-Konfiguration einzusehen.

17.2.6. LTSP-Chroot für 32-Bit-PC-Rechner einrichten

Falls LTSP-Server und Chroot für 64-Bit-PC installiert wurden, ist es trotzdem möglich, ältere 32-Bit-Pcs zu unterstützen. Mindestens 20 GiB zusätzlicher Plattenplatz für /opt sind dann erforderlich.

  • Führen Sie ltsp-build-client --arch i386 aus, um Chroot und NBD-Image zu erzeugen.

  • Verwenden Sie ldapvi -ZD '(cn=admin)' um amd64 durch i386 für ein ausgewähltes Netzwerk zu ersetzen (DHCP-Angaben in LDAP).

  • service isc-dhcp-server restart ausführen.

  • Führen Sie service nbd-service restart aus, damit die neue NBD-Datei verwendet wird.

17.3. Netzwerkeinstellungen ändern

Das Paket debian-edu-config enthält ein Werkzeug, mit dessen Hilfe das Netzwerk von 10.0.0.0/8 in ein anderes geändert werden kann. Sehen Sie sich dazu /usr/share/debian-edu-config/tools/subnet-change an. Dieses Skript sollte unmittelbar nach der Installation des Hauptservers ausgeführt werden, um LDAP und andere Dateien zu aktualisieren, die für den Wechsel des Subnetzes bearbeitet werden müssen.

/!\ Bitte beachten Sie, dass der Wechsel zu einem der bereits von Debian-Edu benutzten Subnetze nicht funktionieren wird. 192.168.0.0/24 und 192.168.1.0/24 sind bereits als LTSP-Client-Netzwerke eingerichtet. Ein Wechsel zu diesem Subnetz erfordert manuelles Bearbeiten der Konfiguration zur Beseitigung von Doppeleinträgen.

Es gibt keinen einfachen Weg, um den DNS-Domain-Namen zu ändern. Dazu wären sowohl an der LDAP-Struktur wie auch an mehreren Dateien auf dem Hauptserver Änderungen erforderlich. Es gibt auch keinen einfachen Weg, um den Host- und DNS-Namen des Hauptservers (tjener.intern) zu ändern. Dazu wären ebenfalls Änderungen in LDAP sowie an Dateien auf dem Hauptserver und auf allen Clients notwendig. In beiden Fällen wären zusätzlich Änderungen an der Konfiguration von Kerberos notwendig.

17.4. LTSP im Detail

17.4.1. Konfiguration von LTSP-Clients in LDAP (und lts.conf)

Um besondere Eigenschaften für bestimmte Thin Clients festzulegen, können entweder Einstellungen in LDAP hinzugefügt werden oder es kann die Datei /opt/ltsp/amd64/etc/lts.conf bearbeitet werden. Bitte beachten: Nach jeder Änderung dieser Datei muss ltsp-update-image ausgeführt werden. Dieses Update entfällt, wenn lts.conf in das Verzeichnis /var/lib/tftpboot/ltsp/amd64/ kopiert wird.

/!\ Es empfiehlt sich, die Clients in LDAP zu konfigurieren (und nicht lts.conf direkt zu bearbeiten), da es so möglich ist, LTSP-Server hinzuzufügen oder zu ersetzen, ohne die Konfiguration zu verlieren oder diese erneut vornehmen zu müssen. Da in GOsa² gegenwärtig keine Eintragungsmöglichkeiten vorhanden sind, müssen Sie für diesen Zweck einen einfachen LDAP-Browser/Explorer oder ldapvi benutzen.

In LDAP werden die Standardwerte im Objekt cn=ltspConfigDefault,ou=ltsp,dc=skole,dc=skolelinux,dc=no unter Nutzung des Attributs ltspConfig definiert. Es können auch rechnerspezifische Einträge hinzugefügt werden.

Führen Sie den Befehl man lts.conf aus, um eine Übersicht über verfügbare Optionen zu bekommen (weitere Informationen über LTSP finden Sie im /usr/share/doc/ltsp/LTSPManual.html.

Die Standardwerte sind unter [default] definiert. Um einen Client zu konfigurieren, geben Sie die MAC- oder IP-Adresse des Clients so an: [192.168.0.10].

Beispiel: Um auf dem Thin Client ltsp010 eine Auflösung von 1280x1024 einzustellen, fügen Sie so etwas wie dies ein:

[192.168.0.10]
X_MODE_0 = 1280x1024
X_HORZSYNC = "60-70"
X_VERTREFRESH = "59-62"

an einer beliebigen Stelle unterhalb von »[default]« hinzu.

Um für einen LTSP-Client die Verwendung eines spezifischen Xservers zu erzwingen, setzen Sie die Variable XSERVER beispielsweise so:

[192.168.0.11]
XSERVER = nvidia

Falls ein Thin Client lediglich einen schwarzen Blidschirm zeigt, könnte die Festlegung einer spezifischen Farbtiefe helfen, z.B.:

[192.168.0.12]
X_COLOR_DEPTH=16

Abhängig davon, welche Änderungen Sie vornehmen, ist evtl. ein Neustart des Rechners erforderlich.

Um die IP-Adresse in lts.conf nutzen zu können, muss die MAC-Adresse des Clients dem DHCP-Server hinzugefügt werden. Andernfalls sollten Sie direkt die MAC-Adresse des Clients in der Datei lts.conf benutzen.

17.4.2. Festlegen von LXDE als vorgegebene graphische Arbeitsumgebung für alle LTSP Clients

Stellen Sie sicher, dass LXDE auf dem LTSP-Server installiert ist; fügen Sie dann in »lts.conf« unterhalb von [default] diese Zeilen hinzu:

LDM_SESSION=LXDE
LDM_FORCE_SESSION=true

17.4.3. Desktop-Autoloader

Dieses Tool lädt die Standard-Arbeitsumgebung (und Programme nach Wahl) in den Arbeitsspeicher. Es ist nur für Diskless Clients sinnvoll. Die Einrichtung hängt stark von den örtlichen Bedingungen ab, auch sind einige technische Fertigkeiten gefragt.

  • Informationen lesen mittels ltsp-chroot cat /usr/share/doc/desktop-autoloader/README.Debian

Mindestens zwei Dateien müssen bearbeitet werden. Verfügbare Werte für <editor> sind vi, nano und mcedit.

  • Ausführen von ltsp-chroot <editor> /etc/cron.d/desktop-autoloader

  • Ausführen von ltsp-chroot <editor> /etc/default/desktop-autoloader

Wenn die Einrichtung abgeschlossen ist, das NBD-Image mittels ltsp-update-image aktualisieren und testen

17.4.4. Lastverteilung auf LTSP-Servern

17.4.4.1. Teil 1

Für eine Lastverteilung ist es möglich, die Clients so einzurichten, dass sie sich mit einem von mehreren zur Auswahl stehenden Servern verbinden. Dazu erstellen Sie ein Skript /opt/ltsp/amd64/usr/share/ltsp/get_hosts, das einen oder mehrere Server ausgibt, mit denen sich LDM verbinden kann. Zusätzlich muss der SSH-Host-Schlüssel eines jeden LTSP-Servers (ssh host key) im LTSP-Chroot eines jeden LTSP-Servers vorhanden sein.

Zunächst müssen Sie einen LTSP-Server als Lastverteilungsserver auswählen. Alle Clients werden von diesem Server per PXE booten und das Skolelinux-Image laden. Nachdem das Boot-Image geladen ist, wählt LDM mit Hilfe des »get_hosts«-Skripts den zu verwendenden Server. Wie das gemacht wird, entscheiden Sie später.

Der Lastverteilungsserver muss den Clients als »next-server« via DHCP bekannt gemacht werden. Da die DHCP-Konfiguration in LDAP stattfindet, müssen die Änderungen dort erfolgen. Benutzen Sie ldapvi --ldap-conf -ZD '(cn=admin)', um die entsprechenden Einträge in LDAP zu ändern. (Geben Sie das Root-Passwort des Hauptservers ein, wenn Sie dazu aufgefordert werden; falls die Umgebungsvariable VISUAL nicht gesetzt ist, wird Nano als Standardeditor verwendet.) Suchen Sie nach einer Zeile, in der dhcpStatements: next-server tjener steht. Next-server sollte die IP-Adresse oder der Rechnername des Servers sein, den Sie als Lastverteilungsserver einsetzen wollen. Falls Sie den Rechnernamen verwenden, muss der DNS-Service funktionieren. Bitte denken Sie daran, den DHCP-Server neu zu starten.

Jetzt müssen Sie Ihre Clients vom 192.168.0.0- zum 10.0.0.0-Netzwerk transferieren: Verbinden Sie die Rechner mit dem Backbone-Netzwerk anstatt mit dem Netzwerk, das mit der zweiten Netzwerkkarte des LTSP-Servers verbunden ist. Die Lastverteilung erfordert den direkten Zugang der Clients zu demjenigen Server, der von LDM gewählt wurde. Wenn Sie die Clients im 192.168.0.0-Netzwerk lassen, wird aller Netzwerkverkehr durch diesen Server gehen, bevor der gewählte LDM-Server erreicht wird.

17.4.4.2. Teil 2

Jetzt müssen Sie ein »get_hosts«-Skript schreiben, das eine Liste von Servern generiert, mit denen sich LDM verbinden kann. Der Parameter LDM_SERVER in lts.conf überschreibt das Ergebnis des Skripts. Konsequenterweise darf er nicht definiert sein, wenn das »get_hosts«-Skript verwendet werden soll. Das Skript gibt auf der Standardausgabe die IP-Adresse oder den Rechnernamen eines jeden Servers in zufälliger Reihenfolge aus.

Ergänzen Sie in »/opt/ltsp/amd64/etc/lts.conf« etwas wie:

MY_SERVER_LIST = "xxxx xxxx xxxx"

Ersetzen Sie xxxx entweder mit der IP-Adresse oder dem Rechnernamen des Servers, wobei die Einträge in der Liste durch Leerzeichen getrennt sind. Dann erstellen Sie das folgende Skript als /opt/ltsp/amd64/usr/lib/ltsp/get_hosts auf dem Server, den Sie als Lastverteilungsserver gewählt haben.

 #!/bin/bash
 # Randomise the server list contained in MY_SERVER_LIST parameter
 TMP_LIST=""
 SHUFFLED_LIST=""
 for i in $MY_SERVER_LIST; do
     rank=$RANDOM
     let "rank %= 100"
     TMP_LIST="$TMP_LIST\n${rank}_$i"
 done
 TMP_LIST=$(echo -e $TMP_LIST | sort)
 for i in $TMP_LIST; do
     SHUFFLED_LIST="$SHUFFLED_LIST $(echo $i | cut -d_ -f2)"
 done
 echo $SHUFFLED_LIST
17.4.4.3. Teil 3

Nachdem Sie das »get_hosts«-Skript erstellt haben, müssen noch die SSH-Host-Keys für die LTSP-Chroots erzeugt werden. Erstellen Sie eine Datei, die den Inhalt der Datei /opt/ltsp/amd64/etc/ssh/ssh_known_hosts aller LTSP-Server, für die die Lastverteilung gelten soll, enthält. Speichern Sie diese Datei als /etc/ltsp/ssh_known_hosts.extra auf allen LTSP-Servern, für die die Lastverteilung gelten soll. Dieser letzte Schritt ist sehr wichtig, da »ltsp-update-sshkeys« immer ausgeführt wird, wenn ein LTSP-Server gebootet wird und /etc/ltsp/ssh_known_hosts.extra bei Existenz mit eingeschlossen wird.

/!\ Wenn Sie Ihre neue Host-Datei als /opt/ltsp/amd64/etc/ssh/ssh_known_hosts abspeichern, wird Sie nach einem Neustart des Servers gelöscht.

Folgende Schwächen dieses Aufbaus sind offensichtlich: Alle Clients erhalten ihr Boot-Image vom selben Server. Dies führt zu einer hohen Serverlast, wenn viele Clients gleichzeitig booten. Hinzu kommt, dass die Clients den Server ständig benötigen; ohne ihn können Sie weder booten noch einen LDM-Server bekommen. Dieses Setup hängt also sehr stark von einem Server ab, was nicht besonders gut ist.

Ihre Clients sollten nun die Lastverteilung nutzen!

17.4.5. Sound auf LTSP-Clients

LTSP Thin Clients benutzen vernetztes Audio zur Tonweiterleitung vom Server zu den Clients.

LTSP Diskless Workstations.

17.4.6. An LTSP-Clients angeschlossene Drucker verwenden

  • Schließen Sie den Drucker an den LTSP-Client-Rechner an (USB- und Parallel-Port möglich).

  • Konfigurieren Sie die Druckerunterstützung für diesen Rechner in lts.conf (vorgegeben: /opt/ltsp/amd64/etc/lts.conf), weitere Einzelheiten finden Sie im LTSP-Handbuch: /usr/share/doc/ltsp/LTSPManual.html#printer.

  • Richten Sie den Drucker über die Website https://www:631 auf dem Hauptserver ein; wählen Sie den Netzwerkdrucker-Typ AppSocket/HP JetDirect (für alle Drucker gültig, egal welche Marke oder welches Modell) und geben Sie socket://<LTSP-Client-IP>:9100 als Verbindungs-URI ein.

17.4.7. NFS anstelle von NBD benutzen

Um das Anpassen und Testen eines LTSP-Chroots zu beschleunigen, könnte NFS verwendet werden.

#  Wechsel  NBD --> NFS:
sed -i 's/default ltsp-NBD/default ltsp-NFS' /opt/ltsp/$(dpkg --print-architecture)/boot/pxelinux.cfg/ltsp
sed -i 's/ontimeout ltsp-NBD/ontimeout ltsp-NFS/' /opt/ltsp/$(dpkg --print-architecture)/boot/pxelinux.cfg/ltsp
ltsp-update-kernels
# Wechsel NFS --> NBD:
ltsp-update-image 
sed -i 's/default ltsp-NFS/default ltsp-NBD' /opt/ltsp/$(dpkg --print-architecture)/boot/pxelinux.cfg/ltsp
sed -i 's/ontimeout ltsp-NFS/ontimeout ltsp-NBD/' /opt/ltsp/$(dpkg --print-architecture)/boot/pxelinux.cfg/ltsp
ltsp-update-kernels

17.4.8. Aktualisieren der LTSP-Umgebung

Die LTSP-Umgebung sollte regelmäßig aktualisiert werden, um Verbesserungen und Sicherheitsaktualisierungen zu erhalten. Um zu aktualisieren, geben Sie die folgenden Befehle als Root auf jedem LTSP-Server ein:

ltsp-chroot -a amd64  # dies bewirkt "chroot /opt/ltsp/amd64" und verhindert dort zusätzlich den Start von Daemons
aptitude update
aptitude upgrade
aptitude dist-upgrade
exit
ltsp-update-image
17.4.8.1. Installation zusätzlicher Software in der LTSP-Umgebung

Um zusätzliche Software für die LTSP-Diskless-Clients zu installieren, muss die Installation in der Chroot-Umgebung des LTSP-Servers durchgeführt werden.

ltsp-chroot -a amd64
## optionally, edit the sources.list:
#editor /etc/apt/sources.list
apt update
apt install $new_package
exit
ltsp-update-image

17.4.9. Langsames Login und Sicherheit

Skolelinux beinhaltet mehrere Maßnahmen, die im Client-Netzwerk nicht-autorisierten Zugriff für den Superuser, Passwort-Sniffing und andere in lokalen Netzen verwendete Tricks unterbinden. Eine dieser Maßnahmen besteht in der sicheren SSH-Anmeldung, voreingestellt für LDM. Die Verschlüsselung kann alte (>15 Jahre: 160 MHz, 32 MB RAM) Client-Rechner aber verlangsamen. Auch wenn es nicht empfohlen wird, können Sie in der Datei /opt/ltsp/amd64/etc/lts.conf den folgenden Wert auf »True« setzen:

LDM_DIRECTX=True

/!\ Achtung: Obiges unterstützt sicheres Anmelden, aber alle darauf folgenden Aktivitäten verwenden das unverschlüsselte X-Protokoll über das Netzwerk. Passwörter (mit Ausnahme des ersten Anmeldens) werden wie alles andere auch im Klartext über das Netzwerk geschickt.

Anmerkung: Weil solche 15 Jahre alten Thin Clients auch Probleme mit aktuellen Versionen von LibreOffice und Firefox haben könnten, sollten Sie Thin Clients mit mindestens 128 MB RAM verwenden oder die Hardware aufrüsten, was den zusätzlichen Vorteil böte, sie als Diskless Workstations verwenden zu können.

17.5. Windows-Rechner mit dem Netzwerk verbinden / Integration von Windows

17.5.1. Einer Domäne beitreten

Windows-Rechner können der Domäne »SKOLELINUX« beitreten. Ein spezieller Dienst namens Samba, der auf dem Hauptserver installiert ist, erlaubt es Windows-Rechnern, Profile und Benutzerdaten zu speichern und die Benutzer während der Anmeldung zu authentifizieren.

/!\ Um einem Windows-Rechner den Zutritt zu einer Domäne zu erlauben, sind die im Debian Edu Buster Samba-Howto beschriebenen Schritte notwendig.

Windows wird das Profil des Domänenbenutzers bei jedem Anmelden und Abmelden unter Windows synchronisieren. Je nachdem, wie viele Daten in dem Profil gespeichert sind, kann dies einige Zeit in Anspruch nehmen. Um diese Zeit zu minimieren, sollten Dinge wie der lokale Browser-Zwischenspeicher deaktviert werden (Sie könnten stattdessen den Squid-Proxy-Zwischenspeicher verwenden, der auf dem Hauptserver installiert ist) und Dateien im Laufwerk H: gespeichert werden, anstatt in »Eigene Dateien«.

17.6. Remote Desktop (Entfernte Arbeitsfläche)

Bei Verwendung des Profils »LTSP-Server« und bei Kombiservern werden jeweils auch die Pakete xrdp und x2goserver installiert.

17.6.1. Xrdp

Xrdp verwendet das Remote Desktop Protocol, um für entfernte Clients eine graphische Anmeldung zur Verfügung zu stellen. Benutzer von Microsoft Windows können sich mit einem LTSP-Server (auf dem xrdp läuft) verbinden, ohne zusätzliche Software installieren zu müssen - sie starten einfach eine Remote-Desktop-Verbindung auf ihrer Windows-Maschine und melden sich an.

Zusätzlich kann xrdp die Verbindung zu einem VNC-Server oder einem anderen RDP-Server herstellen.

Xrdp bietet nach der Installation keine Sound-Unterstützung; das folgende Skript könnte zum Kompilieren der erforderlichen Module verwendet werden.

 #!/bin/bash
 # Script to compile / recompile xrdp PulseAudio modules.
 # The caller needs to be root or a member of the sudo group.
 # Also, /etc/apt/sources.list must contain a valid deb-src line.
 set -e
  if [[ $UID -ne 0 ]] ; then  
     if ! groups | egrep -q sudo ; then
         echo "ERROR: You need to be root or a sudo group member."
         exit 1
     fi
 fi
 if ! egrep -q  ^deb-src /etc/apt/sources.list ; then
     echo "ERROR: Make sure /etc/apt/sources.list contains a deb-src line."
     exit 1
 fi
 TMP=$(mktemp -d)
 PULSE_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' pulseaudio)"
 XRDP_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' xrdp)"
 sudo apt -q update
 # Get sources and build dependencies:
 sudo apt -q install dpkg-dev
 cd $TMP
 apt -q source pulseaudio xrdp
 sudo apt -q build-dep pulseaudio xrdp
 # For pulseaudio 'configure' is all what is needed:
 cd pulseaudio-$PULSE_UPSTREAM_VERSION/
 ./configure
 # Adjust pulseaudio modules Makefile (needs absolute path)
 # and build the pulseaudio modules.
 cd $TMP/xrdp-$XRDP_UPSTREAM_VERSION/sesman/chansrv/pulse/
 sed -i 's/^PULSE/#PULSE/' Makefile
 sed -i "/#PULSE_DIR/a \
 PULSE_DIR = $TMP/pulseaudio-$PULSE_UPSTREAM_VERSION" Makefile
 make
 # Copy modules to Pulseaudio modules directory, adjust rights.
 sudo cp *.so /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/
 sudo chmod 644 /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/module-xrdp*
 # Restart xrdp, now with sound enabled.
 sudo service xrdp restart

17.6.2. X2Go

Mit X2Go ist es möglich, von einem Rechner mit Linux, Windows oder macOS aus über eine schmal-oder breitbandige Verbindung eine graphische Arbeitsfläche auf dem LTSP-Server zu nutzen. Auf dem Client-PC muss zusätzliche Software installiert werden, weiterführende Informationen gibt es im (englischsprachigen) X2Go wiki.

Bitte beachten: Das Paket killer sollte am besten deinstalliert werden, wenn X2Go auf dem LTSP-Server benutzt wird, siehe Bug 890517.

17.6.3. Verfügbare Remote-Desktop-Clients

  • freerdp-x11 wird voreingestellt installiert; es unterstützt RDP und VNC.

    • RDP - der einfachste Weg, um auf einen Windows-Terminal-Server zuzugreifen. Eine Alternative auf der Clientseite ist das Paket rdesktop.

    • Ein VNC-Client (Virtual Network Computer) ermöglicht entfernten Zugang zu Skolelinux. Eine Alternative auf der Clientseite ist das Paket xvncviewer.

  • x2goclient ist ein graphischer Client für das X2Go-System (nicht standardmäßig installiert). Sie können diesen benutzen, um sich mit laufenden Sitzungen zu verbinden oder neue Sitzungen zu starten.

  • Citrix ICA Client HowTo um Windows-Terminal-Server ins Skolelinux-Netz einzubinden.

18. Samba in Debian Edu

/!\ Bitte lesen Sie zunächst die auf den Seiten des Samba-Wikis bereitgestellten Informationen über unterstützte Windows-Versionen, benötigte Registry-Patches und andere notwendige Maßnahmen.

https://wiki.samba.org/index.php/Joining_a_Windows_Client_or_Server_to_a_Domain

https://wiki.samba.org/index.php/Required_Settings_for_Samba_NT4_Domains

Samba wurde zur Verwendung als NT4-Domänen-Controller vorkonfiguriert. Eine Maschine kann nach Aufnahme in die Domäne vollständig mit GOsa² verwaltet werden.

18.1. Erste Schritte

Diese Dokumentation geht davon aus, dass Sie bereits einen Debian-Edu-Hauptserver sowie einen Debian-Edu-Arbeitsplatzrechner installiert haben. Weiter wird angenommen, dass bereits einige Benutzer angelegt wurden und dass diese problemlos einen Debian-Edu-Arbeitsplatzrechner benutzen können. Ebenso wird davon ausgegangen, dass ein Windows-Arbeitsplatzrechner zur Verfügung steht, um den Zugang zum Debian-Edu-Hauptserver von einer Windows-Maschine aus zu testen.

Nach der Installation des Debian-Edu-Hauptservers sollte der Samba-Rechner \\TJENER in der Windows-Netzwerkumgebung sichtbar sein. Die Windows-Domäne von Debian Edu heißt SKOLELINUX. Verwenden Sie eine Windows-Maschine (oder ein Linux-System mit smbclient), um die Windows/Samba-Netzwerkumgebung zu durchsuchen.

  1. START -> Kommando ausführen

  2. \\TJENER eingeben und Eingabetaste drücken

  3. -> ein Windows-Explorer-Fenster sollte sich öffnen und die Netzwerkanmeldung auf \\TJENER sowie möglicherweise bereits für Unix/Linux eingerichtete Drucker (CUPS) anzeigen.

18.1.1. Zugriff auf Dateien via Samba

Via GOsa² konfigurierte Kennungen von Nutzern der Abteilungen »Students« und »Teachers« sollten sich gegen \\TJENER\HOMES or \\TJENER\<username> authentifizieren lassen und auf die Home-Verzeichnisse sollte Zugriff bestehen, selbst von Windows-Rechnern aus, die nicht in die Windows-Domäne SKOLELINUX aufgenommen wurden.

  1. START -> Kommando ausführen

  2. geben Sie \\TJENER\HOMES oder \\TJENER\<username> ein und drücken Sie die Eingabetaste

  3. geben Sie Ihre Zugangsdaten (Benutzername, Passwort) in das Anmeldefenster ein

  4. -> ein Fenster des Windows-Explorers sollte sich öffnen und Daten und Verzeichnisse des Debian-Edu-Home-Verzeichnisses anzeigen.

Voreingestellt werden nur die Freigaben [homes] und [netlogon] exportiert; weitere Beispiele für Freigaben für »Students« und »Teachers« befinden sich in der Datei /etc/samba/smb-debian-edu.conf auf dem Debian-Edu-Hauptserver.

18.2. Domänen-Mitgliedschaft

Um Samba auf TJENER als Domänen-Controller benutzen zu können, müssen Ihre Windows-Arbeitsplatzrechner der vom Hauptserver bereitgestellten SKOLELINUX-Domäne beitreten.

Zunächst muss das Benutzerkonto SKOLELINUX\Administrator aktiviert werden. Dieses Benutzerkonto ist nicht für den täglichen Gebrauch gedacht; der gegenwärtige Hauptzweck ist das Hinzufügen von Windows-Maschinen zur SKOLELINUX-Domäne. Um dieses Benutzerkonto zu aktivieren, melden Sie sich als Erstbenutzer (generiert bei der Hauptserver-Installation) auf TJENER an:

  • $ sudo smbpasswd -e Administrator

Das Passwort von SKOLELINUX\Administrator wurde während der Hauptserver-Installation gesetzt. Bitte benutzen Sie das Root-Passwort, wenn Sie sich als SKOLELINUX\Administrator anmelden.

Wenn Sie die administrative Tätigkeit beendet haben, deaktivieren Sie bitte wieder das Benutzerkonto SKOLELINUX\Administrator:

  • $ sudo smbpasswd -d Administrator

18.2.1. Windows-Rechnername

Stellen Sie sicher, dass Ihr Windows-Rechner den Namen hat, den Sie in der SKOLELINUX-Domäne benutzen wollen. Falls dies nicht so ist, benennen Sie ihn um und starten Sie ihn neu. Der NetBIOS-Rechnername der Windows-Maschine wird später in GOsa² benutzt und kann dort nicht verändert werden (ohne die Mitgliedschaft der Maschinen zu brechen).

18.3. Erste Anmeldung an der Domäne

Debian Edu enthält einige Anmeldeskripte, die das Windows-Benutzerprofil bei der ersten Anmeldung vorkonfigurieren. Beim erstmaligen Anmelden an einem Windows-Arbeitsplatzrechner, der der SKOLELINUX-Domäne beigetreten ist, wird das Folgende durchgeführt:

  1. das Firefox-Profil des Benutzers an eine separate Stelle kopieren und für Mozilla-Firefox auf Windows registrieren

  2. Web-Proxy und Startseite für Firefox einrichten

  3. Web-Proxy und Startseite des IE einrichten

  4. ein Symbol für das Home-Verzeichnis auf die Arbeitsfläche legen (Laufwerk H:)

Andere Prozesse laufen bei jeder Anmeldung. Weitere Informationen finden Sie im Verzeichnis /etc/samba/netlogon auf dem Debian-Edu-Hauptserver.

19. HowTos für Lehren und Lernen

Alle auf dieser Seite erwähnten Debian-Pakete können mittels apt install <package> (als Root) installiert werden.

19.1. Programmierung unterrichten

stable/education-development ist ein Metapaket, das viele Programmierungs-Werkzeuge installiert. Bitte beachten: Die Installation erfordert fast 2 GiB an zusätzlichem Plattenplatz. Weitere Informationen (um möglicherweise nur einige Pakete zu installieren) stehen auf der englischsprachigen Seite Debian Edu Development packages zur Verfügung.

19.2. Schüler/-innen beobachten

/!\ Achtung: Stellen Sie sicher, dass Ihnen die Rechtslage bezüglich der Überwachung und Einschränkung der Aktivitäten von Computerbenutzern klar ist.

Einige Schule benutzen Überwachungswerkzeuge wie Epoptes oder Veyon, um ihre Schüler zu kontrollieren. Siehe auch die: Epoptes Homepage und die Veyon Homepage (beide englischsprachig).

Die folgenden Schritte sind für ein vollständiges Funktionieren von Epoptes erforderlich.

# Auf einem Kombiserver (und jedem zusätzlichen LTSP-Server) ausführen:
apt update
apt install epoptes
ltsp-chroot -m --arch amd64 apt update
ltsp-chroot -m --arch amd64 apt install epoptes-client
ltsp-chroot -m --arch amd64 apt install ssvnc
ltsp-chroot -m --arch amd64 sed -i 's/test -f/#test -f/' /etc/init.d/epoptes-client 
ltsp-chroot -m --arch amd64 sed -i 's/grep -qs/#grep -qs/' /etc/init.d/epoptes-client 
# Bei wenig Plattenplatz 'ltsp-update-image -n' benutzen.
ltsp-update-image

19.3. Den Netzwerkzugang von Schülern beschränken

Einige Schulen verwenden Squidguard oder Dansguardian, um den Zugang zum Internet einzuschränken.

20. HowTos für Anwender

20.1. Passwörter verändern

Benutzer sollten ihr Passwort mit GOsa² ändern. Dies geht einfach über den Aufruf von https://www/gosa/ mittels Browser.

Die Verwendung von GOsa² zur Änderung des Passworts stellt sicher, dass die Passwörter von Kerberos (krbPrincipalKey), LDAP (userPassword) und Samba (sambaNTPassword und sambaLMPassword) identisch sind.

Das Ändern von Passwörtern mittels PAM funktioniert auch während der Anmeldung via GDM; allerdings wird so nur das Kerberos-Passwort, aber weder das Passwort für Samba, noch dasjenige für GOsa² (LDAP) aktualisiert. Wenn Sie also Ihr Passwort an der Eingabeaufforderung geändert haben, sollten Sie dies sofort ebenfalls mit GOsa² durchführen.

20.2. Java

20.2.1. Java-Anwendungen ausführen

Java-Anwendungen werden durch die OpenJDK-Java-Laufzeitumgebung voreingestellt unterstützt.

20.3. Verwendung von E-Mail

Alle Nutzer können im internen Netzwerk E-Mails senden und empfangen; Zertifikate werden bereitgestellt, um per TLS abgesicherte Verbindungen verwenden zu können. Um E-Mail auch außerhalb des internen Netzwerks zu ermöglichen, muss der Administrator den Mailserver exim4 den lokalen Gegebenheiten entsprechend anpassen. Der Befehl dpkg-reconfigure exim4-config ist dazu ein erster Schritt.

Jeder Benutzer, der Thunderbird verwenden will, muss die Konfiguration wie folgt vornehmen (für einen Benutzer mit dem Benutzernamen jdoe lautet die interne E-Mail-Adresse jdoe@postoffice.intern).

20.3.1. Thunderbird

  • Thunderbird starten

  • Die Schaltfläche 'Überspringen und meine existierende E-Mail-Adresse verwenden' klicken

  • Die E-Mail-Adresse eingeben

  • Das Passwort nicht eingeben, da Single-Sign-On mittels Kerberos verwendet wird

  • Auf 'Weiter' klicken

  • Für IMAP und SMTP sollten die Einstellungen jeweils 'STARTTLS' und 'Kerberos/GSSAPI sein'; anpassen, falls dies nicht automatisch erkannt wird

  • Auf 'Fertig' klicken

20.3.2. Kerberos-Ticket zum Lesen von E-Mail auf Diskless Workstations anfordern

Wenn Sie an einer Diskless Workstation arbeiten, steht Ihnen nicht unmittelbar ein Kerberos TGT zur Verfügung. Um dieses zu bekommen, klicken Sie auf das Schlüsselsymbol in der Systemleiste; nach der Passworteingabe steht Ihnen das Ticket zur Verfügung.

20.4. Lautstärkeregelung

Auf Thin Clients kann pavucontrol oder alsamixer (aber nicht kmix) zum Regeln der Lautstärke verwendet werden.

Auf anderen Rechnern (Arbeitsplatzrechner, LTSP-Server und Diskless Workstations) können kmix oder alsamixer verwendet werden.

21. Arbeiten Sie mit

21.1. Vor Ort mitarbeiten

Zur Zeit gibt es regionale Teams in Norwegen, Deutschland, in der Region Extremadura in Spanien, in Taiwan und Frankreich. Zudem gibt es einzelne Mitarbeiter und Benutzer in Griechenland, den Niederlanden, Japan und anderswo.

Das Kapitel Unterstützung erklärt und verlinkt regionale Ressourcen, da Mithilfe und Unterstützung zwei Seiten derselben Medaille sind.

21.2. Weltweit mitgestalten

Es gibt verschiedene internationale Teams, die an unterschiedlichen Themen arbeiten.

Die Entwicklermailingliste ist meistens das Hauptkommunikationsmittel. Zudem finden monatliche Treffen im IRC in #debian-edu auf irc.debian.org und - weniger regelmäßig - auch persönliche Treffen im realen Leben statt. Neue Mitarbeiter sollten http://wiki.debian.org/DebianEdu/ArchivePolicy lesen.

Eine gute Möglichkeit, die Entwicklung von Debian Edu zu verfolgen, besteht darin, die (englischsprachige) commit mailinglist zu abonnieren.

21.3. Verfasser der Dokumentation und Übersetzer

Dieses Dokument benötigt Ihre Hilfe! Zuallererst, es ist noch nicht komplett: Beim Lesen werden Sie verschiedentliche FIXMEs in einem Text bemerken. Bitte überlegen Sie, ob Sie Ihre Kenntnisse nicht mit uns teilen wollen, wenn Sie (etwas) über die Thematik des betroffenen Sachverhalts wissen.

Die Quellen dieses Textes sind in einem Wiki gespeichert und können mit einem Webbrowser editiert werden. Um mitzuwirken, einfach auf http://wiki.debian.org/DebianEdu/Documentation/Buster/ gehen; dort können Sie Ihren Beitrag leisten. Bitte beachten: Ein Benutzerkonto ist notwendig, um Seiten bearbeiten zu können. Dieses können Sie unter create a wiki user einrichten.

Ein anderer Weg um mitzuwirken und anderen Benutzern zu helfen, ist Software und Dokumentation zu übersetzen. Übersetzungshinweise zu diesem Dokument findet gibt es im Kapitel Übersetzungen dieses Handbuchs. Bitte helfen Sie beim Übersetzen!

22. Unterstützung

22.1. Unterstützung auf Freiwilligenbasis

22.1.1. auf Englisch

22.1.2. auf Norwegisch

22.1.3. auf Deutsch

22.1.4. auf Französisch

22.2. Professionelle Unterstützung

Listen von Firmen, die professionelle Unterstützung anbieten, finden Sie unter http://wiki.debian.org/DebianEdu/Help/ProfessionalHelp.

23. Neuerungen in Debian Edu Buster

23.1. Neuigkeiten für Debian Edu 10+edu0, Codename Buster

23.1.1. Installationsbezogene Änderungen

  • Erstmalig sind Debian Edu Installation-Images auf https://cdimage.debian.org verfügbar; es sind also offizielle Debian Images.

  • Neue Version des Debian-Installationsprogramms von Debian Buster , siehe Debian-Installationsanleitung für weitere Informationen.

  • Neue graphische Elemente basierend auf dem futurePrototype theme, dem vorgegebenen Theme für Debian 10 Buster.

  • Neue Standard-Arbeitsumgebung Xfce (ersetzt KDE).

  • Neues CFEngine-Konfigurations-Management (das nicht länger betreute Paket cfengine2 wurde durch cfengine3 ersetzt); es handelt sich um eine größere Änderung, siehe Einzelheiten in der (englischsprachigen) offiziellen CFEngine Dokumentation.

  • Die Architektur des LTSP-Chroots stimmt nun standardmäßig mit derjenigen des Servers überein.

23.1.2. Aktualisierte Software

  • Alles, was in Debian 10 Buster neu ist, z. B.:

    • Linux-Kernel in der Version 4.19

    • Graphische Arbeitsumgebungen KDE Plasma Workspace 5.14, GNOME 3.30, Xfce 4.12, LXDE 0.99.2, MATE 1.20

    • Die Webbrowser Firefox 60.7 ESR und Chromium 73.0

    • LibreOffice 6.1

    • Lehrprogramme GCompris 0.95

    • Musikprogramm Rosegarden 18.12

    • GOsa 2.7.4

    • LTSP 5.18

    • Debian Buster enthält mehr als 57.000 installierbare Pakete.

23.1.3. Aktualisierungen von Dokumentation und Übersetzungen

  • Aktualisierte Übersetzungen für die Einträge im Installationsprogramm. Diese liegen nun für 76 Sprachen vor; 31 Übersetzungen sind vollständig. Die Profilauswahlseite ist in 29 Sprachen übersetzt; 19 Übersetzungen sind vollständig.

  • Vollständige Übersetzungen des Benutzerhandbuchs für Debian Edu Buster gibt es für Französich, Deutsch, Italienisch, Dänisch, Niederländisch, Norwegisch Bokmål und Japanisch.

    • Teilweise übersetzte Versionen gibt es für Polnisch, Spanisch, Vereinfachtes Chinesisch und Traditionelles Chinesisch.

23.1.4. Andere Änderungen im Vergleich zum vorhergehenden Release

  • Das BD-ISO-Image kann wieder für Offline-Installationen verwendet werden.

  • Neue, auf Schulstufen bezogene Meta-Pakete education-preschool, education-primaryschool, education-secondaryschool and education-highschool stehen zur Verfügung. Keines davon ist standardmäßig installiert.

  • Einige eher für Vorschulen oder Grundschulen geeignete Pakete (wie gcompris-qt, childsplay, tuxpaint oder tuxmath) werden nicht mehr standardmäßig installiert.

  • Ortsspezifische Installation. Es ist nun möglich, nur die ausdrücklich gewünschten Pakete mit Lernprogrammen zu installieren. Weitere Informationen dazu gibt es im Kapitel Installation.

  • Ortsspezifische Unterstützung für mehrere Sprachen. Mehr Informationen dazu im Desktop-Kapitel.

  • LXQt 0.14 wird als neue Auswahlmöglichkeit für die Arbeitsumgebung angeboten.

  • Neues GOsa²-Modul Password-Management.

  • Nicht nutzbare Optionen wurden von der GOsa²-Weboberfläche entfernt.

  • Neue »Netgroup« verfügbar, um zur »Netgroup« shut-down-at-night-hosts gehörende Rechner vom morgendlichen Einschalten auszuschließen.

  • Neues Tool Standardskriver (Standarddrucker). Siehe das Kapitel Administration für weitere Informationen.

  • Neues Tool Desktop-autoloader. Es ermöglicht, die Performance von Diskless Clients (LTSP) zu verbessern. Mehr Informationen stehen im NetworkClients-Kapitel.

  • Verbesserte Unterstützung für TLS/SSL innerhalb des internen Netzwerks. Ein RootCA-Zertifikat wird verwendet, um Server-Zertifikate zu signieren, es wird zudem beim Einrichten von Benutzerkonten als akzeptiertes Zertifikat integriert; neben Firefox ESR können nun auch Chromium und Konqueror HTTPS verwenden, ohne dass ein unsicheres Zertifikat akzeptiert werden muss.

  • Kerberos-Unterstützung für ssh. Für Verbindungen innerhalb des internen Netzwerks ist kein Passwort mehr erforderlich; der Benutzer »root« muss vorher kinit ausführen, damit dies funtioniert.

  • NFS mittels Kerberos. Eine erhöhte Sicherheit beim Zugriff auf das Home-Verzeichnis ist nun möglich, siehe das Kapitel Administration für weitere Informationen.

  • Die Konfigurationsdatei /etc/debian-edu/pxeinstall.conf (mit Beispielen) wurde hinzugefügt, um ortsspezifische Anpassungen zu erleichtern.

  • Die Konfigurationsdatei /etc/ltsp/ltsp-build-client.conf (mit Beispielen) wurde hinzugefügt, um ortsspezifische Anpassungen zu erleichtern.

  • Neues Tool /usr/share/debian-edu-config/tools/edu-ldap-from-scratch. Es ermöglicht die erneute Erstellung der LDAP-Datenbank (Zustand wie unmittelbar nach der Installation eines Hauptservers). Dieses Tool könnte auch ortsspezifische Änderungen erleichtern.

  • Da X2Go-Server nun in Debian verfügbar ist, werden die entsprechenden Pakete auf allen Systemen mit dem Profil LTSP-Server installiert.

  • Die Unterstützung für Java-Applets im Firefox-ESR-Browser wurde eingestellt.

  • Der Firefox-ESR-Browser hat die Unterstützung für das unfreie Flash-Plugin eingestellt.

  • Wie vor Stretch installiert Debian 10 das Paket unattended-upgrades nicht automatisch; weitere Informationen über Sicherheitsaktualisierungen enthält das Kapitel Wartung.

23.1.5. Bekannte Probleme

24. Copyright und Autoren

Dieses Dokument wurde u. a. von folgenden Personen verfasst: Holger Levsen (2007, 2008, 2009, 2010, 2011, 2012, 2013, 2014, 2015, 2016, 2017, 2018, 2019), Petter Reinholdtsen (2001, 2002, 2003, 2004, 2007, 2008, 2009, 2010, 2012, 2014), Daniel Heß (2007), Patrick Winnertz (2007), Knut Yrvin (2007), Ralf Gesellensetter (2007), Ronny Aasen (2007), Morten Werner Forsbring (2007), Bjarne Nielsen (2007, 2008), Nigel Barker (2007), José L. Redrejo Rodríguez (2007), John Bildoy (2007), Joakim Seeberg (2008), Jürgen Leibner (2009, 2010, 2011, 2012, 2014), Oded Naveh (2009), Philipp Hübner (2009, 2010), Andreas Mundt (2010), Olivier Vitrat (2010, 2012), Vagrant Cascadian (2010), Mike Gabriel (2011), Justin B Rye (2012), David Prévot (2012), Wolfgang Schweer (2012, 2013, 2014, 2015, 2016, 2017, 2018, 2019), Bernhard Hammes (2012) und Joe Hansen (2015). Es ist unter der GPL2 oder einer späteren Version lizenziert. Viel Freude!

Wenn Sie Inhalte hinzufügen wollen: Bitte nur, wenn Sie auch dessen Autor sind und beabsichtigen, es unter den gleichen Bedingungen zu lizenzieren! Dann fügen Sie hier Ihren Namen hinzu und lizenzieren Sie die Inhalte unter der GPL v2 oder einer späteren Version.

25. Autoren und Copyright der Übersetzungen

Das Copyright der spanischen Übersetzung liegt bei José L. Redrejo Rodríguez (2007), Rafael Rivas (2009, 2010, 2011, 2012, 2015) and Norman Garcia (2010, 2012, 2013). Sie wurde unter der GPL v2 oder einer späteren Version lizenziert.

Das Copyright der norwegischen Bokmål-Übersetzung liegt bei Petter Reinholdtsen (2007, 2012, 2014, 2015, 2016, 2017, 2018, 2019), Håvard Korsvoll (2007-2009), Tore Skogly (2008), Ole-Anders Andreassen (2010), Jan Roar Rød (2010), Ole-Erik Yrvin (2014, 2016, 2017), Ingrid Yrvin (2014, 2015, 2016, 2017), Hans Arthur Kielland Aanesen (2014), Knut Yrvin (2014), FourFire Le'bard (2014), Stefan Mitchell-Lauridsen (2014), Ragnar Wisløff (2014) und Allan Nordhøy (2018, 2019). Sie ist unter der GPL v2 oder einer späteren Version lizenziert.

Die deutsche Übersetzung wurde erstellt und ist Copyright von Holger Levsen (2007), Patrick Winnertz (2007), Ralf Gesellensetter (2007, 2009), Roland F. Teichert (2007, 2008, 2009), Jürgen Leibner (2007, 2009, 2011, 2014), Ludger Sicking (2008), Kai Hatje (2008), Kurt Gramlich (2009), Franziska Teichert (2009), Philipp Hübner (2009), Andreas Mundt (2009, 2010) und Wolfgang Schweer (2012, 2013, 2014, 2015, 2016. 2017, 2018, 2019). Sie ist unter der GPL v2 oder einer späteren Version lizenziert.

Die italienische Übersetzung wurde erstellt und ist Copyright von Claudio Carboncini (2007, 2008, 2009, 2010, 2011, 2012, 2013, 2014, 2015, 2016, 2017, 2018, 2019) und Beatrice Torracca (2013, 2014). Sie ist unter der GPL v2 oder einer späteren Version lizenziert.

Die französische Übersetzung wurde von Christophe Masson (2008), Olivier Vitrat (2010), Cédric Boutillier (2012, 2013, 2014, 2015), Jean-Paul Guilloneau (2012), David Prévot (2012), Thomas Vincent (2012), Jean-Pierre Giraud (2019) und dem französischen l10n-Team (2009, 2010, 2012, 2019) verfasst und ist unter der GPL v2 oder einer späteren Version lizenziert.

Die dänische Übersetzung wurde verfasst von Joe Hansen (2012, 2013, 2014, 2015, 2016, 2019) und ist unter der GPL v2 oder einer späteren Version lizenziert.

Die niederländische Übersetzung wurde verfasst von Frans Spiesschaert (2014, 2015, 2016, 2017, 2018, 2019) und ist unter der GPL v2 oder einer späteren Version lizenziert.

Die japanische Übersetzung wurde verfasst von victory (2016, 2017) und hoxp18 (2019) und ist unter der GPL v2 oder einer späteren Version lizenziert.

Die polnische Übersetzung wurde verfasst von Stanisław Krukowski (2016, 2017), Wiktor Wandachowicz (2019) und Adrian Bystrek (2019) und ist unter der GPL v2 oder einer späteren Version lizenziert.

Die chinesische Übersetzung (vereinfachte Schriftzeichen) wurde verfasst von Ma Yong (2016, 2017, 2018, 2019), Boyuan Yang (2017) und Roy Zhang (2017); sie ist unter der GPL v2 oder einer späteren Version lizenziert.

Die Übersetzung in Traditionelles Chinesisch wurde verfasst von Louies (2019) ; sie ist unter der GPL v2 oder einer späteren Version lizenziert.

Die rumänische Übersetzung wurde von Catalin Ene (2019) verfasst ; sie ist unter der GPL v2 oder einer späteren Version lizenziert.

26. Übersetzungen dieses Dokuments

Vollständige Übersetzungen dieses Dokuments ins Deutsche, Italienische, Französische, Dänische, Niederländische, in Norwegisch Bokmål und ins Japanische sind vorhanden. Es gibt unvollständige Übersetzungen ins Spanische, Polnische und in Vereinfachtes Chinesisch. Es gibt eine Online-Übersicht verfügbarer Übersetzungen.

26.1. Anleitung zum Übersetzen dieses Dokuments

26.1.1. Unter Verwendung von PO-Dateien übersetzen

Wie bei vielen anderen Software-Projekten werden Übersetzungen dieses Dokuments mit PO-Dateien organisiert. Mehr Information über den Prozess finden Sie in usr/share/doc/debian-edu-doc/README.debian-edu-buster-manual-translations. Das Git-Repository (siehe unten) enthält diese Datei ebenfalls. Werfen Sie einen Blick hinein und schauen Sie sich ebenso die sprachabhängigen Konventionen an, wenn Sie bei der Übersetzung mithelfen wollen.

Um Ihre Übersetzungen übermitteln zu können, müssen Sie ein Mitglied des Salsa-Projektes debian-edu sein.

Übertragen Sie dann den Inhalt von debian-edu-doc mittels SSH-Zugang: git clone git@salsa.debian.org:debian-edu/debian-edu-doc.git

Um nur zu übersetzen, müssen nur einige Dateien (anonym) aus Git heruntergeladen und bearbeitet werden. Anschließend melden Sie einen Fehler zum Paket »debian-edu-doc« und hängen die PO-Datei an den bugreport an. Hier sind weitere Informationen zum Melden eines Fehlers.

Um die debian-edu-doc Quellen anonym zu übertragen, können Sie den folgenden Befehl benutzen (dazu muss das Paket git installiert sein):

  • git clone https://salsa.debian.org/debian-edu/debian-edu-doc.git

Dann editieren Sie documentation/debian-edu-buster/debian-edu-buster-manual.$CC.po ($CC mit Ihrem Sprachenkürzel ersetzen). Es stehen viele Werkzeuge für das Übersetzen zur Verfügung; empfohlen wird lokalize.

Dann können Sie die Änderung entweder direkt in Git einpflegen (wenn Sie die entsprechenden Rechte dafür haben) oder die Datei an die Fehlermeldung anhängen.

Um Ihre lokale Kopie des Depots zu aktualisieren, verwenden Sie bitte den folgenden Befehl in Ihrem Verzeichnis debian-edu-doc:

  • git pull

In /usr/share/doc/debian-edu-doc/README.debian-edu-buster-manual-translations finden Sie Informationen, wie Sie eine neue PO-Datei für Ihre Sprache anlegen und wie Übersetzungen aktualisiert werden.

Bitte beachten Sie, dass sich dieses Handbuch noch in der Entwicklung befindet; übersetzen Sie daher keine Zeilen, die den Vermerk »FIXME« aufweisen.

Information über Salsa (auf dem sich das Git-Depot befindet) und Git ist unter https://wiki.debian.org/Salsa verfügbar.

Wenn Git für Sie neu ist, dann schauen Sie sich das Buch Pro Git an; es hat ein Kapitel über das Aufzeichnen von Änderungen im Repository. Sie könnten sich auch das Paket gitk ansehen, das eine graphische Benutzeroberfläche für Git bereitstellt.

26.1.2. Online mittels Web-Browser übersetzen

Einige Übersetzungsteams haben sich dazu entschlossen mittels Weblate zu übersetzen. Weiter Informationen gibt es unter https://hosted.weblate.org/projects/debian-edu-documentation/debian-edu-buster/.

Bitte melden Sie Fehler.

27. Anhang A - The GNU General Public Licence

Hinweis für Übersetzer: Der Text der GPL-Lizenz muss nicht übersetzt werden. 
Unter https://www.gnu.org/licenses/old-licenses/gpl-2.0-translations.html stehen Übersetzungen zur Verfügung. 

27.1. Handbuch für Debian Edu 10+edu0, Codename Buster

Copyright (C) 2007-2018 Holger Levsen < holger@layer-acht.org > und andere; die vollständige Liste der Copyright-Inhaber gibt es im Copyright-Kapitel.

This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version.

This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.

You should have received a copy of the GNU General Public License along with this program; if not, write to the Free Software Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 USA.

27.2. GNU GENERAL PUBLIC LICENSE

Version 2, June 1991

Copyright (C) 1989, 1991 Free Software Foundation, Inc. 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301, USA. Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed.

27.3. TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION

0. This License applies to any program or other work which contains a notice placed by the copyright holder saying it may be distributed under the terms of this General Public License. The "Program", below, refers to any such program or work, and a "work based on the Program" means either the Program or any derivative work under copyright law: that is to say, a work containing the Program or a portion of it, either verbatim or with modifications and/or translated into another language. (Hereinafter, translation is included without limitation in the term "modification".) Each licensee is addressed as "you".

Activities other than copying, distribution and modification are not covered by this License; they are outside its scope. The act of running the Program is not restricted, and the output from the Program is covered only if its contents constitute a work based on the Program (independent of having been made by running the Program). Whether that is true depends on what the Program does.

1. You may copy and distribute verbatim copies of the Program's source code as you receive it, in any medium, provided that you conspicuously and appropriately publish on each copy an appropriate copyright notice and disclaimer of warranty; keep intact all the notices that refer to this License and to the absence of any warranty; and give any other recipients of the Program a copy of this License along with the Program.

You may charge a fee for the physical act of transferring a copy, and you may at your option offer warranty protection in exchange for a fee.

2. You may modify your copy or copies of the Program or any portion of it, thus forming a work based on the Program, and copy and distribute such modifications or work under the terms of Section 1 above, provided that you also meet all of these conditions:

  • a) You must cause the modified files to carry prominent notices stating that you changed the files and the date of any change.

    b) You must cause any work that you distribute or publish, that in whole or in part contains or is derived from the Program or any part thereof, to be licensed as a whole at no charge to all third parties under the terms of this License.

    c) If the modified program normally reads commands interactively when run, you must cause it, when started running for such interactive use in the most ordinary way, to print or display an announcement including an appropriate copyright notice and a notice that there is no warranty (or else, saying that you provide a warranty) and that users may redistribute the program under these conditions, and telling the user how to view a copy of this License. (Exception: if the Program itself is interactive but does not normally print such an announcement, your work based on the Program is not required to print an announcement.)

These requirements apply to the modified work as a whole. If identifiable sections of that work are not derived from the Program, and can be reasonably considered independent and separate works in themselves, then this License, and its terms, do not apply to those sections when you distribute them as separate works. But when you distribute the same sections as part of a whole which is a work based on the Program, the distribution of the whole must be on the terms of this License, whose permissions for other licensees extend to the entire whole, and thus to each and every part regardless of who wrote it.

Thus, it is not the intent of this section to claim rights or contest your rights to work written entirely by you; rather, the intent is to exercise the right to control the distribution of derivative or collective works based on the Program.

In addition, mere aggregation of another work not based on the Program with the Program (or with a work based on the Program) on a volume of a storage or distribution medium does not bring the other work under the scope of this License.

3. You may copy and distribute the Program (or a work based on it, under Section 2) in object code or executable form under the terms of Sections 1 and 2 above provided that you also do one of the following:

  • a) Accompany it with the complete corresponding machine-readable source code, which must be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,

    b) Accompany it with a written offer, valid for at least three years, to give any third party, for a charge no more than your cost of physically performing source distribution, a complete machine-readable copy of the corresponding source code, to be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,

    c) Accompany it with the information you received as to the offer to distribute corresponding source code. (This alternative is allowed only for noncommercial distribution and only if you received the program in object code or executable form with such an offer, in accord with Subsection b above.)

The source code for a work means the preferred form of the work for making modifications to it. For an executable work, complete source code means all the source code for all modules it contains, plus any associated interface definition files, plus the scripts used to control compilation and installation of the executable. However, as a special exception, the source code distributed need not include anything that is normally distributed (in either source or binary form) with the major components (compiler, kernel, and so on) of the operating system on which the executable runs, unless that component itself accompanies the executable.

If distribution of executable or object code is made by offering access to copy from a designated place, then offering equivalent access to copy the source code from the same place counts as distribution of the source code, even though third parties are not compelled to copy the source along with the object code.

4. You may not copy, modify, sublicense, or distribute the Program except as expressly provided under this License. Any attempt otherwise to copy, modify, sublicense or distribute the Program is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance.

5. You are not required to accept this License, since you have not signed it. However, nothing else grants you permission to modify or distribute the Program or its derivative works. These actions are prohibited by law if you do not accept this License. Therefore, by modifying or distributing the Program (or any work based on the Program), you indicate your acceptance of this License to do so, and all its terms and conditions for copying, distributing or modifying the Program or works based on it.

6. Each time you redistribute the Program (or any work based on the Program), the recipient automatically receives a license from the original licensor to copy, distribute or modify the Program subject to these terms and conditions. You may not impose any further restrictions on the recipients' exercise of the rights granted herein. You are not responsible for enforcing compliance by third parties to this License.

7. If, as a consequence of a court judgment or allegation of patent infringement or for any other reason (not limited to patent issues), conditions are imposed on you (whether by court order, agreement or otherwise) that contradict the conditions of this License, they do not excuse you from the conditions of this License. If you cannot distribute so as to satisfy simultaneously your obligations under this License and any other pertinent obligations, then as a consequence you may not distribute the Program at all. For example, if a patent license would not permit royalty-free redistribution of the Program by all those who receive copies directly or indirectly through you, then the only way you could satisfy both it and this License would be to refrain entirely from distribution of the Program.

If any portion of this section is held invalid or unenforceable under any particular circumstance, the balance of the section is intended to apply and the section as a whole is intended to apply in other circumstances.

It is not the purpose of this section to induce you to infringe any patents or other property right claims or to contest validity of any such claims; this section has the sole purpose of protecting the integrity of the free software distribution system, which is implemented by public license practices. Many people have made generous contributions to the wide range of software distributed through that system in reliance on consistent application of that system; it is up to the author/donor to decide if he or she is willing to distribute software through any other system and a licensee cannot impose that choice.

This section is intended to make thoroughly clear what is believed to be a consequence of the rest of this License.

8. If the distribution and/or use of the Program is restricted in certain countries either by patents or by copyrighted interfaces, the original copyright holder who places the Program under this License may add an explicit geographical distribution limitation excluding those countries, so that distribution is permitted only in or among countries not thus excluded. In such case, this License incorporates the limitation as if written in the body of this License.

9. The Free Software Foundation may publish revised and/or new versions of the General Public License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns.

Each version is given a distinguishing version number. If the Program specifies a version number of this License which applies to it and "any later version", you have the option of following the terms and conditions either of that version or of any later version published by the Free Software Foundation. If the Program does not specify a version number of this License, you may choose any version ever published by the Free Software Foundation.

10. If you wish to incorporate parts of the Program into other free programs whose distribution conditions are different, write to the author to ask for permission. For software which is copyrighted by the Free Software Foundation, write to the Free Software Foundation; we sometimes make exceptions for this. Our decision will be guided by the two goals of preserving the free status of all derivatives of our free software and of promoting the sharing and reuse of software generally.

NO WARRANTY

11. BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.

12. IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.

END OF TERMS AND CONDITIONS

28. Anhang B - für Debian Edu Buster gibt noch keine Live-CDs/DVDs

/!\ Debian Edu Live-CD/DVDs für Buster gibt es zur Zeit nicht.

28.1. Eigenschaften des Profils »Einzelplatzrechner«

  • XFCE-Desktop

  • Alle Pakete des Profils »Einzelplatzrechner«

  • Alle Pakete der »Laptop-Task«

28.2. Eigenschaften des Profils »Arbeitsplatzrechner«

  • XFCE-Desktop

  • Alle Pakete des Profils »Arbeitsplatzrechner«

  • Alle Pakete der »Laptop-Task«

28.3. Aktivieren von Übersetzungen und Regionalsupport

Um eine spezielle Übersetzung zu aktivieren, booten Sie mit locale=ll_CC.UTF-8 als Boot-Option, wobei ll_CC für den Locale-Namen steht. Um ein Tastaturlayout zu aktivieren benutzen Sie die keyb=KB-Option. Dabei ist KB das gewünschte Layout. Es folgt eine Liste von oft genutzten Länder-Codes:

Sprache (Region)

Lokale-Wert

Tastaturbelegung (layout)

Norwegisch Bokmål

nb_NO.UTF-8

no

Norwegisch Nynorsk

nn_NO.UTF-8

no

Deutsch

de_DE.UTF-8

de

Französisch (Frankreich)

fr_FR.UTF-8

fr

Griechisch (Griechenland)

el_GR.UTF-8

el

Japanisch

ja_JP.UTF-8

jp

Nördliches Sami (Norwegen)

se_NO

no(smi)

Eine vollständige Liste von Länder-Codes ist unter /usr/share/i18n/SUPPORTED zu finden, von den Live-Images werden bisher nur UTF-8 Lokalisierungen unterstützt. Jedoch sind nicht für alle auch Übersetzungen installiert. Die Namen der verschiedenen Tastaturlayouts können in /usr/share/keymaps/i386/ gefunden werden.

28.4. Gut zu wissen

  • Das Passwort für den Benutzer ist »user«, für root wurde kein Passwort gesetzt.

28.5. Bekannte Probleme mit dem Image

  • /!\ Für Jessie gibt es noch keine Images :(

28.6. Download

Das Image wäre (ist es aber zur Zeit noch nicht) verfügbar via FTP, HTTP or rsync from ftp.skolelinux.org unter cd-buster-live/.

29. Anhang C - Neuerungen in alten Veröffentlichungen

29.1. Neuerungen in Debian Edu 9+edu0, Codename Stretch veröffentlicht am 17.06.2017

29.1.1. Installationsbezogene Änderungen

  • Neue Version des Debian-Installationsprogramms aus Debian Stretch , siehe Debian-Installationsanleitung für weitere Informationen.

  • Das Profil »Thin-Client-Server« wurde umbenannt in »LTSP-Server«.

  • Neue graphische Elemente basierend auf demTheme »soft Waves«, dem vorgegebenen Theme für Debian 9 Stretch.

29.1.2. Aktualisierte Software

  • Alles, was in Debian 9 Stretch neu war, z. B.:

    • Linux-Kernel in der Version 4.9

    • Graphische Arbeitsumgebungen KDE Plasma Workspace 5.8, GNOME 3.22, Xfce 4.12, LXDE 0.99.2, MATE 1.16

      • KDE Plasma Workspace wird als Standard installiert; sehen Sie im Handbuch nach, um eine der anderen zu installieren.

    • Die Webbrowser Firefox 45.9 ESR und Chromium 59

      • Iceweasel wurde wieder umbenannt in Firefox! :-)

    • Icedove wurde wieder umbenannt in Thunderbird und wird nun standardmäßig installiert.

    • LibreOffice 5.2.6

    • Lehrprogramme GCompris 15.10

    • Musikprogramm Rosegarden 16.06

    • GOsa 2.7.4

    • LTSP 5.5.9

    • Debian Stretch enthält mehr als 50.000 installierbare Pakete.

29.1.3. Aktualisierungen von Dokumentation und Übersetzungen

  • Aktualisierte Übersetzungen für die Einträge im Installationsprogramm. Diese liegen nun für 29 Sprachen vor.

  • Das Benutzerhandbuch für Debian Edu »Stretch« wurde vollständig ins Deutsche, Französische, Italienische, Dänische, Niederländische, in Norwegisch Bokmål und ins Japanische übersetzt. Die japanische Übersetzung wurde für Stretch neu hinzugefügt.

    • Teilweise übersetzte Versionen gibt es für Spanisch, Polnisch und Vereinfachtes Chinesisch.

29.1.4. Andere Änderungen im Vergleich zum vorhergehenden Release

  • Icinga ersetzt Nagios als Monitoring-Tool.

  • kde-spectacle ersetzt ksnapshot als Screenshot-Tool.

  • Der freie Flash-Player »gnash« steht wieder zur Verfügung.

  • Plymouth ist installiert und standardmäßig auch aktiviert (mit Ausnahme der Profile »Hauptserver« und »Minimal«; durch Drücken von ESC werden die Meldungen beim Starten und Herunterfahren sichtbar.

  • Nach einem Upgrade von Jessie muss die LDAP-Datenbank (auf dem Hauptserver) angepasst werden. Mittels GOsa² oder einem LDAP-Editor muss der Wert »tjener« von »sudoHost« durch »tjener.intern« ersetzt werden.

  • Die Unterstützung für 32-Bit-PCs (auch bekannt als Debian-Architektur i386) umfasst nicht mehr einfache i586-Prozessoren. Die neue Ausgangsbasis ist nun i686, obwohl noch einige i586-Prozessoren (wie z. B. der »AMD Geode«) weiterhin unterstützt werden.

  • In Debian 9 werden bei Neuinstallationen unbeaufsichtigte Aktualisierungen (unattended upgrades) standardmäßig aktiviert (für Sicherheits-Updates). Dies könnte zu einer Verzögerung von bis zu 15 Minuten führen, wenn ein System schon nach kurzer Laufzeit abgeschaltet wird.

  • LTSP benutzt nun NBD anstelle von NFS für das Root-Dateisystem. Nach jeder noch so kleinen Änderung innerhalb des LTSP-Chroots muss das betreffende NBD-Image mittels ltsp-update-image neu generiert werden, damit die Änderungen wirksam werden.

  • Das gleichzeitige Anmelden desselben Nutzers auf einem LTSP-Server und einem LTSP-Thin-Client ist nicht mehr erlaubt.

29.2. Neuerungen in Debian Edu 8+edu0, Codename Jessie veröffentlicht am 02.07.2016

29.2.1. Installationsbezogene Änderungen

29.2.2. Aktualisierte Software

  • Alles, was in Debian 8 Jessie neu ist, z. B.:

    • Linux-Kernel in der Version 3.16.x

    • Graphische Arbeitsumgebungen KDE Plasma Workspace 4.11.13, GNOME 3.14, Xfce 4.10, LXDE 0.5.6

      • neue optionale Desktop-Umgebung: MATE 1.8

      • KDE Plasma Workspace wird als Standard installiert; sehen Sie im Handbuch nach, um eine der anderen zu installieren.

    • Webbrowser Iceweasel 31 ESR und Chromium 41

    • LibreOffice 4.3.3

    • Lehrprogramme GCompris 14.12

    • Musikprogramm Rosegarden 14.02

    • GOsa 2.7.4

    • LTSP 5.5.4

    • neues Init-System: systemd. Weitergehende Informationen gibt es auf der Debian systemd Wiki-Seite und im systemd-Handbuch (jeweils in Englisch).

    • Debian Jessie enthält mehr als 42.000 installierbare Pakete.

29.2.3. Aktualisierungen von Dokumentation und Übersetzungen

  • Aktualisierte Übersetzungen für die Einträge im Installationsprogramm. Diese liegen nun für 29 Sprachen vor.

  • Zwei Handbuch-Übersetzungen sind nun vollständig: Niederländisch und Norwegisch Bokmål.

  • Das Benutzerhandbuch für Debian Edu »Jessie« wurde vollständig ins Deutsche, Französische, Italienische, Dänische, Niederländische und in Norwegisch Bokmål übersetzt. Eine teilweise übersetzte Version gibt es in Spanisch.

29.2.4. Andere Änderungen im Vergleich zum vorhergehenden Release

  • Shutdown und Reboot des Main-Servers dauern länger aufgrund der neuen Voreinstellung shutdown_lifetime 30 seconds. Die Verzögerung könnte z.B. auf 10 Sekunden reduziert werden, indem die Zeile shutdown_lifetime 10 seconds an die Datei /etc/squid3/squid.conf angehängt wird.

  • Der Benutzer »root«" kann sich nicht mehr via SSH mit Passwort anmelden. Die Voreinstellung PermitRootLogin yes wurde ersetzt durch PermitRootLogin without-password, damit funktionieren ssh-keys weiterhin.

  • Um die Webseiten von slbackup-php (die Logins von »root« via ssh erfordern) benutzen zu können , muss in der Datei /etc/ssh/sshd_config vorübergehend PermitRootLogin yes gesetzt werden.

  • sugar: Da der Sugar-Desktop aus Debian Jessie entfernt wurde, ist dieser auch in Debian-Edu Jessie nicht verfügbar.

29.3. Neuerungen in Debian Edu 7.1+edu0, Codename Wheezy, freigegeben am 28.09.2013

29.3.1. Für den Benutzer wahrnehmbare Änderungen

  • Aktualisierte graphische Elemente und neues Logo für Debian Edu / Skolelinux, zu sehen während der Installation, bei der Anmeldung und als Hintergrund der graphischen Arbeitsumgebung.

29.3.2. Installationsbezogene Änderungen

  • Neue Version des Debian-Installationsprogramms aus Debian Wheezy, siehe Debian-Installationsanleitung für weitere Informationen.

  • Das DVD-Image gibt es nicht mehr, stattdessen haben wir nun ein USB-Stick / Blu-ray-Disc-Image, das sich wie das DVD-Image verhält, allerdings zu groß ist, um auf eine DVD zu passen.

29.3.3. Aktualisierte Software

  • Alles, was in Debian Wheezy 7.1 neu ist, z. B.:

    • Linux-Kernel in der Version 3.2.x

    • Desktop-Umgebungen KDE »Plasma« 4.8.4, GNOME 3.4, Xfce 4.8.6 und LXDE 0.55 (KDE »Plasma« wird als Standard installiert; sehen Sie im Handbuch nach, um GNOME, Xfce oder LXDE zu installieren.)

    • Webbrowser Iceweasel 17 ESR

    • LibreOffice 3.5.4

    • LTSP 5.4.2

    • GOsa 2.7.4

    • CUPS Drucksystem 1.5.3

    • Lehrprogramme GCompris 12.01

    • Musikprogramm Rosegarden 12.04

    • Bildbearbeitung Gimp 2.8.2

    • Virtuelles Universum Celestia 1.6.1

    • Virtueller Sternenhimmel Stellarium 0.11.3

    • Scratch (visuelle Programmierumgebung) 1.4.0.6

    • Neue Version des Debian-Installationsprogramms aus Debian Wheezy, siehe Debian-Installationsanleitung für weitere Informationen.

    • Debian Wheezy enthält mehr als 37.000 installierbare Pakete.

29.3.4. Aktualisierungen von Dokumentation und Übersetzungen

  • Aktualisierte Übersetzungen für die Einträge im Installationsprogramm. Diese liegen nun für 29 Sprachen vor.

  • Das Benutzerhandbuch für Debian Edu »Wheezy« wurde vollständig ins Deutsche, Französische, Italienische und Dänische übersetzt. Teilweise übersetzte Versionen gibt es in Norwegisch Bokmål und Spanisch.

29.3.5. Änderungen mit Bezug auf LDAP

  • Geringfügige Änderungen an einigen Objekten und Berechtigungen, um mehr Typen beim Hinzufügen von Systemen in GOsa zu haben. Systeme können nun vom Typ Server, Arbeitsplatzrechner, Netzwerkdrucker, Terminal oder Netzwerkgerät sein.

29.3.6. Sonstige Änderungen

  • Neue graphische Arbeitsumgebung Xfce als Option verfügbar.

  • LTSP Diskless Workstations benötigen keine Konfiguration.

  • Im ausdrücklich für Clients vorgesehenen Netzwerk eines »LTSP-Servers« (voreingestellt 192.168.0.0/24), starten alle Maschinen als »Diskless Clients«, wenn sie über genügend Leistung verfügen.

  • GOsa Benutzeroberfläche: Einige Optionen, die verfügbar schienen, aber ohne Funktion waren, sind nun ausgegraut (oder nicht anklickbar). Einige Reiter werden vollständig vor dem Endbenutzer verborgen, andere sogar vor dem GOsa-Administrator.

29.3.7. Bekannte Probleme

  • Wenn KDE »Plasma« auf Einzelplatzrechnern oder mobilen Arbeitsplatzrechnern verwendet wird, dann funktionieren manchmal zumindest Konqueror, Chromium und Step nicht automatisch, wenn die Rechner außerhalb des Hauptnetzes eingesetzt werden, ein Proxy in diesem Netz erforderlich ist, eine »wpad.dat« Information aber nicht gefunden werden kann. Workaround: Iceweasel verwenden oder den Proxy manuell konfigurieren.

29.4. Historische Informationen zu älteren Veröffentlichungen

Die folgenden Debian-Edu-Releases gab es davor:

  • Debian Edu 6.0.7+r1, Codename »Squeeze«, freigegeben am 03.03.2013.

  • Debian Edu 6.0.4+r0, Codename »Squeeze«, freigegeben am 11.03.2012.

  • Debian Edu 5.0.6+edu1 »Lenny«, freigegeben am 05.10.2010.

  • Debian Edu 5.0.4+edu0 »Lenny«, freigegeben am 08.02.2010.

  • Ddian Edu »3.0r1-Terra«, freigegeben am 05.12.2007.

  • Debian Edu "3.0r0 Terra", freigegeben am 22.7.2007. Basierend auf Debian-4.0 »Etch«, freigegeben am 08.04.2007.

  • Debian Edu 2.0, freigegeben am14.3. 2006. Basierend auf Debian-3.1, Codename »Sarge«, freigegeben am 06.06.2005.

  • Debian Edu "1.0 Venus", freigegeben am 20.6.2004. Basierend auf Debian-3.0 »Woody«, freigegeben am 19.07.2002.

Eine vollständige und detaillierte Übersicht älterer Releases gibt es im Anhang C des Jessie-Handbuchs; Sie finden die betreffenden Release-Handbücher auch auf der Dokumentations-Übersichtsseite.

29.4.1. Mehr Informationen zu noch älteren Veröffentlichungen

Mehr Informationen zu noch älteren (Vor-)Veröffentlichungen können unter http://developer.skolelinux.no/info/cdbygging/news.html gefunden werden.