Handleiding Debian Edu/Skolelinux Stretch 9+edu0, 06-05-2019


Inhoudsopgave

1. Handleiding voor Debian Edu 9+edu0 codenaam Stretch
2. Over Debian Edu en Skolelinux
2.1. Ontstaansgeschiedenis en verantwoording voor een dubbele naam.
3. Architectuur
3.1. Het netwerk
3.1.1. De standaard netwerkconfiguratie
3.1.2. De hoofdserver (tjener)
3.1.3. De diensten op de hoofdserver
3.1.4. LTSP-server(s)
3.1.5. Thin-clients
3.1.6. Schijfloze werkstations
3.1.7. Netwerkclients
3.2. Beheer
3.2.1. Installatie
3.2.2. Configuratie van de toegang tot het bestandssysteem
4. Vereisten
4.1. Vereisten inzake apparatuur
4.2. Compatibele apparatuur
5. Vereisten voor de netwerkopstelling
5.1. Standaardopstelling
5.2. Internet router
6. Installatie- en downloadopties
6.1. Waar u bijkomende informatie kunt vinden
6.2. Downloaden van de installatiemedia voor Debian Edu 9+edu0, codenaam Stretch
6.2.1. netinstall cd-image voor i386, amd64
6.2.2. USB-stick-ISO-image voor i386 en amd64
6.2.3. Broncode
6.3. Een cd / dvd per e-mail aanvragen
6.4. Debian Edu installeren
6.4.1. Installatietypes en downloadopties
6.4.2. Het installatieproces
6.4.3. Aantekeningen bij enkele specifieke kenmerken
6.4.4. Installaties vanaf een USB-stick en niet vanaf een cd / blu-rayschijf
6.4.5. Over het netwerk uitgevoerde installaties (PXE) en het opstarten van schijfloze clients
6.4.6. Images op maat
6.5. Rondleiding langs enkele schermafdrukken
7. Aan de slag
7.1. Wat u zeker moet doen om aan de slag te kunnen gaan
7.1.1. De diensten op de hoofdserver
7.2. Inleiding in GOsa²
7.2.1. Zich aanmelden bij GOsa² en de overzichtspagina
7.3. Gebruikersbeheer met GOsa²
7.3.1. Gebruikers toevoegen
7.3.2. Opzoeken, wijzigen en verwijderen van gebruikers
7.3.3. Wachtwoorden instellen
7.3.4. Geavanceerd gebruikersbeheer
7.4. Het beheer van groepen met GOsa²
7.4.1. Groepsbeheer aan de commandolijn
7.5. Het beheer van machines met GOsa²
7.5.1. Machines zoeken en verwijderen
7.5.2. Bestaande machines wijzigen / Beheer van netgroepen
8. Printerbeheer
9. Kloksynchronisatie
10. Volle partities groter maken
11. Onderhoud
11.1. Programmatuur bijwerken
11.1.1. Op de hoogte blijven van beveiligingsbijwerkingen
11.2. Reservekopieën beheren
11.3. Servers opvolgen
11.3.1. Munin
11.3.2. Icinga
11.3.3. Sitesummary
11.4. Bijkomende informatie over het aanpassen van Debian Edu
12. Opwaarderingen
12.1. Algemene opmerkingen over opwaarderingen
12.2. Opwaarderen vanaf Debian Edu Jessie
12.2.1. De hoofdserver opwaarderen
12.2.2. Een werkstation opwaarderen
12.2.3. De LTSP-chroot opwaarderen (standaardarchitectuur i386)
12.2.4. Een LTSP-chroot opnieuw aanmaken
12.3. Opwaarderingen van oudere installaties van Debian Edu / Skolelinux (voor Jessie)
13. HowTo
14. HowTo's voor algemeen systeembeheer
14.1. De historiek van configuratie-instellingen: wijzigingen in /etc/ opvolgen met behulp van Git, een systeem voor versiebeheer
14.1.1. Voorbeelden uit de praktijk
14.2. De grootte van partities aanpassen
14.2.1. Het beheer van logische gegevensdragers
14.3. Op de hoofdserver een grafische omgeving installeren om GOsa² te gebruiken
14.4. Het gebruik van ldapvi
14.5. JXplorer, een grafische gebruikersinterface voor LDAP
14.6. ldap-createuser-krb, een hulpmiddel voor aan de commandolijn
14.7. Het gebruik van 'stable-updates'
14.8. Meer recente programmatuur installeren met backports
14.9. Opwaarderen met behulp van een cd of een gelijksoortig image
14.10. Het automatisch opruimen van processen die niet meer in gebruik zijn
14.11. Beveiligingsbijwerkingen automatisch installeren
14.12. Machines 's nachts automatisch uitzetten
14.12.1. Het systeem opzetten om computers 's nachts uit te schakelen
14.13. Toegang krijgen tot servers van Debian-Edu die zich achter een firewall bevinden
14.14. Bijkomende servermachines installeren om de hoofdserver te ontlasten
14.15. HowTo's van wiki.debian.org
15. Howto over systeembeheer voor gevorderden
15.1. Gebruikersbeheer op maat met GOsa²
15.1.1. Maak gebruikersgroepen per jaartal
15.2. Ander maatwerk in verband met gebruikers
15.2.1. Mappen aanmaken in de persoonlijke map van alle gebruikers
15.2.2. Gemakkelijk toegang krijgen tot USB-sticks en cd's/dvd's
15.3. Een aparte server voor het opslaan van bestanden
15.4. De mogelijkheid inperken om zich via ssh aan te melden
15.4.1. Bij een opstelling zonder LTSP-clients
15.4.2. Bij een opstelling met LTSP-clients
15.4.3. Een noot over meer complexe opstellingen
16. HowTo's in verband met de bureaubladomgeving
16.1. KDE Plasma, GNOME, LXDE, Xfce en/of MATE samen gebruiken
16.2. Flash
16.3. Dvd's afspelen
16.4. Tekensets met lettertekens in handschrift
17. HowTo's voor netwerkclients
17.1. Een inleiding in thin clients en schijfloze werkstations
17.1.1. De keuze van het type LTSP-client
17.2. Het PXE-menu configureren
17.2.1. De PXE-installatie configureren
17.2.2. Een eigen pakketbron gebruiken bij PXE-installaties
17.2.3. Het menu van PXE op een gecombineerde server (hoofd- en LTSP-server) aanpassen
17.2.4. Een afzonderlijke hoofdserver en LTSP-server
17.2.5. Gebruik een verschillend LTSP clientnetwerk
17.3. Netwerkinstellingen aanpassen
17.4. LTSP in detail
17.4.1. De configuratie van een LTSP-client in LDAP (en lts.conf)
17.4.2. LXDE voor alle thin clients standaard instellen als bureaubladomgeving
17.4.3. Werklastverdeling tussen LTSP-servers
17.4.4. Geluid op LTSP-clients
17.4.5. Printers gebruiken die met LTSP-clients verbonden zijn
17.4.6. De LTSP-omgeving opwaarderen
17.4.7. Een traag verlopende aanmelding en aspecten van beveiliging
17.5. Windowsmachines met het netwerk verbinden / Windows integreren
17.5.1. Toetreden tot een domein
17.5.2. XP-home
17.5.3. Mobiele profielen beheren
17.5.4. Profielmappen omleggen
17.5.5. Mobiele profielen vermijden
17.6. Extern Bureaublad (Remote Desktop)
17.6.1. De dienst extern bureaublad (Remote Desktop Service)
17.6.2. Beschikbare clients voor verbinding met een extern bureaublad
18. Samba in Debian Edu
18.1. Aan de slag
18.1.1. Toegang tot bestanden via Samba
18.2. Deel uitmaken van een domein
18.2.1. De naam van de Windowscomputer
18.2.2. Een computer met Windows XP toevoegen aan het domein SKOLELINUX
18.2.3. Een computer met Windows Vista/7 toevoegen aan het domein SKOLELINUX
18.3. De eerste aanmelding op het domein
19. HowTo's in verband met leren en onderrichten
19.1. Onderricht in programmeren
19.2. Leerlingen opvolgen
19.3. De netwerktoegang voor leerlingen beperken
19.4. HowTo's van wiki.debian.org
20. HowTo's voor gebruikers
20.1. Wachtwoorden wijzigen
20.2. Java
20.2.1. Autonome Java-toepassingen uitvoeren
20.2.2. Java-toepassingen in een webbrowser uitvoeren
20.3. Het gebruik van e-mail
20.3.1. Thunderbird
20.3.2. Een Kerberos-toegangsbewijs verkrijgen om e-mail te lezen op schijfloze werkstations
20.4. Het geluidsvolume regelen
21. Meewerken
21.1. Meewerken op lokaal vlak
21.2. Wereldwijd meewerken
21.3. Auteurs van documentatie en vertalers
22. Ondersteuning
22.1. Ondersteuning op vrijwillige basis
22.1.1. In het Engels
22.1.2. In het Noors
22.1.3. In het Duits
22.1.4. In het Frans
22.2. Professionele ondersteuning
23. Nieuwe functionaliteit in Debian Edu Stretch
23.1. Nieuwe functionaliteit voor Debian Edu 9+edu0 codenaam Stretch
23.1.1. Bekende problemen
23.1.2. Veranderingen aan het installatieproces
23.1.3. Bijwerkingen van programmatuur
23.1.4. Documentatie en bijwerkingen van vertalingen
23.1.5. Andere veranderingen vergeleken met de vorige uitgave
24. Auteursrechten en auteurs
25. Auteursrechten en auteurs van vertalingen
26. Vertalingen van dit document
26.1. Hoe dit document vertalen
26.1.1. Gebruik PO-bestanden voor het vertalen
26.1.2. Online vertalen met behulp van een webbrowser
27. Bijlage A - De GNU Algemene Gebruikerslicentie
27.1. Handleiding voor Debian Edu 9+edu0 codenaam Stretch
27.2. GNU GENERAL PUBLIC LICENSE
27.3. TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION
28. Bijlage B - nog geen Debian Edu live cd/dvd's voor Stretch
28.1. Functionaliteit van het image voor een autonome computer
28.2. Functionaliteit van het image voor een werkstation
28.3. Vertalingen en regionale ondersteuning activeren
28.4. Goed om te weten
28.5. Bekende problemen met het image
28.6. Downloaden
29. Bijlage C - Functionaliteit in oudere uitgaven
29.1. Nieuwe functionaliteit voor Debian Edu 8+edu0, codenaam Jessie, uitgebracht op 02-07-2016
29.1.1. Veranderingen aan het installatieproces
29.1.2. Bijwerkingen van programmatuur
29.1.3. Documentatie en bijwerkingen van vertalingen
29.1.4. Andere veranderingen vergeleken met de vorige uitgave
29.2. Nieuwe functionaliteit in Debian Edu 7.1+edu0, codenaam Wheezy, uitgebracht op 28-09-2013
29.2.1. Wijzigingen die zichtbaar zijn voor de gebruiker
29.2.2. Veranderingen aan het installatieproces
29.2.3. Bijwerkingen van programmatuur
29.2.4. Documentatie en bijwerkingen van vertalingen
29.2.5. LDAP-gerelateerde wijzigingen
29.2.6. Overige wijzigingen
29.2.7. Bekende problemen
29.3. Historische informatie over oudere uitgaven
29.3.1. Meer informatie over nog oudere uitgaven

1. Handleiding voor Debian Edu 9+edu0 codenaam Stretch

Aanmelden bij Debian Edu

Dit is de handleiding voor de uitgave van Debian Edu Stretch 9+edu0.

De (Engelstalige) wikipagina http://wiki.debian.org/DebianEdu/Documentation/Stretch bevat de originele versie die regelmatig bijgewerkt wordt.

De vertalingen maken deel uit van het pakket debian-edu-doc, dat op een webserver geïnstalleerd kan worden en ook online beschikbaar is.

2. Over Debian Edu en Skolelinux

Debian Edu, ook bekend onder de naam Skolelinux, is een op Debian gebaseerde Linuxdistributie. Ze biedt een gebruiksklare omgeving voor een volledig geconfigureerd schoolnetwerk.

Onmiddellijk na de installatie van een schoolserver worden alle diensten die nodig zijn in een schoolnetwerk ingesteld (Raadpleeg het volgende hoofdstuk voor de details van de architectuur ervan), waarna het systeem klaar voor gebruik is. Nadien moeten enkel nog gebruikers en apparatuur toegevoegd worden via GOsa², een handige webinterface, of via een andere LDAP-editor. Er werd ook voorzien in een omgeving die opstarten over het netwerk mogelijk maakt met behulp van PXE. Nadat u de hoofdserver met behulp van een cd, een blu-rayschijf of een USB-stick hebt geïnstalleerd, kunnen daardoor alle overige computers via het netwerk geïnstalleerd worden. Dit geldt zowel voor mobiele werkstations (zoals laptops en netbooks die men uit het schoolnetwerk weg kan nemen), als voor de schijfloze computers, zoals traditionele thin clients, die telkens via PXE opstarten.

Diverse educatieve toepassingen, zoals celestia, drgeo, gcompris, kalzium, kgeography, solfege en scratch, maken deel uit van een standaardinstallatie. Deze kan eenvoudig en bijna onbegrensd uitgebreid worden met in Debian beschikbare softwarepakketten.

2.1. Ontstaansgeschiedenis en verantwoording voor een dubbele naam.

Skolelinux is een Linuxdistributie die door het Debian Edu project gemaakt wordt. Als een zogenaamde Debian Pure Blends distributie (een gebruiksklaar geheel van Debian pakketten) heeft ze de status van officieel subproject van Debian.

Dit betekent dat Skolelinux voor uw school een versie van Debian maakt die een gebruiksklare omgeving biedt voor een volledig geconfigureerd schoolnetwerk.

Op 2 juli 2001 ging in Noorwegen het Skolelinux project van start en ongeveer gelijktijdig begon Raphaël Hertzog in Frankrijk met Debian-Edu. Sinds 2003 zijn beide projecten één gemaakt, maar beide benamingen bleven behouden. "Skole" en (Debian-)"Education" zijn in de betrokken landen immers goed ingeburgerde termen.

In Noorwegen bestond de doelgroep van het project oorspronkelijk uit scholen voor leerlingen van 6 tot 16 jaar. Tegenwoordig wordt het systeem gebruikt in verschillende landen over de hele wereld. Het is al het meest ingeburgerd in Noorwegen, Spanje, Duitsland en Frankrijk.

3. Architectuur

Dit hoofdstuk behandelt de netwerkarchitectuur en de diensten die door een installatie van Skolelinux geboden worden.

3.1. Het netwerk

Netwerktopologie van Debian Edu

De afbeelding schetst het schema van de veronderstelde netwerktopologie. De standaardopstelling van een Skolelinux netwerk veronderstelt dat er één (en slechts één) hoofdserver is, die het mogelijk maakt om zowel gewone werkstations als LTSP-servers (met de ermee verbonden thin clients en/of schijfloze werkstations) toe te voegen. Het aantal werkstations kan zo groot of zo klein zijn als u wenst (gaande van nul tot zeer veel). Hetzelfde geldt voor de LTSP-servers, die elk op een apart netwerk zitten, zodat het verkeer tussen de clients en de LTSP-server de andere netwerkdiensten niet hindert.

De reden waarom er in elk schoolnetwerk slechts één hoofdserver kan zijn, ligt in het feit dat de hoofdserver DHCP aanbiedt. Per netwerk mag slechts één machine dat doen. Het is mogelijk om bepaalde diensten van de hoofdserver naar andere machines te verplaatsen door die dienst op een andere machine te installeren en te configureren. Nadien moet de DNS-configuratie daaraan aangepast worden, zodat de DNS-alias voor die dienst naar de juiste computer verwijst.

Om de standaardconfiguratie van Skolelinux zo eenvoudig mogelijk te houden, wordt de verbinding met het internet door een afzonderlijke router verzorgd. Hoewel het mogelijk is om een Debian computer ook via een modem of via een ISDN-verbinding toegang tot het internet te verlenen, was het niet onze bedoeling om een dergelijke configuratie binnen Skolelinux automatisch mogelijk te maken. De aanpassingen aan de standaardsituatie die hiervoor nodig zijn, vereisen aparte instructies.

3.1.1. De standaard netwerkconfiguratie

De DHCP-server van Tjener bedient het 10.0.0.0/8 netwerk en biedt er de computers via PXE een syslinux opstartmenu aan. Dit laat de keuze uit: een nieuwe server/werkstation installeren, een thin client of een schijfloos werkstation opstarten, memtest uitvoeren, of de computer vanaf de lokale harde schijf opstarten.

Deze initiële opzet is bedoeld om te worden aangepast. Dit betekent dat u de NFS-root in syslinux kunt laten wijzen naar één van de LTSP-servers of dat u via het wijzigen van de optie next-server van DHCP (opgeslagen in LDAP) clients rechtstreeks via PXE kunt laten opstarten van de terminalserver.

Op de LTSP-servers bedient de DHCP-server via de tweede netwerkkaart enkel een gereserveerd netwerk (192.168.0.0/24 en 192.168.1.0/24 zijn de vooraf geconfigureerde opties). Slechts uitzonderlijk zal men hieraan iets moeten veranderen.

De configuratie van alle subnetwerken ligt in LDAP opgeslagen.

3.1.2. De hoofdserver (tjener)

Een netwerk van Skolelinux heeft één hoofdserver (ook "tjener" genaamd, wat Noors is voor "server") die standaard het IP-adres 10.0.2.2 heeft en geïnstalleerd wordt door te kiezen voor het profiel Hoofdserver (Main Server). Het is mogelijk (maar niet vereist) om naast het profiel hoofdserver ook de profielen LTSP-server en werkstation te selecteren en te installeren.

3.1.3. De diensten op de hoofdserver

Behalve het beheer van de thin clients, worden initieel alle diensten geïnstalleerd op één centrale computer (de hoofdserver). Met het oog op prestatiebevordering is het aangewezen dat de LTSP-server(s) op (een) aparte computer(s) staat/staan (hoewel het mogelijk is om zowel het profiel hoofdserver als het profiel LTSP-server op één en dezelfde computer te installeren). Alle diensten krijgen een eigen DNS-naam toegewezen en worden exclusief over IPv4 aangeboden. De toegewezen DNS-naam maakt het eenvoudig om individuele diensten van de hoofdserver te verplaatsen naar een andere computer. Daarvoor dient u gewoon die dienst op de hoofdserver te stoppen en de DNS-configuratie zodanig aan te passen dat naar de nieuwe locatie van de dienst gewezen wordt (uiteraard moet die dienst eerst op die andere machine geïnstalleerd worden).

Uit veiligheidsoverwegingen worden alle verbindingen waarover wachtwoorden verzonden worden, versleuteld. Geen enkel wachtwoord wordt als klare tekst over het netwerk verzonden.

Hieronder vindt u een tabel met alle diensten die standaard geïnstalleerd worden in een netwerk van Skolelinux en hun respectieve DNS-naam. Zo mogelijk verwijst elk configuratiebestand via zijn naam (met weglating van de domeinnaam) naar de dienst waaraan het gekoppeld is. Deze benadering maakt het voor scholen gemakkelijk om wijzigingen aan te brengen aan hun domeinnaam (als ze over een eigen DNS-domein beschikken) of aan de IP-adressen die ze gebruiken.

Tabel met de diensten

Beschrijving van de dienst

Gebruikelijke naam

DNS-naam van de dienst

Centraal logboek

rsyslog

syslog

Systeem van domeinnamen

DNS (BIND)

domain

Automatische netwerkconfiguratie van machines

DHCP

bootps

Synchronisatie van de systeemtijd

NTP

ntp

Persoonlijke mappen via een netwerkbestandssysteem

SMB / NFS

homes

Elektronische post

IMAP (Dovecot)

postoffice

Registerdienst

OpenLDAP

ldap

Gebruikersbeheer

GOsa²

---

Webserver

Apache/PHP

www

Centrale reservekopie

sl-backup, slbackup-php

backup

Webcache

Proxy (Squid)

webcache

Afdrukken

CUPS

ipp

Veilig aanmelden over het netwerk

OpenSSH

ssh

Automatische configuratie

Cfengine

cfengine

LTSP-server/s

LTSP

ltsp

Netwerk-blokapparaat-server

NBD

---

Toezicht op diensten en machines met foutmeldingen, evenals status en geschiedenis op het web. Foutrapportage per e-mail

Munin, Icinga en Sitesummary

sitesummary

De persoonlijke bestanden van iedere gebruiker worden in diens persoonlijke map opgeslagen. De server stelt die persoonlijke mappen ter beschikking, zodat men er vanop elke machine toegang toe heeft. Zo hebben gebruikers toegang tot dezelfde bestanden, ongeacht de machine die ze gebruiken. De server werkt platformonafhankelijk en geeft gebruikers op Unix clients via NFS toegang tot hun bestanden, terwijl gebruikers op Windows- en Macintosh-clients via SMB toegang tot hun bestanden krijgen.

Standaard werd de mailserver ingesteld om enkel lokale post te bedelen, dit wil zeggen binnen de school. Nochtans kan de server ook ingesteld worden om postbedeling over het internet toe te laten indien de school over een permanente internetverbinding beschikt. Clients worden geconfigureerd om e-mail bij de server af te leveren (via 'smarthost'), en gebruikers kunnen hun persoonlijke e-mail raadplegen via IMAP.

Alle diensten kunnen gebruikt worden met dezelfde gebruikersnaam en hetzelfde wachtwoord, dankzij de centrale gegevensbank voor authenticatie en autorisatie.

Om een beter prestatieniveau te bereiken, slaat een proxy-server vaak bezochte webpagina's lokaal op (Squid). In combinatie met de mogelijkheid om via de router bepaalde webtrafiek te blokkeren, biedt dit kansen om controle te houden over de toegang tot het internet van individuele machines.

De netwerkconfiguratie van de clientcomputers gebeurt automatisch met behulp van DHCP. Alle types clients kunnen verbonden worden met het private subnet 10.0.0.0/8 en zullen een overeenkomstig IP-adres toegewezen krijgen; LTSP-clients moeten verbonden worden met hun overeenkomstige LTSP-server via het afzonderlijke subnet 192.168.0.0/24 (dit is om te kunnen garanderen dat het netwerkverkeer van de LTSP-clients niet interfereert met de overige netwerkdiensten).

De centrale logboekdienst is zo geconfigureerd dat alle machines hun systeemlogboekberichten (syslog) naar de server zenden. De systeemlogboekdienst is ingesteld om enkel inkomende berichten van het lokale netwerk te aanvaarden.

De standaardinstelling van de DNS-server gaat uit van een domein dat uitsluitend intern gebruikt wordt (*.intern), totdat een echt ("extern") domein geconfigureerd kan worden. De DNS-server werkt als een cacheserver voor DNS, waardoor alle machines van het netwerk hem kunnen gebruiker als hun DNS-hoofdserver.

Leerlingen en leerkrachten krijgen de mogelijkheid om een website te publiceren. De webserver beschikt over mechanismen voor de authenticatie van gebruikers en voor het reserveren van de toegang tot bepaalde webpagina's of tot bepaalde submappen voor bepaalde gebruikers of gebruikersgroepen. Voor gebruikers is het mogelijk om dynamische webpagina's te maken, aangezien de webserver in functie daarvan programmeerbaar is.

Informatie over gebruikers en machines kan op één centrale plaats aangepast worden, en wordt automatisch toegankelijk gemaakt voor alle computers op het netwerk. In functie hiervan wordt een centrale registerdienst ontplooid. Het register bevat informatie over gebruikers, over gebruikersgroepen, over machines en over groepen van machines. Om bij gebruikers geen verwarring te zaaien, worden bestandsgroepen, mailinglijsten en netwerkgroepen op geen enkele manier verschillend behandeld. Dit heeft tot gevolg dat groepen van computers die samen een netwerkgroep vormen, dezelfde naamruimte gebruiken als gebruikersgroepen en mailinglijsten.

Het beheer van diensten en gebruikers gebeurt hoofdzakelijk via het web en volgt daarbij vastgelegde standaarden die goed functioneren in de met Skolelinux meegeleverde webbrowsers. Het administratiesysteem laat toe om bepaalde taken te delegeren naar individuele gebruikers of naar gebruikersgroepen.

Om mogelijke problemen met NFS te voorkomen en om het oplossen ervan te vergemakkelijken, moet de klok op elke machine gesynchroniseerd zijn. Daarom fungeert de Skolelinux-server als een NTP-server (Network Time Protocol) voor het lokale netwerk. Van hun kant worden alle werkstations en clientcomputers ingesteld om hun klok met die van de server te synchroniseren. De server zelf tracht zijn eigen klok via NTP te synchroniseren met machines op het internet. Dit garandeert een correcte tijdsaanduiding binnen het ganse netwerk.

Printers kunnen geplaatst worden waar dit het meest praktisch is. Ze kunnen ofwel rechtstreeks op het hoofdnetwerk aangesloten worden of aangekoppeld worden aan een server, een werkstation of een LTSP-server. Het recht van individuele gebruikers om toegang te hebben tot een printer, kan ingesteld worden op basis van de groepen waartoe zij behoren. Dit wordt geregeld via het instellen van een quotaregeling en toegangscontrole voor printers.

3.1.4. LTSP-server(s)

Een netwerk van Skolelinux kan veel LTSP-servers (die we in releases voor Stretch "thin-clientservers" noemden) bevatten. Men zet een LTSP-server op door bij de installatie het profiel LTSP-server te selecteren.

De LTSP-servers staan ingesteld om systeemlogboekberichten (syslog) te ontvangen van thin clients en werkstations en om die door te sturen naar de centrale systeemlogboekdienst.

Merk op: Thin-clients maken gebruik van de programma's die op de server geïnstalleerd zijn. Schijfloze werkstations gebruiken de programma's die geïnstalleerd zijn in de LTSP-chroot van de server en hun basisbestandssysteem wordt via NBD (Network Block Device - Netwerkblokapparaat) aan de clients aangeleverd. Na elke wijziging van de LTSP-chroot moet het ermee verbonden NBD-image opnieuw gegenereerd worden. Voer daarvoor op de LTSP-server het commando ltsp-update-image uit.

3.1.5. Thin-clients

Een thin-clientopstelling laat toe om eenvoudige PC's te gebruiken als (X-)terminals. Dit houdt in dat de machine wordt opgestart met een diskette of rechtstreeks vanaf de server met behulp van netwerk-PROM (of PXE) zonder gebruik te maken van de lokale harde schijf. Het thin-clientsysteem dat Skolelinux gebruikt, is dat van het Linux Terminal Server Project (LTSP).

Het thin-clientsysteem is een goede manier om nuttig gebruik te maken van oudere en weinig krachtige machines, aangezien alle programma's die zij gebruiken op de LTSP-server uitgevoerd worden. Dit gaat als volgt in zijn werk: de dienst maakt gebruik van DHCP and TFTP om een netwerkverbinding te realiseren en over het netwerk op te starten. Nadien wordt via NBD het bestandssysteem van de LTPS-server aangekoppeld, en tenslotte wordt het X-Windowsysteem gestart. Via SSH met X-forwarding maakt het grafisch aanmeldscherm (LDM) verbinding met de LTSP-server. Op die manier verloopt alle netwerkverkeer versleuteld. Voor heel oude thin clients die te traag zijn om encryptie toe te laten, kan men teruggrijpen naar een vroegere werkwijze. Men gebruikt dan een directe X-verbinding via XDMCP.

3.1.6. Schijfloze werkstations

Schijfloze werkstations worden ook wel eens configuratieloze werkstations genoemd. Ook termen als "lowfat clients" of "half-thick clients" worden gebruikt om dergelijke machines aan te duiden. Voor de duidelijkheid houden we het in deze handleiding op "schijfloos werkstation."

Een schijfloos werkstation voert alle programma's uit op de PC, evenwel zonder dat er lokaal een besturingssysteem geïnstalleerd is. Dit houdt in dat de clientcomputer rechtstreeks opstart vanaf de harde schijf van de server, en geen software nodig heeft die op de lokale harde schijf geïnstalleerd werd.

Het systeem van schijfloze werkstations is zeer geschikt om oudere (maar nog krachtige) hardware te hergebruiken met een even lage onderhoudskost als met thin clients het geval is. Software wordt beheerd en onderhouden op de server en er dient op de clientcomputers geen software geïnstalleerd te worden. Persoonlijke mappen en systeeminstellingen worden op de server opgeslagen.

Schijfloze werkstations werden met versie 5.0 in het Linux Terminal Server Project (LTSP) geïntroduceerd.

3.1.7. Netwerkclients

De term "netwerkclients" wordt in deze handleiding gebruikt om zowel te verwijzen naar thin clients als naar schijfloze werkstations en naar computers die onder Mac OS of onder Windows draaien.

3.2. Beheer

Alle Linuxmachines die met behulp van het installatiesysteem van Skolelinux geïnstalleerd werden, kunnen vanaf een centrale computer, meestal de centrale server, beheerd worden. Men kan zich via SSH (standaard is het niet toegestaan dat de systeembeheerder inlogt met een wachtwoord) bij alle machines aanmelden en er volledige toegang toe krijgen.

Alle gebruikersgegevens worden bijgehouden in een LDAP-register. Aanpassingen aan gebruikersaccounts worden in die gegevensbank ingevoerd. Clientcomputers doen er beroep op voor de authenticatie van gebruikers.

3.2.1. Installatie

Momenteel zijn images beschikbaar van twee soorten installatiemedia: een netinstall cd-image en een multi-arch USB flash drive image. Beide images kan men ook gebruiken om een computer op te starten vanaf een USB-stick.

Het is de bedoeling dat men eenmaal met behulp van om het even welk installatiemedium een server installeert en dat alle andere clients over het netwerk geïnstalleerd worden door ze vanaf het netwerk te laten opstarten.

Enkel bij het netinstall cd-image heeft men toegang tot het internet nodig tijdens het installatieproces.

Tijdens de installatie moet geen enkele vraag beantwoord worden, met uitzondering van de gewenste taal (bijvoorbeeld Noors Bokmål, Nynorsk, Sami, Nederlands) en het te installeren machineprofiel (hoofdserver, werkstation, LTSP-server). De rest van de configuratie wordt automatisch ingesteld op aannemelijke waarden. Na installatie kan de systeembeheerder deze instellingen zo nodig aanpassen vanaf een centrale plaats.

3.2.2. Configuratie van de toegang tot het bestandssysteem

Aan ieder gebruikersaccount van Skolelinux wordt een deel van het bestandssysteem op de bestandsserver toegewezen. Dit deel (de persoonlijke map) bevat de configuratiebestanden, de documenten, de e-mails en de webpagina's van die gebruiker. Sommige van die bestanden moeten ook door de andere gebruikers op het systeem gelezen kunnen worden, sommige moeten door iedereen op het internet gelezen kunnen worden en sommige mogen enkel door de gebruiker zelf gelezen kunnen worden.

Om een unieke naam te kunnen garanderen voor alle schijven die gebruikt worden voor de persoonlijke mappen van gebruikers of voor de gedeelde mappen en die verspreid kunnen zijn over de verschillende computers van het schoolnetwerk, kan men ze aankoppelen als /skole/host/directory/ (d.w.z. /skole/computernaam/mapnaam/) . Tijdens de installatie wordt op de bestandsserver initieel één map gemaakt, /skole/tjener/home0/, waaronder alle persoonlijke mappen aangemaakt worden. Extra mappen kunnen naar behoefte aangemaakt worden, naargelang de noden van specifieke gebruikersgroepen of van specifieke vormen van gebruik.

Opdat een gedeeld gebruik van bestanden binnen het in UNIX gangbare systeem van gebruiksrechten mogelijk zou zijn, moeten gebruikers deel uitmaken van bijkomende gemeenschappelijke groepen (zoals "studenten") naast de primaire persoonlijke groep waartoe ze standaard behoren. Indien voor gebruikers een passende umask (002 of 007) geldt, waardoor de nieuwe bestanden die zij aanmaken, voor hun groep toegankelijk gemaakt worden, en indien voor de mappen waarin zij werken de setgid bit ingesteld staat, waardoor de bestanden erin aan de juiste groep toegewezen worden, krijgt men een gecontroleerd systeem van bestandsdeling tussen de leden van een welbepaalde groep.

Welke de initiële toegangsrechten van een nieuw aangemaakt bestand zijn, is een kwestie van beleidskeuzes. In Debian is de umask standaard 022 (hetgeen groepstoegang zoals hiervoor beschreven onmogelijk zou maken). Debian Edu daarentegen gebruikt een umask van 002. Dit betekent dat bestanden aangemaakt worden met leesrechten voor iedereen. Die kunnen nadien teniet gedaan worden mits uitdrukkelijke actie door de gebruiker. Deze gang van zaken kan bijgestuurd worden (door in het bestand /etc/pam.d/common-session) de umask op 007 te zetten. Dit houdt in: initieel geen leestoegang en de gebruiker moet actie ondernemen om zijn bestanden leesbaar te maken voor iedereen. De eerste benadering moedigt het delen van kennis aan en maakt het systeem transparanter, terwijl de tweede benadering het risico op het verspreiden van gevoelige informatie vermindert. Het zwakke punt van de eerste benadering is dat het voor de gebruiker niet duidelijk is dat het materiaal dat hij aanmaakt, voor alle andere gebruikers toegankelijk is. Hij kan dit enkel ontdekken door te gaan kijken in de persoonlijke mappen van andere gebruikers en vast te stellen dat hij die bestanden kan inkijken. Bij de tweede benadering bestaat het zwakke punt erin dat slechts weinig mensen geneigd zullen zijn om hun bestanden voor anderen open te stellen, zelfs al bevatten die geen gevoelige informatie en zou hun inhoud nuttig kunnen zijn om de nieuwsgierigheid te prikkelen van gebruikers naar hoe anderen bepaalde problemen opgelost hebben (in het bijzonder de aanpak inzake configuraties).

4. Vereisten

Skolelinux biedt keuze uit verschillende mogelijke opstellingen. Het kan geïnstalleerd worden op slechts één autonome computer, maar het kan ook een grootschalige centraal beheerde oplossing bieden aan een groep scholen in een bepaalde regio. Deze flexibiliteit vertaalt zich in grote verschillen inzake de configuratie van netwerkcomponenten, servers en clientmachines.

4.1. Vereisten inzake apparatuur

De betekenis van de verschillende profielen werd verduidelijkt in het hoofdstuk Architectuur van het netwerk.

Indien het de bedoeling is om gebruik te maken van LTSP, raadpleeg dan de wiki-pagina over hardwarevereisten voor LTSP.

  • De computers met Debian Edu / Skolelinux moeten ofwel een 32-bits (Debian architectuur 'i386' met als oudste nog ondersteunde processors die uit de klasse 686) of een 64-bits (Debian architectuur 'amd64') processor van het type x86 hebben.

  • Minstens 12 GiB RAM bij 30 thin-clients en 20 GiB RAM bij 50-60 thin-clients wordt aanbevolen voor de profielen hoofdserver en LTSP-server.

  • Een thin-client kan al functioneren met slechts 256 MiB RAM en een processorsnelheid van 400 MHz, hoewel meer RAM en een snellere processor aanbevolen worden.

    • Wisselgeheugen (swap) wordt automatisch over het netwerk ter beschikking gesteld van LTSP-clients. De grootte van het wisselgeheugen staat ingesteld op 512 MB. Indien meer wisselgeheugen wenselijk is, kunt u dit aanpassen door in het bestand /etc/ltsp/nbdswapd.conf op tjener de variabele SIZE in te stellen.

    • Indien u over schijfloze werkstations beschikt die wel degelijk een harde schijf hebben, is het aanbevolen om die als wisselgeheugen te gebruiken omdat dit sneller werkt dan gebruik te maken van wisselgeheugen over het netwerk.

  • Voor werkstations, schijfloze werkstations en autonome PC's gelden als absolute minimumvereisten: 1000 MHz processorsnelheid en 512 MiB RAM. Maar om een moderne webbrowser en LibreOffice te kunnen gebruiken, wordt minstens 1024 MiB RAM aanbevolen.

    • Op werkstations met een beperkt RAM-geheugen en die ook nog over weinig wisselgeheugen beschikken, kan de spellingscontrole LibreOffice doen vastlopen. Indien dit regelmatig het geval is, kunnen systeembeheerders de spellingscontrole uitschakelen.

  • De minimale benodigde schijfruimte is afhankelijk van het geïnstalleerde profiel:

    • combinatie van hoofdserver + LTSP-server: 70 GiB. Zoals gewoonlijk met schijfruimte op een hoofdserver, geldt "hoe meer, hoe beter".

    • LTSP-server: 50 GiB.

    • werkstations en autonome computers: 30 GiB.

  • Als men de standaardarchitectuur voor het netwerk aanhoudt, moet men LTSP-servers uitrusten met twee netwerkkaarten:

    • eth0 is verbonden met het hoofdnetwerk (10.0.0.0/8),

    • eth1 wordt gebruikt voor de bediening van LTSP-clients (192.168.0.0/24 is standaard), maar andere configuraties zijn mogelijk.

  • Laptops zijn mobiele werkstations. Voor hen gelden dus dezelfde vereisten als voor werkstations.

4.2. Compatibele apparatuur

Een lijst met geteste apparatuur vindt u op http://wiki.debian.org/DebianEdu/Hardware/. Deze lijst is evenwel verre van volledig. :)

Op http://wiki.debian.org/InstallingDebianOn worden de resultaten gebundeld van inspanningen om te documenteren hoe men op bepaalde specifieke apparatuur Debian kan installeren, configureren en gebruiken. Potentiële kopers van dergelijke apparatuur kunnen zo vooraf nagaan of zij ondersteund wordt, en bezitters ervan hoe ze er optimaal gebruik van kunnen maken.

Een uitstekende database van door Debian ondersteunde apparatuur vindt u hier: http://kmuto.jp/debian/hcl/.

5. Vereisten voor de netwerkopstelling

5.1. Standaardopstelling

Wanneer u zich houdt aan de standaard netwerkarchitectuur, gelden de volgende regels:

  • Er moet exact één hoofdserver zijn, de tjener genaamd.

  • Er kunnen honderden werkstations aangesloten worden op het hoofdnetwerk.

  • U kunt meerdere LTSP-servers aansluiten op het hoofdnetwerk. In LDAP werden twee verschillende subnetten vooraf geconfigureerd (DNS, DHCP) en er kunnen er nog meer aan toegevoegd worden.

  • Elke LTSP server ondersteunt een subnetwerk waarop honderden thin clients en/of schijfloze werkstations aangesloten kunnen worden.

  • U kunt daarnaast nog gebruik maken van honderden andere machines waaraan een dynamisch IP-adres toegekend zal worden.

  • Om toegang te krijgen tot het internet moet u gebruik maken van een router/gateway (zie hierna).

5.2. Internet router

Een router/gateway wiens externe netwerkkaart verbonden wordt met het internet en wiens interne netwerkkaart het IP-adres 10.0.0.1 met netmask 255.0.0.0 toegewezen krijgt, is noodzakelijk om een internetverbinding tot stand te brengen.

De router mag niet fungeren als DHCP-server. Er mag een DNS-server op draaien, al is dit niet nodig. Hij zal trouwens niet gebruikt worden.

Indien u reeds over een router beschikt, maar niet in de mogelijkheid verkeert om hem te configureren (omdat het u niet toegestaan wordt of omwille van technische redenen), kunt u van een systeem met twee netwerkkaarten een gateway maken als u er het profiel 'Minimal' van Debian Edu op installeert.

Na de installatie:

  • Pas het bestand /etc/network/interfaces aan.

  • Verander de hostname (computernaam) definitief in 'gateway'.

  • Maak IP forwarding en NAT mogelijk voor het 10.0.0.0/8 netwerk.

  • Eventueel kunt u er ook een firewall en/of gereedschap voor het regelen van het volume van het dataverkeer op installeren.

 #!/bin/sh
 # Van een systeem met het profiel 'Minimal' een gateway/firewall maken. 
 #
 sed -i 's/auto eth0/auto eth0 eth1/' /etc/network/interfaces
 sed -i '/eth1/ s/dhcp/static/' /etc/network/interfaces
 echo 'address 10.0.0.1' >> /etc/network/interfaces
 echo 'netmask 255.0.0.0' >> /etc/network/interfaces
 hostname -b gateway
 hostname > /etc/hostname 
 service networking stop
 service networking start
 sed -i 's#NAT=#NAT="10.0.0.0/8"#' /etc/default/enable-nat 
 service enable-nat restart
 # Een firewall (shorewall of ufw) en een dataverkeersregelaar installeren.
 #apt update
 #apt install shorewall
 # of
 #apt install ufw
 #apt install wondershaper  

Indien u iets zoekt voor een ingebouwd type router of toegangspunt, raden we u OpenWRT aan, hoewel u er uiteraard ook de originele software op kunt laten staan. Dit laatste is de meest eenvoudige oplossing, maar met OpenWRT beschikt u over meer keuzemogelijkheden en houdt u meer controle. Op de website van OpenWRT kunt u een lijst vinden van ondersteunde hardware.

Een andere netwerkopstelling is mogelijk. Op deze webpagina vindt u uitleg over de te volgen werkwijze. Maar tenzij u door een reeds bestaande netwerkinfrastructuur gedwongen wordt om op die manier te werk te gaan, raden we u dit niet aan. Wij bevelen u aan om het bij de standaard netwerkarchitectuur te houden.

6. Installatie- en downloadopties

6.1. Waar u bijkomende informatie kunt vinden

Alvorens u begint met het installeren van een systeem voor productiedoeleinden, raden we u aan eerst de uitgavenotities voor Debian Stretch te lezen of er op zijn minst eens naar te kijken. Probeer Debian Edu/Skolelinux maar gerust uit. Het werkt gewoon vanzelf. :-)

/!\ Lees evenwel in elk geval het hoofdstuk aan de slag van deze handleiding, want daarin staat uitgelegd hoe u zich voor de eerste maal bij het systeem moet aanmelden.

Nog meer informatie over Debian Stretch vindt u in de installatiehandleiding voor deze uitgave.

6.2. Downloaden van de installatiemedia voor Debian Edu 9+edu0, codenaam Stretch

6.2.1. netinstall cd-image voor i386, amd64

Het netinstall cd-image, waarmee u ook een installatie kunt uitvoeren vanaf een USB-stick, is geschikt om een installatie uit te voeren op i386- en amd64-computers. Zoals uit de naam af te leiden valt, is toegang tot het internet nodig voor de installatie. Het image wordt beschikbaar gesteld via

  • debian-edu-9+edu0-CD.iso

    rsync -v --progress ftp.skolelinux.org::skolelinux-cd/debian-edu-9+edu0-CD.iso ./debian-edu-9+edu0-CD.iso

6.2.2. USB-stick-ISO-image voor i386 en amd64

Het multi-achitectuur ISO-image is 5,5 GiB groot en is kan gebruikt worden voor het installeren van amd64- en i386-computers. Net zoals het netinstall-image kan het op een USB-stick of op een schijf met voldoende opslagcapaciteit geplaatst worden. Hou er rekening mee dat u toegang tot het internet nodig heeft gedurende de installatie als u het profiel 'LTSP-Server' kiest. Zoals de andere images kunt u het downloaden met HTTP of rsync via:

  • debian-edu-9+edu0-USB.iso

    rsync -v --progress ftp.skolelinux.org::skolelinux-cd/debian-edu-9+edu0-USB.iso ./debian-edu-9+edu0-USB.iso

6.2.3. Broncode

Broncode-bestanden kunnen in het Debian-archief gevonden worden op de gebruikelijke locaties.

6.3. Een cd / dvd per e-mail aanvragen

Aan wie niet de beschikking heeft over een snelle internetverbinding bieden we de mogelijkheid aan om een cd of dvd per post te ontvangen voor de prijs van de portokosten en de cd of dvd. U dient enkel een e-mail te sturen naar cd@skolelinux.no en wij zullen contact opnemen om met u de modaliteiten van betaling (voor de portokosten en de media) af te spreken. :) Denk eraan in uw e-mailbericht het adres te vermelden waar we de cd of de dvd naartoe moeten sturen.

6.4. Debian Edu installeren

Wanneer u een installatie van Debian Edu uitvoert, heeft u enkele keuzemogelijkheden. Wees niet bevreesd. Het zijn er niet veel. We hebben veel geïnvesteerd om de complexiteit van Debian tijdens de installatie en nadien verborgen te houden. Niettemin, Debian Edu is Debian, en indien u dit wenst, heeft u de keuze uit meer dan 52.000 pakketten en talloze opties voor configuratie. Maar de meerderheid van onze gebruikers voelt zich fijn bij de standaardinstellingen.

6.4.1. Installatietypes en downloadopties

Opstartmenu van het installatieprogramma op 64-bits hardware

64-bits opstartmenu van het installatieprogramma

Graphical install gebruikt het grafische GTK-installatieprogramma waarin u de muis kunt gebruiken.

Install gebruikt de tekstmodus.

Advanced options > biedt een sub-menu met meer uitgebreide keuzemogelijkheden.

32-bit install options > maakt een 32-bits installatie mogelijk op 64-bits hardware.

Help geeft aanwijzingen bij het gebruik van het installatieprogramma. Zie de schermafdrukken hieronder.

64-bits installatieprogramma - keuzemogelijkheden voor gevorderden - scherm 1

Back.. brengt u terug naar het hoofdmenu.

Graphical expert install legt alle beschikbare vragen voor; de muis kan gebruikt worden.

Graphical rescue mode doet dit installatiemedium als een reparatie-cd fungeren, zodat u noodbewerkingen kunt uitvoeren.

Graphical automated install heeft een bestand nodig waarmee een aantal configuratieopties aan het installatieprogramma doorgegeven worden. De grafische modus wordt gebruikt.

Expert install legt alle beschikbare vragen voor en gebruikt de tekstmodus.

Rescue mode tekstmodus; doet dit installatiemedium als een reparatie-cd fungeren, zodat u noodbewerkingen kunt uitvoeren.

Automated install tekstmodus; heeft een bestand nodig waarmee een aantal configuratieopties aan het installatieprogramma doorgegeven worden.

Opstartmenu van het installatieprogramma op 32-bits hardware

32-bits opstartmenu van het installatieprogramma

De toelichtingen zijn dezelfde als die voor 64-bits hardware.

Hulpscherm

Installatieprogramma - hulpscherm

Dit hulpscherm vraagt geen nadere uitleg. Het maakt de <F>-toetsen van het toetsenbord actief om meer uitgebreide hulp te krijgen in verband met het behandelde onderwerp.

Opstartparameters voor installaties toevoegen of wijzigen

In beide gevallen kunt u de opstartopties van het installatiesysteem bewerken door in het opstartmenu op de TAB-toets te drukken. Op de schermafdruk ziet u de commandoregel van de Grafische installatie.

Commandoregelopties bewerken

  • U kunt een bestaande HTTP proxy service op het netwerk gebruiken om de installatie van het hoofdserverprofiel vanaf een cd te versnellen. Hiervoor moet u mirror/http/proxy=http://10.0.2.2:3128/ als bijkomende opstartparameter meegeven aan het installatieprogramma.

  • Indien u de installatie van het hoofdserverprofiel reeds voltooid heeft, moet u de andere installaties via PXE laten verlopen. Zo wordt automatisch de proxydienst van de hoofdserver gebruikt.

  • Om de bureaubladomgeving van GNOME in plaats van de standaard KDE Plasma te installeren, moet u in de parameter desktop=kde kde veranderen in gnome.

  • Om in plaats daarvan de bureaubladomgeving LXDE te installeren, gebruikt u desktop=lxde. (Is aanbevolen als u van plan bent LTSP te gebruiken.)

  • Om in plaats daarvan de bureaubladomgeving Xfce te installeren, gebruikt u desktop=xfce.

  • En om in plaats daarvan de MATE bureaubladomgeving te installeren, gebruikt u desktop=mate.

6.4.2. Het installatieproces

Houd rekening met de systeemvereisten en zorg ervoor dat er minstens twee netwerkkaarten (NIC's) aanwezig zijn, indien u van plan bent om een LTSP-server te installeren.

  • Kies een taal (voor de installatie en voor het geïnstalleerd systeem)

  • Kies een plaats. Meestal is dit de plaats waar u woont.

  • Kies een toetsenbordindeling (meestal is de standaard toetsenbordindeling voor uw land oké).

  • Kies (een) profiel(en) uit de volgende lijst:

    • Hoofdserver

      • Dit is de hoofdserver (tjener) van uw school, waarop alle diensten klaar voor gebruik vooraf geconfigureerd worden. U mag slechts één hoofdserver per school installeren! Dit profiel voorziet niet in een grafische gebruikersomgeving. Indien u wel een grafische gebruikersomgeving wenst op de hoofdserver, dan dient u bijkomend het profiel werkstation of LTSP-server te installeren.

    • Werkstation

      • Dit is een computer die, zoals een gewone computer, opstart vanaf de lokale harde schijf, alle programma's lokaal uitvoert en alle apparaten vanaf de lokale computer aanspreekt. Enkel de authenticatie van de gebruiker gebeurt door de hoofdserver en daarop worden ook diens bestanden en de configuratie van diens werkomgeving opgeslagen,

    • Mobiel werkstation

      • Is hetzelfde als een werkstation, maar is in staat om authenticatie uit te voeren met behulp van lokaal opgeslagen verificatie-informatie, zodat het ook buiten het schoolnetwerk gebruikt kan worden. De bestanden van de gebruiker en de configuratie van diens werkomgeving worden op de lokale harde schijf bewaard. In tegenstelling tot het advies dat we in eerdere uitgaven van Skolelinux gaven, moet u voor persoonlijke notebooks en laptops dit profiel kiezen en niet het profiel 'werkstation' of het profiel 'autonome computer'.

    • LTSP-server

      • Een server voor thin-clients (en schijfloze werkstations) wordt LTSP-server genoemd. Clients zonder harde schijf starten op en voeren programma's uit vanaf deze server. Deze computer moet twee netwerkkaarten hebben, veel geheugen en idealiter meer dan één processor of meerdere processorkernen. Raadpleeg het hoofdstuk over netwerkclients voor meer informatie. Indien u dit profiel kiest, wordt ook automatisch het profiel werkstation geactiveerd (zelfs als u het niet expliciet selecteert) - een LTSP-server kan steeds ook als werkstation dienst doen.

    • Autonome computer

      • Een gewone computer die geen hoofdserver nodig heeft om te kunnen functioneren. Hij heeft dus geen netwerk nodig. Ook geschikt voor laptops.

    • Minimaal

      • Met dit profiel worden enkel de pakketten van het basissysteem geïnstalleerd en wordt de machine nadien geconfigureerd om deel uit te maken van het netwerk van Debian Edu. Er worden geen diensten en geen toepassingssoftware op geïnstalleerd. Een computer met een dergelijk profiel is nuttig om dienst te doen als platform voor een specifieke dienst die men van de hoofdserver manueel daarnaartoe verhuist.

    De profielen Hoofdserver, Werkstation en LTSP-server staan voorgeselecteerd. Deze profielen kunnen samen op één machine geïnstalleerd worden indien u een zogenaamde gecombineerde hoofdserver wilt installaeren. Dit betekent dat de hoofdserver tegelijk ook een LTSP-server zal zijn en als werkstation gebruikt kan worden. Dit staat ingesteld als standaardkeuze, omdat we ervan uitgaan dat de meeste mensen de verdere installatie nadien via PXE uitvoeren. Denk eraan dat een machine die als gecombineerde hoofdserver of als LTSP-server dienst zal doen over 2 netwerkkaarten moet beschikken om na installatie bruikbaar te zijn.

  • Kies "ja" of "neen" bij de vraag in verband met automatische schijfindeling. Weet dat "ja" antwoorden alle gegevens op de harde schijf wist! "Neen" antwoorden anderzijds, brengt meer werk met zich mee. U zult er op moeten toezien dat de benodigde partities aangemaakt worden en groot genoeg zijn.

  • Wij hebben graag dat u "ja" antwoordt op de vraag of informatie mag doorgestuurd worden naar http://popcon.skolelinux.org/. Dit laat ons toe om een beter inzicht te verwerven in welke pakketten populair zijn en zeker behouden moeten blijven in toekomstige uitgaves. U bent er uiteraard niet toe verplicht, maar u kunt er ons op een eenvoudige manier mee helpen. :)

  • Heb wat geduld. Indien het profiel LTSP-server een van de geselecteerde profielen is, zal het installatiesysteem op het einde behoorlijk wat tijd nodig hebben bij de melding "De installatie afronden - Bezig met het uitvoeren van debian-edu-profile-udeb..."

  • Nadat u het beheerderswachtwoord hebt ingevoerd, zal men u vragen om een gebruikersaccount aan te maken "voor andere taken dan die van systeembeheer." Voor Debian Edu is dit een zeer belangrijk account: met dit account zult u het netwerk van Skolelinux beheren.

    /!\ Het wachtwoord van deze gebruiker moet minstens 5 tekens lang zijn - anders wordt zich aanmelden onmogelijk (ook al zal het installatieprogramma een korter wachtwoord aanvaarden).

  • Verheug u

6.4.3. Aantekeningen bij enkele specifieke kenmerken

6.4.3.1. Een aantekening over notebooks

Meest voor de hand liggend is dat u hiervoor het profiel 'Mobiel werkstation' kiest (zie eerder). U dient wel te weten dat alle gegevens lokaal bewaard worden. (Besteed dus extra zorg aan backups). Er wordt ook lokaal een spiegelkopie met de aanmeldingsinformatie bijgehouden. (Indien u dus uw wachtwoord wijzigt op het schoolnetwerk, zult u op uw laptop nog steeds uw oude wachtwoord moeten gebruiken, totdat u uw laptop opnieuw aansluit op het schoolnetwerk en u daar aanmeldt met uw nieuwe wachtwoord.)

6.4.3.2. Een noot bij installaties met het multi-archimage voor USB-stick / blu-rayschijf

Na een installaties met het multi-archimage voor USB-stick / blu-rayschijf, zal het bestand /etc/apt/sources.list enkel dat medium vermelden als pakketbron. Indien u over een internetverbinding beschikt, raden we u ten stelligste aan om aan het bestand de volgende regels toe te voegen, zodat eventuele beveiligingsbijwerkingen toegepast kunnen worden:

deb http://ftp.debian.org/debian/ stretch main 
deb http://security.debian.org/ stretch/updates main 
6.4.3.3. Een aantekening bij installaties via cd

Een netinst-installatie (het type installatie dat onze cd aanbiedt) haalt sommige pakketten op van de cd en de rest van het net. Hoeveel pakketten er via het net opgehaald worden varieert naargelang het gekozen profiel, maar het volume blijft beneden 1 gigabyte (tenzij u gekozen heeft om alle mogelijke bureaubladprofielen te installeren). Eens u de hoofdserver geïnstalleerd heeft (of het een pure hoofdserver of een combiserver is, maakt niet uit), zal het installatieprogramma op andere computers gebruik maken van diens proxyserver en zo vermijden dat hetzelfde pakket verschillende keren gedownload wordt.

6.4.3.4. Een noot bij de installatie van LTSP-servers die enkel thin-clients bedienen

Indien u de opstartparameter edu-skip-ltsp-make-client meegeeft aan de kernel, wordt de stap overgeslagen waarbij de LTSP-chroot van een thin-clientchroot omgezet wordt naar een gecombineerde chroot voor thin clients en schijfloze werkstations.

In sommige omstandigheden is dit nuttig, bijvoorbeeld indien u een zuivere thin-clientchroot wenst, of indien er op een andere server reeds een chroot voor schijfloze systemen draait die synchronisatie toelaat. In dergelijke omstandigheden de stap overslaan, levert aanzienlijke tijdswinst op.

Behalve het feit dat dit meer tijd in beslag neemt, is het steeds aanmaken van gecombineerde chroots in geen enkel ander opzicht nadelig. Daarom is het de normale werkwijze.

6.4.4. Installaties vanaf een USB-stick en niet vanaf een cd / blu-rayschijf

Sinds de uitgave van Squeeze is het mogelijk om een .iso image voor cd/dvd/blu-ray rechtstreeks te kopiëren naar een USB-stick (ook soms aangeduid met de term "USB flash drive") en hiervan op te starten. Geef eenvoudigweg volgende opdracht, waarbij u de bestandsnaam en de naam aanpast aan uw specifieke situatie:

sudo dd if=debian-edu-amd64-i386-XXX.iso of=/dev/sdX bs=1024

Afhankelijk van het gebruikte image, zal de USB-stick zich gedragen als een cd of een blu-rayschijf.

6.4.5. Over het netwerk uitgevoerde installaties (PXE) en het opstarten van schijfloze clients

Deze installatiemethode vereist dat u een werkende hoofdserver heeft. Wanneer clients over het netwerk opstarten, krijgt u een nieuw PXE-menu met installatie- en opstartopties. Indien de installatie via PXE mislukt met de foutmelding dat het bestand XXX.bin ontbreekt, dan is de meest waarschijnlijke oorzaak te vinden in het feit dat voor het functioneren van de netwerkkaart van de client niet-vrije fabrieksprogrammatuur nodig is. In een dergelijk geval moet het initrd-image dat door het installatieprogramma van Debian gebruikt wordt, aangepast worden. Dit doet u door aan de server de volgende opdracht te geven: /usr/share/debian-edu-config/tools/pxe-addfirmware.

Indien u koos voor een Hoofdserver met uitsluitend het hoofdserverprofiel, ziet het menu van PXE er zo uit:

width=400

Met de profielen Hoofdserver- en LTSP-server- ziet het menu van PXE er als volgt uit:

width=400

Om de bureaubladomgeving van uw keuze te installeren in plaats van die welke standaard ingesteld staat, drukt u op TAB om de opstartparameters van de kernel te bewerken (zoals hierboven uitgelegd).

Een dergelijke opstelling laat toe om ook schijfloze werkstations en thin clients over het hoofdnetwerk op te starten. Anders dan het geval is bij werkstations, moet u schijfloze werkstations niet ingeven in LDAP met GOsa². Maar het is mogelijk om dit toch te doen, bijvoorbeeld als u ze een vaste computernaam wenst te geven.

U vindt bijkomende informatie over netwerkclients in het hoofdstuk HowTo voor netwerkclients.

6.4.5.1. PXE-installaties aanpassen

Een PXE-installatie geeft via een bestand een aantal configuratieopties door aan het installatieprogramma van Debian. Dit bestand met configuratieopties kan aangepast worden om de installatie van bijkomende pakketten te vragen.

Voeg aan het bestand tjener:/etc/debian-edu/www/debian-edu-install.dat een regel toe in de zin van:

d-i    pkgsel/include string mijn-extra-pakket(ten)

Een PXE-installatie gebruikt het bestand /var/lib/tftpboot/debian-edu/install.cfg en het bestand /etc/debian-edu/www/debian-edu-install.dat, dat de voorgeprogrammeerde configuratieopties bevat. Door deze bestanden te bewerken kunt u het voorgeprogrammeerde installatieproces beïnvloeden en op die manier vermijden dat u bij een installatie over het netwerk een groter aantal vragen moet beantwoorden. U kunt dit effect ook nog op een andere manier bereiken, namelijk door extra instellingen op te nemen in de bestanden /etc/debian-edu/pxeinstall.conf en /etc/debian-edu/www/debian-edu-install.dat.local. Nadien moet u de opdracht /usr/sbin/debian-edu-pxeinstall uitvoeren om de aangebrachte aanpassingen effectief te maken.

Bijkomende informatie vindt u in de installatiehandleiding voor Debian.

Om de proxyserver uit te schakelen of diens gedrag aan te passen bij een installatie via PXE, moet u in het bestand tjener:/etc/debian-edu/www/debian-edu-install.dat de regels met mirror/http/proxy, mirror/ftp/proxy en preseed/early_command aanpassen. Om het gebruik van een proxyserver uit te schakelen, zet u een '#' aan het begin van de eerste twee regels en wist u in de laatste regel het gedeelte met de volgende tekst: "export http_proxy="http://webcache:3128"; ".

Sommige instellingen kunnen niet voorgeprogrammeerd worden omdat het installatieprogramma ze al nodig heeft vooraleer het bestand met voorgeprogrammeerde opties opgehaald wordt. Deze instellingen worden geconfigureerd in het bestand /var/lib/tftproot/debian-edu/install.cfg. Taalkeuze, toetsenbordindeling en bureaubladomgeving zijn voorbeelden van zo'n instellingen.

6.4.6. Images op maat

Zelf een installatie-cd, -dvd of -blu-ray-schijf op maat aanmaken hoeft helemaal niet moeilijk te zijn, aangezien we het installatieprogramma van Debian gebruiken met zijn modulair ontwerp en nog andere fijne eigenschappen. In een bestand met voorgeprogrammeerde configuratieopties kunt u de antwoorden meegeven op vragen die u anders tijdens het installatieproces zouden gesteld worden.

Het enige wat u dus moet doen is een bestand met voorgeprogrammeerde configuratieopties maken dat uw antwoorden bevat (hoe u dit doet, wordt uitgelegd in de bijlage bij de installatiehandleiding voor Debian) en uw eigen cd/dvd op maat aanmaken.

6.5. Rondleiding langs enkele schermafdrukken

Een installatie in tekstmodus is functioneel identiek aan een installatie in grafische modus. Ze verschillen enkel van uitzicht. In de grafische modus kunt u de muis gebruiken en natuurlijk ziet die er ook mooier en moderner uit. Tenzij de apparatuur problemen zou geven, is er geen enkele reden om de grafische modus niet te gebruiken.

Hier volgt dus een rondleiding langs enkele schermafdrukken van een 64-bits grafische installatie van Hoofdserver + Werkstation + LTSP-server, van het scherm dat u te zien krijgt als u de hoofdserver voor het eerst opstart, en van het scherm dat u ziet bij het opstarten via PXE van een computer op respectievelijk het netwerk voor werkstations en dat voor LTSP-clients:

01-Installer_64bit_boot_menu.png

02-select_a_language.png

03-select_your_location.png

04-Configure_the_keyboard.png

05-Detect_and_mount_CD-ROM.png

06-Load_installer_components_from_CD.png

07-Detect_network_hardware.png

08-Choose_Debian_Edu_profile.png

09-Really_use_the_automatic_partitioning_tool.png

10-Really_use_the_automatic_partitioning_tool-Yes.png

11-Participate_in_the_package_usage_survey.png

12-Set_up_users_and_passwords.png

12a-Set_up_users_and_passwords.png

12b-Set_up_users_and_passwords.png

12c-Set_up_users_and_passwords.png

12d-Setting-up-the-partitioner.png

13-Install the base system.png

14-Select_and_install_software.png

17-Select_and_install_software.png

18-Build LTSP chroot.png

19-Install_the_GRUB_boot_loader_on_a_hard_disk.png

20-Finish_the_Installation.png

21-Finish_the_Installation-Installation_complete.png

22-Tjener_GRUB_boot_menu.png

KDM-aanmeldscherm op tjener

KDE met browser

Bureaublad van KDE

28-Diskless-WS-GRUB_Boot_menu-PXE.png

Aanmeldscherm op een schijfloos werkstation

KDE Bureaublad en Menu

7. Aan de slag

7.1. Wat u zeker moet doen om aan de slag te kunnen gaan

Tijdens de installatie van de hoofdserver heeft u een eerste gebruikersaccount aangemaakt. In het vervolg zullen we die "de eerste gebruiker" noemen. Het gaat om een speciaal account, omdat deze gebruiker geen account voor Samba kreeg (dat kan via GOsa² alsnog gebeuren), omdat de gebruiksrechten van zijn persoonlijke map ingesteld werden op 700 (daarom moet hij de opdracht chmod o+x ~ geven om zijn persoonlijke webpagina's toegankelijk te maken), en omdat hij de mogelijkheid heeft om via het commando sudo systeembeheerder te worden.

Raadpleeg de informatie over de voor Debian Edu specifieke configuratie van de bestandssysteemtoegang voor u begint met het toevoegen van gebruikers.

De eerste dingen die u als eerste gebruiker te doen staan na de installatie:

  1. Meld u aan bij de server - met het account van systeembeheerder kunt u zich niet aanmelden in een grafische omgeving.

  2. Voeg gebruikers toe met GOsa²

  3. Voeg werkstations toe met GOsa² - een thin client en een schijfloos werkstation kan men zonder deze stap onmiddellijk gebruiken.

Hierna gaan we meer in detail in op het toevoegen van gebruikers en werkstations. Lees dus alstublieft dit hoofdstuk volledig. Het beschrijft hoe u deze onontbeerlijke stappen op een correcte manier kunt zetten, en het behandelt ook nog andere taken die iedereen wellicht zal moeten uitvoeren.

Elders in deze handleiding is hierover meer informatie te vinden: iedereen die vertrouwd is met eerdere uitgaves zou het hoofdstuk Nieuwe functionaliteit in Stretch moeten lezen. En wie van een eerdere versie opwaardeert, moet zeker het hoofdstuk Opwaarderingen lezen.

/!\ Indien het algemeen uitgaand DNS-verkeer voor uw netwerk geblokkeerd wordt en indien u een specifieke DNS-server nodig heeft om internetadressen op te zoeken, dient u de DNS-server de instructie te geven om die server te gebruiken als zijn "afzender" (forwarder). Pas daartoe het bestand /etc/bind/named.conf.options aan en vermeld daarin het IP-adres van de DNS-server die gebruikt moet worden.

Het hoofdstuk HowTo geeft nog meer handige wenken en behandelt ook enkele veel voorkomende vragen.

Het KDE-bureaublad van Debian Edu

7.1.1. De diensten op de hoofdserver

Op de hoofdserver zijn verschillende diensten actief die via een handige webinterface beheerd kunnen worden. Hierna behandelen we elk van deze diensten afzonderlijk.

7.2. Inleiding in GOsa²

GOsa² is een op het web gebaseerd hulpmiddel voor het beheer van een aantal belangrijke onderdelen van uw configuratie van Debian Edu. Met GOsa² doet u het beheer (toevoegen, wijzigen of verwijderen) van de volgende hoofdgroepen:

  • Gebruikersbeheer

  • Het beheer van groepen

  • Het beheer van de NIS Netgroup

  • Het beheer van machines

  • Het DNS-beheer

  • Het DHCP-beheer

Om het programma GOsa² te kunnen gebruiken is de hoofdserver van Skolelinux nodig en een (client)systeem waarop een webbrowser geïnstalleerd staat. Dit kan de hoofdserver zelf zijn indien u hem als een zogenaamde gecombineerde server (hoofdserver + LTSP-server + werkstation) hebt geïnstalleerd. Indien aan de hiervoor vermelde vereisten niet voldaan is, raadpleeg dan de paragraaf Een grafische omgeving installeren op de hoofdserver om GOsa² te kunnen gebruiken.

Geef uw webbrowser het volgende adres (URL) op: https://www/gosa. Dit opent het toegangsscherm voor GOsa². Meld u daar aan als de eerste gebruiker.

  • Indien u een vers geïnstalleerde computer met Debian Edu Stretch gebruikt, zal de browser het certificaat van de site kennen.

  • Anders krijgt u een foutmelding over een ongeldig SSL-certificaat. Indien u er zeker van bent dat u op dat ogenblik de enige gebruiker bent op het netwerk, kunt u de browser gerust opdragen de foutmelding te negeren en het certificaat te accepteren.

Raadpleeg voor algemene informatie over GOsa² het internetadres https://oss.gonicus.de/labs/gosa/wiki/documentation.

7.2.1. Zich aanmelden bij GOsa² en de overzichtspagina

Overzichtspagina van GOsa² na het aanmelden als de eerste gebruiker

Nadat u zich bij GOsa² aangemeld heeft, krijgt u de overzichtspagina van het programma.

Vervolgens kunt u in het menu of via het aanklikken van een icoon op de overzichtspagina een taak kiezen. Voor navigatiedoeleinden raden we u het gebruik aan van het menu aan de linkerkant van het scherm, aangezien dat zichtbaar blijft zolang u met de beheerstaken bezig bent, ongeacht op welke specifieke pagina van GOsa² u zich bevindt.

In Debian Edu wordt informatie over accounts, groepen en systemen opgeslagen in een register van LDAP. Deze gegevens worden niet enkel door de hoofdserver gebruikt, maar ook door de (schijfloze) werkstations, de LTSP-servers en de Windowsmachines op het netwerk. Dankzij LDAP moeten de accountgegevens van studenten, leerkrachten, enz., slechts eenmaal ingevoerd worden. Nadat de gegevens in LDAP ingevoerd zijn, staat die informatie ter beschikking van alle systemen op het volledige Skolelinux-netwerk.

GOsa² is een hulpmiddel voor beheerders dat gebruik maakt van LDAP om informatie op te slaan en in een hiërarchisch opgebouwde departementale structuur te ordenen. Binnen elk "departement" kunt u gebruikersaccounts, groepen, systemen, netgroepen, enzoverder toevoegen. Rekening houdend met de organisatiestructuur van uw instelling, kunt u gebruik maken van het departementaal gestructureerde GOsa²/LDAP om die organisatiestructuur over te nemen in de gegevensboom van LDAP op de hoofdserver van Debian Edu.

Een standaardinstallatie van een hoofdserver van Debian Edu kent momenteel, naast het basale niveau van de LDAP-boomstructuur, twee "departementen": Leerkrachten en Studenten. Het is de bedoeling om de accounts voor studenten in het departement "Studenten" aan te maken en die voor leerkrachten in het departement "Leerkrachten"; systemen (servers, werkstations van Skolelinux, Windowscomputers, printers, enzovoort) horen thuis in het basale niveau van de boomstructuur. U kunt zelf een structuurschema ontwikkelen om deze structuur aan uw eigen behoeften aan te passen. (In het hoofdstuk HowTo/Systeembeheer voor gevorderden van deze handleiding wordt bij wijze van voorbeeld uitgelegd hoe u gebruikers in jaargroepen kunt indelen met voor iedere groep een gemeenschappelijke persoonlijke map.)

Afhankelijk van de taak waaraan u wenst te werken (gebruikersbeheer, groepsbeheer, machinebeheer, enzovoort), zal GOsa² u een aangepast zicht geven op het gekozen departement (of op het basale niveau).

7.3. Gebruikersbeheer met GOsa²

Klik "Gebruikers" aan in het linker navigatiemenu. De rechterzijde van het scherm wijzigt en toont nu een tabel met de mappen "Studenten" en "Leerkrachten" en het account van superbeheerder van GOsa² (de eerste gebruiker). Boven deze tabel ziet u een veld met de naam Basis. Hiermee kunt u navigeren in de boomstructuur (beweeg de muis over die plaats en u krijgt een uitklapmenu) en kunt u een basismap kiezen voor de geplande werkzaamheden (bijvoorbeeld een nieuwe gebruiker toevoegen).

7.3.1. Gebruikers toevoegen

Naast dit navigatie-item uit de boomstructuur ziet u het menu "Acties." Beweeg de muis over dit item en op het scherm wordt een submenu zichtbaar; kies hier "Aanmaken" en vervolgens "Gebruiker." De assistent begeleidt u bij het aanmaken van het gebruikersaccount.

  • De belangrijkste in te voeren gegevens zijn het te gebruiken sjabloon ('nieuwe student' of 'nieuwe leerkracht') en de volledige naam van de nieuwe gebruiker (zie de afbeelding).

  • Terwijl u voortgaat in de assistent, zult u merken dat GOsa² een gebruikersnaam heeft aangemaakt, afgeleid van de echte naam van de gebruiker. Het programma maakte automatisch een gebruikersnaam aan die nog niet in gebruik is. Dit betekent dat meerdere gebruikers met een volledig identieke naam geen enkel probleem vormen voor GOsa². Wees wel attent voor het feit dat GOsa² soms een ongeldige gebruikersnaam aanmaakt in het geval de echte naam niet-ASCII tekens bevat.

  • Indien u niet gelukkig bent met de aangemaakte gebruikersnaam, kunt u in het uitklappend kader een ander voorstel kiezen. Maar u hebt hier in de assistent niet de mogelijkheid om vrij een gebruikersnaam te kiezen (indien u de mogelijkheid wenst te hebben om de voorgestelde gebruikersnaam te bewerken, moet u in een editor het bestand /etc/gosa/gosa.conf openen en de regel allowUIDProposalModification="true" toevoegen als bijkomende optie in de sectie "location definition".)

  • Als u de assistent doorlopen heeft, toont GOsa² u een scherm met de fiche van de nieuwe gebruiker. Gebruik de tabbladen bovenaan om de ingevulde velden na te kijken.

Nadat u de nieuwe gebruiker heeft aangemaakt, klikt u op de knop "Ok" in de rechterbenedenhoek. (Op dit ogenblik moet u zich nog geen zorgen maken over de velden die door de assistent niet ingevuld werden.)

Als laatste stap zal GOsa² u om een wachtwoord voor de nieuwe gebruiker vragen. tik het tweemaal in en klik dan op de knop "Wachtwoord instellen" in de rechterbenedenhoek. /!\ Bepaalde lettertekens kunnen niet toegestaan zijn voor gebruik in een wachtwoord.

Als alles naar behoren verliep, kunt u de nieuwe gebruiker nu zien staan in de tabel die de lijst van gebruikers weergeeft. Vanaf nu is het mogelijk om zich met die gebruikersnaam op uw netwerk aan te melden vanaf elke machine van Skolelinux.

7.3.2. Opzoeken, wijzigen en verwijderen van gebruikers

Filterkader

Om een gebruiker te wissen of zijn gegevens aan te passen, bladert u met GOsa² door de lijst van gebruikers op uw systeem. In het midden van uw scherm kunt u het "Filter"-kader openen. Dit is een zoekinstrument van GOsa². Indien u zich de exacte plaats van de gebruiker binnen uw boomstructuur niet meer herinnert, daalt u af naar het basisniveau van de GOsa²/LDAP boomstructuur en voert u daar de zoekopdracht in met als aangevinkte optie "zoek in sub-bomen".

Als u het "Filter"-kader gebruikt, wordt het resultaat onmiddellijk zichtbaar middenin de tekst met de uitdraai van de tabel. Iedere regel stelt een gebruikersaccount voor en de meest rechtse items op iedere regel zijn kleine icoontjes die mogelijke acties symboliseren: de regel knippen, de regel kopiëren, de gegevens van deze gebruiker bewerken, het account blokkeren, een wachtwoord instellen, een momentopname maken (kan niet gebruikt worden) en de gebruiker verwijderen.

U krijgt een nieuw scherm, waarin u de informatie over de gebruiker rechtstreeks kunt bewerken, zijn wachtwoord kunt wijzigen en wijzigingen kunt aanbrengen in de lijst van groepen waarvan hij lid is,

Gebruikersgegevens bewerken

7.3.3. Wachtwoorden instellen

Studenten kunnen hun eigen wachtwoord wijzigen door zich met hun eigen gebruikersnaam bij GOsa² aan te melden. Om de toegang tot GOsa² te vergemakkelijken is een item Gosa te vinden in het menu Systeem (of Systeeminstellingen) van het bureaublad. Een aangemelde student krijgt een heel minimale versie van GOsa² te zien, die hem enkel toegang verschaft tot de gegevens betreffende zijn eigen account en tot het dialoogvenster wachtwoord instellen.

Leerkrachten die zich met hun eigen account aanmelden bij GOsa² hebben bijzondere rechten. Ze krijgen een meer uitgebreide versie van GOsa² te zien en kunnen het wachtwoord van alle studenten wijzigen. Dit kan erg handig zijn tijdens de les.

Als beheerder een nieuw wachtwoord instellen voor een gebruiker

  1. zoek, zoals hiervoor uitgelegd, de gebruiker op wiens wachtwoord gewijzigd moet worden

  2. op het einde van de regel waarin u de gebruikersnaam terugvindt, klikt u op het symbool van de sleutel

  3. op het scherm dat daarop verschijnt, kunt u een nieuw door uzelf gekozen wachtwoord instellen

Een gebruikerswachtwoord aanmaken

Wees u bewust van de mogelijke veiligheidsrisico's bij het gebruiken van gemakkelijk te raden wachtwoorden!

7.3.4. Geavanceerd gebruikersbeheer

Met GOsa² is het mogelijk om in een keer een heleboel gebruikersaccounts aan te maken door middel van een CSV-bestand, dat u kunt aanmaken met behulp van elk goed rekenbladprogramma (bijvoorbeeld localc). De gegevens van minstens de volgende velden moeten ingevuld worden: gebruikersidentificatie (uid), familienaam (sn), voornaam (givenName) en wachtwoord. Draag er zorg voor dat er geen uid-velden zijn met identieke inhoud. Daarbij moet u ook rekening houden met de inhoud van de reeds in LDAP aanwezige uid-velden (een overzicht daarvan kunt u krijgen door aan de commandolijn de opdracht getent passwd | grep tjener/home | cut -d":" -f1 in te geven).

Zo een CSV-bestand moet het volgende formaat hebben (wat dat betreft gedraagt GOsa² zich niet echt tolerant):

  • Gebruik "," als scheidingsteken tussen velden

  • Gebruik geen aanhalingstekens

  • Het CSV-bestand mag geen kopregel bevatten (waarin gewoonlijk de kolomnamen staan)

  • De volgorde van de velden heeft geen belang. De velden kunnen gedefinieerd worden op het ogenblik dat u de gegevens in GOsa² importeert

Het importeren omvat volgende stappen:

  1. klik in het linkernavigatiemenu op de link naar "LDAP-beheer"

  2. klik in het rechterscherm op het tabblad "importeren"

  3. blader door uw lokale harde schijf en selecteer het CSV-bestand met de lijst van te importeren gebruikers

  4. kies uit de beschikbare sjablonen datgene wat bij het importeren gebruikt moet worden (bijvoorbeeld 'Nieuwe Leerkracht' of 'Nieuwe Student')

  5. klik in de rechterbenedenhoek op de knop "importeren"

U doet er goed aan eerst een test te doen met een CSV-bestand waarmee u enkele fictieve gebruikers aanmaakt, die u nadien terug kunt verwijderen.

7.4. Het beheer van groepen met GOsa²

een groep aanmaken

een groep aanmaken

Het beheer van groepen is erg vergelijkbaar met het beheer van gebruikers.

Per groep kunt u een naam en een omschrijving ingeven. Zorg ervoor om in de LDAP-boom het juiste niveau te kiezen wanneer u een nieuwe groep aanmaakt.

Standaard wordt de bijbehorende Samba-groep niet aangemaakt. Indien u bij het aanmaken van een nieuwe groep vergat om de optie Sambagroep aan te kruisen, kunt u dat later voor die groep nog aanpassen.

Om gebruikers toe te voegen aan een nieuw aangemaakte groep, moet u terugkeren naar de lijst van gebruikers. Daar zult u naar alle waarschijnlijkheid het filterkader gebruiken om gebruikers te selecteren. Let ook op het niveau binnen de LDAP-boom.

Groepen aangemaakt met groepsbeheer, zijn reguliere unix-groepen. U kunt ze dus ook gebruiken voor het beheer van bestandsrechten.

7.4.1. Groepsbeheer aan de commandolijn

# Toon de lijst van bestaande UNIX-groepen en de overeenkomstige Windowsgroepen.
net groupmap list

# Voeg uw nieuwe groepen of andere ontbrekende groepen toe:
net groupmap add unixgroup=NIEUWE_GROEP type=domain ntgroup="NIEUWE_GROEP"\
                 comment="BESCHRIJVING VAN DE NIEUWE_GROEP"

7.5. Het beheer van machines met GOsa²

Via het beheer van machines kunt u in uw netwerk van Debian Edu gewoonweg alle met het netwerk verbonden apparaten beheren. Elke machine die u met GOsa² toevoegt aan het register van LDAP heeft een naam, een IP-adres, een MAC-adres en een domeinnaam (gewoonlijk is dat "intern"). Voor een meer volledige beschrijving van de architectuur van het netwerk van Debian Edu, verwijzen we naar het hoofdstuk architectuur in deze handleiding.

Schijfloze werkstations en thin-clients zijn onmiddellijk klaar voor gebruik nadat u ze aan het hoofdnetwerk aangekoppeld heeft. Enkel werkstations met harde schijf moeten met GOsa² toegevoegd worden aan het register, maar u kunt ook alle machines toevoegen.

Om een machine toe te voegen, gebruikt u het hoofdmenu van GOsa² en daarin kiest u achtereenvolgens systeem, toevoegen. U kunt een IP-adres/computernaam gebruiken uit het vooraf geconfigureerde adresbereik 10.0.0.0/8. Momenteel gebruiken we slechts twee vooraf gedefinieerde vaste adressen: 10.0.2.2 (tjener) en 10.0.0.1 (gateway). Het adresbereik van 10.0.16.20 tot 10.0.31.254 (ruwweg het bereik 10.0.16.0/20 of 4000 computers) zijn gereserveerd voor DHCP en worden dynamisch toegewezen.

Om een apparaat met een MAC-adres 52:54:00:12:34:10 in GOsa² een vast IP-adres toe te kennen, moet u het MAC-adres ingeven, evenals de computernaam en het IP-adres. U kunt ook de knop IP voorstellen aanklikken, waarop u het eerste vrije adres in het bereik 10.0.0.0/8 voorgesteld wordt. Voor de eerste machine die u op deze wijze toevoegt, zal dat hoogstwaarschijnlijk 10.0.0.2 zijn. Het is goed om u eerst een idee te vormen over uw netwerk. U kunt bijvoorbeeld het bereik 10.0.0.x met x>10 en x<50 voorbehouden voor servers, en x>100 voor werkstations. Vergeet niet het zopas toegevoegde apparaat te activeren. Met uitzondering van de hoofdserver zal het programma aan alle apparaten een passend icoon koppelen.

Als de machines opgestart werden als thin-clients of schijfloze werkstations of geïnstalleerd werden met een van de netwerkprofielen, kunt u het script sitesummary2ldapdhcp gebruiken om deze machines automatisch in GOsa² in te voeren. voor eenvoudige machines werkt dit vanzelf. Voor machines met meer dan een mac-adres moet dat wat daadwerkelijk gebruikt wordt, gekozen worden. De opdracht sitesummary2ldapdhcp -h toont informatie over het gebruik. Merk op dat de IP-adressen die u te zien krijgt na het gebruik van sitesummary2ldapdhcp, binnen het bereik van de dynamische IP-adressen vallen. Nadien kunt u evenwel deze systemen aanpassen om ze beter te doen aansluiten bij de behoeften van uw netwerk: u kunt ze zo nodig hernoemen, u kunt DHCP en DNS activeren en u kunt ze desgewenst aan netgroepen toevoegen. Nadien moet u het systeem herstarten. De volgende schermafdrukken tonen hoe dit eruit ziet in de praktijk:

root@tjener:~# sitesummary2ldapdhcp -a -i ether-00:04:76:d3:28:b7 -t workstations
info: Create GOsa machine for auto-mac-00-04-76-d3-28-b7.intern [10.0.16.21] id ether-00:04:76:d3:28:b7.

Enter password if you want to activate these changes, and ^c to abort.

Connecting to LDAP as cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no
enter password: 

Een lijst van systemen in GOsa²

Meer bijzonderheden over een systeem

Aanpassingen aan een systeem

Een netgroep toevoegen

Elk uur wordt een cronjob uitgevoerd om de DNS-informatie te actualiseren. Het commando su -c ldap2bind laat u toe om zelf de actualisering uit te lokken.

7.5.1. Machines zoeken en verwijderen

Machines zoeken en verwijderen gelijkt erg op gebruikers zoeken en verwijderen, zodat het niet nodig is om hier nogmaals op in te gaan.

7.5.2. Bestaande machines wijzigen / Beheer van netgroepen

Nadat u met behulp van GOsa² een machine hebt ingevoerd in de boomstructuur van LDAP, kunt u de kenmerken ervan wijzigen. U gebruikt daarvoor de zoekfunctie en klikt vervolgens op de naam van de machine (net zoals u bij gebruikers zou doen).

Het model dat voor de registratie van systemen gebruikt wordt, is gelijkaardig aan dat voor het bewerken van kenmerken van gebruikers, wat u reeds kent. Alleen hebben de velden in deze context een andere betekenis.

Een machine toevoegen aan een Netgroep (NetGroup) bijvoorbeeld, verandert voor die machine of voor de gebruikers die er zich op aanmelden, niets aan hun rechten op toegang tot bestanden en aan hun permissie om bepaalde opdrachten uit te voeren. Het legt daarentegen beperkingen op met betrekking tot de diensten die deze machine op de hoofdserver kan aanspreken.

De volgende NetGroups (netgroepen) worden aangemaakt door de standaardinstallatie

  • cups-queue-autoflush-hosts

  • cups-queue-autoreenable-hosts

  • fsautoresize-hosts

  • ltsp-server-hosts

  • netblock-hosts

  • printer-hosts

  • server-hosts

  • shutdown-at-night-hosts

  • winstation-hosts

  • workstation-hosts

Momenteel gebruiken we deze NetGroup-functionaliteit voor

  • NFS.

    • De persoonlijke mappen worden door de hoofdserver geëxporteerd, zodat werkstations en LTSP-servers ze kunnen aankoppelen. Om veiligheidsredenen kunnen enkel computers die lid zijn van de Netgroepen workstation-hosts, ltsp-server-hosts of server-hosts de via NFS geëxporteerde mappen aankoppelen. Het is dus erg belangrijk om eraan te denken dit soort machines met behulp van GOsa² op een passende wijze een plaats te geven binnen de LDAP-boomstructuur en hen zodanig te configureren dat ze door LDAP een statisch IP-adres toegewezen krijgen.

      /!\ Denk eraan om werkstations en LTSP-servers juist te configureren met behulp van GOsa², anders zullen gebruikers geen toegang kunnen krijgen tot hun persoonlijke map. Omdat schijfloze werkstations en thin-clients geen gebruik maken van NFS, is het niet nodig om deze te configureren.

  • fs-autoresize

    • Bij plaatsgebrek wordt de grootte van LVM-partities automatisch aangepast voor machines van Debian Edu die tot deze groep behoren.

  • shutdown at night

    • Machines van Debian Edu die tot deze groep behoren, zullen 's nachts automatisch uitgezet worden om energie te besparen.

  • CUPS (cups-queue-autoflush-hosts en cups-queue-autoreenable-hosts)

    • Machines van Debian Edu die tot deze groepen behoren maken iedere nacht automatisch alle printerwachtrijen leeg en herstellen ieder uur de onklaar geraakte printerwachtrijen.

  • netblock-hosts

    • Machines van Debian Edu die tot deze groep behoren, krijgen enkel de toelating om verbinding te maken met machines op het lokale netwerk. Tijdens examens kan deze functionaliteit nuttig zijn in combinatie met restricties van de web-proxyserver.

Een ander belangrijk aspect van het configureren van machines, is de optie 'Samba host' (in het gebied 'Host information'). Indien u van plan bent om bestaande Windowscomputers toe te voegen aan het Sambadomein van Skolelinux, dan moet u die Windowscomputer invoegen in de boomstructuur van LDAP en deze optie activeren, anders kan die Windowscomputer niet toegevoegd worden aan het Sambadomein. Raadpleeg het hoofdstuk HowTo/NetwerkClients van deze handleiding voor meer informatie over het toevoegen van Windowscomputers aan het netwerk van Skolelinux.

8. Printerbeheer

Voor het printerbeheer gaat u met uw webbrowser naar het adres https://www:631. Dit is de normale interface voor het beheer van CUPS. Hiermee kunt u printers toevoegen/verwijderen/wijzigen en de printerwachtrijen opschonen. Standaard mag enkel de systeembeheerder deze taken uitvoeren, maar dit kan bijgesteld worden. Open daarvoor /etc/cups/cups-files.conf met een editor en voeg op de regel met SystemGroup lpadmin een of meer geldige groepen toe, afhankelijk van uw lokale beleidskeuzes. Bestaande GOsa²-groepen die hier gebruikt zouden kunnen worden, zijn gosa-admins en printer-admins (van beide is de eerste gebruiker lid), leerkrachten en jradmins (waarvan na een installatie nog niemand lid is).

9. Kloksynchronisatie

Debian Edu staat standaard ingesteld op het synchroon houden van de klok van alle machines op het netwerk. Maar dit houdt niet noodzakelijk in dat de tijd ook juist is. Om de tijd te actualiseren wordt NTP gebruikt. Standaard worden de klokken gesynchroniseerd met een externe tijdsbron. Dit kan er toe leiden dat machines de internetverbinding die ze daarvoor geopend hebben, blijven open houden.

/!\ Indien u een inbelverbinding of een ISDN-verbinding gebruikt en per minuut betaalt, moet u deze standaardinstelling aanpassen.

Om synchronisatie met een externe klok uit te schakelen, moet u op de hoofdserver, op alle clients en op alle LTSP-chroots het bestand /etc/ntp.conf aanpassen. Plaats een commentaarteken ("#") voor de server-items. Nadien moet u de NTP-server herstarten door als systeembeheerder de opdracht /etc/init.d/ntp restart te geven. Om te weten of een machine tijdsinformatie opvraagt bij een externe klok, gebruikt u de opdracht ntpq -c lpeer.

10. Volle partities groter maken

Ten gevolge van een mogelijke bug in de automatische schijfindeling, kunnen sommige partities te vol zijn na installatie. Om die partities groter te maken, gebruikt u als systeembeheerder het commando debian-edu-fsautoresize -n. Raadpleeg voor bijkomende informatie de HowTo "De grootte van partities aanpassen" in het hoofdstuk Systeembeheer HowTo.

11. Onderhoud

11.1. Programmatuur bijwerken

Deze paragraaf legt het gebruik van apt-get upgrade uit.

Het gebruik van apt-get is echt eenvoudig. Om een systeem bij te werken geeft u als systeembeheerder aan de commandolijn twee opdrachten: apt-get update (om de lijst van beschikbare pakketten bij te werken) en apt-get upgrade (om pakketten waarvoor een nieuwere versie beschikbaar is, op te waarderen).

Debian Edu gebruikt libpam-tmpdir om voor iedere gebruiker een aparte map TMP aan te maken. Daarom wordt het aanbevolen om apt-get uit te voeren zonder dat in de LTSP-chroot aan de variabelen TMP en TMPDIR een waarde toegekend werd. Het is ook zinvol om tijdens het proces van opwaarderen het taalgebied in te stellen op C, wat voor een gekende uitvoer in een gekende volgorde zorgt, al moet gezegd worden dat het eigenlijk als een fout in het pakket aanzien wordt, mocht dit echt aanleiding geven tot een verschil in uitvoer.

LC_ALL=C apt-get update ; LC_ALL=C TMP= TMPDIR= ltsp-chroot apt-get update
LC_ALL=C apt-get upgrade -y
LC_ALL=C TMP= TMPDIR= ltsp-chroot -p apt-get upgrade -y
ltsp-update-kernels # In het geval er een nieuwere kernel geïnstalleerd werd

/!\ Het is belangrijk om ltsp-update-kernels uit te voeren in het geval er een nieuwere kernel geïnstalleerd werd in de LTSP-chroot, om op die manier de kernel en de kernelmodules gesynchroniseerd te houden. Wanneer een machine over PXE opstart, krijgt ze haar kernel aangeboden via TFTP, terwijl de kernelmodules uit de LTSP-chroot geladen worden.

/!\ Voer het commando ltsp-update-image uit om de NBD-image(s) opnieuw te genereren.

U doet er ook goed aan om cron-apt en apt-listchanges te installeren en ze zo te configureren dat ze e-mail verzenden naar een adres waarvan u de berichten regelmatig leest.

Eens per dag zal cron-apt u via e-mail inlichten over pakketten die opgewaardeerd kunnen worden. Het waardeert ze niet zelf op, maar gaat ze wel zelf ophalen (meestal 's nachts). Zo moet u niet wachten tot ze opgehaald zijn wanneer u de opdracht apt-get upgrade uitvoert.

Indien u dit verkiest, kunt u het systeem gemakkelijk zelf automatisch de nodige opwaarderingen laten uitvoeren. Daarvoor dient u enkel het pakket unattended-upgrades te configureren, zoals uiteengezet wordt in wiki.debian.org/UnattendedUpgrades. Bij nieuwe installaties wordt het uitvoeren van veiligheidsupdates automatisch ingesteld.

Het pakket apt-listchanges kan u via e-mail de toevoegingen aan het logboek changelog opsturen, of ze u anders in het terminalvenster tonen bij het uitvoeren van de opdracht aptitude of apt-get.

11.1.1. Op de hoogte blijven van beveiligingsbijwerkingen

Het uitvoeren van cron-apt zoals hiervoor uitgelegd, is een goede manier om op de hoogte te blijven van beschikbare beveiligingsbijwerkingen voor op het systeem geïnstalleerde pakketten. Een andere manier om daarover op de hoogte te blijven is zich abonneren op de verzendlijst Debian security-announce. Dit heeft het voordeel dat u ook weet wat de beveiligingsbijwerking precies inhoudt. Het nadeel (vergeleken met cron-apt) is, dat u ook geïnformeerd wordt over bijwerkingen voor pakketten die niet geïnstalleerd zijn op uw systeem.

11.2. Reservekopieën beheren

Voor het beheer van reservekopieën gaat u met de browser naar het adres https://www/slbackup-php. Denk eraan om een SSL-verbinding te gebruiken voor deze site, want er zal u om het beheerderswachtwoord gevraagd worden. Een verbinding tot stand brengen met dat adres zonder gebruik te maken van SSL lukt niet. Noot: de site zal enkel functioneren als u tijdelijk toelaat dat de systeembeheerder zich op de server voor reservekopieën (standaard is dat tjener) aanmeldt met SSL.

Standaard bewaart tjener een reservekopie van /skole/tjener/home0, /etc/, /root/.svk en LDAP in de map /skole/backup van het LVM-bestandssysteem. Indien u genoeg heeft aan een reservekopie van die bestanden (voor het geval u er een zou wissen), dan sluit deze standaardinstelling aan bij uw behoeften.

/!\ U dient te beseffen dat dit model van reservekopieën maken geen bescherming biedt tegen gegevensverlies ten gevolge van een kapotte harde schijf.

Indien u de reservekopieën wilt bewaren op een externe server, op een bandstation (tape drive) of op een andere harde schijf, dan moet u de bestaande configuratie wat aanpassen.

Indien u ineens een hele map wilt terugzetten, dan gebruikt u best de volgende opdracht aan de commandolijn:

$ sudo rdiff-backup -r <date>  \
   /skole/backup/tjener/skole/tjener/home0/user \
   /skole/tjener/home0/user_<date>

Dit plaatst de inhoud van /skole/tjener/home0/user van <date> in de map /skole/tjener/home0/user_<date>.

Indien u slechts één enkel bestand wenst terug te zetten, dan kunt u dat bestand (in de passende versie) met behulp van de webinterface selecteren en terughalen.

Indien u oudere reservekopieën wenst te wissen, kies dan in het menu op de webpagina van de back-updienst het item "Onderhoud." Geef vervolgens op welke de oudste back-up is die u wenst te behouden:

Beheer van slbackup-php

11.3. Servers opvolgen

11.3.1. Munin

Munin, het systeem voor het opvolgen van tendensen, bevindt zich op het webadres https://www/munin/. Het geeft meetresultaten weer in verband met de toestand van het systeem, opgemaakt per dag, per week, per maand, of op jaarbasis. Het biedt de systeembeheerder ook hulp bij het zoeken naar de oorzaak van knelpunten of problemen in het systeem.

Een lijst van machines die opgevolgd worden met Munin wordt automatisch gegenereerd op basis van de lijst van computers die rapporteren aan sitesummary. Alle computers waarop het pakket munin-node geïnstalleerd werd, worden opgenomen in het opvolgingssysteem van Munin. Normaal gezien verloopt er een dag tussen de installatie van een machine en het moment waarop de opvolging ervan door Munin begint. Dit houdt verband met de volgorde waarin crontaken uitgevoerd worden. Om dit proces te versnellen geeft u op de sitesummary-server (gewoonlijk de hoofdserver) als systeembeheerder de opdracht sitesummary-update-munin. Daardoor wordt het bestand /etc/munin/munin.conf geactualiseerd.

Welk geheel van metingen uitgevoerd moet worden, wordt op elke machine automatisch gegenereerd met het programma munin-node-configure, dat nagaat welke plug-ins er in /usr/share/munin/plugins/ aanwezig zijn en dan in /etc/munin/plugins/ een symbolische koppeling maakt naar die welke relevant zijn.

Meer informatie over Munin is te vinden op http://munin-monitoring.org/.

11.3.2. Icinga

Icinga, een gereedschap voor het opvolgen van diensten en systemen, is te vinden op https://www/icinga/. Welke machines en diensten opgevolgd worden, wordt automatisch gegenereerd op basis van de informatie die door het sitesummary-systeem verzameld wordt. Machines met het profiel Hoofdserver of LTSP-server krijgen een volledige opvolging. Werkstations en thin clients krijgen een gereduceerde opvolging. Om voor een bepaald werkstation een volledige opvolging mogelijk te maken moet u er het pakket nagios-nrpe-server op installeren.

De gebruikersnaam is icingaadmin en het wachtwoord is standaard ingesteld op skolelinux. Tracht uit veiligheidsoverwegingen te vermijden om hetzelfde wachtwoord te gebruiken als voor de systeembeheerder. Om het wachtwoord te wijzigen, geeft u als systeembeheerder de volgende opdracht:

htpasswd /etc/icinga/htpasswd.users icingaadmin

Standaard zal Icinga geen e-mailberichten versturen. Dit kan veranderd worden door in het bestand /etc/icinga/sitesummary-template-contacts.cfg de tekst notify-by-nothing te vervangen door host-notify-by-email en notify-by-email.

Het configuratiebestand van Icinga is /etc/icinga/sitesummary.cfg. De crontaak sitesummary genereert het bestand /var/lib/sitesummary/icinga-generated.cfg dat een lijst bevat van op te volgen machines en diensten.

Bijkomende controles die moeten uitgevoerd worden door Icinga, kunt u toevoegen aan het bestand /var/lib/sitesummary/icinga-generated.cfg.post, zodat ze ook toegevoegd worden aan het gegenereerde bestand.

Informatie over Icinga vindt u op http://www.icinga.com/ of in het pakket icinga-doc.

11.3.2.1. Gebruikelijke waarschuwingen door Icinga en hoe ermee om te gaan

Hier volgen instructies voor de manier waarop u met de meest voorkomende waarschuwingen van Icinga moet omgaan.

11.3.2.1.1. DISK CRITICAL - free space: /usr 309 MB (5% inode=47%):

De partitie (/usr/ in het geval van het voorbeeld) is te vol. In het algemeen zijn er twee mogelijkheden om hiermee om te gaan: (1) een aantal bestanden wissen, of (2) de partitie groter maken. Indien het de partitie /var/ betreft, kunt u een aantal bestanden wissen door de cache van APT leeg te maken. Hiervoor gebruikt u de opdracht apt-get clean. Indien er nog ruimte beschikbaar is in de groep van schijven die door LVM beheerd worden, kunt u grotere partities bekomen met het programma debian-edu-fsautoresize. Om er voor te zorgen dat dit programma ieder uur automatisch uitgevoerd wordt, voegt u de computer in kwestie toe aan de netgroep fsautoresize-hosts.

11.3.2.1.2. APT CRITICAL: 13 packages available for upgrade (13 critical updates).

Er zijn nieuwe pakketten voor opwaardering beschikbaar. De cruciale daarvan zijn meestal beveiligingsbijwerkingen. Om de opwaardering door te voeren geeft u in een terminalvenster als systeembeheerder de opdracht 'apt-get upgrade && apt-get dist-upgrade. U kunt zich ook via ssh aanmelden en vervolgens dezelfde opdracht geven. Bij LTSP-servers moet u eveneens de LTSP-chroot bijwerken met behulp van de opdracht ltsp-chroot apt-get update && ltsp-chroot apt-get upgrade.

Indien u verkiest om pakketten niet manueel op te waarderen en erop vertrouwt dat Debian goed zal omgaan met nieuwere versies van pakketten, kunt u het pakket unattended-upgrades instellen op het iedere nacht automatisch opwaarderen van alle pakketten met recentere versies. Maar LTSP-chroots worden hiermee niet opgewaardeerd.

Om een LTSP-chroot op te waarderen, gebruikt men de opdracht ltsp-chroot apt-get update && ltsp-chroot apt-get upgrade. Op 64-bitservers voegt u -a i386 als optie toe aan de opdracht ltsp-chroot. Het is een goede gewoonte om ook de chroot bij te werken telkens u de computer zelf bijwerkt.

11.3.2.1.3. WARNING - Reboot required : running kernel = 2.6.32-37.81.0, installed kernel = 2.6.32-38.83.0

De kernel die momenteel gebruikt wordt is ouder dan degene die meest recent geïnstalleerd werd, De computer moet opnieuw opgestart worden om de meest recente kernel te activeren. Gewoonlijk is dit behoorlijk dringend, omdat een nieuwe kernelversie normaal gezien aan Debian Edu toegevoegd wordt om bepaalde beveiligingsproblemen op te lossen.

11.3.2.1.4. WARNING: CUPS queue size - 61

Er staan een hoop printeropdrachten te wachten in de wachtrij van CUPS. Een niet beschikbare printer Is meestal de oorzaak. Onklaar geraakte printerwachtrijen worden ieder uur opnieuw in gebruik gesteld op computers die lid zijn van de netgroep cups-queue-autoreenable-hosts. Voor die computers is normaal gesproken geen manuele tussenkomst vereist, Op computers die lid zijn van de netgroep cups-queue-autoflush-hosts worden printerwachtrijen iedere nacht leeggemaakt. Het is het overwegen waard om een computer met een lange printerwachtrij aan een van beide groepen toe te voegen.

11.3.3. Sitesummary

Sitesummary wordt gebruikt om de informatie die op iedere computer verzameld wordt, naar de hoofdserver te sturen. De verzamelde informatie staat in /var/lib/sitesummary/entries/. Met de scripts in /usr/lib/sitesummary/ kunnen rapporten opgemaakt worden.

Een eenvoudig rapport van sitesummary zonder details kan geraadpleegd worden op https://www/sitesummary/.

Documentatie over sitesummary is te vinden op http://wiki.debian.org/DebianEdu/HowTo/SiteSummary.

11.4. Bijkomende informatie over het aanpassen van Debian Edu

Systeembeheerders kunnen nuttige bijkomende informatie over het aanpassen van Debian Edu vinden in het hoofdstuk Howto/Systeembeheer en in het hoofdstuk Howto/Systeembeheer voor gevorderden.

12. Opwaarderingen

/!\ Een belangrijke waarschuwing voor u begint met het lezen van deze handleiding bij opwaarderingen: ogenblikkelijke bijwerkingen aan productieservers voert u volledig op eigen risico uit. Debian Edu/Skolelinux wordt u geleverd met ABSOLUUT GEEN ENKELE GARANTIE, voor zover dit toegestaan is binnen de van toepassing zijnde wetgeving.

Gelieve dit hoofdstuk en het hoofdstuk Nieuwe functionaliteit in Stretch in deze handleiding eerst helemaal te lezen alvorens aan een poging tot opwaarderen te beginnen.

12.1. Algemene opmerkingen over opwaarderingen

Meestal verloopt het opwaarderen van een uitgave naar de volgende redelijk gemakkelijk. Jammer genoeg is dit bij Debian Edu nog niet het geval, omdat we configuratiebestanden aanpassen op een manier die eigenlijk niet aangewezenis. (Meer informatie vindt u in het bugrapport nummer 311188 van Debian.) Toch blijft opwaarderen wel mogelijk, maar het vraagt wat werk.

Algemeen gesproken is het opwaarderen van servers moeilijker dan het opwaarderen van werkstations en het opwaarderen van de hoofdserver is het moeilijkst. Bij schijfloze machines is het echt gemakkelijk, omdat hun chroot-omgeving gewist en opnieuw aangemaakt kan worden voor zover u ze niet gewijzigd heeft. Indien dit toch het geval is, blijft een opwaardering nog altijd relatief gemakkelijk uit te voeren, vermits de chroot hoe dan ook in essentie een werkstation-chroot is.

Indien u er zeker van wilt zijn dat na de opwaardering alles nog zal werken als voordien, moet u de opwaardering uittesten op een testsysteem dat u op dezelfde manier geconfigureerd heeft als uw machines die u voor productiedoeleinden gebruikt. Op een testsysteem kunt u de opwaardering zonder enig risico uittesten en zien of alles naar behoren functioneert.

Leest u zeker ook de informatie over de huidige stabiele uitgave van Debian in diens installatiehandleiding.

Het kan ook verstandig zijn om nog even te wachten met opwaarderen en nog een aantal weken de voorlaatste stabiele uitgave (Oldstable) te blijven gebruiken. Anderen kunnen intussen het opwaarderen uittesten en de problemen die ze tegenkomen, documenteren. De voorlaatste stabiele uitgave (Oldstable) van Debian Edu blijven we trouwens ondersteunen gedurende een zekere tijd na het uitbrengen van de daaropvolgende stabiele uitgave (Stable), maar op het ogenblik dat Debian stopt met het ondersteunen van Oldstable, moet Debian Edu noodzakelijkerwijs hetzelfde doen.

12.2. Opwaarderen vanaf Debian Edu Jessie

/!\ Zorg dat u goed voorbereid bent: test zeker eerst een opwaardering vanaf Jessie uit in een testomgeving of hou reservekopieën klaar, zodat u zo nodig naar de oorspronkelijke situatie kunt terugkeren.

Merk op dat de volgende procedure van toepassing is voor een standaardinstallatie van de hoofdserver van Debian Edu (bureaublad=kde, profielen Hoofdserver, Werkstation en LTSP-server). (Raadpleeg voor een algemeen overzicht over het opwaarderen vanuit jessie naar stretch https://www.debian.org/releases/stretch/releasenotes)

Werk niet in een grafische omgeving, gebruik een virtuele console, meld u aan als systeembeheerder (root).

Merk op dat er een verschil is tussen apt en apt-get in Stretch: standaard behoudt apt-get gedownloade pakketten, terwijl apt ze uit de cache verwijdert (na een succesvolle installatie).

Mocht apt afgesloten worden met een foutmelding, probeer die dan te verhelpen en/of voer het commando apt -f install uit en vervolgens nogmaals apt -y full-upgrade.

12.2.1. De hoofdserver opwaarderen

  • Begin met er voor te zorgen dat het huidige systeem up-to-date is:

apt update
apt full-upgrade
  • Ruim de pakketcache op:

apt-get clean
  • Bereid de opwaardering naar Stretch voor en start ze:

# Vooreerst de aanpassing aan de gewijzigde profielnaam doorvoeren:
sed -i 's/Thin-Client-Server/LTSP-Server/' /etc/debian-edu/config
# Vervolgens is het best om de nieuwe standaard spiegelserver te gebruiken:
sed -i 's/http.debian.net/deb.debian.org/g' /etc/apt/sources.list
# Tenslotte moet u jessie door stretch vervangen.
sed -i 's/jessie/stretch/g' /etc/apt/sources.list
apt update
apt full-upgrade
  • apt-list-changes: bereid u erop voor dat u veel NIEWS te lezen zult krijgen; druk op <return> om naar beneden te scrollen, <q> om de weergave (de pager) te verlaten.

  • Lees aandachtig alle informatie van debconf, kies 'behoud de momenteel geïnstalleerde versie' tenzij hieronder anders aangegeven wordt; in de meeste gevallen zal op de return-toets drukken volstaan.

  • U zult een aantal vragen zien in verband met de configuratie van pakketten:

    • icinga-cgi: Geef het beheerderswachtwoord voor icinga (hetzelfde als voor nagios).

    • Enkel in geval er verschillende beeldschermbeheerders geïnstalleerd zijn: display-manager: Kies lightdm.

    • Instellen van Kerberos-authenticatie: Geef kerberos op als hostname (computernaam).

    • Instellen van icinga-common: Use external commands with Icinga (externe commando's gebruiken met Icinga: Kies <Yes>.

    • tftp (etc/inetd.conf): Kies <Yes>. (Zie bug 789667 betreffende atftpd)

    • /etc/default/ldap2zone: Kies Y.

    • /etc/gosa/gosa.conf: Kies N. (Aanvaard nooit een nieuwe versie van gosa.conf!)

  • Stel u in op de naamswijziging van Squid3 naar Squid:

service squid stop          # Dit heeft meestal wat tijd nodig!
rm -rf /var/spool/squid
umount /var/spool/squid3
sed -i 's#spool/squid3#spool/squid#' /etc/fstab
mv /var/spool/squid3 /var/spool/squid
mount -a
rm /etc/squid3 -rf
rm /etc/default/squid3 -rf
  • Pas LDAP aan om voor sudo de volledige unieke domeinnaam (fully qualified domain name - FQDN) te gebruiken:

ldapvi -ZD '(cn=admin)'
(Voer het wachtwoord van root (de systeembeheerder) in.)
Zoek naar 'sudoHost :tjener', vervang 'tjener' met 'tjener.intern'
(Voer 'y' in om de LDAP databank te wijzigen.)
  • Pas de configuratie aan en pas ze toe:

service autofs stop
cfengine-debian-edu -D installation
rm /etc/apache2/conf-enabled/nagios3.conf
a2dismod userdir
ln -s /etc/apache2/mods-available/userdir.load /etc/apache2/mods-available/debian-edu-userdir.load
a2enmod debian-edu-userdir
sed -i 's/udp4/udp/' /etc/inetd.conf   # Debian Bug #789667 (atftpd)
service squid start
service apache2 restart
  • Installeer hernoemde metapakketten:

apt update
apt install education-networked-common
apt install education-ltsp-server      # Enkel indien het profiel 'LTSP-Server' geïnstalleerd is.
  • Haal de vernieuwde grafische vormgeving van Debian Edu Stretch op:

apt install debian-edu-artwork-softwaves
  • Indien het opgewaardeerde systeem niet kan opstarten op qemu/kvm, raadpleeg dan probleemrapport 844446. De architectuur aanpassen van Broadwell naar QEMU kan aan het probleem verhelpen.

  • Na het heropstarten heeft u nog wat extra opruimwerk:

apt purge linux-image-3.16.0-4-amd64 
apt purge debian-edu-artwork-lines     # Enkel indien u het niet als een alternatieve stijl wilt gebruiken.
dpkg -P php5-imagick                   # Mogelijk is niet in alle gevallen het pakket geïnstalleerd.
rm -rf /etc/php5
  • Activeer de anders niet functionerende ondersteuning voor PHP 7.0:

a2enmod php7.0                            
service apache2 restart
  • Ga na of het opgewaardeerde systeem werkt:

Herstart; log in als eerste gebruiker en test

  • of de grafische gebruikersomgeving van GOsa² werkt,

  • of LTSP-clients en werkstations verbinding kunnen maken,

  • of u een systeem kunt toevoegen aan een netgroep en het ook terug kunt verwijderen,

  • of u interne e-mail kunt verzenden en ontvangen,

  • of u printers kunt beheren,

  • en of andere site-specifieke zaken werken.

12.2.2. Een werkstation opwaarderen

Voer alle basiszaken uit net als op de hoofdserver, zonder evenwel die zaken die niet nodig zijn. Doe daarenboven de volgende dingen.

  • Om de verbinding met LDAP mogelijk te maken moet u het server-certificaat vernieuwen:

rm /etc/ldap/ssl/ldap-server-pubkey.pem
service nslcd stop
service fetch-ldap-cert restart
service nslcd start

12.2.3. De LTSP-chroot opwaarderen (standaardarchitectuur i386)

Zorg ervoor dat u over voldoende schijfruimte beschikt. LTSP gebruikt nu Network Block Device (NBD). De grootte van het NBD-imagebestand is ongeveer 4 GiB (standaardinstallatie). Indien het image opgewaardeerd wordt is een extra 4 GiB nodig voor een tijdelijk bestand.

ltsp-chroot -m -a i386 apt update
ltsp-chroot -m -a i386 apt -y full-upgrade
sed -i 's/jessie/stretch/g' /opt/ltsp/i386/etc/apt/sources.list
ltsp-chroot -m -a i386 apt update
ltsp-chroot -m -a i386 apt -y full-upgrade
ltsp-chroot -m -a i386 apt -f install
ltsp-chroot -m -a i386 apt -y full-upgrade
  • Opruimen:

ltsp-chroot -m -a i386 apt --purge autoremove
  • Werk op de server de ondersteuning voor LTSP bij:

ltsp-update-kernels
ltsp-update-sshkeys
ltsp-update-image

Om schijfruimte te besparen kunt u in plaats daarvan ltsp-update-image -n gebruiken; zie man ltsp-update-image.

12.2.4. Een LTSP-chroot opnieuw aanmaken

Op de LTSP-server(s) zou de LTSP-chroot opnieuw aangemaakt kunnen worden. De nieuwe chroot zal nog steeds zowel thin clients als schijfloze werkstations ondersteunen.

Verwijder /opt/ltsp/i386 (of /opt/ltsp/amd64, afhankelijk van uw opstelling). Neem zeker in overweging om eerst een veiligheidskopie te maken als u over voldoende opslagruimte beschikt.

Maak de chroot opnieuw aan door als systeembeheerder (root) de opdracht debian-edu-ltsp --arch i386 (of debian-edu-ltsp --arch amd64) uit te voeren.

12.3. Opwaarderingen van oudere installaties van Debian Edu / Skolelinux (voor Jessie)

Om een opwaardering uit te voeren vanuit een oudere uitgave, moet u eerst opwaarderen naar de uitgave van Debian Edu die gebaseerd is op Jessie. Vervolgens kunt u de hierboven gegeven instructies opvolgen. In de Handleiding voor Debian Edu Jessie vindt u de instructies om naar Jessie op te waarderen vanuit de eerdere uitgave, Wheezy. Op dezelfde manier beschrijft de Wheezy-handleiding hoe u vanuit Squeeze kunt opwaarderen.

13. HowTo

14. HowTo's voor algemeen systeembeheer

De hoofdstukken Aan de slag en Onderhoud beschrijven hoe u aan de slag kunt gaan met Debian Edu en hoe u de eenvoudige onderhoudstaken uitvoert. De howto's uit dit hoofdstuk bevatten een aantal tips en wenken voor "gevorderden."

14.1. De historiek van configuratie-instellingen: wijzigingen in /etc/ opvolgen met behulp van Git, een systeem voor versiebeheer

Met de introductie van etckeeper in Debian Edu Squeeze (eerdere versies gebruikten etcinsvk dat uit Debian verwijderd werd), worden de wijzigingen in al de bestanden uit de map /etc/ opgevolgd met behulp van git, een systeem voor versiebeheer.

Dit maakt het mogelijk om te zien wanneer een bestand toegevoegd werd of gewijzigd of verwijderd. En als het om een tekstbestand gaat, kunt u ook opvolgen wat er precies in gewijzigd werd, De plaats waar git zijn gegevens bewaart is /etc/.git/.

Ieder uur worden alle wijzigingen automatisch opgeslagen. Dit laat toe om de historiek van configuratiebestanden op te halen en te onderzoeken.

Om naar de geschiedenis van veranderingen te kijken, gebruikt men het commando etckeeper vcs log. Om de verschillen tussen twee welbepaalde tijdstippen te onderzoeken, kunt u een opdracht als etckeeper vcs diff gebruiken.

Lees de uitvoer van de opdracht man etckeeper voor meer informatie.

Een lijst van nuttige opdrachten:

etckeeper vcs log
etckeeper vcs status
etckeeper vcs diff
etckeeper vcs add .
etckeeper vcs commit -a
man etckeeper

14.1.1. Voorbeelden uit de praktijk

Om op een recent geïnstalleerd systeem te bekijken welke wijzigingen er doorgevoerd werden sinds de installatie, gebruikt u deze opdracht:

etckeeper vcs log

Om na te gaan welke bestanden momenteel niet opgevolgd worden en welke niet bijgewerkt zijn, gebruikt u de opdracht:

etckeeper vcs status

Om de wijzigingen aan een bestand (resolv.conf in het voorbeeld) manueel vast te leggen, omdat u er geen volledig uur meer op kunt wachten, geeft u de opdracht:

etckeeper vcs commit -a /etc/resolv.conf

14.2. De grootte van partities aanpassen

Behalve de partitie /boot/ zijn alle andere partities LVM logische gegevensdragers. Sinds versie 2.6.10 van de Linuxkernel, is het mogelijk om partities te vergroten terwijl ze aangekoppeld zijn. Om partities kleiner te kunnen maken, moeten ze nog steeds eerst afgekoppeld worden.

Het is aan te raden om geen al te grote partities aan te maken (laten we zeggen groter dan 20 GB), omwille van de tijd die dan nodig is om op hen de opdracht fsck uit te voeren of om een veiligheidskopie terug te zetten mocht het ooit nodig blijken. Indien de mogelijkheid bestaat, is het beter meerdere kleinere partities te maken dan één heel erg grote.

Het script debian-edu-fsautoresize staat ter beschikking als een hulpmiddel om het u gemakkelijker te maken om volle partities uit te breiden. Als het gestart wordt, leest het de configuratie uit de bestanden /usr/share/debian-edu-config/fsautoresizetab, /site/etc/fsautoresizetab en /etc/fsautoresizetab. Het script stelt dan voor om partities met te weinig vrije ruimte uit te breiden overeenkomstig de richtlijnen uit de ingelezen bestanden. Als men het script uitvoert zonder opties, zal het enkel de commando's die nodig zijn om het bestandssysteem uit te breiden, tonen. Het script heeft de optie -n nodig om die commando's ook effectief uit te voeren en de bestandssystemen uit te breiden.

Op elke clientcomputer die opgenomen is in de netgroep fsautoresize-hosts, wordt het script ieder uur automatisch uitgevoerd.

Als de grootte van de partitie die gebruikt wordt door de Squid-proxy, aangepast wordt, moet ook de waarde aangepast worden van de cachegrootte in het bestand etc/squid/squid.conf. Het script /usr/share/debian-edu-config/tools/squid-update-cachedir is een hulpmiddel dat deze taak automatisch kan uitvoeren. Het gaat na wat de actuele grootte is van de partitie/var/spool/squid/ en stelt Squid in om 80% van die ruimte voor zijn cache te gebruiken.

14.2.1. Het beheer van logische gegevensdragers

Het systeem van "Logical Volume Management" (LVM) laat toe om de grootte van partities aan te passen terwijl ze aangekoppeld en in gebruik zijn. U kunt meer te weten komen over LVM op de webpagina LVM HowTo.

Om een logische gegevensdrager manueel groter te maken, moet u gewoon aan de opdracht lvextend laten weten welke grootte u wenst. Om bijvoorbeeld de grootte van home0 uit te breiden tot 30 GB gebruikt u de volgende commando's:

lvextend -L30G /dev/vg_system/skole+tjener+home0
resize2fs /dev/vg_system/skole+tjener+home0

Om aan home0 30 GB extra toe te wijzen, voegt u een '+' toe (-L+30G)

14.3. Op de hoofdserver een grafische omgeving installeren om GOsa² te gebruiken

Indien u (misschien onbedoeld) een zuiver hoofdserver-profiel geïnstalleerd heeft en niet onmiddellijk een clientcomputer met een webbrowser bij de hand hebt, kunt u er gemakkelijk een minimale bureaubladomgeving op installeren. Als eerste gebruiker (de gebruiker die u aanmaakte tijdens de installatie van de hoofdserver) geeft u daartoe aan de commandolijn in een (niet-grafische) shell de volgende reeks opdrachten:

  $ sudo apt-get update
  $ sudo apt-get install gnome-session gnome-terminal firefox-esr xorg
  # na de installatie een grafische sessie voor de eerste gebruiker opstarten 
  $ startx

14.4. Het gebruik van ldapvi

ldapvi is een hulpmiddel om aan de commandolijn met een gewone teksteditor de database van LDAP te bewerken.

U moet de volgende opdracht geven:

ldapvi --ldap-conf -ZD '(cn=admin)'

Merk op dat ldapvi de editor zal gebruiken die op het systeem ingesteld staat als standaardeditor. Door vooraf aan de prompt van de shell de opdracht export EDITOR=vim uit te voeren, configureert men zijn eigen werkomgeving zodanig dat men een kloon van vi als editor kan gebruiken.

Om met behulp van ldapvi een LDAP-object toe te voegen, gebruikt u het volgnummer van het object en laat u de tekenreeks add voorafgaan aan het nieuwe LDAP-object.

/!\ Wees gewaarschuwd: ldapvi is een zeer krachtig hulpmiddel. Wees voorzichtig en draag er zorg voor om geen puinhoop te maken van de LDAP-database. Eenzelfde waarschuwing is ook op zijn plaats voor JXplorer.

14.5. JXplorer, een grafische gebruikersinterface voor LDAP

Indien u een grafische gebruikersinterface verkiest om met de database van LDAP te werken, probeer dan eens het pakket jxplorer uit, dat standaard geïnstalleerd wordt. Om met schrijfrechten toegang te krijgen, maakt u als volgt de verbinding:

host: ldap.intern
port:636
Base dn:dc=skole,dc=skolelinux,dc=no 
Security level: ssl + user + password
User dn: cn=admin,ou=ldap-access

Klik "Enkel voor deze sessie" aan bij de vraag naar het certificaat.

14.6. ldap-createuser-krb, een hulpmiddel voor aan de commandolijn

ldap-createuser-krb is een klein hulpmiddeltje dat aan de commandolijn gebruikt kan worden om LDAP-gebruikers en hun wachtwoord aan te maken in Kerberos. Het is echter vooral nuttig voor testdoeleinden.

14.7. Het gebruik van 'stable-updates'

Sinds de uitgave van Squeeze in 2011, heeft Debian de pakketten die voordien onderhouden werden in volatile.debian.org, toegevoegd aan de stable-updates suite.

Hoewel u rechtstreeks gebruik kunt maken van stable-updates, is dit niet strikt noodzakelijk. Op gezette tijden, namelijk telkens bij het uitbrengen van een actualisering (een zogenaamde point release) van de stabiele uitgave, wat ruwweg om de twee maanden gebeurt, worden de pakketten uit stable-updates naar de suite van de stabiele uitgave verplaatst.

14.8. Meer recente programmatuur installeren met backports

U gebruikt Debian Edu omdat u de stabiliteit ervan waardeert. Het werkt fantastisch. Er is alleen een klein probleem: soms is bepaalde programmatuur wat meer verouderd dan u het zou wensen. Dat is het punt waarop backports.debian.org in beeld komt.

Backports zijn pakketten uit de testsuite (meestal) of de onstabiele suite (in enkele gevallen, zoals beveiligingsbijwerkingen) van Debian die opnieuw gecompileerd werden, zodat ze ook kunnen werken binnen een stabiele versie van Debian, zoals Debian Edu, en zonder gebruik te maken van nieuwere bibliotheken (in de mate van het mogelijke). We raden u aan om enkel die paar backports te installeren die echt bij uw behoeften aansluiten en niet alle backports die beschikbaar zijn.

Backports gebruiken is zeer eenvoudig:

echo "deb http://deb.debian.org/debian/ stretch-backports main" >> /etc/apt/sources.list
apt-get update

Nadien is het zeer eenvoudig om pakketten uit backports te installeren. Met het volgende commando installeert u de versie van tuxtype uit backports:

apt-get install -t stretch-backports tuxtype

Pakketten uit backports worden net als andere pakketten automatisch geüpdatet (als er een update beschikbaar is). Zoals het gewone archief, bestaat ook backports uit drie secties: main, contrib en non-free.

14.9. Opwaarderen met behulp van een cd of een gelijksoortig image

Indien u wenst op te waarderen van een versie naar een andere (bijvoorbeeld van Stretch 9.1+edu0 naar 9.3+edu1), maar geen internettoegang heeft en enkel over fysieke media beschikt, gaat u als volgt te werk:

Plaats de cd / dvd / blu-rayschijf / USB-stick in het station, koppel ze aan en gebruik het commando apt-cdrom:

mount /media/cdrom
apt-cdrom add -m

Het volgende is een citaat uit de man-pagina van apt-cdrom(8):

  • apt-cdrom wordt gebruikt om een nieuwe cd-schijf toe te voegen aan de lijst van voor APT beschikbare bronnen. apt-cdrom is in staat om zelf uit te maken wat de structuur is van de schijf, het kan ook verschillende soorten problemen ondervangen die met het branden van de schijf verband houden en het zal eveneens de indexbestanden controleren.

  • Het is noodzakelijk om apt-cdrom te gebruiken om nieuwe cd's toe te voegen aan het systeem van APT. Dit kan niet manueel gebeuren. Bij een set van meerdere cd's moet u tevens iedere cd afzonderlijk in het station plaatsen en hem laten controleren om met mogelijke fouten bij het branden rekening te kunnen houden.

Geef vervolgens de volgende twee opdrachten om het systeem op te waarderen:

apt-get update
apt-get upgrade

14.10. Het automatisch opruimen van processen die niet meer in gebruik zijn

killer is een perl-script dat achtergrondtaken opruimt. Achtergrondtaken zijn processen die toebehoren aan gebruikers die op dat moment niet aangemeld zijn op de machine. Het script wordt ieder uur vanuit een cron-opdracht uitgevoerd.

Om het script te installeren geeft u als systeembeheerder de volgende opdracht:

 apt-get install killer

14.11. Beveiligingsbijwerkingen automatisch installeren

unattended-upgrades is een pakket in Debian dat beveiligings- (en andere) bijwerkingen automatisch installeert. Het pakket wordt automatisch geïnstalleerd en vooraf geconfigureerd om beveiligingsopwaarderingen te installeren. De logbestanden zijn te vinden in /var/log/unattended-upgrades/. En er is natuurlijk ook nog altijd /var/log/dpkg.log en /var/log/apt/.

14.12. Machines 's nachts automatisch uitzetten

U kunt energie en geld besparen door clientmachines 's avonds uit te zetten en 's ochtends terug op te starten. Vanaf 16.00 uur in de namiddag zal het pakket elk uur op het uur proberen om de machine uit te zetten. Maar het zal dat niet doen als blijkt dat de machine nog in gebruik is. Het zal trachten aan het BIOS de opdracht te geven om de machine rond 7.00 uur 's ochtends terug op te starten, en de hoofdserver zal vanaf 06.30 uur proberen om machines op te starten door hen wake-on-lan-pakketten te sturen. Deze tijdstippen kunnen aangepast worden door de crontabs van de individuele machines te wijzigen.

Als u zoiets opzet, moet u met enkele zaken rekening houden:

  • Het mag niet voorvallen dat clients uitgezet worden als er iemand op aan het werken is. Om dit te kunnen garanderen moet de uitvoer van het commando who nagekeken worden, en in het bijzondere geval van thin clients, controleert u of het ssh-commando van LDM dat de verbinding met de server verzorgt, nog actief is,

  • Om te vermijden dat de zekeringen van de elektriciteit zouden smelten, doet u er goed aan om er voor te zorgen dat niet alle clients gelijktijdig opstarten.

  • Er staan u twee manieren ter beschikking om clients te activeren. De ene manier gebruikt een functie van het BIOS en een vereiste hiervoor is dat de klok van het apparaat correct werkt en dat het moederbord en de BIOS-versie ondersteund worden door nvram-wakeup. De andere methode vereist dat de clients wake-on-lan ondersteunen en dat de server op de hoogte is van welke clients via deze methode aangezet moeten worden.

14.12.1. Het systeem opzetten om computers 's nachts uit te schakelen

Ofwel geeft u op clients die 's nachts uitgezet moeten worden, de opdracht touch /etc/shutdown-at-night/shutdown-at-night, ofwel voegt u de naam van de computer (dat is de uitvoer van het commando 'uname -n' op de client) toe aan de netgroep "shutdown-at-night-hosts". Computers toevoegen aan die netgroep in LDAP doet u met het webhulpmiddel GOsa². Het kan nodig zijn om bij de clients in het BIOS de functionaliteit wake-on-lan te configureren. Het is ook belangrijk dat de switches en routers die tussen de server en de clients geplaatst staan, de WOL-pakketten op een correcte manier aan de clients doorgeven, ook al zijn de clients uitgeschakeld. Sommige switches kunnen geen pakketten doorgeven aan clients die ontbreken in de ARP-tabel van de switch, hetgeen een blokkade opwerpt voor de WOL-pakketten.

Om op de server wake-on-lan in te stellen, voegt u de clients toe aan de lijst /etc/shutdown-at-night/clients. U gebruikt voor elke client een aparte regel in het bestand. Op die regel komt eerst het IP-adres en dan het MAC-adres (ethernet-adres), van elkaar gescheiden door een spatie. U kunt ook het script /etc/shutdown-at-night/clients-generator aanmaken om de lijst van clients op het moment zelf te laten genereren.

Hier is een voorbeeld van het script /etc/shutdown-at-night/clients-generator dat gebruik maakt van sitesummary:

  #!/bin/sh
  PATH=/usr/sbin:$PATH
  export PATH
  sitesummary-nodes -w

Indien de netgroep gebruikt wordt om shutdown-at-night op de clients te activeren, vormt het volgende script een alternatief. Het maakt gebruik van het netgroephulpmiddel uit het pakket ng-utils:

  #!/bin/sh
  PATH=/usr/sbin:$PATH
  export PATH
  netgroup -h shutdown-at-night-hosts

14.13. Toegang krijgen tot servers van Debian-Edu die zich achter een firewall bevinden

Om vanaf het internet toegang te krijgen tot machines die zich achter een firewall bevinden, kunt u het pakket autossh installeren. Het kan gebruikt worden om een SSH-tunnel aan te leggen naar een machine op het internet waar u toegang toe heeft. Vanaf die machine kunt u dan over de SSH-tunnel toegang krijgen tot de server achter de firewall.

14.14. Bijkomende servermachines installeren om de hoofdserver te ontlasten

Volgens de standaardopstelling draaien alle diensten op de hoofdserver, tjener. Om het overplaatsen van sommige van die diensten naar een andere machine te vergemakkelijken, kunt u gebruik maken van het installatieprofiel minimal. Een installatie uitvoeren met dit profiel geeft als resultaat een machine die wel deel uitmaakt van het netwerk van Debian Edu, maar waarop nog geen enkele service draait.

De volgende bewerkingen moet u uitvoeren om een machine te installeren die tot taak heeft sommige diensten te leveren:

  • gebruik de opstartoptie debian-edu-expert en installeer het minimale profiel

  • installeer de pakketten die nodig zijn voor de dienst

  • configureer de dienst

  • schakel op de hoofdserver die dienst uit

  • werk (via LDAP/GOsa²) DNS op de hoofdserver bij

14.15. HowTo's van wiki.debian.org

FIXME: De HowTo's van http://wiki.debian.org/DebianEdu/HowTo/ zijn ofwel gebruikersgericht, ofwel gericht op ontwikkelaars. Laten we de HowTo's die op gebruikers gericht zijn naar hier verplaatsen (en ze ginds verwijderen)! (Maar eerst moeten de auteurs ervan (via de geschiedenis van de webpagina's zijn ze te achterhalen) gevraagd worden of ze het goed vinden om de howto's te verplaatsen en ze onder een GPL-licentie te plaatsen.)

15. Howto over systeembeheer voor gevorderden

In dit hoofdstuk behandelen we een aantal taken van systeembeheer voor gevorderden.

15.1. Gebruikersbeheer op maat met GOsa²

15.1.1. Maak gebruikersgroepen per jaartal

In dit voorbeeld willen we gebruikersgroepen maken per jaartal met door de groep gedeelde persoonlijke mappen (home0/2014, home0/2015, enz.). We willen de gebruikers aanmaken via het importeren van een csv-bestand.

(als systeembeheerder op de hoofdserver)

  • Maak de benodigde jaartalmappen

mkdir /skole/tjener/home0/2014

(als systeembeheerder in Gosa)

  • Afdeling

Kies in het hoofdmenu 'Registerstructuur' en klik de afdeling 'Studenten' aan. In het veld 'Basis' hoort '/Studenten' te staan. In het uitklapkader 'Acties' kiest u 'Aanmaken'/'Afdeling'. Geef waarden in voor de velden Naam (2014) en Beschrijving (studenten die in 2014 afstuderen), laat het veld 'Basis' ongewijzigd (daar zou '/Studenten' moeten staan). Bewaar door op 'Ok' te klikken. Nu zou de nieuwe afdeling (2014) zichtbaar moeten zijn onder /Studenten. Klik er op.

  • Groep

Kies in het hoofdmenu 'Groups' en kies vervolgens 'Actions'/Create/Group. Voer een naam in voor de groep (laat 'Base' zoals het is. Er zou moeten staan /Studenten/2014) en vink het keuzevakje links van 'Samba group' aan. Klik op 'Ok' om te bewaren.

  • Sjabloon

Kies 'users' (gebruikers) in het hoofdmenu. Ga nu in het veld 'Base' naar 'Students'. Nu zou een item 'NewStudent' zichtbaar moeten worden. Klik het aan. Dit is het sjabloon voor 'studenten', geen echte gebruiker. U zult aan de hand van dit voorbeeld een gelijkaardig sjabloon moeten aanmaken (om de gegevens in uw registerstructuur te kunnen importeren via een csv-bestand). Noteer daarom alle items die u ziet staan in de tabbladen Generic, POSIX en Samba of maak er een schermafdruk van om de inhoud voor het nieuwe sjabloon bij de hand te hebben.

Ga nu in het veld 'Base' naar /Studenten/2014. Kies Aanmaken/Sjabloon en begin met het ingeven van de gewenste waarden, eerst voor het tabblad Algemeen (voeg ook uw nieuwe groep 2014 toe aan het veld 'Groepslidmaatschap') en nadien voor de tabbladen POSIX en Samba-account.

  • Gebruikers importeren

Kies uw nieuw sjabloon bij het uitvoeren van de gegevensimport vanuit uw csv-bestand. Eerst een test doen met enkele gebruikers wordt aangeraden.

15.2. Ander maatwerk in verband met gebruikers

15.2.1. Mappen aanmaken in de persoonlijke map van alle gebruikers

Met het volgende script kan de systeembeheerder een map aanmaken in de persoonlijke map van elke gebruiker en instellen wie de eigenaar ervan is en welke toegangsrechten gelden.

In het onderstaande voorbeeld wordt in de persoonlijke map een map "taken" aangemaakt, met leerkrachten als groepseigenaar en met 2770 als toegangsrechten. Een student kan dan zijn taak inleveren door zijn bestand te bewaren in deze map en leerkrachten kunnen in die taak hun commentaar toevoegen omdat ze schrijfrechten hebben.

 #!/bin/bash
 home_path="/skole/tjener/home0"
 shared_folder="taken"
 permissions="2770"
 created_dir=0
 for home in $(ls $home_path); do
    if [ ! -d "$home_path/$home/$shared_folder" ]; then
        mkdir $home_path/$home/$shared_folder
        chmod $permissions $home_path/$home/$shared_folder
        #set the right owner and group
        #"username" = "group name" = "folder name"
        user=$home
        group=teachers
        chown $user:$group $home_path/$home/$shared_folder
        ((created_dir+=1))
    else
        echo -e "de map $home_path/$home/$shared_folder bestaat al.\n"
    fi
 done
 echo "$created_dir mappen werden aangemaakt."

15.2.2. Gemakkelijk toegang krijgen tot USB-sticks en cd's/dvd's

Indien gebruikers een USB-stick of een dvd/cd plaatsen in een (schijfloos) werkstation, wordt een pop-upvenster zichtbaar met de vraag wat ermee moet gebeuren, net zoals dat het geval is bij om het even welke gewone installatie.

Indien gebruikers een USB-stick of een dvd/cd plaatsen in een thin-client, wordt er gedurende enkele seconden een aankondigingsvenster zichtbaar. Het medium wordt automatisch aangekoppeld en u heeft er toegang toe via de map /media/$gebruiker. Veel ongeoefende gebruikers ervaren dit als behoorlijk moeilijk.

U kunt ook maken dat het standaardprogramma voor bestandsbeheer, Dolfijn, van KDE "Plasma" een venster opent. KDE "Plasma" (of LDXE als het parallel met KDE "Plasma" geïnstalleerd werd) moet dan als bureaubladomgeving in gebruik zijn. Om dit effect te bekomen moet u gewoon op de terminalserver het commando /usr/share/debian-edu-config/ltspfs-mounter-kde enable ingeven. (Indien GNOME als bureaubladomgeving gebruikt wordt, maken icoontjes op het bureaublad een gemakkelijke toegang mogelijk.)

Bijkomend kunt u het volgende script gebruiken om in de persoonlijke map van alle gebruikers een symbolische koppeling "media" aan te maken en zo de toegang te vergemakkelijken tot USB-sticks, cd's/dvd's of andere media die aan de thin-client aangekoppeld worden. Dit kan zeer handig zijn als gebruikers rechtstreeks in bestanden willen werken die op een dergelijk medium staan.

 #!/bin/bash
 home_path="/skole/tjener/home0"
 shared_folder="media"
 permissions="775"
 created_dir=0;
 for home in $(ls $home_path); do
    if [ ! -d "$home_path/$home/$shared_folder" ]; then
        ln -s /media/$home $home_path/$home/$shared_folder
        ((created_dir+=1))
    else
        echo -e "de map $home_path/$home/$shared_folder bestaat reeds.\n"
    fi
 done
 echo "$created_dir mappen werden aangemaakt"
15.2.2.1. Een waarschuwing in verband met verwijderbare media en LTSP-servers

/!\ Waarschuwing: indien u een USB-stick of een ander verwijderbaar medium in een station van een LTSP-server steekt, zullen pop-up berichten opduiken op de schermen van de clients die ermee verbonden zijn.

Indien een gebruiker aan een thin client op een dergelijk pop-up bericht reageert of aan de console het commando pmount gebruikt, kan hij het verwijderbaar medium zelfs aankoppelen en de bestanden erop bewerken.

15.3. Een aparte server voor het opslaan van bestanden

Volg dit stappenplan om een server op te zetten, bedoeld voor het opslaan van de persoonlijke mappen van gebruikers en van wellicht nog andere gegevensbestanden.

  • Voeg met behulp van GOsa² een nieuw systeem van het type server toe, zoals geschetst werd in het hoofdstuk Aan de slag van deze handleiding.

    • In dit voorbeeld gebruiken we 'nas-server.intern' als naam voor de server. Eens 'nas-server.intern' geconfigureerd werd, moet u controleren of de exportpunten van NFS op de nieuwe opslagserver geëxporteerd worden naar de betrokken subnetten en machines.

          root@tjener:~# showmount -e nas-server
          Export list for nas-server:
          /storage         10.0.0.0/8
          root@tjener:~#

      Hier heeft iedere machine op het hoofdnetwerk toegang tot het exportpunt /storage. (Men kan het recht op toegang tot NFS-exports ook beperken tot die machines die lid zijn van de groep netgroup of tot individuele adressen, zoals gebeurt in het bestand tjener:/etc/exports ).

  • Voeg in LDAP met betrekking tot 'nas-server.intern' automount-informatie toe om toe te laten dat alle clients op hun verzoek automatisch het nieuwe export-punt kunnen aankoppelen

    • Dit kunt u niet doen met behulp van GOsa², aangezien een module voor automount er in ontbreekt. U moet in de plaats ldapvi gebruiken en de vereiste LDAP-objecten aanmaken met behulp van die tekstbewerker.

      ldapvi --ldap-conf -ZD '(cn=admin)' -b ou=automount,dc=skole,dc=skolelinux,dc=no

      Van zodra de editor actief is, voegt u de volgende LDAP-objecten toe aan het einde van het document. (Het "/&"-gedeelte in het laatste LDAP-object is een jokerteken dat staat voor alle exports van 'nas-server.intern'. Hierdoor vervalt de noodzaak om elk individueel aankoppelpunt op te lijsten in LDAP.)

          add cn=nas-server,ou=auto.skole,ou=automount,dc=skole,dc=skolelinux,dc=no
          objectClass: automount
          cn: nas-server
          automountInformation: -fstype=autofs --timeout=60 ldap:ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no
      
          add ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no
          objectClass: top
          objectClass: automountMap
          ou: auto.nas-server
      
          add cn=/,ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no
          objectClass: automount
          cn: /
          automountInformation: -fstype=nfs,tcp,rsize=32768,wsize=32768,rw,intr,hard,nodev,nosuid,noatime nas-server.intern:/&
  • Voeg de relevante gegevens toe in het bestand tjener.intern:/etc/fstab. Dit is nodig omdat tjener.intern geen gebruik maakt van automount om de kans op het ontstaan van eindeloze lussen van aankoppelingen te vermijden.

    • Maak de aankoppelingsmappen aan met behulp van het commando mkdir, voer de overeenkomstige aanpassingen in '/etc/fstab' door en geef de opdracht mount -a om de nieuwe bronnen aan te koppelen.

  • Maak toegang mogelijk in het geval schijfloze werkstations gebruikt worden. Dit is een bijzonder geval, omdat sshfs gebruikt wordt in plaats van NFS en automount:

    • Maak de aankoppelingsmappen ook aan in de basismap van de schijfloze LTSP-clients (standaard is dat /opt/ltsp/i386/).

      Voeg een regel toe aan /opt/ltsp/i386/etc/lts.conf met 'LOCAL_APPS_EXTRAMOUNTS=/storage' (voorbeeld).

      Maak een koppeling in in de persoonlijke map van elke gebruiker zoals 'ln -s /storage Storage' om de gebruikers de bronnen te helpen vinden.

Gebruikers zouden nu in staat moeten zijn om rechtstreeks toegang te hebben tot de bestanden op 'nas-server.intern' door gewoon naar de map '/tjener/nas-server/storage/' te gaan met behulp van om het even welke toepassing op elk werkstation of elke LTSP thin-client of LTSP-server en door naar ~/Storage te gaan in het geval er een schijfloze LTSP-client gebruikt wordt.

15.4. De mogelijkheid inperken om zich via ssh aan te melden

Er bestaan verschillende mogelijkheden om toegang via ssh in te perken. Sommige ervan worden hier opgesomd.

15.4.1. Bij een opstelling zonder LTSP-clients

Indien er geen gebruik gemaakt wordt van LTSP-clients, bestaat een eenvoudige oplossing erin een nieuwe groep aan te maken (bijvoorbeeld sshgebruikers) en een regel toe te voegen in het bestand /etc/ssh/sshd_config op de computer. Enkel leden van de groep sshgebruikers zullen dan de toelating hebben om zich van om het even waar via ssh op de computer aan te melden.

Een dergelijke situatie beheren is heel eenvoudig met GOsa:

  • Maak een groep sshgebruikers aan in het basisniveau (waar al andere groepen die te maken hebben met systeembeheer, zoals gosa-admins te vinden zijn).

  • Gebruikers toevoegen aan de nieuwe groep sshgebruikers.

  • Voeg de regel AllowGroups sshusers toe in het bestand /etc/ssh/sshd_config.

  • Geef de opdracht service ssh restart.

15.4.2. Bij een opstelling met LTSP-clients

De standaardinstelling is dat een LTSP-client ssh gebruikt om de verbinding met de LTSP-server te maken. Daarom is een andere benadering die gebruik maakt van PAM hier nodig.

  • Activeer pam_access.so in het bestand /etc/pam.d/sshd van de LTSP-server.

  • Stel /etc/security/access.conf in om toestemming te geven aan (bijvoorbeeld) gebruikers alice, jane, bob en john om van overal een verbinding via ssh te maken en aan alle andere gebruikers enkel vanuit de interne netwerken. Dit doet u door de volgende regels toe te voegen:

+ : alice jane bob john : ALL
+ : ALL : 10.0.0.0/8 192.168.0.0/24 192.168.1.0/24
- : ALL : ALL
#

Indien enkel voorbehouden LTSP-servers gebruikt worden, kunt u het netwerk 10.0.0.0/8 weglaten om de mogelijkheid uit te schakelen dat men zich intern via ssh aanmeldt. Noteer dat iemand die zijn computer aankoppelt op een gereserveerd netwerk van LTSP-clients meteen ook toegang heeft tot de LTSP-server via ssh.

15.4.3. Een noot over meer complexe opstellingen

Indien er LTSP-clients aangekoppeld zijn op het hoofdnetwerk 10.0.0.0/8 (bij een combiserver- of LTSP-cluster-opstelling) worden de zaken zelfs nog gecompliceerder. Wellicht is het dan enkel mogelijk om te verhinderen dat men zich intern via ssh aanmeldt door gebruik te maken van een gesofisticeerde DHCP-configuratie (in LDAP), waarbij de zogenaamde 'vendor-class-identifier' gecontroleerd wordt, in combinatie met een passende PAM configuratie.

16. HowTo's in verband met de bureaubladomgeving

16.1. KDE Plasma, GNOME, LXDE, Xfce en/of MATE samen gebruiken

Om na het installatieproces bijkomende bureaubladomgevingen te installeren, moet u gewoon apt gebruiken:

 apt update
 apt install education-desktop-gnome education-desktop-lxde education-desktop-xfce education-desktop-mate

Gebruikers kunnen dan via het aanmeldscherm een van deze vijf desktopomgevingen kiezen vooraleer ze zich aanmelden. U kunt er uiteraard ook voor opteren om een beperktere keuze aan te bieden. Houd in gedachten dat er verschillende programma's met dezelfde functionaliteit zullen zijn (zoals bestandsbeheerprogramma's, editors, PDF-lezers...) als er meer dan één desktopomgeving geïnstalleerd wordt en dat dit gebruikers in verwarring kan brengen.

Het gebruik van LXDE als standaard bureaubladomgeving voor thin-clients kan afgedwongen worden. Zie netwerkclients voor meer uitleg.

Indien u geen installaties wenst uit te voeren met het standaardbureaublad KDE Plasma, kunt u ook onmiddellijk installeren met een van de vier alternatieve bureaubladomgevingen, GNOME, LXDE, Xfce of MATE.

16.2. Flash

De uit vrije software bestaande flash-player gnash wordt standaard geïnstalleerd. Gelieve te noteren dat Firefox ESR ondersteuning voor Flash zal beëindigen in het begin van 2018.

16.3. Dvd's afspelen

U heeft libdvdcss nodig om de meeste commerciële dvd's te kunnen afspelen. Om redenen van wettelijke aard zit het niet in Debian (Edu). Indien u het rechtsgeldig mag gebruiken, kunt u lokaal uw eigen pakketten bouwen met behulp van het Debian pakket libdvd-pkg. Zorg ervoor dat u de pakketbron contrib geactiveerd heeft in het bestand /etc/apt/sources.list.

apt update
apt install libdvd-pkg

Beantwoord de vragen van debconf en voer dan het commando dpkg-reconfigure libdvd-pkg uit.

16.4. Tekensets met lettertekens in handschrift

Het pakket fonts-linex (dat standaard geïnstalleerd wordt) installeert de tekenset "Abecedario." Deze tekenset met lettertekens in handschrift vinden kinderen leuk. De tekenset bevat verschillende varianten om met kinderen te gebruiken: gestippeld of met lijnen.

17. HowTo's voor netwerkclients

17.1. Een inleiding in thin clients en schijfloze werkstations

Een algemene term voor zowel thin clients als schijfloze werkstations is LTSP-client. LTSP staat voor Linux Terminal Server Project.

Thin client

Een thin-clientinstallatie stelt een gewone PC in staat om te functioneren als een (X-)terminal, waarbij alle programmatuur op de LTSP-server uitgevoerd wordt. Het impliceert dat een dergelijke machine opgestart wordt met een diskette of rechtstreeks opstart vanaf de server met behulp van netwerk-PROM (of PXE) zonder gebruik te maken van een lokale harde schijf.

Schijfloos werkstation

Een schijfloos werkstation voert alle programmatuur lokaal uit. De clientmachine start rechtstreeks op vanaf de LTSP-server zonder gebruik te maken van een lokale harde schijf. Programmatuur wordt beheerd en onderhouden op de LTSP-server (binnenin de LTSP-chroot), maar wordt op het schijfloos werkstation uitgevoerd. Persoonlijke mappen en systeeminstellingen staan eveneens op de server. Het systeem van schijfloze werkstations is een uitstekende manier om oudere (maar nog krachtige) hardware te (her)gebruiken tegen een even lage onderhoudskost als het geval is bij thin clients.

LTSP hanteert standaard een minimumvereiste van 320 MB werkgeheugen voor schijfloze werkstations. Indien het beschikbare werkgeheugen kleiner is, zal het de machine als thin-client opstarten. De ermee verband houdende LTSP-parameter is FAT_RAM_THRESHOLD met als standaardwaarde 300. Mocht u bijvoorbeeld echter liever hebben dat clients pas als schijfloze werkstations opstarten wanneer ze over 1 GB werkgeheugen beschikken, voeg dan de regel FAT_RAM_THRESHOLD=1000 toe aan lts.conf (of stel dit in LDAP in). Anders dan het geval is voor werkstations, functioneren schijfloze werkstations zonder dat u ze met GOsa² in het systeem invoert. Ze maken namelijk gebruik van LDM voor het aanmelden van gebruikers en voor het maken van de verbinding met de LTSP-server.

Fabrieksprogrammatuur voor LTSP-clients

Het opstarten van de LTSP-client zal niet lukken als de netwerkkaart van de client niet-vrije fabrieksprogrammatuur vereist. Een PXE-installatie kan gebruikt worden om problemen op te sporen bij het opstarten van een machine over het netwerk. Indien het installatiesysteem van Debian klaagt over het feit dat bestand XXX.bin ontbreekt, betekent dit dat niet-vrije fabrieksprogrammatuur toegevoegd moet worden aan het initrd dat door LTSP-clients gebruikt wordt.

Geef in dat geval de volgende opdracht op een LTSP-server.

# Vraag eerst informatie op over pakketten met fabrieksprogrammatuur
apt-get update && apt-cache search ^firmware-

# Bepaal welk pakket geïnstalleerd moet worden voor de netwerkkaart(en). 
# Hoogstwaarschijnlijk is dat firmware-linux-nonfree
# Aanpassingen moeten gebeuren in de LTSP-chroot voor de i386-architectuur
ltsp-chroot -a i386 apt-get update
ltsp-chroot -d -a i386 apt-get -y -q install <pakketnaam>

# kopieer het nieuwe initrd naar de map tftpboot op de server en update het NBD-image
ltsp-update-kernels
ltsp-update-image

Bij wijze van korter alternatief -- alle beschikbare fabrieksprogrammatuur installeren en de map tftpboot bijwerken -- kunt u de volgende opdracht geven:

/usr/share/debian-edu-config/tools/ltsp-addfirmware

17.1.1. De keuze van het type LTSP-client

Elke LTSP-server heeft twee netwerkkaarten. Een ervan is geconfigureerd binnen het hoofdsubnet 10.0.0.0/8 (dat met de hoofdserver gedeeld wordt). De andere netwerkkaart geeft vorm aan een lokaal subnet 192.168.0.0/24. (een apart subnet voor elke LTSP-server).

Op het hoofdsubnet is het volledige PXE-menu beschikbaar. Op het aparte subnet van iedere LTSP-server laat het menu enkel toe te kiezen tussen schijfloze client of thin client van LTSP.

Met het standaardmenu van PXE op het hoofdsubnet 10.0.0.0/8 kan een computer opgestart worden als schijfloos werkstation of als thin client. Clients op het aparte subnet 192.168.0.0/24 zullen standaard opgestart worden als schijfloze werkstations als ze over voldoende RAM-geheugen beschikken. Maar indien alle clients binnen dat LTSP-subnet opgestart moeten worden als thin clients, moet u het volgende doen.

(1)Open het bestand /opt/ltsp/i386/etc/ltsp/update-kernels.conf met een editor
en vervang de regel
CMDLINE_LINUX_DEFAULT="init=/sbin/init-ltsp quiet"
door
CMDLINE_LINUX_DEFAULT="init=/sbin/init-ltsp LTSP_FATCLIENT=False quiet"
(2)Voer de opdracht 'ltsp-chroot -a i386 /usr/share/ltsp/update-kernels' uit.
(3)Geef het commando 'ltsp-update-kernels'
(4)Geef het commando 'ltsp-update-image'

17.2. Het PXE-menu configureren

Het script debian-edu-pxeinstall stelt de configuratie van PXE in. Het is mogelijk om bepaalde instellingen ervan te laten overschrijven door een bestand /etc/debian-edu/pxeinstall.conf aan te maken met andere waarden.

17.2.1. De PXE-installatie configureren

Standaard is voor iedereen die een machine kan laten opstarten via PXE ook de PXE-installatieoptie beschikbaar. Om de PXE-installatieopties met een wachtwoord te beschermen, moet u een bestand /var/lib/tftpboot/menupassword.cfg aanmaken met daarin de volgende inhoud:

MENU PASSWD $4$NDk0OTUzNTQ1NTQ5$7d6KvAlVCJKRKcijtVSPfveuWPM$

De wachtwoordfrommel uit het voorbeeld moet u vervangen met de MD5-frommel van het gewenste wachtwoord.

De PXE-installatie zal de instellingen voor taal, toetsenbordindeling en spiegelserver overnemen uit de bij het installeren van de hoofdserver meegegeven instellingen. De overige vragen (over profiel, deelname aan het meten van de populariteit van programmatuur, schijfindeling en beheerderswachtwoord) zullen in de loop van de installatie wel gesteld worden. Om deze vragen te voorkomen, kunt u het bestand /etc/debian-edu/www/debian-edu-install.dat aanpassen, zodat het de door u vooraf gekozen antwoorden kan doorgeven aan de overeenkomstige waarden van debconf. Enkele voorbeelden van beschikbare waarden voor debconf kunt u vinden in de commentaarregels van het bestand /etc/debian-edu/www/debian-edu-install.dat. Uw wijzigingen zullen echter verloren gaan zodra u debian-edu-pxeinstall gebruikt om de installatie-omgeving voor PXE opnieuw aan te maken. Om aan het bestand /etc/debian-edu/www/debian-edu-install.dat waarden voor debconf te laten toevoegen tijdens dit proces van opnieuw aanmaken van de installatie-omgeving voor PXE met debian-edu-pxeinstall, moet u een bestand /etc/debian-edu/www/debian-edu-install.dat.local creëren met daarin de door u gewenste bijkomende waarden voor debconf.

U vindt bijkomende informatie over het aanpassen van PXE-installaties in het hoofdstuk Installatie.

17.2.2. Een eigen pakketbron gebruiken bij PXE-installaties

Om ook een eigen pakketbron te kunnen gebruiken, voegt u aan het bestand /etc/debian-edu/www/debian-edu-install.dat.local iets toe in de zin van:

#voeg een pakketbron van example.org toe
d-i     apt-setup/local1/repository string      http://example.org/debian stable main contrib non-free
d-i     apt-setup/local1/comment string         pakketbron met programmatuur afkomstig van example
d-i     apt-setup/local1/source boolean         true
d-i     apt-setup/local1/key    string          http://example.org/key.asc

en geef dan eenmaal de opdracht /usr/sbin/debian-edu-pxeinstall.

17.2.3. Het menu van PXE op een gecombineerde server (hoofd- en LTSP-server) aanpassen

In het menu van PXE is het mogelijk om te kiezen voor het over het netwerk laten opstarten van LTSP-clients, voor het uitvoeren van een installatie en voor nog andere mogelijkheden. Standaard wordt het bestand /var/lib/tftpboot/pxelinux.cfg/default gebruikt, tenzij die map een bestand bevat dat met de client overeenstemt. Dat bestand is standaard een koppeling naar /var/lib/tftpboot/debian-edu/default-menu.cfg.

Indien het de bedoeling is dat alle clients opstarten als schijfloze werkstations in plaats van het volledige menu van PXE gepresenteerd te krijgen, moet u de koppeling veranderen:

ln -s /var/lib/tftpboot/debian-edu/default-diskless.cfg /var/lib/tftpboot/pxelinux.cfg/default

Indien daarentegen alle clients moeten opstarten als thin clients, moet u de koppeling op de volgende manier aanpassen:

ln -s /var/lib/tftpboot/debian-edu/default-thin.cfg /var/lib/tftpboot/pxelinux.cfg/default

Raadpleeg ook de documentatie van PXELINUX op http://syslinux.zytor.com/wiki/index.php/PXELINUX .

17.2.4. Een afzonderlijke hoofdserver en LTSP-server

Met het oog op betere prestaties en ook uit veiligheidsoverwegingen kan het wenselijk zijn om een afzonderlijke hoofdserver op te zetten die niet de functie vervult van LTSP-server.

Om er voor te zorgen dat ltspserver00 de schijfloze werkstations op het hoofdnetwerk (10.0.0.0/8) kan bedienen, wanneer de hoofdserver geen gecombineerde server is, moet u het volgende doen:

  • kopieer de map ltsp van /var/lib/tftpboot op ltspserver00 naar dezelfde map op de hoofdserver.

  • kopieer /var/lib/tftpboot/debian-edu/default-diskless.cfg naar dezelfde map op de hoofdserver.

  • bewerk /var/lib/tftpboot/debian-edu/default-diskless.cfg zodat het IP-adres van ltspserver00 gebruikt wordt; in het volgende voorbeeld wordt 10.0.2.10 gebruikt als het IP-adres van ltspserver00 op het hoofdnetwerk:

 DEFAULT ltsp/i386/vmlinuz initrd=ltsp/i386/initrd.img nfsroot=10.0.2.10:/opt/ltsp/i386 init=/sbin/init-ltsp boot=nfs ro quiet ipappend 2
  • doe de symbolische koppeling in /var/lib/tftpboot/pxelinux.cfg op de hoofdserver verwijzen naar /var/lib/tftpboot/debian-edu/default-diskless.cfg.

Bij wijze van alternatief kunt u ldapvi gebruiken, zoeken naar de tekst 'next server tjener' en daar tjener vervangen door ltspserver00.

17.2.5. Gebruik een verschillend LTSP clientnetwerk

Het standaard LTSP clientnetwerk is 192.168.0.0/24 als een computer geïnstalleerd wordt met behulp van het profiel LTSP-server. Indien er zeer veel LTSP-clients in gebruik zijn of indien verschillende LTSP-servers tegelijk een chroot-omgeving voor i386 en voor amd64 moeten aanbieden, kan ook het tweede vooraf ingestelde netwerk 192.168.1.0/24 gebruikt worden. Bewerk het bestand /etc/network/interfaces en pas de instellingen voor eth1 in die zin aan. Gebruik ldapvi of om het even welke andere editor voor LDAP om de instellingen voor DNS en DHCP na te kijken.

17.3. Netwerkinstellingen aanpassen

Het pakket debian-edu-config bevat een hulpmiddel waarmee u het netwerk 10.0.0.0/8 in iets anders kunt wijzigen. Kijk eens naar /usr/share/debian-edu-config/tools/subnet-change. Het is bedoeld om vlak na de installatie van de hoofdserver gebruikt te worden met het oog op het aanpassen van LDAP en van de andere bestanden die bijgewerkt moeten worden om het subnet te wijzigen.

/!\ Weet dat kiezen voor een van de subnets die reeds elders in Debian Edu gebruikt worden, niet zal werken. 192.168.1.0/24 en 192.168.1.0/24 staan reeds ingesteld als netwerken voor de LTSP clients. Omschakelen naar deze subnetwerken maakt het manueel bewerken van configuratiebestanden om er de items uit te halen die er tweemaal in voorkomen, onvermijdelijk.

Er bestaat geen gemakkelijke manier om de domeinnaam van DNS te wijzigen. Het toch doen maakt het aanpassen van de structuur van LDAP en van meerdere bestanden in het bestandssysteem van de hoofdserver noodzakelijk. Er bestaat ook geen eenvoudige manier om de computernaam en de DNS-naam van de hoofdserver (tjener.intern) te veranderen. Ook hiervoor zouden veranderingen nodig zijn in LDAP, in bestanden op de hoofdserver en in het bestandssysteem van de client. En in de beide gevallen zouden ook de instellingen van Kerberos veranderd moeten worden.

17.4. LTSP in detail

17.4.1. De configuratie van een LTSP-client in LDAP (en lts.conf)

Om specifieke thin-clients met bijzondere kenmerken te configureren, kunt u instellingen toevoegen in LDAP of het bestand /opt/ltsp/i386/etc/lts.conf bewerken. Merk op dat na elke wijziging van lts.conf het commando ltsp-update-image uitgevoerd moet worden. Het updaten van het image is niet nodig als lts.conf gekopieerd wordt naar de map /var/lib/tftpboot/ltsp/i386/.

/!\ We bevelen aan om clients in LDAP te configureren (en niet rechtstreeks het bestand lts.conf te bewerken. Er zijn echter momenteel geen webformulieren beschikbaar voor het configureren van LTSP in GOsa². U moet dus een platte bladeraar/verkenner voor LDAP gebruiken of ldapvi), omdat dit het mogelijk maakt om LTSP-servers toe te voegen of te vervangen zonder verlies van configuratie-informatie (of zonder dat de configuratie opnieuw moet gebeuren).

De standaardwaarden voor LDAP worden vastgelegd in het LDAP-object cn=ltspConfigDefault,ou=ltsp,dc=skole,dc=skolelinux,dc=no met het attribuut ltspConfig. Men kan in LDAP ook waarden opgeven voor een specifieke computer.

Geef de opdracht man lts.conf om een zicht te krijgen op de beschikbare configuratieopties (raadpleeg /usr/share/doc/ltsp/LTSPManual.html voor gedetailleerde informatie over LTSP).

De standaardwaarden staan opgesomd onder [default]; om een specifieke client te configureren, moet u die identificeren aan de hand van zijn MAC-adres of zijn IP-adres op de volgende manier: [192.168.0.10].

Bijvoorbeeld: om de schermresolutie van de thin client ltsp010 in te stellen op 1280x1024, voegt u iets toe in de zin van:

[192.168.0.10]
X_MODE_0 = 1280x1024
X_HORZSYNC = "60-70"
X_VERTREFRESH = "59-62"

U plaatst dit ergens onder de standaardwaarden.

Om een bepaalde LTSP-client een specifieke xserver te doen gebruiken, moet u de variabele XSERVER instellen. Bijvoorbeeld:

[192.168.0.11]
XSERVER = nvidia

Indien na het opstarten van een thin-client het scherm ervan zwart is, kan het gebruik van een specifieke kleurdiepte uitkomst bieden. Bijvoorbeeld:

[192.168.0.12]
X_COLOR_DEPTH=16

Afhankelijk van de aangebrachte wijzigingen kan het nodig zijn om de client opnieuw te starten.

Om in lts.conf met IP-adressen te kunnen werken moet u het MAC-adres van die client doorgeven aan de DHCP-server. Zo niet moet u het MAC-adres van die client rechtstreeks in het bestand lts.conf gebruiken.

17.4.2. LXDE voor alle thin clients standaard instellen als bureaubladomgeving

Zorg ervoor dat LXDE geïnstalleerd is op de LTSP-server; voeg vervolgens in "lts.conf" onder [default] deze regels toe:

LDM_SESSION=LXDE
LDM_FORCE_SESSION=true

17.4.3. Werklastverdeling tussen LTSP-servers

17.4.3.1. Deel 1

Het is mogelijk om clients zo in te stellen dat ze in functie van werklastverdeling een bepaalde LTSP-server uit meerder beschikbare servers uitkiezen om zich mee te verbinden. Dit gebeurt door het script /opt/ltsp/i386/usr/share/ltsp/get_hosts een lijst van een of meerdere servers te laten doorgeven waarmee LDM zich kan verbinden. Bovendien moet ook in elke LTSP-chroot de SSH-machinesleutel van elk van de servers voorhanden zijn.

Eerst en vooral moet u kiezen welke LTSP-server zal fungeren als server voor de werklastspreiding. Via PXE zullen alle clients vanaf deze server opstarten en het image van Skolelinux laden. Na het laden van het image, zal LDM kiezen met welke server een verbinding gemaakt wordt door gebruik te maken van het script "get_hosts". Hoe dit precies in zijn werk moet gaan, zult u later regelen.

De server die de werklastverdeling bewaakt, moet via DHCP aan de clients als de "next-server" gepresenteerd worden. Vermits de configuratie van DHCP in LDAP opgeslagen ligt, moeten wijzigingen daar aangebracht worden. Gebruik ldapvi --ldap-conf -ZD '(cn=admin)' om het betreffende item in LDAP te bewerken. (Geef aan de prompt het wachtwoord in van de systeembeheerder op de hoofdserver; indien de variabele VISUAL niet ingesteld staat, zal nano gebruikt worden als standaardeditor). Zoek naar de regel met dhcpStatements: next-server tjener. Next-server moet de computernaam of het IP-adres zijn van de server die u koos als server voor de werklastspreiding. Bij het gebruik van de computernaam is een functionerend DNS noodzakelijk. Denk er ook aan om de DHCP-dienst opnieuw te starten.

Nu moet u de clients overbrengen van het netwerk 192.168.0.0 naar het netwerk 10.0.0.0. Schakel ze aan het hoofdnetwerk aan in plaats van aan het netwerk dat verbonden is met de tweede netwerkkaart van de LTSP-server. In geval van werklastbeheer moeten de clients namelijk rechtstreeks toegang kunnen hebben tot de server die door LDM gekozen wordt. Indien u de clients op het netwerk 192.168.0.0 laat zitten, moet alle trafiek van die clients via de server van dat netwerk passeren alvorens de gekozen LDM-server te bereiken.

17.4.3.2. Deel 2

Nu moet u het script "get_hosts" aanmaken dat een lijst genereert met servernamen waarmee LDM verbinding kan maken. De parameter LDM_SERVER neemt voorrang op dit script. Bijgevolg mag die parameter niet gedefinieerd zijn indien het script get_hosts gebruikt zal worden. Het script get_hosts schrijft in willekeurige volgorde naar standaarduitvoer het IP-adres of de computernaam van elke server.

Bewerk "/opt/ltsp/i386/etc/lts.conf" en voeg er iets toe in de zin van:

MY_SERVER_LIST = "xxxx xxxx xxxx"

Vervang xxxx door de lijst van IP-adressen of computernamen van de servers, van elkaar gescheiden door een spatie. Plaats vervolgens het volgende script in /opt/ltsp/i386/usr/lib/ltsp/get_hosts op de server die door u als werkbelastingsregelaar gekozen werd.

 #!/bin/bash
 # Plaats de lijst van servers die voorkomt in de parameter MY_SERVER_LIST in willekeurige volgorde
 TMP_LIST=""
 SHUFFLED_LIST=""
 for i in $MY_SERVER_LIST; do
     rank=$RANDOM
     let "rank %= 100"
     TMP_LIST="$TMP_LIST\n${rank}_$i"
 done
 TMP_LIST=$(echo -e $TMP_LIST | sort)
 for i in $TMP_LIST; do
     SHUFFLED_LIST="$SHUFFLED_LIST $(echo $i | cut -d_ -f2)"
 done
 echo $SHUFFLED_LIST
17.4.3.3. Deel 3

Nu u het script "get_hosts" gemaakt heeft, is het tijd om de SSH-computersleutel (SSH host key) voor de LTSP-chroots aan te maken. U doet dit door een bestand aan te maken dat de inhoud bevat van /opt/ltsp/i386/etc/ssh/ssh_known_hosts op alle LTSP-servers die mee opgenomen worden in het systeem van werklastverdeling. Bewaar dit bestand als /etc/ltsp/ssh_known_hosts.extra op al de servers binnen het systeem van werklastverdeling. Deze laatste stap is zeer belangrijk omdat het commando ltsp-update-sshkeys uitgevoerd wordt telkens een server heropgestart wordt. Als het bestand /etc/ltsp/ssh_known_hosts.extra bestaat, wordt de informatie eruit mee opgenomen.

/!\ Mocht u de nieuwe lijst van computersleutels echter bewaren in het bestand /opt/ltsp/i386/etc/ssh/ssh_known_hosts, dan zou die gewist worden bij het heropstarten van de server.

De hiervoor beschreven configuratie heeft echter ook enkele zwakke kanten. Vermits alle clients hun image vanaf dezelfde server ophalen, betekent dit een hoge werkbelasting voor die server in het geval meerdere clients op hetzelfde ogenblik opgestart worden. Daarenboven is het voor de clients nodig dat die server permanent beschikbaar is; zonder hem kunnen ze niet opstarten of een LDM-server vinden. Het betekent dat deze configuratie sterk afhankelijk is van een enkele server, hetgeen geen al te beste oplossing is.

Maar uw clients kunnen nu wel genieten van een omgeving met uitgebalanceerde werkbelasting!

17.4.4. Geluid op LTSP-clients

LTSP thin-clients doen beroep op genetwerkte audio om audio van de server te laten doorgeven aan de clients.

Schijfloze werkstations onder LTSP verwerken audio lokaal.

17.4.5. Printers gebruiken die met LTSP-clients verbonden zijn

  • Koppel de printer aan de LTSP-clientcomputer (zowel USB- als parallelle poort worden ondersteund).

  • Configureer deze computer in lts.conf (standaardlocatie: /opt/ltsp/i386/etc/lts.conf) om een printer aan te sturen. Raadpleeg de LTSP-handleiding /usr/share/doc/ltsp/LTSPManual.html#printer voor de details.

  • Configureer de printer via de webinterface https://www:631 op de hoofdserver. Selecteer netwerkprinter, type AppSocket/HP JetDirect (voor alle printers ongeacht merk of model) en stel socket://<LTSP client ip>:9100 in als de URI van de verbinding.

17.4.6. De LTSP-omgeving opwaarderen

Het is nuttig om de LTSP-omgeving zeer regelmatig op te waarderen met nieuwe pakketten om er zeker van te zijn dat beveiligingsbijwerkingen en verbeteringen beschikbaar zijn. Om een opwaardering uit te voeren moet u op elke LTSP-server afzonderlijk als systeembeheerder de volgende opdrachten geven:

ltsp-chroot -a i386  # dit doet "chroot /opt/ltsp/i386" en meer, d.w.z. het verhindert ook dat achtergronddiensten opgestart worden
apt update
apt upgrade
apt full-upgrade
exit
ltsp-update-image
17.4.6.1. Bijkomende programmatuur installeren in de LTSP-omgeving

Om voor een LTSP-client bijkomende programmatuur te installeren, moet u de installatie uitvoeren binnen de chroot op de LTSP-server.

ltsp-chroot -a i386
## bewerk indien nodig het bestand sources.list:
#editor /etc/apt/sources.list
apt update
apt install $nieuw_pakket
exit
ltsp-update-image

17.4.7. Een traag verlopende aanmelding en aspecten van beveiliging

Skolelinux heeft het clientnetwerk uitgerust met een aantal beveiligingsvoorzieningen om te voorkomen dat iemand zich ongeoorloofd de rechten van systeembeheerder toe-eigent, om het onderscheppen van wachtwoorden te beletten en om nog andere kwaadaardige technieken die op het lokale netwerk gebruikt kunnen worden, tegen te gaan. Een voorbeeld van een dergelijke beveiligingsvoorziening is het gebruik van SSH voor veilig aanmelden, hetgeen bij LDM de standaard is. Dit kan ertoe leiden dat sommige clientmachines langzamer gaan werken omdat ze meer dan ongeveer vijftien jaar oud zijn en slechts uitgerust zijn met een 160 MHz processor en 32 MB RAM. Hoewel het niet aanbevolen wordt, kunt u in het bestand /opt/ltsp/i386/etc/lts.conf een regel toevoegen met:

LDM_DIRECTX=True

/!\ Waarschuwing: het voorgaande vormt enkel een bescherming bij de eerste aanmelding, maar nadien maken alle activiteiten gebruik van het niet-versleuteld X-protocol op het netwerk. Wachtwoorden (behalve bij de eerste aanmelding) zullen dus, net zoals al de rest, ongecodeerd over het netwerk doorgegeven worden.

Noot: aangezien zulke vijftien jaar oude thin-clients ook problemen kunnen hebben met recentere versies van LibreOffice en Firefox ten gevolge van het gebruik van cache door pixmap, moet u overwegen om thin-clients uit te rusten met minstens 128 MB RAM of om de apparatuur op te waarderen, hetgeen ook het voordeel kan hebben dat u de computers kunt gaan gebruiken als schijfloze werkstations.

17.5. Windowsmachines met het netwerk verbinden / Windows integreren

17.5.1. Toetreden tot een domein

Voor Windows-clients staat het Windowsdomein "SKOLELINUX" ter beschikking om er zich bij aan te sluiten. Op de hoofdserver werd een bijzondere dienst, Samba genaamd, geïnstalleerd die Windows-clients toelaat om gebruikersinstellingen en de bestanden van die gebruikers op te slaan en die ook belast werd met de authenticatie van gebruikers als ze zich aanmelden.

/!\ Om met een Windows-client toe te treden tot een domein, moet men de bewerkingen uitvoeren die beschreven staan in de Debian Edu Stretch Samba Howto.

Windows voert een synchronisatie uit van de profielen van de gebruikers van het Windowsdomein iedere keer iemand zich bij Windows aanmeldt of afmeldt. Dit vraagt soms wat tijd, afhankelijk van de hoeveelheid informatie die bewaard moet worden in dat profiel. Om de benodigde tijd te beperken, kunt u zaken inactief maken, zoals het gebruik door browsers van lokale cache (u kunt ze in de plaats daarvan gebruik laten maken van de op de hoofdserver geïnstalleerde proxy cache van Squid) en kunt u bestanden laten bewaren op de H:-schijf in plaats van onder "Mijn Documenten".

17.5.1.1. Gebruikersgroepen in Windows

Indien u de gebruikersgroepen in Windows wenst te controleren, moet u het hulpmiddel IFMEMBER.EXE van Microsoft downloaden. U kunt het dan bijvoorbeeld gebruiken in het script dat het zich aanmelden op het netwerk regelt en dat op de hoofdserver te vinden is als het bestand /etc/samba/netlogon/LOGON.BAT.

17.5.2. XP-home

Ook gebruikers die hun persoonlijke laptop met XP als besturingssysteem meebrengen, kunnen een verbinding maken met de hoofdserver aan de hand van hun onder skolelinux gangbare identificatiegegevens, op voorwaarde dat op hun laptop de werkgroepnaam ingesteld staat op SKOLELINUX. Ze zullen evenwel de firewall van Windows moeten uitzetten opdat ze de hoofdserver zouden kunnen zien in hun Netwerkomgeving (of hoe dat tegenwoordig ook mag heten).

17.5.3. Mobiele profielen beheren

Mobiele profielen bevatten de werkomgevingen van gebruikers met inbegrip van hun bureaubladcomponenten en -instellingen. Voorbeelden zijn eigen bestanden, de iconen op het bureaublad, menu's, schermkleuren, de instellingen voor de muis, de grootte en de plaats van vensters, de configuratie van toepassingen, netwerk- en printerkoppelingen. Mobiele profielen zijn overal beschikbaar, om het even waar de gebruiker zich aanmeldt, op voorwaarde dat de server bereikt kan worden.

Vermits het profiel gekopieerd wordt van de server naar de machine bij het aanmelden, en terug naar de server gekopieerd wordt bij het afmelden, kan een uitgebreid profiel ertoe leiden dat het proces van zich aanmelden/afmelden vanuit Windows pijnlijk langzaam verloopt. Vele oorzaken kunnen aan de basis liggen van een uitgebreid profiel, maar het meest voorkomende probleem is dat gebruikers hun bestanden opslaan op het bureaublad van Windows of in de map "Mijn Documenten" in plaats van in hun persoonlijke map. Ook sommige slecht geconcipieerde toepassingen gebruiken het profiel om gegevens in op te slaan en als werkgebied.

De educatieve aanpak: één manier om met overladen profielen om te gaan, is de situatie uitleggen aan de gebruikers. Leer hen om geen grote bestanden op hun bureaublad te bewaren. En als ze toch niet willen luisteren, is het gewoon maar hun eigen schuld dat zich aanmelden zo traag gaat.

Het profiel bijstellen: een andere benadering van het probleem is het verwijderen van delen van het profiel en andere delen ervan om te leiden naar een gewone opslag van bestanden. Dit verlegt de werklast van de gebruikers naar de systeembeheerder, terwijl het ook de complexiteit van de installatie vergroot. Er bestaan minstens drie manieren om de uit het mobiele profiel te verwijderen onderdelen te bewerken.

17.5.3.1. Voorbeelden van smb.conf bestanden voor mobiele profielen

FIXME: Maybe it is better to purge the examples. People who want to use roaming profiles should know what they are doing ...

/!\ Noot De voorbeelden zijn verouderd aangezien kerberos in wheezy ook ingesteld was voor samba!

Misschien werd bij de installatie van de hoofdserver ook een voorbeeld van het bestand smb.conf in de taal van uw voorkeur opgenomen in de map /usr/share/debian-edu-config/examples/. Het originele bestand is in het Engels en heet smb-roaming-profiles-en.conf; zoek naar een bestand met de passende taalcode in zijn naam (de Duitse vertaling bijvoorbeeld, zal smb-roaming-profiles-de.conf heten). Binnenin dat configuratiebestand vindt u een heleboel uitleg waar u eens naar zou moeten kijken.

17.5.3.2. Machinerichtlijnen in het licht van mobiele profielen

Machinerichtlijnen kunnen bewerkt worden en gekopieerd naar al de andere computers.

  1. Neem een pas geïnstalleerde Windowscomputer en geef het commando gpedit.msc

  2. Onder de keuzemogelijkheid "Gebruikersconfiguratie" -> "Beheerderssjablonen" -> "Systeem" -> "Gebruikersprofielen" -> "Mappen uitsluiten bij een mobiel profiel", kunt u een door puntkomma's gescheiden lijst van mappen ingeven die buiten het profiel gehouden moeten worden. U moet rekening houden met de internationale dimensie in de benaming van de mappen en u moet ze dus wellicht ingeven in uw eigen taal, of preciezer gezegd, zoals ze in het profiel voorkomen. Voorbeelden van mappen die buiten het profiel gehouden moeten worden zijn:

    • log

    • Instellingen voor taal

    • Tijdelijke internetbestanden

    • Mijn Documenten

    • Toepassingsgegevens

    • Tijdelijke internetbestanden

  3. Bewaar de wijzigingen en sluit de editor af.

  4. Kopieer c:\windows\system32\GroupPolicy naar alle andere Windowsmachines.

    • Het verdient aanbeveling om het te kopiëren naar het systeem waarmee u het Windows OS uitrolt, zodat het reeds in de installatie inbegrepen zit.

17.5.3.3. Algemene beleidskeuzes in verband met mobiele profielen

Als u gebruik maakt van de vroegere beleidseditor van Windows (poledit.exe), kunt u een beleidsbestand (NTConfig.pol) aanmaken en op de hoofdserver plaatsen in de gedeelde map voor aanmeldingen over het netwerk (netlogon). Dit heeft het voordeel dat het bijna onmiddellijk werkt op alle Windowsmachines.

Reeds enige tijd is het niet meer mogelijk om de beleidseditor apart te downloaden vanaf de website van Microsoft, maar u kunt hem nog steeds vinden als een onderdeel van de ORK-hulpmiddelen.

Met poledit.exe kunt u .pol-bestanden maken. Als u zo'n bestand op de hoofdserver plaatst als /etc/samba/netlogon/NTLOGON.POL, zal het automatisch door alle Windowsmachines ingelezen worden en tijdelijk het register overschrijven, waardoor de aanpassingen toegepast worden.

Om nuttig gebruik te kunnen maken van poledit.exe, moet u ook de aan uw besturingssysteem en aan de gebruikte toepassingen aangepaste .adm-bestanden downloaden; anders kunt u veel van de instellingen van poledit.exe niet gebruiken.

U moet weten dat de nieuwe hulpmiddelen voor het aanmaken van beleidsrichtlijnen voor groepen, gpedit.msc en gpmc.msc, geen .pol-bestanden kunnen aanmaken. Hun toepassingsgebied blijft daardoor beperkt tot de lokale machine en anders hebben ze een Active-Directoryserver nodig.

Een zeer goede website over dit onderwerp is http://gruppenrichtlinien.de, in de veronderstelling dat u Duits begrijpt.

17.5.3.4. Het register van Windows bewerken

U kunt het register op de lokale computer bewerken en deze registersleutel kopiëren naar de andere computers.

  1. Start de registereditor

  2. Ga naar HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

  3. Kies in het menu "Bewerken" -> "Nieuw" -> "Tekstwaarde".

  4. Noem het ExcludeProfileDirs

  5. Voer een door puntkomma's gescheiden lijst in van paden die uitgesloten moeten worden (op dezelfde manier als bij een beleidsrichtlijn voor machines)

  6. Nu kunt u er voor kiezen om deze registersleutel te exporteren als een .reg-bestand. Markeer een gebied, klik op de rechtermuisknop en kies "Exporteren".

  7. Bewaar het bestand. U kunt er op dubbelklikken of het in een script opnemen om het over te zetten naar de andere machines.

Bronnen:

17.5.4. Profielmappen omleggen

Soms volstaat het niet om mappen te verwijderen uit het profiel. U zult vaststellen dat bestanden van gebruikers verloren gaan omdat ze bepaalde dingen bij vergissing bewaren in de map "Mijn Documenten" en die map niet meer in het profiel zit. U zult ook de mappen die door sommige slecht ontwikkelde toepassingen gebruikt worden, willen omleggen naar gewone gedeelde mappen van het netwerk.

17.5.4.1. Een omlegging maken aan de hand van machinerichtlijnen

Alle instructies die we hiervoor gaven in verband met machinerichtlijnen, zijn ook hier van toepassing. U kunt gpedit.msc gebruiken om een richtlijn te bewerken en die nadien naar alle machines kopiëren. De functie omleggen is te vinden onder "Gebruikersconfiguratie" -> "Instellingen voor Windows" -> "Mappen Omleiden". Mappen waarvoor het nuttig kan zijn om die omlegging in te stellen, zijn onder meer "Bureaublad" en "Mijn Documenten".

Iets om te onthouden is dat wanneer u mapomlegging instelt, de omgelegde mappen automatisch toegevoegd worden aan de lijst van gesynchroniseerde mappen. Indien u dit effect niet wenst, moet u het uitschakelen via een van de volgende methodes:

  • "Gebruikersconfiguratie" -> "Beheerderssjablonen" -> "Netwerk" -> "Offline bestanden"

  • "Computerconfiguratie" -> "Beheerderssjablonen" -> "Netwerk" -> "Offline bestanden"

17.5.4.2. Een omlegging maken aan de hand van algemene richtlijnen

FIXME: explain how to use profiles from global policies for Windows machines in the skolelinux network

17.5.5. Mobiele profielen vermijden

17.5.5.1. Mobiele profielen uitschakelen aan de hand van een lokale richtlijn

Door gebruik te maken van een lokale richtlijn, kunt u het gebruik van mobiele profielen op een individuele machine uitschakelen. Dikwijls is dit wenselijk voor speciale machines - bijvoorbeeld voor machines met een bijzondere functie of machines die over minder dan de gewone bandbreedte kunnen beschikken.

U kunt daarvoor de hiervoor beschreven methode voor machinerichtlijnen toepassen; de registersleutel bevindt zich in "Beheerderssjablonen" -> "Systeem" -> "Gebruikersprofielen" -> "Enkel lokale profielen toestaan".

17.5.5.2. Mobiele profielen uitschakelen aan de hand van globale richtlijnen

FIXME: describe roaming profile key for the global policy editor here

17.5.5.3. Mobiele profielen uitschakelen in smb.conf

Indien in uw netwerk iedereen beschikt over een eigen computer waarop niemand anders mag werken, kunt u het gebruik van mobiele profielen voor het ganse netwerk uitzetten door de configuratie van Samba te bewerken. U wijzigt daarvoor het bestand smb.conf op de hoofdserver en schakelt daarin de variabelen "logon path" en "logon home" uit. Nadien moet u Samba opnieuw starten.

logon path = ""
logon home = ""

17.6. Extern Bureaublad (Remote Desktop)

17.6.1. De dienst extern bureaublad (Remote Desktop Service)

Wanneer u ervoor kiest om het profiel van LTSP-server of dat van gecombineerde server te installeren, wordt ook het pakket xrdp mee geïnstalleerd. Het is een pakket dat gebruik maakt van het protocol Remote Desktop (bureaublad op een andere computer) om aan de clientcomputer een extern grafisch aanmeldscherm aan te bieden. Dit laat gebruikers van Microsoft Windows toe om zonder het installeren van bijkomende programmatuur toch een verbinding te maken met een LTSP-server die het programma xrdp uitvoert. Er wordt dan op de Windowscomputer gewoon een verbinding geactiveerd via "Extern bureaublad" en de gebruiker kan zich aanmelden.

Bijkomend kan xrdp ook een verbinding maken met een VNC-server of een andere RDP-server.

Sommige gemeenten bieden een dienst 'extern bureaublad' aan, zodat studenten en leerkrachten toegang krijgen tot Skolelinux van thuis uit met een Windowscomputer, een Maccomputer of een Linuxcomputer.

Xrdp wordt zonder ondersteuning voor geluid geleverd; om de nodige modules te compileren zou u het volgende script kunnen gebruiken.

 #!/bin/bash
 # Script om de PulseAudio-modules voor xrd
 # te compileren / hercompileren.
 # De uitvoerder ervan moet root of lid van de sudo-groep zijn.
 # Ook moet /etc/apt/sources.list
 # een geldige deb-src-regel bevatten.
 set -e
  if [[ $UID -ne 0 ]] ; then  
     if ! groups | egrep -q sudo ; then
         echo "FOUT: U moet root of lid van de sudo-groep zijn."
         exit 1
     fi
 fi
 if ! egrep -q  ^deb-src /etc/apt/sources.list ; then
     echo "FOUT: Zorg voor een deb-src-regel in /etc/apt/sources.list."
     exit 1
 fi
 TMP=$(mktemp -d)
 PULSE_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' pulseaudio)"
 XRDP_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' xrdp)"
 sudo apt -q update
 # Broncode en bouwvereisten ophalen:
 sudo apt -q install dpkg-dev
 cd $TMP
 apt -q source pulseaudio xrdp
 sudo apt -q build-dep pulseaudio xrdp
 # Voor pulseaudio moet enkel 'configure' gebeuren:
 cd pulseaudio-$PULSE_UPSTREAM_VERSION/
 ./configure
 # Aanpassen van de Makefile voor de pulseaudio-modules
 # (het absoluut pad is vereist)
 # en bouwen van de pulseaudio-modules.
 cd $TMP/xrdp-$XRDP_UPSTREAM_VERSION/sesman/chansrv/pulse/
 sed -i 's/^PULSE/#PULSE/' Makefile
 sed -i "/#PULSE_DIR/a \
 PULSE_DIR = $TMP/pulseaudio-$PULSE_UPSTREAM_VERSION" Makefile
 make
 # Modules kopiëren naar de map voor Pulseaudio-modules,
 # rechten aanpassen.
 sudo cp *.so /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/
 sudo chmod 644 /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/module-xrdp*
 # Herstarten van xrdp, nu met ondersteuning voor geluid.
 sudo service xrdp restart

17.6.2. Beschikbare clients voor verbinding met een extern bureaublad

  • freerdp-x11 wordt standaard geïnstalleerd en ondersteunt zowel RDP als VNC.

    • RDP - de eenvoudigste manier om een koppeling te maken met een Windows terminalserver. Een pakket met een alternatieve client is rdesktop.

    • Een VNC-client (Virtual Network Computer) geeft vanop afstand toegang tot Skolelinux. Een pakket met een alternatieve client is xvncviewer.

  • De grafische client NX laat studenten en leerkrachten toe om met een Windows-, Mac- of Linux-PC externe toegang te krijgen tot Skolelinux. In Noorwegen is er een gemeente die sinds 2005 NX-ondersteuning biedt voor alle studenten. Zij rapporteert dat het om een stabiele oplossing gaat.

  • HowTo voor de Citrix ICA-client waarmee vanuit Skolelinux verbinding gemaakt kan worden met een Windows terminalserver.

18. Samba in Debian Edu

/!\ De informatie in dit hoofdstuk is verouderd. Gelieve op de Samba wiki de verstrekte informatie over ondersteunde Windowsversies, de noodzakelijke aanpassingen in het register en andere procedures te willen lezen. Wellicht moet een regel toegevoegd worden met server max protocol = NT1 in de sectie [global] van /etc/samba/smb-debian-edu.conf op de hoofdserver. Mocht u weten hoe u Samba moet configureren voor Debian Edu, overweeg dan alstublieft om te helpen bij het actualiseren van dit hoofdstuk.

https://wiki.samba.org/index.php/Joining_a_Windows_Client_or_Server_to_a_Domain

https://wiki.samba.org/index.php/Required_Settings_for_Samba_NT4_Domains

Samba is volledig klaargemaakt om te fungeren als een domeinbeheerder in NT4-stijl voor clientcomputers met Windows XP, Windows Vista en Windows 7. Nadat een machine aan het domein is toegevoegd, kan het beheer van die machine volledig met GOsa² gedaan worden.

18.1. Aan de slag

Deze documentatie gaat ervan uit dat u de hoofdserver van Debian Edu geïnstalleerd heeft en wellicht ook een werkstation van Debian Edu om na te gaan of het u lukt om onder Debian Edu/Skolelinux te werken. Wij veronderstellen dat u reeds enkele gebruikers heeft aangemaakt die probleemloos aan de slag kunnen gaan op het werkstation van Debian Edu. We nemen ook aan dat u een werkstation met Windows XP/Vista/7 bij de hand heeft, zodat u kunt testen of u vanaf een Windowsmachine verbinding kunt krijgen met de hoofdserver van Debian Edu.

Na de installatie van de hoofdserver van Debian Edu, zou de Sambacomputer \\TJENER te zien moeten zijn in de Netwerkomgeving van uw Windowscomputer. Debian Edu gebruikt het Windowsdomein SKOLELINUX. Gebruik een Windowsmachine (of een Linuxsysteem met smbclient) om door uw Windows/Samba-netwerkomgeving te navigeren.

  1. START -> Commando uitvoeren

  2. voer \\TJENER in en druk op de Enter-toets

  3. -> Windows Explorer zou een venster moeten openen en de gedeelde map netlogon op \\TJENER zou te zien moeten zijn, en eventueel ook printers indien u er al geconfigureerd heeft om onder Unix/Linux te printen (CUPS-wachtrijen).

18.1.1. Toegang tot bestanden via Samba

Gebruikersaccounts van studenten en leerkrachten die via GOsa² aangemaakt werden zouden in staat moeten zijn om zich te authenticeren voor \\TJENER\HOMES of \\TJENER\<gebruikersnaam> en met een Windowsmachine toegang te krijgen tot hun persoonlijke map, als die machine toegevoegd werd aan het Windowsdomein SKOLELINUX.

  1. START -> Commando uitvoeren

  2. voer \\TJENER\HOMES of \\TJENER\<gebruikersnaam> in en druk op de Enter-toets

  3. authenticeer u door uw aanmeldingsinformatie (gebruikersnaam, wachtwoord) in te geven in het dialoogvenster dat op het scherm verschijnt

  4. -> nu zou er zich een venster van Windows Explorer moeten openen waarin de bestanden en mappen uit uw persoonlijke map van Debian Edu te zien zijn.

Standaard worden enkel de gedeelde mappen [homes] en [netlogon] geëxporteerd; meer voorbeelden van het gebruik van gedeelde mappen voor studenten en leerkrachten zijn te vinden in het bestand /etc/samba/smb-debian-edu.conf op de hoofdserver van uw DebianEdu netwerk.

18.2. Deel uitmaken van een domein

Om Samba op TJENER te laten fungeren als domeinbeheerder, moeten de Windows werkstations in uw netwerk toetreden tot het domein SKOLELINUX waarin de hoofdserver van Debian Edu voorziet.

Het eerste wat u moet doen is het account SKOLELINUX\Administrator instellen. Dit account is niet bedoeld voor dagelijks gebruik; de belangrijkste functie ervan is momenteel Windows machines kunnen toevoegen aan het domein SKOLELINUX. Om dit account in te stellen moet u zich aanmelden op TJENER als de eerste gebruiker (die tijdens de installatie van de hoofdserver aangemaakt werd) en de volgende opdracht geven:

  • $ sudo smbpasswd -e Administrator

Het wachtwoord voor SKOLELINUX\Administrator werd tijdens de installatie van de hoofdserver reeds vooraf geconfigureerd. Maak daarom gebruik van het account van de systeembeheerder om u als SKOLELINUX\Administrator te authenticeren.

Zorg er voor om het account voor SKOLELINUX\Administrator terug uit te schakelen nadat u klaar bent met uw taken als beheerder:

  • $ sudo smbpasswd -d Administrator

18.2.1. De naam van de Windowscomputer

Zorg er voor dat de Windowscomputer de naam draagt die u er voor wenst te gebruiken binnen het SKOLELINUX-domein. Zo niet moet u hem eerst hernoemen (en hem vervolgens opnieuw opstarten). De computernaam van de Windowscomputer die in het NetBIOS opgeslagen ligt, is de naam die later in GOsa² gebruikt wordt en daar niet veranderd kan worden (zonder voor die computer zijn lidmaatschap van een domein teniet te doen).

18.2.2. Een computer met Windows XP toevoegen aan het domein SKOLELINUX

Het toevoegen van machines met Windows XP zou probleemloos moeten verlopen (dit werd uitgetest met Service Pack 3).

Noot: de Home-versie van Windows XP biedt geen ondersteuning voor domeinlidmaatschap; de Professional-versie van Window XP is hiervoor vereist.

  1. meld uzelf aan op de Windows XP machine als Administrator (of als om het even welke andere gebruiker met de bevoegdheid van Administrator)

  2. klik op "Start", klik vervolgens met de rechtermuisknop op "Computer" en klik daarna op "Eigenschappen"

  3. selecteer het tabblad "Computernaam" en klik op "Wijzigen..."

  4. onder "Lid van", kiest u het keuzerondje naast "Domein:", type SKOLELINUX en klik daarna op "OK"

  5. in een pop-upkader wordt u gevraagd om de aanmeldingsinformatie in te geven van een gebruiker die de bevoegdheid heeft om een computer aan een domein toe te voegen. Geef als gebruikersnaam SKOLELINUX\Administrator in en het wachtwoord van de systeembeheerder. Klik vervolgens op "OK"

  6. bij wijze van bevestiging krijgt u een pop-upkader dat u welkom heet in het domein SKOLELINUX. Klik op "OK" en er verschijnt een boodschap met de vermelding dat u de machine opnieuw dient te starten om de aangebrachte wijzigingen te doen ingaan. Klik op "OK"

Nadat de computer opnieuw opgestart werd, klikt u bij de eerstvolgende aanmelding op de knop "Opties >>" en vervolgens kiest u het domein SKOLELINUX in plaats van het lokale domein ("deze computer").

Indien het toevoegen van de computer aan het domein met succes werd uitgevoerd, zou u nadien in staat moeten zijn om de informatie over de computer te bekijken met GOsa² (onder de menuafdeling "Systemen").

18.2.3. Een computer met Windows Vista/7 toevoegen aan het domein SKOLELINUX

Een computer met Windows Vista/7 toevoegen aan het domein SKOLELINUX vereist het installeren van een kleine aanvulling in het register van de client met Windows Vista/7. Dit stukje kunt u vinden op de volgende plaats:

  • \\tjener\netlogon\win7+samba_domain-membership\Win7_Samba3DomainMember.reg

Raadpleeg het bijgevoegde bestand README_Win7-Domain-Membership.txt in dezelfde map voor bijkomende informatie. Zorg er voor dat u deze aanpassing uitvoert als de lokale Administrator voor die Windowscomputer.

Nadat u deze aanpassing heeft gedaan en de client opnieuw werd opgestart, zou u in staat moeten zijn om de computer toe te voegen aan het domein SKOLELINUX:

  1. klik op "Start", klik vervolgens met de rechtermuisknop op "Computer" en klik daarna op "Eigenschappen"

  2. een pagina met de basale systeeminformatie zal zich openen. Onder "Computernaam, domein, instellingen voor werkgroepen", klikt u op "Instellingen wijzigen"

  3. op de pagina Systeemeigenschappen, klikt u op "Wijzigen..."

  4. onder "Lid van", kiest u het keuzerondje naast "Domein:", type SKOLELINUX en klik daarna op "OK"

  5. in een pop-upkader wordt u gevraagd om de aanmeldingsinformatie in te geven van een gebruiker die de bevoegdheid heeft om een computer aan een domein toe te voegen. Geef als gebruikersnaam SKOLELINUX\Administrator in en het wachtwoord van de systeembeheerder. Klik vervolgens op "OK"

  6. bij wijze van bevestiging krijgt u een pop-upkader dat u welkom heet in het domein SKOLELINUX. Klik op "OK" en er verschijnt een boodschap met de vermelding dat u de machine opnieuw dient te starten om de aangebrachte wijzigingen te doen ingaan. Klik op "OK"

Nadat de computer opnieuw opgestart werd, klikt u bij de eerstvolgende aanmelding op de knop "Opties >>" en vervolgens kiest u het domein SKOLELINUX in plaats van het lokale domein ("deze computer").

Indien het toevoegen van de computer aan het domein met succes werd uitgevoerd, zou u nadien in staat moeten zijn om de informatie over de computer te bekijken met GOsa² (onder de menuafdeling "Systemen").

18.3. De eerste aanmelding op het domein

Debian Edu bevat een aantal aanmeldingsscripts die bij de eerste aanmelding van een gebruiker sommige elementen van het Windowsgebruikersprofiel vooraf configureren. Wanneer men zich voor de eerste maal aanmeldt op een Windows-werkstation dat aan het domein SKOLELINUX werd toegevoegd, worden de volgende taken uitgevoerd:

  1. het Firefoxprofiel van die gebruiker wordt naar een afzonderlijke plaats gekopieerd en het wordt kenbaar gemaakt bij Mozilla Firefox onder Windows

  2. een Web-Proxy en een startpagina voor Firefox worden ingesteld

  3. een Web-Proxy en een startpagina voor IE worden ingesteld

  4. op het bureaublad wordt het icoon MijnPersoonlijkeMap geplaatst dat verwijst naar de H:-schijf. Als men er op dubbelklikt wordt de Windowsverkenner gestart

Een aantal andere taken worden bij iedere aanmelding uitgevoerd. Voor verdere informatie hierover verwijzen we graag door naar de map /etc/samba/netlogon op de hoofdserver van uw Debian Edu netwerk.

19. HowTo's in verband met leren en onderrichten

Alle pakketten van Debian die in dit onderdeel vermeld worden, kunt u installeren door (als systeembeheerder) de opdracht apt install <pakket> te geven.

19.1. Onderricht in programmeren

stable/education-development is een meta-pakket dat een heleboel programmeerhulpmiddelen als vereiste heeft. Merk op dat bijna 2 GiB schijfruimte vereist is als dit pakket geïnstalleerd wordt. Raadpleeg voor bijkomende informatie (om eventueel slechts enkele pakketten te installeren) de pagina van Debian Edu over pakketten voor ontwikkelaars.

19.2. Leerlingen opvolgen

/!\ Waarschuwing: zorg ervoor dat u goed geïnformeerd bent over de wettelijke bepalingen in verband met het opvolgen en beperken van de activiteiten van uw computergebruikers in uw rechtsgebied.

Sommige scholen gebruiken controlehulpmiddelen zoals Epoptes of iTALC om hun studenten te superviseren. Zie ook: de Homepagina van Epoptes en de Homepagina van iTALC.

Om volledige ondersteuning te krijgen voor Epoptes, zijn deze stappen nodig.

# Uit te voeren op een combi-server
# (en op alle extra ltsp-servers):
apt update
apt install epoptes
ltsp-chroot -m --arch i386 apt update
ltsp-chroot -m --arch i386 apt install epoptes-client
ltsp-chroot -m --arch i386 apt install ssvnc
ltsp-chroot -m --arch i386 sed -i 's/test -f/#test -f/' /etc/init.d/epoptes-client 
ltsp-chroot -m --arch i386 sed -i 's/grep -qs/#grep -qs/' /etc/init.d/epoptes-client 
# Als schrijfruimte belangrijk is,
# gebruik dan eerder 'ltsp-update-image -n'.
ltsp-update-image

19.3. De netwerktoegang voor leerlingen beperken

Sommige scholen maken gebruik van Squidguard of Dansguardian om de toegang tot het Internet te beperken.

19.4. HowTo's van wiki.debian.org

De HowTo's van http://wiki.debian.org/DebianEdu/HowTo/ zijn ofwel gebruikersgericht, ofwel gericht op ontwikkelaars. Laten we de HowTo's die op gebruikers gericht zijn naar hier verplaatsen (en ze ginds verwijderen)! (Maar eerst moeten de auteurs ervan gevraagd worden of ze het goed vinden om de howto's te verplaatsen en ze onder een GPL-licentie te plaatsen - kijk de geschiedenis van de webpagina's na om die auteurs te vinden).

20. HowTo's voor gebruikers

20.1. Wachtwoorden wijzigen

Iedere gebruiker zou zijn of haar wachtwoord moeten wijzigen via GOsa². Om dit te doen, moet men een browser gebruiken en naar https://www/gosa/ gaan.

GOsa² gebruiken om een wachtwoord te wijzigen garandeert dat de wachtwoorden voor Kerberos (krbPrincipalKey), LDAP (userPassword) en Samba (sambaNTPassword en sambaLMPassword) identiek zijn.

Het wijzigen van een wachtwoord met PAM functioneert ook aan de aanmeldingsprompt van GDM, maar dit past enkel het Kerberos-wachtwoord aan, en niet het wachtwoord voor Samba en GOsa² (LDAP). Indien u dus uw wachtwoord wijzigde aan de aanmeldingsprompt, zou u het zeker ook moeten wijzigen via GOsa².

20.2. Java

20.2.1. Autonome Java-toepassingen uitvoeren

Autonome Java-toepassingen worden automatisch ondersteund door OpenJDK, een omgeving voor het uitvoeren van javatoepassingen.

20.2.2. Java-toepassingen in een webbrowser uitvoeren

Het uitvoeren van Java-applets in de webbrowser Firefox ESR wordt ondersteund door de OpenJDK Java runtime-omgeving. Gelieve te noteren dat deze ondersteuning in het begin van 2018 afloopt.

20.3. Het gebruik van e-mail

Alle gebruikers kunnen binnen het interne netwerk e-mail versturen en ontvangen. Zelf-ondertekende certificaten worden voorzien om met TLS beveiligde verbindingen mogelijk te maken. Om het gebruik van e-mail buiten het interne netwerk mogelijk te maken, moet de systeembeheerder de mailserver exim4 configureren overeenkomstig de lokale situatie. Die configuratie bijwerken begint bij de opdracht dpkg-reconfigure exim4-config.

Elke gebruiker die Thunderbird wenst te gebruiken, moet het op de volgende manier configureren. Voor een gebruiker met de gebruikersnaam jdoe, is het interne e-mailadres jdoe@postoffice.intern.

20.3.1. Thunderbird

  • Start Thunderbird

  • Klik op 'Deze stap overslaan en mijn bestaande e-mail gebruken'

  • Voer uw e-mailadres in

  • Vink 'Wachtwoord onthouden' uit

  • voer uw wachtwoord niet in, aangezien het 'single sign on'-systeem van Kerberos gebruikt zal worden

  • Klik op 'Doorgaan'

  • Voor IMAP en SMTP moeten de instellingen telkens 'STARTTLS' en 'Kerberos/GSSAPI' zijn. Pas ze aan als dit niet automatisch gedetecteerd wordt.

  • Klik op 'Klaar'

  • De eerste keer dat u het Postvak IN opent, klikt u op 'Beveiligingsuitzondering bevestigen' om het certificaat te aanvaarden. Hetzelfde is van toepassing wanneer u voor het eerst een e-mail verzendt.

20.3.2. Een Kerberos-toegangsbewijs verkrijgen om e-mail te lezen op schijfloze werkstations

Indien u op een schijfloos werkstation werkt, heeft u standaard geen Kerberos-TGT. Om er een te bekomen, moet u in de taakbalk op de knop aanmeldingsgegevens klikken. Voer uw wachtwoord in en het toegangsbewijs wordt afgeleverd.

20.4. Het geluidsvolume regelen

Op thin clients kunt u pavucontrol of alsamixer (maar niet kmix) gebruiken om het geluidsvolume te regelen.

Op de andere machines (werkstations, LTSP servers, en schijfloze werkstations), kunt u kmix of alsamixer gebruiken.

21. Meewerken

21.1. Meewerken op lokaal vlak

Momenteel bestaan er lokale teams in Noorwegen, Duitsland, de regio Extremadura in Spanje, Taiwan en Frankrijk. "Individuele" medewerkers en gebruikers zijn er in Griekenland, Nederland, Japan en op nog andere plaatsen.

Het hoofdstuk ondersteuning bevat uitleg en koppelingen naar lokale hulpbronnen, aangezien meewerken en ondersteunen twee kanten zijn van dezelfde medaille.

21.2. Wereldwijd meewerken

Op internationaal vlak hebben we ons georganiseerd in meerdere teams die werken op verschillende thema's.

In de meeste gevallen fungeert de mailinglijst voor ontwikkelaars als ons belangrijkste communicatiemedium, maar eens per maand hebben we een IRC-vergadering op #debian-edu op irc.debian.org en zelfs ook, weliswaar minder frequent, echte vergaderingen waarop we elkaar persoonlijk ontmoeten. Nieuwe medewerkers zouden onze http://wiki.debian.org/DebianEdu/ArchivePolicy moeten lezen.

Een goede manier om te weten wat er gebeurt op het vlak van de ontwikkeling van Debian Edu, is zich abonneren op de mailinglijst over aanpassingen aan de broncode.

21.3. Auteurs van documentatie en vertalers

Dit document heeft uw hulp nodig! Eerst en vooral is het op dit moment nog niet af. Terwijl u het leest, zult u merken dat er op verschillende plaatsen in de tekst nog FIXMEs staan. Indien u toevallig (een beetje) kennis mocht hebben over wat daar uitgelegd moet worden, overweeg dan alstublieft om uw kennis met ons te delen.

De broncode van de tekst is een wiki die eenvoudig met behulp van een webbrowser bewerkt kan worden. Ga gewoon naar http://wiki.debian.org/DebianEdu/Documentation/Stretch/ en u kunt zomaar beginnen mee te werken. Noot: u heeft wel een gebruikersaccount nodig om de pagina's te bewerken: eerst moet u een wiki-gebruikersaccount aanmaken.

Een heel goede andere manier om mee te werken en gebruikers te helpen, is door programmatuur en documentatie te vertalen. Informatie over hoe dit document te vertalen, is te vinden in het hoofdstuk vertalingen van dit boek. Overweeg alstublieft om te helpen bij het vertalen van dit boek!

22. Ondersteuning

22.1. Ondersteuning op vrijwillige basis

22.1.1. In het Engels

22.1.2. In het Noors

22.1.3. In het Duits

22.1.4. In het Frans

22.2. Professionele ondersteuning

Een lijst van bedrijven die professionele ondersteuning bieden vindt u op http://wiki.debian.org/DebianEdu/Help/ProfessionalHelp.

23. Nieuwe functionaliteit in Debian Edu Stretch

23.1. Nieuwe functionaliteit voor Debian Edu 9+edu0 codenaam Stretch

23.1.1. Bekende problemen

23.1.2. Veranderingen aan het installatieproces

  • Nieuwe versie van het installatieprogramma van Debian Stretch. Voor meer details kunt u terecht bij de installatiehandleiding.

  • Het profiel "Thin-clientserver" kreeg de nieuwe naam "LTSP-Server".

  • Nieuwe illustraties die gebaseerd zijn op het thema "soft Waves", de standaardillustraties voor Debian 9 Stretch.

23.1.3. Bijwerkingen van programmatuur

  • Alles wat nieuw is in Debian 9 Stretch, bijvoorbeeld:

    • Linux kernel versie 4.9

    • Desktopomgevingen KDE Plasma Werkomgeving 5.8, GNOME 3.22, Xfce 4.12, LXDE 0.99.2, MATE 1.16

      • De KDE Plasma Werkomgeving wordt standaard geïnstalleerd; raadpleeg deze handleiding om een van de andere te kiezen.

    • Firefox 45.9 ESR en Chromium 59

      • De naam van Iceweasel werd opnieuw veranderd naar Firefox! :-)

    • De naam van Icedove werd opnieuw veranderd naar Thunderbird en wordt nu standaard geïnstalleerd.

    • LibreOffice 5.2.6

    • Gereedschapskist voor het onderwijs GCompris versie 15.10

    • Programma voor muziekcreatie Rosegarden 16.06

    • GOsa 2.7.4

    • LTSP 5.5.9

    • Debian Stretch stelt meer 50.000 pakketten ter beschikking, klaar voor installatie.

23.1.4. Documentatie en bijwerkingen van vertalingen

  • Bijgewerkte vertalingen van de sjablonen die in het installatieprogramma gebruikt worden. Deze sjablonen zijn nu in 29 talen beschikbaar.

  • De handleiding van Debian Edu Stretch is volledig vertaald naar het Duits, het Frans, het Italiaans, het Nederlands, het Noors Bokmål en het Japans. De Japanse vertaling is nieuw in Stretch.

    • Er bestaan gedeeltelijk vertaalde versies in het Spaans, het Pools en het Vereenvoudigd Chinees.

23.1.5. Andere veranderingen vergeleken met de vorige uitgave

  • Icinga vervangt Nagios als monitoringsysteem.

  • kde-spectacle vervangt ksnapshot als schermafdrukgereedschap.

  • De vrije flash-player gnash is terug van weggeweest.

  • Plymouth wort standaard geïnstalleerd en geactiveerd, behalve voor de profielen 'Hoofdserver' en 'Minimaal'. U krijgt de opstart- en afsluitmeldingen te zien als u op de ESC-toets drukt.

  • Bij de opwaardering vanuit Jessie moet de databank van LDAP aangepast worden. De waarde 'tjener' van sudoHost moet veranderd worden in 'tjener.intern' met behulp van GOsa² of een LDAP-editor.

  • De zuivere i586-processor wordt niet langer ondersteund door de uitgave voor 32-bits PC's (gekend als de Debian architectuur i386). Voortaan is de i686 het ondersteunde basismodel, hoewel sommige i586-processoren (bijv. de "AMD Geode") wel nog ondersteund blijven.

  • Op nieuwe installaties wordt door Debian 9 'unattended upgrades' (onbemand opwaarderen - voor beveiligingsupdates) standaard geactiveerd. Bij een systeem dat nog niet lang opgestart is kan dit het gevolg hebben dat het opnieuw afsluiten ervan ongeveer 15 minuten kan duren.

  • LTSP gebruikt nu NBD in plaats van NFS als basisbestandssysteem. Na iedere verandering aan een LTSP-chroot moet het ermee verband houdende NBD-image opnieuw gegenereerd worden (ltsp-update-image) opdat de wijzigingen van kracht zouden worden.

  • Het wordt niet langer toegestaan dat eenzelfde gebruiker gelijktijdig aangemeld is op een LTSP-server en een LTSP thin-client.

24. Auteursrechten en auteurs

De volgende auteurs, bij wie ook de auteursrechten berusten, schreven mee aan dit document: Holger Levsen (2007, 2008, 2009, 2010, 2011, 2012, 2013, 2014, 2015, 2016, 2017, 2018), Petter Reinholdtsen (2001, 2002, 2003, 2004, 2007, 2008, 2009, 2010, 2012, 2014), Daniel Heß (2007), Patrick Winnertz (2007), Knut Yrvin (2007), Ralf Gesellensetter (2007), Ronny Aasen (2007), Morten Werner Forsbring (2007), Bjarne Nielsen (2007, 2008), Nigel Barker (2007), José L. Redrejo Rodríguez (2007), John Bildoy (2007), Joakim Seeberg (2008), Jürgen Leibner (2009, 2010, 2011, 2012, 2014), Oded Naveh (2009), Philipp Hübner (2009, 2010), Andreas Mundt (2010), Olivier Vitrat (2010, 2012), Vagrant Cascadian (2010), Mike Gabriel (2011), Justin B Rye (2012), David Prévot (2012), Wolfgang Schweer (2012, 2013, 2014, 2015, 2016, 2017, 2018), Bernhard Hammes (2012) en Joe Hansen (2015). Het document werd uitgegeven onder de licentie GPL2 of een latere versie. Geniet ervan!

Mocht u er inhoud aan toevoegen, doe dit dan alstublieft enkel voor zover u er zelf de auteur van bent. U dient die inhoud ook onder dezelfde voorwaarden vrij te geven! Voeg hier vervolgens uw naam toe en geef de inhoud vrij onder de licentie "GPL v2 of enige latere versie".

25. Auteursrechten en auteurs van vertalingen

De auteursrechten van de Spaanse vertaling berusten bij José L. Redrejo Rodríguez (2007), Rafael Rivas (2009, 2010, 2011, 2012, 2015) en Norman Garcia (2010, 2012, 2013). De vertaling is vrijgegeven onder de licentie GPL v2 of een latere versie.

De auteursrechten van de vertaling naar het Bokmål berusten bij Petter Reinholdtsen (2007, 2012, 2014, 2015, 2016, 2017, 2018), Håvard Korsvoll (2007-2009), Tore Skogly (2008), Ole-Anders Andreassen (2010), Jan Roar Rød (2010), Ole-Erik Yrvin (2014, 2016, 2017), Ingrid Yrvin (2014, 2015, 2016, 2017), Hans Arthur Kielland Aanesen (2014), Knut Yrvin (2014), FourFire Le'bard (2014), Stefan Mitchell-Lauridsen (2014), Ragnar Wisløff (2014) en Allan Nordhøy (2018). De vertaling is vrijgegeven onder de licentie GPL v2 of een latere versie.

De auteursrechten van de Duitse vertaling berusten bij Holger Levsen (2007), Patrick Winnertz (2007), Ralf Gesellensetter (2007, 2009), Roland F. Teichert (2007, 2008, 2009), Jürgen Leibner (2007, 2009, 2011, 2014), Ludger Sicking (2008, 2010), Kai Hatje (2008), Kurt Gramlich (2009), Franziska Teichert (2009), Philipp Hübner (2009), Andreas Mundt (2009, 2010) en Wolfgang Schweer (2012, 2013, 2014, 2015, 2016, 2017, 2018). De vertaling is vrijgegeven onder de licentie GPL v2 of een latere versie.

De auteursrechten van de Italiaanse vertaling berusten bij Claudio Carboncini (2007, 2008, 2009, 2010, 2011, 2012, 2013, 2014, 2015, 2016, 2017, 2018) en Beatrice Torracca (2013, 2014). De vertaling is vrijgegeven onder de licentie GPL v2 of een latere versie.

De auteursrechten van de Franse vertaling berusten bij Christophe Masson (2008), Olivier Vitrat (2010), Cédric Boutillier (2012, 2013, 2014, 2015), Jean-Paul Guilloneau (2012), David Prévot (2012), Thomas Vincent (2012), Jean-Pierre Giraud (2019) en het Franse l10n-team (2009, 2010, 2012, 2019). De vertaling is vrijgegeven onder de licentie GPL v2 of een latere versie.

De auteursrechten van de Deense vertaling berusten bij Joe Hansen (2012, 2013, 2014, 2015, 2016). De vertaling is vrijgegeven onder de licentie GPL v2 of een latere versie.

De auteursrechten van de Nederlandse vertaling berusten bij Frans Spiesschaert (2014, 2015, 2016, 2017, 2018). De vertaling is vrijgegeven onder de licentie GPL v2 of een latere versie.

De auteursrechten van de Japanse vertaling berusten bij victory (2016, 2017) en hoxp18 (2019). De vertaling is vrijgegeven onder de licentie GPL v2 of een latere versie.

De auteursrechten van de Poolse vertaling berusten bij Stanisław Krukowski (2016, 2017) en Wiktor Wandachowicz (2019). De vertaling is vrijgegeven onder de licentie GPL v2 of een latere versie.

De auteursrechten van de vertaling naar het Vereenvoudigd Chinees berusten bij Ma Yong (2016, 2017, 2018, 2019), Boyuan Yang (2017) en Roy Zhang (2017). De vertaling is vrijgegeven onder de licentie GPL v2 of een latere versie.

26. Vertalingen van dit document

Versies van dit document zijn beschikbaar in het Duits, Italiaans, Frans, Deens, Nederlands, Noors Bokmål en het Japans. Gedeeltelijke vertalingen bestaan in het Spaans, Pools en Vereenvoudigd Chinees. Er bestaat een onlineoverzicht van alle vertalingen.

26.1. Hoe dit document vertalen

26.1.1. Gebruik PO-bestanden voor het vertalen

Zoals het geval is voor vele projecten van vrije programmatuur, worden vertalingen van dit document bijgehouden in PO-bestanden. Meer informatie over het proces van vertalen kunt u vinden in het bestand /usr/share/doc/debian-edu-doc/README.debian-edu-stretch-manual-translations. Dit bestand bevindt zich ook in de opslagruimte van Git (zie hierna). Ga er een kijkje nemen en bekijk ook de taalspecifieke conventies indien u wenst te helpen met het vertalen van dit document.

Om uw vertaling te kunnen vastleggen, moet u lid zijn van het Salsaproject debian-edu.

Maak vervolgens verbinding via ssh en haal de broncode op van debian-edu-doc: git clone git@salsa.debian.org:debian-edu/debian-edu-doc.git

Indien u enkel een vertaling wenst te maken, moet u slechts enkele bestanden ophalen uit Git (dit kan anoniem gebeuren). Gelieve vervolgens een bugrapport op te maken voor het pakket debian-edu-doc en voeg het PO-bestand toe als bijlage bij het bugrapport. Hier vindt u wat instructies over hoe een bugrapport op te maken.

U kunt anoniem de broncode van debian-edu-doc ophalen met de volgende opdracht (opdat dit zou werken moet u het pakket git geïnstalleerd hebben):

  • git clone https://salsa.debian.org/debian-edu/debian-edu-doc.git

Bewerk vervolgens het bestand documentation/debian-edu-stretch/debian-edu-stretch-manual.$CC.po (waarbij u $CC moet vervangen door de lettercode voor uw taal). Er staan veel hulpmiddelen ter beschikking voor het maken van een vertaling. Wij suggereren om gebruik te maken van lokalize.

Nadien kunt u ofwel rechtstreeks het bestand vastleggen in Git (indien u over de rechten beschikt om dat te doen) of het bestand meesturen met een bugrapport.

Om uw lokale kopie bij te werken met die uit de opslagruimte van Git, moet u de volgende opdracht geven terwijl u zich in de map debian-edu-doc bevindt:

  • git pull

In het bestand /usr/share/doc/debian-edu-doc/README.debian-edu-stretch-manual-translations kunt u informatie vinden over het aanmaken van een nieuw PO-bestand voor uw taal als er zo nog geen bestaat. U vindt er ook informatie over hoe u vertalingen moet bijwerken.

Denk eraan dat deze handleiding nog steeds verder ontwikkeld wordt en dus moet u onderdelen waarbij "FIXME" staat, niet vertalen.

Basisinformatie over Salsa (de computer waarop zich onze opslagruimte van Git bevindt) en over Git is te vinden op https://wiki.debian.org/Salsa.

Indien u nog geen ervaring heeft met Git, raadpleeg dan het boek Pro Git. Het bevat een hoofdstuk over het opslaan van veranderingen in de opslagruimte. Wellicht wenst u ook eens te kijken naar het pakket gitk dat een grafische werkomgeving voor Git aanbiedt.

26.1.2. Online vertalen met behulp van een webbrowser

Sommige vertaalteams hebben belsist om de vertaling via Weblate te maken. Zie https://hosted.weblate.org/projects/debian-edu-documentation/debian-edu-stretch/ voor bijkomende informatie.

Gelieve ons eventuele problemen te rapporteren.

27. Bijlage A - De GNU Algemene Gebruikerslicentie

Opmerking ten behoeve van vertalers: het vertalen van de tekst van de GPL-licentie is niet nodig.
Er zijn vertalingen te vinden op https://www.gnu.org/licenses/old-licenses/gpl-2.0-translations.html. 

27.1. Handleiding voor Debian Edu 9+edu0 codenaam Stretch

Copyright (C) 2007-2018 Holger Levsen < holger@layer-acht.org > en anderen. Raadpleeg het hoofdstuk over Auteursrechten voor de volledige lijst van personen bij wie de auteursrechten berusten.

This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version.

This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.

You should have received a copy of the GNU General Public License along with this program; if not, write to the Free Software Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 USA.

27.2. GNU GENERAL PUBLIC LICENSE

Version 2, June 1991

Copyright (C) 1989, 1991 Free Software Foundation, Inc. 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301, USA. Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed.

27.3. TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION

0. This License applies to any program or other work which contains a notice placed by the copyright holder saying it may be distributed under the terms of this General Public License. The "Program", below, refers to any such program or work, and a "work based on the Program" means either the Program or any derivative work under copyright law: that is to say, a work containing the Program or a portion of it, either verbatim or with modifications and/or translated into another language. (Hereinafter, translation is included without limitation in the term "modification".) Each licensee is addressed as "you".

Activities other than copying, distribution and modification are not covered by this License; they are outside its scope. The act of running the Program is not restricted, and the output from the Program is covered only if its contents constitute a work based on the Program (independent of having been made by running the Program). Whether that is true depends on what the Program does.

1. You may copy and distribute verbatim copies of the Program's source code as you receive it, in any medium, provided that you conspicuously and appropriately publish on each copy an appropriate copyright notice and disclaimer of warranty; keep intact all the notices that refer to this License and to the absence of any warranty; and give any other recipients of the Program a copy of this License along with the Program.

You may charge a fee for the physical act of transferring a copy, and you may at your option offer warranty protection in exchange for a fee.

2. You may modify your copy or copies of the Program or any portion of it, thus forming a work based on the Program, and copy and distribute such modifications or work under the terms of Section 1 above, provided that you also meet all of these conditions:

  • a) You must cause the modified files to carry prominent notices stating that you changed the files and the date of any change.

    b) You must cause any work that you distribute or publish, that in whole or in part contains or is derived from the Program or any part thereof, to be licensed as a whole at no charge to all third parties under the terms of this License.

    c) If the modified program normally reads commands interactively when run, you must cause it, when started running for such interactive use in the most ordinary way, to print or display an announcement including an appropriate copyright notice and a notice that there is no warranty (or else, saying that you provide a warranty) and that users may redistribute the program under these conditions, and telling the user how to view a copy of this License. (Exception: if the Program itself is interactive but does not normally print such an announcement, your work based on the Program is not required to print an announcement.)

These requirements apply to the modified work as a whole. If identifiable sections of that work are not derived from the Program, and can be reasonably considered independent and separate works in themselves, then this License, and its terms, do not apply to those sections when you distribute them as separate works. But when you distribute the same sections as part of a whole which is a work based on the Program, the distribution of the whole must be on the terms of this License, whose permissions for other licensees extend to the entire whole, and thus to each and every part regardless of who wrote it.

Thus, it is not the intent of this section to claim rights or contest your rights to work written entirely by you; rather, the intent is to exercise the right to control the distribution of derivative or collective works based on the Program.

In addition, mere aggregation of another work not based on the Program with the Program (or with a work based on the Program) on a volume of a storage or distribution medium does not bring the other work under the scope of this License.

3. You may copy and distribute the Program (or a work based on it, under Section 2) in object code or executable form under the terms of Sections 1 and 2 above provided that you also do one of the following:

  • a) Accompany it with the complete corresponding machine-readable source code, which must be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,

    b) Accompany it with a written offer, valid for at least three years, to give any third party, for a charge no more than your cost of physically performing source distribution, a complete machine-readable copy of the corresponding source code, to be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,

    c) Accompany it with the information you received as to the offer to distribute corresponding source code. (This alternative is allowed only for noncommercial distribution and only if you received the program in object code or executable form with such an offer, in accord with Subsection b above.)

The source code for a work means the preferred form of the work for making modifications to it. For an executable work, complete source code means all the source code for all modules it contains, plus any associated interface definition files, plus the scripts used to control compilation and installation of the executable. However, as a special exception, the source code distributed need not include anything that is normally distributed (in either source or binary form) with the major components (compiler, kernel, and so on) of the operating system on which the executable runs, unless that component itself accompanies the executable.

If distribution of executable or object code is made by offering access to copy from a designated place, then offering equivalent access to copy the source code from the same place counts as distribution of the source code, even though third parties are not compelled to copy the source along with the object code.

4. You may not copy, modify, sublicense, or distribute the Program except as expressly provided under this License. Any attempt otherwise to copy, modify, sublicense or distribute the Program is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance.

5. You are not required to accept this License, since you have not signed it. However, nothing else grants you permission to modify or distribute the Program or its derivative works. These actions are prohibited by law if you do not accept this License. Therefore, by modifying or distributing the Program (or any work based on the Program), you indicate your acceptance of this License to do so, and all its terms and conditions for copying, distributing or modifying the Program or works based on it.

6. Each time you redistribute the Program (or any work based on the Program), the recipient automatically receives a license from the original licensor to copy, distribute or modify the Program subject to these terms and conditions. You may not impose any further restrictions on the recipients' exercise of the rights granted herein. You are not responsible for enforcing compliance by third parties to this License.

7. If, as a consequence of a court judgment or allegation of patent infringement or for any other reason (not limited to patent issues), conditions are imposed on you (whether by court order, agreement or otherwise) that contradict the conditions of this License, they do not excuse you from the conditions of this License. If you cannot distribute so as to satisfy simultaneously your obligations under this License and any other pertinent obligations, then as a consequence you may not distribute the Program at all. For example, if a patent license would not permit royalty-free redistribution of the Program by all those who receive copies directly or indirectly through you, then the only way you could satisfy both it and this License would be to refrain entirely from distribution of the Program.

If any portion of this section is held invalid or unenforceable under any particular circumstance, the balance of the section is intended to apply and the section as a whole is intended to apply in other circumstances.

It is not the purpose of this section to induce you to infringe any patents or other property right claims or to contest validity of any such claims; this section has the sole purpose of protecting the integrity of the free software distribution system, which is implemented by public license practices. Many people have made generous contributions to the wide range of software distributed through that system in reliance on consistent application of that system; it is up to the author/donor to decide if he or she is willing to distribute software through any other system and a licensee cannot impose that choice.

This section is intended to make thoroughly clear what is believed to be a consequence of the rest of this License.

8. If the distribution and/or use of the Program is restricted in certain countries either by patents or by copyrighted interfaces, the original copyright holder who places the Program under this License may add an explicit geographical distribution limitation excluding those countries, so that distribution is permitted only in or among countries not thus excluded. In such case, this License incorporates the limitation as if written in the body of this License.

9. The Free Software Foundation may publish revised and/or new versions of the General Public License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns.

Each version is given a distinguishing version number. If the Program specifies a version number of this License which applies to it and "any later version", you have the option of following the terms and conditions either of that version or of any later version published by the Free Software Foundation. If the Program does not specify a version number of this License, you may choose any version ever published by the Free Software Foundation.

10. If you wish to incorporate parts of the Program into other free programs whose distribution conditions are different, write to the author to ask for permission. For software which is copyrighted by the Free Software Foundation, write to the Free Software Foundation; we sometimes make exceptions for this. Our decision will be guided by the two goals of preserving the free status of all derivatives of our free software and of promoting the sharing and reuse of software generally.

NO WARRANTY

11. BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.

12. IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.

END OF TERMS AND CONDITIONS

28. Bijlage B - nog geen Debian Edu live cd/dvd's voor Stretch

/!\ Momenteel zijn er geen Debian Edu Live CD/DVD's voor Stretch beschikbaar.

28.1. Functionaliteit van het image voor een autonome computer

  • Bureaublad van XFCE

  • Alle pakketten voor het profiel autonome computer

  • Alle pakketten specifiek voor een draagbare computer

28.2. Functionaliteit van het image voor een werkstation

  • Bureaublad van XFCE

  • Alle pakketten voor het profiel werkstation

  • Alle pakketten specifiek voor een draagbare computer

28.3. Vertalingen en regionale ondersteuning activeren

Om een specifieke vertaling te activeren moet u opstarten met de optie locale=ll_CC.UTF-8, waarbij ll_CC.UTF-8 staat voor de door u gewenste lokalisatie. Om een specifieke toetsenbordindeling te activeren, moet u de optie keyb=KB gebruiken, waarbij KB staat voor de door u gewenste toetsenbordindeling. Hierna volgt een lijst van veel gebruikte lokalisatiecodes:

Taal (Regio)

Code voor het taalgebied

Toetsenbordindeling

Noors Bokmål

nb_NO.UTF-8

no

Noors Nynorsk

nn_NO.UTF-8

no

Duits

de_DE.UTF-8

de

Frans (Frankrijk)

fr_FR.UTF-8

fr

Grieks (Giekenland)

el_GR.UTF-8

el

Japans

ja_JP.UTF-8

jp

Noordelijk Sami (Noorwegen)

se_NO

no(smi)

Een volledige lijst van taalgebiedcodes vindt u in het bestand /usr/share/i18n/SUPPORTED, maar enkel de UTF-8-versies van de taalgebiedcodes worden ondersteund door de live-images. Toch zijn niet voor alle taalgebieden vertalingen beschikbaar. De benamingen voor de toetsenbordindeling vindt u in /usr/share/keymaps/i386/.

28.4. Goed om te weten

  • Het wachtwoord voor de gebruiker is "user"; voor de systeembeheerder (root) werd geen wachtwoord ingesteld.

28.5. Bekende problemen met het image

  • /!\ Momenteel zijn er nog geen images :(

28.6. Downloaden

Het image zou beschikbaar zijn (maar is het momenteel niet) via FTP, HTTP of rsync vanaf ftp.skolelinux.org onder cd-stretch-live/.

29. Bijlage C - Functionaliteit in oudere uitgaven

29.1. Nieuwe functionaliteit voor Debian Edu 8+edu0, codenaam Jessie, uitgebracht op 02-07-2016

29.1.1. Veranderingen aan het installatieproces

  • Een nieuwe versie van het programma voor de installatie van debian, afkomstig van de Jessie-versie van Debian. Voor meer informatie kunt u terecht bij de installatiehandleiding.

29.1.2. Bijwerkingen van programmatuur

  • Alles wat nieuw is in Debian Jessie 8, bijvoorbeeld:

    • Linux kernel versie 3.16.x

    • Bureaubladomgevingen KDE Plasma Werkomgeving 4.11.13, GNOME 3.14, Xfce 4.10, LXDE 0.5.6

      • nieuwe optionele bureaubladomgeving: MATE 1.8

      • De KDE Plasma Werkomgeving wordt standaard geïnstalleerd; raadpleeg deze handleiding om een van de andere te kiezen.

    • de webbrowsers Iceweasel 31 ESR en Chromium 41

    • LibreOffice 4.3.3

    • Gereedschapskist voor het onderwijs GCompris versie 14.12

    • Programma voor muziekcreatie Rosegarden 14.02

    • GOsa 2.7.4

    • LTSP 5.5.4

    • nieuw opstartraamwerk systemd. Meer informatie is te vinden in de systemd wiki pagina van Debian en in de handleiding van systemd.

    • Debian Jessie stelt ongeveer 42.000 pakketten ter beschikking, klaar voor installatie.

29.1.3. Documentatie en bijwerkingen van vertalingen

  • Bijgewerkte vertalingen van de sjablonen die in het installatieprogramma gebruikt worden. Deze sjablonen zijn nu in 29 talen beschikbaar.

  • Twee vertalingen van de handleiding werden voltooid: Nederlands en Noors Bokmål.

  • De handleiding van Debian Edu Jessie is volledig vertaald naar het Duits, het Frans, het Italiaans, het Deens, het Nederlands en het Noors Bokmål. Er bestaat een gedeeltelijke vertaling voor het Spaans.

29.1.4. Andere veranderingen vergeleken met de vorige uitgave

  • squid: Het uitschakelen en opstarten van de hoofdserver duurt langer ten gevolge van een nieuwe standaardinstelling shutdown_lifetime 30 seconds. U kunt deze tijd inkorten tot bijvoorbeeld 10 seconden door in het bestand /etc/squid3/squid.conf een regel shutdown_lifetime 10 seconds toe te voegen.

  • ssh: Het is niet langer toegelaten aan de systeembeheerder om zich via SSH met een wachtwoord aan te melden. De oude standaardinstelling PermitRootLogin yes werd vervangen door PermitRootLogin without-password, hetgeen inhoudt dat ssh-sleutels wel nog steeds werken.

  • slbackup-php: Om de site slbackup-php (die gebruik maakt van aanmeldingen van de systeembeheerder via ssh) te kunnen gebruiken, moet in het bestand /etc/ssh/sshd_config de instelling tijdelijk op PermitRootLogin yes gezet worden.

  • sugar: Vermits de bureaubladomgeving Sugar uit Debian Jessie verwijderd werd, is ze evenmin nog beschikbaar in Debian Edu jessie.

29.2. Nieuwe functionaliteit in Debian Edu 7.1+edu0, codenaam Wheezy, uitgebracht op 28-09-2013

29.2.1. Wijzigingen die zichtbaar zijn voor de gebruiker

  • Een bijgewerkte vormgeving en een nieuw logo van Debian Edu / Skolelinux die te zien zijn tijdens de installatie, op het aanmeldscherm en als bureaubladthema.

29.2.2. Veranderingen aan het installatieproces

  • Nieuwe versie van het installatieprogramma van Debian Wheezy. Voor meer details kunt u terecht bij de installatiehandleiding..

  • Er is geen dvd-image meer. In de plaats kwam een image voor USB-stick / blu-rayschijf, dat zich als het vroegere dvd-image gedraagt, maar dat te groot geworden is om nog te passen op een dvd-schijf.

29.2.3. Bijwerkingen van programmatuur

  • Alles wat nieuw is in Debian Wheezy 7.1, bijvoorbeeld:

    • Linux kernel versie 3.2.x

    • Bureaubladomgevingen KDE "Plasma" 4.8.4, GNOME 3.4, Xfce 4.8.6, en LXDE 0.5.5 (KDE "Plasma" wordt standaard geïnstalleerd; raadpleeg de handleiding indien u voor GNOME, Xfce of LXDE kiest.)

    • Webbrowser Iceweasel, versie 17 ESR

    • LibreOffice 3.5.4

    • LTSP 5.4.2

    • GOsa 2.7.4

    • Printersysteem CUPS versie 1.5.3

    • Gereedschapskist voor het onderwijs GCompris versie 12.01

    • Muziekprogramma Rosegarden 12.04

    • Beeldbewerkingsprogramma Gimp 2.8.2

    • Virtueel heelal Celestia 1.6.1

    • Virtuele sterrenhemel Stellarium 0.11.3

    • Visuele programmeeromgeving Scratch 1.4.0.6

    • Nieuwe versie van het installatieprogramma van Debian Wheezy. Voor meer details kunt u terecht bij de installatiehandleiding..

    • Debian Wheezy stelt ongeveer 37.000 pakketten ter beschikking, klaar voor installatie.

29.2.4. Documentatie en bijwerkingen van vertalingen

  • Bijgewerkte vertalingen van de sjablonen die in het installatieprogramma gebruikt worden. Deze sjablonen zijn nu in 29 talen beschikbaar.

  • De handleiding van Debian Edu Wheezy is volledig vertaald naar het Duits, het Frans, het Italiaans en het Deens. Er bestaan gedeeltelijke vertalingen voor het Noors Bokmål en voor het Spaans.

29.2.5. LDAP-gerelateerde wijzigingen

  • Kleine wijzigingen aan sommige objecten en acls om meer types ter beschikking te hebben waaruit gekozen kan worden bij het toevoegen van apparaten in GOsa. Nu kunnen er systemen bestaan van het type server, werkstation, printer, terminal of netwerkapparaat.

29.2.6. Overige wijzigingen

  • Nieuwe grafische werkomgeving Xfce als keuzemogelijkheid beschikbaar.

  • Schijfloze werkstations van LTSP functioneren zonder bijkomende configuratie.

  • Op het gereserveerde netwerk voor clientcomputers (standaard 192.168.0.0/24) dat door de LTSP-servers bediend wordt, functioneren clients standaard als schijfloze werkstations van zodra ze krachtig genoeg zijn.

  • Grafische gebruikersomgeving van GOsa: sommige opties die beschikbaar leken, maar die in feite niet bruikbaar zijn, werden grijs gemaakt (of zijn niet meer aanklikbaar). Sommige tabbladen worden voor de eindgebruiker volledig onzichtbaar gehouden, en andere kunnen zelfs door de GOsa-beheerder niet gezien worden.

29.2.7. Bekende problemen

  • Met een bureaubladomgeving van KDE "Plasma" op autonome en mobiele werkstations kan het soms gebeuren dat minstens Konqueror, Chromium en Step niet automatisch goed functioneren. Dit probleem kan zich manifesteren wanneer men deze machines gebruikt buiten het hoofdnetwerk om en wanneer in de constellatie van dat andere netwerk het gebruik van een proxy vereist wordt, maar het informatiebestand wpad.dat niet gevonden kan worden. Een mogelijke oplossing is: Iceweasel gebruiken of de proxy manueel configureren.

29.3. Historische informatie over oudere uitgaven

De volgende releases van Debian Edu stammen uit een nog verder verleden:

  • Debian Edu 6.0.7+r1 codenaam "Squeeze", uitgebracht op 03-03-2013.

  • Debian Edu 6.0.4+r0 codenaam "Squeeze", uitgebracht op 11-03-2012.

  • Debian Edu 5.0.6+edu1 codenaam "Lenny", uitgebracht op 05-10-2010.

  • Debian Edu 5.0.4+edu0 codenaam "Lenny", uitgebracht op 08-02-2010.

  • Debian Edu "3.0r1 Terra", uitgebracht op 05-12-2007.

  • Debian Edu "3.0r0 Terra", uitgebracht op 22-07-2007. De release is gebaseerd op Debian 4.0 Etch, uitgebracht op 08-04-2007.

  • Debian Edu 2.0, uitgebracht op 14-03-2006. De release is gebaseerd op Debian 3.1 Sarge, uitgebracht op 06-06-2005.

  • Debian Edu "1.0 Venus", uitgebracht op 20-06-2004. De release is gebaseerd op Debian 3.0 Woody, uitgebracht op 19-07-2002.

Een volledig en gedetailleerd overzicht van alle oude releases is te vinden in Appendix C van de handleiding voor Jessie. Raadpleeg anders de handleidingen bij de verschillende uitgaven op de pagina met handleidingen.

29.3.1. Meer informatie over nog oudere uitgaven

Meer informatie over nog oudere uitgaven vindt men op http://developer.skolelinux.no/info/cdbygging/news.html.