Dette afsnit af dokumentationen beskriver netværksarkitekturen og tjenesterne tilbudt af en Skolelinuxdistribution.
Figuren er en tegning af den forventede netværkstopologi. Standardopsætningen for et Skolelinuxnetværk antager, at der er en (og kun en) hovedserver, som tillader inkludering af både normale arbejdsstationer og servere for tynde klienter (med associerede tynde klienter og/eller diskløse arbejdsstationer). Antallet af arbejdsstationer kan være så stort eller småt som du ønsker (startende fra ingen til en helt masse). Det samme gælder for LTSP-serverne, som hver for sig er på et adskilt netværk, så at trafikken mellem klienterne og LTSP-serven ikke påvirker resten af netværkstjenesterne. LTSP er forklaret i detaljer i afsnittet den forbundne hjælp.
Årsagen til, at der kun kan være en hovedserver i hvert skolenetværk er at hovedserveren tilbyder DHCP, og der kan kun være en maskine til dette i hvert netværk. Det er muligt at flytte tjenester fra hovedserveren til andre maskiner ved at opsætte tjenesten på en anden maskine, og efterfølgende opdatere DNS-konfigurationen, pegende DNS-aliasset for den tjeneste til den korrekte computer.
For at forenkel opsætningen af Skolelinux, så afvikles internetforbindelsen over en separat ruter, også kaldt adgangspunkt. se kapitlet Internetruter for detaljer om opsætning af sådant et adgangspunkt, hvis det ikke er muligt at konfigurere en eksisterende som krævet.
DHCPD på hovedserveren betjener 10.0.0.0/8-netværket, der tilbyder en PXE-opstartsmenu, hvor du kan vælge hvorvidt der skal installeres en ny server/arbejdsstation, startes en tynd klient eller diskløs arbejdsstation op, køres hukommelsestest (memtest), eller startes op fra den lokale harddisk.
Dette er designet til at kunne ændres; for detaljer, se det relevante vejledningskapitel.
DHCPD på LTSP-serverne betjener kun et dedikeret netværk på den 2. grænseflade (192.168.0.0/24 og 192.168.1.0/24 er prækonfigurerede indstillinger) og der vil sjældent være behov for at ændre dette.
Konfigurationen af alle undernet gemmes i LDAP.
Et netværk for Skolelinux kræver en hovedserver (også kaldt for »tjener« som er norsk og betyder »server«), der som standard har IP-adressen 10.0.2.2 og installeres ved at vælge profilen for hovedserveren. Det er muligt (men ikke krævet) også at vælge og installere profilerne for LTSP-serveren og arbejdsstationen udover profilen for hovedserveren.
Med undtagelse af kontrollen af tynde klienter, så opsættes alle tjenester oprindeligt på en central computer (hovedserveren). Af ydelsesårsager skal LTSP-serverne være separate maskiner (det er dog muligt at installere profilerne for både hovedserveren og LTSP-serveren på den samme maskine). Alle tjenester allokerer et dedikeret DNS-navn og tilbydes eksklusivt over IPv4. Det allokerede DNS-navn gør det nemt at flytte individuelle tjenester fra hovedserveren til en anden maskine, ved at stoppe tjenesten på hovedserveren, ændre DNS-konfigurationen til at pege på den nye placering for tjenesten (som selvfølgelig først skal opsættes på den maskine).
For at øge sikkerheden er alle forbindelser hvor adgangskoder transmitteres over netværket krypteret, så at ingen adgangskoder sendes over netværket som klartekst.
Nedenfor er en tabel over tjenesterne, der som standard er opsat i et netværk for Skolelinux og DNS-navnet for hver tjeneste. Hvis muligt vil alle konfigurationsfiler referere til tjenesten ved navn (uden domænenavnet) hvilket gør det nemt for skoler at ændre enten deres domæne (hvis de har et eget DNS-domæne) eller IP-adresserne de bruger.
Tjenestetabel | ||
Tjenestebeskrivelse |
Almindeligt navn |
DNS-tjenestenavn |
Centraliseret logning |
rsyslog |
syslog |
Tjeneste for domænenavn |
DNS (BIND) |
domæne |
Automatisk netværkskonfiguration af maskiner |
DHCP |
bootps |
Ursynkronisering |
NTP |
ntp |
Hjemmemapper via netværksfilsystem |
SMB / NFS |
hjem |
Elektronisk postkontor |
IMAP (Dovecot) |
postkontor |
Mappetjeneste |
OpenLDAP |
ldap |
Brugeradministration |
GOsa² |
--- |
Internetserver |
Apache/PHP |
www |
Central sikkerhedskopiering |
sl-backup, slbackup-php |
sikkerhedskopiering |
Internetmellemlager |
Proxy (Squid) |
internetmellemlager |
Udskrivning |
CUPS |
ipp |
Sikker ekstern logind |
OpenSSH |
ssh |
Automatisk konfiguration |
CFEngine |
cfengine |
LTSP-servere |
LTSP |
ltsp |
Maskine og tjenesteovervågelse med fejlrapportering, plus status og historik på internettet. Fejlrapportering via e-post |
Munin, Icinga og sideoversigt |
siteoversigt |
Personal files for each user are stored in their home directories, which are made available by the server. Home directories are accessible from all machines, giving users access to the same files regardless of which machine they are using. The server is operating system agnostic, offering access via NFS for Unix clients and via SMB2/SMB3 for other clients.
Som standard sættes posten kun op for lokal levering (dvs. indenfor skolen), dog kan e-postlevering til det større internet sættes op, hvis skolen har en permanent internetforbindelse. Klienter opsættes til at levere post til serveren (med brug af »smarthost«), og brugere kan tilgå deres personlige post via IMAP.
Alle tjenester kan tilgås med brug af det samme brugernavn og adgangskode, takket være den centrale brugerdatabase for godkendelse og autorisation.
For at øge ydelsen på ofte tilgåede sider så bruges en internetproxy til at mellemlagre filer lokalt (Squid). Sammen med blokering af internettrafik i routeren giver dette også kontrol over internetadgang på individuelle maskiner.
Netværkskonfiguration på klienterne udføres automatisk med brug af DHCP. Alle klienttyper kan forbindes til det private undernet 10.0.0.0/8, og vil få tilsvarende IP-adresser; LTSP-klienter skal forbinde til den tilsvarende LTSP-server via det separate undernet 192.168.0.0/24 (dette for at sikre at netværkstrafik fra LTPS-klienterne ikke påvirker resten af netværkstjenesterne).
Centraliseret logning sættes op så at alle maskiner sender deres syslog-beskeder til serveren. Syslog-tjenesten sættes op så at den kun accepterer indgående beskeder fra det lokale netværk.
Som standard sættes DNS-serveren op med et domæne kun for intern brug (*.intern), indtil et reelt (»external«) DNS-domæne kan sættes op. DNS-serveren sættes op som Caching DNS-server, så at alle maskiner på netværket kan bruge den som DNS-hovedserver.
Studerende og lærere har mulighed for at udgive internetsider. Internetserveren tilbyder mekanismer for godkendelse af brugere, og begrænsning af adgang til individuelle sider og undermapper for bestemte brugere og grupper. Brugere vil have mulighed for at oprette dynamiske internetsider, da internetserveren vil være programmerbar på serversiden.
Information om brugere og maskiner kan ændres på en central placering, og gøres tilgængelig for alle computere på netværket automatisk. For at opnå dette sættes en centraliseret mappeserver op. Mappen vil have information om brugere, brugergrupper, maskiner og grupper af maskiner. For at undgå brugerforvirring vil der ikke være nogen forskel mellem filgrupper, postlister og netværksgrupper. Dette medfører at grupper af maskiner, som skal udgøre netværksgrupper vil bruge det samme navnerum som brgergrupper.
Administration af tjenester og brugere vil hovedsagelig foregå via internettet, og følge etablerede standarder, der fungerer godt i internetbrowsere som er en del af Skolelinux. Delegeringen af bestemte opgaver til individuelle brugere eller brugergruppper kan gøres muligt via administrationssystemerne.
For at undgå bestemte problemer med NFS, og gøre det nemmere at fejlsøge, skal de forskellige maskiner have synkroniserede ure. For at få dette sættes serveren for Skolelinux op som en lokal Network Time Protocol-server (NTP). Selve serveren skal synkronisere sit ur via NTP mod maskiner på internettet, og dermed sikre at hele netværket har den korrekt tidsangivelse.
Printere forbindes hvor det er passende, enten direkte til hovednetværket, eller forbundet til en server, arbejdsstation eller LTSP-server. Adgang til printere kan kontrolleres for individuelle brugere jævnfør den gruppe de tilhører; dette vil blive opnået ved at bruge kvoter og adgangskontrol for printere.
Et netværk for Skolelinux kan have mange LTSP-servere, som installeres ved at vælge LTSP-serverprofilen.
LTSP-serverne sættes op til at modtage syslog fra de tynde klienter og arbejdsstationer, og videresender disse beskeder til den centrale syslog-modtager.
Bemærk venligst:
LTSP diskless workstations are using the programs installed on the server.
The client root filesystem is provided using NFS. After each modification to
the LTSP server the related image has to be re-generated; run
debian-edu-ltsp-install --diskless_workstation
yes
on the LTSP server.
A thin client setup enables ordinary PCs to function as (X-)terminals. This means that the machine boots directly from the server using PXE without using the local client hard drive. The thin client setup now uses X2Go, because LTSP has dropped support.
Thin clients are a good way to still make use of very old (mostly 32-bit) machines as they effectively run all programs on the LTSP server. This works as follows: the service uses DHCP and TFTP to connect to the network and boot from the network. Next, the file system is mounted from the LTSP server using NFS, and finally the X2Go client is started.
A diskless workstation runs all software on the PC without a locally installed operating system. This means that client machines boot via PXE without running software installed on a local hard drive.
Diskless workstations are an excellent way of using powerful hardware with the same low maintenance cost as with thin clients. Software is administered and maintained on the server with no need for local installed software on the clients. Home directories and system settings are stored on the server too.
Alle Linuxmaskinerne, som er installeret via
Skolelinux-installationsprogrammet, vil kunne administreres fra en central
computer, højst sandsynlig serveren. Det vil være muligt at logge ind på
alle maskiner via SSH, og dermed have fuld adgang til maskinerne. Som
administrator skal man afvikle kinit
først
for at få en Kerberos TGT.
Al brugerinformation opbevares i en LDAP-mappe. Opdateringer af brugerkontoer udføres mod denne database, som bruges af klienter for brugergodkendelse.
Aktuelt er der to typer af installationsmedier: netinst og BD. Begge aftryk kan også indlæses fra USB-drev.
Formålet er at være i stand til at installere en server fra ethvert medie og installere alle andre klienter over netværket ved at starte op fra netværket.
Kun netinstall-aftrykket kræver adgang til internettet under installation.
The installation should not ask any questions, with the exception of desired language, location, keyboard and machine profile (Main Server, Workstation, LTSP Server, ...). All other configuration will be set up automatically with reasonable values, to be changed from a central location by the system administrator subsequent to the installation.
Hver brugerkonto i Skolelinux tildeles et afsnit af filsystemet på filserveren. Dette afsnit (hjemmemappen) indeholder brugerens konfigurationsfiler, dokumenter, e-post og internetsider. Nogle af filerne bør gives læseadgang for andre brugere på systemet, nogle skal kunne læses af alle på internettet, og nogle skal ikke kunne tilgås for læsning af andre end brugeren selv.
For at sikre at alle diske som bruges for hjemmemapper eller delte mapper er
unikt navngivet på tværs af alle computere i installationen, kan de monteres
som /skole/host/directory/
. Som start
oprettes en mappe på filserveren,
/skole/tjener/home0/
, hvor alle
brugerkontoerne oprettes. Yderligere mapper kan så oprettes, når der skal
tilpasses til specifikke brugergruppper eller specifikke forbrugsmønstre.
For at aktivere adgang til filer under det normale UNIX-rettighedssystem, så skal brugere være i supplementært delte grupper (såsom »studenter«) samt den personlige primære gruppe de er i som standard. Hvis brugere har en passende umask til at gøre nyoprettede punkter adgangsbare for grupper (002 eller 007), og hvis mapperne de arbejder i er setgid for at sikre at filerne arver det korrekte gruppeejerskab, er resultatet kontrolleret fildeling mellem medlemmer af en gruppe.
Den oprindelige adgangsindstilling for netop oprettede filer er et
politikspørgsmål. Den normale umask for Debian er 022 (som ikke tillader
gruppeadgang som beskrevet ovenfor), men Debian Edu bruger en standard på
002 - hvilket betyder at filer oprettes med læseadgang for alle, hvilket
senere kan fjernes med en eksplicit brugerhandling. Dette kan ændres (ved at
redigere /etc/pam.d/common-session
) til en
umask på 007 - hvilket betyder at læseadgang er blokeret, og at en
brugerhandling skal udføres for at gøre dem tilgængelige. Den første metode
opmuntrer til vidensdeling, og gør systemet mere gennemsigtigt, hvor den
anden metode formindsker risikoen for uønsket spredning af ømtålelig
information. Problemet med den første løsning er at det ikke er indlysende
for brugerne, at materialet de opretter vil være tilgængeligt for alle andre
brugere. De kan kun se dette ved at kigge i andre brugeres mapper og der se
at deres filer også er læsbare. Problemet med den anden løsning er at få
personer vil gøre deres filer læsbare også selv om de ikke indeholder
ømtålelig information og at indholdet ville have været nyttig for andre
brugere, som ønsker at lære hvordan andre har løst specifikke problemer
typisk konfigurationsproblemer).