During installation of the main server a first user account was created. In
the following text this account will be referenced as "first user". This
account is special, as the home directory permission is set to 700 (so
chmod o+x ~
is needed to make personal web
pages accessible), and the first user can use
sudo
to become root.
Se informationen om konfiguration af Debian Edu-specifik filsystemadgang før tilføjelse af brugere; juster til din sidens politik hvis krævet.
Efter installationen er den første ting, du skal udføre, som første bruger:
Log ind på serveren.
Tilføj brugere med GOsa².
Add workstations with GOsa².
Tilføjelse af brugere og arbejdsstationer er beskrevet i detaljer nedenfor, så læs venligst dette kapitel helt færdigt. Det dækker hvordan minimumstrinene udføres korrekt samt andre oplysninger som alle sikkert har brug for.
Der er yderligere information tilgængelig andre steder i denne manual: Kapitlet Nye funktioner i Bullseye kan læses af alle som er bekendt med tidligere udgivelser. Og for dem som opgraderer fra en tidligere udgivelse, så husk at læse kapitlet Opgraderinger.
Hvis generisk DNS-trafik blokeres fra netværket og du skal bruge en specifik
DNS-server til at slå internetværter op, så skal du fortælle DNS-serveren,
at den skal bruge denne server som sin »forwarder«. Opdater
/etc/bind/named.conf.options og specificer IP-adressen for den benyttede
DNS-server.
Kapitlet Hjælp dækker flere fif og ideer og nogle ofte stillede spørgsmål.
GOsa² er et internetbaseret håndteringsværktøj, som hjælper med at håndtere nogle vigtige dele af din opsætning for Debian Edu. Med GOsa² kan du håndtere (tilføje, ændre eller slette) disse hovedgrupper:
Brugeradministration
Gruppeadministration
NIS Netgroup Administration
Maskineadministration
DNS-administration
DHCP-administration
For GOsa² access you need the Skolelinux main server and a (client) system with a web browser installed which can be the main server itself if it was installed as a so called combined server (Main Server + LTSP Server + Workstation profiles).
Hvis du (sikkert ved et tilfælde) installerede en ren hovedserverprofil og ikke har en klient med en internetbrowser ved hånden, så er det nemt at installere et lille skrivebord på hovedserveren med brug af denne kommandosekvens i en (ikke grafisk) skal med brugeren du oprettede under hovedserverens installation (første bruger):
$ sudo apt update $ sudo apt install task-desktop-xfce lightdm education-menus ### efter installation, kør »sudo service lightdm start« ### log ind som første bruger
Fra en internetbrowser så brug adressen https://www/gosa for adgang til GOsa², og log ind som den første bruger.
Hvis du bruger en ny Debian Edu Bullseye-maskine, så vil sidecertifikatet være kendt af browseren.
Ellers vil du se en fejlbesked om at SSL-certifikatet er forkert. Hvis du ved, at du er alene på netværket, så bare giv browseren besked om, at du accepterer den og ignorer beskeden.
Efter at du er logget ind i GOsa² får du vist overblikssiden for GOsa².
Du kan nu vælge en opgave i menuen eller klikke på en af opgaveikonerne på overblikssiden. For navigering anbefaler vi at bruge menuen i venstre side af skærmen, da den vil forblive synlig på alle administrationssider i GOsa².
In Debian Edu, account, group, and system information is stored in an LDAP directory. This data is used not only by the main server, but also by the (diskless) workstations, the LTSP servers and other machines on the network. With LDAP, account information about students, teachers, etc. only needs to be entered once. After information has been provided in LDAP, the information will be available to all systems on the whole Skolelinux network.
GOsa² er et administrationsværktøj som bruger LDAP til at gemme sin information og tilbyde en hierarkisk afdelingsstruktur. Til hver »afdeling« (department) kan du tilføje brugerkontoer, grupper, systemer, netgrupper etc. Afhængig af strukturen for din institution, kan du bruge afdelingsstrukturen i GOsa²/LDAP til at overføre din organisationsstruktur til LDAP-datatræet for Debian Edus hovedserver.
A default Debian Edu main server installation currently provides two "departments": Teachers and Students, plus the base level of the LDAP tree. Student accounts are intended to be added to the "Students" department, teachers to the "Teachers" department; systems (servers, workstations, printers etc.) are currently added to the base level. Find your own scheme for customising this structure. (You can find an example how to create users in year groups, with common home directories for each group in the HowTo/AdvancedAdministration chapter of this manual.)
Afhængig af opgaven du ønsker at arbejde på (håndtere brugere, håndtere grupper, håndtere systemer etc.) så præsenterer GOsa² dig med en anden visning af den valgte afdeling (eller basisniveauet).
Klik først på Brugere (Users) i den venstre navigationsmenu. Højresiden af skærmen vil ændre sig og vise en tabel med afdelingsmapper for studenter (Students) og lærere (Teachers) og kontoen for GOsa²-administratoren (den først oprettede bruger). Over denne tabel kan du se et felt kaldt Base som tillader dig at navigere igennem din træstruktur (flyt din mus over det område og en rullegardinsmenu kommer frem) og du kan så vælge en basismappe for dine forventede handlinger (f.eks. tilføjelse af en ny bruger).
Ved siden af trænavigeringspunktet kan du se menuen Handlinger (Actions). Flyt din mus over dette punkt og en undermenu kommer frem på skærmen; vælg opret (Create) og så bruger (User). Du vil blive vejledt af guiden for brugeroprettelse.
Den vigtigste ting at tilføje er skabelonen (newstudent eller newteacher) og det fulde navn for din bruger (se billede).
Efterhånden som du følger guiden vil du se at GOsa² opretter et brugernavn automatisk baseret på det rigtige navn. Guiden vælger automatisk et brugernavn som ikke allerede findes, så flere brugere med det samme fulde navn kommer ikke i problemer. Bemærk at GOsa² kan oprette ugyldige brugernavne hvis det fulde navn indeholder ikke-ASCII-tegn.
Hvis du ikke er glad for det oprettede brugernavn, så kan du vælge et andet
brugernavn fra rullegardinet, men du har ikke frit valg her i guiden. (Hvis
du ønsker at kunne redigere det foreslåede brugernavn, så åbn
/etc/gosa/gosa.conf
med et
redigeringsprogram og tilføj
allowUIDProposalModification="true"
som en
yderligere valgmulighed i »location definition«)
Når guiden er færdig, så præsenteres du for GOsa²-skærmen for dit nye brugerobjekt. Brug fanebladene øverst for at kontrollere de færdige felter.
Efter du har oprettet brugeren (intet behov for at tilpasse felterne guiden har efterladt tomme på nuværende tidspunkt), klik på knappen »O.k.« i nederste højre hjørne.
Som det sidste trin vil GOsa² spørge om en adgangskode for den nye
bruger. Indtast dette dobbelt og klik så på »Angiv adgangskode« i det
nederste højre hjørne. Nogle tegn er ikke tilladte i adgangskoden.
Hvis alt gik godt, så kan du nu se den nye bruger i tabellen over brugere. Du skulle nu kunne logge ind med det brugernavn på enhver Skolelinuxmaskine i dit netværk.
For at ændre eller slette en bruger, så brug GOsa² til at gennemse listen over brugere på dit system. I midten af skærmen kan du åbne boksen »Filter«, et søgeværktøj tilbudt af GOsa². Hvis du ikke kender den præcise placering af din brugerkonto i dit træ, så ændr basisniveauet for GOsa²/LDAP-træet og søg med indstillingen »Search in subtrees« (søg i undertræer) markeret.
Når der bruges boksen »Filter« vil resultaterne umiddelbart fremkomme i midten af teksten i tabelvisningen. Hver linje repræsenterer en brugerkonto og punkterne yderst til højre på hver linje er små ikoner, som tilbyder dig handlinger: rediger bruger, lås konto, angiv adgangskode og fjern bruger.
En ny side vil vise sig, hvor du direkte kan ændre information om brugeren, ændre adgangskoden for brugeren og ændre listen over grupper som brugeren er medlem af.
Studenterne kan ændre deres egne adgangskoder ved at logge ind i GOsa² med deres egne brugernavne. For nemmere administration af GOsa² er et menupunkt kaldt Gosa indbygget i systemmenuen for skrivebordet (eller systemindstillinger. En indlogget student vil blive præsenteret med en meget minimal udgave af GOsa², som kun tillader adgang til studentens eget kontodataark og til dialogen for angiv adgangskode (set-password).
Lærere logget ind under deres egne brugernavne har specielle rettigheder i GOsa². De får en mere priviligeret visning af GOsa², og kan ændre adgangskoderne for alle studentkontoer. Dette kan være meget brugbart i undervisningssituationer.
Administrativ angivelse af en ny adgangskode for en bruger
søg efter brugeren der skal ændres, som forklaret ovenfor
klik på nøglesymbolet i slutningen af linjen hvor brugernavnet vises
på den efterfølgende side kan du angive en ny adgangskode valgt af dig selv
Vær opmærksom på sikkerheden. Undgå adgangskoder der er nemme at gætte!
Det er muligt at masseoprette brugere med GOsa² ved at bruge en CSV-fil, som
kan oprettes med ethvert godt regnearksprogram (for eksempel
localc
). Som minimum skal poster for de
følgende felter udfyldes: uid, efternavn (sn), fornavn (givenName) og
adgangskode. Sikr dig at der ikke er ens poster i uid-feltet. Bemærk
venligst at for at kontrollere for ens poster skal du inkludere allerede
eksisterende uid-poster i LDAP (som kan findes ved at køre
getent passwd | grep tjener/home | cut -d":"
-f1
på kommandolinjen).
Dette er formatvejledningerne for sådan en CSV-fil (GOsa² er ret intolerant vedrørende disse):
Brug »,« som feltadskillelsestegn
Brug ikke anførelsestegn
CSV-filen må ikke indeholde en hovedlinje (af den slags som normalt indeholder kolonnenavne)
Rækkefølgen for felterne er ikke relevant, og kan defineres i GOsa² under masseimporten
Trinene for masseimport er:
klik på henvisningen »LDAP Manager« i navigeringsmenuen til venstre
klik på fanebladet »Importer« på skærmen til højre
gennemse din lokale disk og vælg en CSV-fil med listen over brugere der skal importeres
vælg en tilgængelig brugerskabelon som skal bruges under masseimport (såsom NewTeacher eller NewStudent)
klik på knappen »importer« i det nederste højre hjørne
Det er en god ide at udføre nogle test først, for eksempel med en CSV-fil med nogle få fiktive brugere, som kan slettes senere.
Det samme gælder for håndteringsmodulet til adgangskoder, som tillader nulstilling af en masse adgangskoder via en CSV-fil eller at genoprette nye adgangskoder for brugere tilhørende et specielt LDAP-undertræ.
Håndteringen af grupper er meget lig håndteringen af brugere.
Du kan indtaste et navn og en beskrivelse per gruppe. Sikr dig at du vælger det rigtige niveau i LDAP-træet, når du opretter en ny gruppe.
Tilføjelse af brugere til en netop oprettet gruppe fører dig tilbage til brugerlisten, hvor du højst sandsynlig har brug for filterboksen for at finde brugere. Kontroller også LDAP-træniveauet.
Grupperne indtastet i gruppehåndteringen er også regulære unix-grupper, så du kan også bruge dem til filrettigheder.
Maskinhåndtering tillader dig grundlæggende at håndtere alle netværksenheder i dit Debian Edu-netværk. Hver maskine tilføjet til LDAP-mappen med brug af GOsa² har et værtsnavn, en IP-adresse, en MAC-adresse og et domænenavn (som normalt er »intern«). For en mere fyldestgørende beskrivelse af Debian Edu-arkitekturen så se kapitlet arkitektur i denne manual.
Diskless workstations and thin clients work out-of-the-box in case of a combined main server.
Workstations with disks (including separate LTSP servers) have to be added with GOsa². Behind the scenes,
both a machine specific Kerberos Principal (sort of
account) and a related keytab file (containing a key
used as password) are generated; the keytab file needs
to be present on the workstation to be able to mount users' home
directories. Once the added system has been rebooted, log into it as root
and run
/usr/share/debian-edu-config/tools/copy-host-keytab
.
To create Principal and keytab file for a system already configured with GOsa², log in on the main server as root and run
/usr/share/debian-edu-config/tools/gosa-modify-host <værtsnavn> <ip>
Please note: host keytab creation is possible for systems of type workstations, servers and terminals but not for those of type netdevices. See the Network clients HowTo chapter for NFS configuration options.
For at tilføje en maskine, så brug GOsa²-hovedmenuen, systemer, tilføj. Du kan bruge en IP-adresse/værtsnavn fra det prækonfigurerede adresserum 10.0.0.0/8. Aktuelt er der kun to prædefinerede faste adresser: 10.0.2.2 (tjener) og 10.0.0.1 (adgangspunkt). Adresserne fra 10.0.16.20 til 10.0.31.254 (cirka 10.0.16.0/20 eller 4000 værter) er reserverede for DHCP og tildeles dynamisk.
For at tildele en vært med MAC-adressen 52:54:00:12:34:10, en statisk
IP-adresse i GOsa², så skal du indtaste MAC-adressen, værtsnavnet og IP'en;
alternativt kan du klikke på knappen Propose ip (foreslå
IP
, som vil vise den første frie og faste adresse i
10.0.0.0/8, sikkert noget ligende 10.0.0.2 hvis du tilføjer den første
maskine på denne måde. Det kan være bedre først at overveje dit netværk: For
eksempel kan du bruge 10.0.0.x med x>10 og x<50 for servere, og
x>100 for arbejdsstationer. Glem ikke at aktivere det netop tilføjet
system. Med undtagelse af hovedserveren vil alle systemer så have et
matchende ikon.
Hvis maskinerne er opstartet som tynde klienter/diskløse arbejdsstationer
eller er blevet installeret med brug af nogle af netværksprofilerne, kan
skriptet sitesummary2ldapdhcp
bruges til
automatisk at tilføje maskiner til GOsa². For simple maskiner vil det
fungere med det samme, for maskiner med mere end en mac-adresse skal den
faktisk anvendte vælges, sitesummary2ldapdhcp
-h
viser brugsinformation. Bemærk venligst at IP-adresserne
vist efter brug af sitesummary2ldapdhcp
tilhører det dynamiske IP-interval. Disse systemer kan så ændres, så de
passer til dit netværk: Omdøb hvert nyt system, aktiver DHCP og DNS, tilføj
den til netgroups, hvis krævet; genstart systemet efterfølgende. De følgende
skærmbilleder viser hvordan dette gøres i praksis.
root@tjener:~# sitesummary2ldapdhcp -a -i ether-22:11:33:44:55:ff info: Opret GOsa-mskine for am-2211334455ff.intern [10.0.16.21] id ether-22:11:33:44:55:ff. Indtast adgangskode hvis du ønsker at aktivere disse ændringer, og ^c for at afbryde. Forbindelse til LDAP som cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no indtast adgangskode: ******** root@tjener:~#
Et cronjob der opdaterer DNS kører hver time; su -c
ldap2bind
kan bruges til at udløse opdateringen manuelt.
Søgning efter og sletning af maskiner ligner på mange måder søg efter bruger og sletning af brugere, så den information gentages ikke her.
Efter tilføjels af en maskine til LDAP-træet med brug af GOsa² kan du ændre dens egenskaber med brug af søgefunktionaliteten og klik på maskinnavnet (som du ville gøre med brugere).
Formatet for disse systemposter ligner dem du allerede kender fra ændring af brugerposter, men felterne betyder noget andet i denne kontekst.
For eksempel ændrer tilføjelse af en maskine til
NetGroup
ikke rettigheder for filadgang
eller kommandoudførsel for den maskine eller brugerne logget ind på den
maskine; i stedet for så begrænser den tjenesterne som den maskine kan bruge
på din hovedserver.
Standardinstallationen tilbyder NetGroups
all-hosts
cups-queue-autoflush-hosts
cups-queue-autoreenable-hosts
fsautoresize-hosts
ltsp-server-hosts
netblock-hosts
printer-hosts
server-hosts
shutdown-at-night-hosts
shutdown-at-night-wakeup-hosts-blacklist
workstation-hosts
Aktuelt bruges funktionaliteten for
NetGroup
til
Resizing partitions (fsautoresize-hosts)
Debian Edu-maskiner i denne gruppe vil automatisk ændre størrelse på LVM-partitioner som løber tør for plads.
Shutdown machines at night (shutdown-at-night-hosts and shutdown-at-night-wakeup-hosts-blacklist)
Debian Edu-maskiner i denne gruppe vil automatisk lukke ned om natten for at spare på energiforbruget.
Managing printers (cups-queue-autoflush-hosts and cups-queue-autoreenable-hosts)
Debian Edu-maskiner i disse grupper vil automatisk tømme alle udskrivningskøer hver nat, og genaktivere alle deaktiverede udskrivningskøer hver time.
Blocking Internet access (netblock-hosts)
Debian Edu-maskiner i denne gruppe vil kun få tilladelse til at forbinde til maskiner på det lokale netværk. Kombineret med begrænsninger for internetproxy kan dette være brugbart ved eksamener.