Arkitektur

Dette afsnit af dokumentationen beskriver netværksarkitekturen og tjenesterne tilbudt af en Skolelinuxdistribution.

Debian Edu-netværkstopologi

Figuren er en tegning af den forventede netværkstopologi. Standardopsætningen for et Skolelinuxnetværk antager, at der er en (og kun en) hovedserver, som tillader inkludering af både normale arbejdsstationer og servere for tynde klienter (med associerede tynde klienter og/eller diskløse arbejdsstationer). Antallet af arbejdsstationer kan være så stort eller småt som du ønsker (startende fra ingen til en helt masse). Det samme gælder for LTSP-serverne, som hver for sig er på et adskilt netværk, så at trafikken mellem klienterne og LTSP-serven ikke påvirker resten af netværkstjenesterne. LTSP er forklaret i detaljer i afsnittet den forbundne hjælp.

Årsagen til, at der kun kan være en hovedserver i hvert skolenetværk er at hovedserveren tilbyder DHCP, og der kan kun være en maskine til dette i hvert netværk. Det er muligt at flytte tjenester fra hovedserveren til andre maskiner ved at opsætte tjenesten på en anden maskine, og efterfølgende opdatere DNS-konfigurationen, pegende DNS-aliasset for den tjeneste til den korrekte computer.

For at forenkel opsætningen af Skolelinux, så afvikles internetforbindelsen over en separat ruter, også kaldt adgangspunkt. se kapitlet Internetruter for detaljer om opsætning af sådant et adgangspunkt, hvis det ikke er muligt at konfigurere en eksisterende som krævet.

Med undtagelse af kontrollen af tynde klienter, så opsættes alle tjenester oprindeligt på en central computer (hovedserveren). Af ydelsesårsager skal LTSP-serverne være separate maskiner (det er dog muligt at installere profilerne for både hovedserveren og LTSP-serveren på den samme maskine). Alle tjenester allokerer et dedikeret DNS-navn og tilbydes eksklusivt over IPv4. Det allokerede DNS-navn gør det nemt at flytte individuelle tjenester fra hovedserveren til en anden maskine, ved at stoppe tjenesten på hovedserveren, ændre DNS-konfigurationen til at pege på den nye placering for tjenesten (som selvfølgelig først skal opsættes på den maskine).

For at øge sikkerheden er alle forbindelser hvor adgangskoder transmitteres over netværket krypteret, så at ingen adgangskoder sendes over netværket som klartekst.

Nedenfor er en tabel over tjenesterne, der som standard er opsat i et netværk for Skolelinux og DNS-navnet for hver tjeneste. Hvis muligt vil alle konfigurationsfiler referere til tjenesten ved navn (uden domænenavnet) hvilket gør det nemt for skoler at ændre enten deres domæne (hvis de har et eget DNS-domæne) eller IP-adresserne de bruger.

Tjenestetabel

Tjenestebeskrivelse

Almindeligt navn

DNS-tjenestenavn

Centraliseret logning

rsyslog

syslog

Tjeneste for domænenavn

DNS (BIND)

domæne

Automatisk netværkskonfiguration af maskiner

DHCP

bootps

Ursynkronisering

NTP

ntp

Hjemmemapper via netværksfilsystem

SMB / NFS

hjem

Elektronisk postkontor

IMAP (Dovecot)

postkontor

Mappetjeneste

OpenLDAP

ldap

Brugeradministration

GOsa²

---

Internetserver

Apache/PHP

www

Central sikkerhedskopiering

sl-backup, slbackup-php

sikkerhedskopiering

Internetmellemlager

Proxy (Squid)

internetmellemlager

Udskrivning

CUPS

ipp

Sikker ekstern logind

OpenSSH

ssh

Automatisk konfiguration

CFEngine

cfengine

LTSP-servere

LTSP

ltsp

Maskine og tjenesteovervågelse med fejlrapportering, plus status og historik på internettet. Fejlrapportering via e-post

Munin, Icinga og sideoversigt

siteoversigt

Personal files for each user are stored in their home directories, which are made available by the server. Home directories are accessible from all machines, giving users access to the same files regardless of which machine they are using. The server is operating system agnostic, offering access via NFS for Unix clients and via SMB2/SMB3 for other clients.

Som standard sættes posten kun op for lokal levering (dvs. indenfor skolen), dog kan e-postlevering til det større internet sættes op, hvis skolen har en permanent internetforbindelse. Klienter opsættes til at levere post til serveren (med brug af »smarthost«), og brugere kan tilgå deres personlige post via IMAP.

Alle tjenester kan tilgås med brug af det samme brugernavn og adgangskode, takket være den centrale brugerdatabase for godkendelse og autorisation.

For at øge ydelsen på ofte tilgåede sider så bruges en internetproxy til at mellemlagre filer lokalt (Squid). Sammen med blokering af internettrafik i routeren giver dette også kontrol over internetadgang på individuelle maskiner.

Netværkskonfiguration på klienterne udføres automatisk med brug af DHCP. Alle klienttyper kan forbindes til det private undernet 10.0.0.0/8, og vil få tilsvarende IP-adresser; LTSP-klienter skal forbinde til den tilsvarende LTSP-server via det separate undernet 192.168.0.0/24 (dette for at sikre at netværkstrafik fra LTPS-klienterne ikke påvirker resten af netværkstjenesterne).

Centraliseret logning sættes op så at alle maskiner sender deres syslog-beskeder til serveren. Syslog-tjenesten sættes op så at den kun accepterer indgående beskeder fra det lokale netværk.

Som standard sættes DNS-serveren op med et domæne kun for intern brug (*.intern), indtil et reelt (»external«) DNS-domæne kan sættes op. DNS-serveren sættes op som Caching DNS-server, så at alle maskiner på netværket kan bruge den som DNS-hovedserver.

Studerende og lærere har mulighed for at udgive internetsider. Internetserveren tilbyder mekanismer for godkendelse af brugere, og begrænsning af adgang til individuelle sider og undermapper for bestemte brugere og grupper. Brugere vil have mulighed for at oprette dynamiske internetsider, da internetserveren vil være programmerbar på serversiden.

Information om brugere og maskiner kan ændres på en central placering, og gøres tilgængelig for alle computere på netværket automatisk. For at opnå dette sættes en centraliseret mappeserver op. Mappen vil have information om brugere, brugergrupper, maskiner og grupper af maskiner. For at undgå brugerforvirring vil der ikke være nogen forskel mellem filgrupper, postlister og netværksgrupper. Dette medfører at grupper af maskiner, som skal udgøre netværksgrupper vil bruge det samme navnerum som brgergrupper.

Administration af tjenester og brugere vil hovedsagelig foregå via internettet, og følge etablerede standarder, der fungerer godt i internetbrowsere som er en del af Skolelinux. Delegeringen af bestemte opgaver til individuelle brugere eller brugergruppper kan gøres muligt via administrationssystemerne.

For at undgå bestemte problemer med NFS, og gøre det nemmere at fejlsøge, skal de forskellige maskiner have synkroniserede ure. For at få dette sættes serveren for Skolelinux op som en lokal Network Time Protocol-server (NTP). Selve serveren skal synkronisere sit ur via NTP mod maskiner på internettet, og dermed sikre at hele netværket har den korrekt tidsangivelse.

Printere forbindes hvor det er passende, enten direkte til hovednetværket, eller forbundet til en server, arbejdsstation eller LTSP-server. Adgang til printere kan kontrolleres for individuelle brugere jævnfør den gruppe de tilhører; dette vil blive opnået ved at bruge kvoter og adgangskontrol for printere.

Alle Linuxmaskinerne, som er installeret via Skolelinux-installationsprogrammet, vil kunne administreres fra en central computer, højst sandsynlig serveren. Det vil være muligt at logge ind på alle maskiner via SSH, og dermed have fuld adgang til maskinerne. Som administrator skal man afvikle kinit først for at få en Kerberos TGT.

Al brugerinformation opbevares i en LDAP-mappe. Opdateringer af brugerkontoer udføres mod denne database, som bruges af klienter for brugergodkendelse.

Hver brugerkonto i Skolelinux tildeles et afsnit af filsystemet på filserveren. Dette afsnit (hjemmemappen) indeholder brugerens konfigurationsfiler, dokumenter, e-post og internetsider. Nogle af filerne bør gives læseadgang for andre brugere på systemet, nogle skal kunne læses af alle på internettet, og nogle skal ikke kunne tilgås for læsning af andre end brugeren selv.

For at sikre at alle diske som bruges for hjemmemapper eller delte mapper er unikt navngivet på tværs af alle computere i installationen, kan de monteres som /skole/host/directory/. Som start oprettes en mappe på filserveren, /skole/tjener/home0/, hvor alle brugerkontoerne oprettes. Yderligere mapper kan så oprettes, når der skal tilpasses til specifikke brugergruppper eller specifikke forbrugsmønstre.

For at aktivere adgang til filer under det normale UNIX-rettighedssystem, så skal brugere være i supplementært delte grupper (såsom »studenter«) samt den personlige primære gruppe de er i som standard. Hvis brugere har en passende umask til at gøre nyoprettede punkter adgangsbare for grupper (002 eller 007), og hvis mapperne de arbejder i er setgid for at sikre at filerne arver det korrekte gruppeejerskab, er resultatet kontrolleret fildeling mellem medlemmer af en gruppe.

Den oprindelige adgangsindstilling for netop oprettede filer er et politikspørgsmål. Den normale umask for Debian er 022 (som ikke tillader gruppeadgang som beskrevet ovenfor), men Debian Edu bruger en standard på 002 - hvilket betyder at filer oprettes med læseadgang for alle, hvilket senere kan fjernes med en eksplicit brugerhandling. Dette kan ændres (ved at redigere /etc/pam.d/common-session) til en umask på 007 - hvilket betyder at læseadgang er blokeret, og at en brugerhandling skal udføres for at gøre dem tilgængelige. Den første metode opmuntrer til vidensdeling, og gør systemet mere gennemsigtigt, hvor den anden metode formindsker risikoen for uønsket spredning af ømtålelig information. Problemet med den første løsning er at det ikke er indlysende for brugerne, at materialet de opretter vil være tilgængeligt for alle andre brugere. De kan kun se dette ved at kigge i andre brugeres mapper og der se at deres filer også er læsbare. Problemet med den anden løsning er at få personer vil gøre deres filer læsbare også selv om de ikke indeholder ømtålelig information og at indholdet ville have været nyttig for andre brugere, som ønsker at lære hvordan andre har løst specifikke problemer typisk konfigurationsproblemer).