I dette kapitel er avancerede administrationsopgaver beskrevet.
In this example we want to create users in year groups, with common home directories for each group (home0/2024, home0/2026, etc). We want to create the users by csv import.
(som root på hovedserveren)
Lav de nødvendige årsgruppemapper
mkdir /skole/tjener/home0/2024
(som første bruger i Gosa)
Afdeling
Main menu: goto 'Directory structure', click the 'Students' department. The 'Base' field should show '/Students'. From the drop box 'Actions' choose 'Create'/'Department'. Fill in values for Name (2024) and Description fields (students graduating in 2024), leave the Base field as is (should be '/Students'). Save it clicking 'Ok'. Now the new department (2024) should show up below /Students. Click it.
Gruppe
Choose 'Groups' from the main menu; 'Actions'/Create/Group. Enter group name (leave 'Base' as is, should be /Students/2024) and 'Ok' to save it.
Skabelon
Choose 'users' from the main menu. Change to 'Students' in the Base
field. An Entry NewStudent
should show up,
click it. This is the 'students' template, not a real user. As you'll have
to create such a template (to be able to use csv import for your structure)
based on this one, notice all entries showing up in the Generic and POSIX
tabs, maybe take screenshots to have information ready for the new template.
Now change to /Students/2024 in the Base field; choose Create/Template and start to fill in your desired values, first the Generic tab (add your new 2024 group under Group Membership, too), then add the POSIX account.
Importbrugere
Vælg din nye skabelon under udførelse af csv-import; det anbefales at teste den med nogle få brugere.
Med dette skript kan administratoren oprette en mappe i hver brugers hjemmemappe og angive adgangsrettigheder og ejerskab.
I eksemplet vist nedenfor med gruppe=lærere (group=teachers) og rettigheder=2770 kan en bruger indlevere en opgave ved at gemme filen i mappen »assignments« (opgaver) hvor lærere har fået skriveadgang så de kan lave kommentarer.
#!/bin/bash home_path="/skole/tjener/home0" shared_folder="assignments" permissions="2770" created_dir=0 for home in $(ls $home_path); do if [ ! -d "$home_path/$home/$shared_folder" ]; then mkdir $home_path/$home/$shared_folder chmod $permissions $home_path/$home/$shared_folder #set the right owner and group #"username" = "group name" = "folder name" user=$home group=teachers chown $user:$group $home_path/$home/$shared_folder ((created_dir+=1)) else echo -e "the folder $home_path/$home/$shared_folder findes allerede.\n" fi done echo "$created_dir mapper er blevet oprettet"
Når brugere indsætter et USB-drev eller en dvd/cdrom til en (diskløs) arbejdsstation, så vises et pop op-vindue på samme måde som i enhver anden normal installation.
When users insert a USB drive or a DVD / CD-ROM into an X2Go thin client, the media is automatically mounted and it is possible to access it browsing the related folder on the Xfce desktop.
Warning: When inserted into an LTSP server USB drives and other removable
media cause popup messages on remote LTSP clients.
Hvis eksterne brugere accepterer pop op'en eller bruger pmount fra konsollen, så kan de endda montere de flytbare enheder og tilgå filerne.
Benyt disse trin til at opsætte en dedikeret lagerserver for brugernes hjemmemappe og muligvis andre data.
Add a new system of type server
using GOsa²
as outlined in the Getting started
chapter of this manual.
Dette eksempel bruger »nas-server.intern« som servernavn. Når først »nas-server-intern« er konfigureret, så kontroller om NFS-eksportstederne på den nye lagerserver eksporteres til de relevante undernet eller maskiner:
root@tjener:~# showmount -e nas-server Export list for nas-server: /storage 10.0.0.0/8 root@tjener:~#
her får alt på backbone-netværket adgang til /storage-eksport. (Dette kan begrænses til netgroup-medlemsskab eller enkelte IP-adresser for at begrænse NFS-adgang som det gøres i tjener:/etc/exports-filen).
Tilføj automount-information om »nas-server.intern« i LDAP for at alle klienter automatisk montererer den nye eksport ved forespørgsel.
Dette kan ikke gøres med GOsa², da et modul for automatisk montering mangler. I stedet kan du bruge ldapvi og tilføje de krævede LDAP-objekter med et redigeringsprogram.
ldapvi --ldap-conf -ZD '(cn=admin)' -b
ou=automount,dc=skole,dc=skolelinux,dc=no
Når redigeringsprogrammet viser sig, så tilføj LDAP-objekterne i bunden af dokumentet. (»&«-delen i det sidste LDAP-objekt er et jokertegn, der matcher alt »nas-server.intern« eksporterer, hvilket fjerner behovet for at opremse individuelle monteringspunkter i LDAP).
add cn=nas-server,ou=auto.skole,ou=automount,dc=skole,dc=skolelinux,dc=no objectClass: automount cn: nas-server automountInformation: -fstype=autofs --timeout=60 ldap:ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no add ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no objectClass: top objectClass: automountMap ou: auto.nas-server add cn=/,ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no objectClass: automount cn: / automountInformation: -fstype=nfs,tcp,rsize=32768,wsize=32768,rw,intr,hard,nodev,nosuid,noatime nas-server.intern:/&
Tilføj de relevante punkter i tjener.intern:/etc/fstab, da tjener.intern ikke bruger automount til at undgå monteringsloop:
Opret monteringsmapperne med mkdir
, rediger
»/etc/fstab« på passende vis og kør mount
-a
for at montere de nye ressourcer.
Now users should be able to access the files on 'nas-server.intern' directly by just visiting the '/tjener/nas-server/storage/' directory using any application on any workstation, LTSP thin client or LTSP server.
Der er flere måder at begrænse ssh-logind, nogle er vist her.
Hvis ingen LTSP-klienter bruges er en simpel løsning at oprette en ny gruppe
(sshusers
) og at tilføje linjen til
maskinens /etc/ssh/sshd_config-fil. Kun medlemmer af gruppen
sshusers
vil have tilladelse til at benytte
ssh for at få adgang til maskinen.
Håndtering af denne opsætning med GOsa er meget simpel:
Opret en gruppe sshusers
på basisniveau
(hvor allerede andre sytemhåndteringsrelaterede grupper såsom
gosa-admins
bliver vist).
Tilføj brugere til den nye gruppe sshusers
.
Tilføj AllowGroups sshusers
til
/etc/ssh/sshd_config.
Kør service ssh restart
The default LTSP diskless client setup doesn't use ssh connections. Update the SquashFS image on the related LTSP server after the ssh setup has been changed is enough.
X2Go thin clients are using ssh connections to the related LTSP server. So a different approach using PAM is needed.
Aktiver pam_access.so i LTSP-serverens /etc/pam.d/sshd-fil.
Konfigurer /etc/security/access.conf så forbindelser for (prøve) brugerne alice, jane, bob og john er tilladt fra overalt og for alle andre brugere alene fra de interne netværk ved at tilføje disse linjer:
+ : alice jane bob john : ALL + : ALL : 10.0.0.0/8 192.168.0.0/24 192.168.1.0/24 - : ALL : ALL #
Hvis kun dedikerede LTSP-servere anvendes, kan 10.0.0.0/8-netværket droppes for at deaktivere intern ssh-logindadgang. Bemærk: En person som tilslutter sin boks i de dedikerede LTSP-klientnetværk vil også få ssh-adgang til LTSP-serverne.
If X2Go clients were attached to the backbone network 10.0.0.0/8, things would be even more complicated and maybe only a sophisticated DHCP setup (in LDAP) checking the vendor-class-identifier together with appropriate PAM configuration would allow to disable internal ssh login.