Indice
Traduzione:
2007-2021 Claudio Carboncini
2013, 2014 Beatrice Torracca
Questa è il manuale per la versione 12 (bookworm) di Debian Edu.
La versione su https://wiki.debian.org/DebianEdu/Documentation/Bookworm è un wiki che viene modificato frequentemente.
Le traduzioni aggiornate sono disponibili online.
Debian Edu aka Skolelinux è una distribuzione Linux basata su Debian che fornisce un ambiente per una rete scolastica completamente configurata out-of-the box. Implementa un approccio client-server. Server e client sono pezzi di software che interagiscono tra loro. I server forniscono le informazioni richieste dai client per funzionare. Quando un server è installato su una macchina e il suo client su una macchina diversa, le macchine stesse sono chiamate server e client, per estensione del concetto.
I capitoli sui requisiti hardware e rete e sull'architettura contengono dettagli di base sulla progettazione del sistema.
Dopo l'installazione di un server principale, sono configurati tutti i servizi necessari per la rete scolastica e il sistema è pronto per essere usato. Solo utenti e macchine devono essere aggiunti usando GOsa², una comoda interfaccia Web, o da un qualsiasi altro editor LDAP. È stato anche preparato un ambiente di avvio in rete usando PXE/iPXE, così dopo l'installazione iniziale del server principale da CD, disco Blu-ray o chiavetta USB tutte le altre macchine possono essere installate via rete, comprese le "postazioni mobili (roaming)" (macchine che possono essere scollegate dalla rete della scuola, generalmente laptop o netbook). Inoltre, le macchine possono essere avviate via PXE/iPXE come workstation senza disco o thin client.
Diverse applicazioni didattiche come GeoGebra, Kalzium, KGeography, GNU Solfege e Scratch sono incluse nella configurazione predefinita del desktop, che può essere facilmente estesa e quasi all'infinito attraverso l'universo Debian.
Debian Edu / Skolelinux è una distribuzione Linux sviluppata dal progetto Debian Edu. Come distribuzione Debian Pure Blend è un sottoprogetto ufficiale Debian.
Questo significa per una scuola che Skolelinux è una versione di Debian che mette a disposizione un sistema pronto all'uso per una rete completamente configurata per la scuola.
Il progetto Skolelinux è stato fondato in Norvegia il 2 luglio 2001 e circa nello stesso tempo Raphaël Hertzog iniziò Debian-Edu in Francia. Dal 2003 i due progetti si sono uniti, ma sono rimasti entrambi i nomi. "Skole" e (Debian-)"Education" sono solo termini molto conosciuti in questi paesi.
Oggi la distribuzione è usata in altri paesi del mondo.
Questa sezione del documento descrive l'architettura della rete e i servizi messi a disposizione dalla installazione di Skolelinux.
La figura rappresenta uno schema della topologia di rete. La configurazione predefinita di una rete Skolelinux presuppone un (e solo uno) server principale, e permette l'inclusione di normali workstation e server LTSP (con thin-client associati e/o workstation senza disco). Il numero delle workstation può essere più o meno grande (da nessuna a molte). Lo stesso vale per i server LTSP, ognuno dei quali ha una propria rete separata in modo tale che il traffico tra i client e il server LTSP non influenzi il resto dei servizi di rete. LTSP è spiegato in dettaglio nel capitolo del relativo HowTo.
La ragione per cui può essere presente un solo server principale in ogni rete di scuola è che questo server fornisce il servizio DHCP e può esserci una sola macchina che lo fa in ogni rete. È possibile trasferire i servizi dal server principale a altre macchine, impostando il servizio su un'altra macchina e modificando la configurazione del DNS di conseguenza, in modo che l'alias del DNS per quel servizio punti alla macchina giusta.
Per semplificare la configurazione standard di Skolelinux, la connessione Internet viene eseguita su un router separato, detto anche gateway. Vedere il capitolo sul router Internet per maggiori informazioni su come configurare un gateway se non è possibile configurarne uno esistente.
DHCP nel server Tjener gestisce la rete 10.0.0.0/8, fornendo tramite PXE-Boot un menu syslinux dove si può scegliere di installare un nuovo server/workstation, avviare un thin-client o una workstation senza dischi, eseguire memtest o avviare dall'hard disk locale.
Questo è stato progettato per essere modificato; per i dettagli, vedere il capitolo del relativo HowTo.
Il DHCP nei server LTSP è usato solo per una rete dedicata sulla seconda interfaccia. (192.168.0.0/24 e 192.168.1.0/24 sono le opzioni preconfigurate) e raramente occorre cambiarla.
La configurazione di tutte le sottoreti è archiviata in LDAP.
Una rete Skolelinux ha bisogno di un solo server principale ("tjener" che è la traduzione norvegese di "server") che ha in modo predefinito l'indirizzo IP 10.0.2.2 e che è installato selezionando il profilo "Main Server". È possibile (ma non necessario) selezionare e installare anche i profili LTSP Server e workstation in aggiunta al profilo per il server principale.
Con l'eccezione del controllo dei thin-client, tutti i servizi sono inizialmente configurati su un computer centrale (il server principale). Per ragioni di prestazioni, i server LTSP dovrebbero essere macchine diverse dal server principale (anche se è possibile installare il server principale e i server LTSP sulla stessa macchina). Tutti i servizi hanno un nome-DNS dedicato e vengono forniti solamente via IPv4. I nomi DNS rendono facile il trasferimento di servizi dal server principale ad altre macchine, semplicemente fermando il servizio sul server principale e cambiando la configurazione DNS in modo che punti alla nuova posizione del servizio (che naturalmente dovrebbe essere prima installato sulla macchina scelta).
Per ragioni di sicurezza tutte le connessioni che trasmettono password sulla rete sono cifrate e perciò nessuna password è inviata nella rete come testo in chiaro.
Nella tabella sottostante sono elencati i servizi che sono configurati in modo predefinito in una rete Skolelinux con il nome DNS di ogni servizio. Tutti i file di configurazione si riferiranno, se possibile, al servizio attraverso il nome DNS (senza il nome del dominio), così che le scuole possano cambiare dominio (se hanno un proprio dominio DNS) o indirizzo IP facilmente.
Tabella dei servizi | ||
Descrizione del servizio |
Nome comune |
Nome DNS del servizio |
Log centralizzato |
rsyslog |
syslog |
Servizio dei nomi di dominio |
DNS (BIND) |
domain |
Configurazione automatica della rete per le macchine |
DHCP |
bootps |
Sincronizzazione dell'orologio |
NTP |
ntp |
Directory home via Network File System |
SMB / NFS |
homes |
Sistema di posta elettronica |
IMAP (Dovecot) |
postoffice |
Servizio di directory |
OpenLDAP |
ldap |
Amministrazione degli utenti |
GOsa² |
--- |
Server web |
Apache/PHP |
www |
Backup centrale |
sl-backup, slbackup-php |
backup |
Cache web |
Proxy (Squid) |
webcache |
Stampa |
CUPS |
ipp |
Login remoto sicuro |
OpenSSH |
ssh |
Configurazione automatica |
CFEngine |
cfengine |
LTSP Server |
LTSP |
ltsp |
Controllo delle macchine e dei servizi con segnalazione degli errori, più lo stato e cronologia su web. Segnalazione degli errori attraverso la posta elettronica |
Munin, Icinga e Sitesummary |
sitesummary |
Ogni utente archivia i suoi file personali nella sua directory home messa a disposizione dal server. Le cartelle home sono disponibili da tutte le macchine dando la possibilità di accedere agli stessi file indipendentemente dalla macchina da cui ci si collega. Il server è indipendente dal sistema operativo e utilizza NFS per i client Unix e SMB2/SMB3 per gli altri client.
In modo predefinito la posta elettronica è impostata solo per la consegna in locale (cioè all'interno della scuola), sebbene la spedizione di e-mail verso Internet può essere configurata se la scuola ha una connessione Internet permanente. I client sono predisposti per spedire la posta al server (usando "smarthost"), e gli utenti possono accedere alle loro email attraverso IMAP.
Tutti i servizi sono accessibili usando gli stessi nome utente e password in quanto il database di autenticazione e autorizzazione è centralizzato.
Per incrementare le prestazioni sui siti più frequentati è usato un proxy web (Squid) che archivia i file localmente. Insieme con il blocco del traffico nel router ciò permette il controllo dell'accesso a Internet per le singole macchine.
La configurazione di rete dei client è fatta automaticamente con l'uso di DHCP.Tutti i tipi di client possono essere connessi alla sottorete privata 10.0.0.0/8 e ricevere indirizzi IP corrispondenti, mentre i client LTSP sono connessi al corrispondente server LTSP con la sottorete separata 192.168.0.0/24 (questo assicura che il traffico di rete dei client LTSP non interferisca con il resto dei servizi di rete).
Il servizio centralizzato di log è configurato in modo che tutte le macchine mandino i loro messaggi di syslog al server. Il servizio syslog è predisposto in modo da accettare solamente i messaggi provenienti dalla rete locale.
In modo predefinito il server DNS è configurato con un dominio solamente per uso interno (*.intern) fino a che non viene impostato un dominio DNS reale ("esterno"). Il server DNS è configurato come un server DNS con cache in modo che tutte le macchine della rete possano usarlo come server DNS principale.
Allievi e insegnanti hanno la possibilità di pubblicare pagine web. Il server web dispone di meccanismi per autenticare gli utenti e limitare l'accesso a singole pagine e sottodirectory a determinati utenti e gruppi. Gli utenti avranno la possibilità di creare pagine web dinamiche, dato che c'è la possibilità di programmare dal lato server.
Le informazioni sugli utenti e sulle macchine possono essere modificate centralmente e rese automaticamente accessibili a tutte le macchine della rete. A questo scopo è configurato un server di directory centralizzato. La directory archivierà le informazioni su utenti, gruppi di utenti, macchine e gruppi di macchine. Per evitare confusioni nell'utente, non ci sarà differenza tra gruppi per i file e gruppi di rete. Questo implica che i gruppi di macchine che formeranno i gruppi di rete useranno lo stesso spazio dei nomi dei gruppi di utenti.
L'amministrazione dei servizi e degli utenti avverrà principalmente via web e seguirà gli standard comuni, funzionando bene nei browser che sono inclusi in Skolelinux. La delega di alcuni compiti a singoli utenti o gruppi di utenti sarà resa possibile attraverso i sistemi di amministrazione.
Per evitare alcuni problemi con NFS e rendere più semplice il debug dei problemi, l'orario deve essere sincronizzato sulle diverse macchine. Per questo il server Skolelinux è configurato come server Network Time Protocol (NTP) locale e tutte le macchine e i client sono impostati per sincronizzare il loro orologio con quello del server. Il server a sua volta dovrebbe sincronizzare il proprio orologio in Internet, così da assicurare che l'intera rete abbia l'ora esatta.
Le stampanti vengono collegate dove più comodo, direttamente alla rete principale o ad un server, workstation o server LTSP. L'accesso alle stampanti può essere controllato per i singoli utenti in base ai gruppi ai quali appartengono e realizzato usando il controllo delle quote e degli accessi per le stampanti.
Una rete Skolelinux può avere diversi server LTSP che sono installati selezionando il profilo LTSP Server.
I server LTSP sono configurati per ricevere il syslog dai thin-client e workstation e inoltrare questi messaggi al syslog principale.
Attenzione:
Le workstation senza dischi usano programmi installati nel server.
Il filesystem di root dei client viene realizzato usando NFS. Dopo ogni
modifica al server LTSP l'immagine relativa deve essere rigenerata;
eseguire debian-edu-ltsp-install --diskless_workstation
yes
sul server LTSP.
La configurazione dei thin-client permette a un PC di funzionare come un terminale (X). Questo significa che la macchina si avvia direttamente dal server utilizzando PXE senza usare il disco fisso locale. Il setup del thin client ora usa X2Go perché LTSP ha abbandonato il supporto.
I thin-client sono un modo ottimo per usare ancora macchine molto vecchie (per lo più a 32 bit) in quanto tutti i programmi girano sul server LTSP. Questo funziona come segue: il servizio usa DHCP e TFTP per connettersi alla rete e si inizializza dalla rete stessa. In seguito il file system è montato usando NFS dal server LTSP e da ultimo parte X2Go client.
Le workstation senza dischi eseguono tutto il software nel PC senza avere installato localmente alcun sistema operativo. Questo vuol dire che le macchine si avviano direttamente via PXE senza eseguire alcun software installato su un disco fisso locale.
Le workstation senza dischi sono un modo eccellente di utilizzare hardware potente con lo stesso basso costo di manutenzione dei thin-client. Il software è amministrato e mantenuto sul server senza la necessità di installare alcun software sui client. Anche le directory home e le configurazioni del sistema sono archiviate sul server.
Tutte le macchine Linux che sono installate usando l'installatore di
Skolelinux saranno amministrabili da un computer centrale, probabilmente il
server. Sarà possibile fare il login su tutte le macchine via SSH e avere
il pieno accesso alle macchine. Come root si deve eseguire prima
kinit
per avere Kerberos TGT.
Tutte le informazioni degli utenti sono in una directory LDAP. Le modifiche degli utenti sono fatte in questo database che è usato dai client per l'autenticazione degli utenti.
Attualmente ci sono due tipi di supporti di installazione: netinst e BD. Entrambe le immagini possono essere avviate anche da penna USB.
L'obiettivo è quello di essere in grado di installare una sola volta un server da un qualsiasi tipo di dispositivo per poi installare tutti gli altri client dalla rete mediante l'avvio di rete.
Solo l'immagine netinstall ha bisogno di accedere a Internet durante l'installazione.
L'installazione non dovrebbe fare alcuna domanda, con l'eccezione della lingua desiderata, localizzazione, layout della tastiera e del profilo della macchina (server principale, workstation, server LTSP, …). Tutte le altre configurazioni saranno impostate automaticamente con parametri ragionevoli che l'amministratore di sistema può eventualmente cambiare da una postazione centralizzata una volta terminata l'installazione.
Ad ogni account utente Skolelinux è assegnata una parte del file system sul file server. Questa parte (la directory home) contiene i file di configurazione, i documenti, le email e le pagine web dell'utente. Alcuni di questi file dovrebbero essere configurati in sola lettura per gli altri utenti del sistema, altri leggibili da tutti via Internet, altri ancora dovrebbero essere accessibili solo all'utente stesso.
Per essere sicuri che tutti i dischi usati per le directory dell'utente e
per le directory condivise abbiano un nome unico per tutti i computer
durante l'installazione, possono essere montati come
/skole/host/directory/
. Inizialmente viene
creata una sola directory sul file server:
/skole/tjener/home0/
in cui vengono messi
tutti gli account utente. Altre directory possono essere create quando è
necessario, per adattarsi a gruppi particolari di utenti o particolari
esigenze di utilizzo.
Per consentire l'accesso ai file condivisi con il normale sistema di permessi UNIX, gli utenti devono essere inseriti in gruppi condivisi supplementari (come "studenti"), oltre al proprio gruppo primario personale di cui fanno parte in modo predefinito. Se gli utenti hanno una umask appropriata per creare nuovi elementi accessibili al gruppo (002 o 007) e le directory su cui lavorano hanno il bit setgid impostato per assicurare che i file ereditino il gruppo proprietario corretto, il risultato è una condivisione di file controllata tra i membri di un gruppo.
Le impostazioni iniziali di accesso per i nuovi file creati dipendono dalla
politica usata. La umask predefinita di Debian è 022 (che non permetterebbe
l'accesso di gruppo come descritto sopra), quella di Debian Edu, invece usa
002, che significa che i file sono creati con possibilità di lettura per
tutti, con la possibilità di rimuoverla in seguito con un'azione specifica
dell'utente. Ciò può essere in alternativa cambiato (modificando
/etc/pam.d/common-session
) con una umask
007, che significa che la possibilità di lettura è inizialmente impedita, ed
è necessaria un'azione dell'utente per renderla accessibile. Il primo metodo
incoraggia la condivisione della conoscenza e rende il sistema più
trasparente, il secondo metodo diminuisce il rischio della diffusione non
voluta di informazioni sensibili. Il problema con la prima soluzione è che
non è evidente per l'utente che il materiale che crea sarà accessibile a
tutti. Può accorgersene solo ispezionando le directory degli altri utenti e
vedendo che tutti i file sono leggibili. Il problema con la seconda
soluzione è che sono pochi gli utenti che sanno rendere accessibile in
lettura i propri file e se questi non contengono informazioni sensibili il
loro contenuto potrebbe essere utile per gli utenti che vogliono imparare a
risolvere problemi che già altri hanno risolto (in genere problemi di
configurazione).
Ci sono molti modi per configurare una soluzione Skolelinux. Può essere installato su un'unica macchina o su una grande rete regionale fatta da più scuole e gestita centralmente. Per questa varietà di configurazioni c'è una grande differenza su come impostare i componenti di rete, server e macchine client.
Lo scopo dei diversi profili è spiegato nella sezione sulla architettura della rete.
Se si intende usare LTSP consultare la pagina wiki Requisiti Hardware LTSP.
I computer su cui eseguire Debian Edu / Skolelinux devono aver processori a 32 bit (Architettura Debian 'i386', i processori più vecchi supportati sono quelli della classe 686) o a 64 bit (architettura Debian 'amd64') con processori x86.
I thin client con solo 256 MiB di RAM e con un processore a 400 MHz possono funzionare, sebbene maggiore RAM e processori più veloci sono raccomandati.
Per le workstation senza dischi e per i sistemi standalone sono richiesti come minimo 1500 MHz e 1024 MiB di RAM. Per l'esecuzione dei più recenti browser web e per LibreOffice sono consigliati almeno 2048 MiB di RAM.
I requisiti di spazio minimo di disco dipendono dal profilo che si è installato:
main server + LTSP server + workstation (se si desidera un'interfaccia grafica sul server): 60 GiB (più spazio aggiuntivo per gli account utente).
LTSP server: 40 GiB.
workstation o standalone: 30 GiB.
installazione minima di macchine in rete: 4 GiB.
i server LTSP devono avere due schede di rete quando si usa l'architettura di rete predefinita:
eth0 connessa alla rete principale (10.0.0.0/8)
eth1 è usata per servire i client LTSP.
I laptop sono workstation mobili richiedono quindi gli stessi requisiti delle workstation.
Un elenco di hardware testato è fornito da https://wiki.debian.org/DebianEdu/Hardware/. Questa lista non è affatto completa.
https://wiki.debian.org/InstallingDebianOn è uno sforzo per documentare come installare, configurare e usare Debian su hardware specifico, permettendo ai potenziali acquirenti di sapere se quell'hardware è supportato e ai proprietari attuali di sapere come ottenere il meglio da quell'hardware.
Quando si usa l'architettura di rete predefinita, si applicano queste regole:
Occorre avere un solo server principale.
Si possono avere centinaia di workstation sulla rete principale.
Si possono avere molti server LTSP sulla rete principale: due diverse sottoreti sono preconfigurate (DNS, DHCP) in LDAP e altre possono essere aggiunte.
Si possono avere centinaia di thin-client e/o workstation senza dischi su ogni rete del server LTSP.
Si possono avere centinaia di altre macchine che hanno un indirizzo IP dinamico assegnato
Per avere accesso a Internet c'è bisogno di un router/gateway (vedere più avanti)
Per connettersi a Internet sono necessari: un router/gateway, connesso a Internet sull'interfaccia esterna e con l'indirizzo IP 10.0.0.1 con maschera di rete 255.0.0.0 sull'interfaccia interna.
Il router non dovrebbe essere un server DHCP, anche se è possibile che sia un server DNS, anche se questo non è necessario e non sarà utilizzato.
Nel caso in cui non si disponga già di un router o il router esistente non
possa essere configurato correttamente, qualsiasi macchina che soddisfi i
requisiti per un'installazione Debian minima e che abbia almeno due
interfacce di rete può essere utilizzata come gateway tra la rete esistente
e la rete DebianEdu. Vedere documentazione
di installazioneper un modo semplice di installare e configurare una
macchina Debian usando
debian-edu-router-config
.
Se si ha bisogno di qualcosa per un router integrato o un access point si raccomanda di usare OpenWRT, anche se naturalmente si può usare il firmware originale. Usare il firmware originale è più facile, ma OpenWRT dà la possibilità di maggiori opzioni e controlli. Verificare sulle pagine web di OpenWRT la lista di hardware supportati.
È possibile usare una diversa configurazione di rete, seguendo questa procedura documentata, ma se non si è costretti a farlo da un'infrastruttura di rete esistente, è sconsigliato farlo e conviene attenersi alla architettura di rete predefinita.
Si raccomanda di leggere o almeno dare uno sguardo alle note di rilascio per Debian Bookworm prima di cominciare a installare un sistema funzionante. Ulteriori informazioni sul rilascio di Debian Bookworm sono disponibili nel suo manuale d'installazione.
Si prega di provare Debian Edu/Skolelinux, dovrebbe funzionare.
Si raccomanda, tuttavia, di leggere i capitoli relativi a hardware e requisiti di rete e alla architettura prima di iniziare a installare un server principale.
Assicurarsi di leggere il capitolo Iniziare di questo manuale, che spiega come autenticarsi la prima volta.
amd64
e
i386
sono i nomi delle due architetture
Debian per CPU x86, entrambe sono o sono state costruite per AMD, Intel e
altri produttori. amd64
è un'architettura
a 64-bit e i386
is un'architettura a
32-bit. Attualmente le installazioni andrebbero eseguite usando
amd64
.
i386
dovrebbe essere usato solo per
hardware molto vecchio.
L'immagine iso netinst può essere usata per l'installazione da CD/DVD e unità flash USB ed è disponibile per due architetture Debian: amd64 o i386. Come suggerisce il nome, per l'installazione è richiesto l'accesso a Internet.
Una volta che Bookworm è stato rilasciato queste immagini saranno disponibili per il download:
Questa immagine ISO è grande circa 7,5 GB e può essere usata per l'installazione di macchine amd64 o i386 anche senza la connessione a internet. Come l'immagine netinst può essere utilizzata su unità flash USB o su un disco di grandezza sufficiente.
Una volta che Bookworm è stato rilasciato queste immagini saranno disponibili per il download:
Istruzioni dettagliate per la verifica e l'uso di queste immagini sono parte di Debian-CD FAQ.
I sorgenti sono disponibili negli archivi Debian nelle consuete posizioni, più supporti sono disponibili su https://get.debian.org/cdimage/release/current/source/
Quando si fa un'installazione Debian Edu ci sono poche opzioni tra cui scegliere. Non ci si deve preoccupare, non sono molte. Abbiamo dedicato molte energie per nascondere la complessità di Debian durante e dopo l'installazione. Comunque, Debian Edu è una Debian, e se si vuole si può scegliere tra più di 59.000 pacchetti e un bilione di opzioni di configurazione. Per la maggioranza degli utenti però, le opzioni predefinite dovrebbero andar bene. Nota bene: se si intende utilizzare LTSP, scegliere un ambiente desktop leggero.
Rete scolastica o domestica con accesso a Internet tramite un router che fornisce DHCP:
L'installazione di un server principale è possibile, ma dopo il riavvio non ci sarà accesso a Internet (per l'interfaccia di rete primaria con IP 10.0.2.2/8).
Vedere il capitolo router Internet per dettagli sulla configurazione di un gateway, se non è possibile configurarne uno esistente, come richiesto.
Collegare tutti i componenti come mostrato nel capitolo architettura.
The main server should have Internet connection once booted the first time in the correct environment.
Rete scolastica o istituzionale, simile a quella di cui sopra, ma con l'uso del proxy.
Aggiungere 'debian-edu expert' alla riga di comando del kernel; vedere più avanti per dettagli su come farlo.
Alcune domande aggiuntive devono essere soddisfatte, come ad esempio quella relativa al server proxy.
Rete con router/gateway con IP 10.0.0.1/8 (che non fornisce un server DHCP) e accesso a Internet:
Non appena la configurazione automatica della rete non riesce (a causa della mancanza di DHCP), scegliere la configurazione di rete manuale.
Inserire 10.0.2.2/8 come host IP
Inserire 10.0.0.1 come IP del gateway
Inserire 8.8.8.8 come indirizzo IP del nameserver a meno che non se ne conosca di meglio
Il server principale dovrebbe funzionare subito dopo il primo avvio.
Offline (senza collegamento Internet):
Utilizzare l'immagine iso BD.
Assicurarsi che tutti i cavi di rete (reali/virtuali) siano scollegati.
Scegliere 'Non configurare la rete in questo momento' (dopo che il DHCP non è riuscito a configurare la rete e premere 'Continua').
Aggiornare il sistema una volta che si avvia per la prima volta nell'ambiente corretto con accesso a Internet.
Diversi ambienti desktop sono disponibili:
Xfce ha un ingombro leggermente maggiore rispetto a LXDE ma un supporto molto buono per le lingue (106 lingue).
KDE e GNOME hanno entrambi un buon supporto linguistico, ma sono troppo ingombranti sia per i computer meno recenti che per i client LTSP.
Cinnamon è un'alternativa più leggera a GNOME.
MATE è più leggero dei tre precedenti, ma manca di un buon supporto linguistico per diversi paesi.
LXDE ha il minor ingombro e supporta 35 lingue.
LXQt è un desktop leggero (con un supporto linguistico simile a LXDE) con un aspetto più moderno (basato su Qt proprio come KDE).
Debian Edu come progetto internazionale ha scelto di usare Xfce come ambiente desktop predefinito; vedere sotto come impostarne uno diverso.
Quando si installa un sistema con il profilo Workstation incluso vengono installati molti programmi educativi. Per installare solo il profilo di base, rimuovere il parametro della riga di comando del kernel desktop=xxxx prima di iniziare l'installazione; vedere più avanti per i dettagli su come si fa. Questo permette di installare un sistema specifico e potrebbe essere usato per velocizzare le installazioni di test.
Nota: se si vuole installare in seguito un desktop, non usare il meta-pacchetto Debian Edu come ad esempio education-desktop-xfce perché... questo potrebbe installare tutti i programmi relativi all'istruzione, invece di task-xfce-desktop. Uno o più meta-packages relativi ai nuovi livelli scolastici come education-preschool, education-primaryschool, education-secondaryschool education-highschool potrebbero essere installati per adattarsi al contesto d'uso.
Per maggiori informazioni sui meta-pacchetti Debian Edu, vedere la pagina Debian Edu packages overview.
Menu di avvio dell'installatore su hardware a 64-bit - BIOS mode
Selezionare Graphical install per usare l'installatore GTK in cui si può usare il mouse.
Install usa il modo testo.
Advanced options > porta a un sotto menu con maggiori opzioni da scegliere
Help dà alcuni suggerimenti sull'utilizzo dell'installazione; vedere le schermate sotto.
Back.. riporta al menu principale.
Graphical expert install dà accesso a tutte le domande disponibili in modalità grafica.
Graphical rescue mode permette di utilizzare questo supporto di installazione come disco di ripristino per le attività di emergenza.
Graphical automated install ha bisogno di un file di preconfigurazione.
Expert install dà accesso a tutte le domande disponibili in modalità testuale.
Rescue mode modo testo permette di utilizzare questo supporto di installazione come disco di ripristino per le attività di emergenza.
Automated install modo testo; ha bisogno di un file di preconfigurazione.
Non usare Graphical expert install
o
Expert install
, usare invece
debian-edu-expert
come parametro
aggiuntivo del kernel in casi eccezionali.
Schermate di aiuto
Questa schermata di aiuto si spiega da sé e con i tasti <F> sulla tastiera permette di ottenere una guida più dettagliata sugli argomenti descritti.
Menu di avvio dell'installatore su hardware a 64-bit - UEFI mode
Aggiungere o modificare i parametri di avvio per le installazioni
In entrambi i casi le opzioni di avvio possono essere modificate premendo il tasto Tab o il tasto E nel menu di avvio; la schermata mostra la riga di comando per l'installazione grafica.
Si può utilizzare un servizio proxy HTTP esistente sulla rete per
velocizzare l'installazione del profilo del server
principale dal CD. Aggiungere ad esempio
mirror/http/proxy=http://10.0.2.2:3128
come
parametro addizionale di avvio.
Se si è già installato il profilo del server principale su una macchina, ulteriori installazioni dovrebbero essere fatte via PXE, in quanto questo utilizzerà automaticamente il proxy del server principale.
Per installare il desktop GNOME al posto
del desktop di default Xfce, sostituire
xfce
con
gnome
nel parametro
desktop=xfce
.
Per installare invece il desktop LXDE,
usare desktop=lxde
.
Per installare invece il desktop LXQt,
usare desktop=lxqt
.
Per installare invece il desktop KDE
Plasma, usare desktop=kde
.
Per installare invece il desktop Cinnamon, usare
desktop=cinnamon
.
Per installare il desktop MATE, usare
desktop=mate
.
Ricordarsi i requisiti di sistema e assicurarsi di avere almeno due schede di rete (NIC) se si si desidera installare un server LTSP.
Scegliere una lingua (per l'installazione e per il sistema da usare).
Scegliere un paese che normalmente dovrebbe essere il luogo in cui si vive.
Scegliere una disposizione di tastiera (in genere quella predefinita per il proprio paese va bene)
Scegliere il profilo dal seguente elenco:
Main Server
Questo è il server principale (tjener) per la scuola e mette a disposizione tutti i servizi preconfigurati e pronti all'uso. Si deve installare un solo server principale per ogni scuola! Questo profilo non include un'interfaccia grafica. Se si vuole un'interfaccia grafica selezionare in aggiunta al profilo, anche il profilo Workstation o LTSP Server.
Workstation
Il computer si avvia dal suo hard disk locale, e esegue tutto il software e le periferiche installate localmente, come un normale computer, ma il login dell'utente è autenticato attraverso il server principale dove sono archiviati i file e il desktop dell'utente.
Workstation mobili
Lo stesso della workstation, ma capace di autenticare l'utente usando credenziali in cache, questo significa che si può usare fuori dalla rete della scuola. I file degli utenti e i loro profili sono archiviati nel disco della macchina. Il singolo utente con notebook e laptop dovrebbe selezionare questo profilo e non il profilo "Workstation" o "Standalone" come suggerito nei precedenti rilasci.
LTSP Server
I server di thin-client (e workstation senza dischi) sono chiamati anche server LTSP. I client che non hanno disco si avviano e eseguono il software attraverso questo server. Questo computer ha bisogno di due schede di rete, molta memoria e sarebbe ideale se ci fosse più di un processore. Consultare il capitolo sui client di rete per maggiori informazioni. Scegliendo questo profilo si carica anche il profilo workstation (anche se non è selezionato), un server LTSP può sempre essere usato come una workstation.
Standalone
Un computer normale che può funzionare senza un server di principale (cioè non occorre che sia nella rete). Include i laptop.
Minimal
Questo profilo installerà i pacchetti di base e la macchina sarà configurata per essere integrata in una rete Debian Edu, ma senza servizi e applicazioni. È utile come piattaforma per singoli servizi trasferiti manualmente dal server principale.
Nel caso in cui gli utenti comuni debbano essere in grado di utilizzare tale sistema, è necessario aggiungerlo utilizzando GOsa² (simile a una workstation) e installare il pacchetto libpam-krb5.
I profili Main Server, Workstation e LTSP Server sono preselezionati. Questi profili possono essere installati insieme su una macchina se si vuole avere un cosiddetto server principale combinato. Questo vuol dire che il server principale sarà anche un server LTSP e potrà essere usato come una workstation. Questa è la scelta predefinita, dal momento che si pensa che la maggioranza delle persone la desideri. Notare che occorre installare 2 schede di rete nella macchina che funzionerà da server principale combinato o come server LTSP, che saranno utili dopo l'installazione.
Rispondere "yes" o "no" per il partizionamento automatico. Occorre essere consapevoli del fatto che se si risponde "yes" vengono distrutti tutti i dati sui dischi! Se si risponde "no" questo richiederà più lavoro: sarà necessario assicurarsi che le partizioni necessarie vengano create e siano grandi abbastanza.
Per favore scegliere "yes" per mandare informazioni a https://popcon.skolelinux.org/ e permetterci di sapere quali pacchetti sono popolari e dovrebbero essere mantenuti nei rilasci futuri. Questo non è obbligatorio, ma è un modo semplice per aiutarci.
Aspettare, se il server LTSP è tra i profili selezionati, allora l'installazione rimarrà per un tempo piuttosto lungo alla fine nella fase "Finishing the installation - Running debian-edu-profile-udeb...".
Dopo aver dato la password di root, verrà chiesto di creare un utente normale "per le attività non amministrative". Per Debian Edu questo account è molto importante: è l'account che verrà utilizzato per gestire la rete Skolelinux.
La password prescelta per questo utente deve avere una lunghezza di almeno 5 caratteri e deve essere diversa dal nome utente altrimenti il login non sarà possibile (anche se una password più breve e una password che corrisponda al nome utente sarà accettata dal programma di installazione).
Aspettare ancora nel caso di un server principale combinato dopo aver riavviato il sistema. Passerà un bel po' di tempo per generare l'immagine SquashFS per le workstation senza disco.
Nel caso di un server LTSP separato, la configurazione della workstation senza disco e/o del thin client richiede alcuni passaggi manuali. Per maggiori informazioni vedere il capitolo HowTo per i client di rete.
Il pacchetto debian-edu-router-config
semplifica la configurazione di un gateway per una rete Debian Edu
attraverso un processo di configurazione interattivo in cui le informazioni
necessarie sono ottenute attraverso una serie di dialoghi.
Per utilizzarlo, eseguire un'installazione minima di Debian. Assicurarsi di
usare il normale programma di installazione Debian e non quello di Debian
Edu, poiché le installazioni Debian Edu non sono supportate da
debian-edu-router-config
.
Installare il pacchetto
debian-edu-router-config
usando
DEBIAN_FRONTEND=noninteractive apt install -y -q debian-edu-router-config
I messaggi di errore relativi alla configurazione sono previsti e possono essere ignorati per il momento.
Per il processo di configurazione successivo dell'installazione di
debian-edu-router-config
, è necessario
l'accesso fisico al computer.
Le interfacce di rete possono essere già collegate alle reti appropriate, ma non è necessario che lo siano. Tuttavia, è necessario sapere quale interfaccia sarà collegata a quale rete. Per avere maggiori informazioni sull'hardware della rete
lshw -class network
può essere usato.
Rimuovere la configurazione delle due interfacce di rete da
/etc/network/interfaces
o i file in
/etc/network/interfaces.d/
e riconfigurare
le due interfacce usando
ip addr flush <interface>
Il processo di configurazione effettivo viene avviato con
dpkg-reconfigure --force uif debian-edu-router
Quando viene chiesto il metodo di configurazione del firewall uif, scegliere "debian-edu-router". Confermare che si vuole configurare il firewall per Debian Edu Router.
Decidere se si vuole rispondere a ping e traceroute. Se non si è sicuri, rispondere affermativamente, poiché può essere utile per diagnosticare i problemi di rete.
Confermare che si desidera attivare l'inoltro dei pacchetti IP.
Quindi, assegnare le reti alle interfacce di rete del router, scegliendo una delle opzioni proposte a seconda che le interfacce di rete siano già collegate o meno.
Selezionare l'interfaccia collegata alla rete principale.
Selezionare una rete interna; nel caso in cui non si sia sicuri e si voglia semplicemente una singola rete interna, selezionare qui " Education".
Selezionare se le VLAN devono essere utilizzate per le reti interne; se non si è sicuri, selezionare no.
Selezionare qui "IPv4".
Selezionare "Uplink" se la rete a monte richiede un indirizzo IP statico e, se si è seguito il suggerimento precedente sulle reti interne, " Education".
Impostare 10.0.0.1/8
come indirizzo IP
statico per la rete interna "Education" se si è seguito il suggerimento
precedente sulle reti interne.
Abilitare NAT per la rete interna.
Abilitare l'accesso a Internet per le reti interne.
Se si desidera fornire qualsiasi servizio interno a Internet, è possibile configurarlo utilizzando la sintassi descritta. Si noti che l'accesso SSH al gateway può essere configurato utilizzando la seguente finestra di dialogo.
Decidere da quali reti si vuole consentire l'accesso SSH al gateway.
Configurare la porta SSH, che dovrebbe essere la
22
se la configurazione non è stata
modificata.
Non abilitare il DHCP per le reti interne, che sarà fornito dal server principale di Debian Edu.
Collegare le interfacce di rete, se non lo si è già fatto, e riavviare la macchina.
Se è stato abilitato l'accesso SSH, il gateway può essere riconfigurato da
remoto tramite il menu offerto quando si accede come root. Premendo
c
nel menu principale si passa al menu di
configurazione dal quale è possibile modificare tutta o parte della
configurazione utilizzando lo stesso sistema di dialogo usato per la
configurazione iniziale.
Molto probabilmente si vuole utilizzare il profilo "Roaming workstation" (vedere sopra). Occorre essere consapevoli che tutti i dati sono memorizzati in locale (perciò porre più attenzione nei backup) e le credenziali di accesso vengono memorizzate nella cache (la "vecchia" password può essere necessaria per eseguire il login se non si è collegato il portatile alla rete e non si è fatto ancora il login con la nuova password).
Se si installa da un'immagine su flash drive USB / Blu-ray disc,
/etc/apt/sources.list
conterrà come
sorgente solo quella immagine. Se si ha un collegamento Internet si
raccomanda caldamente di aggiungere le seguenti righe al file in modo da
avere disponibili e installare gli aggiornamenti di sicurezza:
deb http://deb.debian.org/debian/ bookworm main deb http://security.debian.org bookworm-security main
L'installazione netinst (che è il tipo di installazione che il nostro CD fornisce) prenderà alcuni pacchetti dal CD e il resto dalla rete. L'ammontare dei pacchetti da scaricare varia da profilo a profilo, ma rimane al di sotto di un gigabyte (a meno che non si scelga di installare tutti i possibili desktop). Una volta installato il server principale (se solo il server principale oppure un server combinato non ha importanza), le installazioni successive utilizzeranno il suo proxy per evitare di scaricare lo stesso pacchetto dalla rete più volte.
È possibile copiare direttamente l'immagine ISO di un CD/BD su unità flash USB (dette anche "chiavette USB") e avviarla da esse. È sufficiente eseguire un comando come questo, adattando il nome del file e del dispositivo alle proprie esigenze:
sudo dd if=debian-edu-amd64-XXX.iso of=/dev/sdX bs=1M
Per determinare il valore di X, eseguire questo comando prima e dopo l'inserimento del dispositivo USB:
lsblk -p
Si prega di notare che la copia richiederà un po' di tempo.
A seconda dell'immagine scelta, la penna USB si comporterà esattamente come un CD o Blu-ray disc.
Per questo metodo di installazione è necessario avere un server principale in esecuzione. Quando i client si avviano dalla rete principale, viene visualizzato un menu iPXE con opzioni per la selezione dell'installatore e dell'avvio. Se l'installazione PXE fallisce con un messaggio di errore che indica che un file XXX.bin è mancante, allora molto probabilmente la scheda di rete del client richiede un firmware non libero. In questo caso deve essere modificato l'initrd dell'installatore Debian. Questo può essere fatto con il comando:
/usr/share/debian-edu-config/tools/pxe-addfirmware
sul server.
Così appare il menu iPXE solo con il profilo Main Server:
Così appare il menu iPXE solo con il profilo LTSP Server:
Questa configurazione permette anche di avviare workstation senza dischi e thin-client sulla rete principale. A differenza delle workstation e server separati LTSP, le workstation senza dischi non devono essere aggiunte a LDAP con GOsa².
Maggiori informazioni sui client della rete possono essere trovati nella sezione HowTo per i client di rete.
L'installazione PXE utilizza un file di preconfigurazione per l'installatore Debian. Questo file può essere modificato per installare più pacchetti.
Bisogna aggiungere una riga come la seguente a
tjener:/etc/debian-edu/www/debian-edu-install.dat
d-i pkgsel/include string my-extra-package(s)
L'installazione PXE usa i file di preconfigurazione in
/etc/debian-edu/www/debian-edu-install.dat
.
Questo file può essere cambiato per adattare la preconfigurazione usata
durante l'installazione, per esempio per evitare più domande quando si
installa la rete. Un'altra possibilità per ottenere la stessa cosa è
inserire impostazioni aggiuntive in
/etc/debian-edu/pxeinstall.conf
e
/etc/debian-edu/www/debian-edu-install.dat.local
e eseguire /usr/sbin/debian-edu-pxeinstall
per aggiornare i file generati.
Maggiori informazioni si possono trovare nel manuale dell'installazione di Debian.
Per disabilitare o cambiare le impostazioni del proxy quando si installa via
PXE, le righe contenenti mirror/http/proxy
,
mirror/ftp/proxy
e
preseed/early_command
in
tjener:/etc/debian-edu/www/debian-edu-install.dat
devono essere cambiate. Per disabilitare l'uso del proxy quando si installa,
mettere un carattere '#' davanti alla prime due righe ed eliminare la parte
"export http_proxy="http://webcache:3128";
" dall'ultima.
Alcune configurazioni non possono essere preselezionate in quanto sono
necessarie prima che il file di installazione sia caricato. La lingua, la
disposizione di tastiera e il desktop sono esempi di queste impostazioni. Se
si desidera modificare le impostazioni predefinite, modificare il file del
menu iPXE /srv/tftp/ltsp/ltsp.ipxe
sul
server principale.
Creare una versione personalizzata del CD, DVD o Blu-ray è possibile abbastanza facilmente, usando l'installatore Debian, che ha un progetto modulare e altre interessanti caratteristiche. L'uso di preconfigurazione permette di definire le risposte alle domande normalmente richieste.
Quello che è necessario è creare un file di preconfigurazione con le risposte personalizzate (tutto questo è descritto nell'appendice del manuale dell'installatore Debian) e rimasterizzare il CD/DVD.
La modalità testuale e l'installazione grafica sono identiche, solo l'aspetto è diverso. La modalità grafica permette l'uso del mouse e, naturalmente appare più bella e moderna. A meno che non si abbiano problemi con l'hardware, non vi è alcun motivo per non usare la modalità grafica.
Qui sotto ci sono più schermate sulla installazione grafica Main-Server + Workstation + LTSP Server (in BIOS mode) e come questa appare al primo avvio del server principale e un avvio PXE sulla rete client LTSP (schermata della sessione thin client e schermata di login dopo che la sessione sulla destra è stata cliccata).
Durante l'installazione del server principale un primo account è stato
creato. Nel resto del documento questo account sarà denominato "primo
utente". Questo account è speciale in quanto i permessi per la directory
home sono impostati a 700 ( chmod o+x ~
per rendere accessibili le pagine web personali) e il primo utente può usare
sudo
per diventare root.
Vedere le informazioni specifiche su Debian Edu per la configurazione per l'accesso al file system prima di aggiungere utenti; se necessario, adeguarsi alla politica del sito.
Dopo l'installazione, le prime cose che si devono fare come primo utente sono:
Accedere al server.
Aggiungere utenti con GOsa²
Aggiungere workstation con GOsa²
Come aggiungere utenti e workstation è descritto in dettaglio sotto, occorre leggere questo capitolo completamente. Il capitolo descrive come fare i passi essenziali correttamente così come altri accorgimenti che probabilmente tutti dovrebbero prendere in considerazione.
Ci sono altre informazioni disponibili in questo manuale: il capitolo Nuove funzionalità in Bookworm dovrebbe essere letto da tutti coloro che hanno familiarità con le precedenti versioni. Occorre leggere il capitolo Aggiornamenti per quelli che aggiornano da una versione precedente.
Se il traffico generico del DNS è bloccato nella vostra rete e si usano alcuni specifici server DNS per navigare, occorre dire al server DNS di usare il server utilizzato come proprio "forwarder". Occorre quindi aggiornare le opzioni di /etc/bind/named.conf e specificare l'indirizzo IP del server DNS da utilizzare.
La sezione HowTo descrive altri accorgimenti e trucchi e alcune risposte alle domande frequenti.
GOsa² è uno strumento di amministrazione basato su un'interfaccia web che aiuterà ad amministrare alcune parti importanti della configurazione di Debian Edu. Con GOsa² si possono amministrare (aggiungere, modificare, cancellare) questi gruppi principali:
Amministrazione degli utenti
Amministrazione dei gruppi
Amministrazione dei Netgroup NIS
Amministrazione delle macchine
Amministrazione DNS
Amministrazione DHCP
Per accedere a GOsa² occorre avere un server principale Skolelinux e un sistema (client) con un browser web installato che può essere il server principale stesso se è stato installato come server combinato (main server + server LTSP + workstation).
Se si è installato (probabilmente per sbaglio) solo il profilo Main Server non si ha a disposizione un browser web. È facile installare un desktop minimale nel server principale utilizzando questa sequenza di comandi in una shell (non grafica) come primo utente (creato durante l'installazione del server principale):
$ sudo apt update $ sudo apt install task-desktop-xfce lightdm education-menus $ sudo service lightdm start
Da un browser web usare questo URL https://www/gosa per l'accesso a GOsa², collegandosi come primo utente.
In caso si usi una nuova macchina Debian Edu Bookworm, il certificato sarà riconosciuto dal browser.
Negli altri casi si riceverà un messaggio di errore per il certificato SSL. Se si sa di essere soli nella rete basta dire al browser di accettarlo e ignorare il messaggio.
Dopo che ci si è collegati a GOsa² si vedrà la pagina iniziale di GOsa².
Successivamente, è possibile scegliere un'azione nel menu o fare clic su una delle icone della pagina iniziale. Per la navigazione, si consiglia di utilizzare il menu a sinistra dello schermo, in quanto questo rimarrà visibile su tutte le pagine di amministrazione di GOsa².
In Debian Edu le informazioni sugli account, i gruppi e il sistema sono archiviate in una directory LDAP. Questi dati non sono usati solo dal server principale, ma anche dalle workstation (senza disco), dai server LTSP e dalle macchine nella rete. Con LDAP le informazioni degli studenti, insegnanti, etc. devono essere inserite una sola volta. Dopo aver fornito le informazioni in LDAP, le stesse saranno disponibili su tutti i sistemi della rete Skolelinux.
Gosa² è uno strumento di amministrazione che usa LDAP per memorizzare le informazioni e fornire una struttura gerarchica di dipartimenti. Per ogni "dipartimento" è possibile aggiungere account utenti, gruppi, sistemi, gruppi di rete, ecc. A seconda della struttura della vostra istituzione, è possibile utilizzare la struttura del dipartimento in Gosa²/LDAP per trasferire la struttura organizzativa della scuola in un albero dati LDAP del server principale di Debian Edu.
Un'installazione predefinita del server principale di Debian Edu offre attualmente due "dipartimenti": Teachers e Students, oltre il livello base dell'albero LDAP. Gli account degli studenti sono destinati ad essere aggiunti al dipartimento "Students", gli insegnanti al dipartimento "Teachers", i sistemi (server, workstation etc.) sono attualmente aggiunti al livello di base. Questa struttura può essere personalizzata in base alle proprie esigenze. (Si può trovare un esempio su come creare utenti per gruppi di anni, con home directory comuni per ogni gruppo nella sezione HowTo/AdvancedAdministration di questo manuale).
A seconda dell'azione su cui si desidera lavorare (gestire utenti, gestire gruppi, gestire sistemi, etc.) Gosa² presenta una schermata diversa per il dipartimento selezionato (o per il livello di base).
Per prima cosa si clicca su "Users" nel menu di navigazione a sinistra. La parte destra dello schermo cambia e si vede una tabella con le cartelle dei dipartimenti "Students" e "Teachers" e l'account di Amministratore di Gosa² (il primo utente creato). Sopra questa tabella c'è un campo chiamato Base che permette di navigare attraverso la struttura ad albero (occorre spostare il mouse su quella zona e appare un menu a discesa) e selezionare una cartella di base per le operazioni che si intendono fare (ad esempio aggiungere un nuovo utente).
Accanto alla navigazione ad albero c'è il menu "Actions". Spostare il mouse su questa voce e un sottomenu appare sullo schermo, scegliere "Create" e poi "User". Ci sarà una procedura guidata che aiuterà nella creazione dell'utente.
La cosa più importante da fare è inserire il modello (NewStudent o NewTeacher) il nome completo dell'utente (vedere la figura).
Seguendo la procedura guidata si vedrà che GOsa² genererà un nome utente automaticamente in base al nome reale. GOsa² sceglie automaticamente un nome utente che ancora non esiste, così più utenti con lo stesso nome avranno un nome utente diverso. Si noti che GOsa² può generare nomi utente non validi se il nome completo contiene caratteri non ASCII.
Se non piace il nome utente generato è possibile selezionarne un altro
indicato nella casella a discesa, anche se nella procedura guidata non si
può fare una libera scelta. (Per modificare il nome utente proposto, aprire
con un editor /etc/gosa/gosa.conf
e
aggiungere allowUIDProposalModification = "true"
come opzione aggiuntiva alla "location definition".)
Quando la procedura guidata è terminata, viene presentata la schermata di GOsa² per l'oggetto nuovo utente. Utilizzare le schede in alto, per verificare i campi compilati.
Dopo aver creato l'utente (per ora non è necessario personalizzare i campi che la procedura guidata ha lasciato vuoti), fare clic sul pulsante "Ok" in basso a destra.
Come ultimo passo GOsa² chiederà una password per il nuovo utente. Digitare la password due volte, quindi fare clic su "Set password" in basso a destra. Alcuni caratteri non sono permessi nella password.
Se tutto è andato bene, ora è possibile vedere il nuovo utente nella tabella degli utenti. Ora si dovrebbe essere in grado di accedere con quel nome utente su qualsiasi macchina Skolelinux all'interno della rete.
Se occorre modificare o cancellare un utente si usa GOsa² per vedere l'elenco degli utenti nel proprio sistema. In alto a sinistra dello schermo, si trova il riquadro "Filter", uno strumento di ricerca fornito da GOsa². Se non si conosce esattamente dove si trova l'account nell'albero, occorre spostarsi nel livello di base dell'albero di GOsa²/LDAP e cercare con l'opzione chiamata: "[x] Cerca in subtrees".
Quando si usa il riquadro "Filter", i risultati appariranno immediatamente in mezzo al testo nell'elenco della tabella. Ogni riga rappresenta un account utente e gli elementi più a destra di ogni riga sono piccole icone che forniscono le azioni necessarie: modificare utente, bloccare l'account, impostare la password e rimuovere l'utente.
Verrà mostrata una nuova pagina in cui si possono modificare direttamente le informazioni dell'utente come cambiare la password o modificare la lista dei gruppi ai quali appartiene.
Gli studenti possono cambiare la propria password accedendo a GOsa² con i loro nomi utente. Per facilitare l'accesso a GOsa², è presente un'icona denominata Gosa nel desktop e nel menu di sistema (o Impostazioni di sistema). La versione di GOsa² per uno studente che vi accede è davvero minimale permettendo solo l'accesso ai propri dati di account e alla possibilità di cambiare la password.
Gli insegnanti hanno privilegi speciali in GOsa². Essi hanno una vista privilegiata di GOsa² e possono cambiare la password per tutti gli studenti. Questo può essere molto utile in classe.
Per configurare una nuova password per l'utente
cercare l'utente che si vuole modificare, come spiegato sopra
cliccare sul simbolo della chiave alla fine della riga del nome utente
nella pagina che si presenta è possibile impostare una nuova password a propria scelta
Attenzione alle implicazioni per la sicurezza dovute alla facilità di indovinare le password.
È possibile creare una grande quantità di utenti con GOsa² utilizzando un
file CSV, che può essere creato con un buon foglio di calcolo (per esempio
localc
). Occorre inserire almeno i seguenti
campi: uid, cognome (sn), nome (givenName) e password. Assicurarsi che non
ci siano voci duplicate nel campo uid. Occorre controllare anche di non
duplicare uid esistenti in LDAP (questi possono essere ottenuti eseguendo
getent passwd | grep tjener/home | cut -d":"
-f1
da terminale).
Qui ci sono le indicazioni su come creare un file CSV (GOsa² è abbastanza intollerante con questi file):
Usare "," come separatore di campo
Non usare le virgolette
Il file CSV non deve contenere una riga di intestazione (che in genere contiene i nomi delle colonne)
L'ordine dei campi non è rilevante, questo può essere definito in Gosa² durante l'importazione di massa
Le operazioni per l'importazione di massa sono:
clic sul collegamento "LDAP Manager" nel menu di navigazione sulla sinistra
clic sulla scheda "Import" sulla destra dello schermo
navigare sul disco locale e selezionare il file CSV con l'elenco degli utenti da importare
scegliere uno dei modelli disponibili per gli utenti che deve essere applicato durante l'importazione di massa (come NewTeacher o NewStudent)
fare clic sul pulsante "Import" nell'angolo in basso a destra
È una buona idea fare qualche test prima, meglio con un file CSV che contiene pochi utenti fittizi che potranno essere cancellati più tardi.
Lo stesso vale per il modulo di gestione delle password, che permette di resettare molte password utilizzando un file CSV o di rigenerare nuove password per gli utenti appartenenti a uno speciale sottoalbero LDAP.
Gli account utente possono essere aggiunti anche dalla riga di comando
utilizzando lo strumento
ldap-createuser-krb5
; vedere la
documentazione nella sezione Administration
HowTo.
La gestione dei gruppi è molto simile a quella degli utenti.
È possibile inserire un nome e una descrizione per ogni gruppo. Assicurarsi di scegliere il giusto livello nella struttura LDAP quando si crea un nuovo gruppo.
Se si aggiungono utenti a un gruppo appena creato si torna alla lista degli utenti, dove si può utilizzare il riquadro di filtro per trovare utenti. Controllare anche il livello dell'albero LDAP.
I gruppi inseriti attraverso la gestione dei gruppi sono gruppi regolari unix, così possono essere usati anche per i permessi dei file.
L'amministrazione delle macchine permette in pratica di gestire tutti i dispositivi nella propria rete Debian Edu. Ogni macchina aggiunta alla directory LDAP con GOsa² ha un nome, un indirizzo IP, un indirizzo MAC e un nome di dominio (che in genere è "intern"). Per una descrizione più completa dell'architettura di Debian Edu consultare la sezione architettura di questo manuale.
Le workstation senza disco e i thin client funzionano out-of-the-box nel caso di un server principale combinato.
Le workstation con disco (compresi i server LTSP separati) devono essere aggiunte con GOsa². Dietro le quinte,
vengono generati sia un Kerberos Principal (una specie di
account) specifico della macchina che un file keytab
correlato (contenente una chiave usata come password);
il file keytab deve essere presente sulla workstation per poter montare le
home directory degli utenti. Una volta che il sistema aggiunto è stato
riavviato, accedervi come root ed eseguire
/usr/share/debian-edu-config/tools/copy-host-keytab
.
Per crearne Kerberos Principal e il file keytab per un sistema già configurato con GOsa², effettuare il login sul server principale come root ed eseguire
/usr/share/debian-edu-config/tools/gosa-modify-host <hostname> <IP>
Attenzione: la creazione di host keytab è possibile per sistemi di tipo workstation, server e terminali ma non per quelli di tipo netdevices. Vedere il capitoloNetwork clients HowTo per le opzioni di configurazione di NFS.
Per aggiungere una macchina, utilizzare il menu principale di GOsa², systems, add. Il nome della macchina deve essere un nome host valido non qualificato, non aggiungere il nome di dominio. È possibile utilizzare un indirizzo IP/hosnamet dallo spazio indirizzi preconfigurato 10.0.0.0/8. Attualmente esistono solo due indirizzi fissi predefiniti: 10.0.2.2 (tjener) e 10.0.0.1 (gateway). Gli indirizzi da 10.0.16.20 a 10.0.31.254 (circa 10.0.16.0/20 o 4000 host) sono riservati al DHCP e vengono assegnati dinamicamente.
Per assegnare a un host con l'indirizzo MAC 52:54:00:12:34:10 un indirizzo
statico in GOsa² occorre inserire l'indirizzo MAC, il nome dell'host e l'IP;
in alternativa è possibile cliccare sul pulsante Propose
ip
che mostrerà il primo indirizzo fisso libero in
10.0.0.0/8, molto probabilmente qualcosa di simile a 10.0.0.2 se si aggiunge
la prima macchina in questo modo. Sarebbe meglio pensare prima a un
intervallo adatto per la rete: per esempio si potrebbe usare 10.0.0.x con
x>10 e x<50 per i server e x>100 per le workstation. Non
dimenticarsi di attivare il sistema appena aggiunto. Con l'eccezione del
server principale tutti i sistemi saranno visualizzati con un'icona.
Se le macchine sono avviate come thin-client/workstation senza dischi o sono
state installate usando uno dei profili di rete, lo script
sitesummary2ldapdhcp
può essere usato per
aggiungere automaticamente macchine a GOsa². Per macchine semplici
funzionerà out of the box, per macchine con più di un mac address quello
scelto attualmente deve essere usato, sitesummary2ldapdhcp
-h
mostra le informazioni di utilizzo. Notare che gli
indirizzi IP dopo l'uso di
sitesummary2ldapdhcp
appartengono
all'intervallo dinamico degli IP. Questi sistemi possono poi essere
modificati per adattarsi alla vostra rete: rinominare ogni nuovo sistema,
attivare DHCP e DNS, aggiungerlo ai gruppi di rete (vedere la seguente
schermata per i gruppi di rete consigliati), occorre dopo riavviare il
sistema. Le seguenti schermate mostrano come stanno le cose in pratica:
root@tjener:~# sitesummary2ldapdhcp -a -i ether-22:11:33:44:55:ff info: Create GOsa machine for am-2211334455ff.intern [10.0.16.21] id ether-22:11:33:44:55:ff. Enter password if you want to activate these changes, and ^c to abort. Connecting to LDAP as cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no enter password: ******** root@tjener:~#
Un compito cron di aggiornamento del DNS viene eseguito ogni ora il comando;
su -c ldap2bind
può essere utilizzato per
attivare manualmente l'aggiornamento.
Cercare e cancellare le macchine è simile a cercare e cancellare utenti e la procedura qui non viene ripetuta.
Dopo aver aggiunto una macchina all'albero LDAP usando GOsa², si può modificarne le proprietà usando la funzione di ricerca e cliccando sulla macchina desiderata (come per gli utenti).
Il formato di queste voci di sistema è simile a quello che già è stato visto per modificare le voci degli utenti, ma i campi significano cose diverse in questo contesto.
Per esempio, quando si aggiunge una macchina a un
NetGroup
non si modificano i permessi di
accesso ai file o di esecuzione di comandi per quella macchina o per gli
utenti che si collegano da essa, ma si limitano invece i servizi che tale
macchina può usare sul server principale.
L'installazione predefinita mette a disposizione i seguenti
NetGroup
all-hosts
cups-queue-autoflush-hosts
cups-queue-autoreenable-hosts
fsautoresize-hosts
ltsp-server-hosts
netblock-hosts
printer-hosts
server-hosts
shutdown-at-night-hosts
shutdown-at-night-wakeup-hosts-blacklist
workstation-hosts
Al momento la funzionalità NetGroup
è usata
per
Ridimensionamento delle partizioni (fsautoresize-hosts)
Le macchine Debian Edu che appartengono a questo gruppo automaticamente adatteranno le partizioni LVM che sono diventate insufficienti.
Spegnere le macchine di notte (shutdown-at-night-hosts and shutdown-at-night-wakeup-hosts-blacklist)
Le macchine Debian Edu in questo gruppo si spegneranno automaticamente la notte per risparmiare energia.
Gestire le stampanti (cups-queue-autoflush-hosts and cups-queue-autoreenable-hosts)
Le macchine Debian Edu in questi gruppi svuoteranno le code di stampa ogni notte e riattiveranno ogni coda di stampa disabilitata ogni ora.
Blocco dell'accesso a Internet (netblock-hosts)
Alle macchine Debian Edu di questo gruppo sarà consentita solo la connessione alla rete locale. In combinazione con le restrizioni dei proxy web potrebbero essere utilizzate durante gli esami.
Per l'amministrazione delle stampanti ci si collega con il browser web a
https://www:631. Quella che appare è la consueta interfaccia
di gestione di CUPS in cui si può aggiungere/cancellare/modificare le
proprie stampanti e pulire le code di stampa. Questo è consentito di default
solo al primo utente, ma questa condotta può essere modificata: aggiungendo
utenti con GOsa² al gruppo printer-admins
.
Il pacchetto p910nd è installato di default su un sistema con il profilo Workstation.
Modificare /etc/default/p910nd
come questo
(stampante USB):
P910ND_OPTS="-f /dev/usb/lp0"
P910ND_START=1
Configurare la stampante utilizzando l'interfaccia web
https://www.intern:631
sul server
principale; scegliere tipo della stampante di rete
AppSocket/HP JetDirect
(per tutte le
stampanti indipendentemente dalla marca o dal modello) e impostare come
collegamento URI socket://<workstation
ip>:9100
.
La configurazione predefinita in Debian Edu è di avere gli orologi in tutte le macchine sincronizzati, ma non necessariamente con l'orario corretto. Il servizio NTP è usato per aggiornare l'orario. Gli orologi saranno sincronizzati in modo predefinito con una sorgente esterna. Questo può lasciare aperta una connessione esterna Internet se è creata quando usata.
Se si usa dialup o ISDN e si paga a minuto, si può cambiare l'impostazione predefinita.
Per disabilitare la sincronizzazione con un orologio esterno occorre
modificare il file /etc/ntp.conf nel server principale. Aggiungere un
commento ("#") di fronte alle righe con
server
. In seguito il server NTP deve
essere riavviato con service ntp restart
come root. Per controllare se il server sta usando un orologio esterno
eseguire ntpq -c lpeer
.
A causa di un possibile bug nel partizionamento automatico, alcune
partizioni possono risultare piene dopo l'installazione. Per aumentare le
partizioni piene eseguire come root debian-edu-fsautoresize
-n
. Per maggiori informazioni vedere l'HowTO su come
ridimensionare le partizioni nel capitolo
degli howto di amministrazione.
Questa sezione spiega come usare apt
full-upgrade
.
L'uso di apt
è molto semplice. Per
aggiornare il sistema occorre eseguire due comandi da terminale come root:
apt update
(aggiorna l'elenco dei pacchetti
disponibili) e apt upgrade
(aggiorna i
pacchetti che hanno un aggiornamento disponibile).
È anche una buona idea aggiornare usando il C locale per ottenere l'output in inglese che in caso di problemi ha maggiori probabilità di produrre risultati nei motori di ricerca.
LC_ALL=C apt full-upgrade -y
Dopo aver aggiornato il
pacchettodebian-edu-config
, è possibile che
siano disponibili file di configurazione di Cfengine modificati. Eseguire
ls -ltr /etc/cfengine3/debian-edu/
per
verificare se è questo il caso. Per applicare le modifiche, eseguire
LC_ALL=C cf-agent -D installation
.
É importante eseguire debian-edu-ltsp-install
--diskless_workstation yes
dopo gli aggiornamenti del
server LTSP per mantenere sincronizzata l'immagine SquashFS per i client
senza disco.
Dopo un aggiornamento point release di un sistema con profilo Main
Server o LTSP Server,
debian-edu-pxeinstall
deve essere eseguito
per aggiornare l'ambiente di installazione PXE.
Una buona idea è anche installare cron-apt
e apt-listchanges
e configurarli in modo
che mandino email ad un indirizzo che si legge regolarmente.
cron-apt
notifica una volta al giorno via
email, quali pacchetti sono disponibili per l'aggiornamento. Questo
programma non li installa, ma li scarica (di solito di notte), così da non
dovere aspettare, quando si lancia apt
full-upgrade
.
L'installazione automatica degli aggiornamenti può essere eseguita
facilmente se lo si desidera. Si ha solo bisogno del pacchetto
unattended-upgrades
, installato e
configurato come descritto in wiki.debian.org/UnattendedUpgrades.
apt-listchanges
può inviare via posta
elettronica le nuove voci nel file changelog, o in alternativa le mostra nel
terminale quando si esegue apt
.
Eseguire cron-apt
come è stato descritto
sopra è un buon modo per sapere che per un pacchetto è disponibile un
aggiornamento di sicurezza. Un altro modo per essere informati sugli
aggiornamenti di sicurezza è l'iscrizione alla mailing-list Debian
security-announce, che ha il vantaggio di spiegare cosa
l'aggiornamento riguardi. Il lato negativo (confrontato con
cron-apt
) è che vengono date anche
informazioni su pacchetti che non sono stati installati.
Per l'amministrazione dei backup occorre puntare il browser a https://www/slbackup-php. Occorre fare attenzione che si deve accedere a questo indirizzo via SSL, dopo aver inserito la password di root. Se si prova a collegarsi a questo sito senza usare SSL fallirà.
Nota: il sito funziona solo se si consente temporaneamente l'accesso root a SSH sul server di backup, che per impostazione predefinita è il server principale (tjener.intern).
Per impostazione predefinita, i backup di
/skole/tjener/home0
,
/etc/
,
/root/.svk
e LDAP sono archiviati nella
directory /skole/backup/, gestita come partizione separata da LVM. Se si
desidera avere solo copie di backup (in caso di cancellazione), questa
configurazione dovrebbe andare bene.
Attenzione che questo backup non protegge dalla rottura degli hard disk.
Se si vuol fare il backup dei dati su un server esterno, su una periferica a nastro o su un altro hard disk occorre modificare un poco la configurazione esistente.
Se si vuole ripristinare un'intera cartella, la scelta migliore è usare il seguente comando:
$ sudo rdiff-backup -r <date> \ /skole/backup/tjener/skole/tjener/home0/user \ /skole/tjener/home0/user_<date>
Questo lascerà il contenuto di
/skole/tjener/home0/user
dalla
<data>
nella cartella
/skole/tjener/home0/user_<date>
Se si vuole ripristinare un singolo file, si dovrebbe essere in grado di selezionare il file (e la versione) attraverso l'interfaccia web e scaricare solo quel file.
Se si desidera eliminare vecchi backup, scegliere "Maintenance" nel menu della pagina di backup e selezionare l'istantanea più vecchia da conservare:
Il monitoraggio di sistema di Munin è disponibile su https://www/munin/. Il sistema permette di verificare graficamente lo stato del sistema giornalmente, settimanalmente, mensilmente e annualmente, e permette all'amministratore del sistema di avere un aiuto per individuare i colli di bottiglia e per l'origine dei problemi del sistema.
L'elenco delle macchine controllate da Munin è generato automaticamente
sulla base dell'elenco degli host riportato da sitesummary. Tutti gli host
che hanno installato il pacchetto munin-node sono controllati da
Munin. Normalmente bisogna aspettare un giorno dall'installazione di una
macchina prima che parta il monitoraggio di Munin a causa dell'ordine in cui
vengono eseguiti i compiti di cron. Per velocizzare il processo occorre
eseguire sitesummary-update-munin
come root
sul server di sitesummary (normalmente il server principale). Questo
aggiornerà il file /etc/munin/munin.conf
.
L'insieme delle misurazioni raccolte viene generato automaticamente su
ciascuna macchina usando il programma
munin-node-configure
, che esplora i plugin
disponibili da /usr/share/munin/plugins/
e
crea i collegamenti simbolici rilevanti in
/etc/munin/plugins/
.
Maggiori informazioni su Munin sono disponibili a https://munin-monitoring.org/.
Il monitoraggio di sistemi e servizi Icinga è disponibile su https://www/icinga/. L'insieme di macchine e servizi oggetto del
monitoraggio viene generato automaticamente usando le informazioni raccolte
da sitesummary. Le macchine con il profilo di Main-server e LTSP server
hanno un monitoraggio completo, mentre le workstation e thin client hanno un
monitoraggio più limitato. Per consentire un controllo completo su una
workstation, installare il pacchetto
nagios-nrpe-server
sulla workstation.
In modo predefinito Icinga non invia email. Questo può essere cambiato
sostituendo notify-by-nothing
con
host-notify-by-email
e
notify-by-email
nel file
/etc/icinga/sitesummary-template-contacts.cfg
.
Il file di configurazione di Icinga è
/etc/Icinga/sitesummary.cfg
. Il cron di
sitesummary genera
/var/lib/sitesummary/icinga-generated.cfg
con la lista delle macchine e dei servizi controllati.
Controlli extra di Icinga possono essere inseriti nel file
/var/sitesummary/lib/icinga-generated.cfg.post
per includerli nel file prodotto.
Maggiori informazioni sul sistema Icinga sono disponibili al sito http://www.icinga.com/ o nel pacchetto
icinga-doc
.
Ecco le istruzioni su come gestire gli avvertimenti più comuni di Icinga.
La partizione (/usr/ nell'esempio) è troppo piena. In generale ci sono due
modi per gestire questo: (1) cancellare qualche file o (2) aumentare la
grandezza della partizione. Se la partizione è /var/, eliminando la cache
APT eseguendo apt clean
si potrebbero
eliminare alcuni file. Se c'è ancora spazio nel gruppo di volumi di LVM,
potrebbe aiutare eseguire il programmma
debian-edu-fsautoresize
per estendere le
partizioni. Per eseguire il programma ogni ora, l'host in oggetto potrebbe
essere aggiunto al netgroup
fsautoresize-hosts
.
Nuovi pacchetti sono disponibili per gli aggiornamenti. Quelli critici sono
normalmente correzioni di sicurezza. Per l'aggiornamento, eseguire come root
in un terminale apt upgrade && apt
full-upgrade
o accedere via SSH per fare lo stesso.
Se non si desidera aggiornare manualmente dei pacchetti dando fiducia a
Debian di fare il lavoro per noi con le nuove versioni, è possibile
configurare unattended-upgrades
per
installare l'aggiornamento automatico di tutti i nuovi pacchetti ogni
notte. Questo non aggiornerà i chroot di LTSP.
Il kernel in esecuzione è precedente al nuovo kernel installato, e un riavvio è necessario per attivare il nuovo kernel installato. Questo è normalmente abbastanza urgente, i nuovi kernel normalmente sono utilizzati in Debian Edu per risolvere problemi di sicurezza.
Le code di stampa di CUPS hanno moltissimi di lavori in sospeso. Questo
probabilmente è dovuto ad una stampante non disponibile. Le code di stampa
disabilitate vengono riabilitate ogni ora sulle macchine che fanno parte del
netgroup cups-queue-autoreenable-hosts
,
perciò per tali macchine non dovrebbe essere necessaria alcuna azione
manuale. Le code di stampa vengono svuotate ogni sera sugli host che sono
membro del netgroup
cups-queue-autoflush-hosts
. Se una macchina
ha un sacco di lavori nella coda di stampa, prendere in considerazione
l'aggiunta di questa macchina in uno o in entrambi di questi gruppi.
Sitesummary è usato per archiviare le informazioni da ogni computer e
sottoporle al server centrale. Le informazioni archiviate sono disponibili
in /var/lib/sitesummary/entries/
. In
/usr/lib/sitesummary/
sono disponibili
script per generare rapporti.
Un semplice report di Sitesummary senza ogni dettaglio è disponibile all'indirizzo https://www/sitesummary/.
Altra documentazione su Sitesummary è disponibile all'indirizzo https://wiki.debian.org/DebianEdu/HowTo/SiteSummary
Maggiori informazioni sulla personalizzazione di Debian Edu utile per gli amministratori di sistema possono essere in Administration Howto chapter e in Advanced administration Howto chapter.
Prima di leggere questa guida per l'aggiornamento bisogna dire che l'aggiornamento in un server funzionante è fatto a proprio rischio. Debian Edu/Skolelinux viene offerto ASSOLUTAMENTE SENZA GARANZIA, secondo l'uso di legge.
Occorre leggere completamente questo capitolo e il capitolo Nuove caratteristiche in Bookworm prima di cominciare a fare l'aggiornamento del sistema.
L'aggiornamento di Debian da una distribuzione alla successiva è piuttosto facile. Per Debian Edu è un po' più complicato, perché i file di configurazione vengono modificati non come si dovrebbe. (Vedere il bug Debian 311188 per maggiori informazioni su come Debian Edu dovrebbe modificare i file di configurazione).
In generale, l'aggiornamento dei server è più difficile di quello delle workstation e il server principale è il più difficile da aggiornare.
Se si vuole essere sicuri che ogni cosa funzioni dopo l'aggiornamento, prima si dovrebbe vedere se l'aggiornamento funziona in un sistema di test configurato nello stesso modo del server effettivo. In questo modo si può testare l'aggiornamento senza rischi e vedere se tutto funziona come dovrebbe.
Occorre leggere le informazioni su Debian Stable nel suo manuale di installazione.
Sarebbe anche saggio aspettare un po' per rendere effettivo l'aggiornamento e far funzionare per qualche settimana la Oldstable, in modo che altri possano testare l'aggiornamento e documentare problemi. Debian Edu Oldstable continuerà a ricevere supporto per ancora qualche tempo, ma quando Debian cesserà il supporto per Oldstable, anche Debian Edu farà altrettanto.
Essere preparati: essere sicuri di avere provato l'aggiornamento da Bullseye in un ambiente di test o avere il backup per poter tornare indietro.
Bisogna fare attenzione in quanto la seguente procedura si applica all'installazione di default del server principale Debian Edu (desktop=xfce, profili Main Server, Workstation, LTSP Server). (Per una panoramica generale sull'aggiornamento da Bullseye a Bookworm, vedere: https://www.debian.org/releases/bookworm/releasenotes)
Non usare X, ma una console virtuale e collegarsi come root.
Se apt
termina con errori, provare a
risolverli eseguendo apt -f install
e poi
apt -y full-upgrade
ancora una volta.
Iniziare assicurandosi che il sistema attuale sia aggiornato:
apt update apt full-upgrade
Preparare e avviare l'aggiornamento a Bookworm:
sed -i 's/bullseye/bookworm/g' /etc/apt/sources.list export LC_ALL=C apt update apt upgrade --without-new-pkgs apt full-upgrade
apt-list-changes: essere pronti a leggere un sacco di notizie; premere <return> per scorrere verso il basso, <q> per lasciare la pagina. Tutte le informazioni saranno mandata per posta a root in modo da poterle rileggere (usando mailx o mutt).
Occorre leggere con attenzione tutte le informazioni di debconf, scegliere 'keep the local version currently installed' a meno che non sia indicato diversamente in seguito: nella maggior parte dei casi funzionerà.
restart services: scegliere yes.
Samba server e utility: Scegliere 'keep the local version currently installed'.
openssh-server: Scegliere 'keep the local version currently installed'.
Applicare e regolare la configurazione:
cf-agent -v -D installation
Verificare se il sistema aggiornato funziona:
Riavviare: accedi come primo utente e prova
se la gui di GOsa² sta funzionando,
se si è in grado di collegare client LTSP e workstation,
se si può aggiungere/rimuovere un membro di un gruppo di sistema,
se si può inviare e ricevere posta elettronica interna,
se si possono gestire le stampanti,
e se altre cose specifiche del sito stanno funzionando.
Per aggiornare da una release precedente, è necessario aggiornare alla release Debian Edu basata su Bullseye, prima di poter seguire le istruzioni indicate sopra. Le istruzioni sono contenute nel Manuale per Debian Edu Bullseye su come aggiornare a Bullseye dalla versione precedente, Buster.
HowTo per amministrazione generale
HowTo per amministrazione avanzata
HowTo per il desktop
HowTo per client della rete
HowTo per Samba
HowTo per insegnare e imparare
HowTo per utenti
Le sezioni Iniziare e Manutenzione descrivono come partire con la distribuzione Debian Edu e come fare il lavoro di manutenzione di base. Gli HowTo in questa sezione contengono accorgimenti e trucchi più "avanzati".
Con l'uso di etckeeper
, tutti i file in
/etc/
sono tracciati usando Git come sistema di controllo delle
versioni.
Questo rende possibile vedere quando un file è aggiunto, cambiato e rimosso,
e cosa è cambiato se il file è un file di testo. Il repository git è
archiviato in /etc/.git/
.
Ogni ora tutte le modifiche vengono registrate automaticamente, permettendo di estrarre e rivedere la cronologia della configurazione.
Per vedere la cronologia, si usa il comando etckeeper vcs
log
. Per verificare le differenze tra due date, si può
usare un comando come etckeeper vcs diff
.
Vede l'output di man etckeeper
per maggiori
informazioni.
Elenco di comandi utili:
etckeeper vcs log etckeeper vcs status etckeeper vcs diff etckeeper vcs add . etckeeper vcs commit -a man etckeeper
In un sistema installato recentemente proviamo a vedere quali cambiamenti sono stati fatti dall'installazione iniziale:
etckeeper vcs log
Per vedere quali file non sono attualmente tracciati e quali non sono aggiornati:
etckeeper vcs status
Per fare il commit manuale di un file, senza aspettare un'ora:
etckeeper vcs commit -a /etc/resolv.conf
Le partizioni in Debian Edu sono volumi logici LVM, tranne la partizione
/boot/
. Con i kernel Linux dalla versione
2.6.10, è possibile estendere la partizione mentre questa è montata. Per
restringere le partizioni occorre ancora che queste non siano montate.
È una buona idea evitare partizioni troppo grandi (con più di 20GiB), in
quanto occorre molto tempo per eseguire
fsck
o se è necessario fare il ripristino
di un backup. È meglio se possibile creare più partizioni piccole che una
molto ampia.
Per rendere più facile estendere una partizione piena, è a disposizione lo
script debian-edu-fsautoresize
. Quando lo
si richiama, lo script legge la configurazione da
/usr/share/debian-edu-config/fsautoresizetab
,
/site/etc/fsautoresizetab
e
/etc/fsautoresizetab
. Propone di estendere
le partizioni con troppo poco spazio libero, in base alle regole fornite in
questi file. Senza argomenti mostrerà solo i comandi necessari per estendere
il file system. L'opzione -n
è necessaria
per estendere effettivamente il file system.
Lo script è eseguito automaticamente ogni ora su tutti i client indicati nel
netgroup fsautoresize-hosts
.
Quando si ridimensiona la partizione utilizzata dal proxy Squid, deve essere
aggiornato anche il valore della dimensione della cache in
etc/squid/squid.conf
. Lo script di aiuto
/usr/share/debian-edu-config/tools/squid-update-cachedir
è messo a disposizione per rendere questo processo automatico, controllando
la grandezza della partizione corrente di
/var/spool/squid/
e configurando Squid in
modo che usi l'80% di questa partizione come sua cache.
Logical Volume Management (LVM) permette di estendere le partizioni mentre sono montate e in uso. Si può imparare di più su LVM in LVM HowTo.
Per estendere un volume logico manualmente si può semplicemente eseguire il
comando lvextend
e indicare quanto grande
debba diventare. Per esempio, per estendere home0 a 30GB si usa il seguente
comando:
lvextend -L30G /dev/vg_system/skole+tjener+home0 resize2fs /dev/vg_system/skole+tjener+home0
Per aggiungere 30GiB a home0, si deve inserire un '+' (-L+30G).
ldapvi è uno strumento per modificare il database LDAP con un editor di testi da riga di comando.
È necessario eseguire il seguente comando:
ldapvi -ZD '(cn=admin)'
Nota: ldapvi
userà l'editor
predefinito. Eseguendo export EDITOR=vim
nel prompt di shell si può configurare l'ambiente per avere un clone vi come
editor.
Attenzione: ldapvi
è uno strumento molto
potente. Fare attenzione a non rovinare tutto il database LDAP, lo stesso
vale per JXplorer.
L'utilizzo di Kerberos per NFS per montare le directory home è una caratteristica di sicurezza. Workstation ei client LTSP non funzionano senza Kerberos. I livelli krb5, krb5i e krb5p sono supportati (krb5 significa autenticazione Kerberos, i sta per controllo di integrità e p per la privacy, cioè crittografia); il carico sia per il server che per le workstation aumenta con il livello di sicurezza, krb5i è una buona scelta ed è stato utilizzato come predefinito.
Main server
effettuare il login come root
eseguire ldapvi -ZD '(cn=admin)'
, cercare
sec=krb5i e sostituirlo con
sec=krb5 o sec=krb5p.
modificare /etc/exports.d/edu.exports
e di
conseguenza sistemare queste voci:
/srv/nfs4 gss/krb5i(rw,sync,fsid=0,crossmnt,no_subtree_check) /srv/nfs4/home0 gss/krb5i(rw,sync,no_subtree_check)
eseguire exportfs -r
.
Questo strumento consente di impostare la stampante predefinita in base alla
collocazione, al computer o all'appartenenza ad un gruppo. Per ulteriori
informazioni, vedere
/usr/share/doc/standardskriver/README.md
.
Il file di configurazione
/etc/standardskriver.cfg
deve essere
rilasciato dall'amministratore, vedere
/usr/share/doc/standardskriver/examples/standardskriver.cfg
come esempio.
Se si preferisce un'interfaccia grafica per lavorare con il database LDAP,
si può provare il pacchetto jxplorer
installato in modo predefinito. Per ottenere l'accesso in scrittura
collegarsi usando:
host: ldap.intern port: 636e Security level: ssl + user + password User dn: cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no
ldap-createuser-krb
è un piccolo strumento
a riga di comando per la creazione di account utente; viene richiamato come
segue:
ldap-createuser-krb5 [-u uid] [-g gid] [-G group[,group]...] [-d department] <username> <gecos>
All arguments except the username and GECOS field are optional, the latter
usually should contain the full name of the user. Unless specified the tool
will pick the next free UID and GID automatically and not assign any
additional groups to the user. If no department is given, it will pick the
first gosaDepartment from LDAP which is likely
skole and for regular users usually not what you want,
so you should pick an appropriate value for the user,
e.g. Teachers or Students. After
entering and confirming the password and entering the LDAP administrator
password, ldap-createuser-krb5
will create
the user account in LDAP, set the Kerberos password, create the home
directory, and add a corresponding Samba user. The following screenshot
shows an example invocation to create a user account named
harhir
for a teacher hose full name is
"Harry Hirsch":
root@tjener:~# ldap-createuser-krb5 -d Teachers harhir "Harry Hirsch" new user password: confirm password: dn: uid=harhir,ou=people,ou=Teachers,dc=skole,dc=skolelinux,dc=no changetype: add objectClass: top objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson objectClass: gosaAccount objectClass: posixAccount objectClass: shadowAccount objectClass: krbPrincipalAux objectClass: krbTicketPolicyAux sn: Harry Hirsch givenName: Harry Hirsch uid: harhir cn: Harry Hirsch userPassword: {CRYPT}$y$j9T$TWnq55O1rvyLhjF.$oVf.t.RXC1v/4Y8FhV0umno629mo7bP7/YJyig6HET6 homeDirectory: /skole/tjener/home0/harhir loginShell: /bin/bash uidNumber: 1004 gidNumber: 1004 gecos: Harry Hirsch shadowLastChange: 19641 shadowMin: 0 shadowMax: 99999 shadowWarning: 7 krbPwdPolicyReference: cn=users,cn=INTERN,cn=kerberos,dc=skole,dc=skolelinux,dc=no krbPrincipalName: harhir@INTERN ldap_initialize( <DEFAULT> ) Enter LDAP Password: add objectClass: top person organizationalPerson inetOrgPerson gosaAccount posixAccount shadowAccount krbPrincipalAux krbTicketPolicyAux add sn: Harry Hirsch add givenName: Harry Hirsch add uid: harhir add cn: Harry Hirsch add userPassword: {CRYPT}$y$j9T$TWnq55O1rvyLhjF.$oVf.t.RXC1v/4Y8FhV0umno629mo7bP7/YJyig6HET6 add homeDirectory: /skole/tjener/home0/harhir add loginShell: /bin/bash add uidNumber: 1004 add gidNumber: 1004 add gecos: Harry Hirsch add shadowLastChange: 19641 add shadowMin: 0 add shadowMax: 99999 add shadowWarning: 7 add krbPwdPolicyReference: cn=users,cn=INTERN,cn=kerberos,dc=skole,dc=skolelinux,dc=no add krbPrincipalName: harhir@INTERN adding new entry "uid=harhir,ou=people,ou=Teachers,dc=skole,dc=skolelinux,dc=no" modify complete Authenticating as principal root/admin@INTERN with password. kadmin.local: change_password harhir@INTERN Enter password for principal "harhir@INTERN": Re-enter password for principal "harhir@INTERN": Password for "harhir@INTERN" changed. kadmin.local: lpcfg_do_global_parameter: WARNING: The "encrypt passwords" option is deprecated Added user harhir.
Sebbene sia possibile utilizzare direttamente stable-updates, non è necessario: con stable-updates gli aggiornamenti sono inseriti dentro la suite stable regolarmente quando vengono fatti gli aggiornamenti minori, cosa che avviene circa ogni due mesi.
Si è scelta Debian Edu per la sua stabilità. Funziona alla grande, ma c'è solo un problema: alcuni software diventano obsoleti rispetto a come si vorrebbe. Backports.debian.org serve per risolvere questo problema.
I backport sono pacchetti ricompilati da Debian testing (nella maggior parte) e da Debian unstable (in pochi casi, per esempio per gli aggiornamenti di sicurezza), in modo da essere eseguiti senza nuove librerie (dove è possibile) su una distribuzione Debian stabile come Debian Edu. Si consiglia di selezionare singoli backport che si adattano alle proprie esigenze e di non utilizzare tutti i backport disponibili.
Usare i backport è semplice:
echo "deb http://deb.debian.org/debian/ bookworm-backports main" > /etc/apt/sources.list.d/bookworm-backports.sources.list apt update
Dopo di che si può installare pacchetti backport facilmente, il comando seguente installerà una versione backport di tuxtype:
apt install tuxtype/bookworm-backports
Backport viene aggiornato automaticamente (se disponibile), proprio come altri pacchetti. Come un archivio normale, backport ha tre sezioni: main, contrib e non-free.
Se si vuole aggiornare da una versione a un'altra (per esempio da Bookworm 12.1 a 12.2) ma non si ha collegamento Internet, ma solo un supporto fisico, bisogna procedere come segue:
Inserire il CD/ DVD / Blu-ray disc / drive flash USB e usare il comando apt-cdrom:
apt-cdrom add
Citando la pagina di manuale apt-cdrom(8):
apt-cdrom è usato per aggiungere un nuovo CD-ROM alla lista delle fonti disponibili per APT. apt-cdrom si prende cura di determinare la struttura del disco e anche di correggere possibili errori di masterizzazione e di verificare i file indice.
Per aggiungere dei CD al sistema APT è necessario usare apt-cdrom, in quanto ciò non può essere fatto manualmente. Inoltre ogni disco in un insieme di più CD deve essere inserito e scansionato separatamente per tenere conto di possibili errori di masterizzazione.
Eseguire questi due comandi per aggiornare il sistema:
apt update apt full-upgrade
killer
è uno script perl che si sbarazza
dei processi sullo sfondo. I processi sullo sfondo sono definiti come
processi che appartengono a utenti che non sono al momento collegati. Viene
eseguito attraverso cron una volta all'ora.
unattended-upgrades
è un pacchetto Debian
che installerà aggiornamenti di sicurezza (e altro) automaticamente. Se
installato, il pacchetto è preconfigurato per installare aggiornamenti di
sicurezza. I log sono disponibili in
/var/log/unattended-upgrades/
; inoltre, ci
sono sempre /var/log/dpkg.log
e
/var/log/apt/
.
È possibile risparmiare energia e denaro, spegnendo i client di notte e
riaccendendoli automaticamente la mattina. Il pacchetto
shutdown-at-night
tenterà di spegnere la
macchina ogni ora dalle 16:00 del pomeriggio, senza spegnerle se il computer
sembra avere utenti. Cercherà di dire al BIOS di accendere la macchina
intorno alle 07:00 del mattino e il server principale tenterà di accendere i
computer dalle 06:30 utilizzando i pacchetti Wake-on-LAN. Gli orari possono
essere modificati nei crontab nelle singole macchine.
Alcuni consigli da seguire quando si decide di fare questo:
I client non dovrebbero spegnersi quando sono usati da qualcuno. Questo
viene garantito controllando l'output di
who
e, come caso particolare, controllando
se il comando di connessione SSH funziona con i thin-client X2Go.
Per evitare di bruciare i fusibili elettrici è una buona idea esser sicuri che non tutti i client si accendano allo stesso tempo.
Ci sono due metodi disponibili per attivare i client. Il primo usa una
caratteristica del BIOS e richiede un corretto e funzionante orologio di
sistema e una scheda madre con BIOS supportato da
nvram-wakeup
; l'altro richiede che i client
supportino il Wake-on-LAN e che il server sia a conoscenza di tutti i client
che devono essere attivati.
Sui client che dovrebbero spegnersi di notte, usare touch su
/etc/shutdown-at-night/shutdown-at-night
o
aggiungere il nome dell'host (cioè l'output che si ottiene da
'uname -n
' nel client) al netgroup
"shutdown-at-night-hosts". Per aggiungere host al netgroup in LDAP si può
usare lo strumento web GOsa²
. I client
potrebbero avere bisogno di avere Wake-on-LAN configurato nel BIOS. Ancora,
è importante che gli switch e i router usati tra il server Wake-on-LAN e i
client passino pacchetti WOL ai client anche se i client sono spenti. Alcuni
switch non riescono a passare i pacchetti ai client che non sono presenti
nella tabella ARP sullo switch e questo blocca i pacchetti WOL.
Per abilitare Wake-on-LAN sul server, aggiungere i client a
/etc/shutdown-at-night/clients
, con una
riga per ogni client, l'indirizzo IP per primo e l'indirizzo MAC (indirizzo
ethernet) separati da uno spazio, o creare uno script in
/etc/shutdown-at-night/clients-generator
per generare l'elenco dei client al volo.
Un esempio di
/etc/shutdown-at-night/clients-generator
per l'utilizzo con sitesummary:
#!/bin/sh PATH=/usr/sbin:$PATH export PATH sitesummary-nodes -w
Se si usa il netgroup un'alternativa per l'attivazione di shutdown-at-night
sui clients è data da questo script con l'uso degli strumenti di netgroup
dal pacchetto ng-utils
:
#!/bin/sh PATH=/usr/sbin:$PATH export PATH netgroup -h shutdown-at-night-hosts
Per accedere a macchine protette con un firewall da Internet, è
consigliabile installare il pacchetto
autossh
. Può essere utilizzato per
istituire un tunnel SSH ad una macchina in Internet a cui si ha accesso. Da
quella macchina, è possibile accedere al server dietro il firewall tramite
tunnel SSH.
In una installazione predefinita, tutti i servizi sono in esecuzione sul server principale, nome dell'host tjener. Per semplificare il trasferimento di alcuni su un'altra macchina, vi è un profilo di installazione minimal. Installare con questo profilo porterà a una macchina, che è parte della rete Debian Edu, ma che non ha alcun servizio (ancora) attivato.
Questi sono i passi necessari per configurare una macchina dedicata ad alcuni servizi:
scegliete il profilo Minimal durante l'installazione
installare i pacchetti per il servizio
configurare il servizio
disattivare il servizio nel server principale
aggiornare il DNS (via LDAP/GOsa²) sul server principale
FIXME: The HowTos from https://wiki.debian.org/DebianEdu/HowTo/ are either user- or developer-specific. Let's move the user-specific HowTos over here (and delete them over there)! (But first ask the authors (see the history of those pages to find them) if they are fine with moving the howto and putting it under the GPL.)
In questa sezione sono descritte le operazioni di amministrazione avanzate.
In questo esempio vogliamo creare utenti in gruppi per ogni anno, con home directory comuni per ogni gruppo (home0/2024, home0/2026, etc.). Gli utenti saranno creati importando un file csv.
(come root sul server principale)
Creare le directory di gruppo per ogni anno
mkdir /skole/tjener/home0/2024
(come primo utente in Gosa)
Dipartimento
Menu principale: andare in "Directory structure", clic su dipartimento "Students". Il campo "Base" dovrebbe visualizzare "/Students". Dalla casella "Actions" scegliere "Create"/"Department". Inserire i valori per Name (2024) e nel campo Description (studenti iscritti nel 2024), lasciare il campo Base così com'è (dovrebbe essere "/Students"). Salvare facendo clic su "Ok". Ora il nuovo dipartmento (2024) dovrebbe essere visualizzato sotto /Students. Fare clic su di esso.
Gruppo
Scegliere "Groups" dal menu principale; "Actions"/Create/Group. Inserire il nome del gruppo (lcasciare "Base" così com'è, dovrebbe essere /Students/2024) e 'Ok' per salvarlo.
Modello di desktop
Scegliere 'users' dal menu principale. Cambiare a "Students" nel campo
Base. Si dovrebbe vedere la voce
NewStuden'
, cliccarci sopra. Questo è il
modello per gli studenti, non un utente reale. Si dovrebbe creare un modello
basato su questo (per poter usare l'importazione da csv per la propria
struttura) perciò prestare attenzione a tutte le voci nelle schede Generic e
POSIX magari catturando screenshot per avere informazioni utili per il
nuovo modello.
Ora cambiare a /Students/2024 nel campo Base; scegliere Create/Template e cominciare a riempire con i valori desiderati, prima la scheda Generic (aggiungere il nuovo gruppo 2024 anche sotto il Group Membership), poi aggiungere l'account POSIX.
Importare utenti
Scegliere il nuovo modello quando si importa il csv; conviene provarlo con pochi utenti.
Con questo script l'amministratore può creare una cartella in tutte le directory home degli utenti e impostare permessi e proprietà.
Nell'esempio mostrato sotto con il gruppo=teachers e i permessi=2770 un utente può consegnare un compito salvando il file nella cartella "assignments" dove gli insegnanti hanno accesso di scrittura per fare commenti.
#!/bin/bash home_path="/skole/tjener/home0" shared_folder="assignments" permissions="2770" created_dir=0 for home in $(ls $home_path); do if [ ! -d "$home_path/$home/$shared_folder" ]; then mkdir $home_path/$home/$shared_folder chmod $permissions $home_path/$home/$shared_folder user=$home group=teachers chown $user:$group $home_path/$home/$shared_folder ((created_dir+=1)) else echo -e "the folder $home_path/$home/$shared_folder already exists.\n" fi done echo "$created_dir folders have been created"
Fare questi passaggi per configurare un server storage dedicato per le home directory utente e per altri dati.
Aggiungere un nuovo sistema tipo server
con
GOsa² come indicato nella capitolo Getting
started di questo manuale.
Questo esempio usa come nome del server "nas-server.intern". Una volta configurato "nas-server.intern", controllare se i punti di esportazione di NFS nello storage server contengono rilevanti to sottoreti o macchine:
root@tjener:~# showmount -e nas-server Export list for nas-server: /storage 10.0.0.0/8 root@tjener:~#
In questo esempio l'accesso all'esportazione di /storage è consentito nella rete backbone. (Per restringere l'accesso a NFS si potrebbe limitarlo al netgroup di appartenenza o al singolo indirizzo IP, come si è fatto in tjener :/etc/exports).
Aggiungere le informazioni di automount in LDAP per "nas-server.intern" in modo da consentire a tutti i client di montarlo automaticamente su richiesta.
Questo non si può fare con GOsa², perché non c'è il modulo per automount. Occorre utilizzare ldapvi e aggiungere gli oggetti LDAP necessari usando un editor.
ldapvi --ldap-conf -ZD '(cn=admin)' -b
ou=automount,dc=skole,dc=skolelinux,dc=no
Nell'editor aggiungere i seguenti oggetti LDAP in fondo al documento. ("/&" nell'ultimo oggetto LDAP è un metacarattere che permette di esportare ogni cosa di "nas-server.intern", eliminando la necessità di elencare singoli punti di montaggio in LDAP.)
add cn=nas-server,ou=auto.skole,ou=automount,dc=skole,dc=skolelinux,dc=no objectClass: automount cn: nas-server automountInformation: -fstype=autofs --timeout=60 ldap:ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no add ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no objectClass: top objectClass: automountMap ou: auto.nas-server add cn=/,ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no objectClass: automount cn: / automountInformation: -fstype=nfs,tcp,rsize=32768,wsize=32768,rw,intr,hard,nodev,nosuid,noatime nas-server.intern:/&
Aggiungere le voci pertinenti in tjener.intern:/etc/fstab, perché, per evitare loop di montaggio, tjener.intern non usa automount:
Creare le directory da montare usando
mkdir
e modificare come necessario
"/etc/fstab" ed eseguire mount -a
per
montare le nuove risorse.
Ora gli utenti dovrebbero essere in grado di accedere ai file su "nas-server.intern" direttamente nella directory "/tjener/nas-server/storage/" utilizzando qualsiasi applicazione su qualunque workstation, LTSP thin client o server LTSP.
Ci sono diversi modi per limitare il login SSH, alcuni dei quali sono elencati qui.
Se non vengono usati client LTSP una soluzione semplice è quella di creare
un nuovo gruppo (per esempio sshusers
) e
aggiungere una riga al file /etc/ssh/sshd_config della macchina. Solo ai
membri del gruppo sshusers
sarà permesso di
utilizzare ssh nella macchina dappertutto.
La gestione di questo caso con GOsa è abbastanza semplice:
Creare un gruppo sshusers
al livello di
base (dove ci sono già altri gruppi di amministrazione di sistema come
gosa-admins
).
Aggiungere utenti al nuovo gruppo sshusers
.
Aggiungere AllowGroups sshusers
a
/etc/ssh/sshd_config.
Eseguire service ssh restart
.
L'installazione predefinita del client senza disco LTSP utilizza connessioni SSH. È sufficiente aggiornare l'immagine SquashFS sul relativo server LTSP dopo che la configurazione SSH è stata modificata.
I thin client X2Go usano connessioni SSH al relativo server LTSP. Quindi è necessario un approccio diverso usando PAM.
Permettere pam_access.so nel file /etc/pam.d/sshd nei server LTSP.
Configurare /etc/security/access.conf per consentire le connessioni per gli utenti (esempio)alice, jane, bob e john ovunque e per tutti gli altri utenti solo dareti interne aggiungendo queste righe:
+ : alice jane bob john : ALL + : ALL : 10.0.0.0/8 192.168.0.0/24 192.168.1.0/24 - : ALL : ALL #
Se sono utilizzati solo server LTSP dedicati, la rete 10.0.0.0/8 potrebbe essere disabilitata per il login SSH interno. Nota: qualcuno che collega la sua box alla rete dei client dedicata LTSP avrà accesso SSH ai server LTSP.
Se i client X2Go sono stati collegati alla rete backbone 10.0.0.0/8, sarebbe ancora più complicato e forse solo una configurazione DHCP sofisticata (in LDAP) con il controllo del vendor-class-identifier insieme a una configurazione PAM appropriata permetterebbe di disabilitare il login SSH interno.
Per supportare più lingue è necessario eseguire questi passaggi:
Eseguire dpkg-reconfigure locales
(come
root) e scegliere le lingue (varianti UTF-8).
Eseguire questi comandi come root per installare i relativi pacchetti:
apt update /usr/share/debian-edu-config/tools/install-task-pkgs /usr/share/debian-edu-config/tools/improve-desktop-l10n
Gli utenti potranno quindi scegliere la lingua tramite il display manager di
LightDM prima di effettuare il login; questo vale per Xfce, LXDE e
LXQt. GNOME e KDE hanno i loro strumenti interni di configurazione della
regione e della lingua, si consiglia di usarli. MATE usa il greeter Arctica
senza un selezionatore di lingua. Eseguire apt purge
arctica-greeter
per avere LightDM greeter.
libdvdcss è necessaria per vedere la maggioranza dei DVD commerciali. Per
ragioni legali non è inclusa in Debian (Edu). Se si ha il permesso legale di
usarla si possono costruire i pacchetti locali usando il pacchetto Debian
libdvd-pkg
; assicurarsi
contrib
sia attivato in
/etc/apt/sources.list
.
apt update apt install libdvd-pkg
Rispondere alle domande di debconf, quindi eseguire
dpkg-reconfigure libdvd-pkg
.
Un termine generico per entrambi i thin-client e le workstation senza dischi è client LTSP.
A partire da Bullseye, LTSP è molto diverso dalle versioni precedenti. Questo riguarda sia la configurazione che la manutenzione.
Come differenza principale, l'immagine SquashFS per le workstation senza disco viene ora generata dal file system del server LTSP per impostazione predefinita. Questo avviene su un server combinato al primo avvio e richiede un po' di tempo.
I thin client non fanno più parte di LTSP. Debian Edu utilizza X2Go per supportare l'uso dei thin client.
Nel caso di un server LTSP separato o aggiuntivo, le informazioni necessarie per impostare l'ambiente client LTSP non sono complete al momento dell'installazione. La configurazione può essere fatta una volta che il sistema è stato aggiunto con GOsa².
Per informazioni su LTSP in generale, vedere la homepage di LTSP. sui sistemi con il profilo
LTSP server , man ltsp
fornisce maggiori informazioni.
Tenere presente che lo strumento ltsp di LTSP deve
essere usato con attenzione. Per esempio, ltsp image
/
non riuscirebbe a generare l'immagine SquashFS in caso di
macchine Debian (queste hanno una partizione /boot separata per default),
ltsp ipxe
non riuscirebbe a generare
correttamente il menu iPXE (a causa del supporto thin client di Debian Edu)
e ltsp initrd
rovinerebbe completamente
l'avvio del client LTSP.
Lo strumento debian-edu-ltsp-install è un
wrapper script per ltsp image
,
ltsp initrd
e ltsp
ipxe
. Viene usato per impostare e configurare il supporto
per workstation senza disco e thin client (entrambi a 64-Bit e 32-Bit
PC). Consultare man debian-edu-ltsp-install
o il contenuto dello script per analizzare come funziona. Tutta la
configurazione è contenuta nello script stesso (QUI i documenti) per
semplificare le impostazioni specifiche del sito.
Esempi di come usare il wrapper script debian-edu-ltsp-install:
debian-edu-ltsp-install --diskless_workstation
yes
aggiorna l'immagine SquashFS di workstation senza disco
(filesystem del server).
debian-edu-ltsp-install --diskless_workstation yes
--thin_type bare
crea il supporto per workstation senza
disco e thin client a 64 bit.
debian-edu-ltsp-install --arch i386 --thin_type
bare
crea un ulteriore supporto thin client a 32 bit
(immagine chroot e SquashFS).
Oltre a bare (il più piccolo sistema per thin client), sono opzioni disponibili anche display e desktop. Il tipo display offre un pulsante di spegnimento, il tipo desktop esegue Firefox ESR in modalità kiosk sul client stesso (occorre più RAM locale e potenza di CPU, ma c'è un carico del server ridotto).
Lo strumento debian-edu-ltsp-ipxe è uno
script wrapper per ltsp ipxe
. Controlla che
il file /srv/tftp/ltsp/ltsp.ipxe sia specifico per Debian Edu. Il comando
deve essere eseguito dopo che le voci del menu iPXE (come il timeout del
menu o le impostazioni di avvio predefinite) nella sezione [server] in
/etc/ltsp/ltsp.conf sono state modificate.
Lo strumento debian-edu-ltsp-initrd è uno
script wrapper per ltsp initrd
. Controlla
che venga generato un initrd specifico per il caso d'uso
(/srv/tftp/ltsp/ltsp.img) e poi spostato nella directory relativa al caso
d'uso. Il comando deve essere eseguito dopo che la sezione [clients] in
/etc/ltsp/ltsp.conf è stata modificata.
Lo strumento debian-edu-ltsp-chroot sostituisce lo strumento ltsp-chroot presente in LTSP5. È usato per eseguire comandi in una chroot LTSP indicata (come ad esempio installare, aggiornare e rimuovere pacchetti).
Workstation senza dischi
Una workstation senza dischi esegue tutto il software localmente. Le macchine client si avviano direttamente dal server LTSP senza un hard disk locale. Il software è amministrato e mantenuto sul server LTSP, ma è eseguito nelle workstation senza dischi. Anche le directory home e la configurazione del sistema sono archiviate sul server. Le workstation senza dischi sono un modo eccellente di riusare hardware più datato (ma più potente) con gli stessi bassi costi di manutenzione dei thin-client.
A differenza delle workstation, le workstation senza disco funzionano senza bisogno di aggiungerle con GOsa².
Thin-client
La configurazione del thin-client permette a un PC di funzionare come un terminale (X) dove tutto il software viene eseguito nel server LTSP. Questo significa che la macchina si inizializza via PXE senza usare il disco fisso locale e che il server LTSP deve essere una macchina potente.
Debian Edu supporta ancora il funzionamento dei thin client per permettere l'uso di hardware molto vecchio.
Dato che i thin client utilizzano X2Go, gli utenti dovrebbero disabilitare il compositing per evitare artefatti di visualizzazione. Nel caso predefinito (ambiente desktop Xfce): Settings -> Window Manager Tweaks -> Compositor.
Firmware del client LTSP
L'avvio dei client LTSP fallirà se la scheda di rete del client richiede firmware non libero. Una installazione PXE può essere usata per risolvere i problemi; se l'installazione Debian lamenta la mancanza di un file XXX.bin, allora il firmware non-free deve essere aggiunto alla initrd dei server LTSP.
Procedere in questo modo sul server LTSP:
Innanzitutto, per ottenere informazioni sui pacchetti del firmware, eseguire:
apt update && apt search ^firmware-
Stabilite quale pacchetto deve essere installato per le interfacce di rete; molto probabilmente si tratta di firmware-linux, eseguire:
apt -y -q install firmware-linux
Aggiornare l'immagine SquashFS per le workstation senza disco, eseguire:
debian-edu-ltsp-install --diskless_workstation yes
Se si utilizzano i thin client X2Go, eseguire:
/usr/share/debian-edu-config/tools/ltsp-addfirmware -h
e procedere secondo le informazioni d'uso.
Quindi aggiornare l'immagine SquashFS; ad esempio, per la chroot /srv/ltsp/x2go-bare-amd64, eseguire:
ltsp image x2go-bare-amd64
Ogni server LTSP ha due schede di rete ethernet, una è configurata nella sottorete principale 10.0.0.0/8 (condivisa con il server principale) e l'altra che forma una sottorete locale (una sottorete separata per ogni server LTSP).
Si può scegliere sia diskless workstation o thin client dal menu iPXE. Dopo aver atteso 5 secondi, la macchina si avvierà come workstation senza disco.
Il valore predefinito del menu di avvio iPXE e il suo timeout possono essere
entrambi configurati in
/etc/ltsp/ltsp.conf
. Un valore di timeout
di -1 è usato per nascondere il menu. Eseguire
debian-edu-ltsp-ipxe
per rendere effettivi
i cambiamenti.
La rete predefinita per la rete dei client LTSP è 192.168.0.0/24 se una
macchina è installata usando il profilo LTSP. Se sono usati molti client
LTSP o se diversi server LTSP dovrebbero far funzionare sia i386 che amd64
si potrebbe utilizzare l'ambiente chroot della seconda rete preconfigurata
192.168.1.0/24. Modificare il file
/etc/network/interfaces
e regolare il
settaggio di eth1 di conseguenza. Usare
ldapvi
o ogni altro editor LDAP per
ispezionare la configurazione DNS e DHCP.
Per creare chroot e l'immagine SquashFS, eseguire:
debian-edu-ltsp-install --arch i386 --thin_type bare
Vedere man debian-edu-ltsp-install
per i
dettagli sui tipi di thin client.
Eseguire man ltsp.conf
per dare un'occhiata
alle opzioni disponibili della configurazione. O leggerlo online: https://ltsp.org/man/ltsp.conf/
Aggiungere elementi di configurazione alla sezione [clients] di /etc/ltsp/ltsp.conf. Per rendere effettive le modifiche, eseguire:
debian-edu-ltsp-initrd
I thin client LTSP usano networked audio to pass audio from the server to the clients.
Le workstation senza dischi LTSP gestiscono l'audio localmente.
Quando gli utenti inseriscono un drive USB o un DVD/CDROM in una workstation senza dischi, sul desktop viene visualizzata un'icona corrispondente, che consente di accedere al contenuto come su una workstation.
Quando gli utenti inseriscono un'unità USB in un thin client X2Go di tipo bare (installazione predefinita del server combinato), il supporto viene montato non appena si fa doppio clic sull'icona della cartella esistente sul desktop Xfce. A seconda del contenuto del supporto, potrebbe essere necessario un po' di tempo prima che il contenuto venga visualizzato nel file manager.
Collegare la stampante al client LTSP (USB e porta parallela sono supportate).
Configurare client LTSP con GOsa² per utilizzare un indirizzo IP fisso.
Configurare la stampante utilizzando l'interfaccia web
https://www.intern:631
sul server
principale; scegliere tipo della stampante di rete
AppSocket/HP JetDirect
(per tutte le
stampanti indipendentemente dalla marca o dal modello) e impostare come
collegamento URI socket://<LTSP client
ip>:9100
.
PXE significa Preboot eXecution Environment. Debian Edu ora usa l'implementazione iPXE per una più facile integrazione con LTSP.
La voce di menu iPXE riguardante le installazioni di sistema è generata
utilizzando lo script
debian-edu-pxeinstall
. Alcune impostazioni
possono essere sovrascritte usando il file
/etc/debian-edu/pxeinstall.conf
con i
valori da rimpiazzare.
L'installazione di PXE erediterà la lingua, la disposizione della tastiera e
le sue impostazioni rifletteranno le impostazioni utilizzate durante
l'installazione del server principale, e le altre domande saranno poste
durante l'installazione (profilo, partecipazione a popcon, il
partizionamento e la password di root). Per evitare queste domande, il file
/etc/debian-edu/www/debian-edu-install.dat
può essere modificato per fornire risposte preselezionate ai valori di
debconf. Alcuni esempi di valori di debconf disponibili sono commentati in
/etc/debian-edu/www/debian-edu-install.dat
.
I cambiamenti fatti saranno persi appena
debian-edu-pxeinstall
verrà usato per
ricreare l'ambiente di installazione di PXE. Per aggiungere i valori di
debconf a
/etc/debian-edu/www/debian-edu-install.dat
durante la ricreazione con
debian-edu-pxeinstall
, aggiungere il file
/etc/debian-edu/www/debian-edu-install.dat.local
con i propri valori aggiuntivi per debconf.
Maggiori informazioni sulla modifica dell installazione PXE possono essere trovati nella sezione Installazione.
Per aggiungere un repository personalizzato inserire qualcosa come questo in
/etc/debian-edu/www/debian-edu-install.dat.local
:
d-i apt-setup/local1/repository string http://example.org/debian stable main contrib non-free d-i apt-setup/local1/comment string Example Software Repository d-i apt-setup/local1/source boolean true d-i apt-setup/local1/key string http://example.org/key.asc
ed eseguire poi
/usr/sbin/debian-edu-pxeinstall
una volta.
Il pacchetto debian-edu-config ha uno strumento che aiuta a cambiare la rete
da 10.0.0.0/8 a qualcos'altro. Dare un'occhiata a
/usr/share/debian-edu-config/tools/subnet-change
.
Il pacchetto va utilizzato subito dopo l'installazione sul server
principale, per aggiornare i file LDAP e gli alitri file che devono essere
modificati quando si cambia la sottorete.
Si noti che la modifica di una delle sottoreti già utilizzate in Debian Edu non funzionerà. 192.168.0.0/24 e 192.168.1.0/24 sono già impostate come reti per i thin-client. La modifica di queste sottoreti richiederà la modifica manuale dei file di configurazione per rimuovere le voci duplicate
Non vi è un modo semplice per cambiare il nome del dominio DNS. La modifica comporterebbe cambiamenti sia alla struttura LDAP che a diversi file nel file system del server principale. Non c'è neanche un modo semplice per modificare l'host e nome DNS del server principale (tjener.intern). Anche per questo occorrerebbe fare modifiche in LDAP e a file nel server principale e dei client. In entrambi i casi anche la configurazione Kerberos dovrebbe essere modificata.
Scegliendo il profilo server LTSP o il profilo server combinato si installano anche i pacchetti xrdp e x2goserver.
Xrdp usa il protocollo Remote Desktop per presentare un login grafico per un client remoto. Gli utenti di Microsoft Windows si possono connettere al server LTSP eseguendo xrdp senza installare software aggiuntivo - possono avviare una Remote-Desktop-Connection sulla macchina Windows e connettersi.
Inoltre, xrdp può connettersi a un server VNC o a un altro server RDP.
Xrdp viene fornito senza supporto audio; per compilare (o ricompilare) i moduli necessari si può usare questo script. Nota bene: il richiedente deve essere root o un membro del gruppo sudo. Inoltre, /etc/apt/sources.list deve contenere una riga deb-src valida.
#!/bin/bash set -e if [[ $UID -ne 0 ]] ; then if ! groups | egrep -q sudo ; then echo "ERROR: You need to be root or a sudo group member." exit 1 fi fi if ! egrep -q ^deb-src /etc/apt/sources.list ; then echo "ERROR: Make sure /etc/apt/sources.list contains a deb-src line." exit 1 fi TMP=$(mktemp -d) PULSE_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' pulseaudio)" XRDP_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' xrdp)" sudo apt -q update sudo apt -q install dpkg-dev cd $TMP apt -q source pulseaudio xrdp sudo apt -q build-dep pulseaudio xrdp cd pulseaudio-$PULSE_UPSTREAM_VERSION/ ./configure cd $TMP/xrdp-$XRDP_UPSTREAM_VERSION/sesman/chansrv/pulse/ sed -i 's/^PULSE/#PULSE/' Makefile sed -i "/#PULSE_DIR/a \ PULSE_DIR = $TMP/pulseaudio-$PULSE_UPSTREAM_VERSION" Makefile make sudo cp *.so /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/ sudo chmod 644 /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/module-xrdp* sudo service xrdp restart
X2Go consente di accedere a un desktop grafico sul server LTSP sia su connessioni a bassa che ad alta banda da un PC con Linux, Windows o macOS. È necessario un software aggiuntivo dal lato client, vedere X2Go wiki per maggiori informazioni.
Si prega di notare che il pacchetto killer
sarebbe meglio rimuoverlo sul server LTSP, se si utilizza X2Go, vedere
890517.
freerdp-x11
è installato in modo
predefinito ed è utilizzabile con RDP e VNC.
RDP; è il modo più facile per accedere a un server di terminale Windows. Un
pacchetto per un client alternativo è
rdesktop
.
Il clent VNC (Virtual Network Computer) dà l'accesso a Skolelinux da
remoto. Un pacchetto per un client alternativo i è
xvncviewer
.
x2goclient
è un client grafico per il
sistema X2Go (non installato di default). Si può usare per connettersi alle
sessioni in esecuzione e iniziare nuove sessioni.
Il server freeRADIUS potrebbe essere usato per fornire
connessioni di rete sicure. Per farlo funzionare, installare i pacchetti
freeradius e winbind sul server
principale ed eseguire
/usr/share/debian-edu-config/tools/setup-freeradius-server
per generare una configurazione di base specifica del sito. In questo modo,
entrambi i metodi EAP-TTLS/PAP e PEAP-MSCHAPV2 sono abilitati. Tutta la
configurazione è contenuta nello script stesso per facilitare le regolazioni
specifiche del sito. Vedi homepage di
freeRADIUS per i dettagli.
È necessaria una configurazione aggiuntiva per
abilitare/disabilitare gli access point tramite un shared secret (/etc/freeradius/3.0/clients.conf).
consentire/negare l'accesso wireless usando i gruppi LDAP (/etc/freeradius/3.0/users).
riunire gli access point in gruppi dedicati (/etc/freeradius/3.0/huntgroups)
I dispositivi dell'utente finale devono essere configurati correttamente, questi dispositivi devono essere protetti da PIN per l'uso dei metodi EAP (802.1x). Gli utenti dovrebbero anche essere educati a installare il certificato freeradius CA sui loro dispositivi per essere sicuri di connettersi al server giusto. In questo modo la loro password non può essere catturata da un server malevolo. Il certificato specifico del sito è disponibile sulla rete interna.
https://www.intern/freeradius-ca.pem (per i dispositivi dell'utente finale che eseguono Linux)
https://www.intern/freeradius-ca.crt (Linux, Android)
https://www.intern/freeradius-ca.der (macOS, iOS, iPadOS, Windows)
Notare che la configurazione dei dispositivi dell'utente finale sarà una vera sfida a causa della varietà dei dispositivi. Per i dispositivi Windows potrebbe essere creato uno script di installazione, per i dispositivi Apple un file mobileconfig. In entrambi i casi il certificato freeRADIUS CA può essere integrato, ma sono necessari strumenti specifici del sistema operativo per creare gli script.
Per poter utilizzare pGina (o qualsiasi altra applicazione di servizio di autenticazione di terze parti) è necessario disporre di un account utente speciale utilizzato per la ricerca all'interno di LDAP.
Aggiungere un utente speciale, ad esempio pguser con password pwd.777, sul sito web https://www/gosa.
Scaricare e installare pGina 3.9.9.12 come il solito software. Prestare attenzione che il plugin LDAP persista nella cartella dei plugin di pGina:
C:\Program Files\pGina.fork\Plugins\pGina.Plugin.Ldap.dll
In base alle impostazioni di Debian Edu, la connessione a LDAP utilizza la porta 636 con SSL.
Le impostazioni necessarie in un plugin LDAP di pGina sono quindi le seguenti
(queste sono memorizzate in HKEY_LOCAL_MACHINE\SOFTWARE\pGina3.fork\Plugins\0f52390b-c781-43ae-bd62-553c77fa4cf7).
LDAP Host: 10.0.2.2 (o qualsiasi altro con "spazio" come separatore)
LDAP Port: 636 (per connessione SSL)
Timeout: 10
Use SSL: YES (spuntare la casella di controllo)
Start TLS: NO (non spuntare la casella di controllo)
Validate Server Certificate: NO (non spuntare la casella di controllo)
Search DN: uid=pguser,ou=people,ou=Students,dc=skole,dc=skolelinux,dc=no
("pguser" è un utente da autenticare in LDAP per cercare gli utenti in una sessione di login)
Search Password: pwd.777 (è la password di "pguser")
Bind Tab:
Allow Empty Passwords: NO
Search for DN: YES (spuntare la casella di controllo)
Search Filter: (&(uid=%u)(objectClass=person))
Default: Allow
Deny when LDAP authentication fails: YES (spuntare la casella di controllo)
Allow when server is unreachable: NO (non spuntare la casella di controllo, opzionale)
LDAP: Authentication [v], Authorization [v], Gateway[v], Change Password [_]
Local Machine: Authentication [v], Gateway [v] (spuntare solo le prime due caselle di controllo)
Authentication: LDAP, Local Machine
Gateway: LDAP, Local Machine
Sorgenti:
Samba è ora configurato come server autonomo con
supporto moderno SMB2/SMB3 e usershares abilitato, consultare
/etc/samba/smb-debian-edu.conf
sul server
principale. In questo modo gli utenti non amministratori possono fornire
condivisioni.
Per modifiche specifiche al sito, copiare /usr/share/debian-edu-config/smb.conf.edu-site nella directory /etc/samba. Le impostazioni in smb.conf.edu-site sovrascriveranno quelle riportate in smb-debian-edu.conf.
Attenzione:
Per impostazione predefinita, le directory home sono di sola lettura. Questo può essere modificato in /etc/samba/smb.conf.edu-site.
Le password di Samba sono memorizzate usando
smbpasswd
e sono aggiornate nel caso in cui
una password venga cambiata usando GOsa².
Per disabilitare temporaneamente l'account Samba di un utente, eseguire
smbpasswd -d <username>
, mentre
smbpasswd -e <username>
lo
riabiliterà.
Se si esegue chown root:teachers
/var/lib/samba/usershares
sul server principale si
disabilita le usershares per gli 'studenti'.
Connections to a user's home directory and to additional site specific shares (if configured) are possible for devices running Linux, Android, macOS, iOS, iPadOS, Chrome OS or Windows. For example, Android based devices require a file manager with SMB2/SMB3 support, also known as LAN access. X-plore or Total Commander with LAN plugin might be a good choice.
Usare \\tjener\<username>
o
smb://tjener/<username>
per accedere
alla home directory.
Tutti i pacchetti Debian in questa sezione possono essere installati
eseguendo apt install <pacchetto>
(come root).
stable/education-development è un meta pacchetto che di pende da molti strumenti di programmazione. Attenzione che è necessario almeno 2 GiB di spazio nel disco se questo pacchetto viene installato. Pe maggiori informazioni (forse è necessario installarne solo alcuni), vedere la pagina Debian Edu Development packages.
Attenzione: assicurarsi di conoscere lo stato della legislazone del proprio paese sul controllo delle attività degli utenti di computer.
Alcune scuole usano strumenti di controllo come Epoptes o Veyon per supervisionare i propri studenti. Vedere anche: Homepage di Epoptes e Homepage di Veyon.
Alcune scuole usano Squidguard o e2guardian per limitare l'accesso a Internet.
Ogni utente dovrebbe cambiare la sua password utilizzando GOsa². Per fare
questo, basta usare un browser e collegarsi a
https://www/gosa/
.
L'uso di GOsa² per cambiare la password garantisce che le password di Kerberos (krbPrincipalKey), LDAP (userPassword) e di Samba siano le stesse.
Il cambio delle password con l'uso di PAM funziona al prompt di login GDM, ma questo aggiornerà solo la password di Kerberos e non quelle di Samba e GOsa² (LDAP). Così dopo aver cambiato al prompt di login la password, si deve cambiarla anche utilizzando GOsa².
Le applicazioni Java indipendenti sono supportate senza bisogno di alcun intervento dal runtime Java OpenJDK.
Tutti gli utenti possono mandare e ricevere posta all'interno della rete:
vengono forniti certificati per consentire le connessioni TLS protette. Per
poter inviare e ricevere posta elettronica al di fuori della rete interna,
l'amministratore deve configurare il server di posta
exim4
in base alla situazione locale,
eseguendo dpkg-reconfigure exim4-config
.
Ogni utente che vuol utilizzare Thunderbird ha bisogno di configurarlo come segue. Per un utente con username jdoe l'indirizzo email interno è jdoe@postoffice.intern.
Avviare Thunderbird
Click su 'Skip this and use my existing email'
Inserire il proprio indirizzo email
Non inserire la password, dato che sarà utilizzata quella di Kerberos
Click su 'Continue'
Per IMAP e SMTP le impostazioni devono essere 'STARTTLS' e 'Kerberos/GSSAPI'; sistemare il tutto se non viene rilevato automaticamente
Click su 'Done'
La mailing list degli sviluppatori è lo strumento principale per la comunicazione, anche se abbiamo anche #debian-edu su irc.debian.org e anche, a volte, veri e propri meeting, dove ci incontriamo di persona.
Un buon modo per sapere ciò che sta accadendo nello sviluppo di Debian Edu è iscriversi alla mailing list commit.
Debian Edu usa Bug Tracking System (BTS) di Debian. Vedere le segnalazioni di bug e le richieste di funzionalità esistenti o crearne di nuove. Si prega di segnalare tutti i bug per il pacchetto debian-edu-config. Vedere Come segnalare i bug per maggiori informazioni sulla segnalazione di bug in Debian Edu.
Questo documento ha bisogno del vostro aiuto! Prima di tutto non è ancora finito: se lo avete letto avete visto numerosi FIXME all'interno del testo. Se sapete (anche solo un po') ciò che andrebbe spiegato in quei punti, considerate l'idea di condividere la vostra conoscenza con noi.
Il sorgente del testo è un wiki e può essere modificato con il browser web, occorre collegarsi a https://wiki.debian.org/DebianEdu/Documentation/Bookworm/ e si può contribuire facilmente. Nota: è necessario un account per modificare le pagine e potrebbe essere necessario creare prima un account per l'utente wiki.
Un altro modo per contribuire e aiutare gli utenti è tradurre il software e la documentazione. Informazioni su come tradurre questo documento possono essere trovate nella sezione traduzione di questo libro. Cercate di aiutarci nello sforzo di traduzione di questo libro!
https://lists.debian.org/debian-edu - mailing list di supporto
#debian-edu su irc.debian.org; canale IRC, quasi sempre relativo allo sviluppo: non aspettarsi un supporto in tempo reale anche se spesso questo accade.
https://lists.debian.org/debian-edu-german - mailing list di supporto
#skolelinux.de su irc.debian.org - canale IRC per supportare gli utenti tedeschi
https://lists.debian.org/debian-edu-french - mailing list di supporto
L'elenco delle ditte che offrono un supporto professionale è disponibile a https://wiki.debian.org/DebianEdu/Help/ProfessionalHelp.
Per le nuove versioni di installazione di Debian bookworm, vedere per maggiori dettagli il manuale di installazione.
comprese le informazioni su
non-free-firmware
, che è una nuova sezione
in aggiunta alle ben note sezioni main
,
contrib
e
non-free
.
La nuova grafica basata sul tema Emerald, è quella di default per Debian 12 bookworm.
Tutto ciò che è nuovo in Debian 12 bookworm, ad esempio:
Linux kernel 6.1
Ambienti di desktop: KDE Plasma 5.27, GNOME 43, Xfce 4.18, LXDE 11, MATE 1.26
LibreOffice 7.4
GOsa² 2.8
Software educativo GCompris 3.1
Editor musicale Rosegarden 22.12
LTSP 23.01
Debian Bookworm comprende più di 64000 pacchetti disponibili per l'installazione.
Altre informazioni su Debian 12 Bookworm sono disponibili nelle note di rilascio e nel manuale di installazione.
Durante l'installazione la pagina di scelta del profilo è disponibile in 29 lingue, di cui 22 completamente tradotte.
Il Manuale Debian Edu Bookworm è tradotto in cinese semplificato, danese, olandese, francese, tedesco, italiano, giapponese, (bokmål) norvegese, portoghese brasiliano e spagnolo.
Questo documento è scritto e protetto da copyright da Holger Levsen (2007-2023), Petter Reinholdtsen (2001, 2002, 2003, 2004, 2007, 2008, 2009, 2010, 2012, 2014), Daniel Heß (2007), Patrick Winnertz (2007), Knut Yrvin (2007), Ralf Gesellensetter (2007), Ronny Aasen (2007), Morten Werner Forsbring (2007), Bjarne Nielsen (2007, 2008), Nigel Barker (2007), José L. Redrejo Rodríguez (2007), John Bildoy (2007), Joakim Seeberg (2008), Jürgen Leibner (2009, 2010, 2011, 2012, 2014), Oded Naveh (2009), Philipp Hübner (2009, 2010), Andreas Mundt (2010), Olivier Vitrat (2010, 2012), Vagrant Cascadian (2010), Mike Gabriel (2011), Justin B Rye (2012), David Prévot (2012), Wolfgang Schweer (2012-2022), Bernhard Hammes (2012), Joe Hansen (2015), Serhii Horichenko (2022) e Guido Berhörster (2023) ed è rilasciato sotto licenza GPL2 o qualsiasi versione successiva. Buon divertimento!
Se si aggiungono contenuti a questo documento, farlo solo se si è l'autore. Occorre rilasciarlo alle stesse condizioni ! Poi inserire il proprio nome qui e rilasciarlo sotto licenza "GPL v2 o successiva".
Esiste un riepilogo online delle traduzioni fornite, aggiornato frequentemente.
Le traduzioni di questo documento sono in file PO come la maggioranza dei
progetti di software libero. Maggiori informazioni sul processo di
traduzione possono essere trovate in
/usr/share/doc/debian-edu-doc/README.debian-edu-bookworm-manual-translations
.
Alcuni gruppi di traduzione hanno deciso di tradurre tramite Weblate. Vedere https://hosted.weblate.org/projects/debian-edu-documentation/bookworm-manual/ per maggiori informazioni.
Riportare qualsiasi tipo di problema.
Copyright (C) 2007-2012 Holger Levsen < holger@layer-acht.org > e altri, vedere il Copyright per l'elenco completo dei proprietari del copyright.
This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version.
This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.
Version 2, June 1991
Copyright (C) 1989, 1991 Free Software Foundation, Inc. 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301, USA. Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed.
0. This License applies to any program or other work which contains a notice placed by the copyright holder saying it may be distributed under the terms of this General Public License. The "Program", below, refers to any such program or work, and a "work based on the Program" means either the Program or any derivative work under copyright law: that is to say, a work containing the Program or a portion of it, either verbatim or with modifications and/or translated into another language. (Hereinafter, translation is included without limitation in the term "modification".) Each licensee is addressed as "you".
Activities other than copying, distribution and modification are not covered by this License; they are outside its scope. The act of running the Program is not restricted, and the output from the Program is covered only if its contents constitute a work based on the Program (independent of having been made by running the Program). Whether that is true depends on what the Program does.
1. You may copy and distribute verbatim copies of the Program's source code as you receive it, in any medium, provided that you conspicuously and appropriately publish on each copy an appropriate copyright notice and disclaimer of warranty; keep intact all the notices that refer to this License and to the absence of any warranty; and give any other recipients of the Program a copy of this License along with the Program.
You may charge a fee for the physical act of transferring a copy, and you may at your option offer warranty protection in exchange for a fee.
2. You may modify your copy or copies of the Program or any portion of it, thus forming a work based on the Program, and copy and distribute such modifications or work under the terms of Section 1 above, provided that you also meet all of these conditions:
a) You must cause the modified files to carry prominent notices stating that you changed the files and the date of any change.
b) You must cause any work that you distribute or publish, that in whole or in part contains or is derived from the Program or any part thereof, to be licensed as a whole at no charge to all third parties under the terms of this License.
c) If the modified program normally reads commands interactively when run, you must cause it, when started running for such interactive use in the most ordinary way, to print or display an announcement including an appropriate copyright notice and a notice that there is no warranty (or else, saying that you provide a warranty) and that users may redistribute the program under these conditions, and telling the user how to view a copy of this License. (Exception: if the Program itself is interactive but does not normally print such an announcement, your work based on the Program is not required to print an announcement.)
These requirements apply to the modified work as a whole. If identifiable sections of that work are not derived from the Program, and can be reasonably considered independent and separate works in themselves, then this License, and its terms, do not apply to those sections when you distribute them as separate works. But when you distribute the same sections as part of a whole which is a work based on the Program, the distribution of the whole must be on the terms of this License, whose permissions for other licensees extend to the entire whole, and thus to each and every part regardless of who wrote it.
Thus, it is not the intent of this section to claim rights or contest your rights to work written entirely by you; rather, the intent is to exercise the right to control the distribution of derivative or collective works based on the Program.
In addition, mere aggregation of another work not based on the Program with the Program (or with a work based on the Program) on a volume of a storage or distribution medium does not bring the other work under the scope of this License.
3. You may copy and distribute the Program (or a work based on it, under Section 2) in object code or executable form under the terms of Sections 1 and 2 above provided that you also do one of the following:
a) Accompany it with the complete corresponding machine-readable source code, which must be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,
b) Accompany it with a written offer, valid for at least three years, to give any third party, for a charge no more than your cost of physically performing source distribution, a complete machine-readable copy of the corresponding source code, to be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,
c) Accompany it with the information you received as to the offer to distribute corresponding source code. (This alternative is allowed only for noncommercial distribution and only if you received the program in object code or executable form with such an offer, in accord with Subsection b above.)
The source code for a work means the preferred form of the work for making modifications to it. For an executable work, complete source code means all the source code for all modules it contains, plus any associated interface definition files, plus the scripts used to control compilation and installation of the executable. However, as a special exception, the source code distributed need not include anything that is normally distributed (in either source or binary form) with the major components (compiler, kernel, and so on) of the operating system on which the executable runs, unless that component itself accompanies the executable.
If distribution of executable or object code is made by offering access to copy from a designated place, then offering equivalent access to copy the source code from the same place counts as distribution of the source code, even though third parties are not compelled to copy the source along with the object code.
4. You may not copy, modify, sublicense, or distribute the Program except as expressly provided under this License. Any attempt otherwise to copy, modify, sublicense or distribute the Program is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance.
5. You are not required to accept this License, since you have not signed it. However, nothing else grants you permission to modify or distribute the Program or its derivative works. These actions are prohibited by law if you do not accept this License. Therefore, by modifying or distributing the Program (or any work based on the Program), you indicate your acceptance of this License to do so, and all its terms and conditions for copying, distributing or modifying the Program or works based on it.
6. Each time you redistribute the Program (or any work based on the Program), the recipient automatically receives a license from the original licensor to copy, distribute or modify the Program subject to these terms and conditions. You may not impose any further restrictions on the recipients' exercise of the rights granted herein. You are not responsible for enforcing compliance by third parties to this License.
7. If, as a consequence of a court judgment or allegation of patent infringement or for any other reason (not limited to patent issues), conditions are imposed on you (whether by court order, agreement or otherwise) that contradict the conditions of this License, they do not excuse you from the conditions of this License. If you cannot distribute so as to satisfy simultaneously your obligations under this License and any other pertinent obligations, then as a consequence you may not distribute the Program at all. For example, if a patent license would not permit royalty-free redistribution of the Program by all those who receive copies directly or indirectly through you, then the only way you could satisfy both it and this License would be to refrain entirely from distribution of the Program.
If any portion of this section is held invalid or unenforceable under any particular circumstance, the balance of the section is intended to apply and the section as a whole is intended to apply in other circumstances.
It is not the purpose of this section to induce you to infringe any patents or other property right claims or to contest validity of any such claims; this section has the sole purpose of protecting the integrity of the free software distribution system, which is implemented by public license practices. Many people have made generous contributions to the wide range of software distributed through that system in reliance on consistent application of that system; it is up to the author/donor to decide if he or she is willing to distribute software through any other system and a licensee cannot impose that choice.
This section is intended to make thoroughly clear what is believed to be a consequence of the rest of this License.
8. If the distribution and/or use of the Program is restricted in certain countries either by patents or by copyrighted interfaces, the original copyright holder who places the Program under this License may add an explicit geographical distribution limitation excluding those countries, so that distribution is permitted only in or among countries not thus excluded. In such case, this License incorporates the limitation as if written in the body of this License.
9. The Free Software Foundation may publish revised and/or new versions of the General Public License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns.
Each version is given a distinguishing version number. If the Program specifies a version number of this License which applies to it and "any later version", you have the option of following the terms and conditions either of that version or of any later version published by the Free Software Foundation. If the Program does not specify a version number of this License, you may choose any version ever published by the Free Software Foundation.
10. If you wish to incorporate parts of the Program into other free programs whose distribution conditions are different, write to the author to ask for permission. For software which is copyrighted by the Free Software Foundation, write to the Free Software Foundation; we sometimes make exceptions for this. Our decision will be guided by the two goals of preserving the free status of all derivatives of our free software and of promoting the sharing and reuse of software generally.
NO WARRANTY
11. BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.
12. IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.
END OF TERMS AND CONDITIONS
Per le nuove versioni di installazione di Debian bullseye, vedere per maggiori dettagli il manuale di installazione.
La nuova grafica basata sul tema Homeworld, è quella di default per Debian 11 bullseye.
L'installatore Debian non supporta più la configurazione chroot LTSP. Nel caso di un'installazione combinata di server (profili "Main server" + "LTSP server"), l'impostazione del supporto thin client (usando ora X2Go) avviene alla fine dell'installazione. La generazione dell'immagine SquashFS per il supporto dei client senza disco (dal file system del server) viene fatta al primo avvio.
Per i server LTSP separati, entrambi i passi devono essere fatti tramite uno strumento dopo il primo avvio all'interno della rete interna quando sono disponibili abbastanza informazioni dal server principale.
Tutto ciò che è nuovo in Debian 11 Bullseye, ad esempio:
Linux kernel 5.10
Ambienti di desktop: KDE Plasma 5.20, GNOME 3.38, Xfce 4.16, LXDE 11, MATE 1.24
LibreOffice 7.0
Software educativo GCompris 1.0
Editor musicale Rosegarden 20.12
LTSP 21.01
Debian Bullseye comprende più di 59000 pacchetti disponibili per l'installazione.
Altre informazioni su Debian 11 bullseye sono disponibili nelle note di rilascio e nel manuale di installazione.
Durante l'installazione la pagina di scelta del profilo è disponibile in 29 lingue, di cui 22 completamente tradotte.
Il Manuale Debian Edu Bullseye è completamente tradotto in olandese, francese, italiano, giapponese, bokmål norvegese, portoghese (PT) e cinese semplificato.
Ci sono versioni parzialmente tradotte in danese e spagnolo.
Migliorato il supporto TLS/SSL sulla rete interna. Sui client, il certificato di root per Debian Edu-CA si trova all'interno del pacchetto di certificati per l'intero sistema.
Il nuovo LTSP, riscritto da zero, abbandona il supporto per i thin client. I thin client sono ora supportati grazie a X2Go.
Netboot è fornito usando iPXE invece di PXELINUX per essere compatibile con LTSP.
La directory /srv/tftp è ora usata come base di avvio di rete invece di /var/lib/tftpboot.
Dopo un aggiornamento point release di un sistema con profilo Main
Server o LTSP Server,
debian-edu-pxeinstall
deve essere eseguito
per aggiornare l'ambiente di installazione PXE.
DuckDuckGo è usato come provider di ricerca predefinito sia per Firefox ESR che per Chromium.
Chromium usa il sito interno invece di Google come pagina iniziale predefinita.
Sulle workstation senza disco, il TGT Kerberos è disponibile automaticamente dopo il login.
Aggiunto un nuovo strumento per impostare freeRADIUS con supporto per entrambi i metodi EAP-TTLS/PAP e PEAP-MSCHAPV2.
Samba è configurato come 'server autonomo' con supporto per SMB2/SMB3; l'unione al dominio è stata eliminata.
L'interfaccia web di GOsa² non mostra le voci relative a Samba perché i dati degli account Samba non sono più memorizzati in LDAP.
La modalità grafica del Debian Installer è usata per le installazioni PXE (invece della modalità testo).
Nel server di stampa centrale CUPS ipp.intern, gli utenti appartenenti al gruppo printer-admins sono autorizzati ad amministrare CUPS.
L'amministrazione di Icinga tramite l'interfaccia web è limitata al primo utente.
Le seguenti versioni Debian Edu sono ancora più vecchie:
Debian Edu 10+edu0 Codename Buster rilasciato il 06-07-2019.
Debian Edu 9+edu0 Codename Stretch rilasciata il 17-06-2017.
Nuove caratteristiche in Debian Edu 8.0+edu0 nome in codice Jessie rilasciata il 2-07-2016
Nuove caratteristiche in Debian Edu 7.1+edu0 nome in codice Wheezy rilasciata il 28-09-2013
Debian Edu 6.0.7+r1 nome in codice "Squeeze" rilasciata il 3-3-2013
Debian Edu 6.0.4+r0 nome in codice "Squeeze" rilasciata l'11-03-2012.
Debian Edu 5.0.6+edu1 nome in codice "Lenny" rilasciata il 5-10-2010.
Debian Edu 5.0.4+edu0 nome in codice "Lenny" rilasciata l'8-02-2010.
Debian Edu "3.0r1 Terra", rilasciata il 5-12-2007.
Debian Edu "3.0r0 Terra" rilasciata il 22-07-2007. Basata su Debian 4.0 Etch rilasciata l'8-04-2007.
Debian Edu 2.0, rilasciata il 14-03-2006. Basata su Debian 3.1 Sarge rilasciata il 6-06-2005.
Debian Edu "1.0 Venus" rilasciata il 20-06-2004. Basata su Debian 3.0 Woody rilasciata il 19-07-2002.
Una panoramica completa e dettagliata sulle vecchie versioni è contenuta nell'Appendice C del manuale di Jessie; o vedere i manuali delle relative versioni sui manuali delle versioni.