Iniziare

Durante l'installazione del server principale un primo account è stato creato. Nel resto del documento questo account sarà denominato "primo utente". Questo account è speciale in quanto i permessi per la directory home sono impostati a 700 ( chmod o+x ~ per rendere accessibili le pagine web personali) e il primo utente può usare sudo per diventare root.

Vedere le informazioni specifiche su Debian Edu per la configurazione per l'accesso al file system prima di aggiungere utenti; se necessario, adeguarsi alla politica del sito.

Dopo l'installazione, le prime cose che si devono fare come primo utente sono:

  1. Accedere al server.

  2. Aggiungere utenti con GOsa²

  3. Aggiungere workstation con GOsa²

Come aggiungere utenti e workstation è descritto in dettaglio sotto, occorre leggere questo capitolo completamente. Il capitolo descrive come fare i passi essenziali correttamente così come altri accorgimenti che probabilmente tutti dovrebbero prendere in considerazione.

Ci sono altre informazioni disponibili in questo manuale: il capitolo Nuove funzionalità in Bullseye dovrebbe essere letto da tutti coloro che hanno familiarità con le precedenti versioni. Occorre leggere il capitolo Aggiornamenti per quelli che aggiornano da una versione precedente.

I passi essenziali per iniziare Se il traffico generico del DNS è bloccato nella vostra rete e si usano alcuni specifici server DNS per navigare, occorre dire al server DNS di usare il server utilizzato come proprio "forwarder". Occorre quindi aggiornare le opzioni di /etc/bind/named.conf e specificare l'indirizzo IP del server DNS da utilizzare.

La sezione HowTo descrive altri accorgimenti e trucchi e alcune risposte alle domande frequenti.

GOsa² è uno strumento di amministrazione basato su un'interfaccia web che aiuterà ad amministrare alcune parti importanti della configurazione di Debian Edu. Con GOsa² si possono amministrare (aggiungere, modificare, cancellare) questi gruppi principali:

Per accedere a GOsa² occorre avere un server principale Skolelinux e un sistema (client) con un browser web installato che può essere il server principale stesso se è stato installato come server combinato (main server + server LTSP + workstation).

Se si è installato (probabilmente per sbaglio) solo il profilo main-server non si ha a disposizione un browser web. È facile installare un desktop minimale nel server principale utilizzando questa sequenza di comandi in una shell (non grafica) come primo utente (creato durante l'installazione del server principale):

  $ sudo apt update
  $ sudo apt install task-desktop-xfce lightdm education-menus
  ### after installation, run 'sudo service lightdm start'
  ### login as first user

Da un browser web usare questo URL https://www/gosa per l'accesso a GOsa², collegandosi come primo utente.

  • In caso si usi una nuova macchina Debian Edu Bullseye, il certificato sarà riconosciuto dal browser.

  • Negli altri casi si riceverà un messaggio di errore per il certificato SSL. Se si sa di essere soli nella rete basta dire al browser di accettarlo e ignorare il messaggio.

Pagina di GOsa² dopo il login come primo utente

Dopo che ci si è collegati a GOsa² si vedrà la pagina iniziale di GOsa².

Successivamente, è possibile scegliere un'azione nel menu o fare clic su una delle icone della pagina iniziale. Per la navigazione, si consiglia di utilizzare il menu a sinistra dello schermo, in quanto questo rimarrà visibile su tutte le pagine di amministrazione di GOsa².

In Debian Edu le informazioni sugli account, i gruppi e il sistema sono archiviate in una directory LDAP. Questi dati non sono usati solo dal server principale, ma anche dalle workstation (senza disco), dai server LTSP e dalle macchine nella rete. Con LDAP le informazioni degli studenti, insegnanti, etc. devono essere inserite una sola volta. Dopo aver fornito le informazioni in LDAP, le stesse saranno disponibili su tutti i sistemi della rete Skolelinux.

Gosa² è uno strumento di amministrazione che usa LDAP per memorizzare le informazioni e fornire una struttura gerarchica di dipartimenti. Per ogni "dipartimento" è possibile aggiungere account utenti, gruppi, sistemi, gruppi di rete, ecc. A seconda della struttura della vostra istituzione, è possibile utilizzare la struttura del dipartimento in Gosa²/LDAP per trasferire la struttura organizzativa della scuola in un albero dati LDAP del server principale di Debian Edu.

Un'installazione predefinita del server principale di Debian Edu offre attualmente due "dipartimenti": Teachers e Students, oltre il livello base dell'albero LDAP. Gli account degli studenti sono destinati ad essere aggiunti al dipartimento "Students", gli insegnanti al dipartimento "Teachers", i sistemi (server, workstation etc.) sono attualmente aggiunti al livello di base. Questa struttura può essere personalizzata in base alle proprie esigenze. (Si può trovare un esempio su come creare utenti per gruppi di anni, con home directory comuni per ogni gruppo nella sezione HowTo/AdvancedAdministration di questo manuale).

A seconda dell'azione su cui si desidera lavorare (gestire utenti, gestire gruppi, gestire sistemi, etc.) Gosa² presenta una schermata diversa per il dipartimento selezionato (o per il livello di base).

Per prima cosa si clicca su "Users" nel menu di navigazione a sinistra. La parte destra dello schermo cambia e si vede una tabella con le cartelle dei dipartimenti "Students" e "Teachers" e l'account di Amministratore di Gosa² (il primo utente creato). Sopra questa tabella c'è un campo chiamato Base che permette di navigare attraverso la struttura ad albero (occorre spostare il mouse su quella zona e appare un menu a discesa) e selezionare una cartella di base per le operazioni che si intendono fare (ad esempio aggiungere un nuovo utente).

Accanto alla navigazione ad albero c'è il menu "Actions". Spostare il mouse su questa voce e un sottomenu appare sullo schermo, scegliere "Create" e poi "User". Ci sarà una procedura guidata che aiuterà nella creazione dell'utente.

Dopo aver creato l'utente (per ora non è necessario personalizzare i campi che la procedura guidata ha lasciato vuoti), fare clic sul pulsante "Ok" in basso a destra.

Come ultimo passo GOsa² chiederà una password per il nuovo utente. Digitare la password due volte, quindi fare clic su "Set password" in basso a destra. Aggiungere utenti Alcuni caratteri non sono permessi nella password.

Se tutto è andato bene, ora è possibile vedere il nuovo utente nella tabella degli utenti. Ora si dovrebbe essere in grado di accedere con quel nome utente su qualsiasi macchina Skolelinux all'interno della rete.

È possibile creare una grande quantità di utenti con GOsa² utilizzando un file CSV, che può essere creato con un buon foglio di calcolo (per esempio localc). Occorre inserire almeno i seguenti campi: uid, cognome (sn), nome (givenName) e password. Assicurarsi che non ci siano voci duplicate nel campo uid. Occorre controllare anche di non duplicare uid esistenti in LDAP (questi possono essere ottenuti eseguendo getent passwd | grep tjener/home | cut -d":" -f1 da terminale).

Qui ci sono le indicazioni su come creare un file CSV (GOsa² è abbastanza intollerante con questi file):

Le operazioni per l'importazione di massa sono:

È una buona idea fare qualche test prima, meglio con un file CSV che contiene pochi utenti fittizi che potranno essere cancellati più tardi.

Lo stesso vale per il modulo di gestione password, che permette di resettare molte password utilizzando un file CSV o per rigenerare nuove password per gli utenti appartenenti ad uno speciale sottoalbero LDAP.

Resettare le password

creare il gruppo

creare il gruppo

La gestione dei gruppi è molto simile a quella degli utenti.

È possibile inserire un nome e una descrizione per ogni gruppo. Assicurarsi di scegliere il giusto livello nella struttura LDAP quando si crea un nuovo gruppo.

Se si aggiungono utenti a un gruppo appena creato si torna alla lista degli utenti, dove si può utilizzare il riquadro di filtro per trovare utenti. Controllare anche il livello dell'albero LDAP.

I gruppi inseriti attraverso la gestione dei gruppi sono gruppi regolari unix, così possono essere usati anche per i permessi dei file.

L'amministrazione delle macchine permette in pratica di gestire tutti i dispositivi nella propria rete Debian Edu. Ogni macchina aggiunta alla directory LDAP con GOsa² ha un nome, un indirizzo IP, un indirizzo MAC e un nome di dominio (che in genere è "intern"). Per una descrizione più completa dell'architettura di Debian Edu consultare la sezione architettura di questo manuale.

Le workstation senza disco e i thin client funzionano out-of-the-box nel caso di un server principale combinato.

Le workstation con disco (compresi i server LTSP separati) devono essere aggiunte con GOsa². Dietro le quinte, vengono generati sia un Kerberos Principal (una specie di account) specifico della macchina che un file keytab correlato (contenente una chiave usata come password); il file keytab deve essere presente sulla workstation per poter montare le home directory degli utenti. Una volta che il sistema aggiunto è stato riavviato, accedervi come root ed eseguire /usr/share/debian-edu-config/tools/copy-host-keytab.

Per crearne Kerberos Principal e il file keytab per un sistema già configurato con GOsa², effettuare il login sul server principale come root ed eseguire

/usr/share/debian-edu-config/tools/gosa-modify-host <hostname> <IP>

Attenzione: la creazione di host keytab è possibile per sistemi di tipo workstation, server e terminali ma non per quelli di tipo netdevices. Vedere il capitoloNetwork clients HowTo per le opzioni di configurazione di NFS.

Per aggiungere una macchina, usare il menu principale di GOsa², systems, add. Si può utilizzare un indirizzo IP/nome_host dallo spazio di indirizzamento preconfigurato 10.0.0.0/8. Attualmente ci sono solo due indirizzi predefiniti fissi: 10.0.2.2 (tjener) e 10.0.0.1 (gateway). Gli indirizzi da 10.0.16.20 a 10.0.31.254 (circa 10.0.16.0/20 o 4000 host) sono riservati al DHCP e assegnati dinamicamente.

Per assegnare a un host con l'indirizzo MAC 52:54:00:12:34:10 un indirizzo statico in GOsa² occorre inserire l'indirizzo MAC, il nome dell'host e l'IP; in alternativa è possibile cliccare sul pulsante Propose ip che mostrerà il primo indirizzo fisso libero in 10.0.0.0/8, molto probabilmente qualcosa di simile a 10.0.0.2 se si aggiunge la prima macchina in questo modo. Sarebbe meglio pensare prima a un intervallo adatto per la rete: per esempio si potrebbe usare 10.0.0.x con x>10 e x<50 per i server e x>100 per le workstation. Non dimenticarsi di attivare il sistema appena aggiunto. Con l'eccezione del server principale tutti i sistemi saranno visualizzati con un'icona.

Se le macchine sono avviate come thin-client/workstation senza dischi o sono state installate usando uno dei profili di rete, lo script sitesummary2ldapdhcp può essere usato per aggiungere automaticamente macchine a GOsa². Per macchine semplici funzionerà out of the box, per macchine con più di un mac address quello scelto attualmente deve essere usato, sitesummary2ldapdhcp -h mostra le informazioni di utilizzo. Notare che gli indirizzi IP dopo l'uso di sitesummary2ldapdhcp appartengono all'intervallo dinamico degli IP. Questi sistemi possono poi essere modificati per adattarsi alla vostra rete: rinominare ogni nuovo sistema, attivare DHCP e DNS, aggiungerlo ai gruppi di rete (vedere la seguente schermata per i gruppi di rete consigliati), occorre dopo riavviare il sistema. Le seguenti schermate mostrano come stanno le cose in pratica:

root@tjener:~# sitesummary2ldapdhcp -a -i ether-22:11:33:44:55:ff
info: Create GOsa machine for am-2211334455ff.intern [10.0.16.21] id ether-22:11:33:44:55:ff.

Enter password if you want to activate these changes, and ^c to abort.

Connecting to LDAP as cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no
enter password: ********
root@tjener:~#

Elenco dei sistemi di GOsa²

Dettagli dell'host

Modificare host

Aggiungere gruppi di rete (netgroup)

Un compito cron di aggiornamento del DNS viene eseguito ogni ora il comando; su -c ldap2bind può essere utilizzato per attivare manualmente l'aggiornamento.

Dopo aver aggiunto una macchina all'albero LDAP usando GOsa², si può modificarne le proprietà usando la funzione di ricerca e cliccando sulla macchina desiderata (come per gli utenti).

Il formato di queste voci di sistema è simile a quello che già è stato visto per modificare le voci degli utenti, ma i campi significano cose diverse in questo contesto.

Per esempio, quando si aggiunge una macchina a un NetGroup non si modificano i permessi di accesso ai file o di esecuzione di comandi per quella macchina o per gli utenti che si collegano da essa, ma si limitano invece i servizi che tale macchina può usare sul server principale.

L'installazione predefinita mette a disposizione i seguenti NetGroup

Al momento la funzionalità NetGroup è usata per