Durante l'installazione del server principale un primo account è stato
creato. Nel resto del documento questo account sarà denominato "primo
utente". Questo account è speciale in quanto i permessi per la directory
home sono impostati a 700 ( chmod o+x ~
per rendere accessibili le pagine web personali) e il primo utente può usare
sudo
per diventare root.
Vedere le informazioni specifiche su Debian Edu per la configurazione per l'accesso al file system prima di aggiungere utenti; se necessario, adeguarsi alla politica del sito.
Dopo l'installazione, le prime cose che si devono fare come primo utente sono:
Accedere al server.
Aggiungere utenti con GOsa²
Aggiungere workstation con GOsa²
Come aggiungere utenti e workstation è descritto in dettaglio sotto, occorre leggere questo capitolo completamente. Il capitolo descrive come fare i passi essenziali correttamente così come altri accorgimenti che probabilmente tutti dovrebbero prendere in considerazione.
Ci sono altre informazioni disponibili in questo manuale: il capitolo Nuove funzionalità in Bullseye dovrebbe essere letto da tutti coloro che hanno familiarità con le precedenti versioni. Occorre leggere il capitolo Aggiornamenti per quelli che aggiornano da una versione precedente.
Se il traffico generico del DNS è bloccato nella vostra rete e si usano
alcuni specifici server DNS per navigare, occorre dire al server DNS di
usare il server utilizzato come proprio "forwarder". Occorre quindi
aggiornare le opzioni di /etc/bind/named.conf e specificare l'indirizzo IP
del server DNS da utilizzare.
La sezione HowTo descrive altri accorgimenti e trucchi e alcune risposte alle domande frequenti.
GOsa² è uno strumento di amministrazione basato su un'interfaccia web che aiuterà ad amministrare alcune parti importanti della configurazione di Debian Edu. Con GOsa² si possono amministrare (aggiungere, modificare, cancellare) questi gruppi principali:
Amministrazione degli utenti
Amministrazione dei gruppi
Amministrazione dei Netgroup NIS
Amministrazione delle macchine
Amministrazione DNS
Amministrazione DHCP
Per accedere a GOsa² occorre avere un server principale Skolelinux e un sistema (client) con un browser web installato che può essere il server principale stesso se è stato installato come server combinato (main server + server LTSP + workstation).
Se si è installato (probabilmente per sbaglio) solo il profilo main-server non si ha a disposizione un browser web. È facile installare un desktop minimale nel server principale utilizzando questa sequenza di comandi in una shell (non grafica) come primo utente (creato durante l'installazione del server principale):
$ sudo apt update $ sudo apt install task-desktop-xfce lightdm education-menus ### after installation, run 'sudo service lightdm start' ### login as first user
Da un browser web usare questo URL https://www/gosa per l'accesso a GOsa², collegandosi come primo utente.
In caso si usi una nuova macchina Debian Edu Bullseye, il certificato sarà riconosciuto dal browser.
Negli altri casi si riceverà un messaggio di errore per il certificato SSL. Se si sa di essere soli nella rete basta dire al browser di accettarlo e ignorare il messaggio.
Dopo che ci si è collegati a GOsa² si vedrà la pagina iniziale di GOsa².
Successivamente, è possibile scegliere un'azione nel menu o fare clic su una delle icone della pagina iniziale. Per la navigazione, si consiglia di utilizzare il menu a sinistra dello schermo, in quanto questo rimarrà visibile su tutte le pagine di amministrazione di GOsa².
In Debian Edu le informazioni sugli account, i gruppi e il sistema sono archiviate in una directory LDAP. Questi dati non sono usati solo dal server principale, ma anche dalle workstation (senza disco), dai server LTSP e dalle macchine nella rete. Con LDAP le informazioni degli studenti, insegnanti, etc. devono essere inserite una sola volta. Dopo aver fornito le informazioni in LDAP, le stesse saranno disponibili su tutti i sistemi della rete Skolelinux.
Gosa² è uno strumento di amministrazione che usa LDAP per memorizzare le informazioni e fornire una struttura gerarchica di dipartimenti. Per ogni "dipartimento" è possibile aggiungere account utenti, gruppi, sistemi, gruppi di rete, ecc. A seconda della struttura della vostra istituzione, è possibile utilizzare la struttura del dipartimento in Gosa²/LDAP per trasferire la struttura organizzativa della scuola in un albero dati LDAP del server principale di Debian Edu.
Un'installazione predefinita del server principale di Debian Edu offre attualmente due "dipartimenti": Teachers e Students, oltre il livello base dell'albero LDAP. Gli account degli studenti sono destinati ad essere aggiunti al dipartimento "Students", gli insegnanti al dipartimento "Teachers", i sistemi (server, workstation etc.) sono attualmente aggiunti al livello di base. Questa struttura può essere personalizzata in base alle proprie esigenze. (Si può trovare un esempio su come creare utenti per gruppi di anni, con home directory comuni per ogni gruppo nella sezione HowTo/AdvancedAdministration di questo manuale).
A seconda dell'azione su cui si desidera lavorare (gestire utenti, gestire gruppi, gestire sistemi, etc.) Gosa² presenta una schermata diversa per il dipartimento selezionato (o per il livello di base).
Per prima cosa si clicca su "Users" nel menu di navigazione a sinistra. La parte destra dello schermo cambia e si vede una tabella con le cartelle dei dipartimenti "Students" e "Teachers" e l'account di Amministratore di Gosa² (il primo utente creato). Sopra questa tabella c'è un campo chiamato Base che permette di navigare attraverso la struttura ad albero (occorre spostare il mouse su quella zona e appare un menu a discesa) e selezionare una cartella di base per le operazioni che si intendono fare (ad esempio aggiungere un nuovo utente).
Accanto alla navigazione ad albero c'è il menu "Actions". Spostare il mouse su questa voce e un sottomenu appare sullo schermo, scegliere "Create" e poi "User". Ci sarà una procedura guidata che aiuterà nella creazione dell'utente.
La cosa più importante da fare è inserire il modello (NewStudent o NewTeacher) il nome completo dell'utente (vedere la figura).
Seguendo la procedura guidata si vedrà che GOsa² genererà un nome utente automaticamente in base al nome reale. GOsa² sceglie automaticamente un nome utente che ancora non esiste, così più utenti con lo stesso nome avranno un nome utente diverso. Si noti che GOsa² può generare nomi utente non validi se il nome completo contiene caratteri non ASCII.
Se non piace il nome utente generato è possibile selezionarne un altro
indicato nella casella a discesa, anche se nella procedura guidata non si
può fare una libera scelta. (Per modificare il nome utente proposto, aprire
con un editor /etc/gosa/gosa.conf
e
aggiungere allowUIDProposalModification = "true"
come opzione aggiuntiva alla "location definition".)
Quando la procedura guidata è terminata, viene presentata la schermata di GOsa² per l'oggetto nuovo utente. Utilizzare le schede in alto, per verificare i campi compilati.
Dopo aver creato l'utente (per ora non è necessario personalizzare i campi che la procedura guidata ha lasciato vuoti), fare clic sul pulsante "Ok" in basso a destra.
Come ultimo passo GOsa² chiederà una password per il nuovo utente. Digitare
la password due volte, quindi fare clic su "Set password" in basso a destra. Alcuni caratteri non sono permessi nella password.
Se tutto è andato bene, ora è possibile vedere il nuovo utente nella tabella degli utenti. Ora si dovrebbe essere in grado di accedere con quel nome utente su qualsiasi macchina Skolelinux all'interno della rete.
Se occorre modificare o cancellare un utente si usa GOsa² per vedere l'elenco degli utenti nel proprio sistema. In alto a sinistra dello schermo, si trova il riquadro "Filter", uno strumento di ricerca fornito da GOsa². Se non si conosce esattamente dove si trova l'account nell'albero, occorre spostarsi nel livello di base dell'albero di GOsa²/LDAP e cercare con l'opzione chiamata: "[x] Cerca in subtrees".
Quando si usa il riquadro "Filter", i risultati appariranno immediatamente in mezzo al testo nell'elenco della tabella. Ogni riga rappresenta un account utente e gli elementi più a destra di ogni riga sono piccole icone che forniscono le azioni necessarie: modificare utente, bloccare l'account, impostare la password e rimuovere l'utente.
Verrà mostrata una nuova pagina in cui si possono modificare direttamente le informazioni dell'utente come cambiare la password o modificare la lista dei gruppi ai quali appartiene.
Gli studenti possono cambiare la propria password accedendo a GOsa² con i loro nomi utente. Per facilitare l'accesso a GOsa², è presente un'icona denominata Gosa nel desktop e nel menu di sistema (o Impostazioni di sistema). La versione di GOsa² per uno studente che vi accede è davvero minimale permettendo solo l'accesso ai propri dati di account e alla possibilità di cambiare la password.
Gli insegnanti hanno privilegi speciali in GOsa². Essi hanno una vista privilegiata di GOsa² e possono cambiare la password per tutti gli studenti. Questo può essere molto utile in classe.
Per configurare una nuova password per l'utente
cercare l'utente che si vuole modificare, come spiegato sopra
cliccare sul simbolo della chiave alla fine della riga del nome utente
nella pagina che si presenta è possibile impostare una nuova password a propria scelta
Attenzione alla sicurezza per le password facili da indovinare!
È possibile creare una grande quantità di utenti con GOsa² utilizzando un
file CSV, che può essere creato con un buon foglio di calcolo (per esempio
localc
). Occorre inserire almeno i seguenti
campi: uid, cognome (sn), nome (givenName) e password. Assicurarsi che non
ci siano voci duplicate nel campo uid. Occorre controllare anche di non
duplicare uid esistenti in LDAP (questi possono essere ottenuti eseguendo
getent passwd | grep tjener/home | cut -d":"
-f1
da terminale).
Qui ci sono le indicazioni su come creare un file CSV (GOsa² è abbastanza intollerante con questi file):
Usare "," come separatore di campo
Non usare le virgolette
Il file CSV non deve contenere una riga di intestazione (che in genere contiene i nomi delle colonne)
L'ordine dei campi non è rilevante, questo può essere definito in Gosa² durante l'importazione di massa
Le operazioni per l'importazione di massa sono:
clic sul collegamento "LDAP Manager" nel menu di navigazione sulla sinistra
clic sulla scheda "Import" sulla destra dello schermo
navigare sul disco locale e selezionare il file CSV con l'elenco degli utenti da importare
scegliere uno dei modelli disponibili per gli utenti che deve essere applicato durante l'importazione di massa (come NewTeacher o NewStudent)
fare clic sul pulsante "Import" nell'angolo in basso a destra
È una buona idea fare qualche test prima, meglio con un file CSV che contiene pochi utenti fittizi che potranno essere cancellati più tardi.
Lo stesso vale per il modulo di gestione password, che permette di resettare molte password utilizzando un file CSV o per rigenerare nuove password per gli utenti appartenenti ad uno speciale sottoalbero LDAP.
La gestione dei gruppi è molto simile a quella degli utenti.
È possibile inserire un nome e una descrizione per ogni gruppo. Assicurarsi di scegliere il giusto livello nella struttura LDAP quando si crea un nuovo gruppo.
Se si aggiungono utenti a un gruppo appena creato si torna alla lista degli utenti, dove si può utilizzare il riquadro di filtro per trovare utenti. Controllare anche il livello dell'albero LDAP.
I gruppi inseriti attraverso la gestione dei gruppi sono gruppi regolari unix, così possono essere usati anche per i permessi dei file.
L'amministrazione delle macchine permette in pratica di gestire tutti i dispositivi nella propria rete Debian Edu. Ogni macchina aggiunta alla directory LDAP con GOsa² ha un nome, un indirizzo IP, un indirizzo MAC e un nome di dominio (che in genere è "intern"). Per una descrizione più completa dell'architettura di Debian Edu consultare la sezione architettura di questo manuale.
Le workstation senza disco e i thin client funzionano out-of-the-box nel caso di un server principale combinato.
Le workstation con disco (compresi i server LTSP separati) devono essere aggiunte con GOsa². Dietro le quinte,
vengono generati sia un Kerberos Principal (una specie di
account) specifico della macchina che un file keytab
correlato (contenente una chiave usata come password);
il file keytab deve essere presente sulla workstation per poter montare le
home directory degli utenti. Una volta che il sistema aggiunto è stato
riavviato, accedervi come root ed eseguire
/usr/share/debian-edu-config/tools/copy-host-keytab
.
Per crearne Kerberos Principal e il file keytab per un sistema già configurato con GOsa², effettuare il login sul server principale come root ed eseguire
/usr/share/debian-edu-config/tools/gosa-modify-host <hostname> <IP>
Attenzione: la creazione di host keytab è possibile per sistemi di tipo workstation, server e terminali ma non per quelli di tipo netdevices. Vedere il capitoloNetwork clients HowTo per le opzioni di configurazione di NFS.
Per aggiungere una macchina, usare il menu principale di GOsa², systems, add. Si può utilizzare un indirizzo IP/nome_host dallo spazio di indirizzamento preconfigurato 10.0.0.0/8. Attualmente ci sono solo due indirizzi predefiniti fissi: 10.0.2.2 (tjener) e 10.0.0.1 (gateway). Gli indirizzi da 10.0.16.20 a 10.0.31.254 (circa 10.0.16.0/20 o 4000 host) sono riservati al DHCP e assegnati dinamicamente.
Per assegnare a un host con l'indirizzo MAC 52:54:00:12:34:10 un indirizzo
statico in GOsa² occorre inserire l'indirizzo MAC, il nome dell'host e l'IP;
in alternativa è possibile cliccare sul pulsante Propose
ip
che mostrerà il primo indirizzo fisso libero in
10.0.0.0/8, molto probabilmente qualcosa di simile a 10.0.0.2 se si aggiunge
la prima macchina in questo modo. Sarebbe meglio pensare prima a un
intervallo adatto per la rete: per esempio si potrebbe usare 10.0.0.x con
x>10 e x<50 per i server e x>100 per le workstation. Non
dimenticarsi di attivare il sistema appena aggiunto. Con l'eccezione del
server principale tutti i sistemi saranno visualizzati con un'icona.
Se le macchine sono avviate come thin-client/workstation senza dischi o sono
state installate usando uno dei profili di rete, lo script
sitesummary2ldapdhcp
può essere usato per
aggiungere automaticamente macchine a GOsa². Per macchine semplici
funzionerà out of the box, per macchine con più di un mac address quello
scelto attualmente deve essere usato, sitesummary2ldapdhcp
-h
mostra le informazioni di utilizzo. Notare che gli
indirizzi IP dopo l'uso di
sitesummary2ldapdhcp
appartengono
all'intervallo dinamico degli IP. Questi sistemi possono poi essere
modificati per adattarsi alla vostra rete: rinominare ogni nuovo sistema,
attivare DHCP e DNS, aggiungerlo ai gruppi di rete (vedere la seguente
schermata per i gruppi di rete consigliati), occorre dopo riavviare il
sistema. Le seguenti schermate mostrano come stanno le cose in pratica:
root@tjener:~# sitesummary2ldapdhcp -a -i ether-22:11:33:44:55:ff info: Create GOsa machine for am-2211334455ff.intern [10.0.16.21] id ether-22:11:33:44:55:ff. Enter password if you want to activate these changes, and ^c to abort. Connecting to LDAP as cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no enter password: ******** root@tjener:~#
Un compito cron di aggiornamento del DNS viene eseguito ogni ora il comando;
su -c ldap2bind
può essere utilizzato per
attivare manualmente l'aggiornamento.
Cercare e cancellare le macchine è simile a cercare e cancellare utenti e la procedura qui non viene ripetuta.
Dopo aver aggiunto una macchina all'albero LDAP usando GOsa², si può modificarne le proprietà usando la funzione di ricerca e cliccando sulla macchina desiderata (come per gli utenti).
Il formato di queste voci di sistema è simile a quello che già è stato visto per modificare le voci degli utenti, ma i campi significano cose diverse in questo contesto.
Per esempio, quando si aggiunge una macchina a un
NetGroup
non si modificano i permessi di
accesso ai file o di esecuzione di comandi per quella macchina o per gli
utenti che si collegano da essa, ma si limitano invece i servizi che tale
macchina può usare sul server principale.
L'installazione predefinita mette a disposizione i seguenti
NetGroup
all-hosts
cups-queue-autoflush-hosts
cups-queue-autoreenable-hosts
fsautoresize-hosts
ltsp-server-hosts
netblock-hosts
printer-hosts
server-hosts
shutdown-at-night-hosts
shutdown-at-night-wakeup-hosts-blacklist
workstation-hosts
Al momento la funzionalità NetGroup
è usata
per
Ridimensionamento delle partizioni (fsautoresize-hosts)
Le macchine Debian Edu che appartengono a questo gruppo automaticamente adatteranno le partizioni LVM che sono diventate insufficienti.
Spegnere le macchine di notte (shutdown-at-night-hosts and shutdown-at-night-wakeup-hosts-blacklist)
Le macchine Debian Edu in questo gruppo si spegneranno automaticamente la notte per risparmiare energia.
Gestire le stampanti (cups-queue-autoflush-hosts and cups-queue-autoreenable-hosts)
Le macchine Debian Edu in questi gruppi svuoteranno le code di stampa ogni notte e riattiveranno ogni coda di stampa disabilitata ogni ora.
Blocco dell'accesso a Internet (netblock-hosts)
Alle macchine Debian Edu di questo gruppo sarà consentita solo la connessione alla rete locale. In combinazione con le restrizioni dei proxy web potrebbero essere utilizzate durante gli esami.