HowTo per i client della rete

Un termine generico per entrambi i thin-client e le workstation senza dischi è client LTSP.

Introduzione ai thin-client e alle workstation senza dischi A partire da Bullseye, LTSP è molto diverso dalle versioni precedenti. Questo riguarda sia la configurazione che la manutenzione.

Per informazioni su LTSP in generale, vedere la homepage di LTSP. sui sistemi con il profilo LTSP server , man ltsp fornisce maggiori informazioni.

Tenere presente che lo strumento ltsp da LTSP deve essere usato con attenzione. Per esempio, ltsp image / non riuscirebbe a generare l'immagine SquashFS in caso di macchine Debian (queste hanno una partizione /boot separata per default) ltsp ipxe non riuscirebbe a generare correttamente il menu iPXE (a causa del supporto thin client di Debian Edu), e ltsp initrd potrebbe compromettere completamente l'avvio del client LTSP.

Lo strumento debian-edu-ltsp-install è un wrapper script per ltsp image, ltsp initrd e ltsp ipxe. Viene usato per impostare e configurare il supporto per workstation senza disco e thin client (sia 64-Bit che 32-Bit PC). Consultare man debian-edu-ltsp- install o il contenuto dello script per analizzare come funziona. Tutta la configurazione è contenuta nello script stesso (QUI i documenti) per semplificare le impostazioni specifiche del sito.

Esempi di come usare il wrapper script debian-edu-ltsp-install:

  • debian-edu-ltsp-install --diskless_workstation yes aggiorna l'immagine SquashFS di workstation senza disco (server filesystem).

  • debian-edu-ltsp-install --diskless_workstation yes --thin_type bare crea supporto a workstation senza disco e a thin client a 64 bit.

  • debian-edu-ltsp-install --arch i386 --thin_type bare crea un ulteriore supporto thin client a 32 bit (immagini chroot e SquashFS).

Oltre a bare (il più piccolo sistema per thin client), sono opzioni disponibili anche display e desktop. Il tipo display offre un pulsante di spegnimento, il tipo desktop esegue Firefox ESR in modalità kiosk sul client stesso (occorre più RAM locale e potenza di CPU, ma c'è un carico del server ridotto).

Lo strumento debian-edu-ltsp-ipxe è uno script wrapper per ltsp ipxe. Controlla che il file /srv/tftp/ltsp/ltsp.ipxe sia specifico per Debian Edu. Il comando deve essere eseguito dopo che le voci relative al menu iPXE (come il timeout del menu o le impostazioni di avvio predefinite) nella sezione /etc/ltsp/ltsp.conf [server] sono state modificate.

Lo strumento debian-edu-ltsp-initrd è uno script wrapper per ltsp initrd. Controlla che un initrd specifico per il caso in uso (/srv/tftp/ltsp/ltsp.img) sia generato e poi spostato nella directory relativa al caso in uso. Il comando deve essere eseguito dopo che la sezione /etc/ltsp/ltsp.conf [clients] è stata modificata.

Lo strumento debian-edu-ltsp-chroot sostituisce lo strumento ltsp-chroot fornito con LTSP5. È usato per eseguire comandi in un chroot LTSP specificato (come ad esempio installare, aggiornare e rimuovere pacchetti).

Workstation senza dischi

Una workstation senza dischi esegue tutto il software localmente. Le macchine client si avviano direttamente dal server LTSP senza un hard disk locale. Il software è amministrato e mantenuto sul server LTSP, ma è eseguito nelle workstation senza dischi. Anche le directory home e la configurazione del sistema sono archiviate sul server. Le workstation senza dischi sono un modo eccellente di riusare hardware più datato (ma più potente) con gli stessi bassi costi di manutenzione dei thin-client.

A differenza delle workstation, le workstation senza disco funzionano senza bisogno di aggiungerle con GOsa².

Thin-client

La configurazione del thin-client permette a un PC di funzionare come un terminale (X) dove tutto il software viene eseguito nel server LTSP. Questo significa che la macchina si inizializza via PXE senza usare il disco fisso locale e che il server LTSP deve essere una macchina potente.

Debian Edu supporta ancora il funzionamento dei thin client per permettere l'uso di hardware molto vecchio.

Introduzione ai thin-client e alle workstation senza dischi Dato che i thin client utilizzano X2Go, gli utenti dovrebbero disabilitare il compositing per evitare problemi di visualizzazione. Nel caso predefinito (ambiente desktop Xfce): Settings -> Window Manager Tweaks -> Compositor.

Firmware del client LTSP

L'avvio dei client LTSP fallirà se la scheda di rete del client richiede firmware non libero. Una installazione PXE può essere usata per risolvere i problemi; se l'installazione Debian lamenta la mancanza di un file XXX.bin, allora il firmware non-free deve essere aggiunto alla initrd dei server LTSP.

Procedete così sul server LTSP:

  • Per prima cosa ottenere informazioni sui pacchetti del firmware, eseguire:

apt update && apt search ^firmware-
  • Decidere quale pacchetto deve essere installato per l'interfaccia di rete, molto probabilmente questo sarà firmware-linux, eseguire:

apt -y -q install firmware-linux
  • Aggiornare l'immagine SquashFS per le workstation senza disco, eseguire:

debian-edu-ltsp-install --diskless_workstation yes
  • Nel caso in cui vengano utilizzati i thin client X2Go, eseguire:

/usr/share/debian-edu-config/tools/ltsp-addfirmware -h
  • e procedere secondo le informazioni sul loro uso.

    Quindi aggiornare l'immagine di SquashFS; ad esempio per /srv/ltsp/x2go-bare-amd64 chroot, eseguire:

ltsp image x2go-bare-amd64

Eseguire man ltsp.conf per dare un'occhiata alle opzioni disponibili della configurazione. O leggerlo online: https://ltsp.org/man/ltsp.conf/

Aggiungere elementi di configurazione alla sezione /etc/ltsp/ltsp.conf [clients]. Per le modifiche abbiano effetto, eseguire:

debian-edu-ltsp-initrd

PXE significa Preboot eXecution Environment. Debian Edu ora usa l'implementazione iPXE per una più facile integrazione con LTSP.

Il pacchetto debian-edu-config ha uno strumento che aiuta a cambiare la rete da 10.0.0.0/8 a qualcos'altro. Dare un'occhiata a /usr/share/debian-edu-config/tools/subnet-change. Il pacchetto va utilizzato subito dopo l'installazione sul server principale, per aggiornare i file LDAP e gli alitri file che devono essere modificati quando si cambia la sottorete.

Cambiare la configurazione della rete Si noti che la modifica di una delle sottoreti già utilizzate in Debian Edu non funzionerà. 192.168.0.0/24 e 192.168.1.0/24 sono già impostate come reti per i thin-client. La modifica di queste sottoreti richiederà la modifica manuale dei file di configurazione per rimuovere le voci duplicate

Non vi è un modo semplice per cambiare il nome del dominio DNS. La modifica comporterebbe cambiamenti sia alla struttura LDAP che a diversi file nel file system del server principale. Non c'è neanche un modo semplice per modificare l'host e nome DNS del server principale (tjener.intern). Anche per questo occorrerebbe farem odifiche in LDAP e a file nel server principale e dei client. In entrambi i casi anche la configurazione Kerberos dovrebbe essere modificata.

Scegliendo il profilo server LTSP o il profilo server combinato si installano anche i pacchetti xrdp e x2goserver.

Xrdp usa il protocollo Remote Desktop per presentare un login grafico per un client remoto. Gli utenti di Microsoft Windows si possono connettere al server LTSP eseguendo xrdp senza installare software aggiuntivo - possono avviare una Remote-Desktop-Connection sulla macchina Windows e connettersi.

Inoltre, xrdp può connettersi a un server VNC o a un altro server RDP.

Xrdp viene fornito senza supporto audio; per compilare i moduli necessari si potrebbe utilizzare questo script.

 #!/bin/bash
 # Script to compile / recompile xrdp PulseAudio modules.
 # The caller needs to be root or a member of the sudo group.
 # Also, /etc/apt/sources.list must contain a valid deb-src line.
 set -e
  if [[ $UID -ne 0 ]] ; then  
     if ! groups | egrep -q sudo ; then
         echo "ERROR: You need to be root or a sudo group member."
         exit 1
     fi
 fi
 if ! egrep -q  ^deb-src /etc/apt/sources.list ; then
     echo "ERROR: Make sure /etc/apt/sources.list contains a deb-src line."
     exit 1
 fi
 TMP=$(mktemp -d)
 PULSE_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' pulseaudio)"
 XRDP_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' xrdp)"
 sudo apt -q update
 # Get sources and build dependencies:
 sudo apt -q install dpkg-dev
 cd $TMP
 apt -q source pulseaudio xrdp
 sudo apt -q build-dep pulseaudio xrdp
 # For pulseaudio 'configure' is all what is needed:
 cd pulseaudio-$PULSE_UPSTREAM_VERSION/
 ./configure
 # Adjust pulseaudio modules Makefile (needs absolute path)
 # and build the pulseaudio modules.
 cd $TMP/xrdp-$XRDP_UPSTREAM_VERSION/sesman/chansrv/pulse/
 sed -i 's/^PULSE/#PULSE/' Makefile
 sed -i "/#PULSE_DIR/a \
 PULSE_DIR = $TMP/pulseaudio-$PULSE_UPSTREAM_VERSION" Makefile
 make
 # Copy modules to Pulseaudio modules directory, adjust rights.
 sudo cp *.so /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/
 sudo chmod 644 /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/module-xrdp*
 # Restart xrdp, now with sound enabled.
 sudo service xrdp restart

Il server freeRADIUS potrebbe essere usato per fornire connessioni di rete sicure. Per farlo funzionare, installare i pacchetti freeradius e winbind sul server principale ed eseguire /usr/share/debian-edu-config/setup-freeradius-server per generare una configurazione di base specifica del sito. In questo modo, entrambi i metodi EAP-TTLS/PAP e PEAP-MSCHAPV2 sono abilitati. Tutta la configurazione è contenuta nello script stesso per facilitare le regolazioni specifiche del sito. Vedi homepage di freeRADIUS per i dettagli.

È necessaria una configurazione aggiuntiva per

  • abilitare/disabilitare gli access point tramite un shared secret (/etc/freeradius/3.0/clients.conf).

  • consentire/negare l'accesso wireless usando i gruppi LDAP (/etc/freeradius/3.0/users).

  • riunire gli access point in gruppi dedicati (/etc/freeradius/3.0/huntgroups)

Client wireless I dispositivi dell'utente finale devono essere configurati correttamente, questi dispositivi devono essere protetti da PIN per l'uso dei metodi EAP (802.1x). E soprattutto: gli utenti devono essere educati a installare il certificato freeradius CA sui loro dispositivi per essere sicuri di connettersi al server giusto. In questo modo la password non può essere catturata da un server malevolo. Il certificato specifico del sito è disponibile sulla rete interna.

Notare che la configurazione dei dispositivi dell'utente finale sarà una vera sfida a causa della varietà dei dispositivi. Per i dispositivi Windows potrebbe essere creato uno script di installazione, per i dispositivi Apple un file mobileconfig. In entrambi i casi il certificato freeRADIUS CA può essere integrato, ma sono necessari strumenti specifici del sistema operativo per creare gli script.

Secondo le impostazioni di Debian Edu, la connessione a LDAP utilizza la porta 636.

Le impostazioni necessarie nel plugin pGina di LDAP sono quindi le seguenti

(these are stored in HKEY_LOCAL_MACHINE\SOFTWARE\pGina3.fork\Plugins\0f52390b-c781-43ae-bd62-553c77fa4cf7).