De DHCP-server van Tjener bedient het 10.0.0.0/8 netwerk en biedt er de computers via PXE een syslinux opstartmenu aan. Dit laat de keuze uit: een nieuwe server/werkstation installeren, een thin client of een schijfloos werkstation opstarten, memtest uitvoeren, of de computer vanaf de lokale harde schijf opstarten.

Deze initiële opzet is bedoeld om te worden aangepast. Dit betekent dat u de NFS-root in syslinux kunt laten wijzen naar één van de LTSP-servers of dat u via het wijzigen van de optie next-server van DHCP (opgeslagen in LDAP) clients rechtstreeks via PXE kunt laten opstarten van de terminalserver.

Op de LTSP-servers bedient de DHCP-server via de tweede netwerkkaart enkel een gereserveerd netwerk (192.168.0.0/24 en 192.168.1.0/24 zijn de vooraf geconfigureerde opties). Slechts uitzonderlijk zal men hieraan iets moeten veranderen.

De configuratie van alle subnetwerken ligt in LDAP opgeslagen.

Een netwerk van Skolelinux heeft één hoofdserver (ook "tjener" genaamd, wat Noors is voor "server") die standaard het IP-adres 10.0.2.2 heeft en geïnstalleerd wordt door te kiezen voor het profiel Hoofdserver (Main Server). Het is mogelijk (maar niet vereist) om naast het profiel hoofdserver ook de profielen LTSP-server en werkstation te selecteren en te installeren.

Behalve het beheer van de thin clients, worden initieel alle diensten geïnstalleerd op één centrale computer (de hoofdserver). Met het oog op prestatiebevordering is het aangewezen dat de LTSP-server(s) op (een) aparte computer(s) staat/staan (hoewel het mogelijk is om zowel het profiel hoofdserver als het profiel LTSP-server op één en dezelfde computer te installeren). Alle diensten krijgen een eigen DNS-naam toegewezen en worden exclusief over IPv4 aangeboden. De toegewezen DNS-naam maakt het eenvoudig om individuele diensten van de hoofdserver te verplaatsen naar een andere computer. Daarvoor dient u gewoon die dienst op de hoofdserver te stoppen en de DNS-configuratie zodanig aan te passen dat naar de nieuwe locatie van de dienst gewezen wordt (uiteraard moet die dienst eerst op die andere machine geïnstalleerd worden).

Uit veiligheidsoverwegingen worden alle verbindingen waarover wachtwoorden verzonden worden, versleuteld. Geen enkel wachtwoord wordt als klare tekst over het netwerk verzonden.

Hieronder vindt u een tabel met alle diensten die standaard geïnstalleerd worden in een netwerk van Skolelinux en hun respectieve DNS-naam. Zo mogelijk verwijst elk configuratiebestand via zijn naam (met weglating van de domeinnaam) naar de dienst waaraan het gekoppeld is. Deze benadering maakt het voor scholen gemakkelijk om wijzigingen aan te brengen aan hun domeinnaam (als ze over een eigen DNS-domein beschikken) of aan de IP-adressen die ze gebruiken.

De persoonlijke bestanden van iedere gebruiker worden in diens persoonlijke map opgeslagen. De server stelt die persoonlijke mappen ter beschikking, zodat men er vanop elke machine toegang toe heeft. Zo hebben gebruikers toegang tot dezelfde bestanden, ongeacht de machine die ze gebruiken. De server werkt platformonafhankelijk en geeft gebruikers op Unix clients via NFS toegang tot hun bestanden, terwijl gebruikers op Windows- en Macintosh-clients via SMB toegang tot hun bestanden krijgen.

Standaard werd de mailserver ingesteld om enkel lokale post te bedelen, dit wil zeggen binnen de school. Nochtans kan de server ook ingesteld worden om postbedeling over het internet toe te laten indien de school over een permanente internetverbinding beschikt. Clients worden geconfigureerd om e-mail bij de server af te leveren (via 'smarthost'), en gebruikers kunnen hun persoonlijke e-mail raadplegen via IMAP.

Alle diensten kunnen gebruikt worden met dezelfde gebruikersnaam en hetzelfde wachtwoord, dankzij de centrale gegevensbank voor authenticatie en autorisatie.

Om een beter prestatieniveau te bereiken, slaat een proxy-server vaak bezochte webpagina's lokaal op (Squid). In combinatie met de mogelijkheid om via de router bepaalde webtrafiek te blokkeren, biedt dit kansen om controle te houden over de toegang tot het internet van individuele machines.

De netwerkconfiguratie van de clientcomputers gebeurt automatisch met behulp van DHCP. Alle types clients kunnen verbonden worden met het private subnet 10.0.0.0/8 en zullen een overeenkomstig IP-adres toegewezen krijgen; LTSP-clients moeten verbonden worden met hun overeenkomstige LTSP-server via het afzonderlijke subnet 192.168.0.0/24 (dit is om te kunnen garanderen dat het netwerkverkeer van de LTSP-clients niet interfereert met de overige netwerkdiensten).

De centrale logboekdienst is zo geconfigureerd dat alle machines hun systeemlogboekberichten (syslog) naar de server zenden. De systeemlogboekdienst is ingesteld om enkel inkomende berichten van het lokale netwerk te aanvaarden.

De standaardinstelling van de DNS-server gaat uit van een domein dat uitsluitend intern gebruikt wordt (*.intern), totdat een echt ("extern") domein geconfigureerd kan worden. De DNS-server werkt als een cacheserver voor DNS, waardoor alle machines van het netwerk hem kunnen gebruiker als hun DNS-hoofdserver.

Leerlingen en leerkrachten krijgen de mogelijkheid om een website te publiceren. De webserver beschikt over mechanismen voor de authenticatie van gebruikers en voor het reserveren van de toegang tot bepaalde webpagina's of tot bepaalde submappen voor bepaalde gebruikers of gebruikersgroepen. Voor gebruikers is het mogelijk om dynamische webpagina's te maken, aangezien de webserver in functie daarvan programmeerbaar is.

Informatie over gebruikers en machines kan op één centrale plaats aangepast worden, en wordt automatisch toegankelijk gemaakt voor alle computers op het netwerk. In functie hiervan wordt een centrale registerdienst ontplooid. Het register bevat informatie over gebruikers, over gebruikersgroepen, over machines en over groepen van machines. Om bij gebruikers geen verwarring te zaaien, worden bestandsgroepen, mailinglijsten en netwerkgroepen op geen enkele manier verschillend behandeld. Dit heeft tot gevolg dat groepen van computers die samen een netwerkgroep vormen, dezelfde naamruimte gebruiken als gebruikersgroepen en mailinglijsten.

Het beheer van diensten en gebruikers gebeurt hoofdzakelijk via het web en volgt daarbij vastgelegde standaarden die goed functioneren in de met Skolelinux meegeleverde webbrowsers. Het administratiesysteem laat toe om bepaalde taken te delegeren naar individuele gebruikers of naar gebruikersgroepen.

Om mogelijke problemen met NFS te voorkomen en om het oplossen ervan te vergemakkelijken, moet de klok op elke machine gesynchroniseerd zijn. Daarom fungeert de Skolelinux-server als een NTP-server (Network Time Protocol) voor het lokale netwerk. Van hun kant worden alle werkstations en clientcomputers ingesteld om hun klok met die van de server te synchroniseren. De server zelf tracht zijn eigen klok via NTP te synchroniseren met machines op het internet. Dit garandeert een correcte tijdsaanduiding binnen het ganse netwerk.

Printers kunnen geplaatst worden waar dit het meest praktisch is. Ze kunnen ofwel rechtstreeks op het hoofdnetwerk aangesloten worden of aangekoppeld worden aan een server, een werkstation of een LTSP-server. Het recht van individuele gebruikers om toegang te hebben tot een printer, kan ingesteld worden op basis van de groepen waartoe zij behoren. Dit wordt geregeld via het instellen van een quotaregeling en toegangscontrole voor printers.

Een netwerk van Skolelinux kan veel LTSP-servers (die we in releases voor Stretch "thin-clientservers" noemden) bevatten. Men zet een LTSP-server op door bij de installatie het profiel LTSP-server te selecteren.

De LTSP-servers staan ingesteld om systeemlogboekberichten (syslog) te ontvangen van thin clients en werkstations en om die door te sturen naar de centrale systeemlogboekdienst.

Merk op: Thin-clients maken gebruik van de programma's die op de server geïnstalleerd zijn. Schijfloze werkstations gebruiken de programma's die geïnstalleerd zijn in de LTSP-chroot van de server en hun basisbestandssysteem wordt via NBD (Network Block Device - Netwerkblokapparaat) aan de clients aangeleverd. Na elke wijziging van de LTSP-chroot moet het ermee verbonden NBD-image opnieuw gegenereerd worden. Voer daarvoor op de LTSP-server het commando ltsp-update-image uit.

Een thin-clientopstelling laat toe om eenvoudige PC's te gebruiken als (X-)terminals. Dit houdt in dat de machine wordt opgestart met een diskette of rechtstreeks vanaf de server met behulp van netwerk-PROM (of PXE) zonder gebruik te maken van de lokale harde schijf. Het thin-clientsysteem dat Skolelinux gebruikt, is dat van het Linux Terminal Server Project (LTSP).

Het thin-clientsysteem is een goede manier om nuttig gebruik te maken van oudere en weinig krachtige machines, aangezien alle programma's die zij gebruiken op de LTSP-server uitgevoerd worden. Dit gaat als volgt in zijn werk: de dienst maakt gebruik van DHCP and TFTP om een netwerkverbinding te realiseren en over het netwerk op te starten. Nadien wordt via NBD het bestandssysteem van de LTPS-server aangekoppeld, en tenslotte wordt het X-Windowsysteem gestart. Via SSH met X-forwarding maakt het grafisch aanmeldscherm (LDM) verbinding met de LTSP-server. Op die manier verloopt alle netwerkverkeer versleuteld. Voor heel oude thin clients die te traag zijn om encryptie toe te laten, kan men teruggrijpen naar een vroegere werkwijze. Men gebruikt dan een directe X-verbinding via XDMCP.

Schijfloze werkstations worden ook wel eens configuratieloze werkstations genoemd. Ook termen als "lowfat clients" of "half-thick clients" worden gebruikt om dergelijke machines aan te duiden. Voor de duidelijkheid houden we het in deze handleiding op "schijfloos werkstation."

Een schijfloos werkstation voert alle programma's uit op de PC, evenwel zonder dat er lokaal een besturingssysteem geïnstalleerd is. Dit houdt in dat de clientcomputer rechtstreeks opstart vanaf de harde schijf van de server, en geen software nodig heeft die op de lokale harde schijf geïnstalleerd werd.

Het systeem van schijfloze werkstations is zeer geschikt om oudere (maar nog krachtige) hardware te hergebruiken met een even lage onderhoudskost als met thin clients het geval is. Software wordt beheerd en onderhouden op de server en er dient op de clientcomputers geen software geïnstalleerd te worden. Persoonlijke mappen en systeeminstellingen worden op de server opgeslagen.

Schijfloze werkstations werden met versie 5.0 in het Linux Terminal Server Project (LTSP) geïntroduceerd.

De term "netwerkclients" wordt in deze handleiding gebruikt om zowel te verwijzen naar thin clients als naar schijfloze werkstations en naar computers die onder Mac OS of onder Windows draaien.

Momenteel zijn images beschikbaar van twee soorten installatiemedia: een netinstall cd-image en een multi-arch USB flash drive image. Beide images kan men ook gebruiken om een computer op te starten vanaf een USB-stick.

Het is de bedoeling dat men eenmaal met behulp van om het even welk installatiemedium een server installeert en dat alle andere clients over het netwerk geïnstalleerd worden door ze vanaf het netwerk te laten opstarten.

Enkel bij het netinstall cd-image heeft men toegang tot het internet nodig tijdens het installatieproces.

Tijdens de installatie moet geen enkele vraag beantwoord worden, met uitzondering van de gewenste taal (bijvoorbeeld Noors Bokmål, Nynorsk, Sami, Nederlands) en het te installeren machineprofiel (hoofdserver, werkstation, LTSP-server). De rest van de configuratie wordt automatisch ingesteld op aannemelijke waarden. Na installatie kan de systeembeheerder deze instellingen zo nodig aanpassen vanaf een centrale plaats.

Aan ieder gebruikersaccount van Skolelinux wordt een deel van het bestandssysteem op de bestandsserver toegewezen. Dit deel (de persoonlijke map) bevat de configuratiebestanden, de documenten, de e-mails en de webpagina's van die gebruiker. Sommige van die bestanden moeten ook door de andere gebruikers op het systeem gelezen kunnen worden, sommige moeten door iedereen op het internet gelezen kunnen worden en sommige mogen enkel door de gebruiker zelf gelezen kunnen worden.

Om een unieke naam te kunnen garanderen voor alle schijven die gebruikt worden voor de persoonlijke mappen van gebruikers of voor de gedeelde mappen en die verspreid kunnen zijn over de verschillende computers van het schoolnetwerk, kan men ze aankoppelen als /skole/host/directory/ (d.w.z. /skole/computernaam/mapnaam/) . Tijdens de installatie wordt op de bestandsserver initieel één map gemaakt, /skole/tjener/home0/, waaronder alle persoonlijke mappen aangemaakt worden. Extra mappen kunnen naar behoefte aangemaakt worden, naargelang de noden van specifieke gebruikersgroepen of van specifieke vormen van gebruik.

Opdat een gedeeld gebruik van bestanden binnen het in UNIX gangbare systeem van gebruiksrechten mogelijk zou zijn, moeten gebruikers deel uitmaken van bijkomende gemeenschappelijke groepen (zoals "studenten") naast de primaire persoonlijke groep waartoe ze standaard behoren. Indien voor gebruikers een passende umask (002 of 007) geldt, waardoor de nieuwe bestanden die zij aanmaken, voor hun groep toegankelijk gemaakt worden, en indien voor de mappen waarin zij werken de setgid bit ingesteld staat, waardoor de bestanden erin aan de juiste groep toegewezen worden, krijgt men een gecontroleerd systeem van bestandsdeling tussen de leden van een welbepaalde groep.

Welke de initiële toegangsrechten van een nieuw aangemaakt bestand zijn, is een kwestie van beleidskeuzes. In Debian is de umask standaard 022 (hetgeen groepstoegang zoals hiervoor beschreven onmogelijk zou maken). Debian Edu daarentegen gebruikt een umask van 002. Dit betekent dat bestanden aangemaakt worden met leesrechten voor iedereen. Die kunnen nadien teniet gedaan worden mits uitdrukkelijke actie door de gebruiker. Deze gang van zaken kan bijgestuurd worden (door in het bestand /etc/pam.d/common-session) de umask op 007 te zetten. Dit houdt in: initieel geen leestoegang en de gebruiker moet actie ondernemen om zijn bestanden leesbaar te maken voor iedereen. De eerste benadering moedigt het delen van kennis aan en maakt het systeem transparanter, terwijl de tweede benadering het risico op het verspreiden van gevoelige informatie vermindert. Het zwakke punt van de eerste benadering is dat het voor de gebruiker niet duidelijk is dat het materiaal dat hij aanmaakt, voor alle andere gebruikers toegankelijk is. Hij kan dit enkel ontdekken door te gaan kijken in de persoonlijke mappen van andere gebruikers en vast te stellen dat hij die bestanden kan inkijken. Bij de tweede benadering bestaat het zwakke punt erin dat slechts weinig mensen geneigd zullen zijn om hun bestanden voor anderen open te stellen, zelfs al bevatten die geen gevoelige informatie en zou hun inhoud nuttig kunnen zijn om de nieuwsgierigheid te prikkelen van gebruikers naar hoe anderen bepaalde problemen opgelost hebben (in het bijzonder de aanpak inzake configuraties).

Het netinstall cd-image, waarmee u ook een installatie kunt uitvoeren vanaf een USB-stick, is geschikt om een installatie uit te voeren op i386- en amd64-computers. Zoals uit de naam af te leiden valt, is toegang tot het internet nodig voor de installatie. Het image wordt beschikbaar gesteld via

Het multi-achitectuur ISO-image is 5,5 GiB groot en is kan gebruikt worden voor het installeren van amd64- en i386-computers. Net zoals het netinstall-image kan het op een USB-stick of op een schijf met voldoende opslagcapaciteit geplaatst worden. Hou er rekening mee dat u toegang tot het internet nodig heeft gedurende de installatie als u het profiel 'LTSP-Server' kiest. Zoals de andere images kunt u het downloaden met HTTP of rsync via:

Broncode-bestanden kunnen in het Debian-archief gevonden worden op de gebruikelijke locaties.

Opstartmenu van het installatieprogramma op 64-bits hardware

Graphical install gebruikt het grafische GTK-installatieprogramma waarin u de muis kunt gebruiken.

Install gebruikt de tekstmodus.

Advanced options > biedt een sub-menu met meer uitgebreide keuzemogelijkheden.

32-bit install options > maakt een 32-bits installatie mogelijk op 64-bits hardware.

Help geeft aanwijzingen bij het gebruik van het installatieprogramma. Zie de schermafdrukken hieronder.

Back.. brengt u terug naar het hoofdmenu.

Graphical expert install legt alle beschikbare vragen voor; de muis kan gebruikt worden.

Graphical rescue mode doet dit installatiemedium als een reparatie-cd fungeren, zodat u noodbewerkingen kunt uitvoeren.

Graphical automated install heeft een bestand nodig waarmee een aantal configuratieopties aan het installatieprogramma doorgegeven worden. De grafische modus wordt gebruikt.

Expert install legt alle beschikbare vragen voor en gebruikt de tekstmodus.

Rescue mode tekstmodus; doet dit installatiemedium als een reparatie-cd fungeren, zodat u noodbewerkingen kunt uitvoeren.

Automated install tekstmodus; heeft een bestand nodig waarmee een aantal configuratieopties aan het installatieprogramma doorgegeven worden.

Opstartmenu van het installatieprogramma op 32-bits hardware

De toelichtingen zijn dezelfde als die voor 64-bits hardware.

Hulpscherm

Dit hulpscherm vraagt geen nadere uitleg. Het maakt de <F>-toetsen van het toetsenbord actief om meer uitgebreide hulp te krijgen in verband met het behandelde onderwerp.

Opstartparameters voor installaties toevoegen of wijzigen

In beide gevallen kunt u de opstartopties van het installatiesysteem bewerken door in het opstartmenu op de TAB-toets te drukken. Op de schermafdruk ziet u de commandoregel van de Grafische installatie.

Houd rekening met de systeemvereisten en zorg ervoor dat er minstens twee netwerkkaarten (NIC's) aanwezig zijn, indien u van plan bent om een LTSP-server te installeren.

Sinds de uitgave van Squeeze is het mogelijk om een .iso image voor cd/dvd/blu-ray rechtstreeks te kopiëren naar een USB-stick (ook soms aangeduid met de term "USB flash drive") en hiervan op te starten. Geef eenvoudigweg volgende opdracht, waarbij u de bestandsnaam en de naam aanpast aan uw specifieke situatie:

sudo dd if=debian-edu-amd64-i386-XXX.iso of=/dev/sdX bs=1024

Afhankelijk van het gebruikte image, zal de USB-stick zich gedragen als een cd of een blu-rayschijf.

Deze installatiemethode vereist dat u een werkende hoofdserver heeft. Wanneer clients over het netwerk opstarten, krijgt u een nieuw PXE-menu met installatie- en opstartopties. Indien de installatie via PXE mislukt met de foutmelding dat het bestand XXX.bin ontbreekt, dan is de meest waarschijnlijke oorzaak te vinden in het feit dat voor het functioneren van de netwerkkaart van de client niet-vrije fabrieksprogrammatuur nodig is. In een dergelijk geval moet het initrd-image dat door het installatieprogramma van Debian gebruikt wordt, aangepast worden. Dit doet u door aan de server de volgende opdracht te geven: /usr/share/debian-edu-config/tools/pxe-addfirmware.

Indien u koos voor een Hoofdserver met uitsluitend het hoofdserverprofiel, ziet het menu van PXE er zo uit:

Met de profielen Hoofdserver- en LTSP-server- ziet het menu van PXE er als volgt uit:

Om de bureaubladomgeving van uw keuze te installeren in plaats van die welke standaard ingesteld staat, drukt u op TAB om de opstartparameters van de kernel te bewerken (zoals hierboven uitgelegd).

Een dergelijke opstelling laat toe om ook schijfloze werkstations en thin clients over het hoofdnetwerk op te starten. Anders dan het geval is bij werkstations, moet u schijfloze werkstations niet ingeven in LDAP met GOsa². Maar het is mogelijk om dit toch te doen, bijvoorbeeld als u ze een vaste computernaam wenst te geven.

U vindt bijkomende informatie over netwerkclients in het hoofdstuk HowTo voor netwerkclients.

d-i    pkgsel/include string mijn-extra-pakket(ten)

Zelf een installatie-cd, -dvd of -blu-ray-schijf op maat aanmaken hoeft helemaal niet moeilijk te zijn, aangezien we het installatieprogramma van Debian gebruiken met zijn modulair ontwerp en nog andere fijne eigenschappen. In een bestand met voorgeprogrammeerde configuratieopties kunt u de antwoorden meegeven op vragen die u anders tijdens het installatieproces zouden gesteld worden.

Het enige wat u dus moet doen is een bestand met voorgeprogrammeerde configuratieopties maken dat uw antwoorden bevat (hoe u dit doet, wordt uitgelegd in de bijlage bij de installatiehandleiding voor Debian) en uw eigen cd/dvd op maat aanmaken.

Op de hoofdserver zijn verschillende diensten actief die via een handige webinterface beheerd kunnen worden. Hierna behandelen we elk van deze diensten afzonderlijk.

Nadat u zich bij GOsa² aangemeld heeft, krijgt u de overzichtspagina van het programma.

Vervolgens kunt u in het menu of via het aanklikken van een icoon op de overzichtspagina een taak kiezen. Voor navigatiedoeleinden raden we u het gebruik aan van het menu aan de linkerkant van het scherm, aangezien dat zichtbaar blijft zolang u met de beheerstaken bezig bent, ongeacht op welke specifieke pagina van GOsa² u zich bevindt.

In Debian Edu wordt informatie over accounts, groepen en systemen opgeslagen in een register van LDAP. Deze gegevens worden niet enkel door de hoofdserver gebruikt, maar ook door de (schijfloze) werkstations, de LTSP-servers en de Windowsmachines op het netwerk. Dankzij LDAP moeten de accountgegevens van studenten, leerkrachten, enz., slechts eenmaal ingevoerd worden. Nadat de gegevens in LDAP ingevoerd zijn, staat die informatie ter beschikking van alle systemen op het volledige Skolelinux-netwerk.

GOsa² is een hulpmiddel voor beheerders dat gebruik maakt van LDAP om informatie op te slaan en in een hiërarchisch opgebouwde departementale structuur te ordenen. Binnen elk "departement" kunt u gebruikersaccounts, groepen, systemen, netgroepen, enzoverder toevoegen. Rekening houdend met de organisatiestructuur van uw instelling, kunt u gebruik maken van het departementaal gestructureerde GOsa²/LDAP om die organisatiestructuur over te nemen in de gegevensboom van LDAP op de hoofdserver van Debian Edu.

Een standaardinstallatie van een hoofdserver van Debian Edu kent momenteel, naast het basale niveau van de LDAP-boomstructuur, twee "departementen": Leerkrachten en Studenten. Het is de bedoeling om de accounts voor studenten in het departement "Studenten" aan te maken en die voor leerkrachten in het departement "Leerkrachten"; systemen (servers, werkstations van Skolelinux, Windowscomputers, printers, enzovoort) horen thuis in het basale niveau van de boomstructuur. U kunt zelf een structuurschema ontwikkelen om deze structuur aan uw eigen behoeften aan te passen. (In het hoofdstuk HowTo/AdvancedAdministration van deze handleiding wordt bij wijze van voorbeeld uitgelegd hoe u gebruikers in jaargroepen kunt indelen met voor iedere groep een gemeenschappelijke persoonlijke map.)

Afhankelijk van de taak waaraan u wenst te werken (gebruikersbeheer, groepsbeheer, machinebeheer, enzovoort), zal GOsa² u een aangepast zicht geven op het gekozen departement (of op het basale niveau).

Naast dit navigatie-item uit de boomstructuur ziet u het menu "Acties." Beweeg de muis over dit item en op het scherm wordt een submenu zichtbaar; kies hier "Aanmaken" en vervolgens "Gebruiker." De assistent begeleidt u bij het aanmaken van het gebruikersaccount.

Nadat u de nieuwe gebruiker heeft aangemaakt, klikt u op de knop "Ok" in de rechterbenedenhoek. (Op dit ogenblik moet u zich nog geen zorgen maken over de velden die door de assistent niet ingevuld werden.)

Als laatste stap zal GOsa² u om een wachtwoord voor de nieuwe gebruiker vragen. tik het tweemaal in en klik dan op de knop "Wachtwoord instellen" in de rechterbenedenhoek. Bepaalde lettertekens kunnen niet toegestaan zijn voor gebruik in een wachtwoord.

Als alles naar behoren verliep, kunt u de nieuwe gebruiker nu zien staan in de tabel die de lijst van gebruikers weergeeft. Vanaf nu is het mogelijk om zich met die gebruikersnaam op uw netwerk aan te melden vanaf elke machine van Skolelinux.

Om een gebruiker te wissen of zijn gegevens aan te passen, bladert u met GOsa² door de lijst van gebruikers op uw systeem. In het midden van uw scherm kunt u het "Filter"-kader openen. Dit is een zoekinstrument van GOsa². Indien u zich de exacte plaats van de gebruiker binnen uw boomstructuur niet meer herinnert, daalt u af naar het basisniveau van de GOsa²/LDAP boomstructuur en voert u daar de zoekopdracht in met als aangevinkte optie "zoek in sub-bomen".

Als u het "Filter"-kader gebruikt, wordt het resultaat onmiddellijk zichtbaar middenin de tekst met de uitdraai van de tabel. Iedere regel stelt een gebruikersaccount voor en de meest rechtse items op iedere regel zijn kleine icoontjes die mogelijke acties symboliseren: de regel knippen, de regel kopiëren, de gegevens van deze gebruiker bewerken, het account blokkeren, een wachtwoord instellen, een momentopname maken (kan niet gebruikt worden) en de gebruiker verwijderen.

U krijgt een nieuw scherm, waarin u de informatie over de gebruiker rechtstreeks kunt bewerken, zijn wachtwoord kunt wijzigen en wijzigingen kunt aanbrengen in de lijst van groepen waarvan hij lid is,

Studenten kunnen hun eigen wachtwoord wijzigen door zich met hun eigen gebruikersnaam bij GOsa² aan te melden. Om de toegang tot GOsa² te vergemakkelijken is een item Gosa te vinden in het menu Systeem (of Systeeminstellingen) van het bureaublad. Een aangemelde student krijgt een heel minimale versie van GOsa² te zien, die hem enkel toegang verschaft tot de gegevens betreffende zijn eigen account en tot het dialoogvenster wachtwoord instellen.

Leerkrachten die zich met hun eigen account aanmelden bij GOsa² hebben bijzondere rechten. Ze krijgen een meer uitgebreide versie van GOsa² te zien en kunnen het wachtwoord van alle studenten wijzigen. Dit kan erg handig zijn tijdens de les.

Als beheerder een nieuw wachtwoord instellen voor een gebruiker

Wees u bewust van de mogelijke veiligheidsrisico's bij het gebruiken van gemakkelijk te raden wachtwoorden!

Met GOsa² is het mogelijk om in een keer een heleboel gebruikersaccounts aan te maken door middel van een CSV-bestand, dat u kunt aanmaken met behulp van elk goed rekenbladprogramma (bijvoorbeeld localc). De gegevens van minstens de volgende velden moeten ingevuld worden: gebruikersidentificatie (uid), familienaam (sn), voornaam (givenName) en wachtwoord. Draag er zorg voor dat er geen uid-velden zijn met identieke inhoud. Daarbij moet u ook rekening houden met de inhoud van de reeds in LDAP aanwezige uid-velden (een overzicht daarvan kunt u krijgen door aan de commandolijn de opdracht getent passwd | grep tjener/home | cut -d":" -f1 in te geven).

Zo een CSV-bestand moet het volgende formaat hebben (wat dat betreft gedraagt GOsa² zich niet echt tolerant):

Het importeren omvat volgende stappen:

U doet er goed aan eerst een test te doen met een CSV-bestand waarmee u enkele fictieve gebruikers aanmaakt, die u nadien terug kunt verwijderen.

# Toon de lijst van bestaande UNIX-groepen en de overeenkomstige Windowsgroepen.
net groupmap list

# Voeg uw nieuwe groepen of andere ontbrekende groepen toe:
net groupmap add unixgroup=NIEUWE_GROEP type=domain ntgroup="NIEUWE_GROEP"\
                 comment="BESCHRIJVING VAN DE NIEUWE_GROEP"

Machines zoeken en verwijderen gelijkt erg op gebruikers zoeken en verwijderen, zodat het niet nodig is om hier nogmaals op in te gaan.

Nadat u met behulp van GOsa² een machine hebt ingevoerd in de boomstructuur van LDAP, kunt u de kenmerken ervan wijzigen. U gebruikt daarvoor de zoekfunctie en klikt vervolgens op de naam van de machine (net zoals u bij gebruikers zou doen).

Het model dat voor de registratie van systemen gebruikt wordt, is gelijkaardig aan dat voor het bewerken van kenmerken van gebruikers, wat u reeds kent. Alleen hebben de velden in deze context een andere betekenis.

Een machine toevoegen aan een Netgroep (NetGroup) bijvoorbeeld, verandert voor die machine of voor de gebruikers die er zich op aanmelden, niets aan hun rechten op toegang tot bestanden en aan hun permissie om bepaalde opdrachten uit te voeren. Het legt daarentegen beperkingen op met betrekking tot de diensten die deze machine op de hoofdserver kan aanspreken.

De volgende NetGroups (netgroepen) worden aangemaakt door de standaardinstallatie

Momenteel gebruiken we deze NetGroup-functionaliteit voor

Een ander belangrijk aspect van het configureren van machines, is de optie 'Samba host' (in het gebied 'Host information'). Indien u van plan bent om bestaande Windowscomputers toe te voegen aan het Sambadomein van Skolelinux, dan moet u die Windowscomputer invoegen in de boomstructuur van LDAP en deze optie activeren, anders kan die Windowscomputer niet toegevoegd worden aan het Sambadomein. Raadpleeg het hoofdstuk HowTo/NetwerkClients van deze handleiding voor meer informatie over het toevoegen van Windowscomputers aan het netwerk van Skolelinux.

Het uitvoeren van cron-apt zoals hiervoor uitgelegd, is een goede manier om op de hoogte te blijven van beschikbare beveiligingsbijwerkingen voor op het systeem geïnstalleerde pakketten. Een andere manier om daarover op de hoogte te blijven is zich abonneren op de verzendlijst Debian security-announce. Dit heeft het voordeel dat u ook weet wat de beveiligingsbijwerking precies inhoudt. Het nadeel (vergeleken met cron-apt) is, dat u ook geïnformeerd wordt over bijwerkingen voor pakketten die niet geïnstalleerd zijn op uw systeem.

Munin, het systeem voor het opvolgen van tendensen, bevindt zich op het webadres https://www/munin/. Het geeft meetresultaten weer in verband met de toestand van het systeem, opgemaakt per dag, per week, per maand, of op jaarbasis. Het biedt de systeembeheerder ook hulp bij het zoeken naar de oorzaak van knelpunten of problemen in het systeem.

Een lijst van machines die opgevolgd worden met Munin wordt automatisch gegenereerd op basis van de lijst van computers die rapporteren aan sitesummary. Alle computers waarop het pakket munin-node geïnstalleerd werd, worden opgenomen in het opvolgingssysteem van Munin. Normaal gezien verloopt er een dag tussen de installatie van een machine en het moment waarop de opvolging ervan door Munin begint. Dit houdt verband met de volgorde waarin crontaken uitgevoerd worden. Om dit proces te versnellen geeft u op de sitesummary-server (gewoonlijk de hoofdserver) als systeembeheerder de opdracht sitesummary-update-munin. Daardoor wordt het bestand /etc/munin/munin.conf geactualiseerd.

Welk geheel van metingen uitgevoerd moet worden, wordt op elke machine automatisch gegenereerd met het programma munin-node-configure, dat nagaat welke plug-ins er in /usr/share/munin/plugins/ aanwezig zijn en dan in /etc/munin/plugins/ een symbolische koppeling maakt naar die welke relevant zijn.

Meer informatie over Munin is te vinden op http://munin-monitoring.org/.

Icinga, een gereedschap voor het opvolgen van diensten en systemen, is te vinden op https://www/icinga/. Welke machines en diensten opgevolgd worden, wordt automatisch gegenereerd op basis van de informatie die door het sitesummary-systeem verzameld wordt. Machines met het profiel Hoofdserver of LTSP-server krijgen een volledige opvolging. Werkstations en thin clients krijgen een gereduceerde opvolging. Om voor een bepaald werkstation een volledige opvolging mogelijk te maken moet u er het pakket nagios-nrpe-server op installeren.

De gebruikersnaam is icingaadmin en het wachtwoord is standaard ingesteld op skolelinux. Tracht uit veiligheidsoverwegingen te vermijden om hetzelfde wachtwoord te gebruiken als voor de systeembeheerder. Om het wachtwoord te wijzigen, geeft u als systeembeheerder de volgende opdracht:

htpasswd /etc/icinga/htpasswd.users icingaadmin

Standaard zal Icinga geen e-mailberichten versturen. Dit kan veranderd worden door in het bestand /etc/icinga/sitesummary-template-contacts.cfg de tekst notify-by-nothing te vervangen door host-notify-by-email en notify-by-email.

Het configuratiebestand van Icinga is /etc/icinga/sitesummary.cfg. De crontaak sitesummary genereert het bestand /var/lib/sitesummary/icinga-generated.cfg dat een lijst bevat van op te volgen machines en diensten.

Bijkomende controles die moeten uitgevoerd worden door Icinga, kunt u toevoegen aan het bestand /var/lib/sitesummary/icinga-generated.cfg.post, zodat ze ook toegevoegd worden aan het gegenereerde bestand.

Informatie over Icinga vindt u op http://www.icinga.com/ of in het pakket icinga-doc.

Sitesummary wordt gebruikt om de informatie die op iedere computer verzameld wordt, naar de hoofdserver te sturen. De verzamelde informatie staat in /var/lib/sitesummary/entries/. Met de scripts in /usr/lib/sitesummary/ kunnen rapporten opgemaakt worden.

Een eenvoudig rapport van sitesummary zonder details kan geraadpleegd worden op https://www/sitesummary/.

Documentatie over sitesummary is te vinden op http://wiki.debian.org/DebianEdu/HowTo/SiteSummary.

apt update
apt full-upgrade

apt-get clean

# Vooreerst de aanpassing aan de gewijzigde profielnaam doorvoeren:
sed -i 's/Thin-Client-Server/LTSP-Server/' /etc/debian-edu/config
# Vervolgens is het best om de nieuwe standaard spiegelserver te gebruiken:
sed -i 's/http.debian.net/deb.debian.org/g' /etc/apt/sources.list
# Tenslotte moet u jessie door stretch vervangen.
sed -i 's/jessie/stretch/g' /etc/apt/sources.list
apt update
apt full-upgrade

service squid stop          # Dit heeft meestal wat tijd nodig!
rm -rf /var/spool/squid
umount /var/spool/squid3
sed -i 's#spool/squid3#spool/squid#' /etc/fstab
mv /var/spool/squid3 /var/spool/squid
mount -a
rm /etc/squid3 -rf
rm /etc/default/squid3 -rf

ldapvi -ZD '(cn=admin)'
(Voer het wachtwoord van root (de systeembeheerder) in.)
Zoek naar 'sudoHost :tjener', vervang 'tjener' met 'tjener.intern'
(Voer 'y' in om de LDAP databank te wijzigen.)

service autofs stop
cfengine-debian-edu -D installation
rm /etc/apache2/conf-enabled/nagios3.conf
a2dismod userdir
ln -s /etc/apache2/mods-available/userdir.load /etc/apache2/mods-available/debian-edu-userdir.load
a2enmod debian-edu-userdir
sed -i 's/udp4/udp/' /etc/inetd.conf   # Debian Bug #789667 (atftpd)
service squid start
service apache2 restart

apt update
apt install education-networked-common
apt install education-ltsp-server      # Enkel indien het profiel 'LTSP-Server' geïnstalleerd is.

apt install debian-edu-artwork-softwaves

apt purge linux-image-3.16.0-4-amd64 
apt purge debian-edu-artwork-lines     # Enkel indien u het niet als een alternatieve stijl wilt gebruiken.
dpkg -P php5-imagick                   # Mogelijk is niet in alle gevallen het pakket geïnstalleerd.
rm -rf /etc/php5

a2enmod php7.0                            
service apache2 restart

Herstart; log in als eerste gebruiker en test

Voer alle basiszaken uit net als op de hoofdserver, zonder evenwel die zaken die niet nodig zijn. Doe daarenboven de volgende dingen.

rm /etc/ldap/ssl/ldap-server-pubkey.pem
service nslcd stop
service fetch-ldap-cert restart
service nslcd start

Zorg ervoor dat u over voldoende schijfruimte beschikt. LTSP gebruikt nu Network Block Device (NBD). De grootte van het NBD-imagebestand is ongeveer 4 GiB (standaardinstallatie). Indien het image opgewaardeerd wordt is een extra 4 GiB nodig voor een tijdelijk bestand.

ltsp-chroot -m -a i386 apt update
ltsp-chroot -m -a i386 apt -y full-upgrade
sed -i 's/jessie/stretch/g' /opt/ltsp/i386/etc/apt/sources.list
ltsp-chroot -m -a i386 apt update
ltsp-chroot -m -a i386 apt -y full-upgrade
ltsp-chroot -m -a i386 apt -f install
ltsp-chroot -m -a i386 apt -y full-upgrade

ltsp-chroot -m -a i386 apt --purge autoremove

ltsp-update-kernels
ltsp-update-sshkeys
ltsp-update-image

Om schijfruimte te besparen kunt u in plaats daarvan ltsp-update-image -n gebruiken; zie man ltsp-update-image.

Op de LTSP-server(s) zou de LTSP-chroot opnieuw aangemaakt kunnen worden. De nieuwe chroot zal nog steeds zowel thin clients als schijfloze werkstations ondersteunen.

Verwijder /opt/ltsp/i386 (of /opt/ltsp/amd64, afhankelijk van uw opstelling). Neem zeker in overweging om eerst een veiligheidskopie te maken als u over voldoende opslagruimte beschikt.

Maak de chroot opnieuw aan door als systeembeheerder (root) de opdracht debian-edu-ltsp --arch i386 (of debian-edu-ltsp --arch amd64) uit te voeren.

Om op een recent geïnstalleerd systeem te bekijken welke wijzigingen er doorgevoerd werden sinds de installatie, gebruikt u deze opdracht:

etckeeper vcs log

Om na te gaan welke bestanden momenteel niet opgevolgd worden en welke niet bijgewerkt zijn, gebruikt u de opdracht:

etckeeper vcs status

Om de wijzigingen aan een bestand (resolv.conf in het voorbeeld) manueel vast te leggen, omdat u er geen volledig uur meer op kunt wachten, geeft u de opdracht:

etckeeper vcs commit -a /etc/resolv.conf

Het systeem van "Logical Volume Management" (LVM) laat toe om de grootte van partities aan te passen terwijl ze aangekoppeld en in gebruik zijn. U kunt meer te weten komen over LVM op de webpagina LVM HowTo.

Om een logische gegevensdrager manueel groter te maken, moet u gewoon aan de opdracht lvextend laten weten welke grootte u wenst. Om bijvoorbeeld de grootte van home0 uit te breiden tot 30 GB gebruikt u de volgende commando's:

lvextend -L30G /dev/vg_system/skole+tjener+home0
resize2fs /dev/vg_system/skole+tjener+home0

Om aan home0 30 GB extra toe te wijzen, voegt u een '+' toe (-L+30G)

Ofwel geeft u op clients die 's nachts uitgezet moeten worden, de opdracht touch /etc/shutdown-at-night/shutdown-at-night, ofwel voegt u de naam van de computer (dat is de uitvoer van het commando 'uname -n' op de client) toe aan de netgroep "shutdown-at-night-hosts". Computers toevoegen aan die netgroep in LDAP doet u met het webhulpmiddel GOsa². Het kan nodig zijn om bij de clients in het BIOS de functionaliteit wake-on-lan te configureren. Het is ook belangrijk dat de switches en routers die tussen de server en de clients geplaatst staan, de WOL-pakketten op een correcte manier aan de clients doorgeven, ook al zijn de clients uitgeschakeld. Sommige switches kunnen geen pakketten doorgeven aan clients die ontbreken in de ARP-tabel van de switch, hetgeen een blokkade opwerpt voor de WOL-pakketten.

Om op de server wake-on-lan in te stellen, voegt u de clients toe aan de lijst /etc/shutdown-at-night/clients. U gebruikt voor elke client een aparte regel in het bestand. Op die regel komt eerst het IP-adres en dan het MAC-adres (ethernet-adres), van elkaar gescheiden door een spatie. U kunt ook het script /etc/shutdown-at-night/clients-generator aanmaken om de lijst van clients op het moment zelf te laten genereren.

Hier is een voorbeeld van het script /etc/shutdown-at-night/clients-generator dat gebruik maakt van sitesummary:

  #!/bin/sh
  PATH=/usr/sbin:$PATH
  export PATH
  sitesummary-nodes -w

Indien de netgroep gebruikt wordt om shutdown-at-night op de clients te activeren, vormt het volgende script een alternatief. Het maakt gebruik van het netgroephulpmiddel uit het pakket ng-utils:

  #!/bin/sh
  PATH=/usr/sbin:$PATH
  export PATH
  netgroup -h shutdown-at-night-hosts

In dit voorbeeld willen we gebruikersgroepen maken per jaartal met door de groep gedeelde persoonlijke mappen (home0/2014, home0/2015, enz.). We willen de gebruikers aanmaken via het importeren van een csv-bestand.

(als systeembeheerder op de hoofdserver)

mkdir /skole/tjener/home0/2014

(als systeembeheerder in Gosa)

Kies in het hoofdmenu 'Registerstructuur' en klik de afdeling 'Studenten' aan. In het veld 'Basis' hoort '/Studenten' te staan. In het uitklapkader 'Acties' kiest u 'Aanmaken'/'Afdeling'. Geef waarden in voor de velden Naam (2014) en Beschrijving (studenten die in 2014 afstuderen), laat het veld 'Basis' ongewijzigd (daar zou '/Studenten' moeten staan). Bewaar door op 'Ok' te klikken. Nu zou de nieuwe afdeling (2014) zichtbaar moeten zijn onder /Studenten. Klik er op.

Kies in het hoofdmenu 'Groups' en kies vervolgens 'Actions'/Create/Group. Voer een naam in voor de groep (laat 'Base' zoals het is. Er zou moeten staan /Studenten/2014) en vink het keuzevakje links van 'Samba group' aan. Klik op 'Ok' om te bewaren.

Kies 'users' (gebruikers) in het hoofdmenu. Ga nu in het veld 'Base' naar 'Students'. Nu zou een item 'NewStudent' zichtbaar moeten worden. Klik het aan. Dit is het sjabloon voor 'studenten', geen echte gebruiker. U zult aan de hand van dit voorbeeld een gelijkaardig sjabloon moeten aanmaken (om de gegevens in uw registerstructuur te kunnen importeren via een csv-bestand). Noteer daarom alle items die u ziet staan in de tabbladen Generic, POSIX en Samba of maak er een schermafdruk van om de inhoud voor het nieuwe sjabloon bij de hand te hebben.

Ga nu in het veld 'Base' naar /Studenten/2014. Kies Aanmaken/Sjabloon en begin met het ingeven van de gewenste waarden, eerst voor het tabblad Algemeen (voeg ook uw nieuwe groep 2014 toe aan het veld 'Groepslidmaatschap') en nadien voor de tabbladen POSIX en Samba-account.

Kies uw nieuw sjabloon bij het uitvoeren van de gegevensimport vanuit uw csv-bestand. Eerst een test doen met enkele gebruikers wordt aangeraden.

Met het volgende script kan de systeembeheerder een map aanmaken in de persoonlijke map van elke gebruiker en instellen wie de eigenaar ervan is en welke toegangsrechten gelden.

In het onderstaande voorbeeld wordt in de persoonlijke map een map "taken" aangemaakt, met leerkrachten als groepseigenaar en met 2770 als toegangsrechten. Een student kan dan zijn taak inleveren door zijn bestand te bewaren in deze map en leerkrachten kunnen in die taak hun commentaar toevoegen omdat ze schrijfrechten hebben.

 #!/bin/bash
 home_path="/skole/tjener/home0"
 shared_folder="taken"
 permissions="2770"
 created_dir=0
 for home in $(ls $home_path); do
    if [ ! -d "$home_path/$home/$shared_folder" ]; then
        mkdir $home_path/$home/$shared_folder
        chmod $permissions $home_path/$home/$shared_folder
        #set the right owner and group
        #"username" = "group name" = "folder name"
        user=$home
        group=teachers
        chown $user:$group $home_path/$home/$shared_folder
        ((created_dir+=1))
    else
        echo -e "de map $home_path/$home/$shared_folder bestaat al.\n"
    fi
 done
 echo "$created_dir mappen werden aangemaakt."

Indien gebruikers een USB-stick of een dvd/cd plaatsen in een (schijfloos) werkstation, wordt een pop-upvenster zichtbaar met de vraag wat ermee moet gebeuren, net zoals dat het geval is bij om het even welke gewone installatie.

Indien gebruikers een USB-stick of een dvd/cd plaatsen in een thin-client, wordt er gedurende enkele seconden een aankondigingsvenster zichtbaar. Het medium wordt automatisch aangekoppeld en u heeft er toegang toe via de map /media/$gebruiker. Veel ongeoefende gebruikers ervaren dit als behoorlijk moeilijk.

U kunt ook maken dat het standaardprogramma voor bestandsbeheer, Dolfijn, van KDE "Plasma" een venster opent. KDE "Plasma" (of LDXE als het parallel met KDE "Plasma" geïnstalleerd werd) moet dan als bureaubladomgeving in gebruik zijn. Om dit effect te bekomen moet u gewoon op de terminalserver het commando /usr/share/debian-edu-config/ltspfs-mounter-kde enable ingeven. (Indien GNOME als bureaubladomgeving gebruikt wordt, maken icoontjes op het bureaublad een gemakkelijke toegang mogelijk.)

Bijkomend kunt u het volgende script gebruiken om in de persoonlijke map van alle gebruikers een symbolische koppeling "media" aan te maken en zo de toegang te vergemakkelijken tot USB-sticks, cd's/dvd's of andere media die aan de thin-client aangekoppeld worden. Dit kan zeer handig zijn als gebruikers rechtstreeks in bestanden willen werken die op een dergelijk medium staan.

 #!/bin/bash
 home_path="/skole/tjener/home0"
 shared_folder="media"
 permissions="775"
 created_dir=0;
 for home in $(ls $home_path); do
    if [ ! -d "$home_path/$home/$shared_folder" ]; then
        ln -s /media/$home $home_path/$home/$shared_folder
        ((created_dir+=1))
    else
        echo -e "de map $home_path/$home/$shared_folder bestaat reeds.\n"
    fi
 done
 echo "$created_dir mappen werden aangemaakt"

Indien er geen gebruik gemaakt wordt van LTSP-clients, bestaat een eenvoudige oplossing erin een nieuwe groep aan te maken (bijvoorbeeld sshgebruikers) en een regel toe te voegen in het bestand /etc/ssh/sshd_config op de computer. Enkel leden van de groep sshgebruikers zullen dan de toelating hebben om zich van om het even waar via ssh op de computer aan te melden.

Een dergelijke situatie beheren is heel eenvoudig met GOsa:

De standaardinstelling is dat een LTSP-client ssh gebruikt om de verbinding met de LTSP-server te maken. Daarom is een andere benadering die gebruik maakt van PAM hier nodig.

+ : alice jane bob john : ALL
+ : ALL : 10.0.0.0/8 192.168.0.0/24 192.168.1.0/24
- : ALL : ALL
#

Indien enkel voorbehouden LTSP-servers gebruikt worden, kunt u het netwerk 10.0.0.0/8 weglaten om de mogelijkheid uit te schakelen dat men zich intern via ssh aanmeldt. Noteer dat iemand die zijn computer aankoppelt op een gereserveerd netwerk van LTSP-clients meteen ook toegang heeft tot de LTSP-server via ssh.

Indien er LTSP-clients aangekoppeld zijn op het hoofdnetwerk 10.0.0.0/8 (bij een combiserver- of LTSP-cluster-opstelling) worden de zaken zelfs nog gecompliceerder. Wellicht is het dan enkel mogelijk om te verhinderen dat men zich intern via ssh aanmeldt door gebruik te maken van een gesofisticeerde DHCP-configuratie (in LDAP), waarbij de zogenaamde 'vendor-class-identifier' gecontroleerd wordt, in combinatie met een passende PAM configuratie.

Each LTSP server has two ethernet interfaces: one configured in the main 10.0.0.0/8 subnet (which is shared with the main server), and another forming a local 192.168.0.0/24 subnet (a separate subnet for each LTSP server).

On the main subnet the complete PXE menu is provided; the separate subnet for each LTSP server allows only diskless and thin LTSP client selection.

Using the default PXE menu on the main subnet 10.0.0.0/8, a machine could be started as diskless workstation or thin client. By default clients in the separate subnet 192.168.0.0/24 will run as diskless workstations if the amount of RAM is sufficient. If all clients in this LTSP client subnet should run as thin clients, the following has to be done.

(1)Open the file /opt/ltsp/i386/etc/ltsp/update-kernels.conf with an editor
and replace the line
CMDLINE_LINUX_DEFAULT="init=/sbin/init-ltsp quiet"
with
CMDLINE_LINUX_DEFAULT="init=/sbin/init-ltsp LTSP_FATCLIENT=False quiet"
(2)Execute 'ltsp-chroot -a i386 /usr/share/ltsp/update-kernels'
(3)Execute 'ltsp-update-kernels'
(4)Execute 'ltsp-update-image'

The PXE installation option is by default available to anyone able to PXE boot a machine. To password protect the PXE installation options, a file /var/lib/tftpboot/menupassword.cfg can be created with content similar to this:

MENU PASSWD $4$NDk0OTUzNTQ1NTQ5$7d6KvAlVCJKRKcijtVSPfveuWPM$

The password hash should be replaced with an MD5 hash for the desired password.

The PXE installation will inherit the language, keyboard layout and mirror settings from the settings used when installing the main-server, and the other questions will be asked during installation (profile, popcon participation, partitioning and root password). To avoid these questions, the file /etc/debian-edu/www/debian-edu-install.dat can be modified to provide preselected answers to debconf values. Some examples of available debconf values are already commented in /etc/debian-edu/www/debian-edu-install.dat. Your changes will be lost as soon as debian-edu-pxeinstall is used to recreate the PXE-installation environment. To append debconf values to /etc/debian-edu/www/debian-edu-install.dat during recreation with debian-edu-pxeinstall, add the file /etc/debian-edu/www/debian-edu-install.dat.local with your additional debconf values.

More information about modifying PXE installations can be found in the Installation chapter.

For adding a custom repository add something like this to /etc/debian-edu/www/debian-edu-install.dat.local:

#add the skole projects local repository
d-i     apt-setup/local1/repository string      http://example.org/debian stable main contrib non-free
d-i     apt-setup/local1/comment string         Example Software Repository
d-i     apt-setup/local1/source boolean         true
d-i     apt-setup/local1/key    string          http://example.org/key.asc

and then run /usr/sbin/debian-edu-pxeinstall once.

The PXE menu allows network booting of LTSP clients, the installer and other alternatives. The file /var/lib/tftpboot/pxelinux.cfg/default is used by default if no other file in that directory matches the client, and out of the box it is set to link to /var/lib/tftpboot/debian-edu/default-menu.cfg.

If all clients should boot as diskless workstations instead of getting the full PXE menu, this can be implemented by changing the symlink:

ln -s /var/lib/tftpboot/debian-edu/default-diskless.cfg /var/lib/tftpboot/pxelinux.cfg/default

If all clients should boot as thin clients instead, change the symlink like this:

ln -s /var/lib/tftpboot/debian-edu/default-thin.cfg /var/lib/tftpboot/pxelinux.cfg/default

See also the PXELINUX documentation at http://syslinux.zytor.com/wiki/index.php/PXELINUX .

For performance and security considerations it might be desired to set up a separate main server which doesn't act as LTSP server.

To have ltspserver00 serve diskless workstations on the main (10.0.0.0/8) network, when the main server is not a combined server, follow these steps:

 DEFAULT ltsp/i386/vmlinuz initrd=ltsp/i386/initrd.img nfsroot=10.0.2.10:/opt/ltsp/i386 init=/sbin/init-ltsp boot=nfs ro quiet ipappend 2

As an alternative, you could use ldapvi, search for 'next server tjener' and replace tjener with ltspserver00.

192.168.0.0/24 is the default LTSP client network if a machine is installed using the LTSP profile. If lots of LTSP clients are used or if different LTSP servers should serve both i386 and amd64 chroot environments the second preconfigured network 192.168.1.0/24 could be used as well. Edit the file /etc/network/interfaces and adjust the eth1 settings accordingly. Use ldapvi or any other LDAP editor to inspect DNS and DHCP configuration.

To configure specific thin clients with particular features, you can add settings in LDAP or edit the file /opt/ltsp/i386/etc/lts.conf. Please note that ltsp-update-image has to be run after each change to lts.conf. The image update isn't needed if lts.conf is copied to the /var/lib/tftpboot/ltsp/i386/ directory.

We recommend to configure clients in LDAP (and not edit lts.conf directly, however, configuration webforms for LTSP are currently not available in GOsa², you have to use a plain LDAP browser/explorer or ldapvi), as this makes it possible to add and/or replace LTSP servers without loosing (or having to redo) configuration.

The default values in LDAP are defined in the cn=ltspConfigDefault,ou=ltsp,dc=skole,dc=skolelinux,dc=no LDAP object using the ltspConfig attribute. One can also add host specific entries in LDAP.

Run man lts.conf to have a look at available configuration options (see /usr/share/doc/ltsp/LTSPManual.html for detailed information about LTSP).

The default values are defined under [default]; to configure one client, specify it in terms of its MAC address or IP address like this: [192.168.0.10].

Example: To make the thin client ltsp010 use 1280x1024 resolution, add something like this:

[192.168.0.10]
X_MODE_0 = 1280x1024
X_HORZSYNC = "60-70"
X_VERTREFRESH = "59-62"

somewhere below the default settings.

To force the use of a specific xserver on an LTSP client, set the XSERVER variable. For example:

[192.168.0.11]
XSERVER = nvidia

If a thin client comes up with a black screen the use of a specific color depth might help. For example:

[192.168.0.12]
X_COLOR_DEPTH=16

Depending on what changes you make, it may be necessary to restart the client.

To use IP addresses in lts.conf you need to add the client MAC address to your DHCP server. Otherwise you should use the client MAC address directly in your lts.conf file.

Make sure that LXDE is installed on the LTSP server; then add these lines below [default] in "lts.conf":

LDM_SESSION=LXDE
LDM_FORCE_SESSION=true

LTSP thin clients use networked audio to pass audio from the server to the clients.

LTSP diskless workstations handle audio locally.

It is useful to upgrade the LTSP environment with new packages fairly often, to make sure security fixes and improvements are made available. To upgrade, run these commands as user root on each LTSP server:

ltsp-chroot -a i386  # this does "chroot /opt/ltsp/i386" and more, ie it also prevents daemons from being started
apt update
apt upgrade
apt full-upgrade
exit
ltsp-update-image

ltsp-chroot -a i386
## optionally, edit the sources.list:
#editor /etc/apt/sources.list
apt update
apt install $new_package
exit
ltsp-update-image

Skolelinux has added several security features on the client network preventing unauthorised superuser access, password sniffing, and other tricks which may be used on a local network. One such security measure is secure login using SSH, which is the default with LDM. This can slow down some client machines which are more than about fifteen years old, with as little as a 160 MHz processor and 32 MB RAM. Although it's not recommended, you can add a line to /opt/ltsp/i386/etc/lts.conf containing:

LDM_DIRECTX=True

Warning: The above protects initial login, but all activities after that use unencrypted networked X. Passwords (except the initial one) will travel in cleartext over the network, as well as anything else.

Note: Since such fifteen-year-old thin clients may also have trouble running newer versions of LibreOffice and Firefox due to pixmap caching issues, you may consider running thin clients with at least 128 MB RAM, or upgrade the hardware, which will also give you the benefit of being able to use them as diskless workstations.

For Windows clients the Windows domain "SKOLELINUX" is available to be joined. A special service called Samba, installed on the main server, enables Windows clients to store profiles and user data, and also authenticates the users during the login.

Joining a domain with a Windows client requires the steps described in the Debian Edu Stretch Samba Howto.

Windows will sync the profiles of domain users on every Windows login and logout. Depending on how much data is stored in the profile, this could take some time. To minimise the time needed, deactivate things like local cache in browsers (you can use the Squid proxy cache installed on the main server instead) and save files into the H: volume rather than under "My Documents".

Users bringing in their XP laptops from home can still connect to the main server using their skolelinux credentials, provided the workgroup is set to SKOLELINUX. However, they may need to disable the Windows firewall before the main server will appear in Network Neighbourhood (or whatever it's called now).

Roaming profiles contain user work environments which include desktop items and settings. Examples include personal files, desktop icons and menus, screen colours, mouse settings, window size and position, application configurations, and network and printer connections. Roaming profiles are available wherever the user logs on, provided the server is available.

Since the profile is copied from the server to the machine during logon, and copied back to the server during logout, a large profile can make Windows login/logout painfully slow. There can be many reasons for a large profile, but the most common problem is that users save their files on the Windows desktop or in the "My Documents" folder instead of in their home directory. Also, some badly designed programs use the profile to store data and as scratch space.

The educational approach: one way to deal with overlarge profiles is to explain the situation to the users. Tell them not to store huge files on the desktop, and if they fail to listen, it's their own fault when login is slow.

Tweaking the profile: a different approach to dealing with the problem is to remove parts of the profile, and redirect other parts to regular file storage. This moves the workload from the users to the administrator, while adding complexity to the installation. There are at least three ways to edit the parts that are removed from the roaming profile.

Sometimes just removing directories from the profile is not enough. You may find that users lose files because they mistakenly save things into "My Documents" when this is not saved in the profiles. You may also want to redirect the directories used by some badly programmed applications to normal network shares.

Choosing the LTSP server profile or the combined server profile also installs xrdp, a package which uses the Remote Desktop Protocol to present a graphical login to a remote client. Microsoft Windows users can connect to the LTSP server running xrdp without installing additional software - they simply start a Remote Desktop Connection on their Windows machine and connect.

Additionally, xrdp can connect to a VNC server or another RDP server.

Some municipalities provide a remote desktop solution so that students and teachers can access Skolelinux from their home computer running Windows, Mac or Linux.

Xrdp comes without sound support; to compile the required modules this script could be used.

 #!/bin/bash
 # Script to compile / recompile xrdp PulseAudio modules.
 # The caller needs to be root or a member of the sudo group.
 # Also, /etc/apt/sources.list must contain a valid deb-src line.
 set -e
  if [[ $UID -ne 0 ]] ; then  
     if ! groups | egrep -q sudo ; then
         echo "ERROR: You need to be root or a sudo group member."
         exit 1
     fi
 fi
 if ! egrep -q  ^deb-src /etc/apt/sources.list ; then
     echo "ERROR: Make sure /etc/apt/sources.list contains a deb-src line."
     exit 1
 fi
 TMP=$(mktemp -d)
 PULSE_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' pulseaudio)"
 XRDP_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' xrdp)"
 sudo apt -q update
 # Get sources and build dependencies:
 sudo apt -q install dpkg-dev
 cd $TMP
 apt -q source pulseaudio xrdp
 sudo apt -q build-dep pulseaudio xrdp
 # For pulseaudio 'configure' is all what is needed:
 cd pulseaudio-$PULSE_UPSTREAM_VERSION/
 ./configure
 # Adjust pulseaudio modules Makefile (needs absolute path)
 # and build the pulseaudio modules.
 cd $TMP/xrdp-$XRDP_UPSTREAM_VERSION/sesman/chansrv/pulse/
 sed -i 's/^PULSE/#PULSE/' Makefile
 sed -i "/#PULSE_DIR/a \
 PULSE_DIR = $TMP/pulseaudio-$PULSE_UPSTREAM_VERSION" Makefile
 make
 # Copy modules to Pulseaudio modules directory, adjust rights.
 sudo cp *.so /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/
 sudo chmod 644 /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/module-xrdp*
 # Restart xrdp, now with sound enabled.
 sudo service xrdp restart

Student and teacher user accounts that have been configured via GOsa² should be able to authenticate against \\TJENER\HOMES or \\TJENER\<username> and access their home directories with Windows machines not joined to the Windows SKOLELINUX domain.

By default only the [homes] and the [netlogon] shares are exported; further share examples for students and teachers can be found in /etc/samba/smb-debian-edu.conf on your Debian Edu main server.

Make sure your Windows machine has the name that you want to use in the SKOLELINUX domain. If not, rename it first (and then reboot). The NetBIOS host name of the Windows machine will later on be used in GOsa² and cannot be changed there (without breaking the domain membership for this machine).

Joining Windows XP machines (tested with Service Pack 3) works out of the box.

NOTE: Windows XP Home does not support domain membership; Windows XP Professional is required here.

After the reboot, when you login the first time, click on the "Options >>" button and select the domain SKOLELINUX instead of the local domain ("this computer").

If joining the domain has been successful you should then be able to view the host details within GOsa² (under the menu section "Systems").

Joining Windows Vista/7 machines to the SKOLELINUX domain requires the installation of a registry patch on the Windows Vista/7 client. This patch is provided at this location:

For further information please consult the included README_Win7-Domain-Membership.txt in the same folder. Make sure you apply this patch as a local Administrator of the Windows system.

After applying the above patch and rebooting the client system you should be able to join the SKOLELINUX domain:

After the reboot, when you login the first time, click on the "Options >>" button and select the domain SKOLELINUX instead of the local domain ("this computer").

If joining the domain has been successful you should then be able to view the host details within GOsa² (under the menu section "Systems").

Standalone Java applications are supported out of the box by the OpenJDK Java runtime.

Running Java applets is supported in the Firefox ESR browser by the OpenJDK Java runtime. Please note that this support will end early 2018.

If working on a diskless workstation, you don't have a Kerberos TGT by default. To get one, click the credentials button in the system tray. Enter your password and the ticket will be granted.

As in many free software projects, translations of this document are kept in PO files. More information about the process can be found in /usr/share/doc/debian-edu-doc/README.debian-edu-stretch-manual-translations. The Git repository (see below) contains this file too. Take a look there and at the language specific conventions if you want to help translating this document.

To commit your translations you need to be a member of the Salsa project debian-edu.

Then check out the debian-edu-doc source using ssh access: git clone git@salsa.debian.org:debian-edu/debian-edu-doc.git

If you only want to translate, you need to check out only a few files from Git (which can be done anonymously). Please file a bug against the debian-edu-doc package and attach the PO file to the bugreport. See instructions on how to submit bugs for more information.

You can check out the debian-edu-doc source anonymously with the following command (you need to have the git package installed for this to work):

Then edit the file documentation/debian-edu-stretch/debian-edu-stretch-manual.$CC.po (replacing $CC with your language code). There are many tools for translating available; we suggest using lokalize.

Then you either commit the file directly to Git (if you have the rights to do so) or send the file to the bugreport.

To update your local copy of the repository use the following command inside the debian-edu-doc directory:

Read /usr/share/doc/debian-edu-doc/README.debian-edu-stretch-manual-translations to find information how to create a new PO file for your language if there isn't one yet, and how to update translations.

Please keep in mind that this manual is still under development, so don't translate any string which contains " FIXME".

Basic information about Salsa (the host where our Git repository is located) and Git is available at https://wiki.debian.org/Salsa.

If you are new to Git, look at the Pro Git book; it has a chapter on the recording changes to the repository. Also you might want to look at the gitk package that provides a GUI for Git.

Some language teams have decided to translate via Weblate. See https://hosted.weblate.org/projects/debian-edu-documentation/debian-edu-stretch/ for more information.

Please report any problems.

More information on even older releases can be found at http://developer.skolelinux.no/info/cdbygging/news.html.