构建

这部分文档讲述网络构建和 Skolelinux 安装提供的服务。

网络

The Debian Edu 网络拓扑结构

该图是假设的网络拓扑结构草图。Skolelinux 网络缺省设置为一台(且仅有一台)主服务器,同时留出包括漫游工作站和瘦客户机服务器(连接瘦客户机)这两者。工作站的数量可多可少(起始没有限制)。对于这些瘦客户机服务器,每一个都在分开的网络上,这样瘦客户机和瘦客户机服务器之间的流量不会影响网络服务的休眠。

由于在每个学校网络中可以仅有一台主服务器,是这个主服务器提供 DHCP,这样每个网络那里可以仅有一台机器在工作。它是可以通过在另一机器上设置服务从主服务器转移到其它机器上,随后更新 DNS 配置,指向该服务的DNS别名到正确的计算机。

规定简化 Skolelinux 标准设置,互联网连接运行在分开的路由上。它是可以用调制解调器和 ISDN 连接两者设置 Debian;然而,不要尝试做改变以上 Skolelinux 开箱即用设置工作(这样的设置需要调整缺省状态,这应该提供分别的文档)。

缺省网络设置

DHCPD 在 Tjener 服务器的 10.0.0.0/8 网络,通过 PXE-boot 提供 syslinux 菜单,你可以选择是否安装新服务器/工作站,引导瘦客户机或无盘工作站,运行内存测试或者从本机硬盘引导。

这是改进的设计,那样你可以 NFS-root 在 syslinux 指向 LTSP 服务器之一或者更改为下一个。在 DHCP 通过 PXE 从终端服务器直接引导服务器到客户机。

DHCPD 在 LTSP 服务器上仅服务于第二个接口上的 192.168.0.0/24 网络,而且应当极少改动。

主服务器 (tjener)

一个 Skolelinux 网络需要一个主服务器(亦称"tjener",这是挪威语意为“服务器”)每个缺省 IP 地址 10.0.2.2 由选择主服务器安装项而安装。它也可以(但不依赖)选择安装瘦客户机服务器和工作站安装项加入主服务器安装内容。

运行在主服务器上的服务

除瘦客户机管理之外,所有服务最初设置于一个中央计算机(主服务器)。由于执行的原因,瘦客户机服务器应当是一个单独的机器(然而它是可以安装主服务器和瘦客户机服务器这两者于同一机器上)。所有服务分配一个专用 DNS 名而且是在 IPv4 上专有。分配 DNS 名让它容易移动个别的服务从主服务器到一个不同的机器,简单地由这个主服务器停止该服务和变更 DNS 配置来指向新服务位置(这个过程应该首先在那台机器上设置)。

出于安全原因,在所有连接处的密码在网络上是加密形式传输,如此就没有密码在网络上以明文传送。

下面的服务列表是一个 Skolelinux 网络的缺省设置和每个服务的 DNS 名称。如果可用所有配置文件涉及服务的名称(没有域名)这样做对于学校易于改变域(如果他们有一个自己的域名)或 IP 地址二者之一由他们使用。

服务列表

服务描述

普通名称

DNS 服务名称

中央日志

rsyslog

syslog

域名服务

DNS (BIND)

domain

机器自动网络设置

DHCP

bootps

时钟同步

NTP

ntp

经由网络文件系统的主目录

SMB / NFS

homes

电子邮局

IMAP/POP3 (Dovecot)

postoffice

用户名录服务

OpenLDAP

ldap

用户管理

GOsa²

---

Web 服务器

Apache/PHP

www

备份中心

sl-backup, slbackup-php

backup

Web 缓存

Proxy (Squid)

webcache

打印

CUPS

ipp

安全远程登录

OpenSSH

ssh

自动设置

Cfengine

cfengine

瘦客户机服务器

LTSP

ltsp

机器和服务监控以及 Web 状态和历史错误报告。以电子邮件报告错误

munin, nagios and site-summary

munin, nagios and site-summary

每个用户的个人文件保存在他们的主目录中,这要用到服务器。主目录可以从所有机器访问,让用户存取相同文件不考虑他们所使用的机器。这个服务是操作系统不可见的,通过 Unix 客户端的 NFS,Windows 的 SMB 及 Macintosh 客户端提供存取。

对于缺省电子邮件是设置为仅在本地(例如学校范围内)投递,然而如果学校有长期的互联网连接,可以设置电子邮件投递到广域网。邮件列表是根据用户数据库设置的,给予他们自己邮件列表每一级别。客户端设置投递邮件到服务器(使用'smarthost'),并且用户可以通过 POP3 或者 IMAP 二者之一 存取他们的个人邮件

所有服务使用同一个用户名和密码,得益于中央用户数据库的证实和授权。

Web 代理增加经常访问站点的性能,贮存文件在本地(Squid)使用。在路由上连接阻塞的 Web 流量,这也可以做到在单独的机器上访问互联网监控。

使用 DHCP 自动完成客户端的网络配置。常规客户端在私有子网 10.0.0.0/8 中分配 IP 地址,同时瘦客户机通过分开的子网 192.168.0.0/24 连接到相符的瘦客户机服务器(这是保证瘦客户机的网络流量不干扰网络服务的休眠)。

中央日志是设置以使所有机器传送它们的系统日志信息到服务器。系统日志服务器设置为仅接收来自本地网络的信息。

对于缺省 DNS 服务器设置成仅为内部使用的域(*.intern),直到一个真实的(“外部的”)DNS 域可以设置之时。DNS 服务器设置为贮存 DNS 服务器,为的是所有机器在网络上可以使用它作为主 DNS 服务器。

学生和教师能够制作公开的网站。这个 Web 服务器对认证用户提供结构,并对确定的用户和组限制访问独立的页面和子目录。用户有能力制作有影响力的网页,作为 Web 服务器将编排在服务器一方。

用户和机器信息能在一个控制位置变化,并可自动进入网络上的所有计算机。这个控制目录服务设置完成。这个目录将有用户,用户组,机器和机器组的信息。避免用户的混乱,文件组,邮件列表和网络组之间没有任何差异。这意为机器组是以网络组形式来使用一个名称空间作为用户组和邮件列表。

服务和用户的管理将主要通过 Web,随后确定标准,是 Skolelinux 在 Web 浏览器中好用功能的一部分。个别用户或用户组将能够以这个管理系统作为某项任务的代表。

为了避免 NFS 的某些难题,并较为简单地修正这些难题,不同的机器需要同步时钟。Skolelinux 服务器完成作为一个本地网络时间协议 (NTP) 服务器的设置,所有工作站和客户端设置与服务器同步。这个服务器自己将通过网络上的 NTP 上游机器同步它的时钟,这样保证整个网络的时间准确。

省事的打印机连接,直接置于主网络上或者连接到一个服务器,工作站或瘦客户机服务器之一。对个别用户根据他们所属的组可以控制对打印机的访问;这将获得对打印机的使用配额和访问控制。

LTSP 服务器(瘦客户机服务器)

一个 Skolelinux 网络可以有多个 LTSP 服务器(亦称瘦客户机服务器),是由选择 LTSP 服务器安装项来安装的。

瘦客户机服务器设置为接收来自瘦客户机的系统日志,这些信息向前到管理系统日志接收者。

瘦客户机

瘦客户机可设置普通 PC 机具有(X-)终端的功能。这一方法让那台机器从软盘引导或者直接从服务器使用 network-PROM (或 PXE) 而不使用本地端硬盘。瘦客户机设置使用 Linux 终端服务器方案 (LTSP)。

瘦客户机是利用较旧机器的好方法,较低配置的机器有效地在 LTSP 服务器上运行所有程序。随后的工作:服务器使用 DHCP 和 TFTP 连接到网络并从网络引导。接下来通过来自 LTSP 服务器的 NFS 挂载文件系统,最后启动X窗口系统。显示管理器 (LDM) 以 X-前端通过 SSH 连接到 LTSP 服务器。网络上这个通路的所有数据是加密形式。对于很旧的瘦客户机迟缓的加密形式,可以设置为先前版本的工作方式,通过 XDMCP 直接使用 X 连接。

无盘工作站

对无盘工作站也使用的说法是 "stateless 工作站","lowfat 客户端"或 "half-thick 客户端"。为了清晰起见,这个手册统称之为“无盘工作站”。

无盘工作站在 PC 机上运行所有软件而没有在本地机安装操作系统。这意味着客户机器直接从服务器硬盘引导,运行的软件没有安装在本地硬盘。

无盘工作站是一个以瘦客户机相同的低维护成本来使用较新硬件的极佳方法。在服务器上管理和维护软件而无需在客户机本地安装软件。主目录和系统设置也贮存在服务器上。

无盘工作站采用作为 Linux 终端服务器方案 (LTSP) 的一部分,为 5.0 版。

网络客户端

所谓“网络客户端”是用于本手册中提到的瘦客户机和无盘工作站两者,而且运行着 Mac OS 或者 Windows 的计算机。

管理

以 Skolelinux CD 或 DVD 方式安装的所有 Linux 机器,将从一个中心计算机得到管理,最适合服务器。它将可以通过 SSH 登录所有机器,从而完全访问这些机器。

我们使用 cfengine 来编辑配置文件。这些文件从服务器到客户端更新。根据客户端配置的变化,它满足编辑服务器配置并允许自动发布这些变更。

所有用户信息保留在一个 LDAP 目录中。用户账户的更新抵补这个数据库,使用客户端对用户证实。

安装

当前有两种类型的安装媒体:网络安装 CD 和多架构 DVD。两种类型也都可以从 U 盘引导。

其目的是能仅一次以 CD/DVD 类型媒体来安装一个服务器,并通过网络引导来安装网络上的其他所有客户端。

DVD 安装不用访问互联网。

安装将不询问任何问题,除了想要的语言(例如 Norwegian Bokmal, Nynorsk, Sami)和机器的用途(服务器,工作站,瘦客户机服务器)之外。其他配置将自动设置以合理的值,安装之后以系统管理员从中心位置来变更。

文件系统访问配置

每个 Skolelinux 使用者账户在文件服务器上分配文件系统的一部分。这部分(主目录)包含用户配置文件,文档,邮件和网页。系统上的一些文件需要设置为其他用户可读,一些需要每个人在互联网上易读,一些则需要除用户之外的任何人不能读取。

保证在安装时为用户目录或共享目录而使用的所有磁盘跨越所有计算机可以唯一命名,它们可以挂载为 /skole/host/directory/。首先,在文件系统上创建一个目录 /skole/tjener/home0/,其中创建所有使用者账户。应该创建更多的目录需要提供个别的用户组或个别的习惯方式。

能够在通常的 UNIX 准许系统下共享访问文件,用户需要添加到共享组中(诸如 "students")而且它们是缺省的个人的最初组。如果用户有一个合适的 umask 来新近创建组权限项(002 或 007),并且如果目录是以 setgid 工作来确保文件继承修改组属,其效果是组成员之间共享文件控制权。

对新近创建文件的最初权限设置是一个方针问题。Debian 缺省 umask 为 022 (不允许组存取为前文所述),但 Debian Edu 缺省使用 002 - 意味着创建的文件为所有人可读,可以移除是明确的用户行为。这可以选择改变(编辑 /etc/pam.d/common-session)umask 为 007 - 意味着读权限最初被禁止,需要用户做可访问的工作。这首先近于鼓励懂得分享,并使系统更透明,鉴于第二个方法降低不想要的敏感信息传播的危险。这难题首先解决不明显使用者资料的创建将为所有其他用户访问。他们仅能发现查看其他用户目录和看他们的文件是可读的。这个难题第二解决很少人可能设置他们的文件为可读,甚至它们不含有敏感信息和内容要有益的调查想要学习怎样解决其他个别难题(典型的配置发布)。

CategoryPermalink