起步

起步的最低程度设置

第一个用户账户在主服务器安装时创建。在下面的文字中提到的“第一个用户”就是这个账户。第一个用户可以使用 sudo 成为 root。

安装之后,首先想到你需要第一个用户做的是:

  1. 登录服务器 - 以 root 账户你不能在图形中登录。
  2. 以 GOsa² 添加用户
  3. 以 GOsa² 添加工作站

添加用户和工作站在下面细节讲解,请完整阅读这一章。它涉及如何正确做最低限度的设置,而且几乎是任何人将要做的。

这里的 ?HowTo 章节涉及更多提示和技巧以及一些经常问及的问题。

[ATTACH]

运行在主服务器上的服务

可以通过 web 管理界面管理运行在主服务器上的一些列服务。我们将在下面讲解每一种服务。

GOsa² 简介

GOsa² 是一个 web 基本管理工具帮助管理你的 Debian Edu 设置的一些重要部分。用 GOsa² 你可以管理(添加,修改,或删除)这些主要类别:

对于 GOsa² 访问你需要 Skolelinux 主服务器和一个有 web 浏览器的(客户)系统,这可以由主服务器它自己如果是称为组合服务器(主服务器+瘦客户机服务器+工作站)安装。如果所有之前提到的内容不能用,请看: 在主服务器上安装图形环境来使用 GOsa²

从 web 浏览器用 URL https://www/gosa 来访问 GOsa²,并作为第一个用户登录。

对于 GOsa² 上的一般信息请看: https://oss.gonicus.de/labs/gosa/wiki/documentation。

GOsa² 登录和观览

[ATTACH]

登录 GOsa² 之后你将看到 GOsa² 的综览页面。

接下来,你可以在菜单中选择一个任务或者在这个综览页面里点击任何任务图标。为了导航,我们建议使用屏幕左侧的菜单,它将是在 GOsa² 提供的所有管理页面中总是可以看到的。

在 Debian Edu 中,账户,组和系统信息保存在一个 LDAP 目录里。这个数据不仅主服务器使用,而且也用在(无盘)工作站,瘦客户机服务器和这个网络上的 Windows 机器。用 LDAP,有关学生和教师等的账户信息仅需要输入一次。之后信息由 LDAP 提供,这个信息将可以为整个 Skolelinux 网络中的所有系统使用。

GOsa² 是一个使用 LDAP 保存它的信息和提供按等级划分部门体系的管理工具。每个“部门”你可以添加用户,组,系统,网络组,等等。视你的机构结构,你可以使用在 GOsa²/LDAP 中部门系统调动你的组织结构进入 Debian Edu 主服务器的 LDAP 数据树。

一个缺省的 Debian Edu 主服务器安装当前提供两个“部门”:教师和学生,以及 LDAP 树的基本层面。学生账户设计为添加到“学生”部门,教师到“教师”部门;系统(服务器,Skolelinux 工作站,Windows 机器等)现在添加到基本层面。找到你自己定制这个结构的方案。

视你需要的工作任务而定(管理用户,组和系统等) GOsa² 给你选择部门(或基本层面)以不同的界面。

用 GOsa² 管理用户

首先,单击左侧导航菜单中的 "Users" 。屏幕右侧将变化呈现一个 "Students" 和 "Teachers" 及 GOsa² 超级管理者(第一个创建的用户)账户的部门类别文件夹表单。上述表单你可以看到一个称作 Base 的区域,让你通过你的树状结构(在这个范围上面移动你的鼠标将呈现一个下拉菜单)来导航并为你想要的操作(例如添加新用户)选择一个基本文件夹。

添加用户

接下来这个树状导航条目中你可以看到 "Actions" 菜单。在这个条目上面移动你的鼠标,一个子菜单呈现在屏幕上;选择那里的 "Create" 和其后的 "User"。你将以用户创建魔术师的指导。

你创建用户之后(现在不需要定制魔术师左侧空白区域),点击右下角的 "Ok" 按钮。

作为 GOsa² 最后的设置将询问新用户的密码。键入两次并在此时点击右下角的 "Set password"。

如果所有都满意,你现在可以检视在用户列表中的新用户。你现在应该可以在你的网络内的任何 Skolelinux 机器用那个用户名来登录。

搜索,修改和删除用户

[ATTACH] 修改或删除用户,在你的系统中使用 GOsa² 浏览用户列表。在屏幕最右侧你将发现 "Filter" box, 一个由 GOsa² 提供的搜索工具。如果你不知道你的用户账户在你的树状结构中的准确位置,改变到 GOsa²/LDAP 树基本层面并以选项 "[x] Search in subtrees" 搜索那里。

当使用 "Filter" box 时,结果将立刻呈现在查看表格的文本中间。每一行表现一个用户账户和延伸到每行最右边的项目小图标,为你提供的操作:编辑,锁定,设置密码,恢复照片(如果已经没有照片接受而呈现灰色),接受照片和删除。

一个新页面将出现,你可以直接修改有关用户的信息,变更用户密码和修改用户所属组的清单。

[ATTACH]

设置密码

学生可以用他们自己的用户名登录 GOsa² 来改变他们自己的密码。登录学生将出现在一个很小的 GOsa² 版本,仅允许访问学生自己账户数据页面和设置密码对话。

教师在 GOsa² 登录在他们自己的用户名下有特别的权利。他们显示更多特权的 GOsa² 观览,并可以改变所有学生账户的密码。这在年级间可以非常方便。

为用户设置新密码的管理

  1. 改进用户搜索,作为上文解释
  2. 在行尾点击键符,出现用户名
  3. 在随即出现的页面,你可以设置一个由你自己选择的新密码

[ATTACH]

谨防暗含由易于猜测密码的安全问题!

进阶用户管理

它能够以 GOsa² 使用一个 CSV 文件批量创建用户,那可以由任何好的表格软件(例如 oocalc )创建。至少,条目提供如下内容的字段:uid,姓(sn),名(?GivenName)。确保在 uid 字段那里的输入不相同。请注意检查在 LDAP 中含有已存在的 uid 相同的记录(能够通过在命令行执行 getent passwd | grep tjener/home | cut -d":" -f1 而得到)。

这里是上面提到的 CSV 文件格式指南(GOsa² 不容它们):

批量导入的步骤是:

  1. 点击左侧导航菜单中的 "LDAP Manager" 链接
  2. 点击屏幕右侧的 "Import" 标签
  3. 浏览你的本地硬盘并选择用于用户清单的 CSV 文件来导入
  4. 应该在请求批量导入时选择一个可以用的用户模板(诸如 NewTeacher 或 NewStudent)

  5. 点击右下角的 "Import" 按钮

首先做一些测试是个好主意,选用一个有少量虚构用户的 CSV 文件,稍后可以删除。

用 GOsa² 管理组

[ATTACH]

[ATTACH]

组的管理非常类似用户的管理。

你可以输入每个组的名称和描述。确定你在创建新组是在 LDAP 树中选择合适的层次。

缺省不创建合适的 Samba 组。如果你在组的创建期间忘记检查 Samba 组的选项,你可以在稍后修改。

向新建组添加用户你返回用户列表,你应当可以使用过滤来找到用户。也可以检索 LDAP 树层次。

进入组管理的组也是符合 unix 规范的组,你可以对应文件权限来使用它们。

在命令行中管理组

# List existing group mapping between UNIX and Windows groups.
net groupmap list

# Add your new or otherwise missing groups:
net groupmap add unixgroup=NEW_GROUP type=domain ntgroup="NEW_GROUP"\
                 comment="DESCRIPTION OF NEW GROUP"

这更详细的解释在本手册的 ?HowTo/网络客户端 章节。

用 GOsa² 管理机器

机器的基本管理让你管理你的 Debian Edu 网络上的所有网络设备。每个机器使用 GOsa² 来向 LDAP 目录添加主机名,IP 地址,MAC 地址和域名(通常是 "intern")。较全面的 Debian Edu 结构的讲解参看本手册的 ?构建 章节。

添加机器,使用 GOsa² 主菜单,系统,添加。(选择网络设备,没有服务器那你不能用 GOsa² 清除离开的系统对象。你可以从预配置的地址空间 10.0.0.0/8 使用一个 IP 地址/主机名。当前那里仅有两个预定义固定地址: 10.0.2.2 (tjener) 和 10.0.0.1 (gateway)。从 10.0.16.20 到 10.0.31.254 (大约 10.0.16.0/20 或 4000 主机)的地址为 DHCP 分配能力而保留。

以 MAC 地址 52:54:00:12:34:10 来分配一个主机一个静态 IP 地址,你在 GOsa² 中输入 MAC 地址,主机名和 IP 地址;另一种选择你可以点击 Propose ip 按钮,那将显示在 10.0.0.0/8 中第一个自由的固定地址,如果你以这种方法添加首台机器,最可能是类似 10.0.0.1 。应当先要很好地想到适合你的网络的方法种类。

如果机器作为瘦客户机/无盘工作站引导或者用于任何网络安装项目, sitesummary2ldapdhcp 脚本可以用于自动向 GOsa² 添加机器。请注意,使用 sitesummary2ldapdhcp 之后显示属于有活力一类的 IP 地址。虽然这些系统配套你的网络,但是可以改进。几张屏幕快照显示这些应当如何做。

root@tjener:~# sitesummary2ldapdhcp -a
info: Create GOSa machine for auto-mac-00-02-b3-20-e4-aa [10.0.16.25] id ether-00:02:b3:20:e4:aa.
info: Updating machine tjener.interm [10.0.2.2] id ether-00:04:76:d3:28:b7.
info: Create GOSa machine for auto-mac-00-0d-59-99-d6-98 [10.0.16.26] id ether-00:0d:59:99:d6:98.

Enter password if you want to activate these changes, and ^c to abort.

Connecting to LDAP as cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no
enter password: █

[ATTACH]

[ATTACH]

[ATTACH]

[ATTACH]

DNS 运行每小时更新; su -c ldap2bind 可以用于开启手工更新。

搜索和删除机器

搜索和删除机器相当类似搜索和删除用户,那样的信息不在这里重复。

修改现有机器 / 网络组管理

用 GOsa² 添加一台机器到 LDAP 树之后,你可以使用搜索功能并点击机器名称来修改它的性质(你应该有一些用户)。

这些系统条目格式类似一个你已知修改用户条目,但在这个环境中范围含义不同的事。

为了示范,添加机器到 NetGroup 不改变文件存取和命令执行权限对于那台机器或是用户登录到那台机器;那台机器可以用你的主服务器替换它的受限制的服务。

缺省安装可得到 NetGroups

当前 NetGroup 功能用于

另一个机器配置的重要部分是 'Samba host' flag (在 'Host information' 范围内)。如果你计划添加现有的 Windows 系统到 Skolelinux Samba 域,你需要添加 Windows 主机到 LDAP 树并设置 flag 能够融汇 Windows 主机到这个域。有关添加 Windows 主机到 Skolelinux 网络的更多信息参看本手册的 ?HowTo/网络客户端 章节。

打印机管理

为管理打印机,你的 web 浏览器指向 https://www:631 这是普通的 CUPS 管理界面,你可以添加/删除/修改你的打印机并可以清理打印列队。这些变更有赖 root 用户以 SSL 加密登录。

时钟同步

Debian Edu 缺省配置保持时钟在所有机器上同步但不一定准确。NTP 用于更新时间。时钟将与一个缺省的外部源同步。如果它是使用时可以产生引起机器保持外部互联网连接打开。

/!\ 如果你使用 dialup 或者 ISDN 并按分钟付费,你需要改变这个缺省设置。

禁止与一个外部时钟同步,需要改变在主服务器,所有客户端和 LTSP chroot 中的 /etc/ntp.conf 文件。在 server 条目之前添加注释 ("#") 。这之后,NTP 服务器需要重启,以 root 来运行 /etc/init.d/ntp restart 。如果一台机器使用外部时钟源,运行 ntpq -c lpeer 进行测试。

扩展完整分区

由于自动分区可能存在的 bug,安装之后一些分区也需要完整。以 root 运行 debian-edu-fsautoresize -n 来扩展这些分区。更多信息参阅 如何管理章节 中的 "Resizing Partitions" HowTo。

CategoryPermalink