Manuel de Debian Edu/Skolelinux 12 Bookworm

Date de publication : 31-01-2024


Table des matières

1. Manuel de Debian Edu 11 nom de code bookworm
2. À propos de Debian Edu et Skolelinux
2.1. Historique du projet et raison de la double dénomination
3. Architecture
3.1. Réseau
3.1.1. Configuration réseau par défaut
3.1.2. Serveur principal
3.1.3. Services exécutés sur le serveur principal
3.1.4. Serveur(s) LTSP
3.1.5. Clients légers
3.1.6. Stations de travail sans disque dur
3.1.7. Clients en réseau
3.2. Administration
3.2.1. Installation
3.2.2. Configuration de l'accès au système de fichiers
4. Besoins
4.1. Besoins matériels
4.2. Matériel compatible connu
5. Besoins pour une configuration du réseau
5.1. Configuration par défaut
5.2. Routeur Internet
6. Options de téléchargement et d'installation
6.1. Où trouver davantage d'informations
6.2. Download the installation media for Debian Edu 12 Codename bookworm
6.2.1. amd64 ou i386
6.2.2. images ISO d'installation par le réseau pour amd64 ou i386
6.2.3. BD iso images for amd64 or i386
6.2.4. Vérification des fichiers image téléchargés
6.2.5. Sources
6.3. Installer Debian Edu
6.3.1. Cas de figure d'installation de serveur principal
6.3.2. Environnements de bureau
6.3.3. Installation modulaire
6.3.4. Types et options d'installation
6.3.5. Le processus d'installation
6.3.6. Installing a gateway using debian-edu-router
6.3.7. Notes sur quelques particularités
6.3.8. Installation depuis une clé USB au lieu d'un CD ou d'un disque Blu-ray.
6.3.9. Installation et amorçage à travers le réseau à l’aide de PXE
6.3.10. Modifier des installations PXE
6.3.11. Images personnalisées
6.4. Visite guidée
7. Démarrage rapide
7.1. Étapes minimales pour démarrer
7.1.1. Services exécutés sur le serveur principal
7.2. Présentation de GOsa²
7.2.1. Connexion à GOsa² et aperçu
7.3. Gestion des utilisateurs avec GOsa²
7.3.1. Ajouter des utilisateurs
7.3.2. Rechercher, modifier et supprimer des utilisateurs
7.3.3. Définir les mots de passe
7.3.4. Gestion avancée des utilisateurs
7.4. Gestion des groupes avec GOsa²
7.5. Gestion de machines avec GOsa²
7.5.1. Rechercher et supprimer des machines
7.5.2. Modification de machines existantes et gestion des groupes réseau
8. Gestion des imprimantes
8.1. Utilisation des imprimantes attachées aux stations de travail
8.2. Imprimantes en réseau
9. Synchronisation de l'horloge
10. Étendre les partitions pleines
11. Maintenance
11.1. Mise à jour des logiciels
11.1.1. Restez informé des mises à jour de sécurité
11.2. Gestion des sauvegardes
11.3. Surveillance des serveurs
11.3.1. Munin
11.3.2. Icinga
11.3.3. Sitesummary
11.4. Informations supplémentaires à propos des modifications particulières à Debian Edu
12. Mises à jour
12.1. Notes à propos de la mise à niveau
12.2. Upgrades from Debian Edu Bullseye
12.2.1. Mettez à niveau le serveur principal
12.2.2. Mise à jour d'une station de travail
12.3. Upgrades from older Debian Edu / Skolelinux installations (before Bullseye)
13. Manuels (HowTo)
14. Manuels d'administration générale
14.1. Configuration history: tracking /etc/ using the Git version control system
14.1.1. Exemples d'utilisation
14.2. Redimensionner les partitions
14.2.1. Gestion d'un volume logique
14.3. Utilisation de ldapvi
14.4. NFS avec Kerberos
14.4.1. Comment modifier le niveau de sécurité par défaut
14.5. Standardskriver
14.6. JXplorer, une interface graphique à LDAP
14.7. ldap-createuser-krb5, a command-line tool for adding users
14.8. Utilisation de stable-updates
14.9. Utilisation des rétroportages pour installer des logiciels plus récents
14.10. Mettre à jour avec un CD ou une image similaire
14.11. Nettoyage automatique des processus résiduels
14.12. Installation automatique des mises à niveau de sécurité
14.13. Arrêt automatique des machines la nuit
14.13.1. Comment configurer shutdown-at-night
14.14. Access Debian Edu servers located behind a firewall
14.15. Installing additional service machines for spreading the load from the main server
14.16. Manuels de wiki.debian.org
15. Manuel d'administration avancée
15.1. Personnalisation des utilisateurs avec GOsa²
15.1.1. Création d'utilisateurs dans des groupes par année
15.2. Autres personnalisations d'utilisateur
15.2.1. Créer un répertoire dans le répertoire personnel de chaque utilisateur
15.3. Utiliser un serveur dédié pour le stockage
15.4. Restrict SSH login access
15.4.1. Configuration sans clients légers
15.4.2. Configuration avec clients légers
15.4.3. Une remarque pour les configurations plus complexes
16. Manuels pour le bureau
16.1. Mise en place d'un environnement de bureau multilingue
16.2. Lire des DVD
16.3. Polices scripturales
17. Manuels pour les clients en réseau
17.1. Introduction aux clients légers et stations de travail sans disque dur
17.1.1. Sélection du type de client léger
17.1.2. Utiliser un réseau différent pour les clients légers
17.1.3. Ajouter un chroot LTSP pour prendre en charge les clients PC 32 bits
17.1.4. Configuration des clients LTSP
17.1.5. Le son avec les clients LTSP
17.1.6. Access to USB drives and CD-ROMs/DVDs
17.1.7. Utilisation des imprimantes attachées aux clients LTSP
17.2. Modifier la configuration de PXE
17.2.1. Configurer le menu PXE
17.2.2. Configurer l'installation PXE
17.2.3. Ajout d'un dépôt personnalisé pour les installations PXE
17.3. Modifier les paramètres réseau
17.4. Bureaux distants
17.4.1. Xrdp
17.4.2. X2Go
17.4.3. Clients de bureaux distants disponibles
17.5. Clients de réseau sans fil
17.6. Authorize Windows machine with Debian Edu credentials using pGina LDAP plugin
17.6.1. Adding pGina user in Debian Edu
17.6.2. Install pGina fork
17.6.3. Configure pGina
18. Samba dans Debian Edu
18.1. Accéder aux fichiers par Samba
19. Manuels pour enseigner et apprendre
19.1. Enseigner la programmation
19.2. Surveillance des élèves
19.3. Restriction de l'accès des élèves au réseau
20. Manuels pour les utilisateurs
20.1. Changer les mots de passe
20.2. Exécuter des applications Java indépendantes
20.3. Utilisation du courrier électronique
20.4. Thunderbird
21. Contribuer
21.1. Contribute online
21.2. Rapporter des bogues
21.3. Auteurs de la documentation et traducteurs
22. Assistance
22.1. Assistance fournie par des bénévoles
22.1.1. en anglais
22.1.2. en norvégien
22.1.3. en allemand
22.1.4. en français
22.2. Assistance professionnelle
23. New features in Debian Edu Bookworm
23.1. New features for Debian Edu 12 Bookworm
23.1.1. Changements dans l'installation
23.1.2. Mises à jour des logiciels
23.1.3. Mises à jour des documentations et des traductions
23.1.4. Problèmes connus
24. Droits d'auteur et auteurs
25. Traductions de ce document
25.1. Comment traduire ce document
25.1.1. Traduire en utilisant des fichiers PO
25.1.2. Traduction en ligne avec un navigateur web
26. Annexe A — La Licence Publique Générale GNU
26.1. Manual for Debian Edu 12 Codename Bookworm
26.2. GNU GENERAL PUBLIC LICENSE
26.3. TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION
27. Appendix B - Features in older releases
27.1. New features for Debian Edu 11 Codename Bullseye released 2021-08-14
27.1.1. Changements dans l'installation
27.1.2. Mises à jour des logiciels
27.1.3. Mises à jour des documentations et des traductions
27.1.4. Autres changements depuis la dernière publication
27.2. Historique des versions plus anciennes

1. Manuel de Debian Edu 11 nom de code bookworm


Traduction:
2008 Christophe Masson
2010 Olivier Vitrat
2012-2015 Cédric Boutillier
2012, 2021 Jean-Paul Guilloneau
2012 David Prévot
2012 Thomas Vincent
2019, 2021 Jean-Pierre Giraud
2009, 2010, 2012, 2019, 2021 The French l10n team

Logo de l’installateur de Debian Edu

Voici le manuel de la version de Debian Edu 12 (ookworm)

La version disponible depuis https://wiki.debian.org/DebianEdu/Documentation/12 Bookworm est un wiki fréquemment mis à jour.

Updated translations are available online.

2. À propos de Debian Edu et Skolelinux

Debian Edu, aussi connue sous le nom de Skolelinux, est une distribution Debian fournissant un environnement de réseau scolaire complètement configuré. Elle implémente une approche client-serveur. Les serveurs et les clients sont des éléments de logiciel qui interagissent entre eux. Les serveurs fournissent l'information requise par les clients pour fonctionner. Quand un serveur est installé sur une machine et son client sur une machine différente, les machines elles-mêmes sont appelées le serveur et le client, par extension du concept.

The chapters about hardware and network requirements and about the architecture contain basic system design details.

After installation of a main server, all services needed for a school network are set up and the system is ready to be used. Only users and machines need to be added via GOsa², a comfortable Web-UI, or any other LDAP editor. A netbooting environment using PXE/iPXE has also been prepared, so after initial installation of the main server from CD, Blu-ray disc or USB flash drive all other machines can be installed via the network, this includes "roaming workstations" (ones that can be taken away from the school network, usually laptops or netbooks). Also, machines can be booted via PXE/iPXE as diskless workstations or thin clients.

Several educational applications like GeoGebra, Kalzium, KGeography, GNU Solfege and Scratch are included in the default desktop environment setup, which can be extended easily and almost endlessly via the Debian universe.

2.1. Historique du projet et raison de la double dénomination

Debian Edu/Skolelinux est une distribution Linux créée par le projet Debian Edu. Elle fait partie de la publication Debian Pure Blend en tant que sous-projet Debian officiel.

Cela signifie que Skolelinux est une distribution Debian fournissant un environnement de réseau scolaire complètement configuré.

Le projet Skolelinux a été lancé en Norvège le 2 juillet 2001, à peu près au même moment où Raphaël Hertzog démarrait le projet Debian-Edu en France. En 2003, les deux projets ont fusionné, mais les deux noms sont restés. « Skole » et (Debian-)« Education » sont deux dénominations bien installées dans ces pays.

À ce jour, ce système est utilisé dans plusieurs pays du monde.

3. Architecture

3.1. Réseau

Cette section décrit l'architecture du réseau et les services fournis par Skolelinux.

Topologie du réseau Debian Edu

Le diagramme est un schéma de la topologie supposée du réseau. La configuration par défaut d'un réseau Skolelinux suppose qu'il y a un (et un seul) serveur principal et permet l'accueil à la fois de stations de travail normales et de serveurs LTSP (avec les clients légers ou les stations de travail sans disque associés). Le nombre de stations de travail peut être aussi grand ou petit que vous le souhaitez (d'aucune à beaucoup). De même pour les serveurs LTSP, chacun étant sur un réseau distinct de sorte que le trafic entre les clients et le serveur LTSP n'affecte pas le reste des services du réseau. LTSP est expliqué en détail dans le chapitre correspondant du manuel.

La raison pour laquelle il ne peut y avoir qu'un seul serveur principal dans un réseau d'école est que celui-ci fournit DHCP, et il ne peut y avoir qu'une seule machine fournissant ce service sur chaque réseau. Il est possible de déplacer un service depuis le serveur principal vers une autre machine en le configurant sur cette dernière puis en mettant à jour la configuration DNS, en faisant pointer l'alias DNS pour ce service vers l'ordinateur concerné.

Afin de simplifier les réglages de base de Skolelinux, la connexion à Internet s'effectue par un routeur séparé, appelé également passerelle. Consultez le chapitre routeur Internet pour des détails sur la configuration d'une passerelle s'il n'est pas possible d'en utiliser une existante comme il faut.

3.1.1. Configuration réseau par défaut

Le serveur DHCP sur le serveur principal dessert le réseau 10.0.0.0/8 en fournissant un menu d'amorçage syslinux (PXE) où vous pouvez choisir d'installer un nouveau serveur ou une station de travail, démarrer un client léger ou une station de travail sans disque, exécuter memtest ou démarrer du disque dur local.

Il est conçu pour être modifié : pour plus de détails, consultez le chapitre correspondant du manuel.

Le serveur DHCP des serveurs LTSP ne dessert qu'un réseau dédié sur la deuxième interface (192.168.0.0/24 et 192.168.1.0/24 sont les options préconfigurées) et ne devrait pas souvent être modifié.

La configuration de tous les sous-réseaux est stockée dans LDAP.

3.1.2. Serveur principal

A Skolelinux network needs one main server (hostname "tjener" which is Norwegian and means "server") which per default has the IP address 10.0.2.2 and is installed by selecting the Main Server profile. It's possible (but not required) to also select and install the LTSP Server and Workstation profiles in addition to the Main Server profile.

3.1.3. Services exécutés sur le serveur principal

À l'exception du contrôle des clients légers, tous les services sont initialement configurés sur un ordinateur central (le serveur principal). Pour des raisons de performances, le(s) serveur(s) LTSP devraient être sur une machine séparée (bien qu'il soit possible d'installer à la fois les profils de serveur principal et de serveur LTSP sur la même machine). Tous les services se voient attribuer un nom DNS et ne sont disponibles que sur IPv4. Le nom DNS attribué permet de déplacer facilement chaque service du serveur central vers une autre machine, simplement en l'arrêtant sur le serveur principal et en changeant la configuration DNS de sorte que l'alias pointe vers la nouvelle machine (sur laquelle il aura été préalablement installé, bien entendu).

Pour des raisons de sécurité, toutes les connexions véhiculant des mots de passe sur le réseau sont chiffrées, de sorte qu'aucun mot de passe n'apparaît en clair sur le réseau.

L'ensemble des services configurés par défaut sur un réseau Skolelinux est présenté ci-dessous avec le nom DNS associé. Tous les fichiers de configuration font, si possible, référence au service par son nom (sans le nom de domaine), permettant ainsi aux écoles de changer facilement leur domaine (si elles disposent de leur propre domaine DNS) ou leur adresse IP.

Liste des services

Description du service

Nom usuel

Nom DNS du service

Gestion centralisée des journaux

rsyslog

syslog

Service de noms de domaine

DNS (BIND)

domaine

Configuration réseau automatique des machines

DHCP

bootps

Synchronisation de l'horloge

NTP

ntp

Répertoires personnels sur un système de fichiers réseau

SMB et NFS

homes

Courrier électronique

IMAP (Dovecot)

postoffice

Service de répertoire

OpenLDAP

ldap

Administration des utilisateurs

GOsa²

---

Serveur web

Apache et PHP

www

Sauvegardes centralisées

sl-backup, slbackup-php

backup

Cache web

Proxy (Squid)

webcache

Impression

CUPS

ipp

Connexion sécurisée à distance

OpenSSH

ssh

Configuration automatique

CFEngine

cfengine

Serveur(s) LTSP

LTSP

ltsp

Surveillance des machines et des services, avec rapport d'erreur, ainsi qu'état et historique sur le web. Rapport d'erreur par courrier électronique

Munin, Icinga et Sitesummary

sitesummary

Les fichiers personnels des utilisateurs sont enregistrés dans leur répertoire personnel, disponible sur le serveur. Les répertoires personnels sont accessibles depuis toutes les machines, donnant accès aux mêmes fichiers, quelle que soit la machine utilisée. Le serveur ignore le système d'exploitation en permettant l'accès grâce à NFS pour les clients UNIX et à l’aide de SMB2/SMB3 pour d’autres clients.

Par défaut, le courrier électronique est configuré pour ne délivrer les messages que localement (c'est-à-dire à l'intérieur de l'école), bien qu'il puisse être configuré pour délivrer le courrier sur Internet si l'établissement dispose d'une connexion permanente. Les clients sont configurés pour envoyer leur courrier au serveur (en relais « smarthost ») et les utilisateurs peuvent accéder à leur courrier personnel par IMAP.

Tous les services sont accessibles avec les mêmes nom d'utilisateur et mot de passe, grâce à la base de données d'utilisateurs centralisée gérant l'authentification et les autorisations.

Pour des raisons de performance sur des sites contactés fréquemment, un mandataire (Squid) met en cache local les fichiers correspondants. Associé au blocage du trafic web par le routeur, cela permet aussi le contrôle de l'accès à Internet sur chaque machine.

La configuration du réseau sur les clients est effectuée automatiquement à l'aide de DHCP. Tous les types de clients peuvent être connectés et recevoir une adresse IP appartenant au sous-réseau privé 10.0.0.0/8, tandis que les clients légers sont connectés à leur serveur de clients légers sur le sous-réseau 192.168.0.0/24 (cela assure que le trafic réseau des clients légers n'interfère pas avec le reste des services du réseau).

Le système de journal centralisé est configuré de sorte que toutes les machines envoient leur journal système (syslog) au serveur. Seuls les messages provenant du réseau local sont acceptés.

Par défaut, le serveur DNS est configuré avec un domaine réservé à l'usage interne (*.intern), jusqu'à ce qu'un vrai domaine DNS (« externe ») puisse être configuré. Le serveur DNS est configuré en serveur DNS cache, de sorte que toutes les machines du réseau puissent l'utiliser comme serveur DNS principal.

Les élèves et les enseignants ont la possibilité de publier des sites web. Le serveur web fournit les mécanismes d'authentification des utilisateurs et de limitation de l'accès aux pages individuelles et sous-répertoires à certains utilisateurs ou groupes. Les utilisateurs auront la possibilité de créer des pages web dynamiques, puisque le serveur web sera programmable.

Les informations concernant les utilisateurs et les machines peuvent être modifiées de manière centralisée et sont rendues accessibles automatiquement à tous les ordinateurs du réseau. Pour cela, un serveur de répertoire centralisé est mis en place. Le répertoire détiendra des informations sur les utilisateurs, les groupes d’utilisateurs, les machines et les groupes de machines. Afin de ne pas troubler les utilisateurs, il ne sera pas fait de distinction entre les groupes de fichiers et les groupes réseau. Cela implique que les groupes de machines qui devront constituer des groupes réseau aient le même espace de nommage que les groupes d'utilisateurs.

L'administration des services et des utilisateurs se fera essentiellement par le web et respectera les standards établis, fonctionnant correctement avec les navigateurs web fournis dans Skolelinux. La délégation de certaines tâches à des utilisateurs individuels ou à des groupes d'utilisateurs sera possible par les systèmes d'administration.

Afin d'éviter certains problèmes avec NFS ou de simplifier la résolution de problèmes, les différentes machines doivent être synchronisées. Pour cela, le serveur Skolelinux est configuré en serveur local NTP (Network Time Protocol) et toutes les stations de travail ainsi que tous les clients sont configurés pour être synchronisés avec le serveur. Le serveur lui-même devrait se synchroniser par NTP à partir de machines sur Internet, assurant ainsi une heure correcte sur tout le réseau.

Les imprimantes sont connectées où cela est le plus pratique, soit directement au réseau principal, soit à un serveur, une station de travail ou un serveur LTSP. L'accès aux imprimantes peut être contrôlé pour les utilisateurs en fonction des groupes auxquels ils appartiennent, par l'intermédiaire de quota et de contrôle d'accès aux imprimantes.

3.1.4. Serveur(s) LTSP

Un réseau Skolelinux peut avoir plusieurs serveurs LTSP qui sont installés en sélectionnant le profil de serveur LTSP.

Le serveur LTSP est configuré pour recevoir le journal système (syslog) des clients légers et des stations de travail, et transmettre ces messages au destinataire central des journaux système.

Veuillez noter :

  • Les stations de travail LTSP sans disque utilisent les programmes installés sur le serveur.

  • Le système de fichiers racine du client est fourni par NFS. Après chaque modification du serveur LTSP, l'image concernée doit être régénérée ; exécutez debian-edu-ltsp-install --diskless_workstation yes sur le serveur LTSP.

3.1.5. Clients légers

La configuration en client léger permet aux PC ordinaires de fonctionner en terminaux(-X). Cela signifie que la machine s'amorce directement depuis le serveur à l'aide de PXE sans utiliser le disque dur local du client. La configuration de client léger utilise X2Go à cause de l’abandon de sa prise en charge par le projet Linux Terminal Server (LTSP).

Les clients légers offrent un bon moyen de toujours utiliser des machines très anciennes (majoritairement en 32 bits), car elles lancent tous les programmes sur le serveur LTSP. Cela fonctionne ainsi : le service utilise DHCP et TFTP pour se connecter au réseau et s'amorcer depuis celui-ci. Ensuite, le système de fichiers est monté depuis le serveur LTSP avec NFS et enfin le client X2Go est démarré.

3.1.6. Stations de travail sans disque dur

Une station de travail sans disque exécute tous les logiciels sur le PC sans système d'exploitation installé en local. Cela signifie que les machines clientes s'amorcent depuis PXE sans exécuter de logiciel installé sur le disque dur local.

Les stations de travail sans disque dur sont une excellente façon d’utiliser du matériel puissant avec le même coût réduit de maintenance que les clients légers. Le logiciel est administré et maintenu sur le serveur sans besoin d'installer des logiciels localement sur le client. Les répertoires personnels et les réglages du système sont eux aussi enregistrés sur le serveur.

3.1.7. Clients en réseau

Le terme « clients en réseau » fait référence dans ce manuel à la fois aux clients légers et aux stations de travail sans disque, ainsi qu'aux ordinateurs exécutant macOS ou Windows.

3.2. Administration

Toutes les machines Linux installées avec l'installateur Skolelinux seront administrables depuis un ordinateur central, très probablement le serveur. Il sera possible de se connecter à toutes les machines par SSH et donc d'avoir un accès complet à celles-ci. Il faut, en tant que superutilisateur, d'abord exécuter kinit pour obtenir un ticket Kerberos.

Toutes les informations sur les utilisateurs sont conservées dans un répertoire LDAP. Les comptes des utilisateurs sont mis à jour à partir de cette base de données qui est utilisée par les clients pour authentifier les utilisateurs.

3.2.1. Installation

Deux types de supports d'installation sont actuellement disponibles : l'image d'installation par le réseau et l'image BD (Block Device). Ces deux images peuvent également être amorcées à partir de clés USB.

L'objectif est de pouvoir installer un serveur à partir de n’importe quel support une seule fois, et d'installer tous les autres postes clients par le réseau en amorçant à partir de ce dernier.

Seule l'image d'installation par le réseau nécessite un accès Internet pendant l'installation.

The installation should not ask any questions, with the exception of desired language, location, keyboard layout and machine profile (Main Server, Workstation, LTSP Server, …). All other configuration will be set up automatically with reasonable values, to be changed from a central location by the system administrator subsequent to the installation.

3.2.2. Configuration de l'accès au système de fichiers

Une section du système de fichiers du serveur de fichiers est attribuée à chaque compte d'utilisateur Skolelinux. Cette section (répertoire personnel) contient les fichiers de configuration, les documents, courriers électroniques et pages web de l'utilisateur. Certains fichiers devraient être accessibles en lecture par les autres utilisateurs du système, certains devraient l'être par tous sur Internet, et d'autres ne devraient l'être par personne d'autre que l'utilisateur.

Afin d'assurer que tous les disques hébergeant les répertoires des utilisateurs ou les répertoires partagés puissent être nommés de manière unique sur tous les ordinateurs installés, ceux-ci peuvent être montés sur /skole/host/directory/. Initialement, un répertoire est créé sur le serveur de fichiers, /skole/tjener/home0/, sur lequel tous les comptes utilisateurs sont créés. Davantage de répertoires peuvent ensuite être créés si c'est nécessaire afin de s'adapter à des groupes d'utilisateurs ou des cas d'usage particuliers.

Pour permettre l'accès partagé aux fichiers dans le système normal de permissions UNIX, les utilisateurs ont besoin d'être dans des groupes d'utilisateurs supplémentaires (tels que « students ») en plus du groupe primaire personnel dans lequel ils sont par défaut. Si des utilisateurs ont un umask approprié pour rendre les éléments nouvellement créés accessibles au groupe (002 ou 007) et si les répertoires dans lesquels ils travaillent ont le paramètre setgid assurant que les fichiers héritent de l'appartenance au bon groupe, alors le partage de fichiers entre les membres d'un groupe est contrôlé.

L'attribution des droits d'accès initiaux pour les fichiers nouvellement créés est un problème de droits. L'umask par défaut de Debian est 022 (ne donnant pas l'accès au groupe tel que décrit précédemment), mais Debian Edu utilise 002 par défaut, signifiant que les fichiers sont créés avec accès en lecture pour tout le monde, sauf modification ultérieure de l'utilisateur. Ce réglage peut être modifié (en éditant /etc/pam.d/common-session) pour un umask de 007, bloquant par défaut l'accès en lecture et nécessitant une action de l'utilisateur pour rendre les fichiers accessibles. La première approche encourage le partage des connaissances et rend le système plus transparent, tandis que la seconde méthode réduit le risque de divulgation involontaire d'informations sensibles. Le problème de la première solution est qu'il n'est pas évident pour les utilisateurs que ce qu'ils créent sera accessible à tous les autres. Ils ne peuvent s'en rendre compte qu'en inspectant le contenu du répertoire des autres utilisateurs et en s'apercevant que leurs fichiers sont lisibles. Le problème de la deuxième solution est que peu d'utilisateurs seront enclins à rendre leurs fichiers accessibles, même s'ils ne contiennent pas d'informations sensibles et même si leur contenu peut s'avérer utile aux utilisateurs curieux, désireux d'apprendre comment d'autres ont résolu des problèmes particuliers (typiquement des problèmes de configuration).

4. Besoins

Il existe différentes manières de configurer une solution Skolelinux. Elle peut être installée sur un simple PC autonome ou déployée à grande échelle sur un ensemble d'écoles pilotées de manière centralisée. Cette flexibilité induit de grosses différences dans la configuration des composants réseau, serveurs et machines clientes.

4.1. Besoins matériels

La signification des différents profils est expliquée dans le chapitre architecture réseau.

S'il est prévu d'utiliser LTSP, jetez un œil sur la page du wiki sur les besoins matériels de LTSP.

  • Les ordinateurs exécutant Debian Edu/Skolelinux doivent avoir des processeurs x86 à 32 bits (architecture Debian « i386 », les processeurs les plus anciens pris en charge sont les classes 686) ou 64 bits (architecture Debian « amd64 »).

  • Faire fonctionner des clients légers avec 256 Mio de mémoire vive et une fréquence de 400 MHz est possible. Cependant, plus de mémoire vive et un processeur plus puissant sont recommandés.

  • Pour les stations de travail (avec ou sans disque) ainsi que les systèmes autonomes, 1024 Mio de mémoire vive et une fréquence de processeur de 1500 MHz ou plus sont le strict minimum nécessaire. Pour faire fonctionner un navigateur web moderne et LibreOffice, disposer d'au moins 2048 Mio de mémoire vive est recommandé.

  • L'espace disque minimal nécessaire dépend du profil installé :

    • combined main server + LTSP server + workstation (if a GUI on the server is desired): 60 GiB (plus additional space for user accounts).

    • serveur LTSP : 40 Gio.

    • station de travail ou poste autonome : 30 Gio.

    • minimal networked machine installation: 4 GiB.

  • Les serveurs LTSP ont besoin de deux cartes réseau lorsque l'architecture de réseau par défaut est utilisée :

    • eth0 est reliée au réseau principal (10.0.0.0/8),

    • eth1 est utilisée pour servir les clients LTSP.

  • Les ordinateurs portables sont des stations de travail mobiles et ont donc les mêmes spécifications que les stations de travail.

4.2. Matériel compatible connu

A list of tested hardware is provided at https://wiki.debian.org/DebianEdu/Hardware/ . This list is not nearly complete.

https://wiki.debian.org/InstallingDebianOn est une tentative de documenter l'installation, la configuration et l'utilisation de Debian sur des matériels spécifiques. Ainsi, des acheteurs potentiels de matériel informatique sauront si leur matériel est pris en charge et comment tirer les meilleures performances de leur achat.

5. Besoins pour une configuration du réseau

5.1. Configuration par défaut

Quand on utilise l'architecture réseau par défaut, les règles suivantes s'appliquent :

  • You need exactly one main server.

  • Vous pouvez avoir des centaines de stations de travail sur le réseau principal.

  • Vous pouvez avoir un grand nombre de serveurs LTSP sur le réseau principal. Deux sous-réseaux différents sont préconfigurés (DNS, DHCP) dans LDAP. D'autres peuvent être ajoutés.

  • Vous pouvez avoir des centaines de clients légers et/ou de stations sans disque sur chaque réseau serveur LTSP.

  • Vous pouvez avoir des centaines d'autres machines qui se verront assignées des adresses IP dynamiques.

  • Pour accéder à Internet, vous avez besoin d'un routeur/passerelle (voir ci-dessous).

5.2. Routeur Internet

Un routeur passerelle, connecté à Internet sur l'interface externe et doté de l'adresse IP 10.0.0.1 avec un masque de sous-réseau 255.0.0.0 sur l'interface interne est nécessaire pour se connecter à Internet.

Le routeur ne doit pas exécuter de serveur DHCP. Il peut exécuter un serveur DNS bien que cela ne soit pas nécessaire ni utilisé.

In case you do not already have a router or your existing router cannot be set up accordingly, any machine which fulfills the requirements for a minimal Debian installation and which has at least two network interfaces can be turned into a gateway between the existing network and the DebianEdu one. See installation documentation for a simple way to install and set up a Debian machine using debian-edu-router-config.

Si vous avez des besoins concernant un routeur embarqué ou un point d'accès, nous vous recommandons d'utiliser OpenWRT , bien que vous puissiez bien sûr aussi utiliser le microprogramme initial. L'utilisation du microprogramme initial est plus simple, alors que celle de OpenWRT vous offre plus de choix et de contrôle sur le système. Consultez la liste du matériel géré sur les pages web de OpenWRT.

Il est possible d'utiliser une configuration réseau différente (il existe une procédure documentée pour faire cela. Si vous n'y êtes pas obligé par une infrastructure réseau existante, nous vous le déconseillons et vous recommandons de conserver l'architecture réseau par défaut.

6. Options de téléchargement et d'installation

6.1. Où trouver davantage d'informations

We recommend that you read or at least take a look at the release notes for Debian Bookworm before you start installing a system for production use. There is more information about the Debian Bookworm release available in its installation manual.

N’hésitez pas à essayer Debian Edu/Skolelinux, cela devrait fonctionner tout seul.

Il est recommandé malgré tout de lire les chapitres sur besoins matériels et sur l'architecture avant de commencer à installer un serveur principal.

Assurez-vous d'avoir aussi lu le chapitre Démarrage rapide du manuel, car il explique comment lancer une session pour la première fois.

6.2. Download the installation media for Debian Edu 12 Codename bookworm

6.2.1. amd64 ou i386

amd64 and i386 are the names of two Debian architectures for x86 CPUs, both are or have been build by AMD, Intel and other manufacturers. amd64 is a 64-bit architecture and i386 is a 32-bit architecture. New installations today should be done using amd64. i386 should only be used for very old hardware.

6.2.2. images ISO d'installation par le réseau pour amd64 ou i386

The netinst iso image can be used for installation from CD/DVD and USB flash drives and is available for two Debian architectures: amd64 or i386. As the name implies, Internet access is required for the installation.

Once Bookworm has been released these images will be available for download from:

6.2.3. BD iso images for amd64 or i386

These ISO image are approximately 7.5 GB large and can be used for installation of amd64 or i386 machines, also without access to the Internet. Like the netinst image it can be used on USB flash drives or disk media of sufficient size.

Once Bookworm has been released these images will be available for download from:

6.2.4. Vérification des fichiers image téléchargés

Detailed instructions for verifying and using these images are part of the Debian-CD FAQ.

6.2.5. Sources

Le code source est disponible depuis l'archive Debian aux emplacements habituels.Un lien existe pour plusieurs supports à l'adresse https://get.debian.org/cdimage/release/current/source/.

6.3. Installer Debian Edu

When you do a Debian Edu installation, you have a few options to choose from. Don't be afraid; there aren't many. We have done a good job of hiding the complexity of Debian during the installation and beyond. However, Debian Edu is Debian, and if you want there are more than 59,000 packages to choose from and a billion configuration options. For the majority of our users, our defaults should be fine. Please note: if LTSP is intended to be used, choose a lightweight desktop environment.

6.3.1. Cas de figure d'installation de serveur principal

  1. Réseau typique d'école ou domestique avec accès à Internet à travers un routeur fournissant DHCP :

    • L'installation d'un serveur principal est possible, mais après le redémarrage il n'y aura pas d'accès à Internet (à cause de l'interface IP 10.0.2.2/8 du réseau primaire).

    • Consultez le chapitre routeur Internet pour des détails sur la mise en place d'une passerelle s'il n'est pas possible d'en configurer une comme il faut.

    • Connectez tous les composants comme cela est montré dans le chapitre architecture.

    • The main server should have Internet connection once booted the first time in the correct environment.

  2. Réseau typique d'école ou d'institution, semblable au précédent, mais avec l'obligation d'utilisation d'un mandataire.

    • Ajout de « debian-edu-expert » à la ligne de commande du noyau ; voir plus bas comment le faire.

    • Il faut répondre à quelques questions supplémentaires, celles relatives au serveur mandataire.

  3. Réseau avec routeur et passerelle IP 10.0.0.1/8 (qui ne fournit pas de serveur DHCP) et accès à Internet :

    • Dès que la configuration automatique du réseau échoue (à cause de l'absence de DHCP), choisissez la configuration manuelle de réseau.

      • Entrez 10.0.2.2/8 comme IP de l'hôte

      • Entrez 10.0.1 comme IP de la passerelle

      • Entrez 8.8.8.8 comme IP du serveur de noms à moins que vous en sachiez plus

    • Le serveur principal devrait fonctionner après le premier démarrage.

  4. Hors ligne (pas de connexion Internet) :

    • Utilisez l'image ISO BD.

    • Assurez-vous que tous les câbles réseau (réels ou virtuels) sont débranchés.

    • Choisissez « Ne pas configurer le réseau maintenant » (après l'échec de DHCP pour configurer le réseau et que vous ayez choisi « Continuer »).

    • Mettez à jour le système une fois qu'il est lancé pour la première fois dans un environnement correct avec un accès Internet.

6.3.2. Environnements de bureau

Plusieurs environnements de bureau sont disponibles :

  • Xfce a une empreinte légèrement plus forte que celle de LXDE, mais une très bonne prise en charge linguistique (106 langues).

  • KDE et GNOME bénéficient d'une bonne prise en charge linguistique, mais ont une empreinte trop forte à la fois pour les ordinateurs les plus anciens et les clients LTSP.

  • Cinnamon est une alternative plus légère à GNOME.

  • MATE est plus léger que les trois précédents, mais manque d'une prise en charge linguistique satisfaisante pour plusieurs pays.

  • LXDE a l'empreinte la plus légère et prend en compte 35 langues.

  • LXQt est un environnement de bureau léger (prise en charge linguistique similaire à LXDE) avec un style plus moderne (basé sur Qt comme KDE).

Debian Edu, en tant que projet international a choisi d'utiliser Xfce comme environnement de bureau par défaut ; voir plus loin comment en configurer un autre.

6.3.3. Installation modulaire

  • Lors de l'installation d'un système qui comprend le profil Station de travail, de nombreux programmes relatifs à l'éducation sont installés. Pour n'installer qu'un profil de base, il faut supprimer le paramètre du noyau en ligne de commande desktop=xxxx avant de lancer l'installation ; voir plus loin ci-dessous des détails sur comment cela fonctionne. Cela permet d'installer un système spécifique au site et peut être utilisé pour accélérer des installations test.

  • Please note: If you want to install a desktop environment afterwards, don't use the Debian Edu meta-packages like e.g. education-desktop-xfce because these would pull in all education related programs; rather install e.g. task-xfce-desktop instead. One or more of the new school level related meta-packages education-preschool, education-primaryschool, education-secondaryschool, education-highschool could be installed to match the use case.

  • Consultez la page aperçu des paquets Debian Edu pour plus de détails sur les méta-paquets de Debian Edu.

6.3.4. Types et options d'installation

Installer boot menu on 64-bit Hardware - BIOS mode

64-bit Installer boot menu (BIOS mode)

Graphical install utilise l'installateur GTK dans lequel vous pouvez utiliser la souris.

Install effectue une installation en mode texte.

Advanced options > affiche un sous-menu d'options détaillées à choisir.

Help donne quelques conseils pour utiliser l'installateur ; voir la copie d'écran ci-dessous.

Options avancées de l'installateur 64 bits (écran 1)

Back.. affiche de nouveau le menu principal.

Graphical expert install affiche toutes les questions, vous pouvez utiliser la souris.

Graphical rescue mode transforme le support d'installation en disque de secours pour les cas de détresse.

Graphical automated install a besoin d'un fichier de configuration.

Expert install affiche toutes les questions en mode texte.

Rescue mode en mode texte ; transforme le support d'installation en disque de secours pour les cas de détresse.

Automated install en mode texte ; a besoin d'un fichier de configuration.

Do not use Graphical expert install or Expert install, use debian-edu-expert instead as an additional kernel parameter in exceptional cases.

Écran d'aide

Écran d'aide de l'installateur

Cet écran d'aide intuitif permet aux touches <F> du clavier d'obtenir plus d'explications sur les thèmes développés.

Installer boot menu on 64-bit Hardware - UEFI mode

64-bit Installer boot menu (UEFI mode)

Ajouter ou modifier des paramètres de démarrage pour les installations

In both cases, boot options can be edited by pressing the TAB or E key in the boot menu; the screenshots show the command line for Graphical install.

Edit command line options (BIOS mode)

Edit command line options (UEFI mode)

  • You can use an existing HTTP proxy service on the network to speed up the installation of the Main Server profile from CD. Add e.g. mirror/http/proxy=http://10.0.2.2:3128 as an additional boot parameter.

  • If you have already installed the Main Server profile on a machine, further installations should be done via PXE, as this will automatically use the proxy of the main server.

  • Pour installer l’environnement de bureau GNOME au lieu de Xfce, l’environnement de bureau par défaut, remplacez xfce par gnome dans le paramètre desktop=xfce.

  • Pour installer l’environnement de bureau LXDE à la place, utilisez desktop=lxde.

  • Pour installer l’environnement de bureau LXQt à la place, utilisez desktop=lxqt.

  • Pour installer l’environnement de bureau KDE Plasma à la place, utilisez desktop=kde.

  • Pour installer l’environnement de bureau Cinnamon à la place, utilisez desktop=cinnamon.

  • Pour installer l’environnement de bureau MATE à la place, utilisez desktop=mate.

6.3.5. Le processus d'installation

Souvenez-vous des besoins matériels et assurez-vous d'avoir au moins deux cartes réseau (NIC) si vous envisagez d'installer un serveur LTSP.

  • Choisissez une langue (pour l'installation et le système installé).

  • Choisissez l'endroit qui devrait normalement être le lieu où vous vivez.

  • Choisissez une disposition de clavier (généralement, le choix par défaut du pays convient).

  • Choisissez le ou les profils de la liste suivante.

    • Serveur principal

      • C'est le serveur principal (tjener) pour votre école, il fournit tous les services préconfigurés pour fonctionner sans modification. Vous ne devez installer qu'un seul serveur principal par école ! Ce profil n'inclut pas d'interface graphique. Si vous en voulez une, installez en plus le profil Station de travail ou Serveur LTSP.

    • Station de travail

      • Un ordinateur s'amorçant depuis son disque dur local, exécutant tous les logiciels et exploitant tous ses périphériques comme un ordinateur ordinaire, mais la connexion de l'utilisateur est authentifiée par le serveur principal, où les fichiers de l'utilisateur et le profil de bureau sont enregistrés.

    • Station de travail mobile

      • Similaire à une station de travail, mais capable de s'authentifier en utilisant des identifiants en cache, ce qui signifie qu'elle peut être utilisée en dehors du réseau de l'école. Les fichiers et profils des utilisateurs sont gardés sur le disque local. Pour les ordinateurs portables avec un unique utilisateur, ce profil devrait être choisi à la place de « Station de travail » ou « Autonome » comme c'était suggéré dans les versions précédentes.

    • Serveur LTSP

      • Serveur de clients légers (et de stations de travail sans disque), également appelé serveur LTSP. Les clients sans disque dur s'amorcent et exécutent les logiciels depuis ce serveur. Cet ordinateur a besoin de deux interfaces réseau, de beaucoup de mémoire, et, idéalement, de plus d'un processeur ou cœur. Consultez le chapitre à propos des clients en réseau pour plus d'informations à ce sujet. En installant ce profil, le profil « station de travail » est également activé (même s'il n'a pas été sélectionné), puisqu'un serveur LTSP peut également être utilisé comme station de travail.

    • Autonome

      • Un ordinateur ordinaire qui peut fonctionner sans serveur principal, c'est-à-dire qui n'a pas besoin d'être sur le réseau. Cela inclut les ordinateurs portables.

    • Minimal

      • This profile will install the base packages and configure the machine to integrate into the Debian Edu network, but without any services and applications. It is useful as a platform for single services manually moved out from the main server.

        In case ordinary users should be able to use such a system, it needs to be added using GOsa² (similar to a workstation) and the libpam-krb5 package needs to be installed.

    Les profils Serveur principal, Station de travail et Serveur LTSP sont présélectionnés. Ces profils peuvent être installés ensemble sur une machine si vous voulez installer un serveur principal combiné. Cela signifie que le serveur principal sera un serveur LTSP ainsi qu'une station de travail. C'est le choix par défaut, puisque nous présumons que c’est ce que la plupart des gens désirent. Notez que deux cartes réseau doivent être installées dans la machine qui sera configurée comme serveur principal combiné et comme serveur LTSP pour pouvoir l'utiliser après l'installation.

  • Répondez « Oui » ou « Non » au partitionnement automatique. Soyez conscient qu'en répondant « Oui », cela détruira toutes les données du disque ! D'un autre côté, répondre « Non » vous demandera plus de travail et il faudra vous assurer que les partitions que vous créez sont assez grosses.

  • Veuillez accepter de soumettre des informations à https://popcon.debian.org/ pour nous permettre de savoir quels paquets sont les plus populaires et devraient être conservés pour les prochaines versions. Bien que ce ne soit pas obligatoire, c'est un moyen facile pour vous de nous aider.

  • Wait. If the selected profiles include LTSP Server then the installer will spend quite some time at the end, "Finishing the installation - Running debian-edu-profile-udeb...".

  • Après avoir donné le mot de passe du superutilisateur, il vous sera demandé de créer un compte utilisateur normal pour les tâches autres que celles liées à l'administration de la machine. Pour Debian Edu, ce compte est très important : c'est ce compte que vous utiliserez pour gérer le réseau Skolelinux.

    Le mot de passe choisi pour cet utilisateur doit avoir une longueur d'au moins 5 caractères et doit être différent du nom d'utilisateur, sinon l'authentification ne sera pas possible (même si un mot de passe plus court et un mot de passe correspondant au nom de l'utilisateur seront acceptés par l'installateur).

  • Patientez encore dans le cas d’un serveur principal combiné après le redémarrage du système. Cela prend quelque temps pour la création de l’image SquashFS pour les stations de travail sans disque.

  • Dans le cas d’un serveur LTSP distinct, les stations de travail sans disque ou les clients légers nécessitent quelques étapes manuelles. Consultez le Network clients HowTochapitre correspondant de ce manuel.

6.3.6. Installing a gateway using debian-edu-router

The debian-edu-router-config package simplifies the the setup of a gateway for a Debian Edu network through an interactive configuration process where the necessary information is obtained through a series of dialogues.

In order to make use of it, perform a minimal Debian installation. Be sure to use the regular Debian installer and not the Debian Edu installer since Debian Edu installations are not supported by debian-edu-router-config.

Install the debian-edu-router-config package using

DEBIAN_FRONTEND=noninteractive apt install -y -q debian-edu-router-config

Error messages regarding the configuration are expected and can be ignored for now.

For the configuration process following the installation of debian-edu-router-config, physical access to the computer is required.

The network interfaces may already be connected to the corresponding networks but do not have to be. However it is necessary to be aware which interface will be connected to which network. In order to obtain more information about the network hardware

lshw -class network

can be used.

Remove the configuration of the two network interfaces to be used from /etc/network/interfaces or files in /etc/network/interfaces.d/ and un-configure the two interfaces using

ip addr flush <interface>

The actual configuration process is started with

dpkg-reconfigure --force uif debian-edu-router

Selecting the uif configuration method Confirmation for setting up uif

When asked about the uif firewall configuration method choose "debian-edu-router". Confirm that you want to set up the firewall for Debian Edu Router.

Allowing ping in uif Allowing traceroute in uif

Decide whether you want to respond to ping and traceroute. If unsure answer with yes as it can be useful for diagnosing network issues.

Enabling IP packet forwarding

Confirm that you want to enable IP packet forwarding.

Selecting the network setup method

Next, assign networks to the network interfaces in your router, choose one of the offered options depending on whether your network interfaces are already connected or not.

Selecting the uplink interface

Select the interface which is connected to the upstream network.

Selecting internal networks

Select an internal network, in case you are unsure and simply want a single internal network select "Education" here.

Enabling use of VLANs

Select whether VLANs should be used for internal networks, if you are unsure select no here.

Selecting supported IP versions

Select "IPv4" here.

Selecting networks which require a static IP address

Select "Uplink" if your upstream network requires a static IP address and, if you followed the above suggestion on internal networks, "Education".

Setting a static IP address for the internal network

Set 10.0.0.1/8 as the static IP address for the internal network "Education" if you followed the above suggestion on internal networks.

Enabling NAT for networks

Enable NAT for the internal network.

Enabling internet access for networks

Enable internet access for internal networks.

Setting up reverse NAT

If you want to expose any internal services to the internet you can configure them using the described syntax. Note that SSH access to the gateway can be configured using the following dialog.

Enabling SSH access for networks

Decide from which networks you want to allow SSH access to the gateway.

Configuring the SSH port

Configure the SSH port, this should be 22 if the configuration has not been changed.

Enabling DHCP for networks

Do not enable DHCP for the internal networks, it will be offered by the Debian Edu main server.

Connect the network interfaces if you have not already done so and reboot the machine.

SSH main menu SSH configuration

If SSH access has been enabled the gateway can be reconfigured remotely via the menu offered when logging in as root. Pressing c in the main menu switches to the configuration menu from which all or parts of the configuration can be changed using the same dialogue system which was used for the initial configuration.

6.3.7. Notes sur quelques particularités

6.3.7.1. Note concernant les ordinateurs portables

Vous voudrez certainement utiliser le profil « Station de travail mobile » (voir plus haut). Gardez à l'esprit que toutes les données sont gardées localement (donc prenez soin de faire des sauvegardes) et que les identifiants de connexion sont en cache (donc après un changement de mot de passe, la connexion pourrait nécessiter votre ancien mot de passe si vous n'avez pas connecté votre ordinateur portable au réseau et ne vous êtes pas authentifié avec le nouveau mot de passe).

6.3.7.2. Une remarque sur les installations à partir de l'image pour clé USB et disque Blu-ray

Si vous effectuez l'installation depuis l'image pour clé USB et disque Blu-ray, /etc/apt/sources.list ne contiendra que les sources de cette image. Si vous avez un accès à Internet, nous vous recommandons fortement d'ajouter les lignes suivantes afin que les mises à jour de sécurité soient disponibles :

deb http://deb.debian.org/debian/ bookworm main 
deb http://security.debian.org bookworm-security main 
6.3.7.3. Note concernant l'installation depuis un CD

A netinst installation (which is the type of installation our CD provides) will fetch some packages from the CD and the rest from the net. The amount of packages fetched from the net varies from profile to profile but stays below a gigabyte (unless you choose to install all possible desktop environments). Once you have installed the main server (whether a pure main server or combi-server does not matter), further installation will use its proxy to avoid downloading the same package several times from the net.

6.3.8. Installation depuis une clé USB au lieu d'un CD ou d'un disque Blu-ray.

It is possible to directly copy a CD/BD ISO image to USB flash drives (also known as "USB sticks") and boot from them. Simply execute a command like this, just adapting the file and device name to your needs:

sudo dd if=debian-edu-amd64-XXX.iso of=/dev/sdX bs=1M

Pour déterminer la valeur de X, exécutez cette commande avant et après l'insertion du périphérique USB :

lsblk -p

Veuillez noter que la copie prendra un bon moment.

En fonction de l'image que vous choisissez, la clé USB se comportera exactement comme un CD ou un disque Blu-ray.

6.3.9. Installation et amorçage à travers le réseau à l’aide de PXE

For this installation method it is required that you have a running main server. When clients boot via the network, an iPXE menu with installer and boot selection options is displayed. If PXE installation fails with an error message claiming a XXX.bin file is missing, then most probably the client's network card requires nonfree firmware. In this case the Debian Installer's initrd must be modified. This can be achieved by executing the command:

/usr/share/debian-edu-config/tools/pxe-addfirmware

on the server.

This is how the iPXE menu looks with the Main Server profile only:

The iPXE menu without LTSP entries

Voici à quoi ressemble le menu iPXE avec le profil Serveur LTSP :

The iPXE menu with LTSP entries

Cette configuration permet également d'amorcer des stations de travail sans disque et des clients légers à partir du réseau principal. Contrairement aux stations de travail et aux serveurs LTSP distincts, les stations de travail sans disque n'ont pas besoin d'être ajoutées à LDAP avec GOsa².

Des informations supplémentaires sur les clients en réseau sont disponibles dans le chapitre correspondant de ce manuel.

6.3.10. Modifier des installations PXE

L'installation PXE utilise un fichier de préconfiguration pour l'installateur Debian qui peut être modifié pour ajouter d'autres paquets à installer.

Une ligne de ce type doit être ajoutée à tjener:/etc/debian-edu/www/debian-edu-install.dat

d-i    pkgsel/include string my-extra-package(s)

The PXE installation uses the preseeding file /etc/debian-edu/www/debian-edu-install.dat. This file can be changed to adjust the preseeding used during installation, to avoid more questions when installing over the net. Another way to achieve this is to provide extra settings in /etc/debian-edu/pxeinstall.conf and /etc/debian-edu/www/debian-edu-install.dat.local and to run /usr/sbin/debian-edu-pxeinstall to update the generated files.

Further information can be found in the manual of the Debian Installer.

Pour désactiver ou modifier l'usage du serveur mandataire (« proxy ») lors de l'installation avec PXE, vous devez changer les lignes contenant mirror/http/proxy, mirror/ftp/proxy et preseed/early_command dans tjener:/etc/debian-edu/www/debian-edu-install.dat . Pour désactiver l'usage du proxy, ajoutez un « # » au début des deux premières lignes mentionnées et enlevez le texte « export http_proxy="http://webcache:3128";  » de la dernière.

Some settings can not be preseeded because they are needed before the preseeding file is downloaded. Language, keyboard layout and desktop environment are examples of such settings. If you want to change the default settings, edit the iPXE menu file /srv/tftp/ltsp/ltsp.ipxe on the main server.

6.3.11. Images personnalisées

La création de CD ou de disque Blu-ray personnalisés est assez facile, puisque nous utilisons l'installateur Debian, dont la conception est modulaire et qui possède d'autres fonctionnalités intéressantes. L'installation automatisée permet de définir les réponses aux questions posées.

Ainsi, vous n'avez qu'à créer un fichier de référence (« preseeding ») avec vos réponses (ce qui est décrit dans l'annexe du manuel de l'installateur Debian) et recréer les CD ou DVD.

6.4. Visite guidée

L'installation en mode texte et en mode graphique sont identiques, seule l'apparence diffère. Le mode graphique vous permet d'utiliser la souris et est plus agréable et plus moderne. À moins que votre matériel ne pose des problèmes avec le mode graphique, il n'y a pas de raison de ne pas l'utiliser.

So here is a screenshot tour through a graphical 64-bit Main Server + Workstation + LTSP Server installation (in BIOS mode) and how it looks at the first boot of the main server and a PXE boot on the LTSP client network (thin client session screen - and login screen after the session on the right has been clicked).

64-bit Installer boot menu (BIOS mode)

Select a language

Select your location

Configure the keyboard

Detect network hardware

Configure network manually

Configure IP address

Configure gateway

Configure nameserver

Choose Debian Edu profile

Use the automatic partitioning tool: no

Use the automatic partitioning tool: yes

Participate in the package usage survey: no

Participate in the package usage survey: yes

Set password for the root user

Set full name for the first user

Set user name for the first user

Set password for the first user

Installation complete

Lightdm Login screen

Xfce Desktop showing Browser window

Xfce Desktop screen

Thin-Client-Welcome screen

Thin-Client-Login screen

7. Démarrage rapide

7.1. Étapes minimales pour démarrer

Un premier compte d'utilisateur a été créé pendant l'installation du serveur principal. Ce compte sera appelé « premier utilisateur » dans la suite de ce texte. Ce compte est spécial, car les droits du répertoire personnel sont réglés à 700 (il est donc nécessaire d'exécuter la commande chmod o+x ~ pour rendre les pages web personnelles accessibles), et le premier utilisateur peut utiliser sudo pour devenir superutilisateur.

Consultez les informations sur la configuration de l'accès au système de fichiers spécifique à Debian Edu avant d’ajouter des utilisateurs ; adaptez-la à la politique de votre site si nécessaire.

Après l'installation, les premières choses que vous devez faire en tant que premier utilisateur sont :

  1. Connectez-vous au serveur ;

  2. Ajoutez des utilisateurs avec GOsa² ;

  3. Ajoutez des stations de travail avec GOsa².

L'ajout d'utilisateurs et de stations de travail est décrit en détail ci-dessous, veuillez lire le chapitre au complet. Il explique comment faire correctement ces étapes minimales ainsi que d'autres choses que tout le monde a probablement besoin de faire.

There is additional information available elsewhere in this manual: the New features in Bookworm chapter should be read by everyone who is familiar with previous releases. And for those upgrading from a previous release, make sure to read the Upgrades chapter.

Si le trafic DNS générique est bloqué hors de votre réseau et que vous avez besoin d'utiliser un serveur DNS particulier pour faire une recherche d'hôte Internet, vous devez configurer le serveur DNS pour utiliser ce serveur particulier comme son transitaire (« forwarder »). Pour cela, mettez à jour /etc/bind/named.conf.options et précisez l'adresse IP du serveur DNS à utiliser.

Le chapitre Manuels (HowTo) fournit davantage d'astuces et de réponses à des questions courantes.

7.1.1. Services exécutés sur le serveur principal

Plusieurs services sont exécutés sur le serveur principal et peuvent être contrôlés par une interface web. Nous décrirons plus bas chacun de ces services.

7.2. Présentation de GOsa²

GOsa² est un outil de gestion reposant sur une interface web qui vous aide à contrôler certains réglages importants de Debian Edu. Avec GOsa², vous pouvez contrôler les groupes principaux suivants (ajout, modification, suppression) :

  • Administration des utilisateurs

  • Administration des groupes

  • Administration du groupe réseau NIS

  • Administration des machines

  • Administration DNS

  • Administration DHCP

Pour accéder à GOsa², vous avez besoin du serveur principal Skolelinux et d'un système (client) disposant d'un navigateur web qui peut être le serveur principal lui-même s'il est configuré comme un serveur combiné (serveur principal + serveur LTSP + station de travail).

If you (probably accidentally) installed a pure Main Server profile and don't have a client with a web-browser handy, it's easy to install a minimal desktop on the main server using this command sequence in a (non-graphical) shell as the user you created during the main server's installation (first user):

  $ sudo apt update
  $ sudo apt install task-desktop-xfce lightdm education-menus
  $ sudo service lightdm start

Depuis un navigateur web, utilisez l'URL https://www/gosa pour accéder à GOsa² et identifiez-vous en tant que premier utilisateur.

  • If you are using a new Debian Edu Bookworm machine, the site certificate will be known by the browser.

  • Autrement, vous obtiendrez un message d'erreur à propos du certificat SSL incorrect. Si vous savez que vous êtes seul sur votre réseau, indiquez seulement à votre navigateur d'accepter et d'ignorer cette erreur.

7.2.1. Connexion à GOsa² et aperçu

Page d'aperçu de GOsa² après connexion en tant que premier utilisateur

Après connexion à GOsa², vous verrez la page d'aperçu de GOsa².

Ensuite, vous pouvez choisir une tâche dans le menu ou cliquer sur l'icône de la tâche dans la page d'aperçu. Pour la navigation, nous recommandons d'utiliser le menu sur la gauche de l'écran, car il restera visible sur toutes les pages d'administration de GOsa².

Dans Debian Edu, les informations de comptes, de groupes et de systèmes sont enregistrées dans un répertoire LDAP. On y accède non seulement depuis le serveur principal, mais aussi depuis les stations de travail, les serveurs LTSP et les autres machines sur le réseau. Avec LDAP, les informations concernant les étudiants, élèves, professeurs, etc., ne devront être renseignées qu'une seule fois et seront ensuite accessibles depuis tous les systèmes du réseau.

GOsa² est un outil d'administration qui utilise LDAP pour stocker ses informations et fournir une structure de département hiérarchique. Pour chaque « département », vous pouvez ajouter des comptes utilisateurs, des groupes, systèmes, réseaux, etc. En fonction de la structure de votre institution, vous pouvez utiliser la structure de département dans GOsa²/LDAP pour transférer votre structure organisationnelle dans l'arbre de données LDAP du serveur principal Debian Edu.

Une installation par défaut du serveur Debian Edu fournit actuellement deux « départements » : Enseignants et Étudiants, en plus du niveau de base de l'arbre LDAP. Les comptes étudiants sont prévus pour être ajoutés au département « Étudiants » et ceux des enseignants dans le département « Enseignants » ; les systèmes (serveurs, stations de travail,imprimantes, etc.) sont actuellement ajoutés dans le niveau de base. À vous de trouver votre propre schéma pour personnaliser cette structure. Vous trouverez un exemple montrant la création d'utilisateurs regroupés par année avec un répertoire personnel commun dans chaque groupe dans le chapitre correspondant de ce manuel.

En fonction de la tâche sur laquelle vous voulez travailler (gérer les utilisateurs, groupes, systèmes, etc.) GOsa² vous présente une vue différente du département sélectionné (ou du niveau de base).

7.3. Gestion des utilisateurs avec GOsa²

Tout d'abord, cliquez sur « Utilisateurs » dans le menu de navigation de gauche. La partie droite de l'écran va changer pour montrer un tableau contenant les répertoires de départements pour étudiants et enseignants et le compte de l'administrateur de GOsa² (le premier utilisateur créé). Vous pouvez voir au-dessus de ce tableau un champ appelé Base vous permettant de naviguer dans la structure de l'arbre (survolez cette zone avec la souris pour faire apparaître un menu déroulant) et de choisir un répertoire de base pour vos opérations (par exemple ajouter un utilisateur).

7.3.1. Ajouter des utilisateurs

À côté de cet arbre de navigation vous pouvez voir le menu « Actions ». Survolez cet élément avec votre souris et un sous-menu apparaitra à l'écran ;choisissez « Créer », puis « Utilisateur ». Vous serez guidé par l'assistant de création d'utilisateur.

  • La chose la plus importante à ajouter est le modèle (nouvel étudiant ou nouvel enseignant) et le nom complet de votre utilisateur.

  • En suivant l'assistant, vous verrez que GOsa² crée automatiquement un identifiant basé sur le nom réel. Il choisit automatiquement un identifiant qui n'existe pas déjà, de façon à ce que plusieurs utilisateurs ayant le même nom ne posent pas de problème. Veuillez noter que GOsa² peut créer des identifiants invalides si le nom complet comprend des caractères non ASCII.

  • Si vous n'aimez pas le nom d'utilisateur créé, vous pouvez choisir un autre nom d'utilisateur parmi ceux proposés dans la boîte de dialogue, mais vous n'avez pas de choix complètement libre dans l'assistant. (Si vous souhaitez pouvoir éditer la proposition du nom d'utilisateur, ouvrez /etc/gosa/gosa.conf avec un éditeur et ajoutez allowUIDProposalModification="true" comme option additionnelle à la section « location definition ».)

  • Quand l'assistant a terminé, l'écran GOsa² du nouvel utilisateur s'affiche. Utilisez les onglets du haut pour vérifier les champs remplis.

Après avoir créé l'utilisateur (pas besoin de remplir les champs laissés vides par l'assistant pour le moment), cliquez sur le bouton « Ok » dans le coin inférieur droit.

Dans la dernière étape, GOsa² va demander le mot de passe du nouvel utilisateur. Tapez-le deux fois puis cliquez sur « Définir le mot de passe » dans le coin inférieur droit. Certains caractères ne peuvent pas être présents dans un mot de passe.

Si tout s'est bien passé, vous pouvez maintenant voir le nouvel utilisateur dans le tableau listant les utilisateurs. Vous devriez maintenant être capable de vous connecter avec cet identifiant sur n'importe quelle machine Skolelinux de votre réseau.

7.3.2. Rechercher, modifier et supprimer des utilisateurs

Boîte de filtre

Pour modifier ou supprimer un utilisateur, utilisez GOsa² pour parcourir la liste des utilisateurs de votre système. Vous trouverez au centre de l'écran la boîte « Filtre », un outil de recherche fourni par GOsa². Si vous ne connaissez pas la localisation exacte de votre identifiant dans votre arbre, allez dans le niveau de base de l'arbre GOsa²/LDAP et faites-y votre recherche en cochant l'option « Chercher dans les sous-arbres ».

Quand la boîte « Filtre » est utilisée, les résultats apparaissent immédiatement au milieu du texte dans la liste de tableau. Chaque ligne représente un identifiant et les éléments tout à droite de chaque ligne sont de petites icônes qui proposent des actions : éditer un utilisateur, verrouiller un compte, définir le mot de passe et supprimer un utilisateur.

Une nouvelle page sera affichée et vous pourrez directement y modifier les informations relatives à un utilisateur, changer son mot de passe et modifier la liste des groupes auxquels il appartient.

Modifier les données d'utilisateur

7.3.3. Définir les mots de passe

Les étudiants peuvent modifier leur propre mot de passe en se connectant à GOsa² avec leur identifiant. Afin de faciliter l'accès à GOsa², une entrée appelée Gosa est fournie dans le menu « Système » (ou « Paramètres système ») du bureau. Un étudiant connecté aura accès à une version minimale de GOsa² qui ne lui permettra d'accéder qu'aux données de son propre compte et au dialogue de changement de mot de passe.

Les enseignants connectés avec leur propre identifiant ont des privilèges spéciaux dans GOsa². Ils ont accès à une version privilégiée de GOsa² et peuvent changer le mot de passe de tous les étudiants. Cela peut s'avérer très pratique durant un cours.

Pour définir un nouveau mot de passe pour un utilisateur

  1. Recherchez l'utilisateur à modifier tel qu'expliqué ci-dessus.

  2. Cliquez sur la clé à la fin de la ligne sur laquelle se trouve l'utilisateur.

  3. Sur la page présentée, vous pouvez définir un nouveau mot de passe choisi par vous-même.

Définir le mot de passe utilisateur

Be aware of security implications due to easy to guess passwords!

7.3.4. Gestion avancée des utilisateurs

Il est possible de créer massivement des utilisateurs avec GOsa² en utilisant un fichier CSV qui peut être créé avec n'importe quel bon tableur (par exemple localc). Au minimum, les données pour les champs suivants doivent être fournies : identifiant utilisateur (« uid »), nom de famille (« sn »), prénom (« givenName ») et un mot de passe. Assurez-vous qu'il n'y a pas d'entrées en double dans le champ « uid ». Veuillez noter que cette vérification de l'absence de doublons doit aussi prendre en compte les entrées « uid » déjà existantes dans LDAP (qui peuvent être obtenues en exécutant getent passwd | grep tjener/home | cut -d":" -f1 sur la ligne de commande).

Voici les directives de format pour un tel fichier CSV (GOsa² est plutôt intransigeant avec eux) :

  • Utilisez « , » comme séparateur de champs.

  • Ne pas utiliser de guillemets

  • Le fichier CSV ne doit pas contenir de ligne d'en-tête (du genre qui contient normalement les noms des colonnes).

  • L'ordre des champs n'est pas important et peut être défini dans GOsa² durant l'import par lot.

Les étapes de la création par lot sont :

  1. Cliquez sur le lien « Gérer l'annuaire » dans le menu de gauche.

  2. Cliquez sur l'onglet « CSV Import » dans l'écran de droite.

  3. Parcourez votre disque local et sélectionnez un fichier CSV avec la liste des utilisateurs devant être importés.

  4. Choisissez un modèle utilisateur disponible qui devrait être appliqué durant l'import par lot (comme nouvel enseignant ou nouvel étudiant).

  5. Cliquez sur le bouton « Importer » dans le coin inférieur droit.

Il est conseillé de faire un test au préalable, de préférence avec un fichier CSV contenant quelques utilisateurs fictifs qui pourront être supprimés par la suite.

Same applies to the password management module, which allows one to reset a lot of passwords using a CSV file or to re-generate new passwords for users belonging to a special LDAP subtree.

Redéfinir les mots de passe

7.3.4.1. Adding users from the command line

User accounts can also be added from the command line using the ldap-createuser-krb5 tool, see the documentation in the Administration HowTo

7.4. Gestion des groupes avec GOsa²

Créer un groupe

Créer un groupe

La gestion des groupes est semblable à celle des utilisateurs.

Vous pouvez entrer un nom et une description par groupe. Assurez-vous de choisir le bon niveau dans l'arbre LDAP lors de la création d'un nouveau groupe.

L'ajout d'utilisateurs à un groupe nouvellement créé vous ramène à la liste des utilisateurs, où vous voudrez probablement utiliser la boîte de filtre pour trouver des utilisateurs. Vérifiez également le niveau de l'arbre LDAP.

Les groupes créés par l'outil d'administration de groupes sont aussi des groupes Unix classiques, si bien que vous pouvez vous appuyer sur eux pour créer les permissions d'accès aux fichiers.

7.5. Gestion de machines avec GOsa²

Avec la gestion de machines, vous pouvez administrer simplement tous les systèmes ayant une adresse IP située sur votre réseau Debian Edu. Toutes les machines ajoutées au répertoire LDAP à l'aide de GOsa² disposent d'un nom d'hôte, d'une adresse IP, d'une adresse MAC et d'un nom de domaine qui est habituellement « intern ». Pour une description plus approfondie de l'architecture de Debian Edu, consultez le chapitre Architecture de ce manuel.

Les stations de travail sans disque et les clients légers sont prêts à l’emploi dans le cas d’un serveur principal combiné.

Les stations de travail avec disque (y compris les serveurs LTSP distincts) doivent être ajoutées avec GOsa². En arrière-plan, à la fois un Kerberos Principal spécifique à la machine (une espèce de compte) et un fichier keytab (table de clés) associé (contenant une clé utilisée comme mot de passe) sont générés. Le fichier keytab doit être présent sur la station de travail pour pouvoir monter les répertoires personnels des utilisateurs. Une fois que le système ajouté a été redémarré, connectez-vous en tant que superutilisateur et exécutez /usr/share/debian-edu-config/tools/copy-host-keytab.

Pour créer un Principal et le fichier keytab pour un système déjà configuré par GOsa², connectez-vous en tant que superutilisateur au serveur principal et exécutez la commande

/usr/share/debian-edu-config/tools/gosa-modify-host <hostname> <IP>

Attention : la création de la table des clés de l'hôte est possible pour les systèmes de type station de travail, les serveurs et les terminaux, mais pas pour ceux de type périphérique réseau. Consultez le chapitre correspondant pour les options de configuration NFS.

To add a machine, use the GOsa² main menu, systems, add. The name of the machine is expected to be a valid unqualified hostname, do not add the domain name here. You can use an IP address/hostname from the preconfigured address space 10.0.0.0/8. Currently there are only two predefined fixed addresses: 10.0.2.2 (tjener) and 10.0.0.1 (gateway). The addresses from 10.0.16.20 to 10.0.31.254 (roughly 10.0.16.0/20 or 4000 hosts) are reserved for DHCP and are assigned dynamically.

Pour affecter une adresse IP statique à un hôte d'adresse MAC 52:54:00:12:34:10 dans GOsa², vous devez entrer l'adresse MAC, le nom et l'adresse IP ; sinon vous pouvez cliquer sur le bouton Proposer une adresse ip qui indiquera la première adresse libre dans 10.0.0.0/8, probablement quelque chose comme 10.0.0.1 si vous ajoutez la première machine de cette façon. Mieux vaut d'abord réfléchir à votre réseau : par exemple, vous pourriez utiliser 10.0.0.x avec x>10 et x<50 pour les serveurs, et x>100 pour les stations de travail. N'oubliez pas d'activer le système fraîchement ajouté. À l'exception du serveur principal tous les systèmes auront alors une icône qui leur correspond.

Si les machines ont démarré comme clients légers ou stations de travail sans disque, ou ont été installées en utilisant n'importe quel profil réseau, le script sitesummary2ldapdhcp permet d'ajouter automatiquement des machines dans GOsa². Pour des machines simples cela fonctionnera sans modification. Pour les machines avec plus d'une adresse mac, il faudra choisir celle qui est réellement utilisée, et sitesummary2ldapdhcp -h affiche un message d'aide. Notez que l'adresse IP indiquée après l'utilisation de sitesummary2ldapdhcp appartient à la plage d'adresses IP dynamiques. Néanmoins ces systèmes peuvent ensuite être modifiés pour s'adapter à votre réseau. Renommez chaque nouveau système, activez le DHCP et le DNS, ajoutez-le aux groupes réseaux si besoin (regardez les captures d'écrans ci-dessous pour les groupes réseaux recommandés) et redémarrez après le système. Les captures d'écrans suivantes montrent à quoi ça ressemble en pratique.

root@tjener:~# sitesummary2ldapdhcp -a -i ether-22:11:33:44:55:ff
info: Create GOsa machine for am-2211334455ff.intern [10.0.16.21] id ether-22:11:33:44:55:ff.
 
Enter password if you want to activate these changes, and ^c to abort.
 
Connecting to LDAP as cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no
enter password: ********
root@tjener:~#

Liste des systèmes dans GOsa²

Renseignements sur le système

Modification du système

Ajout de groupe réseau

Une mise à jour automatique se fait toutes les heures ; su -c ldap2bind peut être utilisé pour déclencher une mise à jour manuelle.

7.5.1. Rechercher et supprimer des machines

La recherche et la suppression de machines sont assez semblables à celles d'un utilisateur, par conséquent ce ne sera pas développé ici.

7.5.2. Modification de machines existantes et gestion des groupes réseau

Après avoir ajouté une machine à l'arbre LDAP grâce à GOsa², vous pouvez modifier ses propriétés en utilisant l'outil de recherche et en cliquant sur le nom de la machine (comme vous le feriez pour un utilisateur).

Le format de ces entrées de système est semblable à celui que vous connaissez déjà pour avoir modifié les propriétés d'un utilisateur, cependant les informations ont un sens différent dans ce contexte.

For example, adding a machine to a NetGroup does not modify the file access or command execution permissions for that machine or the users logged in to that machine; instead it restricts the services that machine can use on your main server.

L'installation par défaut fournit les groupes réseau (NetGroups).

  • all-hosts

  • cups-queue-autoflush-hosts

  • cups-queue-autoreenable-hosts

  • fsautoresize-hosts

  • ltsp-server-hosts

  • netblock-hosts

  • printer-hosts

  • server-hosts

  • shutdown-at-night-hosts

  • shutdown-at-night-wakeup-hosts-blacklist

  • workstation-hosts

Actuellement, la fonctionnalité de NetGroup est utilisée pour :

  • Redimensionnement de partitions (fsautoresize-hosts)

    • Les machines Debian Edu dans ce groupe redimensionneront automatiquement leurs partitions LVM si elles manquent d'espace.

  • Extinction des machines la nuit (shutdown-at-night-hosts et shutdown-at-night-wakeup-hosts-blacklist)

    • Les machines Debian Edu dans ce groupe s'éteindront automatiquement la nuit pour économiser de l'énergie.

  • Gestion des imprimantes (cups-queue-autoflush-hosts et cups-queue-autoreenable-hosts)

    • Les machines Debian Edu dans ces groupes purgeront automatiquement toutes les files d'attente chaque nuit et relanceront toutes les heures les files d'impression désactivées.

  • Blocage de l’accès à Internet (netblock-hosts)

    • Debian Edu machines in this group will be allowed to connect to machines only on the local network. Combined with web proxy restrictions this might be used during exams.

8. Gestion des imprimantes

Pour la gestion centralisée des imprimantes, pointez votre navigateur web sur l'adresse https://www.intern:631. C'est l'interface normale de gestion du serveur d'impression CUPS, dans laquelle vous pouvez ajouter, supprimer et modifier vos imprimantes et nettoyer la file d'attente pour l'impression. Par défaut, seul le premier utilisateur est autorisé à faire ces changements, mais cela peut être modifié en ajoutant des utilisateurs au groupe printer-admins de GOsa².

8.1. Utilisation des imprimantes attachées aux stations de travail

Le paquet p910nd est installé par défaut dans un système avec le profil Station de travail.

  • Éditez ainsi /etc/default/p910nd (imprimante USB) :

    • P910ND_OPTS="-f /dev/usb/lp0"

    • P910ND_START=1

  • Configurez l'imprimante en utilisant l'interface web https://www.intern:631. Choisissez le type d'imprimante réseau AppSocket/HP JetDirect (pour toutes les imprimantes, quels que soient la marque et le modèle) et entrez socket://<ip station de travail>:9100 comme URI de connexion.

8.2. Imprimantes en réseau

Il est recommandé de désactiver toutes les fonctionnalités d’auto-promotion dans les imprimantes réseau utilisées. Assignez-leur plutôt une adresse IP fixe avec GOsa² et configurez-les comme imprimantes réseau AppSocket/HP JetDirect.

9. Synchronisation de l'horloge

The default configuration in Debian Edu is to keep the clocks on all machines synchronous but not necessarily correct. NTP is used to update the time. The clocks will be synchronised with an external source by default. This can cause machines to keep the external Internet connection open if it is created when used.

Si vous utilisez un modem téléphonique ou ISDN et payez à la minute, vous voudrez changer ce paramètre par défaut.

Pour désactiver la synchronisation avec une horloge externe, le fichier /etc/ntp.conf sur le serveur principal doit être modifié. Ajoutez des symboles de commentaire « # » devant les entrées serveur. Après cela, le serveur NTP doit être redémarré en exécutant service ntp restart en tant que superutilisateur. Pour tester si le serveur utilise les sources d'horloges externes, exécutez ntpq -c lpeer.

10. Étendre les partitions pleines

À cause d'un bogue dans le partitionnement automatique, certaines partitions peuvent être trop remplies après l'installation. Pour étendre ces partitions, exécutez debian-edu-fsautoresize -n en tant que superutilisateur. Consultez le manuel « Redimensionnement de partition » dans le chapitre d'administration générale pour plus d'informations.

11. Maintenance

11.1. Mise à jour des logiciels

Cette section explique comment utiliser apt full-upgrade.

Utiliser apt est vraiment simple. Pour mettre à niveau un système, vous devez exécuter deux commandes en tant que superutilisateur : apt update (mise à jour des listes de paquets disponibles) et apt full-upgrade (mise à niveau des paquets pour lesquels une mise à niveau est disponible).

C'est aussi une bonne idée d'utiliser les paramètres régionaux C (« locale ») pour la mise à niveau, afin d'obtenir des messages en anglais ce qui, en cas de problème, a plus de chance d'obtenir des résultats dans les moteurs de recherche.

LC_ALL=C apt full-upgrade -y

Après la mise à niveau du paquet debian-edu-config, des fichiers de configuration modifiés de Cfengine pourraient être disponibles. Exécutez la commande ls -ltr /etc/cfengine3/debian-edu/ pour vérifier si c'est le cas. Pour appliquer les modifications, exécutez la commande LC_ALL=C cf-agent -D installation.

It is important to run debian-edu-ltsp-install --diskless_workstation yes after LTSP server upgrades to keep the SquashFS image for diskless clients in sync.

Après une mise à niveau intermédiaire d'un système avec un profil Serveur principal ou Serveur LTSP, debian-edu-pxeinstall a besoin d'être exécuté pour mettre à jour l'environnement d'installation PXE.

Par ailleurs, il est judicieux d'installer cron-apt et apt-listchanges et de les configurer pour envoyer des courriers électronique à une adresse que vous consulterez.

cron-apt vous signalera une fois par jour par courrier électronique quels paquets peuvent être mis à niveau. Ce mécanisme n'installe pas les mises à niveau, mais les télécharge (généralement la nuit), de sorte que vous n'aurez pas besoin d'attendre la fin du téléchargement quand vous lancerez apt full-upgrade.

Si vous le souhaitez, l'installation des mises à jour peut être rendue automatique, simplement en installant et en configurant le paquet unattended-upgrades comme décrit sur la page wiki.debian.org/UnattendedUpgrades.

apt-listchanges peut vous envoyer par courrier électronique les nouvelles entrées des journaux de modifications, ou bien les afficher dans un terminal lorsque la commande apt est utilisée.

11.1.1. Restez informé des mises à jour de sécurité

Running cron-apt as described above is a good way to learn when security updates are available for installed packages. Another way to stay informed about security updates is to subscribe to the Debian security-announce mailinglist, which has the benefit of also telling you what the security update is about. The downside (compared to cron-apt) is that it also includes information about updates for packages which aren't installed.

11.2. Gestion des sauvegardes

Pour la gestion des sauvegardes, faites pointer votre navigateur sur https://www/slbackup-php. Veuillez noter que vous devez accéder à ce site par SSL, puisque le mot de passe du superutilisateur devra être saisi. En l'absence de chiffrement par SSL, la tentative d'accès échouera.

Note: the site will only work if you temporarily allow SSH root login on the backup server, which is the main server (tjener.intern) by default.

By default, backups of /skole/tjener/home0, /etc/, /root/.svk and LDAP are stored in the /skole/backup/ directory which is managed as separate partition by LVM. If you only want to have spare copies of things (in case you delete them) this setup should be fine for you.

Soyez conscient que cette sauvegarde ne protège pas d'une panne de disque dur.

Si vous souhaitez sauvegarder vos données sur un serveur externe, un lecteur de bande magnétique ou un autre disque dur, vous devrez légèrement modifier la configuration actuelle.

Si vous voulez restaurer un répertoire complet, votre meilleure option est d'utiliser la ligne de commande :

$ sudo rdiff-backup -r <date>  \
   /skole/backup/tjener/skole/tjener/home0/user \
   /skole/tjener/home0/user_<date>

Cela mettra le contenu de /skole/tjener/home0/user du <date> dans le répertoire /skole/tjener/home0/user_<date>

Si vous voulez restaurer un seul fichier, vous devriez pouvoir le sélectionner (ainsi que la version) à partir de l'interface web, et ne télécharger que ce fichier.

Si vous souhaitez vous débarrasser des anciennes sauvegardes, choisissez « Maintenance » dans le menu de la page des sauvegarde et choisissez le dernier instantané à garder :

Maintenance de slbackup-php

11.3. Surveillance des serveurs

11.3.1. Munin

Le système de rapport Munin est disponible depuis https://www/munin/. Il présente graphiquement des mesures de l'état du système de manière quotidienne, hebdomadaire, mensuelle et annuelle, et il apporte de l'aide à l'administrateur système pour identifier des goulots d'étranglement et la cause de problèmes du système.

La liste des machines surveillées à l'aide de Munin est créée automatiquement à partir de la liste des hôtes faisant des rapports à sitesummary. Tous les hôtes sur lesquels le paquet munin-node est installé sont enregistrés pour être surveillés par Munin. Normalement, la surveillance par Munin commencera un jour après l'installation d'une machine, en raison de l'ordre d'exécution des tâches planifiées par cron. Afin d'accélérer le processus, lancez sitesummary-update-munin en tant que superutilisateur sur le serveur sitesummary (normalement, le serveur principal). Cette commande mettra à jour le fichier /etc/munin/munin.conf.

L'ensemble des mesures collectées est créé automatiquement sur chaque machine grâce au programme « munin-node-configure » qui sonde les greffons disponibles dans /usr/share/munin/plugins/ et crée des liens symboliques dans /etc/munin/plugins/ pour les greffons pertinents.

Information about Munin is available from https://munin-monitoring.org/.

11.3.2. Icinga

Icinga, l'outil de surveillance du système et des services, est disponible depuis le site https://www/icingaweb2/. La liste des machines et services surveillés est automatiquement générée en utilisant l'information collectée par le système sitesummary. Les machines ayant le profil Serveur principal et Serveur LTSP ont une surveillance plus complète que les stations de travail et les clients légers. Pour activer une surveillance complète pour une station de travail, installez-y le paquet nagios-nrpe-server.

Par défaut, Icinga n'envoie pas de courrier électronique. Ce comportement peut être modifié en remplaçant notify-by-nothing par host-notify-by-email et notify-by-email dans le fichier /etc/icinga/sitesummary-template-contacts.cfg.

Le fichier de configuration utilisé par Icinga est /etc/icinga/sitesummary.cfg. La tâche cron sitesummary génère un fichier /var/lib/sitesummary/icinga-generated.cfg contenant la liste des hôtes et services à surveiller.

Des validations supplémentaires pour Icinga peuvent être ajoutées au fichier /var/lib/sitesummary/icinga-generated.cfg.post afin de les inclure dans le fichier généré.

Davantage d'informations sur le système Icinga sont disponibles sur https://www.icinga.com/ ou dans le paquet icinga-doc.

11.3.2.1. Avertissements courants d'Icinga et comment les gérer

Voici les instructions à suivre pour gérer les avertissements les plus courants de Icinga.

11.3.2.1.1. DISK CRITICAL - free space: /usr 309 MB (5% inode=47%):

La partition (/usr/ dans l'exemple) est pleine. Il existe en général deux façons de gérer cela. La première consiste à supprimer quelques fichiers et la seconde à augmenter la taille de la partition. Si la partition concernée est /var/, purger le cache d'APT en appelant apt clean devrait supprimer quelques fichiers. S'il reste de la place disponible sur le groupe de volume LVM, exécuter le programme debian-edu-fsautoresize pour agrandir la partition devrait aider. Pour lancer ce programme automatiquement toutes les heures, l'hôte concerné peut être ajouté au groupe réseau fsautoresize-hosts.

11.3.2.1.2. APT CRITICAL: 13 packages available for upgrade (13 critical updates).

New package are available for upgrades. The critical ones are normally security fixes. To upgrade, run apt upgrade && apt full-upgrade as root in a terminal or log in via SSH to do the same.

Si vous ne voulez pas mettre les paquets à niveau vous-même et que vous faites confiance à Debian pour faire du bon travail avec les nouvelles versions, vous pouvez configurer unattended-upgrades pour mettre à niveau automatiquement tous les nouveaux paquets chaque nuit. Cela ne mettra pas à jour les chroots LTSP.

11.3.2.1.3. WARNING - Reboot required : running kernel = 2.6.32-37.81.0, installed kernel = 2.6.32-38.83.0

Le noyau en cours d'utilisation est plus ancien que le noyau installé le plus récent et un redémarrage est nécessaire pour activer ce nouveau noyau. C'est normalement plutôt urgent puisque les nouveaux noyaux apparaissent dans Debian Edu pour corriger des problèmes de sécurité.

11.3.2.1.4. WARNING: CUPS queue size - 61

Les files d'attente d'impression de CUPS ont beaucoup de tâches en attente. C'est très probablement dû à une imprimante indisponible. Les files d'attente d'impression désactivées sont activées toutes les heures sur les hôtes du groupe réseau cups-queue-autoreenable-hosts, donc aucune action manuelle n'est nécessaire pour ces hôtes. Les files d'attente d'impression sont vidées toutes les nuits pour les hôtes du groupe réseau cups-queue-autoflush-hosts. Si un hôte a beaucoup de tâche en attente dans sa file, vous devriez l'ajouter à au moins un de ces deux groupes réseau.

11.3.3. Sitesummary

Sitesummary est utilisé pour collecter de l'information depuis chaque ordinateur et l'envoyer au serveur central. L'information collectée est disponible dans /var/lib/sitesummary/entries/. Les scripts dans /usr/lib/sitesummary/ permettent de générer des rapports.

A simple report from Sitesummary without any details is available from https://www/sitesummary/.

Some documentation on Sitesummary is available from https://wiki.debian.org/DebianEdu/HowTo/SiteSummary

11.4. Informations supplémentaires à propos des modifications particulières à Debian Edu

Des informations supplémentaires sur les personnalisations de Debian Edu, utiles aux administrateurs système, sont disponibles dans les chapitres d'administration générale et d'administration avancée .

12. Mises à jour

Avant d'expliquer le processus de mise à niveau, nous attirons votre attention sur le fait que son exécution sur un serveur en production se fera à vos risques et périls. Debian Edu/Skolelinux est disponible sans ABSOLUMENT AUCUNE GARANTIE, tel que permis par les lois en vigueur..

Please read this chapter and the New features in Bookworm chapter of this manual completely before attempting to upgrade.

12.1. Notes à propos de la mise à niveau

Upgrading Debian from one distribution to the next is generally rather easy. For Debian Edu this is unfortunately a bit more complicated as we modify configuration files in ways we shouldn't. However we have documented the needed steps below. (See Debian bug 311188 for more information how Debian Edu should modify configuration files.)

In general, upgrading the servers is more difficult than the workstations and the main server is the most difficult to upgrade.

Si vous voulez être certain que tout fonctionnera de la même manière après la mise à niveau, vous devriez appliquer celle-ci sur un serveur de test ou de configuration identique à votre serveur de production. Vous pourrez ainsi vous assurer sans risque que tout fonctionne correctement.

Assurez-vous de lire également les informations à propos de la version stable actuelle de Debian dans son manuel d'installation.

Par ailleurs, il peut être judicieux d'attendre et de laisser tourner l'ancienne version stable pendant quelques semaines supplémentaires, de sorte que d'autres puissent tester la mise à niveau et documenter les problèmes rencontrés. L'ancienne version stable de Debian Edu recevra une prise en charge continue pendant encore quelques temps après la sortie de la nouvelle version stable, mais quand Debian cessera la prise en charge de l'ancienne stable, Debian Edu devra faire de même.

12.2. Upgrades from Debian Edu Bullseye

Be prepared: make sure you have tested the upgrade from Bullseye in a test environment or have backups ready to be able to go back.

Please note that the following recipe applies to a default Debian Edu main server installation (desktop=xfce, profiles Main Server, Workstation, LTSP Server). (For a general overview concerning Bullseye to Bookworm upgrade, see: https://www.debian.org/releases/bookworm/releasenotes)

N'utilisez pas le serveur X, utilisez une console virtuelle, connectez-vous en tant que superutilisateur.

Si apt termine avec une erreur, essayez de la corriger et/ou de lancer apt -f install, puis à nouveau apt -y full-upgrade.

12.2.1. Mettez à niveau le serveur principal

  • Commencez par vous assurer que le système actuel est à jour :

apt update
apt full-upgrade
  • Prepare and start the upgrade to Bookworm:

sed -i 's/bullseye/bookworm/g' /etc/apt/sources.list
export LC_ALL=C
apt update
apt upgrade --without-new-pkgs
apt full-upgrade
  • apt-list-changes : soyez prêt à lire beaucoup d'INFORMATIONS ; appuyez sur <retour> pour les faire défiler, <q> pour quitter l'afficheur. Toutes les informations seront envoyées par courriel au superutilisateur, ainsi, il sera possible de les relire ultérieurement avec mailx ou mutt).

  • Lisez attentivement toutes les informations debconf, choisissez « garder la version locale installée actuellement » sauf indication contraire ci-dessous. Dans la plupart des cas, appuyer sur entrée sera suffisant.

    • restart services: Choose yes.

    • Serveur et utilitaires Samba : choisir « garder la version locale installée actuellement ».

    • openssh-server : choisir « garder la version locale installée actuellement ».

  • Appliquer la configuration et l'ajuster :

cf-agent -v -D installation
  • Vérifier que le système mis à niveau fonctionne :

Redémarrez ; connectez vous comme premier utilisateur et testez

  • si l'interface graphique de GOsa² fonctionne,

  • s'il est possible de se connecter aux clients LTSP et aux stations de travail,

  • s'il est possible d'ajouter ou de retirer l'appartenance à un groupe réseau d'un système,

  • s'il est possible d'envoyer et de recevoir des courriels internes,

  • s'il est possible de gérer les imprimantes,

  • et si d'autres éléments propres au site fonctionnent.

12.2.2. Mise à jour d'une station de travail

Do all the basic things like on the main server and without doing the things not needed.

12.3. Upgrades from older Debian Edu / Skolelinux installations (before Bullseye)

To upgrade from any older release, you will need to upgrade to the Bullseye based Debian Edu release first, before you can follow the instructions provided above. Instructions are given in the Manual for Debian Edu Bullseye about how to upgrade to Bullseye from the previous release, Buster.

13. Manuels (HowTo)

14. Manuels d'administration générale

Les chapitres Démarrage rapide et Maintenance décrivent comment prendre en main Debian Edu et comment effectuer le travail de maintenance de base. Les manuels de ce chapitre décrivent des astuces « avancées ».

14.1. Configuration history: tracking /etc/ using the Git version control system

Avec l'utilisation de etckeeper, tous les fichiers situés dans /etc/ sont suivis en utilisant le système de gestion de versions Git.

Cela permet de voir quand un fichier est ajouté, modifié ou supprimé, ainsi que de voir ce qui a changé dans le fichier si celui-ci est un fichier texte. Le dépôt Git est stocké dans /etc/.git/.

Toutes les heures, les changements sont automatiquement enregistrés, ce qui permet l'extraction et la consultation de l'historique de configuration.

To look at the history, the command etckeeper vcs log is used. To check the differences between two points in time, a command like etckeeper vcs diff can be used.

Veuillez consulter la sortie de man etckeeper pour des informations plus détaillées.

Liste de commandes utiles

etckeeper vcs log
etckeeper vcs status
etckeeper vcs diff
etckeeper vcs add .
etckeeper vcs commit -a
man etckeeper

14.1.1. Exemples d'utilisation

Sur un système récemment installé, lancez cette commande pour voir tous les changements effectués depuis l'installation :

etckeeper vcs log

Pour voir les fichiers qui actuellement ne sont pas suivis ou qui ne sont pas à jour :

etckeeper vcs status

Pour soumettre vous-même un fichier, parce que vous ne souhaitez pas attendre jusqu'à une heure :

etckeeper vcs commit -a /etc/resolv.conf

14.2. Redimensionner les partitions

Dans Debian Edu, toutes les partitions autres que /boot/ sont sur des volumes logiques LVM. Depuis la version 2.6.10 du noyau Linux, il est possible d'étendre des partitions alors qu'elles sont montées. La réduction d'une partition doit toujours être effectuée lorsque celle-ci est démontée.

Il est judicieux d'éviter de créer de très grandes partitions (par exemple au-delà de 20 Gio), à cause du temps que prend l'exécution de fsck sur celles-ci ou la restauration depuis une sauvegarde, si cela s'avérait nécessaire. Il est préférable, si possible, de créer plusieurs petites partitions plutôt qu'une seule très grande.

Le scriptdebian-edu-fsautoresize est fourni afin de faciliter l'extension de partitions pleines. Celui-ci lit la configuration depuis /usr/share/debian-edu-config/fsautoresizetab, /site/etc/fsautoresizetab et /etc/fsautoresizetab. À partir des règles décrites dans ces fichiers, il propose d'étendre les partitions ne disposant que de peu de place libre. S'il est appelé sans argument, il affiche seulement les commandes permettant d'étendre le système de fichiers. Le paramètre -n est requis pour effectuer réellement l'opération.

Le script est exécuté automatiquement toutes les heures sur chaque client du groupe réseau fsautoresize-hosts.

When the partition used by the Squid proxy is resized, the value for cache size in etc/squid/squid.conf needs to be updated as well. The helper script /usr/share/debian-edu-config/tools/squid-update-cachedir is provided to do this automatically, checking the current partition size of /var/spool/squid/ and configuring Squid to use 80% of this as its cache size.

14.2.1. Gestion d'un volume logique

La Gestion des Volumes Logiques (LVM) permet de redimensionner les partitions lorsqu'elles sont montées et en cours d'utilisation. Vous pouvez en apprendre davantage sur LVM en consultant le Manuel LVM.

Pour étendre un volume logique vous-même, indiquez simplement la taille que vous souhaitez atteindre à la commande lvextend. Par exemple, pour étendre home0 jusqu'à 30 Gio, utilisez les commandes suivantes :

lvextend -L30G /dev/vg_system/skole+tjener+home0
resize2fs /dev/vg_system/skole+tjener+home0

To extend home0 by additional 30GiB, you insert a '+' (-L+30G).

14.3. Utilisation de ldapvi

ldapvi est un outil pour éditer la base de données LDAP à l'aide d'un éditeur de texte en ligne de commande.

Vous devez exécuter ceci :

ldapvi -ZD '(cn=admin)'

Note : ldapvi utilisera l'éditeur par défaut, quel qu'il soit. En exécutant export EDITOR=vim sur la ligne de commande, vous pouvez configurer l'environnement pour utiliser un clone de vi comme éditeur.

Attention : ldapvi est un outil très puissant. Utilisez-le avec précaution pour ne pas endommager la base de données LDAP. Le même avertissement s'applique à JXplorer.

14.4. NFS avec Kerberos

Using Kerberos for NFS to mount home directories is a security feature. Workstations and LTSP clients won't work without Kerberos. The levels krb5, krb5i and krb5p are supported (krb5 means Kerberos authentication, i stands for integrity check and p for privacy, i.e. encryption); the load on both server and workstation increases with the security level, krb5i is a good choice and has been chosen as default.

14.4.1. Comment modifier le niveau de sécurité par défaut

Serveur principal

  • connectez-vous en tant que superutilisateur.

  • exécutez ldapvi -ZD '(cn=admin)', recherchez sec=krb5i et remplacez le par sec=krb5 ou sec=krb5p.

  • edit /etc/exports.d/edu.exports and adjust these entries accordingly:

/srv/nfs4        gss/krb5i(rw,sync,fsid=0,crossmnt,no_subtree_check)
/srv/nfs4/home0  gss/krb5i(rw,sync,no_subtree_check)
  • run exportfs -r.

14.5. Standardskriver

Cet outil permet de définir l'imprimante par défaut en fonction de l'emplacement, de la machine ou de l'appartenance à un groupe. Pour plus d'informations, lire /usr/share/doc/standardskriver/README.md.

Le fichier de configuration /etc/standardskriver.cfg doit être fourni par l'administrateur, voir /usr/share/doc/standardskriver/examples/standardskriver.cfgcomme exemple.

14.6. JXplorer, une interface graphique à LDAP

Si vous préférez une interface graphique pour manipuler la base de données LDAP, regardez du côté du paquet jxplorer, qui est installé par défaut. Pour obtenir l'accès en écriture, connectez-vous comme ceci :

host: ldap.intern
port: 636e
Security level: ssl + user + password
User dn: cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no

14.7. ldap-createuser-krb5, a command-line tool for adding users

ldap-createuser-krb is a small command line tool to create user accounts, it is invoked as follows:

ldap-createuser-krb5 [-u uid] [-g gid] [-G group[,group]...] [-d department] <username> <gecos>

All arguments except the username and GECOS field are optional, the latter usually should contain the full name of the user. Unless specified the tool will pick the next free UID and GID automatically and not assign any additional groups to the user. If no department is given, it will pick the first gosaDepartment from LDAP which is likely skole and for regular users usually not what you want, so you should pick an appropriate value for the user, e.g. Teachers or Students. After entering and confirming the password and entering the LDAP administrator password, ldap-createuser-krb5 will create the user account in LDAP, set the Kerberos password, create the home directory, and add a corresponding Samba user. The following screenshot shows an example invocation to create a user account named harhir for a teacher hose full name is "Harry Hirsch":

root@tjener:~# ldap-createuser-krb5 -d Teachers harhir "Harry Hirsch"
new user password: 
confirm password: 

dn: uid=harhir,ou=people,ou=Teachers,dc=skole,dc=skolelinux,dc=no
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: gosaAccount
objectClass: posixAccount
objectClass: shadowAccount
objectClass: krbPrincipalAux
objectClass: krbTicketPolicyAux
sn: Harry Hirsch
givenName: Harry Hirsch
uid: harhir
cn: Harry Hirsch
userPassword: {CRYPT}$y$j9T$TWnq55O1rvyLhjF.$oVf.t.RXC1v/4Y8FhV0umno629mo7bP7/YJyig6HET6
homeDirectory: /skole/tjener/home0/harhir
loginShell: /bin/bash
uidNumber: 1004
gidNumber: 1004
gecos: Harry Hirsch
shadowLastChange: 19641
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
krbPwdPolicyReference: cn=users,cn=INTERN,cn=kerberos,dc=skole,dc=skolelinux,dc=no
krbPrincipalName: harhir@INTERN

ldap_initialize( <DEFAULT> )
Enter LDAP Password: 
add objectClass:
        top
        person
        organizationalPerson
        inetOrgPerson
        gosaAccount
        posixAccount
        shadowAccount
        krbPrincipalAux
        krbTicketPolicyAux
add sn:
        Harry Hirsch
add givenName:
        Harry Hirsch
add uid:
        harhir
add cn:
        Harry Hirsch
add userPassword:
        {CRYPT}$y$j9T$TWnq55O1rvyLhjF.$oVf.t.RXC1v/4Y8FhV0umno629mo7bP7/YJyig6HET6
add homeDirectory:
        /skole/tjener/home0/harhir
add loginShell:
        /bin/bash
add uidNumber:
        1004
add gidNumber:
        1004
add gecos:
        Harry Hirsch
add shadowLastChange:
        19641
add shadowMin:
        0
add shadowMax:
        99999
add shadowWarning:
        7
add krbPwdPolicyReference:
        cn=users,cn=INTERN,cn=kerberos,dc=skole,dc=skolelinux,dc=no
add krbPrincipalName:
        harhir@INTERN
adding new entry "uid=harhir,ou=people,ou=Teachers,dc=skole,dc=skolelinux,dc=no"
modify complete

Authenticating as principal root/admin@INTERN with password.
kadmin.local:  change_password harhir@INTERN
Enter password for principal "harhir@INTERN": 
Re-enter password for principal "harhir@INTERN": 
Password for "harhir@INTERN" changed.
kadmin.local:  lpcfg_do_global_parameter: WARNING: The "encrypt passwords" option is deprecated
Added user harhir.

14.8. Utilisation de stable-updates

Bien que vous puissiez utiliser les dépôts stable-updates directement, vous n'y êtes pas obligé : les mises à jour de stable-updates sont régulièrement poussées vers la distribution stable lors des mises à jour intermédiaires, ce qui arrive environ tous les deux mois.

14.9. Utilisation des rétroportages pour installer des logiciels plus récents

Vous utilisez Debian Edu parce que vous appréciez sa stabilité. Elle fonctionne très bien, il y a juste un problème : parfois, les logiciels sont un peu plus anciens que vous ne le souhaiteriez. C'est là qu'intervient backports.debian.org.

Les paquets rétroportés (« backports ») sont recompilés depuis la version de test (principalement) et la version instable de Debian (dans certains cas seulement, par exemple dans le cas de mises à jour de sécurité), de sorte qu'ils pourront s'exécuter sans nouvelles bibliothèques (autant que possible) sur une distribution stable de Debian telle que Debian Edu. Nous vous recommandons de n'installer que les paquets rétroportés qui correspondent vraiment à vos besoins, et de ne pas utiliser tous ceux qui sont disponibles.

L'utilisation des paquets rétroportés est simple :

echo "deb http://deb.debian.org/debian/ bookworm-backports main" > /etc/apt/sources.list.d/bookworm-backports.sources.list
apt update

Après cette étape, il est possible d'installer facilement des paquets rétroportés. La commande suivante installera la version rétroportée de tuxtype :

apt install tuxtype/bookworm-backports

Les rétroportages sont mis à jour automatiquement (s'ils sont disponibles) comme les autres paquets. Tout comme l'archive principale, l'archive des paquets rétroportés comporte trois sections : main, contrib et non-free.

14.10. Mettre à jour avec un CD ou une image similaire

If you want to upgrade from one version to another (for example from Bookworm 12.1 to 12.2) but you do not have Internet connectivity, only physical media, follow these steps:

Insérez le CD, DVD, disque Blu-ray ou périphérique USB et utilisez la commande apt-cdrom :

apt-cdrom add

D'après la page de manuel d'apt-cdrom(8) :

  • apt-cdrom est utilisé pour ajouter un nouveau CD à la liste de sources APT disponibles. apt-cdrom s'occupe de déterminer la structure du disque ainsi que de corriger plusieurs problèmes de gravure possibles et de vérifier les fichiers d'index.

  • Vous devez utiliser apt-cdrom pour ajouter des CD au système APT, vous ne pouvez pas le faire vous-même. De plus, chaque disque faisant partie d'un ensemble de plusieurs disques doit être inséré et balayé par le logiciel indépendamment pour prévenir certains problèmes de gravure.

Exécutez ensuite ces deux commandes pour mettre à niveau le système :

apt update
apt full-upgrade

14.11. Nettoyage automatique des processus résiduels

killer est un script Perl qui se débarrasse des processus d'arrière-plan. Ce sont des processus qui appartiennent à des utilisateurs qui ne sont plus connectés à la machine. Il est exécuté par l'outil cron toutes les heures.

14.12. Installation automatique des mises à niveau de sécurité

unattended-upgrades est un paquet Debian qui installera (entre autres) les mises à niveau de sécurité automatiquement. S'il est installé, le paquet est préconfiguré pour installer les mises à niveau de sécurité. Les journaux de mises à niveau sont disponibles dans /var/log/unattended-upgrades/ ; il y a toujours aussi /var/log/dpkg.log et /var/log/apt/.

14.13. Arrêt automatique des machines la nuit

It is possible to save energy and money by automatically turning client machines off at night and back on in the morning. The package shutdown-at-night will try to turn off the machine every hour on the hour from 16:00 in the afternoon, but will not turn it off if it seems to have users. It will try to tell the BIOS to turn on the machine around 07:00 in the morning, and the main server will try to turn on machines from 06:30 by sending Wake-on-LAN packets. These times can be changed in the crontabs of individual machines.

Il y a quelques considérations à prendre en compte en faisant cela :

  • The clients should not be shut down when someone is using them. This is ensured by checking the output from who, and as a special case, checking for the SSH connection command to work with X2Go thin clients.

  • Pour éviter de faire sauter les fusibles, il est bon de s'assurer que tous les clients ne démarrent pas en même temps.

  • There are two different methods available to wake up clients. One uses a BIOS feature and requires a working and correct hardware clock, as well as a motherboard and BIOS version supported by nvram-wakeup; the other requires clients to have support for Wake-on-LAN, and the server to know about all the clients that need to be woken up.

14.13.1. Comment configurer shutdown-at-night

On clients that should turn off at night, touch /etc/shutdown-at-night/shutdown-at-night, or add the hostname (that is, the output from 'uname -n' on the client) to the netgroup "shutdown-at-night-hosts". Adding hosts to the netgroup in LDAP can be done using the GOsa² web tool. The clients might need to have Wake-on-LAN configured in the BIOS. It is also important that the switches and routers used between the Wake-on-LAN server and the clients will pass the WOL packets to the clients even if the clients are turned off. Some switches fail to pass on packets to clients that are missing in the ARP table on the switch, and this blocks the WOL packets.

To enable Wake-on-LAN on the server, add the clients to /etc/shutdown-at-night/clients, with one line per client, IP address first, followed by MAC address (ethernet address), separated by a space; or create a script /etc/shutdown-at-night/clients-generator to generate the list of clients on the fly.

Voici un exemple /etc/shutdown-at-night/clients-generator à utiliser avec sitesummary :

  #!/bin/sh
  PATH=/usr/sbin:$PATH
  export PATH
  sitesummary-nodes -w

Si le groupe réseau est utilisé pour activer shutdown-at-night sur les clients, il est possible d'utiliser ce script en utilisant l'utilitaire netgroup du paquet ng-utils.

  #!/bin/sh
  PATH=/usr/sbin:$PATH
  export PATH
  netgroup -h shutdown-at-night-hosts

14.14. Access Debian Edu servers located behind a firewall

Pour accéder à des machines derrière un pare-feu depuis Internet, vous pouvez installer le paquet autossh. Il peut être utilisé pour préparer un tunnel SSH vers une machine à laquelle vous avez accès. À partir de cette machine, vous pouvez accéder au serveur derrière le pare-feu via le tunnel SSH

14.15. Installing additional service machines for spreading the load from the main server

In the default installation, all services are running on the main server, hostname tjener. To simplify moving some to another machine, there is a minimal installation profile available. Installing with this profile will lead to a machine, which is part of the Debian Edu network, but which doesn't have any services running (yet).

Voici les étapes à suivre pour configurer une machine dédiée à certains services :

  • choose the Minimal profile during installation

  • installer les paquets requis pour le service

  • configurer le service

  • disable the service on the main server

  • update DNS (via LDAP/GOsa²) on the main server

14.16. Manuels de wiki.debian.org

FIXME: The HowTos from https://wiki.debian.org/DebianEdu/HowTo/ are either user- or developer-specific. Let's move the user-specific HowTos over here (and delete them over there)! (But first ask the authors (see the history of those pages to find them) if they are fine with moving the howto and putting it under the GPL.)

15. Manuel d'administration avancée

Dans ce chapitre, des tâches d'administration avancées sont décrites.

15.1. Personnalisation des utilisateurs avec GOsa²

15.1.1. Création d'utilisateurs dans des groupes par année

Dans cet exemple, les utilisateurs créés seront groupés par année, avec un répertoire personnel commun pour chaque groupe (home0/2024, home0/2026, etc.). Les utilisateurs seront créés par importation au format CSV.

(en tant que superutilisateur sur le serveur principal)

  • Créez les répertoires des groupes par année dont vous avez besoin

mkdir /skole/tjener/home0/2024

(en tant que premier utilisateur dans Gosa)

  • Département

Menu principal : allez dans « Structure de l'annuaire », cliquez sur le département « Students ». Dans le champ « Base » devrait être affiché « /Students ». Depuis la boîte de dialogue « Actions », choisissez « Créer » puis « Département ». Remplissez les valeurs pour les champs « Nom » (2024) et « Description » (étudiants de la promotion 2024), laissez le champ « Base » tel quel (il devrait valoir « /Students »). Sauvegardez en cliquant sur « OK ». Maintenant, le nouveau département (2024) devrait s'afficher en dessous de /Students. Cliquez dessus.

  • Groupe

Choisissez « Groupes » depuis le menu principal, puis « Actions », « Créer », « Groupe ». Entrez un nom de groupe (laissez le champ « Base » tel quel, il devrait valoir /Students/2024) et cliquez sur « OK » pour sauvegarder.

  • Modèle

Choisissez « Utilisateurs » dans le menu principal. Changez pour « Students » dans le champ « Base ». Une entrée NewStudent devrait s'afficher. Cliquez dessus. Il s'agit du modèle pour les étudiants et non d'un vrai utilisateur. Comme vous devez créer un tel modèle (afin de pouvoir importer au format CSV les données pour votre structure) en se basant sur celui-ci, notez bien les entrées affichées dans les onglets « Informations » et « POSIX ». Faites même des captures d'écran pour avoir des informations prêtes pour le nouveau modèle.

Maintenant changez pour /Students/2024 dans le champ Base . Choisissez « Créer », « Modèle » et commencez à remplir les valeurs choisies, d'abord dans l'onglet « Informations » (ajoutez aussi votre nouveau groupe 2024 dans le champ « Appartenance au groupe »), puis ajoutez le compte POSIX.

  • Importation d'utilisateurs

Choisissez votre nouveau modèle lors de l'importation CSV. Effectuer d'abord un test avec un petit nombre d'utilisateurs est recommandé.

15.2. Autres personnalisations d'utilisateur

15.2.1. Créer un répertoire dans le répertoire personnel de chaque utilisateur

Grâce à ce script, l'administrateur peut créer un répertoire dans le répertoire personnel de chaque utilisateur et en modifier les permissions et droits d'accès.

Dans l'exemple ci-dessous, avec group=teachers et permissions=2770 un utilisateur peut remettre un devoir en déposant le fichier dans le répertoire « assignments » dans lequel les professeurs ont des droits d'écriture pour pouvoir donner des commentaires.

 #!/bin/bash
 home_path="/skole/tjener/home0"
 shared_folder="assignments"
 permissions="2770"
 created_dir=0
 for home in $(ls $home_path); do
    if [ ! -d "$home_path/$home/$shared_folder" ]; then
        mkdir $home_path/$home/$shared_folder
        chmod $permissions $home_path/$home/$shared_folder
        user=$home
        group=teachers
        chown $user:$group $home_path/$home/$shared_folder
        ((created_dir+=1))
    else
        echo -e "the folder $home_path/$home/$shared_folder already exists.\n"
    fi
 done
 echo "$created_dir folders have been created"

15.3. Utiliser un serveur dédié pour le stockage

Suivez les étapes suivantes pour configurer un serveur dédié pour le stockage des répertoires personnels et éventuellement d'autres données.

  • Ajoutez un nouveau système de type serveur depuis GOsa², comme indiqué dans le chapitre Démarrage rapide de ce manuel.

    • Cet exemple utilise « serveur-nas.intern » comme nom du serveur. Une fois que « serveur-nas.inter » est configuré, vérifiez si les répertoires partagés par NFS sur le nouveau serveur de stockage sont exportés sur les sous-réseaux et les machines adéquats :

          root@tjener:~# showmount -e nas-server
          Export list for nas-server:
          /storage         10.0.0.0/8
          root@tjener:~#

      Ici, tout ce qui est connecté au réseau principal a accès au répertoire partagé /storage. Cela pourrait être restreint par une appartenance à un groupe réseau ou des adresses IP particulières pour limiter l'accès NFS, comme ce qui est fait dans le fichier tjener:/etc/exports.

  • Ajoutez des informations d'automontage pour « serveur-nas.intern » dans LDAP afin d'autoriser tous les clients à monter automatiquement les nouveaux répertoires partagés sur demande.

    • Cela ne peut pas être fait à partir de GOsa², car il n'y a pas de module d'automontage. À la place, utilisez ldapvi et ajoutez les objets LDAP nécessaires avec un éditeur de texte.

      ldapvi --ldap-conf -ZD '(cn=admin)' -b ou=automount,dc=skole,dc=skolelinux,dc=no

      Lorsque l'éditeur s'affiche, ajoutez les objets LDAP suivants à la fin du document. La partie « /& » dans le dernier objet LDAP est un joker pour correspondre avec tous les répertoires partagés de « serveur-nas.inter », ce qui évite de devoir faire la liste de tous les points de montage dans LDAP.

          add cn=nas-server,ou=auto.skole,ou=automount,dc=skole,dc=skolelinux,dc=no
          objectClass: automount
          cn: nas-server
          automountInformation: -fstype=autofs --timeout=60 ldap:ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no
       
          add ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no
          objectClass: top
          objectClass: automountMap
          ou: auto.nas-server
       
          add cn=/,ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no
          objectClass: automount
          cn: /
          automountInformation: -fstype=nfs,tcp,rsize=32768,wsize=32768,rw,intr,hard,nodev,nosuid,noatime nas-server.intern:/&
  • Ajoutez les entrées correspondantes dans tjener.intern:/etc/fstab, car tjener.intern n'utilise pas automount, pour éviter les boucles de montage :

    • créez les répertoires de point de montage avec la commande mkdir, éditez et modifiez le fichier « /etc/fstab » selon vos besoins et lancez mount -a pour monter les nouveaux répertoires partagés.

Maintenant les utilisateurs devraient être capables d'accéder aux fichiers sur « serveur-nas.intern » directement, juste en visitant le répertoire « /tjener/nas-server/storage/ » avec n'importe quelle application, depuis une station de travail, un client léger LTSP ou un serveur LTSP.

15.4. Restrict SSH login access

There are several ways to restrict SSH login, some are listed here.

15.4.1. Configuration sans clients légers

Si aucun client léger n'est utilisé, une solution simple est de créer un nouveau groupe (comme sshusers) et d'ajouter une ligne dans le fichier /etc/ssh/sshd_config du serveur SSH. Seuls les membres du groupe sshusers seront autorisés à se connecter par SSH à ce serveur depuis n'importe où.

Gérer cette situation avec GOsa est assez simple :

  • créez un groupe sshusers au niveau de base (où apparaissent déjà tous les autres groupes de gestion du système tels que gosa-admins).

  • Ajoutez les utilisateurs au nouveau groupe sshusers.

  • Ajoutez AllowGroups sshusers au fichier /etc/ssh/sshd_config.

  • Exécutez service ssh restart.

15.4.2. Configuration avec clients légers

The default LTSP diskless client setup doesn't use SSH connections. Update the SquashFS image on the related LTSP server after the SSH setup has been changed is enough.

X2Go thin clients are using SSH connections to the related LTSP server. So a different approach using PAM is needed.

  • Activez pam_access.so dans le fichier /etc/pam.d/sshd du serveur LTSP.

  • Configurez /etc/security/access.conf pour autoriser les connexions pour certains utilisateurs (par exemple alice, jane, bob et john) depuis n'importe où, et n'autoriser les autres utilisateurs que sur les réseaux locaux en ajoutant ces lignes :

+ : alice jane bob john : ALL
+ : ALL : 10.0.0.0/8 192.168.0.0/24 192.168.1.0/24
- : ALL : ALL
#

If only dedicated LTSP servers are used, the 10.0.0.0/8 network could be dropped to disable internal SSH login access. Note: someone connecting his box to the dedicated LTSP client network(s) will gain SSH access to the LTSP server(s) as well.

15.4.3. Une remarque pour les configurations plus complexes

If X2Go clients were attached to the backbone network 10.0.0.0/8, things would be even more complicated and maybe only a sophisticated DHCP setup (in LDAP) checking the vendor-class-identifier together with appropriate PAM configuration would allow to disable internal SSH login.

16. Manuels pour le bureau

16.1. Mise en place d'un environnement de bureau multilingue

To support multiple languages these steps need to be done:

  • Exécutez dpkg-reconfigure locales (en tant que superutilisateur) et choisir les langues (variantes UTF-8).

  • Exécutez ces commandes en tant que superutilisateur pour installer les paquets connexes :

    •    apt update
         /usr/share/debian-edu-config/tools/install-task-pkgs
         /usr/share/debian-edu-config/tools/improve-desktop-l10n

Users will then be able to choose the language via the LightDM display manager before logging in; this applies to Xfce, LXDE and LXQt. GNOME and KDE both come with their own internal region and language configuration tools, use these. MATE uses the Arctica greeter on top of LightDM whithout a language chooser. Run apt purge arctica-greeter to get the stock LightDM greeter.

16.2. Lire des DVD

libdvdcss est nécessaire pour lire la plupart des DVD du commerce. Pour des raisons légales, cette bibliothèque n'est pas incluse dans Debian (Edu). Si la loi vous y autorise, vous pouvez construire vos propres paquets locaux avec le paquet Debian libdvd-pkg ; assurez-vous que contrib est activé dans /etc/apt/sources.list.

apt update
apt install libdvd-pkg

Répondez aux questions de debconf, puis exécutez dpkg-reconfigure libdvd-pkg.

16.3. Polices scripturales

Le paquet fonts-linex (installé par défaut) installe la police « Abecedario » qui est une belle police scripturale pour les enfants. Elle possède plusieurs variantes à utiliser avec les enfants : pointillé et avec des lignes.

17. Manuels pour les clients en réseau

17.1. Introduction aux clients légers et stations de travail sans disque dur

Un terme générique pour les clients légers et les stations de travail sans disque dur est client LTSP.

Starting with Bullseye, LTSP is quite different from the previous versions. This concerns both setup and maintenance.

  • As one main difference, the SquashFS image for diskless workstations is now generated from the LTSP server file system by default. This happens on a combined server at first boot, taking some time.

  • Thin clients are no longer part of LTSP. Debian Edu uses X2Go to still support thin client usage.

  • In case of a separate or an additional LTSP server, required information for setting up the LTSP client environment isn't complete at installation time. Setup can be done once the system has been added with GOsa².

Pour des informations sur LTSP en général, consultez la page d'accueil de LTSP. Sur les systèmes avec un profil serveur LTSP, man ltsp fournit plus d'informations.

Please note that the ltsp tool from LTSP has to be used carefully. For example, ltsp image / would fail to generate the SquashFS image in case of Debian machines (these have a separate /boot partition by default), ltsp ipxe would fail to generate the iPXE menu correctly (due to Debian Edu's thin client support), and ltsp initrd would mess up LTSP client boot completely.

The debian-edu-ltsp-install tool is a wrapper script for ltsp image, ltsp initrd and ltsp ipxe. It is used to setup and configure diskless workstation and thin client support (both 64-Bit and 32-Bit PC). See man debian-edu-ltsp-install or the script content to see how it works. All configuration is contained in the script itself (HERE documents) to facilitate site specific adjustments.

Examples how to use the wrapper script debian-edu-ltsp-install:

  • debian-edu-ltsp-install --diskless_workstation yes updates the diskless workstation SquashFS image (server filesystem).

  • debian-edu-ltsp-install --diskless_workstation yes --thin_type bare creates diskless workstation and 64-bit thin client support.

  • debian-edu-ltsp-install --arch i386 --thin_type bare creates additional 32-bit thin client support (chroot and SquashFS image).

En plus de bare (le plus petit système de client léger), les options display et desktop sont disponibles. Le type display offre un bouton d'extinction, le type desktop exécute Firefox ESR en mode kiosque sur le client lui-même (plus de RAM locale et un processeur plus puissant sont nécessaires, mais la charge du serveur est réduite).

The debian-edu-ltsp-ipxe tool is a wrapper script for ltsp ipxe. It makes sure that the /srv/tftp/ltsp/ltsp.ipxe file is Debian Edu specific. The command needs to be run after iPXE menu related items (like menu timeout or default boot settings) in the /etc/ltsp/ltsp.conf [server] section have been modified.

The debian-edu-ltsp-initrd tool is a wrapper script for ltsp initrd. It makes sure that a use case specific initrd (/srv/tftp/ltsp/ltsp.img) is generated and then moved to the use case related directory. The command needs to be run after the /etc/ltsp/ltsp.conf [clients] section has been modified.

The debian-edu-ltsp-chroot tool is a replacement for the ltsp-chroot tool shipped with LTSP5. It is used to execute commands in a specified LTSP chroot (like e.g. install, upgrade and remove packages).

Station de travail sans disque dur

Une station de travail sans disque dur exécute tous les logiciels localement. Les machines clientes s'amorcent directement à partir du serveur LTSP sans avoir besoin d'un disque dur local. Les logiciels sont administrés et maintenus sur le serveur LTSP, mais s'exécutent sur les stations de travail sans disque dur. Les répertoires personnels et les paramètres système sont également stockés sur le serveur. Ce type de machine est une excellente façon de réutiliser du matériel ancien (mais puissant) avec le même coût réduit de maintenance que les clients légers.

À la différence des stations de travail, les stations de travail sans disque fonctionnent sans qu'il soit besoin de les ajouter à GOsa².

Client léger

A thin client setup enables an ordinary PC to function as an (X-)terminal, where all software runs on the LTSP server. This means that this machine boots via PXE without using a local client hard drive and that the LTSP server needs to be a powerful machine.

Debian Edu prend encore en charge l'utilisation de clients légers pour permettre l'utilisation de matériel très ancien.

Since Thin clients use X2Go, users should disable compositing to avoid display artefacts. In the default case (Xfce desktop environment): Settings -> Window Manager Tweaks -> Compositor.

microprogramme des clients légers

L'amorçage du client LTSP échouera si l'interface réseau du client nécessite un microprogramme (« firmware ») non libre. Une installation PXE peut être utilisée pour diagnostiquer les problèmes d'amorçage par réseau d'une machine. Si l'installateur Debian se plaint d'un fichier XXX.bin manquant, alors un microprogramme non libre doit être ajouté à l'image initiale (« initrd ») du serveur LTSP.

Proceed like this on the LTSP server:

  • First get information about firmware packages, run:

apt update && apt search ^firmware-
  • Decide which package has to be installed for the network interface(s), most probably this will be firmware-linux, run:

apt -y -q install firmware-linux
  • Update the SquashFS image for diskless workstations, run:

debian-edu-ltsp-install --diskless_workstation yes
  • In case X2Go thin clients are used, run:

/usr/share/debian-edu-config/tools/ltsp-addfirmware -h
  • and proceed according to the usage information.

    Then update the SquashFS image; e.g. for the /srv/ltsp/x2go-bare-amd64 chroot, run:

ltsp image x2go-bare-amd64

17.1.1. Sélection du type de client léger

Chaque serveur LTSP possède deux interfaces réseau, une est configurée dans le sous-réseau 10.0.0.0/8 (partagé avec le serveur principal), et l'autre forme un sous-réseau local (ce sous-réseau est distinct pour chaque serveur LTSP).

Dans les deux cas, station de travail sans disque ou client léger peut être choisi dans le menu d'iPXE. Après une attente de 5 secondes, la machine démarrera en tant que station de travail sans disque.

The default iPXE boot menu item and it's default timeout can both be configured in /etc/ltsp/ltsp.conf. A timeout value of -1 is used to hide the menu. Run debian-edu-ltsp-ipxe for the changes to take effect.

17.1.2. Utiliser un réseau différent pour les clients légers

192.168.0.0/24 est par défaut le réseau des clients légers si une machine est installée en utilisant le profil LTSP. Si une quantité importante de clients LTSP sont utilisés ou si différents serveurs LTSP doivent servir des chroot i386 et amd64 simultanément, le deuxième réseau préconfiguré 192.168.1.0/24 peut être aussi utilisé. Éditez le fichier /etc/network/interfaces et ajustez les réglages de l'interface eth1 en conséquence. Utilisez ldapvi ou un autre éditeur LDAP pour vérifier la configuration DNS et DHCP.

17.1.3. Ajouter un chroot LTSP pour prendre en charge les clients PC 32 bits

To create chroot and SquashFS image, run:

debian-edu-ltsp-install --arch i386 --thin_type bare

See man debian-edu-ltsp-install for details about thin client types.

17.1.4. Configuration des clients LTSP

Exécutez man ltsp.conf pour avoir un aperçu sur les options de configuration disponibles, lisez le fichier en ligne : https://ltsp.org/man/ltsp.conf/

Add configuration items to the /etc/ltsp/ltsp.conf [clients] section. For the changes to take effect, run:

debian-edu-ltsp-initrd

17.1.5. Le son avec les clients LTSP

Les clients légers LTSP utilisent un réseau audio pour transmettre l'audio du serveur aux clients.

Les stations de travail LTSP sans disque gèrent l'audio localement.

17.1.6. Access to USB drives and CD-ROMs/DVDs

When users insert a USB drive or DVD / CD-ROM into a Diskless Workstation, a corresponding icon appears on the desktop, allowing access to the content as on a workstation.

When users insert a USB drive into an X2Go thin client of type bare (default combined server installation), the media is mounted as soon as the existing folder icon on the Xfce desktop is double-clicked. Depending on the media content it might take some time until the content shows up in the file manager.

17.1.6.1. Avertissement à propos des périphériques amovibles sur les serveurs LTSP

When inserted into an LTSP server, USB drives and other removable media cause the related folder icon to appear on LTSP thin client desktops. Remote users can access the files.

17.1.7. Utilisation des imprimantes attachées aux clients LTSP

  • Reliez l'imprimante au client LTSP (les connexions par un port USB ou parallèle sont prises en charge).

  • Configurez le client LTSP avec GOsa² pour utiliser des adresses IP fixes.

  • Configurez l'imprimante en utilisant l'interface web https://www.intern:631 sur le serveur principal. Choisissez le type d'imprimante réseau AppSocket/HP JetDirect (pour toutes les imprimantes, quels que soient la marque et le modèle) et entrez socket://<LTSP client IP>:9100 comme URI de connexion.

17.2. Modifier la configuration de PXE

PXE signifie Preboot eXecution Environment. Debian Edu utilise désormais l'implémentation d'iPXE pour une intégration plus aisée avec LTSP.

17.2.1. Configurer le menu PXE

L'entrée de menu d'iPXE concernant les installations du système est générée en utilisant le script debian-edu-pxeinstall. Il peut écraser certains paramètres en utilisant le fichier /etc/debian-edu/pxeinstall.conf contenant de nouvelles valeurs.

17.2.2. Configurer l'installation PXE

The PXE installation will inherit the language, keyboard layout and mirror settings from the settings used when installing the main server, and the other questions will be asked during installation (profile, popcon participation, partitioning and root password). To avoid these questions, the file /etc/debian-edu/www/debian-edu-install.dat can be modified to provide preselected answers to debconf values. Some examples of available debconf values are already commented in /etc/debian-edu/www/debian-edu-install.dat. Your changes will be lost as soon as debian-edu-pxeinstall is used to recreate the PXE-installation environment. To append debconf values to /etc/debian-edu/www/debian-edu-install.dat during recreation with debian-edu-pxeinstall, add the file /etc/debian-edu/www/debian-edu-install.dat.local with your additional debconf values.

Des informations supplémentaires sur la modification des clients en réseau sont disponibles dans le chapitre de ce manuel sur l'installation.

17.2.3. Ajout d'un dépôt personnalisé pour les installations PXE

Pour ajouter un dépôt personnalisé, ajoutez quelque chose au fichier /etc/debian-edu/www/debian-edu-install.dat.local comme ceci :

d-i     apt-setup/local1/repository string      http://example.org/debian stable main contrib non-free
d-i     apt-setup/local1/comment string         Example Software Repository
d-i     apt-setup/local1/source boolean         true
d-i     apt-setup/local1/key    string          http://example.org/key.asc

puis exécutez la commande /usr/sbin/debian-edu-pxeinstall.

17.3. Modifier les paramètres réseau

debian-edu-config est fourni avec un outil qui permet de changer le réseau de 10.0.0.0/8 à un autre, et qui s'appelle /usr/share/debian-edu-config/tools/subnet-change. Il est prévu pour être utilisé juste après l'installation sur le serveur principal, afin de mettre à jour LDAP et les autres fichiers qui doivent être édités pour changer le sous-réseau.

Notez que changer le sous-réseau pour un autre déjà utilisé ailleurs dans Debian Edu ne fonctionnera pas. 192.168.0.0/24 et 192.168.1.0/24 sont déjà réglés pour être les réseaux des clients LTSP. Changer pour ces sous-réseaux demandera d'éditer manuellement les fichiers de configuration afin de supprimer les entrées en double.

There is no easy way to change the DNS domain name. Changing it would require changes to both the LDAP structure and several files in the main server file system. There is also no easy way to change the host and DNS name of the main server (tjener.intern). To do so would also require changes to LDAP and files in the main server and client file system. In both cases the Kerberos setup would have to be changed, too.

17.4. Bureaux distants

Le choix du profil de serveur LTSP ou de serveur combiné entraîne aussi l'installation des paquets xrdp et x2goserver.

17.4.1. Xrdp

Xrdp utilise le protocole de bureau distant (« Remote Desktop Protocol » ou « RDP ») pour présenter une interface de connexion graphique à un client distant. Les utilisateurs de Microsoft Windows peuvent se connecter à un serveur LTSP faisant fonctionner xrdp sans logiciel supplémentaire : ils peuvent simplement démarrer une connexion à un bureau distant depuis leur machine Windows, et se connecter.

De plus, xrdp peut se connecter à un serveur VNC ou à un autre serveur RDP.

Xrdp comes without sound support; to compile (or re-compile) the required modules this script could be used. Please note: The caller needs to be root or a member of the sudo group. Also, /etc/apt/sources.list must contain a valid deb-src line.

 #!/bin/bash
 set -e
  if [[ $UID -ne 0 ]] ; then  
     if ! groups | egrep -q sudo ; then
         echo "ERROR: You need to be root or a sudo group member."
         exit 1
     fi
 fi
 if ! egrep -q  ^deb-src /etc/apt/sources.list ; then
     echo "ERROR: Make sure /etc/apt/sources.list contains a deb-src line."
     exit 1
 fi
 TMP=$(mktemp -d)
 PULSE_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' pulseaudio)"
 XRDP_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' xrdp)"
 sudo apt -q update
 sudo apt -q install dpkg-dev
 cd $TMP
 apt -q source pulseaudio xrdp
 sudo apt -q build-dep pulseaudio xrdp
 cd pulseaudio-$PULSE_UPSTREAM_VERSION/
 ./configure
 cd $TMP/xrdp-$XRDP_UPSTREAM_VERSION/sesman/chansrv/pulse/
 sed -i 's/^PULSE/#PULSE/' Makefile
 sed -i "/#PULSE_DIR/a \
 PULSE_DIR = $TMP/pulseaudio-$PULSE_UPSTREAM_VERSION" Makefile
 make
 sudo cp *.so /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/
 sudo chmod 644 /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/module-xrdp*
 sudo service xrdp restart

17.4.2. X2Go

X2Go permet d'accéder à un bureau graphique sur le serveur LTSP aussi bien avec des connexions à bande passante faible ou élevée à partir d'un PC sous Linux, Windows ou MacOs. Un logiciel supplémentaire est nécessaire côté client, consultez le wiki x2go pour plus d'informations.

Veuillez noter qu'il conviendrait de supprimer le paquet killer sur le serveur LTSP si X2Go est utilisé ; voir le rapport de bogue Debian nº 890517.

17.4.3. Clients de bureaux distants disponibles

  • freerdp-x11 est installé par défaut et peut utiliser les protocoles RDP et VNC.

    • RDP - la manière la plus simple d'accéder à un serveur de terminal Windows. Un client alternatif est fourni par le paquet rdesktop.

    • Les clients VNC (Virtual Network Computer) donnent accès à Skolelinux à distance. Un client alternatif est fourni par le paquet xvncviewer.

  • x2goclient est un client graphique pour le système X2Go (pas installé par défaut). Vous pouvez l'utiliser pour vous connecter à des sessions en cours ou démarrer de nouvelles sessions.

17.5. Clients de réseau sans fil

The freeRADIUS server could be used to provide secure network connections. For this to work, install the freeradius and winbind packages on the main server and run /usr/share/debian-edu-config/tools/setup-freeradius-server to generate a basic, site specific configuration. This way, both EAP-TTLS/PAP and PEAP-MSCHAPV2 methods are enabled. All configuration is contained in the script itself to facilitate site specific adjustments. See the freeRADIUS homepage for details.

Une configuration supplémentaire est nécessaire pour :

  • activer et désactiver les points d'accès au moyen d'un secret partagé (/etc/freeradius/3.0/clients.conf) ;

  • accepter ou refuser l'accès en utilisant des groupes LDAP (/etc/freeradius/3.0/users) ;

  • réunir des points d'accès dans des groupes dédiés (/etc/freeradius/3.0/huntgroups).

End user devices need to be configured properly, these devices need to be PIN protected for the use of EAP (802.1x) methods. Users should also be educated to install the freeradius CA certificate on their devices to be sure to connect to the right server. This way their password can't be catched in case of a malicious server. The site specific certificate is available on the internal network.

Veuillez noter que la configuration des périphériques des utilisateurs finaux sera un vrai défi dû à leur grande variété. Pour les périphériques Windows, un script d'installation pourrait être créé, et un fichier mobileconfig pour les périphériques Apple. Dans les deux cas, le certificat CA freeRADIUS peut être intégré, mais les outils propres au système d'exploitation sont nécessaires pour créer les scripts.

17.6. Authorize Windows machine with Debian Edu credentials using pGina LDAP plugin

17.6.1. Adding pGina user in Debian Edu

To have an ability to use pGina (or any else 3rd party auth-service-application) you should have a special user account used in search inside of LDAP.

Add a special user, eg pguser with password pwd.777, on https://www/gosa website.

17.6.2. Install pGina fork

Download and install pGina 3.9.9.12 as usual software. Take an attention that LDAP plugin persists in pGina plugin folder:

C:\Program Files\pGina.fork\Plugins\pGina.Plugin.Ldap.dll

17.6.3. Configure pGina

Considering to Debian Edu settings the connection to LDAP uses SSL by port 636.

So necessary settings in a pGina LDAP plugin are below

(these are stored in HKEY_LOCAL_MACHINE\SOFTWARE\pGina3.fork\Plugins\0f52390b-c781-43ae-bd62-553c77fa4cf7).

17.6.3.1. LDAP Plugin main section
  • LDAP Host(s): 10.0.2.2 (or any else with "space" as a separator)

  • LDAP Port: 636 (for SSL connection)

  • Timeout: 10

  • Use SSL: YES (tick checkbox)

  • Start TLS: NO (don't tick checkbox)

  • Validate Server Certificate: NO (don't tick checkbox)

  • Search DN: uid=pguser,ou=people,ou=Students,dc=skole,dc=skolelinux,dc=no

    • ("pguser" is a user to authenticate in LDAP to search users in a login session)

  • Search Password: pwd.777 (this is the "pguser" password)

17.6.3.2. Authentication block

Bind Tab:

  • Allow Empty Passwords: NO

  • Search for DN: YES (tick checkbox)

  • Search Filter: (&(uid=%u)(objectClass=person))

17.6.3.3. Authorization block
  • Default: Allow

  • Deny when LDAP authentication fails: YES (tick checkbox)

  • Allow when server is unreachable: NO (don't tick checkbox, optional)

17.6.3.4. Plugin Selection
  • LDAP: Authentication [v], Authorization [v], Gateway[v], Change Password [_]

  • Local Machine: Authentication [v], Gateway [v] (tick only two checkboxes)

18. Samba dans Debian Edu

Samba est maintenant configuré comme un serveur autonome avec la prise en charge moderne de SMB2 et SMB3 activés et des partages utilisateur (usershare) activés, consultez /etc/samba/smb-debian-edu.conf sur le serveur principal. De cette manière, les utilisateurs non administrateurs sont autorisés à offrir des partages.

Pour des modifications propres au site, copiez /usr/share/debian-edu-config/smb.conf.edu-site dans le répertoire /etc/samba. Les réglages de smb.conf.edu-site surchargeront ceux fournis par smb-debian-edu.conf.

Veuillez noter :

  • Par défaut, les répertoires personnels sont en lecture seule. Cela peut être modifié dans /etc/samba/smb.conf.edu-site.

  • Les mots de passe de Samba sont stockés en utilisant avec smbpasswd et sont mis à jour si un mot de passe est modifié avec GOsa².

  • Pour désactiver temporairement un compte d'utilisateur Samba, exécutez smbpasswd -d <username>, et smbpasswd -e <username> le réactivera.

  • L'exécution de chown root:teachers /var/lib/samba/usershares sur le serveur principal désactivera les partages (usershares) pour les « étudiants »

18.1. Accéder aux fichiers par Samba

Connections to a user's home directory and to additional site specific shares (if configured) are possible for devices running Linux, Android, macOS, iOS, iPadOS, Chrome OS or Windows. For example, Android based devices require a file manager with SMB2/SMB3 support, also known as LAN access. X-plore or Total Commander with LAN plugin might be a good choice.

Utilisez \\tjener\<username> ou smb://tjener/<username> pour accéder au répertoire personnel.

19. Manuels pour enseigner et apprendre

Tous les paquets Debian mentionnés sur cette page peuvent être installés en exécutant la commande apt install <paquet> (en tant que superutilisateur).

19.1. Enseigner la programmation

stable/education-development est un méta-paquet qui dépend de nombreux outils de programmation. Veuillez noter que presque 2 Gio d'espace disque sont nécessaires lorsque ce paquet est installé. Pour plus de détails (notamment pour n'installer que quelques paquets), consultez la page Paquets de développement de Debian Edu.

19.2. Surveillance des élèves

Attention : renseignez-vous sur les textes légaux locaux régissant la surveillance et la restriction de l'activité informatique des utilisateurs.

Certains établissements utilisent des outils de contrôle tels que Epoptes ou Veyon pour superviser leurs étudiants. Consultez aussi les pages d'accueil de Epoptes et de Veyon.

19.3. Restriction de l'accès des élèves au réseau

Certaines écoles utilisent Squidguard ou e2guardian pour restreindre l'accès à Internet.

20. Manuels pour les utilisateurs

20.1. Changer les mots de passe

Chaque utilisateur devrait changer son mot de passe avec GOsa². Pour cela, utilisez un navigateur et rendez-vous à l'adresse https://www/gosa/.

Using GOsa² to change the password ensures that passwords for Kerberos (krbPrincipalKey), LDAP (userPassword) and Samba are the same.

Le changement de mot de passe en utilisant PAM fonctionne aussi à l'écran de connexion GDM. Mais seul le mot de passe Kerberos sera mis à jour. Ceux de Samba et GOsa² (LDAP) resteront inchangés. Donc, après avoir changé votre mot de passe à l'invite de connexion, vous devriez vraiment le changer aussi avec GOsa².

20.2. Exécuter des applications Java indépendantes

Les applications indépendantes Java sont prises en charge par défaut par l'environnement d'exécution Java OpenJDK.

20.3. Utilisation du courrier électronique

Tous les utilisateurs peuvent recevoir et envoyer des courriers électroniques sur le réseau local ; des certificats sont fournis pour permettre des connexions TLS sécurisées. Pour autoriser l'envoi et la réception de courriers électroniques à l'extérieur du réseau local, l'administrateur doit configurer le serveur de courrier exim4 selon les besoins. dpkg-reconfigure exim4-config est la première étape dans cette direction.

Tout utilisateur qui souhaiterait utiliser Thunderbird doit le configurer comme indiqué ci-dessous. Pour un utilisateur avec le login toto, l'adresse email interne est toto@postoffice.intern.

20.4. Thunderbird

  • Lancer Thunderbird

  • Cliquez « Passer cette étape et utiliser mon adresse existante »

  • Entrez votre adresse email

  • Ne tapez pas votre mot de passe, car l'authentification unique Kerberos sera utilisée.

  • Cliquez sur « Continuer »

  • Pour à la fois IMAP et SMTP, les réglages devraient être « STARTTLS » et « Kerberos/GSSAPI » – à ajuster si non détectés automatiquement

  • Cliquez sur « Terminé »

21. Contribuer

21.1. Contribute online

Most of the time, the developer mailing list is our main medium for communication, though we also have #debian-edu on irc.debian.org and even, sometimes, real gatherings, where we meet each other in person.

Une bonne façon d'apprendre ce qui se passe dans le développement de Debian Edu consiste à s'inscrire à la liste de diffusion des modifications.

21.2. Rapporter des bogues

Debian Edu uses the Debian Bug Tracking System (BTS). View existing bug reports and feature requests or create new ones. Please report all bugs against the package debian-edu-config. Take a look at How To Report Bugs for more information on bug reporting in Debian Edu.

21.3. Auteurs de la documentation et traducteurs

Ce document a besoin de votre aide ! Tout d'abord, il n'est pas encore terminé : si vous le lisez, vous remarquerez divers FIXME dans le texte. Si par hasard vous connaissez (un peu) ce dont il est question, veuillez partager vos connaissances.

The source of the text is a wiki and can be edited with a simple webbrowser. Just go to https://wiki.debian.org/DebianEdu/Documentation/Bookworm/ and you can contribute easily. Note: a user account is needed to edit the pages; you may need to create a wiki user account first.

Une autre très bonne façon de contribuer et d'aider les utilisateurs consiste à traduire un logiciel ou de la documentation. Des informations sur la façon de traduire ce document sont disponibles au chapitre Traductions de ce livre. S'il vous plaît, participez à l'effort de traduction de ce livre !

22. Assistance

22.1. Assistance fournie par des bénévoles

22.1.1. en anglais

  • https://lists.debian.org/debian-edu — assistance par liste de diffusion

  • #debian-edu on irc.debian.org - IRC channel, mostly development related; do not expect real time support even though it frequently happens.

22.1.2. en norvégien

  • #skolelinux sur irc.debian.org — canal IRC pour l'assistance des utilisateurs norvégiens

22.1.3. en allemand

22.1.4. en français

22.2. Assistance professionnelle

Des listes d'entreprises proposant une assistance professionnelle sont disponibles depuis https://wiki.debian.org/DebianEdu/Help/ProfessionalHelp.

23. New features in Debian Edu Bookworm

23.1. New features for Debian Edu 12 Bookworm

23.1.1. Changements dans l'installation

  • New version of Debian Installer from Debian bookworm, see its installation manual for more details,

    • including information on non-free-firmware, which is a new section in addition to the well known main, contrib and non-free sections.

  • New artwork based on the Emerald theme, the default artwork for Debian 12 bookworm.

23.1.2. Mises à jour des logiciels

  • Everything which is new in Debian 12 bookworm, eg:

    • Linux kernel 6.1

    • Desktop environments KDE Plasma 5.27, GNOME 43, Xfce 4.18, LXDE 11, MATE 1.26

    • LibreOffice 7.4

    • GOsa² 2.8

    • Educational toolbox GCompris 3.1

    • Music creator Rosegarden 22.12

    • LTSP 23.01

    • Debian Bookworm includes more than 64000 packages available for installation.

23.1.3. Mises à jour des documentations et des traductions

  • During installation the profile choice page is available in 29 languages, of which 22 are fully translated.

  • The Debian Edu Bookworm Manual is translated to Simplified Chinese, Danish, Dutch, French, German, Italian, Japanese, Norwegian (Bokmål), Brasilian Portuguese, European Portuguese and Spanish.

23.1.4. Problèmes connus

24. Droits d'auteur et auteurs

This document is written and copyrighted by Holger Levsen (2007-2023), Petter Reinholdtsen (2001, 2002, 2003, 2004, 2007, 2008, 2009, 2010, 2012, 2014), Daniel Heß (2007), Patrick Winnertz (2007), Knut Yrvin (2007), Ralf Gesellensetter (2007), Ronny Aasen (2007), Morten Werner Forsbring (2007), Bjarne Nielsen (2007, 2008), Nigel Barker (2007), José L. Redrejo Rodríguez (2007), John Bildoy (2007), Joakim Seeberg (2008), Jürgen Leibner (2009, 2010, 2011, 2012, 2014), Oded Naveh (2009), Philipp Hübner (2009, 2010), Andreas Mundt (2010), Olivier Vitrat (2010, 2012), Vagrant Cascadian (2010), Mike Gabriel (2011), Justin B Rye (2012), David Prévot (2012), Wolfgang Schweer (2012-2022), Bernhard Hammes (2012), Joe Hansen (2015), Serhii Horichenko (2022) and Guido Berhörster (2023) and is released under the GPL2 or any later version. Enjoy!

Si vous enrichissez son contenu, veuillez ne le faire que si vous êtes l'auteur des ajouts. Vous devez les distribuer sous les mêmes conditions ! Ensuite, ajoutez votre nom ici et distribuez-les sous licence GPL, version 2 ou ultérieure.

25. Traductions de ce document

There is an online overview of packaged translations, updated frequently.

25.1. Comment traduire ce document

25.1.1. Traduire en utilisant des fichiers PO

As in many free software projects, translations of this document are kept in PO files. More information about the process can be found in /usr/share/doc/debian-edu-doc/README.debian-edu-bookworm-manual-translations.

25.1.2. Traduction en ligne avec un navigateur web

Most language teams have decided to translate via Weblate. See https://hosted.weblate.org/projects/debian-edu-documentation/bookworm-manual/ for more information.

Veuillez signaler tout problème.

26. Annexe A — La Licence Publique Générale GNU

26.1. Manual for Debian Edu 12 Codename Bookworm

Copyright (C) 2007-2021 Holger Levsen < holger@layer-acht.org > and others, see the Copyright for the full list of copyright owners.

This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version.

This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.

26.2. GNU GENERAL PUBLIC LICENSE

Version 2, June 1991

Copyright (C) 1989, 1991 Free Software Foundation, Inc. 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301, USA. Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed.

26.3. TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION

0. This License applies to any program or other work which contains a notice placed by the copyright holder saying it may be distributed under the terms of this General Public License. The "Program", below, refers to any such program or work, and a "work based on the Program" means either the Program or any derivative work under copyright law: that is to say, a work containing the Program or a portion of it, either verbatim or with modifications and/or translated into another language. (Hereinafter, translation is included without limitation in the term "modification".) Each licensee is addressed as "you".

Activities other than copying, distribution and modification are not covered by this License; they are outside its scope. The act of running the Program is not restricted, and the output from the Program is covered only if its contents constitute a work based on the Program (independent of having been made by running the Program). Whether that is true depends on what the Program does.

1. You may copy and distribute verbatim copies of the Program's source code as you receive it, in any medium, provided that you conspicuously and appropriately publish on each copy an appropriate copyright notice and disclaimer of warranty; keep intact all the notices that refer to this License and to the absence of any warranty; and give any other recipients of the Program a copy of this License along with the Program.

You may charge a fee for the physical act of transferring a copy, and you may at your option offer warranty protection in exchange for a fee.

2. You may modify your copy or copies of the Program or any portion of it, thus forming a work based on the Program, and copy and distribute such modifications or work under the terms of Section 1 above, provided that you also meet all of these conditions:

  • a) You must cause the modified files to carry prominent notices stating that you changed the files and the date of any change.

    b) You must cause any work that you distribute or publish, that in whole or in part contains or is derived from the Program or any part thereof, to be licensed as a whole at no charge to all third parties under the terms of this License.

    c) If the modified program normally reads commands interactively when run, you must cause it, when started running for such interactive use in the most ordinary way, to print or display an announcement including an appropriate copyright notice and a notice that there is no warranty (or else, saying that you provide a warranty) and that users may redistribute the program under these conditions, and telling the user how to view a copy of this License. (Exception: if the Program itself is interactive but does not normally print such an announcement, your work based on the Program is not required to print an announcement.)

These requirements apply to the modified work as a whole. If identifiable sections of that work are not derived from the Program, and can be reasonably considered independent and separate works in themselves, then this License, and its terms, do not apply to those sections when you distribute them as separate works. But when you distribute the same sections as part of a whole which is a work based on the Program, the distribution of the whole must be on the terms of this License, whose permissions for other licensees extend to the entire whole, and thus to each and every part regardless of who wrote it.

Thus, it is not the intent of this section to claim rights or contest your rights to work written entirely by you; rather, the intent is to exercise the right to control the distribution of derivative or collective works based on the Program.

In addition, mere aggregation of another work not based on the Program with the Program (or with a work based on the Program) on a volume of a storage or distribution medium does not bring the other work under the scope of this License.

3. You may copy and distribute the Program (or a work based on it, under Section 2) in object code or executable form under the terms of Sections 1 and 2 above provided that you also do one of the following:

  • a) Accompany it with the complete corresponding machine-readable source code, which must be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,

    b) Accompany it with a written offer, valid for at least three years, to give any third party, for a charge no more than your cost of physically performing source distribution, a complete machine-readable copy of the corresponding source code, to be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,

    c) Accompany it with the information you received as to the offer to distribute corresponding source code. (This alternative is allowed only for noncommercial distribution and only if you received the program in object code or executable form with such an offer, in accord with Subsection b above.)

The source code for a work means the preferred form of the work for making modifications to it. For an executable work, complete source code means all the source code for all modules it contains, plus any associated interface definition files, plus the scripts used to control compilation and installation of the executable. However, as a special exception, the source code distributed need not include anything that is normally distributed (in either source or binary form) with the major components (compiler, kernel, and so on) of the operating system on which the executable runs, unless that component itself accompanies the executable.

If distribution of executable or object code is made by offering access to copy from a designated place, then offering equivalent access to copy the source code from the same place counts as distribution of the source code, even though third parties are not compelled to copy the source along with the object code.

4. You may not copy, modify, sublicense, or distribute the Program except as expressly provided under this License. Any attempt otherwise to copy, modify, sublicense or distribute the Program is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance.

5. You are not required to accept this License, since you have not signed it. However, nothing else grants you permission to modify or distribute the Program or its derivative works. These actions are prohibited by law if you do not accept this License. Therefore, by modifying or distributing the Program (or any work based on the Program), you indicate your acceptance of this License to do so, and all its terms and conditions for copying, distributing or modifying the Program or works based on it.

6. Each time you redistribute the Program (or any work based on the Program), the recipient automatically receives a license from the original licensor to copy, distribute or modify the Program subject to these terms and conditions. You may not impose any further restrictions on the recipients' exercise of the rights granted herein. You are not responsible for enforcing compliance by third parties to this License.

7. If, as a consequence of a court judgment or allegation of patent infringement or for any other reason (not limited to patent issues), conditions are imposed on you (whether by court order, agreement or otherwise) that contradict the conditions of this License, they do not excuse you from the conditions of this License. If you cannot distribute so as to satisfy simultaneously your obligations under this License and any other pertinent obligations, then as a consequence you may not distribute the Program at all. For example, if a patent license would not permit royalty-free redistribution of the Program by all those who receive copies directly or indirectly through you, then the only way you could satisfy both it and this License would be to refrain entirely from distribution of the Program.

If any portion of this section is held invalid or unenforceable under any particular circumstance, the balance of the section is intended to apply and the section as a whole is intended to apply in other circumstances.

It is not the purpose of this section to induce you to infringe any patents or other property right claims or to contest validity of any such claims; this section has the sole purpose of protecting the integrity of the free software distribution system, which is implemented by public license practices. Many people have made generous contributions to the wide range of software distributed through that system in reliance on consistent application of that system; it is up to the author/donor to decide if he or she is willing to distribute software through any other system and a licensee cannot impose that choice.

This section is intended to make thoroughly clear what is believed to be a consequence of the rest of this License.

8. If the distribution and/or use of the Program is restricted in certain countries either by patents or by copyrighted interfaces, the original copyright holder who places the Program under this License may add an explicit geographical distribution limitation excluding those countries, so that distribution is permitted only in or among countries not thus excluded. In such case, this License incorporates the limitation as if written in the body of this License.

9. The Free Software Foundation may publish revised and/or new versions of the General Public License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns.

Each version is given a distinguishing version number. If the Program specifies a version number of this License which applies to it and "any later version", you have the option of following the terms and conditions either of that version or of any later version published by the Free Software Foundation. If the Program does not specify a version number of this License, you may choose any version ever published by the Free Software Foundation.

10. If you wish to incorporate parts of the Program into other free programs whose distribution conditions are different, write to the author to ask for permission. For software which is copyrighted by the Free Software Foundation, write to the Free Software Foundation; we sometimes make exceptions for this. Our decision will be guided by the two goals of preserving the free status of all derivatives of our free software and of promoting the sharing and reuse of software generally.

NO WARRANTY

11. BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.

12. IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.

END OF TERMS AND CONDITIONS

27. Appendix B - Features in older releases

27.1. New features for Debian Edu 11 Codename Bullseye released 2021-08-14

27.1.1. Changements dans l'installation

  • New version of Debian Installer from Debian bullseye, see its installation manual for more details.

  • New artwork based on the Homeworld theme, the default artwork for Debian 11 (bullseye).

  • L'installateur Debian ne prend plus en charge la configuration du chroot LTSP. Dans le cas d'une installation d'un serveur combiné (profils « Serveur principal » + « Serveur LTSP »), la configuration de la prise en charge d'un client léger (maintenant avec X2Go) survient à la fin de l'installation. La création de l'image SquashFS pour la prise en charge du client sans disque (à partir du système de fichiers du serveur) est réalisée au premier démarrage.

    Pour des serveurs LTSP distincts, deux étapes doivent être réalisées avec un outil après le premier démarrage dans le réseau local quand suffisamment d'informations sont disponibles depuis le serveur principal.

27.1.2. Mises à jour des logiciels

  • Toutes les nouveautés de Debian 11 Busllseye, comme :

    • Noyau Linux version 5.10

    • Environnements de bureau KDE Plasma 5.20, GNOME 3.38, Xfce 4.16, LXDE 10, MATE 1.24

    • LibreOffice 7.0

    • Boîte à outils éducative GCompris 1.0

    • Créateur de musique Rosegarden 20.12

    • LTSP 21.01

    • Debian Bullseye contient plus de 59 000 paquets prêts à être installés.

27.1.3. Mises à jour des documentations et des traductions

  • During installation the profile choice page is available in 29 languages, of which 22 are fully translated.

  • Le manuel de Debian Edu Bullseye est traduit entièrement en allemand, français, italien, japonais, néerlandais, norvégien Bokmål, portugais (PT) et chinois simplifié.

    • Des traductions partielles existent en danois et en espagnol.

27.1.4. Autres changements depuis la dernière publication

  • Prise en charge de TLS/SSL améliorée sur le réseau local. Sur les clients, le certificat racine de Debian Edu-CA est placé dans le paquet de certificats de l'ensemble du système.

  • Nouveau LTSP, réécrit à partir de zéro, abandonnant la prise en charge des clients légers. Ils sont maintenant pris en charge par X2Go.

  • Amorçage par le réseau fourni par l'utilisation d'iPXE à la place de PXELINUX pour être compatible à LTSP.

  • Le répertoire /srv/tftp est maintenant utilisé comme base de l'amorçage par le réseau à la place de /var/lib/tftpboot.

  • Après une mise à niveau intermédiaire d'un système avec un profil Serveur principal ou Serveur LTSP, debian-edu-pxeinstall a besoin d'être exécuté pour mettre à jour l'environnement d'installation PXE.

  • DuckDuckGo est utilisé comme outil de recherche par défaut par Firefox ESR et Chromium.

  • Chromium utilise la page interne du site web comme page d'accueil plutôt que Google.

  • Sur les stations de travail sans disque, un ticket (TGT) de Kerberos est disponible automatiquement après la connexion.

  • Un nouvel outil a été ajouté pour configurer freeRADIUS avec la prise en charge des deux méthodes EAP-TTLS/PAP et PEAP-MSCHAPV2.

  • Samba est configuré comme « serveur autonome » avec la prise en charge de SMB2 et SMB3 ; la possibilité de rejoindre un domaine a disparu.

  • L'interface web de GOsa² ne montre plus d'entrées relatives à Samba, parce que les données du compte Samba ne sont plus stockées dans LDAP.

  • C'est le mode graphique de l'installateur Debian qui est utilisé pour les installations PXE (à la place du mode texte).

  • ipp.intern central pour le serveur d’impression CUPS, les utilisateurs appartenant au groupe printer-admins ont l'autorisation d'administrer CUPS.

  • L'administration d'Icinga avec l'interface web est limitée au premier utilisateur.

27.2. Historique des versions plus anciennes

Les versions suivantes de Debian Edu ont été publiées précédemment :

  • Debian Edu 10+edu0 Codename Buster released 2019-07-06.

  • Debian Edu 9+edu0 Codename Stretch released 2017-06-17.

  • Debian Edu 8.0+edu0 nom de code « Jessie », publiée le 2 juillet 2016.

  • Debian Edu 7.1+edu0, nom de code « Wheezy », publiée le 28 septembre 2013.

  • Debian Edu 6.0.7+r1, nom de code « Squeeze », publiée le 3 mars 2013

  • Debian Edu 6.0.4+r0, nom de code « Squeeze », publiée le 11 mars 2012

  • Debian Edu 5.0.6+edu1, nom de code « Lenny », publiée le 5 octobre 2010

  • Debian Edu 5.0.4+edu0, nom de code « Lenny », publiée le 8 février 2010.

  • Debian Edu « 3.0r1 Terra », publiée le 5 décembre 2007.

  • Debian Edu « 3.0r0 Terra », publiée le 22 juillet 2007. Basée sur Debian 4.0 Etch, publiée le 8 avril 2007.

  • Debian Edu 2.0, publiée le 14 mars 2006. Basée sur Debian 3.1 Sarge, publiée le 6 juin 2005.

  • Debian Edu « 1.0 Venus », publiée le 20 juin 2004. Basée sur Debian 3.0 Woody, publiée le 19 juillet 2002.

Un aperçu détaillé et complet des versions plus anciennes est fourni dans l'Annexe C du manuel de Jessie ; vous pouvez aussi consulter les manuels des versions concernées sur la page des manuels de publication.