4.1.3. Configuració skolelinux: Manual bàsic skolelinux (pr47)

Per configurar el sistema s'usaran eines més o menys gràfiques que faciliten la tasca de treballar amb els diversos fitxers de text que desen la configuració dels sistema.

Indicació: en alguns apartats es mencionen tasques relacionades amb operacions opcionals, tot i que recomanables, en el cas de no aplicar les operacions addicionals es pot obviar les tasques relacionades.

Accés remot (afegir usuari de configuració remota)

Inicialment es pot realitar la configuració davant el propi servidor, més endavant però és més cómode i segur tancar el servidor en un espai segur i accedir-hi remotament a part de poder estalviar un monitor. Per realitzar aquesta operació es convenient crear un usuari d'accés remot, en aquest cas el nom és "admin", es convenient canviar-lo (així com la descripció) pel que s'escaigui.

Es possible usar un editor de text però si no es domina el el vi, joe o emacs hi ha la solució senzilla d'anar amb cura de no equivocar-se i evitar els editors. també es pot recorrer al "mcedit" més proper al edit del MS-DOS.

• Indicació d'ús del "vi": per esborrar la última línia. vi /etc/XXXX, escriure ":$"+intro, es situa al final document, escriure "dd"+intro, elimina la línia actual, escriure ":wq" per sortir desant, o ":q!" per sortir sense desar.

Procediment creació usuari d'accés remot

Essent root al servidortjener cal realitzar 3 simples pasos:

1. Crear el grup per a l'usuari remot

groupadd -g 150 admin

2. Crear l'usuari remot

useradd -u 150 -g 150 -c Administrador -d /home/admin -s /bin/bash admin

3. Fixar una paraula clau per l'usuari remot

passwd admin >>Type password: ******** >>retype password: ********

Ara ja podem accedir remotament al nostre sistema amb aquest usuari. Un cop dins sempre podem canviar d'usuari per qualsevol altre, per exemple "root" i poder realitzar tasques que requereixin els seus permisos. L'ordre a executar és:

admin@tjener:~$ su - root >>Password:******** tjener:~# _

Aquesta ens demana la paraula clau de l'usuari root, la introduïm i notarem que les línies de comandes acaben amb un "#" (sostingut o graella), aquesta indicació serveix per recordar-nos que estem treballant com a super-usuari "root".

tjener:~# pwd /root tjener:~# ls -la total 48 drw-r--r-- 8 root root 4096 May 2 12:27 . drwxr-xr-x 23 root root 4096 May 5 14:12 .. -rw------- 1 root root 0 Feb 18 19:17 .Xauthority -r-------- 1 root root 2334 May 5 10:26 .bash_history -rw-r--r-- 1 root root 1124 Feb 28 2000 .exrc drwx--x--x 2 root root 4096 Jan 28 00:09 .gnupg -r-------- 1 root root 0 Feb 1 12:25 .history drwxr-xr-x 3 root root 4096 May 5 10:25 .mc -rw------- 1 root root 7879 May 2 12:27 .viminfo drwxr-xr-x 2 root root 4096 Feb 21 15:42 Desktop drwxr-xr-x 2 root root 4096 Sep 23 2003 bin

Per sortir del super-usuari, només cal executar la comanda "logout" o prémer la combinació de tecles "Control+D" que té el mateix efecte.

tjener:~# logout admin@tjener:~$ _

Accedint des de GNU/Linux

Per accedir des de un altre GNU/Linux (així com qualsevol sistema Unix en general), només cal arribar a una consola o terminal de text (o emulador d'aquest) i allà executar la comanda:

ssh -l admin tjener.intern

_ o be _

ssh -l admin 10.0.2.2

Possiblement se'ns avisarà que amb l'intercanvi de claus de xifrat s'ha descobert que la màquina destí no era coneguda amb anterioritat. Així com les seves claus no poden ser validades per una autoritat competent. No passa res podem dir que segueixi endavant amb un "yes". Lògicament quan se'ns demana la paraula clau cal introduir la paraula clau escollida per l'usuari "admin".

$ ssh -l admin tjener.intern The authenticity of host 'tjener.intern (10.0.2.2)' can't be established. RSA key fingerprint is fc:0f:95:5a:94:f8:24:92:69:e4:35:5c:7e:75:5d:b2. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 'tjener.intern' (RSA) to the list of known hosts. admin@tjener.intern's password: Last login: Sun May 2 12:28:57 2004 from static99.intern admin@tjener:~$

Encara que sembli que no ens hem mogut de la nostra màquina si no hi ha hagut cap error, realment estem treballant en el servidor. A més si ens connectem des de un un altre Unix en mode gràfic podrem obrir aplicacions gràfiques en el servidor encara que aquest estigui configurat per treballar en mode text. Aquestes aplicacions s'executaran en el servidor però les finestres, teclat i ratolí que usaran serà el de la nostra màquina.

Accedint des de Windows

Windows malhauradament no incorpora el client de Secure Shell (ssh) de sèrie així doncs caldrà usar el client per a Windows de l'empresa SSH Communications, client que és gratuit per a institucions educatives entre d'altres.

La instal·lació és simple i la típica ja funciona. En tot cas no va malament realitzar la instal·lació personalitzada per assegurar-se que s'instal·len els manuals i les eines en mode comandes (tot i que és millor no afegir-les al "PATH").

Un cop l'haguem instal·lat disposarem de noves icones en el menú incici, les més importants són:

SSH client	Secure Copy

Configurar i guia d'ús de la transferència de fitxers

• Pantalla inicial SSH client



• El primer a fer és configurar l'aplicació, per fer-ho podem usar la icona de dos engranatges de l'aplicació o anar a "Edit" -> "Settings".



• En concret cal anar a l'apartat "File Transfer", en ell cal marcar les opcions "Show Root Directory", "Show Hidden Files" i canviar l'aplicació d'edició "notepad" per algun altre que pugui tractar fitxers amb format Unix, per exemple tenim el WordPad inclós en el Windows i els editors PsPAD, UltraEdit, EditPAD, etc.



• A l'apartat security es necessari desactivar l'accés per SSH v1 (protocol ja obsolet i que té problemes de seguretat), per fer-ho cal seleccionar "Deny" a l'apartat "SSH1 Connections".





• Amb aquesta configuració bàsica ja podem configurar l'accés al servidor (tjener). Primer prémem el botó "Quick connect",



• Omplim l'adreça IP del servidor (10.0.2.2) i el nom d'usuari de connexió (admin).



• Al connectar-se amb el servidor se'ns avisa que amb l'intercanvi de claus de xifrat la màquina destí no era coneguda amb anterioritat. No passa res podem dir que la desi. La següent pregunta és la parula clau (paraula de pas)



• El primer a fer es anomenar i desar la connexió per evitar introduir l'adreça IP i el nom usuari de nou. Un bon nom per la connexió és "tjener".



Anotació:

• Per copiar text podem usar el botó del mig ratolí si disposem d'ell, primer es selecciona el text (si es necessari es canvia d'aplicació) i després amb el botó del mig s'enganxa.
• També és possible desplaçar-se per la pantalla del terminal amb la rosca el ratolí (si no en tenim amb la combinació de tecla Shift amb l'avançar i retrocedir plana ("Shift+RePág" o "Shfit+AvPág").
• Exemple d'una connexió.





• Per sortir de la sessió es pot usar: la combinació de tecles "Control+D" o esciure "logout" tantes vegades com sigui necessari. Sabrem que hem sortit per que la pantalla deixa de fer-nos cas i les últimes comandes (si existeixen) estan en text gris i no negre. Tanmateix la barra d'estat la línia de text de baix de tot mostrarà el text: "Not connected".



• també podem tancar l'aplicació amb la creueta de la dreta de la finestra, la combinació "Alt+F4" o el botó desconnectar de la barra de l'aplicació. En aquest cas al no haver-se tancar per comanda se'ns demanarà confirmació.



• Sempre que s'hagi canviat la configuració de l'aplicació abans de tancar-se del tot aquesta preguntarà si es vol desar la nova configuració.





• L'altre eina important és la transferència de fitxers que pot activar-se desde la icona del "menú inici" de Windows o des de el client d'ssh. En el segon cas no haurem d'omplir les dades de connexió donat que ja estarem connectats.



• La finestra de l'aplicació "SSH Secure File Transfer" té un comportament semblant a l'explorador (o Mi_PC) de Windows.



• Si ja s'ha configurat l'aplicació podrem accedir als altres directoris del sistema anat a cercar l'arrel del sistema de fitxers "/". La visió general del sistema és:



• L'usuari administrador no té permís d'escriptura a l'espai compartit "assig", per tant no pot esborrar ni afegir fitxers o directoris. Aquesta limitació no existeix en el cas dels espais "soft" i "iso".



• Després d'afegir fitxers és convenient ajustar-ne els permisos. Per fer-ho cal pensar qui volem que pugui accedir al fitxer. Si volem que altra gent el pugi llegir (o modificar) serà necessari donar permisos de lectura i execució (i escriptura).

Per canviar els permisos d'un fitxer des de el client gràfic "SH Secure File Transfer" primer es necessari seleccionant el fitxer. Després es prem el botó dret i del menú que apareix escollir "Properties" (Propietats), de manera similar a com es fa habitualment a l'entorn Windows.



S'obre una nova finestra que presenta la informació del fitxer. Aquestes dades són nom, mida, ubicació completa, data de l'última modificació i finalment els permisos. Per exemple s'ha deixat una nova imatge ISO "Pipo-A13.iso" al servidor. Volem que sigui accessible per a tothom però de només lectura.



Per saber com ajustar els permisos primer cal entendre la taula que els presenta.

• Les fileres:
• Owner (propietari/usuari): el creador i/o responsable del fitxer. És l'usuari que s'ha usat per validar-se, en aquesta documentació correspon a l'usuari "admin".
• Group (grup): usuaris que pertanyen al grup indicat (o en un grup del que aquest és aniuat), en aquesta documentació correspon als grups "admin" directament i "root" per aniuament.
• Other (altres): qualsevol usuari que no hagi pogut accedir per grup i que no n'és el propietari. En aqeusta documentació representa a tots els alumnes, mestres, i altres usuaris existents al servidor (tjener).
• Les columnes:
• Read: llegir el fitxer, llistar el directori.
• Write: escriure/modificar el fitxer, afegir/esborrar fitxers del directori.
• Execute: executar el fitxer, passar pel directori.

Per canviar els permisos només cal marcar les caselles adequades. També es possible omplir el valor númeric dels permisos a la casella "Permission Mask". Els més habituals són: "755" (accessible per a tothom, modificable només propietari), "750" (accessible propietari i el grup d'aquest, modificable només propietari).

Espai d'intercanvi (Windows - GNU/Linux)

Aquest espai permet per exemple que els mestres deixin fitxers per que tots els alumnes els pugin llegir, o simplement passar fitxers entre diferents PC's.

Per fer-ho cal crear el directori "/skole/tjener/assig", aniria bé que més que un directori fos una partició però donat que els accesos es realitzaran fent-se passar pel un únic usuari es pot controlar la quota de disc d'aquest per evitar omplir massa l'espai de disc disponible.

Particions per a l'espai d'intercanvi (opcional)

A continuació hi ha un fitxer d'automatització script que es va usar tot just finalitzada la instal·lació del servidor skolelinux per tal d'usar més espai del inicialment usat per la instal·lació d'skolelinux en un disc de 40GB.

#!/bin/sh #PLEP: Ajustant mides de particions en disc de 40GB exit 0 #Secure execution: do nothing # #lvremove /dev/vg_data/lv_iso #lvremove /dev/vg_data/lv_term #lvremove /dev/vg_data/lv_backup #lvremove /dev/vg_data/lv_soft #lvremove /dev/vg_data/lv_assig # Ajustos necessaris #Esborrar backup actual, ara haurà de ser mes gran #lvremove /dev/vg_data/lv_backup # BASIQUES (assig=rw) lvcreate --size 416m --name lv_assig /dev/vg_data lvcreate --size 926m --name lv_soft /dev/vg_data lvcreate --size 2048m --name lv_backup /dev/vg_data ## OPCIONALS (ro) #Espai per a NFS terminals lvcreate --size 3072m --name lv_term /dev/vg_data #Espai per a ISO i coses de les que no cal còpia de seguretat lvcreate --size 12288m --name lv_iso /dev/vg_data ## # Creant systemes de fitxers mke2fs -j -L iso /dev/vg_data/lv_iso mke2fs -j -L term /dev/vg_data/lv_term mke2fs -j -L backup /dev/vg_data/lv_backup # Tant opcionals com a dalt mke2fs -j -L soft /dev/vg_data/lv_soft mke2fs -j -L assig /dev/vg_data/lv_assig

Pel que fa els permisos d'aquest directoris caldrà que creem un usuari a bans de poder-los asignar correctament.

Usuari per a l'Espai d'intercanvi (Windows - GNU/Linux)

Per tal de seguritzar el serrvidor que no pas les dades es procedeix a afegir un nou usuari i grup al sistema per als accessos per samba i NFS.

1. Crear el grup per a l'usuari remot

groupadd -g 175 samba

2. Crear l'usuari remot

useradd -u 175 -g 175 -c Acces remot -d /dev/null -s /bin/bash sambauser

3. No es necessari fixar una paraula clau per l'usuari remot, donat que sempre s'hi accedirà saltant des de algun servidor de fitxers (NFS o SaMBa).

Ara ja podem ajustar els permisos dels nous espai creats, així doncs farem:

cd /skole/tjener mkdir assig chown -R root:sambagroup assig chmod -R 775 assig mkdir iso chown -R root:admin iso chmod -R 775 assig mkdir soft chown -R root:admin soft chmod -R 775 assig mkdir term chown -R root:root term chmod 775 term

I per suposat muntar els directoris automaticament modificant el fitxer "/etc/fstab". El fitxer "fstab" contindria quelcom similar a:

# /etc/fstab: static file system information. #PLEP organized # #SYSTEM proc /proc proc defaults 0 0 none /tmp tmpfs defaults 0 0 /dev/hda1 / ext3 defaults,errors=remount-ro 0 1 /dev/vg_system/lv_swap none swap sw 0 0 /dev/vg_system/lv_usr /usr ext3 defaults 0 2 /dev/vg_system/lv_var /var ext3 defaults 0 2 # #DATA (a desmuntar en mode manteniment) /dev/vg_data/lv_home0 /skole/tjener/home0 ext3 defaults,usrquota 0 2 /dev/vg_data/lv_assig /skole/tjener/assig ext3 defaults 0 2 /dev/vg_data/lv_soft /skole/tjener/soft ext3 defaults 0 2 #backup dels anteriors?? /dev/vg_data/lv_backup /skole/backup ext3 defaults 0 2 # #DATA OPCIONAL (no sempre son utils/necessaris) /dev/vg_data/lv_term /skole/tjener/term ext3 defaults 0 2 /dev/vg_data/lv_iso /skole/tjener/iso ext3 defaults 0 2 # #EXTRAIBLES /dev/fd0 /floppy auto rw,user,noauto 0 0 /dev/hdd /cdrom auto ro,user,noauto 0 0

Configuració via web amb Webmin

El webmin és una aplicació escrita el el llenguatge perl, que usant planes web per comunicar-se permet administrar un sistema GNU/Linux amb alta comoditat. Per accedir-hi cal connectar-se al lloc web https://localhost:10000 des de la pròpia màquina o fora d'ella amb https://10.0.2.2:10000 o fins i tot https://tjener.intern:10000. Per què funcioni cal acceptar cookies del domini.

Indicacions sobre les captures de pantalla

Tota la configuració es pot realitzar amb accés a la consola (mode text). Així com accedir amb navegadors ja siguin de mode text o gràfics, en tots els casos les opcions i funcionament és el mateix, per claredat aquest document incorpora força captures de l'accés usant navegadors web gràfics.

Anotació:Les captures de configuració no tant bàsica són del sistema un cop configurat per usar el català donat que anteriorment es creu adequat canviar l'idioma de presentació de l'aplicació.

Per entrar

Des de una consola de text o xterm o client ssh executar:

>lynx https://10.0.2.2:10000

Després d'intercambiar els certificats, se'ns demanarà si volem acceptar una "cookie" (galeta) del lloc web, es aconsellable indicar que per sempre prement una 'a' d'"always"

localhost cookie: testing=1 Allow? (Y/N/Always/neVer) a 'A'lways allowing from domain 'localhost'.

Tot seguit apareixerà la pantalla de comprovació de credencials. No es recomana usar l'opció "Remember login permanently" per motius de seguretat.

Login to Webmin You must enter a username and password to login to the Webmin server on 10.0.2.2. Username ____________________ Password ____________________ Login Clear [ ] Remember login permanently?

Des de qualsevol altre equip podrem accedir-hi amb un navegador gràfic. El primer que veiem és un avís del navegador conforme el certificat que ha rebut del lloc web no es pot verificar i desencoratja l'accés al web.
és normal, per seguir només hem de dir-li al navegador que volem seguir endavant to i l'avís. Fins i tot per evitar l'aparició de l'avís en futures connexions podem procedir a incorporar-lo a la base de dades de certificats de llocs en que confiem.

Això es fa arriabnt a la opció "Detalls" i d'allà a "per sempre" al Konqueror, "permanentment" al mozilla o "ver certificador" i d'allà a "instal·lar" al Microsoft Explorer.

En el cas del "Konqueror" cal seleccionar "detalls" per arribar al "per sempre":

Un cop acceptat es procedeix a preguntar pel nom d'usuari i paraula clau (d'accés al webmin).

L'usuari a introduir al camp "user" és "root" i la paraula clau és la introduïda en el servidor durant la seva instal·lació (si aquesta no s'ha canviat manualment).

Un cop a dins

La pantalla es divideix en capçalera, llavors bé un divisor vertical una fila amb els submenús diponibles i a sota les accions disponibles en el menú actual. Barra vertical i botó de logout.

Per exemple primer configurarem l'idioma, per fer-ho cliclarem a la pestanya "Webmin" i d'allà la opció "Webmin config" ("Configuració de Webmin" si ja s'ha configurat amb anterioritat).

Configurar Idioma

Ara escollim la icona de les banderetes o el text de sota que pot ser "Language" o "Idioma".

En la nova pantalla seleccionem l'idioma desitjat (suposem que català) i prémer "Change language" i ja podrem treballar amb una llengua més propera.

4.6.2. Submenú: Sistema

D'aquí normalment només s'accedirà per afegir o modificar usuaris (Administrate user in LDAP) així com per limitar l'espai de disc d'aquests (Quotes de disc).

Submenú: Sistema -> Administrate Users in LDAP

Submenú: Sistema ->Administrate users in LDAP->Add User

Ara és un bon moment per afegir un usuari genèric per a fer-hi proves, per exemple l'anomenarem "usuari". Així doncs a la pantalla que apareix després d'haver premut el botó "Add user" omplirem les seves dades, com és per a proves escollirem que l'usuari sigui només alumne.

Al crear però no es pot assignar a grups definits, un cop creat caldrà cercar l'usuari (l'asterirsc "*" funciona com a operador de truncament):

i prémer al botó "Edit".

Ara ja podrem assignar-lo com a alumne "students".

Submenú: Sistema ->Quotes de disc

Les quotes de disc permeten limitar l'espai que un usuari pot arribar al servidor, serveixen per evitar abusos o limitar el dany que un virus pot provocar en el sistema.

Cal indicar que no hi ha cap problema en modificar-les més tard especialment per tal d'ampliar-les, la mida a escollir depèn del sistema en el cas de la distribució skolelinux amb 4MB i 1000 fitxers per usuari normal n'hi ha suficient. Els documents a compartir es desen en l'espai compartit.

AVÍS: les captures d'aquest subapartat no es corresponen amb le sistema definit. Això es causat per que no es disposava del servidor muntat a l'hora de realitzar les captures. ja s'indicaran els canvis en el text associat a les captures.

Realment segons el particionat indicat en apartats superiors tenim els espais. Dels quals només "/skole/tjener/home0" està preparat per a usar-hi quotes només d'usuari ("usrquota").

• /dev/hda1 / ext3
• /dev/vg_system/lv_usr /usr ext3
• /dev/vg_system/lv_var /var ext3
• /dev/vg_data/lv_home0 /skole/tjener/home0 ext3 usrquota
• /dev/vg_data/lv_assig /skole/tjener/assig ext3
• /dev/vg_data/lv_soft /skole/tjener/soft ext3
• /dev/vg_data/lv_backup /skole/backup ext3
• /dev/vg_data/lv_term /skole/tjener/term ext3
• /dev/vg_data/lv_iso /skole/tjener/iso ext3

D'aquestes però només hi han dues accessibles per als usuaris, "/skole/tjener/home0", l'espai personal dels usuaris. La resta no són accesibles per part dels usuaris i per tant no és necessari controlar el que poden ocupar d'aquests.

L'única excepció és l'espai compartit "/skole/tjener/assig", però aquest tampoc necessita les quotes en tant que els fitxers desats sempre pertanyen al mateix usuari "sambauser".

Així doncs tenim que la vista general de "Quotes de disc" és:

En aquest cas enlloc de "/skole" hauria d'aparèixer la referència "/skole/tjener/home0", així com variar el camp "Muntat des de". L'estat és actiu per que al "/etc/fstab" esta marcat com a "usrquota" i ja s'ha realitzat l'activació (un enllaç al mateix lloc on ara apareix "Desactiva les quotes" anomenat "Activa les quotes")

Si fem clic en els punt suspensius s'obrirà una finestra amb els usuaris existents en el sistema. A la captura s'assenyalen els usuaris afegits i que corresponen als usuaris. Convé recordar que "sambauser" no serveix per entrar en els GNU/Linux.

Per exemple editem les quotes de l'usuari "usuari":

1. Omplim el formulari amb "usuari" i premem el botó "Edita les Quotes d'usuari".



2. Seleccionem "Edita la quota" de "/skole/tjnener/home0".



3. Inicialment la quota esta sense limitar (il·limitada).



4. Ara cal que s'omplin els valors que creiem suficients per a l'usuari. En concret cal omplir:
1. Mida que pot ocupar, "soft" indica que es pot superar temporalment, "hard" indica que es donarà error de disc ple.
2. Nombre de fitxer que pot tenir, "soft" indica que es pot superar temporalment, "hard" indica que es donarà error de disc ple. És possible omplir un disc tenin molts fitxers que no ocupin res tant a GNU/Linux com en entorns Windows).
3. Al acabar cal prèmer "Actualitza".



5. Al tornar a la pantalla que presenta les "Quotes d'usuari" es mostren els nous valors per la partició ("/skole/tjnener/home0").

També es pot modificar els límits accedint primer a la partició, per fer-ho cal prèmer sobre l'enllaç "/skole/tjnener/home0" de la primera casella del menú "Quotes de disc". En aquest cas se'ns presenta un llistat (report) dels usuaris dels sistema i les seves quotes en aquest sistema de fitxers.

Per exemple usant l'enllaç a l'usuari "demo", podem ajustar-ne els límits.



Ara tant l'usuari "demo" com "usuari" estan limitats.



Per comoditat es convenient ajustar que per defecte en aquell sistema de fitxers per als nous usuaris ja se'ls asigni uns límits. Això es fa al formulari de baix de tot de la pantalla en els mateixos tres pasos que en cas dels usuaris.



El botó "Comprova les quotes", no s'ha de prèmer si no estem mantenint el sistema (no tenim cap usuari accedint-hi). Donat que provocarà que els usuaris no pugui escriure en el seu espai personal. A més la comprovació tarda un minut per cada 7MB de disc ocupat i pot provocar que el servidor desatengui peticions.

Anotacions:

1. Per els usuaris ja creats encara que es desi un valor per defecte cal modificar-los un a un per limitar-ne l'espai.
2. La quota de grup és la quota que tots els usuaris d'un grup poden ocupar, no la quota individual que una persona del grup té.

4.6.3. Submenú: Servers

En aquest podem configurar aquells "serveis" que el servidor ofereix a la xarxa, per exemple Internet i la compartició amb sistemes Windows (samba).

Submenú: Servers -> Apache Webserver

El servidor apache es pot tenir desactivat i evitar fer-ne el manteniment. La única utilitat d'aquest és com a servidor web d'exemple dins de l'aula.

Anotació:

Per a servidors públics es millor usar un PC 486/586 que amb un GNU/Linux retallat amb només un servidor web i un accés per FTP (o safe-FTP) o SSH (Secure Shell), només s'encarregui de servir planes web, per exemple planes web dels alumnes.
Si es necessites es podria permetre l'accés de només lectura des de aquest servidor a l'espai d'emmagatzematge dels alumnes per poder presentar planes web personals.

Submenú: servers -> DHCP i BIND DNS

Millor no accedir-hi si no es sap el que s'està fent.

Submenú: servers -> SSH

Els valors a modificar el primer cop que es configura són:

• No permetre el login a root, que per quelcom s'ha creat l'usuari admin
• Activar el Port i X11 Forwarding
• Només es permet el protocol v2

Ara ja es pot rearrancar el servidor des de la opció a tal efecte que apareix al menú principal.

Per tal que el tunel/reenviament de l'accés a la pantalla (servidor X) cal que el clients també acceptin aquesta opció. Caldrà editar el fitxer "/etc/ssh/ssh_config" de cada clients per canviar la línia "Protocol 1,2" per "Protocol 2". També es necessari activar el "Port-fordwarding" i el "X11-fordwarding", posar us "yes" al darrere del text i assegurar-se que la línia no comença amb un sostingut (graella) "#".

Submenú: Servers -> Compartició de fitxers samba

Aquesta compartició permet que els usuaris del sistema puguin accedir als directoris personals o dades de les assignatures també des de Windows.

Només dir que si s'ha configurat algun cop una carpeta compartida a Windows si fa no fa es responen les mateixes preguntes encara que al estar llistades confonen a l'usuari.

La vista general en el cas d'haver afegit a les mateixes comparticions que s'han afegit per NFS en el desenvolupament de les proves (assig, soft i iso), a part de la impressora. A voltes tarda una mica en aparèixer els dos botons que permeten reactivar el servei Samba.

El directori "homes" (que es correspon al "home0") ja està ben configurat, així con el netlogon útil si es vol que el servidor d'skolelinux simuli un servidor de domini de Microsoft (Un Windows 2000 Server, per exemple).

Pel que respecta als nous directoris compartits, el directori d'assignatura tant a NFS com a SMB (samba) es d'escriptura per a tothom, essent un espai d'intercanvi de dades i a on els professors poden deixar fitxers per que els alumnes els usin.

De la mateixa manera els espais opcionals que s'hagin creat i exportat per a NFS es poden exportar per als clients Windows ("soft" i "iso"). La configuració d'aquests és igual en les primeres dues planes. Aquest canvis són deguts a que s'esporten de només lectura, només l'administrador por accedir-hi remotament amb permís d'escriptura a través "Secure Shell File Transfer (scp)".

La resta de paràmetres són iguals que per a l'espai compartit "assig".

En referència a la configuració més general, tenim que a l'apartat "Opcions de paraula clau (parula de pas, constrasenya)" activar:

• "Permetre contrasenyes nul·les", per poder accedir sense tenir usuaris en els clients
• "Fes servir contrasenyes xifrades", si tenim clients amb Windows 3.2/9x/Me que no acaben d'accedir als recursos.

Com accedir des de Windows

• Per exemple podem arribar al servidor tjener a través de "Entorno de red" -> Toda la red -> Red Microsoft Windows -> Skolelinux -> tjener
• Si accedim al servidor tjener veure'm al que podem accedir



• Per exemple tant el recurs "ISO" com el recurs "soft" són de només lectura



• Es pot accedir tant mapejant els recursos a una lletra d'unitat



• o accedint-hi usant la ruta de xarxa "\\tjener\*" o fins i tot l'adreça IP "\\10.0.2.2\*"

Com accedir des dels clients skolelinux

• En aquest cas un cop ben configurat els clients munten automàticament l'espai compartit (entre d'altres) del servidor, trobant-se en el directori "/skolr/tjener/*" que tot i comportar-se com un directori local realment és de xarxa.



• Per exemple podem veure el contingut de l'espai "soft" (només recordar que els clients no el poden modificar).



• Com el directori "assig" és compartit per tothom millor crear directoris per tenir una mica d'organització.



• I un cop creat un directori podem copiar o crear-hi fitxers:

Submenú: servers -> Skolelinux Bakup

No s'ha provat per manca de temps i per què el manual que s'ha trobat sobre el tema no es gaire clar. En tot cas per fer còpies de seguretat només cal fer "tgz" dels directoris concrets "/skole/tjener/home0", "/home/admin", "/skole/tjener/assig" i "/skole/tjener/soft". Pel que fa als client es pot desar un "tgz" de tot el sistema de fitxers al servidor per tal de restaurar-lo per xarxa a part d'una gravació en un CD-ROM, i el servidor es pot fer un tgz de l'espai de sistema del servidor i desar-lo en CD-ROM.

Submenú: servers -> Squid proxy server

Seria aconsellable que per repatiment de potència aquest servei s'executés en una altre màquina, però com no hi ha problemes de seguretat i és convenient tenir-ne algun en la xarxa es pot deixar.

Veure manual d'ús d'squid al web de l'xtec (l'aplicatiu ja està instal·lat).

4.6.4. Submenú: Networking

De les dues accions possibles el primer només et premet llistar/modificar el fitxer que tradueix port IP a servei, per tant millor no tocar-lo.

En canvi els NFS exports pot ser útil is es vol afegir directoris compartits, per exemple per assignatures o grups d'aquestes.

Submenú: Networking->NFS exports

Per defecte l'espai d'emmagatzematge s'exporta per NFS en mode lectura-escriptura pels euqips amb IP dins 10.0.2.0/23, es a dir les adreces que controla el DHCP del nostre tjener (servidor).

En la versió rc47 d'skolelinux s'han detectat dos problemes respecte a la configuració per webmin de l'NFS:

1. Al modificar el fitxer des de webmin si s'ha revisat manualment es perd informació (aleatoriament més o menys important)
2. El botó/acció de actualitzar la configuració així com la de re-arrancar el servidor donen un error i no funcionen. Per fer-ho cal desde l'usuari root executar la comanda "/etc/init.d/nfs-knfsd-server ??? {restart,start,stop}"

Per aquest motius es recomana configurar l'NFS a mà amb un editor de text i consultant els manuals al respecte "man 5 exports", "man mount" i "man nfs".

En el cas de decidir-se per modificar-ho amb el webmin cal indicar que en el submenú: Networking - NFS exports - Add a new export es important:

1. Limitar l'export a la subxarxa que s'està,
2. Escollir que els client usin port segur (és dir que el client d'NFS pertany al sistema i no un usuari a títol personal.
3. Activar com a mínim confiar en "tothom excepte root"(el protocol NFS és massa confiat).
4. Sempre que sigui possible exportar de només lectura. Es pot cerar un segon export del mateix directori de lect/esc només per a una màquina, per exemple la que usen els professors per tal que aquests puguin actualitzar els continguts. En cas exterm usar altres protocol per a desar/modificar, amb autenticació per directori/fitxer com pot ser el SMB (samba) o CODA.

Per exemple si s'han creat els espais opcionals exposats en aquest document un exemple de fitxer "/etc/exports" és:

/skole/tjener/home0 @all-hosts(rw,root_squash) 10.0.2.2/255.255.254.0(rw,root_squash) /skole/tjener/assig @all-hosts(ro,all_squash,anonuid=155,anongid=155) 10.0.2.2/255.255.254.0(rw,root_squash) /skole/tjener/soft @all-hosts(ro,no_root_squash) 10.0.2.2/255.255.254.0(ro,no_root_squash) ## El següent pot anar bé per traspassar dades cap el servidor ##(només des de l'equip 10.0.2.99), #/skole/tjener/iso 10.0.2.99(rw,no_root_squash)

El mòdul de webmin encarregat dels directoris compartits per NFS conté un error que va inviable rearrancar el servidor des de aquest (en concret no té en compte que el servidor que s'usa és el de kernel no el d'espai d'usuari). Així doncs caldrà entrar al servidor epr ssh arribar a l'usuari "root" i executar: "/etc/init.d/nfs-kernel-server reload" o "/etc/init.d/nfs-kernel-server restart".

Fins la versió rc47 de la distribució skolelinux, per tal que els directoris exportats per NFS puguin ser accessibles per part dels clients cal modifcar el directori on resideix la configuració dels clients (l'LDAP). Per fer-ho el millor és usar l'eina LDAP Browser/Editor.

Amb això des de un client podren accedir als fitxers sense problemes.

$ /sbin/showmount -e 10.0.2.2 Export list for 10.0.2.2: /skole/tjener/assig 10.0.2.0/255.255.255.0 /skole/tjener/soft 10.0.2.0/255.255.255.0 /skole/tjener/home0 10.0.2.0/255.255.255.0 ##/skole/tjener/iso 10.0.2.99/255.255.255.0

LDAP Browser/Editor v2.8.2 Beta2 (revisió i edició al directori (LDAP))

Aquesta eina escrita en java i per tant executable des de qualsevol entorn és la més còmode i econòmica per a treballar amb el LDAP. La seva llicència permet usar-la en l'entorn de les escoles de primària.

Amb ella es pot revisar i modificar el LDAP, és a dir usuaris, directoris compratits, polítiques de seguretat i ara per ara poca cosa més.

1. Instal·lació Java Run Time i LDAP Browser/Editor al servidor ("tjener")

S'ha optat per instal·lar la "Java2-1.4.2_SDK" de Sun, el propi fitxer baixat de Sun es descomprimerix a on estar i si s'executa com a usuari no privilegiat (per exemple "admin") no modifica cap fitxer del sistema. S'ha mogut el directori creat "j2sdk1.4.2/" al "/skole/tjener/soft0/", per oferir-lo als client de la xarxa que vulguin.

Cal crear el fitxer "java.env" on desarem la localització del "Java Run Time", ha de quedar quelcom:

JAVA_LIB=/skole/tjener/soft0/j2sdk1.4.2/lib JAVA_HOME=/skole/tjener/soft0/j2sdk1.4.2/ JAVA=/skole/tjener/soft0/j2sdk1.4.2/bin/java export JAVA_HOME export JAVA_LIB export JAVA

Cada cop que necessitem afegir les variables que ens permetran executar sense problemes els programes java com per exemple el fitxer "lbe.sh" s'ha s'escriure: "source java.env"+intro.

Pel que fa al "LDAP Browser", s'ha descomprimit el zip dins el directori "/skole/tjener/soft0/j2sdk1.4.2/" per simplicitat donat que automàticament es un directori anomenat "ldapbrowser"a on resideix l'aplicació

2. Accés de només visionat des de el "client de proves"

Des de un client de proves entrar al KDE, obrir un terminal (konsole, xterm) i descomprimir l'aplicatiu "LDAP Browser" en el directori perrsonal o en el "/tmp", donat que el client ja té una màquina virtual de Java instalada cal no cal ajustar el fitxer "lbe.sh".

La limitació de l'accés de el client és que el certificats SSL no estan correctament distribuits als equips i pertant no és usable. I sense accés segur (SSL) no es poden modificar valors del LDAP.

3. Accés per ssh i redirecció de la pantalla al "client de proves"

Si s'entra per ssh i s'ha configurat l'SSH per reenviar l'accés a les X-Windows de la màquina origen ja podrem usar l'aplicació en mode gràfic sense tenir les X instal·lades o executant-se en el servidor.

Des de un client de proves entrar al KDE, obrir un terminal (konsole, xterm) i desde ell entrara al servidor:

• "ssh -l admin 10.0.2.2"
• un cop dins del servidor anar al directori de l'aplicatiu "LDAP Browser", "cd /skole/tjener/soft0/j2sdk1.4.2/ldapbrowser/"
• Llegir les variables d'entorn "source ../java.env" o modificar el fitxer "lbe.sh" de manera que en el primer if la variable JAVA apunti al lloc adequat "JAVA=/skole/tjener/soft0/j2sdk1.4.2/bin/java"
• Executar el l'aplicaitu amb "sh lbe.sh &andpersant; "+intro.

Al cap de poc s'obrirà una finestra a la pantalla de l'equip client de proves.



Que deixarà pas a la pantalla de treball i de sessions.

4. Configuració de sessions (i connexió)

Al arrancar s'obren dues finestres una de mida major



i una de menor mida amb el títol connexions en primer pla. El primer a fer serà definir com volem accedir al servidor d'LDAP. En concret es faran 2 accesos un per visionar-lo/navegar-hi i l'altre per poder editar-lo/modificar-lo.



Visió:, es pot realitzar remotament

Premer el botó "New", s'obre una nova finestra, com a nom de sessió escollim per exemple "Skole-tjener",



pel que fa a dades de connexió:

• Host: 10.0.2.2
• El port no cal tocar-lo, es configura sol.
• La versió d'LDAP ja està bé que sigui la 3,
• El BaseDn l'obtindrem automàticament, primer ficant-nos dins el requatre BaseDn i enlloc d'esciure text, prèmer el botó "FetchDN".
• La connexió la mantindrem insegura per poder connectar-nos des de client que no tinguin les claus ben instal·lades (per defecte, tots), o sigui que la casella "SSL" sense marcar, i el Port a usar serà el 389.
• En el camp a autentificació marcarem la casella "Anonymous Bind".



En la pestanya "Opcions" important seleccionar un timeout, per exemple 350 que es molt gran, i revisar que la resta estigui:

• Referrals: Handle
• Deref. Aliases: Always
• Size Limit: 0 (sense límit)



Edició (requereix execució des de el servidor tjener)

Premer el botó "New", s'obre una nova finestra, com a nom de sessió escollim per exemple "Skole-tjener (admin)",



pel que fa a dades de connexió:

• Host: 10.0.2.2
• El port no cal tocar-lo, es configura sol.
• La versió d'LDAP ja està bé que sigui la 3,
• El BaseDn l'obtindrem automàticament, primer ficant-nos dins el requatre BaseDn i enlloc d'esciure text, prèmer el botó "FetchDN".
• La connexió la mantindrem segura per que volem modificar-lo, haurem de configurar les claus o executar l'aplicació des de el propi servidor, o sigui que la casella "SSL" ha d'estar marcada, el Port a usar serà el 636.
• En el camp a autentificació desmarcarem la casella "Anonymous Bind" i introduirem:
• UserDn: cn=admin
• Marcarem la casella "Append BaseDn"
• Deixarem la casella "Password" buida, ja en spreguntarà per ella quan sigui necessari.



En la pestanya "Opcions" important seleccionar un timeout, per exemple 9 que és petit, i revisar que la resta estigui:

• Referrals: Handle
• Deref. Aliases: Always
• Size Limit: 0 (sense límit)



Ara ja es pot entrar com administrador:

Només un avís el primer cop que et connectets apareix una finestra informant que el servidor d'LDAP ha enviat un certificat, el millor a fer es dir-li al client que el desi per sempre, si canvies o caduques ja reapareixerà la finestra.

Tot seguit se'ns demanrà la paraula clau de l'usuari "admin" és la mateixa que la de "root " en el sistema.



5. Fitxers configuració de sessió:

Els fitxers de configuració usats a les proves estan al fitxer comprés "ldap_browser_skole-tjener.zip".

6. Espai de treball (final)
7. Afegir els exports: "/soft", "/assig"
1. Seleccionar l'última fulla amb "home0" i amb el botó dret escollir "create template".



Es demana un nom, podem deixar el recomanat automount



2. Anar a l'anterior no-fulla, i al menú superior seleccionar: "Add -> form template -> nom escollit".



3. Escriure a tots els camps el text que s'ajusti als valors desitjats, valors que han de ser els mateixos (o si més no similars) als del fitxer de configuració d'NFS /etc/exports. Smepre es pot ficar quelcom i acabr d'omplir-ho més tard.





Es còpia d'un altre export les línies més llargues



i s'enganxen en el nou export.



4. Realitzar el procés per la resta de directoris
5. Depenent de la situació caldrà rearrancar el servidor d'NFS del servidor (tjener), i al cap de poc temps (uns 3 minuts) des de el client ja es podrà accedir als diferents directoris compratits "/skole/tjener/soft" per exemple amb un "ls -la /skole/tjener/soft/*"

4.6.5. Submenú: Hardware

El primer és el important, la configuració de les impressores que volem fer públiques en els clients (encara que les controli un altre servidor. Tanmateix es pot configurar més cómodament des de el propi configurador que el "CUPS" incorpora, també es via web.

El segon tracta del GRUB: és el gestor d'arranc seria millor no jugar gaire amb ell, pel que pugui passar. Al actualitzar el kernel s'hauria de reconfigurar sol de manera que no calgui accedir-hi mai en aquest módul.

Pel que fa al "Linux RAID" controla RAID per hardware suportats o per software (si cau un disc en RAID per software IDE segurament caurà el servidor encara que o es perdran excessives dades donat que s'usa "extended-3" i l'altre disc podra funcionar bé al rearrancar.

L'últim mòdul és el "Logical Volume Manager (LVM)", és el getsor de disc avançat de Linux permet canviar la mida de les particions més o menys en marxa (depèn quines). Donat que és de baix nivell millor usar-lo disrectament a la consola de l'equip i en mode single-user, es a dir sense servir a ningú i monousuari i quasi monotasca a l'estil del conegut MSDOS.

CUPS: configurant les impressores

En aquest cas el configurador que el "CUPS" incorpora, també via web es troba a la URL: http://10.0.2.2:631 o si s'està dins el servidor http://localhost:631.

Administració

L'administració de CUPS només es pot fer des de el navegador web lynx que malhauradament treballa en mode text. Donat que és l'únic que accepta la validacióque usa el servidor web emprat per CUPS per controlar l'accés a les tasques d'administració.

Així doncs tenim que per accedir-hi cal anar a una consola o terminal de text (incloent emuladors). EN aquest exemple es suposa que s'usa l'usuari admin en el mateix servidor (entrada remota per SSH des de un Windows per exemple).

admin@tjener.intern $ lynx http://localhost:631

Apareixera la pantalla inicial, si seleccionem "Do administration Tasks" el navegador motsrarà un avís per la 3a línia començant per abaix:

Alert!: Access without authorization denied -- retrying

Llavors a la mateixa línia ens demanarà l'usuari i paraula clau, l'usuari serà "root"

Username for 'CUPS' at server 'localhost:631': root

A la mateixa línia se'ns demanarà la paraula clau per (usar la de "root" del servidor tjener

Password: *******

El menú "Admin" en mode text és força simple:

Common UNIX Printing System Admin Classes Add a New Class Manage Available Classes Jobs Manage Jobs Printers Add a New Printer Manage Available Printers

Per ordre de configuració tenim:

Per afegir una impressora esollir "Add a new printer". Per exemple una HP690c.

Admin Add New Printer Name: ________________________________________ Location: ________________________________________ Description: ________________________________________ Continue *continue Add New Printer Name: hp690c__________________________________ Location: aula____________________________________ Description: impressora ficticia_____________________ Continue

A on està endollada/connectada?

Device for hp690c ------------------------------------- Device: ! AppSocket/HP JetDirect ! ! Internet Printing Protocol (http) ! ! Internet Printing Protocol (ipp) ! ! LPD/LPR Host or Printer ! ! Parallel Port #1 ! ------------------------------------- Continue

Preguntes sobre el Driver (1/2)

Model/Driver for hp690c Make: [HP_________] Continue

Més preguntes sobre el driver (2/2)

Model: [HP DeskJet Series CUPS v1.1 (en)_____________________] Continue

Si tot ha anat bé:

Printer hp690c has been added successfully.

Anem a la impressora acabada de crear

Common UNIX Printing System proves Default Destination: hp690c proves HP DeskJet Series CUPS v1.1 Description: impressora ficticia Location: aula Printer State: idle, accepting jobs. Device URI: parallel:/dev/lp0 Print Test Page Stop Printer Reject Jobs Modify Printer Configure Printer Delete Printer Add Printer No Active Jobs

Des de el menú de la impressora, configurar els valors per defecte "Configure printer"

Choose default options for proves. Extra Output Mode: [CMYK Color] <-- Output Resolution: [300 DPI] <-- Continue General Media Size: [US Letter_______] <-- Media Source: [Tray_________] Media Type: [Plain Paper__] Continue Banners Starting Banner: [none________] Ending Banner: [none________] Continue

Amb "Continue" tornes al menú de la impressora. En aquest es pot prèmer "Print Test Page" per provar que la impressora respond adequadament. També es pot pausar el servei amb "Stop printer" i tornar-lo a posar en marxa amb "Start printer", o si es temporal amb "Reject jobs" i "Accept jobs" per reanudar-ne l'activitat.

Classes permet que diverses impressores es facin càrrec dels treballs en una mateixa classe, de manera que tenim replicació en la impressió, fin i tot es pot fer que una impressora estigui en totes les classes però que el seu ús estigui limitat a quan les impressores predeterminades de les classes no funcionen per assegurar que sempre es podrà imprimir amb aquesta.

Afegir una Classes: Add a new class (primer cal haver creat alguna impressora)

Common UNIX Printing System Admin Add New Class Name: ________________________________________ Location: ________________________________________ Description: ________________________________________ Continue

S'omplen les dades demanades:

Common UNIX Printing System Admin Add New Class Name: impr_aula_______________________________ Location: aula A1_________________________________ Description: impressores de l'aula___________________ Continue

Prèment "Continue" es demana les impressores de la classe (almenys se'n necessita una)

Admin Members for impr_aula Members: [ ] hp690c <-- Continue

Prèment "Continue" crearem la classe.

Class impr_aula has been added successfully.

A la plana d'informació de la classe es pot prèmer "Print Test Page" per provar que la impressora respond adequadament. També es pot pausar el servei amb "Stop class" i tornar-lo a posar en marxa amb "Start class" i "Accept jobs" per reanudar-ne l'activitat.

Els treballs d'impressió poden ser de les impressores o de les classes, en tot cas es poden eliminar així com pausar.

Per exemple si tenim feina acumulada, veureiem quelcom com:

Common UNIX Printing System Jobs ID Name User Size State Control hp690c-18 KDE Print System p0000000 15k processing since Fri May 7 17:41:40 2004 Hold Job Cancel Job hp690c-22 KDE Print System p0000000 15k pending since Fri May 7 17:41:50 2004 Hold Job Cancel Job Show Completed Jobs

Si els anul·lem tots al final tindrem la següent imatge:

Common UNIX Printing System Jobs No Active Jobs Show Completed Jobs

Des d'aquest document es pot accedir a:

• 4. GNU/Linux als centres de primària;

Copyright (c) llpuges 2004
Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License , Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts.