Debian Edu / Skolelinux Buster 10+edu0 Manual

After installation of a main server all services needed for a school network are set up and the system is ready to be used. Only users and machines need to be added via GOsa², a comfortable Web-UI, or any other LDAP editor. A netbooting environment using PXE has also been prepared, so after initial installation of the main server from CD, Blu-ray disc or USB flash drive all other machines can be installed via the network, this includes "roaming workstations" (ones that can be taken away from the school network, usually laptops or netbooks) as well as PXE booting for diskless machines like traditional thin clients.

Several educational applications like GeoGebra, GCompris, Kalzium, KGeography, GNU Solfege and Scratch are included in the default desktop setup, which can be extended easily and almost endlessly via the Debian universe.

2.1. 簡単な歴史と名前が2つある理由

Skolelinux は Debian Edu プロジェクトにより作成される Linux ディストリビューションです。Debian Pure Blends ディストリビューションの一つとしては公式の Debian サブプロジェクトです。

学校から見るとこれは Skolelinux は全面的に学校ネットワーク向けに設定された、そのまま使える環境を提供するバージョンの Debian だということです。

ノルウェーの Skolelinux プロジェクトは2001年7月2日に創設され、同じような時期に Raphaël Hertzog さんがフランスで Debian-Edu を始めました。2003年に2つのプロジェクトは統合しましたが、名前はどちらも残りました。「Skole」と (Debian-)「Education」はそれぞれの地域で最もよくわかる語なのです。

ノルウェーで最初に主な対象とした団体は 6-16 歳の年齢層を扱う学校でした。現在このシステムは世界中の複数の国で利用されていますが、導入されているほとんどはノルウェー、スペイン、ドイツ、フランスです。

3. 構成

この節では Skolelinux で提供するネットワーク構成とサービスについて説明します。

3.1. ネットワーク

Debian Edu のネットワーク接続形態

絵は仮のネットワーク接続形態のスケッチです。Skolelinux はデフォルトではネットワークに通常のワークステーションや LTSP サーバ (及びそれに結びつけられるシンクライアントやディスクレスワークステーション) は複数、一方中心サーバはただ一台を仮定しています。ワークステーションの数は好きなように多くも少なくもできます (無くても多数でも可)。LTSP サーバについても同様でそれぞれが分離したネットワークを構成するため、クライアントと LTSP サーバの間の通信がネットワークサービスの他の部分に影響することはありません。

中心サーバが学校ネットワークごとに1台だけというのは、中心サーバが DHCP を提供し、それを行うのはネットワーク中に1台のマシンだけだからです。別のマシンでサービスを提供させた上で当該サービスについてそのコンピュータに向かうように DNS の別名を設定することで、サービスを中心サーバから他のマシンに移動させることは可能です。

In order to simplify the standard setup of Skolelinux, the Internet connection runs over a separate router, also called gateway. See the Internet router chapter for details how to set up such a gateway if it is not possible to configure an existing one as needed.

3.1.1. デフォルトのネットワーク設定

DHCP on the main server serves the 10.0.0.0/8 network, providing a PXE boot menu where you can choose whether to install a new server/workstation, boot a thin client or a diskless workstation, run memtest, or boot from the local hard disk.

This is designed to be modified; for details, see the related HowTo chapter.

DHCP on the LTSP servers only serves a dedicated network on the second interface (192.168.0.0/24 and 192.168.1.0/24 are preconfigured options) and should seldom need to be changed.

サブネットの設定は全て LDAP に格納されます。

3.1.2. 中心サーバ (tjener)

Skolelinux ネットワークには中心サーバ (「tjener」とも呼ばれますがこれはノルウェー語で「サーバ」という意味です) が1台必要で、デフォルトでIPアドレス 10.0.2.2 を割り当てられ、中心サーバのプロファイルを選択することでインストールされます。中心サーバのプロファイルに加えて LTSP サーバやワークステーションのプロファイルを選択してインストールすることも可能です (必要ではありません)。

3.1.3. 中心サーバで動作するサービス

シンクライアントの制御を例外として、サービスは全て中央コンピュータ (中心サーバ) で用意されます。性能のために LTSP サーバは別個にすべきです (同一のマシンに中心サーバと LTSP サーバのプロファイルをどちらもインストールすることは可能ですが)。専用の DNS 名が全サービスに割り当てられ、IPv4 だけで提供されます。DNS 名を割り当てることで個々のサービスを中心サーバから異なるマシンに移動するのが簡単になります。単純に中心サーバのサービスを止めてそのサービスの新しい位置を指すように DNS 設定を変更するだけです (もちろん最初にそのマシンで用意しておくべきです)。

セキュリティ確保のため、ネットワークでパスワードを送る接続は全て暗号化され、平文のままのパスワードがネットワークで送られることはありません。

以下は Skolelinux ネットワークでデフォルトで用意されるサービスとそれぞれの DNS 名を示した表です。設定ファイルでは可能であればサービスを全て名前 (ドメイン名は含めない) で参照しているため、学校で利用しているドメイン (DNS のドメインを独自に持っている場合) やIPアドレスを変更するのは容易になっています。

サービス表
サービスの説明	名前	DNS サービス名
中央ログ収集	rsyslog	syslog
ドメイン名サービス	DNS (BIND)	ドメイン
マシン群の自動ネットワーク設定	DHCP	bootps
時刻の同期	NTP	ntp
ネットワークファイルシステム (NFS) 経由のホームディレクトリ	SMB / NFS	homes
電子メール	IMAP (Dovecot)	postoffice
ディレクトリサービス	OpenLDAP	ldap
ユーザ管理	GOsa²	---
ウェブサーバ	Apache/PHP	www
中央バックアップ	sl-backup, slbackup-php	backup
ウェブキャッシュ	プロキシ (Squid)	webcache
印刷	CUPS	ipp
安全なリモートログイン	OpenSSH	ssh
自動設定	CFEngine	cfengine
LTSP サーバ	LTSP	ltsp
NBD (ネットワークブロックデバイス) サーバ	NBD	---
マシン及びサービスを監視し、エラー報告や状態、履歴をウェブで確認できます。電子メールでエラーを報告します。	Munin、Icinga、Sitesummary	sitesummary

各ユーザ個人のファイルはサーバで用意されるそれぞれのホームディレクトリに保存されます。ホームディレクトリにはどのマシンからもアクセス可能で、ユーザはどのマシンを使っていても同一のファイルにアクセスできます。サーバはオペレーティングシステムについて寛容で、Unix クライアント向けには NFS、Windows 及び Macintosh クライアント向けには SMB を経由したアクセスを提供します。

メールはデフォルトでローカル配送 (つまり学校内) だけで使えるように用意されますが、学校に恒久的なインターネット接続がある場合には広くインターネットにもメールを配送できるようにすることも可能です。クライアントはメールを (「スマートホスト」を使って) サーバに配送するように設定され、ユーザは IMAP 経由で個人のメールにアクセスできます。

中央ユーザデータベースで認証及び承認を行うため、どのサービスにも同一のユーザ名及びパスワードを使ってアクセスできます。

よくアクセスするサイトへのアクセス改善のため、ファイルをローカルにキャッシュするウェブプロキシ (Squid) を利用します。ルータでのウェブ通信ブロックと併せ、個々のマシンのインターネットアクセスを制御できるようになります。

クライアントのネットワーク設定は DHCP を使って自動的に行われます。通常のクライアントは全てプライベート用のサブネット 10.0.0.0/8 に接続されそれに応じたIPアドレスが割り当てられます。一方シンクライアントは担当する LTSP サーバに別個のサブネット 192.168.0.0/24 を経由して接続します (これにより、LTSP クライアントのネットワーク通信が他のネットワークサービスに影響を与えることはなくなります)。

中央でのログ収集が設定され、全マシンからサーバに各マシンの syslog メッセージを送ります。syslog サービスが用意され、ローカルネットワーク内部から来るメッセージだけを受け付けます。

DNS サーバはデフォルトで、実際の (「external」) DNS ドメインを用意できるようになるまでは内部でのみ利用するドメイン (*.intern) を用意します。DNS サーバはキャッシュを利用する DNS サーバとして設定されるため、ネットワーク上の全マシンからメインの DNS サーバとして利用できます。

生徒や教員はウェブサイトを公開できます。ユーザ認証や個々のページ及びサブディレクトリへのアクセスを特定のユーザ及びグループに限定する仕組みはウェブサーバが提供します。ウェブサーバはサーバ側でプログラムを使って制御できるため、ユーザは動的なウェブページを作成できます。

ユーザやマシンの情報は中央の1か所で変更でき、自動的にネットワーク上の全コンピュータからアクセスできるようになります。これを実現するために中央ディレクトリサーバが用意されます。ディレクトリはユーザやユーザグループ、マシン、マシングループの情報を持つことになります。ユーザの混乱を避けるため、ファイルグループ、メーリングリスト、ネットワークグループに違いは全くありません。これはつまり、ネットワークグループを構成するマシン群はユーザグループやメーリングリストと同一の名前空間を利用するということです。

サービスやユーザの管理は主にウェブ経由で、確立された標準的な手順を追って行いますが、Skolelinux に収録されているウェブブラウザがその役割を果たします。特定のタスクを個々のユーザやユーザグループに委譲することも管理システムからできるようになっています。

NFS に関わる特定の問題を避けるため、また問題の解決を容易にするため、異なる複数のマシンで同期した時刻が必要です。これを実現するために Skolelinux サーバはローカルの Network Time Protocol (NTP) サーバとして設定され、全てのワークステーションやクライアントはサーバと同期するように設定されます。サーバ自体はインターネット上のマシンに対してNTP経由で時刻を同期し、ネットワーク全体が正しい時刻を得られるようにすべきです。

プリンタは便利のいいところで、メインのネットワークに直接接続するか、ネットワーク内のサーバやワークステーション、LTSP サーバに接続します。プリンタへのアクセスは個々のユーザに対してその所属グループにより制御できます。これにはプリンタに対する割り当てとアクセス制御を利用します。

3.1.4. LTSP サーバ

1つの Skolelinux ネットワークに多数の LTSP サーバ (Jessie リリース以前はシンクライアントサーバと呼んでいました) を配置できます。LTSP サーバのプロファイルを選択してインストールします。

LTSP サーバは syslog をシンクライアントやワークステーションから受け取り、中央ログ収集サーバに送るように設定されます。

Please note:

Thin clients are using the programs installed on the server.
Diskless workstations are using the programs installed in the server's LTSP chroot.
For LTSP clients a more lightweight desktop environment should be used; this can be set at installation time, see the Installation chapter for details.
The client root filesystem is provided using NBD (Network Block Device). After each modification to the LTSP chroot the related NBD image has to be re-generated; run ltsp-update-image on the LTSP server.

3.1.5. シンクライアント

A thin client setup enables ordinary PCs to function as (X-)terminals. This means that the machine boots directly from the server using PXE without using the local client hard drive. The thin client setup used is that of the Linux Terminal Server Project (LTSP).

Thin clients are a good way to make use of older, weaker machines as they effectively run all programs on the LTSP server. This works as follows: the service uses DHCP and TFTP to connect to the network and boot from the network. Next, the file system is mounted from the LTSP server using NBD, and finally the X Window System is started. The display manager (LDM) connects to the LTSP server via SSH with X-forwarding. This way all data is encrypted on the network.

3.1.6. ディスクレスワークステーション

ディスクレスワークステーションについては「ステートレスワークステーション」等、他の用語も利用されています。このマニュアルでは明確にするため「ディスクレスワークステーション」とします。

ディスクレスワークステーションではソフトウェアは全て、PCのローカルにインストールされたオペレーティングシステムを使わずに動作します。つまりクライアントマシンはローカルのハードドライブにインストールされたソフトウェアを実行せず、ブートサーバのハードドライブから直接動作します。

ディスクレスワークステーションは少々古くなった (しかし高性能な) ハードウェアをシンクライアント並に低い保守コストで再利用する素晴らしい方法です。ソフトウェアの保守管理はサーバで行われ、クライアントでローカルにインストールしたソフトウェアを保守する必要はありません。ホームディレクトリやシステム設定もサーバに保管されます。

3.1.7. ネットワーククライアント

このマニュアルでは「ネットワーククライアント」という用語はシンクライアントとディスクレスワークステーションの両方、並びに Mac OS や Windows を実行しているコンピュータを参照するのに利用されます。

3.2. 管理

Skolelinux インストーラによりインストールされる Linux マシンはすべて、中央コンピュータ、ほとんどの場合中心サーバから管理できます。SSH を経由して全マシンへのログイン (パスワードによる root ログインはデフォルトで許可されません) が可能になるため、結果としてマシンへの完全アクセスを得られるということになります。

ユーザ情報は全て LDAP ディレクトリに保管されます。ユーザアカウントの更新はこのデータベースに対して行い、クライアントのユーザ認証にはこれが利用されます。

3.2.1. インストール

インストール用メディアのイメージは現在 netinstall (CD) と multi-arch USB フラッシュドライブの2種類あります。どちらのイメージも USB メモリからブートできます。

目指すのは、任意のメディアからサーバを一旦インストールしてしまえば、他のクライアントは全てネットワークからブートし、ネットワーク越しにインストールできるようにすることです。

netinstall イメージだけはインストール時にインターネットへのアクセスが必要です。

インストールでは目的の言語 (例えば日本語や英語) とマシンのプロファイル (中心サーバ、ワークステーション、LTSP サーバ等) を除き、何も聞いてこないはずです。他の設定は全て自動的に相応な設定値がセットされ、インストール後にシステム管理者により中央から変更できます。

3.2.2. ファイルシステムのアクセス設定

Skolelinux のユーザアカウントにはそれぞれファイルサーバのファイルシステムの領域が割り当てられます。この領域 (ホームディレクトリ) にはユーザの設定ファイルや文書、メール、ウェブページが収録されます。一部ファイルにはシステム上の他のユーザから読み取れるように、また一部にはインターネットの誰からでも読み取れるように、また一部にはそのユーザ以外の誰からも読み取れないようにすべき状況があるでしょう。

ユーザディレクトリや共有ディレクトリに利用する全ディスクに、インストールしたシステムの全コンピュータの中で確実に一意となる名前を与えるため、/skole/ホスト/ディレクトリ/ としてマウントする方法があります。最初に1つのディレクトリ /skole/tjener/home0/ がファイルサーバに作成され、ユーザアカウントは全てここに作成されます。特定のユーザグループや使い方によって必要であれば、ディレクトリを追加で作成することもできます。

通常の UNIX 権限システムの下でファイルへの共有アクセスができるようにするためには、ユーザがそれぞれ個人がデフォルトで属する基本グループに加えて、補足となる共有グループ (例えば「生徒」) にも属する必要があります。新しく作成される項目をユーザのグループからアクセスできるようにする適切な umask (002 や 007) を設定し、作業ディレクトリが setgid されていてファイルが正しいグループ権限を引き継ぐようになっていれば、グループメンバー間のファイル共有は制御できるということになります。

新しく作成されたファイルの初期アクセス設定はポリシーの問題です。Debian のデフォルト umask は 022 (上記で説明したようにグループからのアクセスを許可しない) ですが Debian Edu では 002 をデフォルトとしています - これはファイルは誰からも読み取れる状態で作成され、後からユーザが介入して操作すれば削除できるということです。代わりに (/etc/pam.d/common-session を編集することで) umask を 007 に変更する方法もあります - これは読み取りアクセスをまずブロックしておき、必要な場合にはユーザによる操作で読み取れるようにするという方法です。前者は知識の共有を奨励し、システムをより透過的にするのに対し、後者の方法では望まない秘密情報読み取りの危険を減らします。前者の問題は自分が作成したものが他のあらゆるユーザからアクセスできるということがユーザにとって明確ではない点です。他のユーザのディレクトリを調べて他人のファイルを自分が読み取れるということからしかそれに気づけないかもしれません。後者の問題は秘密情報の有無を問わず自分のファイルをアクセスできるようにする人はほとんどいないことで、特定の問題 (主に設定の問題) を他の人がどのように解決しているのか調べようとするような詮索好きなユーザにしかその内容が役に立たない点です。

4. 要件

Skolelinux という解法には準備の方法がいくつもあります。単一のPCだけにインストールすることも、地域にあるいくつもの学校を中央から運営するようにもできます。この柔軟性から、ネットワーク構成要素やサーバ、クライアントマシンの設定は大きく変わります。

4.1. ハードウェア要件

様々なプロファイルの目的についてはネットワーク構成の章で説明しています。

$/!\$ LTSP を利用するつもりであれば LTSP ハードウェア要件の wiki ページに目を通してください。

Debian Edu / Skolelinux を実行するコンピュータには32ビット (Debian アーキテクチャ「i386」、686 クラス以降のプロセッサをサポート) または64ビット (Debian アーキテクチャ「amd64」) の x86 プロセッサが必要です。
中心サーバ及び LTSP サーバプロファイルでは、30 シンクライアントで最低 12 GiB、50-60 シンクライアントでは最低 20 GiB の RAM 容量を推奨します。
シンクライアントは RAM が 256 MiB、400 MHz でも可能ですが、それ以上の RAM、より高速なプロセッサを勧めます。
- LTSP クライアントではネットワーク越しのスワップが自動的に有効化されています。スワップ容量は 512 MiB で、必要に応じて中心サーバの /etc/ltsp/nbdswapd.conf を編集して SIZE 変数を設定することで容量を調整できます。
- ディスクレスワークステーションにハードドライブがある場合、ネットワーク経由のスワップよりもかなり高速であるため、スワップにはそれを利用することを勧めます。
For workstations, diskless workstations and standalone systems, 1500 MHz and 1024 MiB RAM are the absolute minimum requirements. For running modern webbrowsers and LibreOffice at least 2048 MiB RAM is recommended.
- RAM容量の少ないワークステーションでスワップ容量も少なすぎる場合、スペルチェッカーが LibreOffice のハングを引き起こすかもしれません。頻繁にハングする場合はシステム管理者がスペルチェッカーを無効化することもできます。
要求される最小ディスク容量はインストールしたプロファイルにより異なります:
- combined main server + LTSP server: 70 GiB (plus additional space for user accounts).
- LTSP サーバ: 50GiB
- ワークステーション及び単独: 30 GiB
デフォルトのネットワーク構成で利用する場合、LTSP サーバにはネットワークカードが2つ必要です:
- eth0 は中心ネットワーク (10.0.0.0/8) に接続
- eth1 は LTSP クライアント側で利用されます (デフォルトは 192.168.0.0/24)。変更も可能です)。
ノートPCは移動できるワークステーションであり、要件はワークステーションと同一です。

4.2. 動作確認済みのハードウェア

テスト済みハードウェアの一覧を http://wiki.debian.org/DebianEdu/Hardware/ で提供していますがこのリストが完成することはないでしょう。

http://wiki.debian.org/InstallingDebianOn は Debian を特定の一部のハードウェアでインストール、設定、利用する方法を記録した成果で、導入を考えている人が特定のハードウェアがサポートされているのかを確認することや、既に所有している人そのハードウェア以外で最善なものを調べることができるようになっています。

Debian でサポートされているハードウェアの素晴らしいデータベースが http://kmuto.jp/debian/hcl/ にあります。

5. ネットワーク設定の要件

5.1. デフォルト設定

デフォルトのネットワーク構成で利用する場合は以下のようになります。

中心サーバ tjener が1つだけ必要
ワークステーションは中心ネットワークに数百台配置可能
中心ネットワークに多数の LTSP サーバを配置できます。サブネットは LDAP で2つ (DNS, DHCP) 事前設定され、もっと追加することもできます
シンクライアントやディスクレスワークステーションは各 LTSP サーバネットワークに数百台配置可能
動的IPアドレスを割り当てられた他のマシンを数百台配置可能
インターネットへのアクセスにはルータ/ゲートウェイが必要 (以下参照)

5.2. インターネットルータ

インターネットへの接続には外部インターフェイスがインターネットに接続し、内部インターフェイスはIPアドレス 10.0.0.1、ネットマスク netmask 255.0.0.0 で動作しているルータ/ゲートウェイが必要です。

ルータで DHCP サーバを動作させるべきではありません。DNSサーバを動作させることはできますが、これは必要なく利用されません。

ルータはあるけれども必要な設定ができない (権限を持っていない、技術的理由等) 場合、ネットワークを2つ備えたシステムは Debian Edu の「最小構成 (Minimal)」プロファイルをインストールすればゲートウェイにできます。

インストール後に

/etc/network/interfaces を調整します。
ホスト名を恒久的に「gateway」に変更します。
10.0.0.0/8 向けのIP転送とNATを有効にします。
オプションでファイアウォールやトラフィック調整ツールをインストールします。

 #!/bin/sh
 # プロファイル「最小構成 (Minimal)」のシステムをゲートウェイ/ファイアウォールにします
 #
 sed -i 's/auto eth0/auto eth0 eth1/' /etc/network/interfaces
 sed -i '/eth1/ s/dhcp/static/' /etc/network/interfaces
 echo 'address 10.0.0.1' >> /etc/network/interfaces
 echo 'netmask 255.0.0.0' >> /etc/network/interfaces
 hostname -b gateway
 hostname > /etc/hostname 
 service networking stop
 service networking start
 sed -i 's#NAT=#NAT="10.0.0.0/8"#' /etc/default/enable-nat 
 service enable-nat restart
 # ファイアウォール (shorewall や ufw) やトラフィック調整
 # ツールをインストールするのもいいかもしれません。
 #apt update
 #apt install shorewall
 # または
 #apt install ufw
 #apt install wondershaper

古いPCを活用したルータ兼ファイアウォールを探している場合、IPCop か floppyfw を勧めます。

何らかの組み込みルータやアクセスポイントが必要な場合は OpenWRT の利用を勧めますが、もちろん元のファームウェアも利用できます。元のファームウェアを利用する方が簡単です。OpenWRT を使うことで選択や制御の幅が広がります。OpenWRT のウェブページ、サポートされているハードウェアで一覧を確認してください。

異なるネットワーク設定を利用することも可能 (その手順は書かれています) ですが、既存のネットワーク基盤によってそれが強制されるということでないのなら異なる設定にするよりもデフォルトのネットワーク構成にしておくことを勧めます。

6. インストールとダウンロードの選択肢

6.1. 追加情報のありか

We recommend that you read or at least take a look at the release notes for Debian Buster before you start installing a system for production use. There is more information about the Debian Buster release available in its installation manual.

Please give Debian Edu/Skolelinux a try, it should just work. :-)

It is recommended, though, to read the chapters about hardware and network requirements and about the architecture before starting to install a main server.

$/!\$ Be sure to also read the getting started chapter of this manual, as it explains how to log in for the first time.

6.2. Download the installation media for Debian Edu 10+edu0 Codename Buster

6.2.1. i386 及び amd64 用 netinstall CD イメージ

netinstall CD は i386 及び amd64 のマシンへのインストールに適するもので、USB フラッシュドライブからのインストールにも利用できます。名前からわかるように、インストールにはインターネットアクセスが必要です。以下から入手できます:

debian-edu-10+edu0-CD.iso
rsync -v --progress ftp.skolelinux.org::skolelinux-cd/debian-edu-10+edu0-CD.iso ./debian-edu-10+edu0-CD.iso

6.2.2. i386 及び amd64 用 USB ISO イメージ

The multi-architecture ISO image is 5.5 GiB large and can be used for installation of amd64 and i386 machines, also without access to the Internet. Like the netinstall image it can be installed on USB flash drives or disk media of sufficient size. Like the others it can be downloaded over HTTP or rsync via:

debian-edu-10+edu0-USB.iso
rsync -v --progress ftp.skolelinux.org::skolelinux-cd/debian-edu-10+edu0-USB.iso ./debian-edu-10+edu0-USB.iso

6.2.3. ソース

ソースは Debian アーカイブの通常の場所から利用できます。

6.3. メールによる CD / DVD のリクエスト

For those without a fast Internet connection, we can offer a CD or DVD sent for the cost of the CD or DVD and shipping. Just send an email to cd@skolelinux.no and we will discuss the payment details (for shipping and media). CD や DVD の送り先を忘れずにメールに含めるようにしてください。

6.4. Debian Edu のインストール

When you do a Debian Edu installation, you have a few options to choose from. Don't be afraid; there aren't many. We have done a good job of hiding the complexity of Debian during the installation and beyond. However, Debian Edu is Debian, and if you want there are more than 52,000 packages to choose from and a billion configuration options. For the majority of our users, our defaults should be fine. Please note: if LTSP is intended to be used, choose a lightweight desktop environment.

6.4.1. Main server installation scenarios

Typical school or home network with Internet access through a router providing DHCP:
- Installation of a main server is possible, but after reboot there will be no internet access (due to primary network interface IP 10.0.2.2/8).
- See the Internet router chapter for details how to set up a gateway if it is not possible to configure an existing one as needed.
- Connect all components like shown in the architecture chapter.
- The main server should have Internet connection once bootet the first time in the correct environment.
Typical school or institution network, similar to the one above, but with proxy use required.
- Add 'debian-edu-expert' to the kernel command line; see further below for details how this is done.
- Some additional questions must be answered, the proxy server related one included.
Network with router/gateway IP 10.0.0.1/8 (which does not provide a DHCP server) and Internet access:
- As soon as the automatic network configuration fails (due to missing DHCP), choose manual network configuration.
  - Enter 10.0.2.2/8 as host IP
  - Enter 10.0.0.1 as gateway IP
  - Enter 8.8.8.8 as nameserver IP unless you know better
- The main server should just work after the first boot.
Offline (no Internet connection):
- Use the USB ISO image.
- Make sure all (real/virtual) network cables are unplugged.
- Choose 'Do not configure the network at this time' (after DHCP failed to configure the network and you pressed 'Continue').
- Update the system once bootet the first time in the correct environment with Internet access.

6.4.2. Desktop choice

KDE and GNOME both have good language support, but too big a footprint for both older computers and for LTSP clients.
MATE is lighter than the two above, but is missing good language support for several countries.
LXDE has the smallest footprint and supports 35 languages.
Xfce has a slightly bigger footprint than LXDE but a very good language support (106 languages).

Debian Edu as an international project has chosen to use Xfce as the default desktop; see below how to set a different one.

6.4.3. Modular installation

When installing a system with profile Workstation included, a lot of education related programs are installed. To install only the basic profile, remove the desktop=xxxx kernel command line param before starting the installation; see further below for details how this is done. This allows one to install a site specific system and could be used to speed up test installations.
Please note: If you want to install a desktop afterwards, don't use the Debian Edu meta-packages like e.g. education-desktop-mate because these would pull in all education related programs; rather install e.g. task-mate-desktop instead.
For details about Debian Edu meta-packages, see the Debian Edu packages overview page.

6.4.4. インストール方法と選択肢

64ビットハードウェアでのインストーラブートメニュー

Graphical installは GTK を利用したインストーラで、マウスを利用できます。

Install ではテキストモードを使います。

Advanced options > ではもっと詳細なオプションを選択できるサブメニューを提示します。

32-bit install options > を使うと64ビットのハードウェアに32ビット版をインストールできます。

Help でインストーラの使用に関するいくらかのヒントを提供します。以下のスクリーンショットを見てください。

Back.. を選択するとメインメニューに戻ります。

Graphical expert install では全ての質問にアクセスでき、マウスを使えます。

Graphical rescue mode により、このインストール用メディアは緊急タスク向けのレスキューディスクになります。

Graphical automated install には preseed ファイルが必要です。

Expert install ではテキストモードの全ての質問にアクセスできます。

Rescue mode のテキストモードにより、このインストール用メディアは緊急タスク向けのレスキューディスクになります。

Automated install のテキストモードには preseed ファイルが必要です。

32ビットハードウェアでのインストーラブートメニュー

説明は64ビットのハードウェアの場合と同じようなものになります。

ヘルプ画面

このヘルプ画面は自己説明的になっていて、キーボードの<F数字>キーを押すと説明されている項目についてもっと詳細なヘルプを得られるようになっています。

インストール時のブートパラメータの追加や変更

どちらの場合もブートメニューでタブキーを押すとブートオプションを編集できるようになっています。スクリーンショットは Graphical install 用のコマンドラインを示しています。

You can use an existing HTTP proxy service on the network to speed up the installation of the main server profile from CD. Add e.g. mirror/http/proxy=http://10.0.2.2:3128/ as an additional boot parameter.
既にマシンに中心サーバプロファイルをインストール済みの場合は、以後のインストールは PXE を経由して行うべきです。この方法では中心サーバのプロキシを自動的に利用します。
To install the GNOME desktop instead of the default Xfce desktop, replace xfce with gnome in the desktop=xfce parameter.
To install the LXDE desktop instead, use desktop=lxde.
To install the KDE Plasma desktop instead, use desktop=kde.
代わりに MATE デスクトップをインストールするには desktop=mate を使います。

6.4.5. インストールプロセス

Remember the system requirements and make sure you have at least two network cards (NICs) if you plan on setting up an LTSP server.

言語を選択します (インストール時とインストールしたシステム)。
国や地域を選択します。通常は自分が住んでいる場所です。
キーボードの種類を選択します (通常は国や地域のデフォルトでかまいません)。
以下のリストからプロファイルを選択します:
- Main-Server (中心サーバ)
  - これは学校向けに提供する全サービスを設定済みでそのまま使える中心サーバ (tjener) です。学校のネットワークに中心サーバを1台だけインストールしないといけません! このプロファイルにはグラフィカルユーザインターフェイスは収録されていません。グラフィカルユーザインターフェイスが必要であればこれに加えてワークステーションか LTSP サーバを選択してください。
- Workstation (ワークステーション)
  - このコンピュータは普通のコンピュータと同様にローカルのハードドライブからブートし、ソフトウェアやデバイスは全てローカルにあるものを実行します。違うのはユーザログインのの認証はユーザのファイルやデスクトッププロファイルが置かれている中心サーバに対して行われるという点です。
- Roaming workstation (ローミングワークステーション)
  - ワークステーションと同じですが認証機能でキャッシュされた資格情報を利用します。学校ネットワークの外で利用できるということになります。ユーザのファイルやプロファイルはローカルディスクに保存されます。シングルユーザ向けのノートPCでは以前のリリースで提案していた 'Workstation' や 'Standalone' ではなくこのプロファイルを選択してください。
- LTSP Server
  - シンクライアント (やディスクレスワークステーション) サーバで、LTSP サーバとも呼ばれます。ハードドライブを持たないクライアントはブートとソフトウェアの実行をこのサーバから行います。このコンピュータには2つのネットワークインターフェイス、大量のメモリ、それに理想的には複数のプロセッサまたはコアが必要です。この件のさらなる情報については、ネットワーククライアントの章を見てください。このプロファイルを選択すると (ワークステーションを選択していなくても) ワークステーションプロファイルも有効になります - LTSP サーバは常にワークステーションとしても使えるということになります。
- Standalone (独立したコンピュータ)
  - 中心サーバが無くても機能できる普通のコンピュータです (つまりネットワーク内にある必要がありません)。ノートPCもこれになります。
- Minimal (最小構成)
  - このプロファイルではベースとなるパッケージをインストールし、そのマシンを Debian Edu ネットワークと連携するように設定しますが、サービスやアプリケーションはインストールしません。手作業により中心サーバから離れて利用する単一サービスの基盤に有用です。
中心サーバ、ワークステーション、LTSP サーバのプロファイルは事前選択されています。複合中心サーバとしてインストールしたい場合、この3つのプロファイルは1つのマシンに併せてインストールできます。つまり中心サーバが LTSP サーバになり、ワークステーションとしても利用できるということになります。これはほとんどの人が PXE 経由で後からインストールすることからデフォルトの選択となっています。複合中心サーバや LTSP サーバとしてインストールする場合、インストール後に有効活用するためにはそのマシンにネットワークカードが2つないといけないことに注意してください。
自動でのパーティション設定に「yes」か「no」と答えます。「yes」と答えてパーティション情報を保存するとそのハードドライブにあるデータはすべて壊れることに留意してください! 「no」と答え、自動で設定しない場合は少々作業が必要となります - 必要なパーティションが作成され、十分な容量があることを確認する必要があります。
「yes」と答えて http://popcon.skolelinux.org/ に情報を送信し、人気があって将来のリリースにも収録すべきパッケージが私たちにわかるようにしてください。これはやらないといけないことではありませんが、支援できる簡単な方法です。
待ってください。LTSP サーバのプロファイルも選択した場合、最後の「インストールを終了しています - debian-edu-profile-udeb を実行しています...」にかなりの時間がかかることになります。
root パスワード指定後に「管理タスク以外の用途向け」の通常のユーザアカウントを作成するように指示されます。Debian Edu ではこのアカウントが非常に重要です: このアカウントは Skolelinux ネットワークの管理に利用することになります。
$/!\$ このユーザのパスワードは長さが最低5文字ないといけません - 短い場合はログインが (短いパスワードをインストーラが受け付けたとしても) 不可能になります。
幸せ♪

6.4.6. Notes on some characteristics

6.4.6.1. ノートPCでのインストールに関する注意

ほぼ確実に「Roaming workstation」プロファイル (上記参照) を利用するのが良いでしょう。データは全てローカルに保存される (そのためバックアップに関して別途考慮が必要) こととログイン資格情報がキャッシュされる (そのためパスワードを変更してから新しいパスワードでログインしていてノート PC がネットワークに接続していない場合に古いパスワードでのログインが要求される可能性がある) ことに留意してください。

6.4.6.2. 複数アーキテクチャ対応のUSBフラッシュドライブ / Blu-ray ディスクイメージでのインストールに関する注意

複数アーキテクチャ対応USBフラッシュドライブ / Blu-ray ディスクイメージからのインストール後、/etc/apt/sources.list にはそのイメージからのソースしか書かれていません。インターネット接続が使える場合には以下の行を追加しておくことを強く勧めます。そうしておくことで、利用可能となったセキュリティ更新をインストールできるようになります:

deb http://ftp.debian.org/debian/ buster main 
deb http://security.debian.org/ buster/updates main

6.4.6.3. CDでのインストールに関する注意

netinst でのインストール (私たちのCDが提供しているインストール方法です) では一部のパッケージをCDから、残りはインターネットから取得します。インターネットから取得するパッケージの量はプロファイルによっても異なりますが、(可能な限りあらゆるデスクトップをインストールするような選択をしない限り) ギガバイトまでは行かないでしょう。中心サーバ (純粋な中心サーバか他のプロファイルを組み合わせたサーバかは問題ではありません) のインストール後のインストールではプロキシを利用し、同一のパッケージを何度もインターネットからダウンロードすることのないようになっています。

6.4.6.4. シンクライアントだけを扱う LTSP サーバのインストールに関する注意

カーネルブートパラメータ edu-skip-ltsp-make-client を提供するとシンクライアントの chroot からシンクライアント/ディスクレスワークステーション複合の chroot への LTSP chroot の変換を飛ばせます。

これは例えば純粋なシンクライアント chroot を用意したい場合や既にディスクレス chroot が別のサーバにあって rsync できる場合等、特定の状況で有用です。そういった状況の場合はこの段階を飛ばすことでかなりのインストール時間短縮になります。

インストール時間が長くなる以外に複合 chroot を常に作成することによる害はないため、デフォルトで変換するようになっています。

6.4.7. CD / Blu-ray ディスクの代わりにUSBフラッシュドライブを利用したインストール

Squeeze リリースから CD/DVD/BD .iso イメージを USB フラッシュドライブ (USB メモリ) にそのままコピーしてブートできるようになりました。単に以下のようなコマンドを実行します。ファイル名やデバイス名は必要に応じて調整してください:

sudo dd if=debian-edu-amd64-i386-XXX.iso of=/dev/sdX bs=1024

選択したイメージにより、USB フラッシュドライブは CD や Blu-ray ディスクのように動作します。

6.4.8. ネットワーク (PXE) 越しのインストールとディスクレスクライアントのブート

このインストール方法では動作している中心サーバが必要です。クライアントが中心ネットワーク経由でブートする際、インストーラにより新しい PXE メニューとブートオプションの選択が表示されます。XXX.bin ファイルが欠けている (XXX.bin file is missing) と主張するエラーメッセージを出して PXE インストールが失敗した場合は、ほぼ確実にクライアントのネットワークカードが非フリーのファームウェアを必要としています。この場合は Debian インストーラの initrd を変更しないといけません。それにはサーバでコマンド /usr/share/debian-edu-config/tools/pxe-addfirmware を実行します。

中心サーバプロファイルだけの場合 PXE メニューはこんな感じになります:

中心サーバとLTSP サーバプロファイルの場合 PXE メニューはこんな感じになります:

デフォルト以外のデスクトップ環境をインストールするにはタブキーを押してカーネルブートオプションを (前述のように) 編集します。

この設定では中心ネットワークでディスクレスワークステーションやシンクライアントのブートもできます。ワークステーションとは異なり、ディスクレスワークステーションは GOsa² を利用して LDAP に追加する必要はありませんが、例えばホスト名を強制したい場合は追加することもできます。

ネットワーククライアントについてのさらなる情報がネットワーククライアント HowTo の章にあります。

6.4.8.1. PXE インストールの調整

PXE インストールでは debian-installer の preseed ファイルを利用しています。このファイルを変更することでパッケージをもっとインストールさせるようにできます。

以下のような行を tjener:/etc/debian-edu/www/debian-edu-install.dat に追加する必要があります。

d-i    pkgsel/include string 追加したいパッケージ(群)

PXE インストールでは /var/lib/tftpboot/debian-edu/install.cfg と /etc/debian-edu/www/debian-edu-install.dat 中の preseed ファイルを利用します。インストール中に利用する preseed を調整することで、インターネットからインストールする際の質問を回避できます。/etc/debian-edu/pxeinstall.conf や /etc/debian-edu/www/debian-edu-install.dat.local で追加設定して /usr/sbin/debian-edu-pxeinstall を実行し、生成されたファイルを更新する方法もあります。

Further information can be found in the manual of the Debian Installer.

PXE を経由したインストールでプロキシを変更あるいは無効化するには tjener:/etc/debian-edu/www/debian-edu-install.dat 中の mirror/http/proxy、mirror/ftp/proxy、preseed/early_command を含む行を変更する必要があります。インストール時にプロキシの利用を無効化するには最初の2行の冒頭に「#」を付加し、最後の行から「export http_proxy="http://ウェブキャッシュ:3128";」の部分を削除します。

preseed ファイルがダウンロードされる前に必要となるために preseed できない設定があります。その設定には /var/lib/tftproot/debian-edu/install.cfg から利用できる PXElinux ベースのブート引数を利用します。こういった設定の例として言語やキーボードレイアウト、デスクトップがあります。

6.4.9. 独自イメージ

CD、DVD、Blu-ray の独自ディスク作成は、モジュール設計その他の使いやすい機能を備えた Debian インストーラを利用しているためかなり簡単かもしれません。Preseed により、通常質問される項目の回答を事前に定義できるようになります。

そのため、必要なことは preseed ファイルを作成して回答を定義 (これは Debian インストーラマニュアルの付録で説明されています) し、CD/DVD を作り直すだけです。

6.5. スクリーンショットツアー

テキストモードとグラフィカルモードのインストールは機能的には同等です - 異なるのは見た目だけです。グラフィカルモードではマウスを使う機会があり、当然見た目もはるかに良くずっと現代的になります。ハードウェアに問題があってグラフィカルモードを使えないということでもなければこちらを使わない理由はありません。

以下は中心サーバ + ワークステーション + LTSP サーバを64ビットのグラフィカルモードでインストールした場合と、中心サーバの最初のブート、ワークステーションネットワーク及び LTSP クライアントネットワークでの PXE ブートのスクリーンショットです:

{{attachment:10-Really_use_the_automatic_partitioning_tool-Yes.png}}

{{attachment:19-Install_the_GRUB_boot_loader_on_a_hard_disk.png}}

{{attachment:21-Finish_the_Installation-Installation_complete.png}}

7. さあ始めよう

7.1. 開始までの最小手順

中心サーバのインストール時に最初のユーザアカウントが作成されます。以下の文ではこのアカウントを「最初のユーザ」と言及します。このアカウントは特別で、Samba アカウントは作成されず (GOsa² を経由して作成できます)、ホームディレクトリ権限は 700 にセットされ (そのため個人のウェブページにアクセスできるようにするには chmod o+x ~ が必要)、そして最初のユーザは sudo を使って root になれます。

See the information about Debian Edu specific file system access configuration before adding users; adjust to your site's policy if needed.

インストール後に最初のユーザとしてまずやらないといけないこと:

Log into the server.
Add users with GOsa².
GOsa² によるワークステーションの追加 - シンクライアントやディスクレスワークステーションはこの手順をやらなくてもそのまま使えます

ユーザやワークステーションの追加については以下で詳細に説明しています。この章全体を読んでください。最小限の手順を正しく行う方法や恐らく誰にとっても必要となる他の事項についても触れています。

There is additional information available elsewhere in this manual: the New features in Buster chapter should be read by everyone who is familiar with previous releases. And for those upgrading from a previous release, make sure to read the Upgrades chapter.

$/!\$ 通常のDNS通信が遮断されているネットワークであるためインターネットホスト参照に特定のDNSサーバを利用する必要がある場合、そのDNSサーバにこのサーバが「転送サーバ (フォワーダ)」だということを教えてやる必要があります。/etc/bind/named.conf.options を更新して利用するDNSサーバのIPアドレスを指定します。

HowTo の章ではさらなるコツや小技、それによく聞かれる疑問もいくらか扱っています。

7.1.1. 中心サーバで動作するサービス

中心サーバで動作しているサービスにはウェブ管理インターフェイス経由で管理できるものが複数あります。以下で各サービスについて説明していきます。

7.2. GOsa² の紹介

GOsa² はウェブベースの管理ツールで Debian Edu の重要な部分の管理を支援します。GOsa² により主に以下を管理 (追加、変更、削除) できます:

ユーザ管理
グループ管理
NIS ネットグループ管理
マシン管理
DNS 管理
DHCP 管理

GOsa² へのアクセスには Skolelinux の中心サーバとウェブブラウザがインストールされた (クライアント) システムが必要です。後者については複合サーバ (中心サーバ + LTSP サーバ + ワークステーションプロファイル) としてインストールしていれば中心サーバ自体を使えます。前述のどれも利用できない場合は中心サーバで GOsa² を利用するためのグラフィカル環境のインストールを見てください。

GOsa² へのアクセスにはウェブブラウザからURL https://www/gosa にアクセスし、最初のユーザとしてログインします。

If you are using a new Debian Edu Buster machine, the site certificate will be known by the browser.
そうでない場合はSSL証明書が不正だというエラーメッセージを受け取ることになります。そのネットワークに自分しかいないことがわかっていれば、エラーを無視してブラウザで受け入れてください。

GOsa² 一般の情報については https://oss.gonicus.de/labs/gosa/wiki/documentation を見てください。

7.2.1. GOsa² のログインと概観

最初のユーザとしてログインした後の GOsa² 概観ページ

GOsa² へのログイン後、GOsa² の概観ページを見ることになります。

次に、メニュー中のタスクを選択、あるいは概要ページにある任意のタスクアイコンをクリックできます。ナビゲーションの観点から、画面左側のメニューを使うのが良いでしょう。GOsa² で提供している全管理ページにあるためです。

Debian Edu ではアカウントやグループ、システム情報は LDAP ディレクトリに保存されています。このデータは中心サーバだけでなくネットワーク上の (ディスクレス) ワークステーションや LTSP サーバ、Windows マシンでも利用されます。LDAP では、生徒や教員等についてのアカウント情報を入力する必要があるのは一度だけです。情報を LDAP に提供した後は、その情報は Skolelinux ネットワーク全体の全システムから利用できるようになります。

GOsa² は情報の保存に LDAP を利用する管理用ツールで、部門別の階層構造を提供します。各「部門」でユーザアカウントやグループ、システム、ネットグループ等を追加できます。組織の構造により、GOsa²/LDAP の部門別の構造を使って組織の構造を Debian Edu 中心サーバの LDAP データツリーに書き換えることもできます。

A default Debian Edu main server installation currently provides two "departments": Teachers and Students, plus the base level of the LDAP tree. Student accounts are intended to be added to the "Students" department, teachers to the "Teachers" department; systems (servers, Skolelinux workstations, Windows machines, printers etc.) are currently added to the base level. Find your own scheme for customising this structure. (You can find an example how to create users in year groups, with common home directories for each group in the HowTo/AdvancedAdministration chapter of this manual.)

処理したいタスク (ユーザ管理、グループ管理、システム、管理等) により、GOsa² は選択した部門 (や基底レベル) 様々な表示を提供します。

7.3. GOsa² によるユーザ管理

まず、左側のナビゲーションメニューにある「Users」をクリックします。画面右側は「生徒」や「教員」の部門フォルダーの表と GOsa² の Super-Administrator (最初に作成したユーザ) のアカウントの表示に変わります。この表の上に Base というフィールドが表示されてツリー構造を追って (マウスをこの領域に移動するとドロップダウンメニューが表示されます) 意図した操作 (例えば新しいユーザの追加) の基底フォルダーを選択できるようになります。

7.3.1. ユーザの追加

次はそのツリーのナビゲーション項目に「Actions」メニューがあるでしょう。マウスをこの項目の上に移動すると画面にサブメニューが表示されます。「Create」そして「User」を選択します。ユーザ作成ウイザードに進みます。

ここで最も重要なのはテンプレート (newstudent や newteacher) とユーザのフルネーム (画像参照) です。
ウイザードに従って進めると GOsa² は実名を基にしてユーザ名を自動的に生成していることがわかるでしょう。まだ存在しないユーザ名を自動的に選択するため、フルネームが同一のユーザが複数いても問題にはなりません。ただし、非アスキー文字を含むフルネームからは GOsa² が無効なユーザ名を生成する可能性があることに注意してください
生成されたユーザ名が気に入らない場合、ドロップダウンメニューで提供される別のユーザ名を選択できますが、ウイザードではユーザ名を自由に選択することはできません (提案されたユーザ名を変更できるようにするにはエディタで /etc/gosa/gosa.conf を開き、「location definition」の追加オプションとして allowUIDProposalModification="true" を追加します)。
ウイザードを完了させると、GOsa² は新しいユーザの情報を表示します。上部のタブを使って内容を確認してください。

ユーザ作成後 (ウイザードで入力を促さなかった項目についてはこの段階で変更する必要はありません)、右下の隅にある「Ok」ボタンをクリックします。

最終段階として GOsa² は新しいユーザのパスワードを聞いてきます。2回入力して右下の隅にある「Set password」ボタンをクリックします。 $/!\$ パスワードに許されない文字があります。

全てうまくいけば、ユーザ一覧表に新しいユーザが表示されているはずです。そのネットワーク内の任意の Skolelinux マシンにそのユーザ名でログインできるようになっているはずです。

7.3.2. ユーザの検索、変更、削除

検索枠

ユーザを変更、削除するには GOsa² を使ってシステム上のユーザ一覧を表示します。画面中央辺りに「Filter」という枠があります。これは GOsa² が提供している検索ツールです。ユーザアカウントがツリーのどこにあるのかわからない場合は GOsa²/LDAP ツリーの基底レベルに移動させてから「Search in subtrees」オプションを使って検索します。

When using the "Filter" box, results will immediately appear in the middle of the text in the table list view. Every line represents a user account and the items farthest to the right on each line are little icons that provide actions for you: edit user, lock account, set password and remove user.

ユーザに関する情報を直接変更できる新しいページが表示されます。ユーザのパスワードを変更し、ユーザの所属グループ一覧を変更します。

ユーザデータの編集

7.3.3. パスワード設定

生徒は自分のユーザ名で GOsa² にログインすることで自分のパスワードを変更できます。GOsa² に楽にアクセスできるようにするため、デスクトップのシステム (またはシステム設定) メニューに Gosa という項目が用意されています。ログインした生徒に対しては最小限のバージョンの GOsa² が提示され、生徒自身のアカウントデータとパスワード設定ダイアログへのアクセスだけができるようになっています。

GOsa² では自分のユーザ名でログインした教員には特別な権限があります。より権限のある GOsa² のビューが表示され、全生徒のアカウントのパスワードを変更できます。これは授業で非常に便利かもしれません。

管理作業でユーザの新しいパスワードを設定するには

上記で説明しているようにして変更するユーザを検索します
ユーザ名が表示されている行の最後辺りにある鍵の絵をクリックします
次に表示されるページでそのユーザの新しいパスワードを設定できます

ユーザパスワードの設定

推測の容易なパスワードによりセキュリティへの影響が生じることに留意してください!

7.3.4. 高度なユーザ管理

GOsa² でCSVファイルを利用してユーザを大量に作成することもできます。CSVファイルは自分の使いやすいスプレッドシートソフトウェア (例えば localc) 等により作成できます。最低限必要な項目はユーザID、姓、名、パスワードです。同一のユーザIDが複数回出てこないことを確認してください。その際、既存の LDAP の uid (これはコマンドラインで getent passwd | grep tjener/home | cut -d":" -f1 を実行すれば取得できます) も併せて確認しないといけないことに注意してください。

CSVファイル等のデータ形式について指針があります (GOsa² はデータ形式についてかなり不寛容です):

項目間の区切り文字には「,」を使ってください
引用符を使わないようにしてください
CSVファイルにヘッダ行 (通常項目名等を記述している類の行) を含めてはいけません
項目の順に指定はなく、GOsa² で大量インポートを行う際に定義できます

大量インポートの手順:

左のナビゲーション項目にある「LDAP Manager」リンクをクリックします
画面右側にある「Import」タブをクリックします
インポートするユーザ一覧を収録しているCSVファイルをローカルディスクから選択します
利用可能なユーザテンプレートから大量インポート時に適用させるものを選択します (NewTeacher や NewStudent 等)
右下の隅にある「Import」ボタンをクリックします

最初にいくらかテストをしておくのは良い方法です。架空のユーザを使ったCSVファイルを使えば後から削除できます。

Same applies to the password management module, which allows to reset a lot of passwords using a CSV file or to re-generate new passwords for users belonging to a special LDAP subtree.

Reset passwords

7.4. GOsa² によるグループ管理

グループ作成

グループ管理はユーザ管理とかなり似ています。

グループごとに名前と説明を入力できます。新しいグループを作成する際、LDAP ツリーの正しいレベルを選択していることを確認してください。

適切な Samba グループはデフォルトでは作成されません。グループ作成時に Samba グループのオプションにチェックを入れ忘れた場合は後からグループを編集できます。

新しく作成したグループにユーザを追加するには、ユーザ一覧に戻ります。ほぼ確実に「filter」枠を使ってユーザを探すのが良いでしょう。ここでも LDAP ツリーのレベルを確認してください。

グループ管理で入力したグループは通常の unix グループでもあります。そのため、ファイルの権限管理にも利用できます。

7.4.1. コマンドラインによるグループ管理

# 既存のグループについて UNIX と Windows のグループのマッピングを表示
net groupmap list

# 新しいまたは足りないグループを追加
net groupmap add unixgroup=NEW_GROUP type=domain ntgroup="NEW_GROUP"\
                 comment="DESCRIPTION OF NEW GROUP"

7.5. GOsa² によるマシン管理

マシン管理では基本的に、Debian Edu ネットワークに接続されている全ての機器を管理できます。GOsa² を利用して LDAP ディレクトリに追加したマシンには全てにホスト名、IPアドレス、MACアドレス、ドメイン名 (通常「intern」) が付加されます。Debian Edu 構成の全面的な説明についてはこのマニュアルの構成の章を参照してください。

ディスクレスワークステーションやシンクライアントは中心ネットワークに接続すればそのままで利用できます。GOsa² を利用して LDAP に追加しないといけないのはディスクを備えたワークステーションだけですが、どれも可能です。

マシンを追加するには、GOsa² メインメニュー、システム、追加と進みます。事前設定済みのアドレス空間 10.0.0.0/8 にあるIPアドレス/ホスト名を利用できます。現在事前定義されている固定アドレスは 10.0.2.2 (tjener) と 10.0.0.1 (ゲートウェイ) の2つだけです。10.0.16.20 から 10.0.31.254 までのアドレス (ほぼ 10.0.16.0/20 あるいは4000ホスト) は DHCP 向けに予約済みで動的に割り当てられます。

GOsa² で MACアドレス 52:54:00:12:34:10 のホストに固定IPアドレスを割り当てるには、MACアドレス、ホスト名、IPアドレスを入力しないといけません。代わりにPropose ip ボタンをクリックすると 10.0.0.0/8 の範囲内の最初の固定空きアドレスを表示します。この方法で初めてマシンを追加した場合はほぼ確実に 10.0.0.2 のようなアドレスになるでしょう。まずネットワーク構成について考えておくのが良いでしょう: 例えば 10.0.0.x で x が10-50はサーバ用、100以上はワークステーション用など。追加したシステムの有効化を忘れないように。そうすると中心サーバを例外として、他の全システムにお揃いのアイコンが表示されます。

If the machines have booted as thin clients/diskless workstations or have been installed using any of the networked profiles, the sitesummary2ldapdhcp script can be used to automatically add machines to GOsa². For simple machines it will work out of the box, for machines with more than one mac address the actually used one has to be chosen, sitesummary2ldapdhcp -h shows usage information. Please note, that the IP addresses shown after usage of sitesummary2ldapdhcp belong to the dynamic IP range. These systems can then be modified to suit your network: rename each new system, activate DHCP and DNS, add it to netgroups (see screenshot below for recommended netgroups), reboot the system afterwards. The following screenshots show how this looks in practice:

root@tjener:~# sitesummary2ldapdhcp -a -i ether-22:11:33:44:55:ff -t workstations
info: Create GOsa machine for am-2211334455ff.intern [10.0.16.21] id ether-22:11:33:44:55:ff.

Enter password if you want to activate these changes, and ^c to abort.

Connecting to LDAP as cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no
enter password: ********
root@tjener:~#

GOsa² のシステム一覧表示

ホスト詳細

ホストの変更

ネットグループの追加

DNSを更新する cron ジョブは毎時動作します。su -c ldap2bind を使うと手作業で更新させることもできます。

7.5.1. マシンの検索、削除

マシンの検索や削除はユーザの検索や削除とかなり似ています。その情報は省略します。

7.5.2. 既存マシンの変更 / ネットグループの管理

GOsa² を使って LDAP ツリーにマシンを追加した後、(ユーザの管理と同様に) 検索機能を使ってマシン名をクリックするとマシンの属性を変更できます。

このシステム項目の構成は既に見てきたユーザ項目の変更と似ていますが、この文脈では別の意味になります。

例えばネットグループへのマシン追加はファイルへのアクセス権限やそのマシンでのコマンドの実行権限、そのマシンにログインしたユーザについて変更するわけではありません。ここではそのマシンから利用できる、中心サーバのサービスを制限します。

デフォルトでインストールした環境ではネットグループを提供します。

cups-queue-autoflush-hosts
cups-queue-autoreenable-hosts
fsautoresize-hosts
ltsp-server-hosts
netblock-hosts
printer-hosts
server-hosts
shutdown-at-night-hosts
shutdown-at-night-wakeup-hosts-blacklist
winstation-hosts
workstation-hosts

ネットグループ機能の現状の用途

NFS
- 中心サーバからエキスポートされたホームディレクトリはワークステーションや LTSP サーバによりマウントされます。セキュリティのため、エキスポートされたNFS共有をマウントできるのは NetGroups の workstation-hosts、 ltsp-server-hosts、 server-hosts のどれかにあるホストだけです。そのため、この種のマシンは GOsa² を使って LDAP ツリーを適切に設定することと、LDAP から固定IPアドレスを使うように設定することを忘れることなく行うのが重要となります。
  $/!\$ GOsa² を使ってワークステーションや LTSP サーバを適切に設定してください。それを忘れるとユーザは自分のホームディレクトリにアクセスできなくなります。ディスクレスワークステーションやシンクライアントはNFSを使わないためこの設定を行う必要はありません。
fs-autoresize
- このグループの Debian Edu マシンは LVM パーティションの容量が足りなくなると自動的にサイズを変更します。
夜間シャットダウン
- このグループの Debian Edu マシンは節電のため、夜間は自動的に電源を落とします。
CUPS (cups-queue-autoflush-hosts 及び cups-queue-autoreenable-hosts)
- このグループの Debian Edu マシンは印刷キューを毎晩自動的に空にし、毎時無効化された印刷キューがあれば再有効化します。
netblock-hosts
- このグループの Debian Edu マシンはローカルネットワーク上のマシンにのみ接続を許可されます。試験期間にウェブプロキシによる制限と組み合わせて利用すると有用かもしれません。

マシン設定についてもう一つ重要なのが (「Host information」領域にある) 「Samba host」フラグです。Skolelinux の Samba ドメインに既存の Windows システムを追加する予定がある場合、Windows ホストをドメインに加えられるようにするためには、Windows ホストを LDAP ツリーに追加してこのフラグをセットする必要があります。Skolelinux ネットワークへの Windows ホストの追加に関するさらなる情報については、このマニュアルの HowTo/NetworkClients の章を見てください。

8. プリンタ管理

For Printer Management point your web browser to https://www:631. This is the normal CUPS management interface where you can add/delete/modify your printers and can clean up the printing queue. By default only root is allowed but this can be changed: Open /etc/cups/cups-files.conf with an editor and add one or more valid group names matching your site policy to the line containing SystemGroup lpadmin. Existing GOsa² groups that might be used are gosa-admins and printer-admins (both with the first user as member), teachers and jradmins (no members after installation).

9. 時刻の同期

Debian Edu のデフォルト設定では全マシンの時計を同期させるようになっていますが必ずしも正確だとは限りません。時刻の同期にはNTPを利用します。時計はデフォルトで外部ソースと同期します。そのため、同期の際に外部インターネット接続処理を伴う場合はマシンがインターネットに接続したままになる可能性があります。

$/!\$ ダイヤルアップやISDNによる従量制の接続ではこのデフォルト設定から変更するのが良いでしょう。

外部時計との同期を無効化するには、中心サーバと全クライアントの /etc/ntp.conf ファイルと LTSP chroot を変更する必要があります。server 項目の頭にコメント記号 ("#") を追加します。その後 root で /etc/init.d/ntp restart を実行し、NTP サーバを再起動する必要があります。あるマシンが外部時計をソースとして使っているかどうか確認するには ntpq -c lpeer を実行します。

10. パーティション全体の拡張

自動化でのパーティション作業にもしかするとバグがあり、一部のパーティションがインストール後にはほとんど空きがなくなっているかもしれません。そういったパーティションを拡張するには、root で debian-edu-fsautoresize -n を実行します。さらなる情報については、管理一般 HowTo の章の「パーティションサイズの変更」を見てください。

11. 保守

11.1. ソフトウェアの更新

この節では apt-get upgrade の使い方を説明します。

apt-get の使い方は実に単純です。システムを更新するのに必要なのは root でコマンドラインからコマンドを2つ apt-get update (利用可能パッケージ一覧を更新) と apt-get upgrade (アップグレードが利用できるようになったパッケージをアップグレード) 実行するだけです。

Debian Edu では libpam-tmpdir を利用してユーザごとの一時ディレクトリを設定するため、LTSP chroot では TMP 及び TMPDIR 変数のセットされない状態で apt-get を実行するのが良い方法です。また、ロケールに C を使ってアップグレードするのも良い方法です。そうすることで出力や並びの順が一定になります。それでも違いが出ればそれはパッケージのバグということになります。

LC_ALL=C apt-get update ; LC_ALL=C TMP= TMPDIR= ltsp-chroot apt-get update
LC_ALL=C apt-get upgrade -y
LC_ALL=C TMP= TMPDIR= ltsp-chroot -p apt-get upgrade -y
ltsp-update-kernels # If a new kernel was installed
ltsp-update-image

$/!\$ LTSP chroot に新しいカーネルがインストールされた場合は ltsp-update-kernels を実行してカーネルとカーネルモジュールの同期を保つことが重要です。カーネルはマシンが PXE ブートしたときに TFTP 経由で配布され、カーネルモジュールは LTSP chroot から取得されます。

$/!\$ ltsp-update-image を実行して NBD イメージを再生成します。

cron-apt と apt-listchanges をインストールして自分が読んでいるアドレスにメールを送るように設定するのも良い方法です。

cron-apt は一日一度、アップグレードできるパッケージについてメールで通知します。アップグレードをインストールはしませんが (通常夜間に) ダウンロードするため、apt-get upgrade 実行時にダウンロードを待つ必要がなくなります。

望むなら更新を自動でインストールさせることも簡単にできます。必要なのは unattended-upgrades パッケージをインストールして wiki.debian.org/UnattendedUpgrades で説明されているように設定するだけです。新規インストールではセキュリティ更新がデフォルトで有効になっています。

apt-listchanges は新しい変更履歴をメールで送ることもできます。また、aptitude や apt-get を実行した時にターミナルに表示します。

11.1.1. セキュリティ更新に関する通知を受け取り続ける

上記で説明しているように cron-apt を実行するのはインストール済みパッケージについて利用可能なセキュリティ更新を知るのによい方法です。セキュリティ更新について通知を受け取り続ける別の方法として Debian security-announce メーリングリストの購読があります。これにはどういったセキュリティについて更新するものなのかもわかる利点があります。(cron-apt と比較して) 欠点はインストールしていないパッケージの更新に関する情報も入ってくる点です。

11.2. バックアップ管理

For backup management point your browser to https://www/slbackup-php. Please note that you need to access this site via SSL, since you have to enter the root password there. If you try to access this site without using SSL it will fail.

$/!\$ Note: the site will only work if you temporarily allow ssh root login on the backup server (main server 'tjener' by default).

デフォルトで中心サーバ tjener は /skole/tjener/home0、 /etc/、 /root/.svk、LDAP を LVM にある /skole/backup にバックアップします。(削除してしまった場合等の) 予備として複製を持っておきたいだけであればこの設定で良いでしょう。

$/!\$ このバックアップ方法ではハードドライブの故障に対する防護にはならないことに留意してください。

データを外部サーバやテープ機器、別のハードドライブにバックアップしたい場合には既存の設定を多少変更する必要があります。

フォルダー全体を復旧させたい場合はコマンドラインを利用するのが最善の選択となります:

$ sudo rdiff-backup -r <日付>  \
   /skole/backup/tjener/skole/tjener/home0/user \
   /skole/tjener/home0/user_<日付>

これは <日付> の /skole/tjener/home0/ユーザ の内容を /skole/tjener/home0/ユーザ_<日付> フォルダーに残します。

復旧させたいのがファイル1つだけならウェブインターフェイスからファイル (とバージョン) を選択してそのファイルだけをダウンロードできるはずです。

古いバックアップを消してしまいたい場合はバックアップページのメニューから「Maintenance」を選択して残しておく最古のスナップショットを選択します:

slbackup-php の保守

11.3. サーバ監視

11.3.1. Munin

https://www/munin/ から Munin 傾向報告システムを利用できます。システム状態の測定結果を日、週、月、年単位でグラフにして提供し、障害やシステム問題の原因を探しているシステム管理者を支援します。

Munin により監視されるマシン一覧は sitesummary に報告しているホスト一覧から自動的に生成されます。munin-node パッケージがインストールされているホストは全て Munin による監視対象に登録されます。cron ジョブの実行順のため、導入されたマシンが Munin の監視対象に入るまでに通常1日かかります。それを短縮するためには、sitesummary のサーバ (通常は中心サーバ) で sitesummary-update-munin を root で実行します。これを実行すると /etc/munin/munin.conf ファイルを更新します。

収集される測定結果は munin-node-configure プログラムを利用している各マシンで自動的に生成します。このプログラムは /usr/share/munin/plugins/ から利用できるプラグインから /etc/munin/plugins/ に作成されたシンボリックリンクを探すようになっています。

Munin についての情報は http://muninmonitoring.org/ にあります。

11.3.2. Icinga

Icinga によるシステム及びサービス監視は https://www/icinga/ から利用できます。監視対象のマシンやサービスは sitesummary システムが収集した情報から自動的に生成されます。中心サーバや LTSP サーバプロファイルのマシンは全面的な監視情報を受け取りますが、ワークステーションやシンクライアントのマシンが受け取るのは簡素な監視情報となります。ワークステーションでも全面的な監視情報を受け取るようにするにはワークステーションに nagios-nrpe-server パッケージをインストールしてください。

ユーザ名は icingaadmin でデフォルトのパスワードは skolelinux となっています。セキュリティ上の理由から、root と同一のパスワードを再利用するのは避けてください。パスワードは root で以下のコマンドを実行することで変更できます:

htpasswd /etc/icinga/htpasswd.users icingaadmin

デフォルトでは Icinga はメールを送りません。これは /etc/icinga/sitesummary-template-contacts.cfg ファイルの notify-by-nothing を host-notify-by-email と notify-by-email 置き換えることで変更できます。

利用される Icinga 設定ファイルは /etc/icinga/sitesummary.cfg です。sitesummary の cron ジョブは監視するホスト及びサービスの一覧を収録する /var/lib/sitesummary/nagios-generated.cfg を生成します。

ファイル /var/lib/sitesummary/icinga-generated.cfg.post に Icinga によるチェック対象を追加すると生成されるファイルに収録されています。

Icinga についての情報は http://www.icinga.com/ や icinga-doc パッケージにあります。

11.3.2.1. Icinga の一般的な警告とその対処方法

Icinga の最も一般的な警告とその対処手順を示します。

11.3.2.1.1. DISK CRITICAL - free space: /usr 309 MB (5% inode=47%):

当該パーティション (例では /usr/) がほぼいっぱいになっています。一般的にこの処理方法は2つあります: (1) ファイルをいくらか削除するか (2) パーティションサイズを大きくするかです。パーティションが /var/ の場合は apt-get clean を実行して APT のキャッシュを完全に削除するとファイルをいくらか削除できるかもしれません。LVM ボリューム群に利用できる空き容量がある場合は debian-edu-fsautoresize プログラムを実行してパーティション拡張を試みてもいいかもしれません。当該ホストを fsautoresize-hosts ネットグループに追加するとこのプログラムを毎時自動的に実行させられます。

11.3.2.1.2. APT CRITICAL: 13 packages available for upgrade (13 critical updates).

アップグレードできる新しいパッケージが利用可能になっています。通常重要なのはセキュリティの修正です。アップグレードするにはターミナルまたは ssh 経由でログインし、root で「apt-get upgrade && apt-get dist-upgrade」を実行します。LTSP サーバの場合は ltsp-chroot apt-get update && ltsp-chroot apt-get upgrade を実行して LTSP chroot を更新することも忘れないようにしてください。

パッケージのアップグレードを手作業で行いたくなく、Debian による新しいバージョンの作業を信頼する場合、unattended-upgrades パッケージをインストールして自動的に毎晩全て新しいパッケージにアップグレードするように設定できます。これは LTSP chroot のアップグレードは行いません。

LTSP chroot のアップグレードには ltsp-chroot apt-get update && ltsp-chroot apt-get upgrade を実行します。64ビットのサーバでは ltsp-chroot への引数として -a i386 を追加する必要があります。ホストシステムを更新する際に chroot も更新するのは良い方法です。

11.3.2.1.3. WARNING - Reboot required : running kernel = 2.6.32-37.81.0, installed kernel = 2.6.32-38.83.0

実行中のカーネルが最新のインストール済みカーネルより古くなっています。最新のインストール済みカーネルを有効化するには再起動が必要です。これは通常かなり緊急を要します。Debian Edu で新しいカーネルが出てくるのは通常セキュリティ問題を修正するものであるためです。

11.3.2.1.4. WARNING: CUPS queue size - 61

CUPS の印刷キューに保留となっているジョブが多数あります。これは恐らく利用できないプリンタが原因となっています。cups-queue-autoreenable-hosts ネットグループのメンバーとなっているホストでは印刷キューを毎時無効化する機能が有効になっているため、そういったホストでは手作業による介入は必要ないはずです。cups-queue-autoflush-hosts ネットグループのメンバーとなっているホストでは印刷キューを毎晩空にします。キューに多くのジョブがあるホストが存在する場合は、こういったネットグループにそのホストを追加することを検討してください。

11.3.3. Sitesummary

各コンピュータでの情報収集と中央サーバへの送信に sitesummary を利用しています。収集した情報は /var/lib/sitesummary/entries/ から利用できるようになっています。/usr/lib/sitesummary/ にあるスクリプトを利用して報告を生成できます。

sitesummary による詳細のない簡単な報告が https://www/sitesummary/ から利用できるようになっています。

sitesummary 関連の文書が http://wiki.debian.org/DebianEdu/HowTo/SiteSummary にいくらかあります

11.4. Debian Edu の独自化に関するさらなる情報

システム管理者にとって有用となる Debian Edu の独自化に関するさらなる情報が管理一般 Howto の章や高度な管理 Howto の章にあります。

12. アップグレード

$/!\$ このアップグレードガイドを読む前に、運用サーバを稼働状態で更新するということは自己責任であることに注意してください。Debian Edu/Skolelinux は法律で認められている範囲内で完全に無保証です。

Please read this chapter and the New features in Buster chapter of this manual completely before attempting to upgrade.

12.1. アップグレードに関する一般的な注意

Debian をあるディストリビューションから次のディストリビューションにアップグレードするのは通常簡単なことです。Debian Edu 設定ファイルを望ましくない方法で変更しているためにこれは残念ながら当てはまりません (さらなる情報については Debian バグ 311188 参照)。アップグレードは可能ではありますが手作業による介入がいくらか必要となるかもしれません。

一般にサーバのアップグレードはワークステーションよりも困難で、中心サーバは最もアップグレードが困難です。ディスクレスマシンの場合、特に変更していなければ chroot 環境は削除して再生成できるため容易です。変更していればその chroot は基本的にワークステーションの chroot であり、アップグレードはかなり容易です。

アップグレード後に確実に全て以前と同じように動作するようにしたいのならテスト用システムか運用環境のマシンと同じように設定したシステムでアップグレードをテストすべきです。そうすることでリスク無くアップグレードをテストし、全て動作すべきように動作するか確認できます。

Debian 安定版リリースについてさらなる情報がインストールマニュアルにあります。

また、旧安定版での運用を何週間か延長してしばらく待つのも賢明かもしれません。その間に他の人がアップグレードをテストして何か問題があれば言及できるということになります。Debian Edu の旧安定版リリースは次の安定版リリース後もしばらくはサポートが続けられますが Debian が旧安定版のサポートを終了すると Debian Edu でも必然的に終了することになります。

12.2. Upgrades from Debian Edu Stretch

$/!\$ Be prepared: make sure you have tested the upgrade from Stretch in a test environment or have backups ready to be able to go back.

Please note that the following recipe applies to a default Debian Edu main server installation (desktop=kde, profiles Main Server, Workstation, LTSP Server). (For a general overview concerning stretch to buster upgrade, see: https://www.debian.org/releases/buster/releasenotes)

X を使わないようにし、仮想コンソールを使って root でログインしてください。

Please note one difference between apt and apt-get: By default apt-get keeps downloaded packages, apt removes them from the cache (after successful installation).

apt がエラーを出して終了した場合は原因を修正して apt -f install を実行し、apt -y full-upgrade をもう一度実行してください

12.2.1. 中心サーバをアップグレードします

まず、現在のシステムが最新であることを確認します

apt update
apt full-upgrade

パッケージキャッシュの掃除:

apt-get clean

Prepare and start the upgrade to Buster:

sed -i 's/stretch/buster/g' /etc/apt/sources.list
apt update
apt full-upgrade

apt-list-changes: 読むべき NEWS が大量にあることを覚悟してください。ページャーのスクロールを進めるには <enter> を、終了させるには <q> を押します。
debconf の情報を全て注意深く読み、以下で特に言及していない限り「現在インストールされているローカルバージョンを維持」を選択するようにしてください。ほとんどの場合「Enter」を押せばいいはずです。
パッケージ設定についていくらか聞いてくるものがあります:
- FIXME: list promps about package configuration here.
Get the new Debian Edu Buster artwork:

apt install debian-edu-artwork-softwaves   # 
FIXME: adjust theme

再起動後さらにいくらか掃除します:

apt purge linux-image-4.9.0-*
apt purge linux-headers-4.9.0-*

アップグレードしたシステムが機能するか確認します:

再起動して最初のユーザとしてログインし、

GOsa² GUI が機能しているか、
LTSP クライアントやワークステーションに接続できるか
システムのネットグループのメンバーを追加/削除できるか、
内部メールを送受信できるか、
プリンターを管理できるか、
その他サイト特有の事項について機能するかテストしてください。

12.2.2. ワークステーションのアップグレード

中心サーバの場合と同様、必要のないものを除いて基本的なことを全て行います。それから以下を追加で行います。

To enable LDAP connection, renew the server certificate:

rm /etc/ldap/ssl/ldap-server-pubkey.pem
service nslcd stop
service fetch-ldap-cert restart
service nslcd start

12.2.3. Upgrading LTSP chroots

Make sure you have enough disk space. LTSP uses Network Block Device (NBD). The NBD image file size is about 4 GiB (default installation). If the image is updated, another 4 GiB for a temporary file are needed.

Also please note that the default LTSP architecture was i386 for Stretch. See below how to create a chroot for 64-bit-PCs (amd64).

ltsp-chroot -m -a i386 apt update
ltsp-chroot -m -a i386 apt -y full-upgrade
sed -i 's/stretch/buster/g' /opt/ltsp/i386/etc/apt/sources.list
ltsp-chroot -m -a i386 apt update
ltsp-chroot -m -a i386 apt -y full-upgrade
ltsp-chroot -m -a i386 apt -f install
ltsp-chroot -m -a i386 apt -y full-upgrade

後始末:

ltsp-chroot -m -a i386 apt --purge autoremove

サーバ側の LTSP サポート更新:

ltsp-update-kernels
ltsp-update-sshkeys
ltsp-update-image

ディスク容量を節約したい場合、代わりに ltsp-update-image -n を使う方法があります。man ltsp-update-image を見てください。

12.2.4. Recreating an LTSP chroot

On the LTSP server(s) the LTSP chroot could also be recreated. The new chroot will still support both thin-clients and diskless workstations. Please note: As of Buster, the LTSP chroot arch defaults to the one used for the server side.

/opt/ltsp/i386 (マシンによっては /opt/ltsp/amd64) を削除します。十分なディスク容量がある場合はバックアップを検討してください。

root で debian-edu-ltsp --arch i386 (または debian-edu-ltsp --arch amd64) を実行し、chroot を再生成します。

12.2.5. Add additional LTSP chroot to support 64-bit-PC clients

At least 20 GiB additional disk space on /opt is required.

Run "ltsp-build-client --arch amd64" to create chroot and NBD image.
Use "ldapvi -ZD '(cn=admin)'" to replace i386 with amd64 (dhcp statements in LDAP for one dedicated network).
Run "service isc-dhcp-server restart".
Edit /etc/debian-edu/pxeinstall.conf (set ltsparch=amd64).
Run 'debian-edu-pxeinstall' to regenerate the PXE menu.
Run 'service nbd-service restart' to serve the new NBD file.

12.3. Upgrades from older Debian Edu / Skolelinux installations (before Stretch)

To upgrade from any older release, you will need to upgrade to the Stretch based Debian Edu release first, before you can follow the instructions provided above. Instructions are given in the Manual for Debian Edu Stretch about how to upgrade to Stretch from the previous release, Jessie. Likewise the Jessie manual describes how to upgrade from Wheezy.

13. HowTo

14. 管理一般 HowTo

さあ始めようと保守の章で、Debian Edu で最初にすべきことや基本的な保守作業の方法について説明しています。この章の HowTo ではより「高度な」ヒントや技をいくらか提示します。

14.1. 設定履歴: バージョン管理システム git を使って /etc/ を追跡

Debian Edu Squeeze で導入された etckeeper (それ以前のバージョンでは etcinsvk を使っていましたが Debian から削除されました) により、バージョン管理システムとして git を使い、/etc/ 中の全ファイルを追跡します。

これにより、ファイルの削除や変更、削除がいつ行われたのか、そしてファイルがテキストファイルの場合はその変更点を確認できるようになります。git リポジトリは /etc/.git/ に置かれます。

毎時、変更があれば自動的に記録され、設定の履歴を取り出して確認できます。

履歴を調べるにはコマンド etckeeper vcs log を使います。ある時点とある時点の間の差分を確認するには etckeeper vcs diff のようなコマンドを使います。

さらなる情報については man etckeeper の出力を見てください。

有用なコマンド一覧:

etckeeper vcs log
etckeeper vcs status
etckeeper vcs diff
etckeeper vcs add .
etckeeper vcs commit -a
man etckeeper

14.1.1. 使用例

新しくインストールされたシステムではこれを実行して、システムがインストールされてから行われた全変更を見られるか試してみましょう:

etckeeper vcs log

現在どのファイルが追跡されていないのか、最新でないのかを確認

etckeeper vcs status

最大1時間待ちたくないため手作業でファイルをコミットするには:

etckeeper vcs commit -a /etc/resolv.conf

14.2. パーティションのサイズ変更

Debian Edu では /boot/ パーティション以外のパーティションは全て論理 LVM ボリュームです。Linux カーネルのバージョン 2.6.10 以降でパーティションをマウントした状態で拡張できるようになっています。パーティションの縮小についてはパーティションをマウントしていない状態で行う必要があります。

fsck の実行や必要になったときにバックアップからの復旧にかかる時間の観点から、巨大すぎるパーティション (例えば 20GiB 超) の作成を避けるのは良い方法です。可能であれば、巨大すぎるパーティションよりも小さなパーティションを複数作成する方が良いということになります。

パーティション全体の拡張を容易にするために補助スクリプト debian-edu-fsautoresize が提供されています。これを実行すると、 /usr/share/debian-edu-config/fsautoresizetab、 /site/etc/fsautoresizetab、 /etc/fsautoresizetab から設定を読み込みます。ファイルから提供された規則をもとに、空き領域が少なすぎるパーティションの拡張を提案します。引数無しで実行すると何もせず、ファイルシステムを拡張するのに必要なコマンドを表示します。提示されたコマンドを実際に実行してファイルシステムを拡張するには引数 -n が必要です。

このスクリプトは fsautoresize-hosts ネットグループ一覧にある全クライアントで毎時自動的に実行されます。

Squid プロキシにより利用されているパーティションのサイズを変更した場合は etc/squid/squid.conf のキャッシュサイズも同様に更新する必要があります。補助スクリプト /usr/share/debian-edu-config/tools/squid-update-cachedir が提供され、現在の /var/spool/squid/ のパーティションサイズを自動的に確認し、Squid がその 80% をキャッシュのサイズとして利用するように設定します。

14.2.1. 論理ボリューム管理

論理ボリューム管理 (LVM) により、パーティションサイズをマウント、使用状態で変更できるようになります。LVM についてもっと学ぶには LVM HowTo を見てください。

論理ボリュームを手作業により拡張するには、単に lvextend コマンドで増やしたい大きさを指示します。例えば home0 を 30GiB に拡張するにはコマンド:

lvextend -L30G /dev/vg_system/skole+tjener+home0
resize2fs /dev/vg_system/skole+tjener+home0

を実行します。home0 を 30GiB 追加する場合は「+」を使えます (-L+30G)

14.3. GOsa² を利用するための中心サーバへのグラフィカル環境のインストール

(恐らく誤って) 中心サーバプロファイルだけでインストールしてしまい、使いやすいウェブブラウザを利用できるクライアントがない場合は、中心サーバのインストール中に作成したユーザ (最初のユーザ) で (グラフィカルではない) シェルからこのコマンドを順に使って中心サーバに最小構成のデスクトップをインストールするのが簡単です:

  $ sudo apt update
  $ sudo apt install education-desktop-xfce lightdm
  ### after installation, run 'sudo service lightdm start' 
  ### login as first user

14.4. ldapvi の利用

ldapvi はコマンドライン上で普通のテキストエディタを利用して LDAP データベースを編集するツールです。

以下を実行する必要があります:

ldapvi --ldap-conf -ZD '(cn=admin)'

注意: ldapvi はデフォルトに設定されているエディタを利用します。シェルプロンプトで export EDITOR=vim を実行するとエディタに vi クローンを使う環境に設定できます。

ldapvi を使って LDAP の項目を追加するには新しい LDAP 項目の前に連番と add という文字列を使います。

$/!\$ 警告: ldapvi は非常に強力なツールです。LDAP データベースを台無しにしないように注意してください。JXplorer についても同様です。

14.5. LDAP GUI JXplorer

LDAP データベースについてGUIで作業する方が良ければ jxplorer パッケージについて調べてみてください。これはデフォルトでインストールされています。次のようにして書き込みできるように接続します:

host: ldap.intern
port:636
Base dn:dc=skole,dc=skolelinux,dc=no 
Security level: ssl + user + password
User dn: cn=admin,ou=ldap-access

証明書について聞かれたら「このセッションのみ」をクリックします。

14.6. コマンドラインツール ldap-createuser-krb

ldap-createuser-krb は小さなコマンドラインツールで、LDAP ユーザを作成してそのパスワードを Kerberos で設定する処理を行います。これが有用なのは主にテストですが。

14.7. stable-updates の利用

2011年の Squeeze リリース以降、それまで Debian では volatile.debian.org で保守されていたパッケージを stable-updates スイートに収録するようになりました。

stable-updates を直接利用することもできますが、利用しないといけないというわけではありません: stable-updates は定期的に安定版のポイントリリースの際に取り込まれます。これは大体2か月ごとに行われます。

14.8. backports を利用した、より新しいソフトウェアのインストール

Debian Edu の安定性が好ましいために Debian Edu を選択した。よくできています。しかし問題が一つだけあります: ソフトウェアが求めるものよりも少々古くなっていることがあります。これは backports の出番です。

backports で扱うのは Debian のテスト版 (ほとんどの場合) や Debian の不安定版 (例えばセキュリティ更新等、一部の状況でのみ) のパッケージを再コンパイルしたものであるため、(それが可能な限り) 新しいライブラリを必要とせず Debian Edu 等の安定版 Debian ディストリビューションで動作します。利用可能なバックポートを全て使うのではなく、要求に一致する個々のバックポートだけを取り上げて利用することを勧めます。

backports の利用は簡単です:

echo "deb http://deb.debian.org/debian/ buster-backports main" >> /etc/apt/sources.list
apt-get update

この後はバックポートされたパッケージを簡単にインストールできます。以下のコマンドではバックポートされたバージョンの tuxtype をインストールします:

apt-get install -t buster-backports tuxtype

Backports のパッケージは他のパッケージと全く同じように (利用可能になれば) 自動的に更新されます。通常のアーカイブと同様、backports にはセクションが main、 contrib、 non-free の3つあります。

14.9. CDや類似イメージからのアップグレード

If you want to upgrade from one version to another (for example from Buster 10.1+edu0 to 10.3+edu1) but you do not have Internet connectivity, only physical media, follow these steps:

CD / DVD / Blu-ray ディスク / USBフラッシュドライブを差し込んでマウントし、apt-cdrom コマンドを実行します:

mount /media/cdrom
apt-cdrom add -m

apt-cdrom(8) man ページから引用します:

apt-cdrom は利用可能な取得元として、APT のリストに新しい CD-ROM を追加するのに使用します。apt-cdrom は、ディスクの構造を測定します。また、焼き損じを可能な限り補正し、インデックスファイルの確認を行います。
APT システムに手作業で CD を追加するのは難しいため、apt-cdrom が必要になります。その上、複数の CD のディスクを 1 枚づつ、焼き損じを補正できるか評価しなければなりません。

それからコマンドを2つ実行し、システムをアップグレードします:

apt-get update
apt-get upgrade

14.10. 自動での残存プロセスの掃除

killer は現在マシンにログインしていないユーザに属するプロセスを取り除く perl スクリプトです。cron ジョブにより毎時実行されます。

インストールには root で以下のコマンドを実行します:

 apt-get install killer

14.11. セキュリティ更新の自動インストール

unattended-upgrades はセキュリティその他の更新を自動的にインストールする Debian パッケージです。デフォルトでこのパッケージがインストールされ、セキュリティ更新をインストールするように設定されます。ログは /var/log/unattended-upgrades/ に置かれます。また、/var/log/dpkg.log と /var/log/apt/ は常にあります。

14.12. マシン群を夜間自動でシャットダウンします

クライアントマシンの電源を自動的に、夜には落として朝には入れるようにしてエネルギーと電気料金を節約することも可能です。このパッケージは16:00以後毎時マシンの電源を落とそうとしますが、ユーザがいると思われる場合には落としません。このパッケージは07:00頃BIOSに指示を出してマシンの電源を入れようとし、一方中心サーバは06:30から wake-on-lan パケットを送ってマシンの電源を入れようとします。各マシンの crontab で時刻は変更できます。

この設定にあたって留意しておくべき事項:

誰かが使用中のクライアントはシャットダウンすべきではありません。これは who の出力で確認できます。また、特別な状況では LTSP シンクライアントと連携する LDM (LTSP Display Manager) の ssh 接続コマンドを確認します。
電気のヒューズを飛ばすような状況を避けるためにどのクライアントも同時に起動しないようにするのは良い方法です。
クライアントを起動させる方法は2種類あります。1つはBIOSの機能を利用し、ハードウェアクロックが正常に動作していることと、マザーボードとそのバージョンのBIOSが nvram-wakeup によりサポートされていることが要求されます。もう一方ではクライアントが wake-on-lan に対応していることと、起動させる必要のある全クライアントについてサーバが知っていることが要求されます。

14.12.1. shutdown-at-night の設定方法

夜間電源を落としておきたいクライアントで /etc/shutdown-at-night/shutdown-at-night を作成するか、ホスト名 (クライアントでの「uname -n」の出力) をネットグループ「shutdown-at-night-hosts」に追加します。GOsa² ウェブツールを利用して LDAP のネットグループにホストを追加できます。クライアント側のBIOSで wake-on-lan の設定を行う必要があるかもしれません。また、クライアントの電源が落とされている場合でも wake-on-lan サーバのとクライアントの間で利用されているスイッチやルータが WOL パケットをクライアントに渡すということも重要です。スイッチによっては、スイッチ上の ARP テーブルにないクライアントへのパケットを渡せない場合があり、そうなるとそこで WOL パケットがブロックされてしまいます。

サーバで wake-on-lan を有効化するには /etc/shutdown-at-night/clients にクライアントを追加します。クライアントごとに1行で、最初にIPアドレス、空白で区切ってMACアドレス (イーサネットアドレス) を続けます。クライアント一覧をその場で生成する /etc/shutdown-at-night/clients-generator スクリプトを作成する方法もあります。

sitesummary と併せて使う場合の /etc/shutdown-at-night/clients-generator の例です:

  #!/bin/sh
  PATH=/usr/sbin:$PATH
  export PATH
  sitesummary-nodes -w

クライアントでネットグループを使って shutdown-at-night を有効化している場合の代替として、ng-utils パッケージのネットグループツールを利用するこのスクリプトがあります:

  #!/bin/sh
  PATH=/usr/sbin:$PATH
  export PATH
  netgroup -h shutdown-at-night-hosts

14.13. ファイアウォールの先に置かれている Debian-Edu サーバへのアクセス

インターネットからファイアウォールの先のマシンにアクセスさせる場合、パッケージ autossh のインストールを検討してください。これを利用し、自分のアクセスできるインターネット上のマシンへのSSHトンネルを用意できます。そのマシンからSSHトンネルを経由してファイアウォールの先のサーバにアクセスできます。

14.14. サービスマシンの追加による中心サーバの負荷分散

デフォルトのインストールでは、サービスはすべて中心サーバ tjener で実行されます。別のマシンへの一部サービスの移行を単純にするため、最小構成のインストール用プロファイルが利用できるようになっています。このプロファイルでインストールすると、Debian Edu ネットワークの一部ではありますが (その段階では) サービスを何も実行しないマシンになります。

一部のサービスを行うために専用マシンを用意するのに必要となる手順があります。

debian-edu-expert ブートオプションを使って最小構成プロファイルをインストールします
サービスを行うパッケージをインストールします
サービスを設定します
中心サーバで行っている当該サービスを停止します
中心サーバで (LDAP/GOsa² 経由で) DNSを更新します

14.15. wiki.debian.org の HowTo

FIXME: The HowTos from http://wiki.debian.org/DebianEdu/HowTo/ are either user- or developer-specific. Let's move the user-specific HowTos over here (and delete them over there)! (But first ask the authors (see the history of those pages to find them) if they are fine with moving the howto and putting it under the GPL.)

15. 高度な管理 howto

この章では高度な管理タスクについて説明します。

15.1. GOsa² によるユーザの独自設定

15.1.1. 年次グループ内のユーザ作成

この例では各グループに共通のホームディレクトリ (home0/2014, home0/2015, 等) を持つ年次グループ内にユーザを作成したい、また作成するユーザはCSVによりインポートしたいものとします。

(中心サーバの root で)

必要な年次グループのディレクトリを作成します

mkdir /skole/tjener/home0/2014

(Gosa のスーパーユーザで)

部門 (Department)

メインメニュー: 「Directory structure」に移動し、「Students」部門をクリックします。「Base」欄には「/Students」が表示されているはずです。「Actions」ドロップボックスから「Create」「Department」を選択します。名前 (2014) と説明 (2014年卒業の生徒) の値を埋め、「Base」欄はそのまま (「/Students」のはずです) にします。「Ok」をクリックして保存します。これで新しい部門 (2014) が「/Students」の下に表示されるようになったはずです。それをクリックします。

グループ

メインメニュー「Actions/Create/Group」から「Groups」を選択します。グループ名を入力して (「Base」はそのまま、「/Students/2014」になっているはずです) 「Samba group」の左側にあるチェックボックスをクリックします。「Ok」をクリックして保存します。

テンプレート

Choose 'users' from the main menu. Change to 'Students' in the Base field. An Entry NewStudent should show up, click it. This is the 'students' template, not a real user. As you'll have to create such a template (to be able to use csv import for your structure) based on this one, notice all entries showing up in the Generic, POSIX and Samba tabs, maybe take screenshots to have information ready for the new template.

Now change to /Students/2014 in the Base field; choose Create/Template and start to fill in your desired values, first the Generic tab (add your new 2014 group under Group Membership, too), then add POSIX and Samba account.

ユーザのインポート

CSVをインポートする際に新しいテンプレートを選択します。少数のユーザを使ってテストしておくことを勧めます。

15.2. その他のユーザ独自設定

15.2.1. 全ユーザのホームディレクトリ内へのディレクトリ作成

このスクリプトでは管理者が各ユーザのホームディレクトリ内にディレクトリを作成してアクセス権限と所有権をセットできます。

group=teachers と permissions=2770 を指定する以下の例では、ユーザはファイルを「assignment」ディレクトリに保存することでその課題を提出でき、教員側はそのディレクトリに書き込みアクセス権限が与えられているためコメントを加えることができます。

 #!/bin/bash
 home_path="/skole/tjener/home0"
 shared_folder="assignments"
 permissions="2770"
 created_dir=0
 for home in $(ls $home_path); do
    if [ ! -d "$home_path/$home/$shared_folder" ]; then
        mkdir $home_path/$home/$shared_folder
        chmod $permissions $home_path/$home/$shared_folder
        #set the right owner and group
        #"username" = "group name" = "folder name"
        user=$home
        group=teachers
        chown $user:$group $home_path/$home/$shared_folder
        ((created_dir+=1))
    else
        echo -e "the folder $home_path/$home/$shared_folder already exists.\n"
    fi
 done
 echo "$created_dir folders have been created"

15.2.2. USBメモリやCD、DVDへの簡単アクセス

ユーザが (ディスクレス) ワークステーションにUSBメモリやCD、DVDを差し込むと、他の通常のインストールと同じようにウィンドウが出てきてどうするか質問します。

ユーザがシンクライアントにUSBメモリやCD、DVDを差し込むと、通知ウィンドウは数秒間表示されるだけです。メディアは自動的にマウントされ、アクセスして /media/$user を見られるようになります。これは経験の浅い多くのユーザにとってはかなり困難です。

デスクトップ環境として KDE「Plasma」(または KDE「Plasma」と併せてインストールしていれば LDXE) を利用している場合、デフォルトのファイルマネージャー Dolphin を表示させるようにできます。そのように設定するにはターミナルサーバで単に /usr/share/debian-edu-config/ltspfs-mounter-kde enable を実行します (GNOME を利用している場合はデバイスのアイコンがデスクトップに置かれ、簡単にアクセスできるようになっています)。

さらに、以下のスクリプトを使って全ユーザのホームディレクトリにシンボリックリンク「media」を作成し、USBメモリやCD、DVD等シンクライアントに差し込んだメディアに簡単にアクセスできるようにできます。接続したメディアのファイルをユーザが直接編集したいような場合に便利かもしれません。

 #!/bin/bash
 home_path="/skole/tjener/home0"
 shared_folder="media"
 permissions="775"
 created_dir=0;
 for home in $(ls $home_path); do
    if [ ! -d "$home_path/$home/$shared_folder" ]; then
        ln -s /media/$home $home_path/$home/$shared_folder
        ((created_dir+=1))
    else
        echo -e "the folder $home_path/$home/$shared_folder already exists.\n"
    fi
 done
 echo "$created_dir folders has been created"

15.2.2.1. LTSP サーバの脱着可能メディアについての警告

$/!\$ 警告: LTSP サーバにUSBメモリその他の脱着可能メディアを差し込むとリモートの LTSP クライアントでメッセージが出てくることになります。

リモートユーザがそのポップアップを確認した、あるいはコンソールから pmount を使っている場合、そのユーザはその脱着可能デバイスをマウントし、ファイルにアクセスできます。

15.3. ストレージ専用サーバの利用

以下の手順を追ってユーザのホームディレクトリや他のデータを置ける、専用のストレージサーバを用意します。

このマニュアルのさあ始めようの章で説明しているように GOsa² を使って新しい種類のサーバを追加します。
- この例では「nas-server.intern」をサーバ名としています。「nas-server.intern」の設定が出来たら、新しいストレージサーバを指すNFSエクスポートが適切なサブネットやマシンにエクスポートされているか確認します:
```
    root@tjener:~# showmount -e nas-server
    Export list for nas-server:
    /storage         10.0.0.0/8
    root@tjener:~#
```
  この例ではバックボーンネットワークの全てが /storage エクスポートへのアクセスを許されています (これは tjener:/etc/exports ファイルで行うのと同様にネットグループメンバー権やIPアドレスで制限することでNFSへのアクセスを限定できます)。
「nas-server.intern」についての自動マウント情報をLDAPに追加し、全クライアントからリクエストにより新しいエクスポートを自動的にマウントできるようにします。
- これは GOsa² では自動マウント用モジュールが欠けているためできません。代わりに ldapvi を利用し、エディタを使って必要な LDAP 項目を追加します。
  ldapvi --ldap-conf -ZD '(cn=admin)' -b ou=automount,dc=skole,dc=skolelinux,dc=no
  エディタが起動したら、ファイルの末尾に以下の LDAP 項目を追加します (最後の LDAP 項目の「/&」は全ての「nas-server.intern」エクスポートに合うワイルドカードで、これにより LDAP 中の個々のマウントポイントを列挙する必要がなくなります)。
```
    add cn=nas-server,ou=auto.skole,ou=automount,dc=skole,dc=skolelinux,dc=no
    objectClass: automount
    cn: nas-server
    automountInformation: -fstype=autofs --timeout=60 ldap:ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no

    add ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no
    objectClass: top
    objectClass: automountMap
    ou: auto.nas-server

    add cn=/,ou=auto.nas-server,ou=automount,dc=skole,dc=skolelinux,dc=no
    objectClass: automount
    cn: /
    automountInformation: -fstype=nfs,tcp,rsize=32768,wsize=32768,rw,intr,hard,nodev,nosuid,noatime nas-server.intern:/&
```
tjener.intern はマウントのループを避けるため自動マウントを利用しないので、tjener.intern:/etc/fstab に関連する項目を追加します:
- mkdir を使ってマウントするディレクトリを作成し、「/etc/fstab」を適切に編集して mount -a を実行して新しいリソースをマウントします。
ディスクレスワークステーションを使っている場合はアクセスを有効化します。NFS と automount に代えて sshfs を使うようになったためこれは特別な状況です:
- 同様に LTSP ディスクレスクライアントの root にマウントポイントのディレクトリ (デフォルトでは /opt/ltsp/i386/) も作成します。
  Add a line containing 'LOCAL_APPS_EXTRAMOUNTS=/storage' to /opt/ltsp/i386/etc/lts.conf (example).
  Create a link in each user's home dir like 'ln -s /storage Storage' to help users find the resources.

これでユーザは任意のワークステーションや LTSP シンクライアント、LTSP サーバから任意のアプリケーションで「/tjener/nas-server/storage/」ディレクトリ、LTSP ディスクレスクライアントの場合は「~/Storage」に行くだけで「nas-server.intern」にあるファイルに直接アクセスできるはずです。

15.4. SSHログインアクセスの制限

SSHのログインを制限する方法は複数ありますが、一部を提示します。

15.4.1. LTSP クライアント無しでの準備

LTSP クライアントを使っていない場合の簡単な方法は新しいグループ (例えば sshusers) を作成してそのマシンの /etc/ssh/sshd_config ファイルに1行追記します。sshusers グループのメンバーだけが任意のマシンからのSSH接続を許可されます。

GOsa で管理する方法はかなり簡単です:

基底レベル (既に gosa-admins 等、他のシステム管理関連のグループがあるはずです) にグループ sshusers を作成します。
新しいグループ sshusers にユーザを追加します。
/etc/ssh/sshd_config に AllowGroups sshusers を追加します。
service ssh restart を実行します。

15.4.2. LTSP クライアントの準備

デフォルトで用意した LTSP クライアントは LTSP サーバへの接続にSSHを使います。そのためPAMを利用した別の方法が必要となります。

LTSP サーバの /etc/pam.d/sshd ファイルで pam_access.so を有効化します。
(例では) ユーザ alice、jane、bob、john はどこからでも、他のユーザはすべて内部ネットワークからの接続だけを許すように /etc/security/access.conf を設定します:

+ : alice jane bob john : ALL
+ : ALL : 10.0.0.0/8 192.168.0.0/24 192.168.1.0/24
- : ALL : ALL
#

特定の LTSP サーバしか使わない場合は 10.0.0.0/8 ネットワークを外して内部 ssh ログインアクセスを無効化することもできます。注意: 誰かが特定の LTSP クライアントネットワークにコンピュータを接続すると LTSP サーバへのSSHアクセスを獲得できるということになります。

15.4.3. A note for more complex setups

If LTSP clients were attached to the backbone network 10.0.0.0/8 (combi server or LTSP cluster setup) things would be even more complicated and maybe only a sophisticated DHCP setup (in LDAP) checking the vendor-class-identifier together with appropriate PAM configuration would allow to disable internal ssh login.

16. デスクトップ HowTo

16.1. KDE「Plasma」、GNOME、LXDE、Xfce と MATE の平行利用

インストール後に他のデスクトップ環境をインストールするには単に apt を使います:

 apt update
 apt install education-desktop-gnome education-desktop-lxde education-desktop-xfce education-desktop-mate

そうするとユーザはログイン前にログインマネージャー経由で 5つのデスクトップ環境から任意に選択できるようになります。もちろんこの選択の幅を狭めることもできます。デスクトップ環境を複数インストールすると同じ目的のプログラムがいくつもある (ファイルマネージャ、エディタ、PDF ビューア等)、という状態になるであろうことに留意してください。ユーザを混乱させることになるかもしれません。

The use of LXDE as default on LTSP clients can be forced; see networked clients for details.

デフォルトのデスクトップ KDE Plasma に何もインストールしたくない場合、4つの代替デスクトップ GNOME、LXDE、Xfce、MATE を直接インストールすることもできます。

16.2. DVDの再生

ほとんどの商用DVDの再生に libdvdcss が必要です。法的な理由からこれは Debian (Edu) には収録されていません。これの利用を法的に許されている場合は libdvd-pkg Debian パッケージを利用できます。/etc/apt/sources.list で contrib が有効になっていることを確認してください。

apt update
apt install libdvd-pkg

debconf の質問に答え、dpkg-reconfigure libdvd-pkg を実行します。

16.3. 手書きフォント

パッケージ fonts-linex (デフォルトでインストールされます) は子供向けの楽しい手書きフォント「Abecedario」をインストールします。このフォントには点線のものや基準線が付加されたものなど複数の形式があります。

17. ネットワーククライアント HowTo

17.1. シンクライアント及びディスクレスワークステーションについて

(!) Default for new Debian Edu Buster installations: LTSP clients are using the same architecture as the LTSP server, i.e. 64-bit-PC (aka amd64) or 32-bit-PC (aka i386).

$/!\$ Please keep in mind to use the correct architecture for all commands referred to below.

シンクライアントとディスクレスワークステーションの両方を表す総称が LTSP クライアントです。LTSP は Linux ターミナルサーバプロジェクトを短縮した名前です。

シンクライアント

A thin client setup enables an ordinary PC to function as an (X-)terminal, where all software runs on the LTSP server. This means that this machine boots via PXE without using a local client hard drive.

ディスクレスワークステーション

ディスクレスワークステーションはソフトウェアを全てローカルで実行します。クライアントマシンはローカルハードドライブを利用せず、LTSP サーバから直接ブートします。ソフトウェアは LTSP サーバ (LTSP chroot 内) で保守管理され、ディスクレスワークステーションで実行されます。ホームディレクトリやシステム設定もサーバに保管されます。ディスクレスワークステーションは少々古くなった (しかし高性能な) ハードウェアをシンクライアント並に低い保守コストで再利用する素晴らしい方法です。

LTSP ではディスクレスワークステーションのRAM容量のデフォルトの最小限度を320MBと決めています。RAM容量がこれに満たない場合、そのマシンはシンクライアントとしてブートします。関連する LTSP パラメータは FAT_RAM_THRESHOLD でそのデフォルト値は 300 です。そのため (例えば) RAMが1GB以上ある場合にのみそのクライアントをディスクレスワークステーションとしてブートさせるには FAT_RAM_THRESHOLD=1000 を lts.conf に追加 (または LDAP でそのように設定) します。ワークステーションとは異なり、ディスクレスワークステーションは LTSP サーバへのログインや接続に LDM を利用するため、GOsa² でマシンを追加する必要はありません。

LTSP クライアントのファームウェア

クライアントのネットワークカードがフリーでないファームウェアを必要とする場合は LTSP クライアントのブートは失敗します。マシンのネットワークブートに関わる問題の解決にPXEインストールを利用できます。XXX.bin ファイルが欠けていると Debian インストーラが訴えていれば、LTSP クライアントが利用する initrd にフリーでないファームウェアを追加しないといけないということになります。

この場合は LTSP サーバで以下のコマンドを実行します:

# First get information about firmware packages
apt-get update && apt-cache search ^firmware-

# Decide which package has to be installed for the network interface(s). 
# Most probably this will be firmware-linux-nonfree.
# Things have to take effect in the LTSP chroot for architecture amd64.
ltsp-chroot -a amd64 apt-get update
ltsp-chroot -d -a amd64 apt-get -y -q install <package name>

# copy the new initrd to the server's tftpboot directory and update the NBD image.
ltsp-update-kernels
ltsp-update-image

手軽な別の方法 -- 利用可能なファームウェアを全てインストールして tftpboot ディレクトリを更新します:

/usr/share/debian-edu-config/tools/ltsp-addfirmware

17.1.1. LTSP クライアントの種類の選択

各 LTSP サーバにはイーサネットインターフェイスが2つあります。1つは中心側の 10.0.0.0/8 サブネット (中心サーバとつながっているネットワーク) でもう1つは別のローカルの 192.168.0.0/24 サブネット (各 LTSP サーバごとに分離されているサブネット) を構成します。

中心側のサブネットでは完全なPXEメニューを提供します。各 LTSP サーバごとに分離されているサブネットではディスクレスワークステーションと LTSP クライアントだけが選択できるようになっています。

中心側サブネット 10.0.0.0/8 でデフォルトのPXEメニューを使うと、マシンはディスクレスワークステーションまたはシンクライアントとして起動できます。分離されているサブネット 192.168.0.0/24 にあるクライアントマシンはRAM容量が十分にあればデフォルトでディスクレスワークステーションとして起動します。ある LTSP のクライアント側サブネットにあるクライアントマシンを全てシンクライアントとして起動させるには以下を実行します。

(1)Open the file /opt/ltsp/amd64/etc/ltsp/update-kernels.conf with an editor
and replace the line
CMDLINE_LINUX_DEFAULT="init=/sbin/init-ltsp quiet"
with
CMDLINE_LINUX_DEFAULT="init=/sbin/init-ltsp LTSP_FATCLIENT=False quiet"
(2)Execute 'ltsp-chroot -a amd64 /usr/share/ltsp/update-kernels'
(3)Execute 'ltsp-update-kernels'
(4)Execute 'ltsp-update-image'

17.2. PXEメニューの設定

PXE設定はスクリプト debian-edu-pxeinstall を使って生成されます。代替値を指定したファイル /etc/debian-edu/pxeinstall.conf を追加することで一部設定を上書きできます。

17.2.1. PXEインストールの設定

PXEインストールの選択肢はデフォルトで、マシンをPXEブートできる誰でも使えるようになっています。PXEインストールの選択肢をパスワード保護するには、以下のような内容のファイル /var/lib/tftpboot/menupassword.cfg を作成します:

MENU PASSWD $4$NDk0OTUzNTQ1NTQ5$7d6KvAlVCJKRKcijtVSPfveuWPM$

パスワードのハッシュは当該パスワードのMD5ハッシュに置き換えてください。

PXEインストールでは言語やキーボードレイアウト、ミラーの設定を中心サーバインストール時の設定から引き継ぎ、他 (プロファイル、popcon への参加、パーティション、root パスワード) はインストール時に質問します。インストール時の質問を避けるには、ファイル /etc/debian-edu/www/debian-edu-install.dat を編集して事前に回答した debconf 値の選択を提供します。利用可能な一部の debconf 値の例はコメントとして /etc/debian-edu/www/debian-edu-install.dat に書かれています。変更は debian-edu-pxeinstall を使ってPXEインストール環境を再作成した時点で失われます。debian-edu-pxeinstall での再作成時に debconf 値を /etc/debian-edu/www/debian-edu-install.dat に付加するには、追加の debconf 値を指定したファイル /etc/debian-edu/www/debian-edu-install.dat.local を追加します。

PXEインストールの変更についてさらなる情報がインストールの章にあります。

17.2.2. PXEインストール用独自リポジトリの追加

独自リポジトリを追加するには以下のような行を /etc/debian-edu/www/debian-edu-install.dat.local に追加します:

# skole プロジェクトのローカルリポジトリを追加
d-i     apt-setup/local1/repository string      http://example.org/debian stable main contrib non-free
d-i     apt-setup/local1/comment string         Example Software Repository
d-i     apt-setup/local1/source boolean         true
d-i     apt-setup/local1/key    string          http://example.org/key.asc

それから /usr/sbin/debian-edu-pxeinstall を一度実行します。

17.2.3. (中心サーバと LTSP サーバの) 複合サーバのPXEメニュー変更

PXEメニューにより、LTSP クライアントのネットワークブートやインストーラその他の代替手段をブートできます。クライアントに合うディレクトリに他のファイルがなければファイル /var/lib/tftpboot/pxelinux.cfg/default がデフォルトで利用され、何も手を加えない状態で /var/lib/tftpboot/debian-edu/default-menu.cfg へのリンクがセットされています。

全クライアントで完全なPXEメニューを提示せずディスクレスワークステーションとしてブートさせるにはシンボリックリンクを変更します:

ln -s /var/lib/tftpboot/debian-edu/default-diskless.cfg /var/lib/tftpboot/pxelinux.cfg/default

全クライアントでシンクライアントとしてブートさせるにはシンボリックリンクをこのように変更します:

ln -s /var/lib/tftpboot/debian-edu/default-thin.cfg /var/lib/tftpboot/pxelinux.cfg/default

http://syslinux.zytor.com/wiki/index.php/PXELINUX にある PXELINUX 文書も参照してください。

17.2.4. 中心サーバと LTSP サーバの分離

性能とセキュリティを考慮して、LTSP サーバとしては働かない独立した中心サーバを用意します。

ltspserver00 で中心ネットワーク (10.0.0.0/8) のディスクレスワークステーションを担当させ、中心サーバを複合サーバにしない場合は以下の手順を追います:

ltspserver00 の /var/lib/tftpboot から ltsp ディレクトリを中心サーバの同一ディレクトリにコピーします。
/var/lib/tftpboot/debian-edu/default-diskless.cfg を中心サーバの同一ディレクトリにコピーします。
ltspserver00 のIPアドレスを使うように /var/lib/tftpboot/debian-edu/default-diskless.cfg を編集します。以下の例では ltspserver00 の中心側ネットワークのIPアドレスに 10.0.2.10 を使っています:

 DEFAULT ltsp/amd64/vmlinuz initrd=ltsp/amd64/initrd.img nfsroot=10.0.2.10:/opt/ltsp/amd64 init=/sbin/init-ltsp boot=nfs ro quiet ipappend 2

中心サーバの /var/lib/tftpboot/pxelinux.cfg のシンボリックリンクが /var/lib/tftpboot/debian-edu/default-diskless.cfg を指すようにします。

ldapvi を使って「next server tjener」を検索し、tjener を ltspserver00 に置き換える方法もあります。

17.2.5. 異なる LTSP クライアントネットワークの利用

LTSP サーバのプロファイルを使ってインストールしたマシンではデフォルトの LTSP クライアントネットワークは 192.168.0.0/24 となっています。LTSP クライアントを多数抱えている、あるいは異なる LTSP サーバで i386 と amd64 の chroot 環境を両方とも提供する場合、もう1つの設定済みネットワーク 192.168.1.0/24 を同様に使うこともできます。ファイル /etc/network/interfaces を編集して eth1 設定を適切に調整します。DNSやDHCPの設定を調べるには ldapvi その他任意の LDAP エディタを利用できます。

17.2.6. Add LTSP chroot to support 32-bit-PC clients

In case LTSP server and chroot are 64-bit-PC, it is still possible to support older 32-bit systems. At least 20 GiB additional disk space on /opt would be required.

Run ltsp-build-client --arch amd64 to create chroot and NBD image.
Use ldapvi -ZD '(cn=admin)' to replace amd64 with i386 (dhcp statements in LDAP for one dedicated network).
Run service isc-dhcp-server restart.
Edit /etc/debian-edu/pxeinstall.conf (set ltsparch=i386).
Run debian-edu-pxeinstall to regenerate the PXE menu.
Run service nbd-service restart to serve the new NBD file.

17.3. ネットワーク設定の変更

debian-edu-config パッケージには 10.0.0.0/8 から別のネットワークへの変更を支援するツールが付属しています。/usr/share/debian-edu-config/tools/subnet-change を見てみてください。これは中心サーバインストール直後に使って、サブネットを変更するために変更する必要のある LDAP その他のファイルを更新するようになっています。

$/!\$ 既に Debian Edu により他のどこかで利用されているサブネットへの変更はうまくいかないことに注意してください。192.168.0.0/24 と 192.168.1.0/24 は既に LTSP クライアントネットワーク用に用意されています。この範囲のネットワークに変更した場合は、設定ファイルを手作業で編集して重なった項目を削除する必要があります。

DNSのドメイン名を簡単に変更する方法はありません。ドメイン名の変更には LDAP 構造と中心サーバのファイルシステムにある複数のファイルを変更する必要があります。中心サーバのホスト名とDNS名 (tjener.intern) を簡単に変更する方法もありません。その変更には LDAP と中心サーバのファイルに加えてクライアントファイルシステムにも変更が必要となります。どちらの場合も、Kerberos の設定も併せて変更する必要があります。

17.4. LTSP の詳細

17.4.1. LDAP (及び lts.conf) での LTSP クライアントの設定

To configure specific LTSP clients with particular features, you can add settings in LDAP or edit the file /opt/ltsp/amd64/etc/lts.conf. Please note that ltsp-update-image has to be run after each change to lts.conf. The image update isn't needed if lts.conf is copied to the /var/lib/tftpboot/ltsp/amd64/ directory.

$/!\$ 設定を失う (あるいはやり直す) ことなく LTSP サーバの追加や置き換えが可能なため、LDAP によるクライアント設定を勧めます (つまり lts.conf を直接編集しないということになりますが、LTSP 設定用ウェブフォームは現在 GOsa² では利用できないため、普通の LDAP ブラウザや ldapvi を使って行う必要があります)。

LDAP のデフォルト値は cn=ltspConfigDefault,ou=ltsp,dc=skole,dc=skolelinux,dc=no の ltspConfig 属性を使って定義されています。LDAP にホスト特有の項目を追加することもできます。

利用可能な設定オプションの確認には「man lts.conf」を実行します (LTSP の詳細情報については /usr/share/doc/ltsp/LTSPManual.html 参照)。

デフォルト値は [default] ブロックで定義されています。ある1つのクライアントを設定するには [192.168.0.10] のように条件にMACアドレスかIPアドレスを指定します。

例: シンクライアント ltsp010 の解像度を 1280x1024 に設定するには

[192.168.0.10]
X_MODE_0 = 1280x1024
X_HORZSYNC = "60-70"
X_VERTREFRESH = "59-62"

のような内容をデフォルト設定のどこかに記述します。

ある LTSP クライアントで特定のXサーバの利用を強制するには XSERVER 変数をセットします。例えば:

[192.168.0.11]
XSERVER = nvidia

シンクライアントで画面が真っ黒になってしまう場合、同時発色数を変えると改善するかもしれません。設定例:

[192.168.0.12]
X_COLOR_DEPTH=16

変更の内容や対象によってはクライアントの再起動が必要かもしれません。

lts.conf でIPアドレスを使って設定するには、DHCP サーバにクライアントのMACアドレスを追加する必要があります。そうしない場合は lts.conf ファイルでクライアントのMACアドレスを直接指示してください。

17.4.2. Force all LTSP clients to use LXDE as default desktop environment

LTSP サーバに LXDE がインストールされていることを確認してください。それから「lts.conf」の [default] に以下の行を追加します:

LDM_SESSION=LXDE
LDM_FORCE_SESSION=true

17.4.3. LTSP サーバ群の負荷分散

17.4.3.1. 第一段階

It is possible to set up the clients to connect to one of several LTSP servers for load-balancing. This is done by providing /opt/ltsp/amd64/usr/share/ltsp/get_hosts as a script printing one or more servers for LDM to connect to. In addition to this, each LTSP chroot needs to include the SSH host key for each of the servers.

まず、負荷分散用サーバにする LTSP サーバを1台選ばないといけません。クライアントは全てこのサーバから PXE ブートし、Skolelinux イメージを読み込みます。イメージを読み込むと LDM が「get_hosts」スクリプトを使って接続先サーバを選択します。その方法については後から決められます。

負荷分散用サーバは DHCP 経由で「next-server」としてクライアントに通知しないといけません。DHCP の設定は LDAP に置かれているため、変更も LDAP で行わないといけません。ldapvi --ldap-conf -ZD '(cn=admin)' を使って LDAP の適切な項目を編集します (プロンプトで中心サーバの root パスワードを入力します。VISUAL がセットされていない場合のデフォルトのエディタは nano です)。dhcpStatements: next-server tjener のような行を検索します。負荷分散用に選択したサーバのIPアドレスかホスト名を next-server にセットします。ホスト名を使う場合は機能するDNSが必要です。DHCP サービスの再起動も忘れずに行ってください。

この段階で 192.168.0.0 のネットワークから 10.0.0.0 のネットワークにクライアントを移動しないといけません。LTSP サーバの2つ目のネットワークカードが接続しているネットワークでに代えてバックボーンのネットワークに接続します。これは負荷分散のためには LDM が選択したサーバにクライアントが直接アクセスする必要があるためです。クライアントを 192.168.0.0 のネットワークに置いたままだと、そのクライアントの通信は選択した LDM サーバに届く前にそのサーバを経由することになります。

17.4.3.2. 第二段階

LDM が接続するサーバの一覧を出力する「get_hosts」スクリプトを作らないといけません。パラメータ LDM_SERVER はこのスクリプトより優先されるため、「get_hosts」スクリプトを使う場合はこのパラメータが定義されていてはいけません。「get_hosts」スクリプトは各サーバのIPアドレスやホスト名を順不同で標準出力に書き出します。

Edit "/opt/ltsp/amd64/etc/lts.conf" and add something like this:

MY_SERVER_LIST = "xxxx xxxx xxxx"

Replace xxxx with either the IP addresses or hostnames of the servers as a space-separated list. Then, put the following script in /opt/ltsp/amd64/usr/lib/ltsp/get_hosts on the server you chose to be the load-balancing server.

 #!/bin/bash
 # Randomise the server list contained in MY_SERVER_LIST parameter
 TMP_LIST=""
 SHUFFLED_LIST=""
 for i in $MY_SERVER_LIST; do
     rank=$RANDOM
     let "rank %= 100"
     TMP_LIST="$TMP_LIST\n${rank}_$i"
 done
 TMP_LIST=$(echo -e $TMP_LIST | sort)
 for i in $TMP_LIST; do
     SHUFFLED_LIST="$SHUFFLED_LIST $(echo $i | cut -d_ -f2)"
 done
 echo $SHUFFLED_LIST

17.4.3.3. 第三段階

Now that you've made the "get_hosts" script, it's time to make the SSH host key for the LTSP chroots. This can be done by making a file containing the content of /opt/ltsp/amd64/etc/ssh/ssh_known_hosts from all the LTSP servers that will be load-balanced. Save this file as /etc/ltsp/ssh_known_hosts.extra on all load-balanced servers. The last step is very important because ltsp-update-sshkeys runs every time a server is booted, and /etc/ltsp/ssh_known_hosts.extra is included if it exists.

$/!\$ If you save your new host file as /opt/ltsp/amd64/etc/ssh/ssh_known_hosts, it will be erased when you reboot the server.

この方法には明らかな弱点がいくつかあります。クライアントは全てイメージを同一のサーバから取得するため、多数のクライアントが同時に起動するとそのサーバは高負荷になります。また、クライアントにとってはそのサーバを常に利用できるということが要求されます。このサーバが利用できない場合、起動や LDM サーバの取得ができなくなります。そのため、この方法は1つのサーバに非常に大きく依存するもので、あまり良い方法ではありません。

クライアントはこれで負荷分散するはずです!

17.4.4. LTSP クライアントのオーディオ

LTSP thin clients use networked audio to pass audio from the server to the clients.

LTSP ディスクレスワークステーションは音声をローカルで扱います。

17.4.5. LTSP クライアントに接続されたプリンターの利用

LTSP クライアントマシンにプリンターを接続します (USBとパラレルポートをサポートしています)。
Configure this machine to run a printer in lts.conf (default location: /opt/ltsp/amd64/etc/lts.conf), see the LTSP manual /usr/share/doc/ltsp/LTSPManual.html#printer for details.
中心サーバのウェブインターフェイス https://www:631 からプリンターを設定します。ネットワークプリンターの (ブランドや型を問わず) AppSocket/HP JetDirect を選択して接続URIに socket://<LTSP クライアントのIPアドレス>:9100 をセットします。

17.4.6. LTSP 環境のアップグレード

新しいパッケージで LTSP 環境を頻繁にアップグレードし、セキュリティ修正や改善を確実に利用できるようにするのは有益です。アップグレードは各 LTSP サーバで以下のコマンド root で実行します:

ltsp-chroot -a amd64  # this does "chroot /opt/ltsp/amd64" and more, ie it also prevents daemons from being started
apt update
apt upgrade
apt full-upgrade
exit
ltsp-update-image

17.4.6.1. LTSP 環境への追加ソフトウェアのインストール

LTSP クライアント用のソフトウェアを追加でインストールするには LTSP サーバの chroot 内でインストールを行う必要があります。

ltsp-chroot -a amd64
## optionally, edit the sources.list:
#editor /etc/apt/sources.list
apt update
apt install $new_package
exit
ltsp-update-image

17.4.7. ログイン遅延とセキュリティ

Skolelinux has added several security features on the client network preventing unauthorised superuser access, password sniffing, and other tricks which may be used on a local network. One such security measure is secure login using SSH, which is the default with LDM. This can slow down some client machines which are more than about fifteen years old, with as little as a 160 MHz processor and 32 MB RAM. Although it's not recommended, you can add a line to /opt/ltsp/amd64/etc/lts.conf containing:

LDM_DIRECTX=True

$/!\$ 警告: 上記では最初のログインは保護されますが、その後は全て暗号化されない状態でXの通信が行われます。パスワードも (最初だけ例外ですが) 他の全てと同様に平文のままネットワークを流れます。

注意: こういった15年落ちのシンクライアントでは pixmap キャッシュの問題のため LibreOffice や Firefox の新しいバージョンの実行は困難かもしれません。利用するシンクライアントをRAM容量が最低でも128MB搭載されているものにするかハードウェアのアップグレードを検討するといいかもしれません。そうするとディスクレスワークステーションとしても利用できるという利点があります。

17.5. ネットワークへの Windows マシンの接続 / Windows との統合

17.5.1. ドメインへの参加

Windows クライアント向けには Windows ドメイン「SKOLELINUX」に参加できるようになっています。中心サーバに Samba という特別なサービスがインストールされ、Windows クライアントがプロファイルやユーザデータを保管できるようになっています。また、ログイン時のユーザ認証も行います。

$/!\$ Joining a domain with a Windows client requires the steps described in the Debian Edu Buster Samba Howto.

Windows はドメインユーザのプロファイルを Windows へのログインやログアウトの度に同期します。プロファイルに保管されているデータの量によってはこれに時間が多少かかるかもしれません。かかる時間を短くするためには、ブラウザのローカルキャッシュのようなものを無効化 (中心サーバにインストールした Squid プロキシキャッシュを代わりに使うこともできます) してファイルを｢マイドキュメント｣や「ドキュメント」ではなく H: ボリュームに保存します。

17.6. リモートデスクトップ

17.6.1. リモートデスクトップサービス

LTSP サーバや複合サーバのプロファイルを選択した場合には xrdp もインストールするようになっています。このパッケージは RDP (Remote Desktop Protocol) を利用してリモートクライアントにグラフィカルなログイン画面を提示します。Microsoft Windows のユーザは追加ソフトウェアをインストールすることなく xrdp の動作している LTSP サーバに接続できます - 単に Windows マシンから Remote Desktop Connection を起動して接続するだけです。

さらに、xrdp は VNC サーバやその他の RDP サーバに接続できます。

地方自治体によってはリモートデスクトップを提供することで生徒や教員が自宅の Windows や Mac、Linux マシンから Skolelinux にアクセスできるようにしている場合があります。

Xrdp comes without sound support; to compile the required modules this script could be used.

 #!/bin/bash
 # Script to compile / recompile xrdp PulseAudio modules.
 # The caller needs to be root or a member of the sudo group.
 # Also, /etc/apt/sources.list must contain a valid deb-src line.
 set -e
  if [[ $UID -ne 0 ]] ; then  
     if ! groups | egrep -q sudo ; then
         echo "ERROR: You need to be root or a sudo group member."
         exit 1
     fi
 fi
 if ! egrep -q  ^deb-src /etc/apt/sources.list ; then
     echo "ERROR: Make sure /etc/apt/sources.list contains a deb-src line."
     exit 1
 fi
 TMP=$(mktemp -d)
 PULSE_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' pulseaudio)"
 XRDP_UPSTREAM_VERSION="$(dpkg-query -W -f='${source:Upstream-Version}' xrdp)"
 sudo apt -q update
 # Get sources and build dependencies:
 sudo apt -q install dpkg-dev
 cd $TMP
 apt -q source pulseaudio xrdp
 sudo apt -q build-dep pulseaudio xrdp
 # For pulseaudio 'configure' is all what is needed:
 cd pulseaudio-$PULSE_UPSTREAM_VERSION/
 ./configure
 # Adjust pulseaudio modules Makefile (needs absolute path)
 # and build the pulseaudio modules.
 cd $TMP/xrdp-$XRDP_UPSTREAM_VERSION/sesman/chansrv/pulse/
 sed -i 's/^PULSE/#PULSE/' Makefile
 sed -i "/#PULSE_DIR/a \
 PULSE_DIR = $TMP/pulseaudio-$PULSE_UPSTREAM_VERSION" Makefile
 make
 # Copy modules to Pulseaudio modules directory, adjust rights.
 sudo cp *.so /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/
 sudo chmod 644 /usr/lib/pulse-$PULSE_UPSTREAM_VERSION/modules/module-xrdp*
 # Restart xrdp, now with sound enabled.
 sudo service xrdp restart

17.6.2. 利用できるリモートデスクトップクライアント

freerdp-x11 はデフォルトでインストールされ、RDP と VNC の機能を持っています。
- RDP - Windows ターミナルサーバにアクセスする最も簡単な方法です。代替クライアントのパッケージには rdesktop があります。
- VNC (Virtual Network Computer、仮想ネットワークコンピュータ) クライアントはリモートから Skolelinux にアクセスする手段を提供します。代替クライアントのパッケージには xvncviewer があります。
NX グラフィカルクライアントは Windows や Mac、Linux を使ってリモートから Skolelinux にアクセスする手段を生徒や教員に提供します。ノルウェーのとある自治体では2005年から全学生に対して NX サポートを提供しています。当事者からはそれが安定しているという報告を受けています。
Skolelinux から Windows ターミナルサーバにアクセスするための Citrix ICA クライアント HowTo

18. Debian Edu の Samba

$/!\$ Please read the information provided on the Samba wiki about supported Windows versions, needed registry patches and other procedures before proceeding.

https://wiki.samba.org/index.php/Joining_a_Windows_Client_or_Server_to_a_Domain

https://wiki.samba.org/index.php/Required_Settings_for_Samba_NT4_Domains

Samba has been fully prepared for use as an NT4-style domain controller. After a machine has joined the domain, this machine can be fully managed with GOsa².

18.1. さあ始めよう

This documentation presumes that you have installed the Debian Edu main server and also a Debian Edu workstation. We presume that you have already created some users that can login and use the Debian Edu workstation. We also presume that you have a Windows workstation at hand, so you can test access to the Debian Edu main server from a Windows machine.

Debian Edu 中心サーバのインストール後、Samba ホスト \\TJENER が Windows ネットワークコンピュータに表示されるはずです。Debian Edu の Windows ドメインは SKOLELINUX です。Windows マシン (または smbclient を使っている Linux システム) で Windows/Samba ネットワーク環境を見てみましょう。

スタート -> ファイル名を指定して実行
\\TJENER と入力して[Enter]を押します
そうすると Windows Explorer のウィンドウが出てきて \\TJENER のネットログオン共有と、印刷用に設定済みのプリンターがあれば Unix/Linux (CUPS キュー) 以下に表示されるはずです。

18.1.1. ファイルへの Samba 経由のアクセス

Student and teacher user accounts that have been configured via GOsa² should be able to authenticate against \\TJENER\HOMES or \\TJENER\<username> and access their home directories even with Windows machines not joined to the Windows SKOLELINUX domain.

スタート -> ファイル名を指定して実行
\\TJENER\HOMES または \\TJENER\<ユーザ名> と入力して[Enter]を押します
出てきた認証ダイアログのウィンドウでログイン資格情報 (ユーザ名、パスワード) を入力します
そうすると Windows Explorer のウィンドウが出てきて Debian Edu のホームディレクトリにあるファイルやディレクトリが表示されるはずです。

デフォルトでは「ホーム」と「ネットログオン」共有だけがエクスポートされます。生徒と教員の詳細な例が Debian Edu の中心サーバの /etc/samba/smb-debian-edu.conf にあります。

18.2. ドメインメンバー権

中心サーバの Samba をドメインコントローラーとして利用するには、ネットワークの Windows ワークステーションを Debian Edu の中心サーバから提供される SKOLELINUX ドメインに参加させる必要があります。

最初にしないといけないことは SKOLELINUX\Administrator アカウントの有効化です。このアカウントは日々の使用を対象とするものではなく、現在の主な目的は SKOLELINUX ドメインに Windows マシンを追加することです。このアカウントを有効化するには中心サーバに最初のユーザ (中心サーバのインストール時に作成されます) でログインしてこのコマンドを実行します:

$ sudo smbpasswd -e Administrator

SKOLELINUX\Administrator のパスワードは中心サーバのインストール時にすでに設定されています。SKOLELINUX\Administrator の認証にはそのシステムの root アカウントを使ってください。

管理作業を終えたら必ず SKOLELINUX\Administrator アカウントを再び無効化してください:

$ sudo smbpasswd -d Administrator

18.2.1. Windows のホスト名

Windows マシンの名前が SKOLELINUX ドメインで使いたい名前になっていることを確認してください。違っている場合はまず変更して (再起動もして) ください。Windows マシンの NetBIOS ホスト名はその後 GOsa² で利用され、(このマシンのドメインメンバー権を壊さず) それを変更することはできません。

18.3. ドメインへの最初のログオン

Debian Edu ships では最初のログオン時に Windows ユーザプロファイルを先んじて設定するログオンスクリプトをいくらか用意しています。SKOLELINUX ドメインに参加した Windows ワークステーションに初めてログオンしてときには以下のタスクが実行されます:

そのユーザの Firefox プロファイルを別の場所にコピーして Windows の Mozilla Firefox に登録します
Firefox のウェブプロキシとスタートページを設定します
IE のウェブプロキシとスタートページを設定します
MyHome アイコンをデスクトップに追加。ダブルクリックするとエクスプローラーで H: ドライブを開きます

他のタスクはログインごとに実行されます。詳細な情報については Debian Edu の中心サーバの /etc/samba/netlogon を参照してください。

19. クラスルーム HowTo

この節で説明している Debian パッケージは全て (root で) apt install <パッケージ> を実行することでインストールできます。

19.1. Teaching Programming

stable/education-development is a meta package depending on a lot of programming tools. Please note that almost 2 GiB of disk space is needed if this package is installed. For more details (maybe to install only a few packages), see the Debian Edu Development packages page.

19.2. 生徒の監視

$/!\$ 警告: 自分の管轄する領域でコンピュータユーザの活動を監視、制限することに関する法の見解を必ず確認してください。

Some schools use control tools like Epoptes to supervise their students. See also: Epoptes Homepage.

To get full Epoptes support, these steps are required.

# Run on a combi server (and on each additional ltsp server):
apt update
apt install epoptes
ltsp-chroot -m --arch amd64 apt update
ltsp-chroot -m --arch amd64 apt install epoptes-client
ltsp-chroot -m --arch amd64 apt install ssvnc
ltsp-chroot -m --arch amd64 sed -i 's/test -f/#test -f/' /etc/init.d/epoptes-client 
ltsp-chroot -m --arch amd64 sed -i 's/grep -qs/#grep -qs/' /etc/init.d/epoptes-client 
# If diskspace matters, use 'ltsp-update-image -n' instead.
ltsp-update-image

19.3. 生徒のネットワークアクセスの制限

学校によっては Squidguard や Dansguardian を使ってインターネットへのアクセスを制限しています。

20. ユーザ向け HowTo

20.1. パスワード変更

全ユーザがパスワードの変更に GOsa² を使うべきです。そのためには単にブラウザを使って https://www/gosa/ にアクセスします。

GOsa² を使ってパスワードを変更することで Kerberos (krbPrincipalKey)、LDAP (userPassword)、Samba (sambaNTPassword 及び sambaLMPassword) のパスワードの一貫性を確保できます。

PAM 側 GDM ログインプロンプトでのパスワード変更もできますが、その場合 Kerberos パスワードだけが更新され、Samba と GOsa² (LDAP) のパスワードは以前のままです。そのため、ログインプロンプトでパスワードを変更した場合は GOsa² での変更も実際に行うようにしてください。

20.2. Java

20.2.1. 単体 Java アプリケーションの実行

単体 Java アプリケーションは OpenJDK Java ランタイムによりそのままでサポートしています。

20.3. メールの利用

All users can send and receive mails within the internal network; certificates are provided to allow TLS secured connections. To allow mail outside the internal network, the administrator needs to configure the mailserver exim4 to suit the local situation, starting with dpkg-reconfigure exim4-config.

Thunderbird を使いたいユーザは以下のように設定する必要があります。ユーザ名が jdoe のユーザの内部メールアドレスは jdoe@postoffice.intern となります。

20.3.1. Thunderbird

Thunderbird を起動します
「これをスキップし、既存のメールを使用する」をクリックします
メールアドレスを入力します
Kerberos のシングルサインオンを利用するためパスワードは入力しないようにしてください
「続ける」をクリックします
IMAP でも SMTP でも設定では「STARTTLS'」と「Kerberos/GSSAPI」を選択します。自動的に検出されない場合は調整してください。
「完了」をクリックします

20.3.2. ディスクレスワークステーションでメールを読むための Kerberos 資格情報の取得

ディスクレスワークステーションでの作業ではデフォルトで Kerberos TGT (発見許可証) がありません。取得するにはシステムトレイの資格情報ボタンをクリックします。自分のパスワードを入力すると受け付けられます。

20.4. 音量調整

シンクライアントでは pavucontrol や alsamixer (kmix は使えません) を使って音量を変更できます。

他のマシン (ワークステーション、LTSP サーバ、ディスクレスワークステーション) では kmix や alsamixer を利用できます。

21. 貢献

21.1. あなたの存在を私たちに知らせてください

Debian Edu のユーザは世界中にいます。Debian Edu をあなたが使っているということを私たちに知らせてくれるというとても簡単な形の貢献があります - これは私たちにとって大きな動機になるもので、つまりそれだけで得がたい貢献となります。 :-)

The Debian Edu projects provide a database of schools and users of the system to help the users find each other, and also to have an idea about where the users of the distribution are located. Please let us know about your installation, by registering in this database. To register your school, use this web form.

21.2. 地域での貢献

現在、地域のチームはノルウェー、ドイツ、スペインのエクストレマドゥーラ地方、台湾、フランスにあります。「単独の」貢献者やユーザはギリシャ、オランダ、日本その他にいます。

The support chapter has explanations and links to localised resources, as contribute and support are two sides of the same coin.

21.3. 国際的な貢献

Internationally we are organised into various teams working on different subjects.

Most of the time, the developer mailing list is our main medium for communication, though we have monthly IRC meetings on #debian-edu on irc.debian.org and even, less frequently, real gatherings, where we meet each other in person. New contributors should read our http://wiki.debian.org/DebianEdu/ArchivePolicy.

A good way to learn what is happening in the development of Debian Edu is to subscribe to the commit mailinglist.

21.4. 文書の著者及び翻訳者

この文書には支援が必要です! 最も重要なのはまだ完成していないということです: 読んでみると文中に FIXME がいくつもあることがわかるでしょう。説明する必要があるのは何なのか (少しでも) わかってしまったなら、知識の共有を検討してください。

The source of the text is a wiki and can be edited with a simple webbrowser. Just go to http://wiki.debian.org/DebianEdu/Documentation/Buster/ and you can contribute easily. Note: a user account is needed to edit the pages; you need to create a wiki user first.

ユーザを支援するための、とても良い別の貢献方法はソフトウェア及び文書の翻訳です。この文書の翻訳方法についての情報はこの本の翻訳の章にあります。この本の翻訳の取り組みへの支援を検討してください!

22. サポート

22.1. ボランティアベースのサポート

22.1.1. 英語

http://wiki.debian.org/DebianEdu
https://lists.skolelinux.org/listinfo/admin-discuss - サポートメーリングリスト
irc.debian.org の #debian-edu - 主に開発向け IRC チャネル。リアルタイムサポートは行われることがあるかもしれませんが期待しないでください

22.1.2. ノルウェー語

https://lists.skolelinux.org/listinfo/bruker - サポートメーリングリスト
https://lists.skolelinux.org/listinfo/linuxiskolen - ノルウェーにある開発メンバー組織 (FRISK) 向けのメーリングリスト
irc.debian.org の #skolelinux - ノルウェー語ユーザサポート用 IRC チャネル

22.1.3. ドイツ語

http://lists.debian.org/debian-edu-german - サポートメーリングリスト
http://wiki.skolelinux.de - 多くの HowTo 等のある wiki
irc.debian.org の #skolelinux.de - ドイツ語ユーザサポート用 IRC チャネル

22.1.4. フランス語

http://lists.debian.org/debian-edu-french - サポートメーリングリスト

22.2. Professional support

Lists of companies providing professional support are available from http://wiki.debian.org/DebianEdu/Help/ProfessionalHelp.

23. New features in Debian Edu Buster

23.1. New features for Debian Edu 10+edu0 Codename Buster

23.1.1. 既知の問題

see the Debian Edu Buster status page.

23.1.2. インストールの変更

New version of debian-installer from Debian Buster, see its installation manual for more details.
New artwork based on the XXX theme, the default artwork for Debian 10 Buster.
New CFEngine configuration management (replacing unmaintained package cfengine2 with cfengine3); this is a major change, for details see the official CFEngine documentation.
New default desktop environment Xfce (replacing KDE).
The architecture of the LTSP chroot now defaults to the server one.

23.1.3. ソフトウェアの更新

Everything which is new in Debian 10 Buster, eg:
- Linux kernel XXX
- Desktop environments KDE Plasma Workspace XXX, GNOME XXX, Xfce XXX, LXDE XXX, MATE XXX
- Firefox XXX ESR and Chromium XXX
- LibreOffice XXX
- Educational toolbox GCompris XXX
- Music creator Rosegarden XXX
- GOsa XXX
- LTSP XXX
- Debian Buster includes more than XXX packages available for installation.
- More information about Debian 10 Buster is provided in the release notes and the installation manual.

23.1.4. 文書や翻訳の更新

Translation updates for the templates used in the installer. These templates are now available in XXX languages.
The Debian Edu Buster Manual is fully translated to German, French, Italian, Danish, Dutch, Norwegian Bokmål and Japanese.
- Partly translated versions exist for Spanish, Polish and Simplified Chinese.

23.1.5. 前のリリースからの他の変更点

The USB ISO image allows offline installations again.
Support for running Java applets in the Firefox ESR browser has been dropped upstream.
Support for nonfree flash has been dropped from the Firefox ESR browser. We have also decided to drop the free but unmaintained gnash implementation.
New GOsa²-Plugin Password Management.
Unusable options have been removed from the GOsa² web interface.
New netgroup available to exclude systems belonging to the shut-down-at-night-hosts netgroup from being waken up.
Improved TLS/SSL support inside the internal network. A RootCA certificate is used to sign server certificates and user home directories are configured to accept it at account creation time; besides Firefox ESR, also Chromium and Konqueror can now use HTTPS without the need to allow insecure connections.
With X2Go server now available in Debian, the related packages are now installed on all systems with Profile LTSP-Server.

24. 著作権と著者

This document is written and copyrighted by Holger Levsen (2007, 2008, 2009, 2010, 2011, 2012, 2013, 2014, 2015, 2016, 2017, 2018), Petter Reinholdtsen (2001, 2002, 2003, 2004, 2007, 2008, 2009, 2010, 2012, 2014), Daniel Heß (2007), Patrick Winnertz (2007), Knut Yrvin (2007), Ralf Gesellensetter (2007), Ronny Aasen (2007), Morten Werner Forsbring (2007), Bjarne Nielsen (2007, 2008), Nigel Barker (2007), José L. Redrejo Rodríguez (2007), John Bildoy (2007), Joakim Seeberg (2008), Jürgen Leibner (2009, 2010, 2011, 2012, 2014), Oded Naveh (2009), Philipp Hübner (2009, 2010), Andreas Mundt (2010), Olivier Vitrat (2010, 2012), Vagrant Cascadian (2010), Mike Gabriel (2011), Justin B Rye (2012), David Prévot (2012), Wolfgang Schweer (2012, 2013, 2014, 2015, 2016, 2017, 2018), Bernhard Hammes (2012) and Joe Hansen (2015) and is released under the GPL2 or any later version. Enjoy!

追加する内容は自分で書いたものだけにしてください。同一条件の下でリリースする必要があります! それから自分の名前を追加し、「v2 以降の任意のバージョンのGPL」ライセンスの下でリリースしてください。

25. 翻訳の著作権と著者

The Spanish translation is copyrighted by José L. Redrejo Rodríguez (2007), Rafael Rivas (2009, 2010, 2011, 2012, 2015) and Norman Garcia (2010, 2012, 2013) and is released under the GPL v2 or any later version.

The Bokmål translation is copyrighted by Petter Reinholdtsen (2007, 2012, 2014, 2015, 2016, 2017, 2018), Håvard Korsvoll (2007-2009), Tore Skogly (2008), Ole-Anders Andreassen (2010), Jan Roar Rød (2010), Ole-Erik Yrvin (2014, 2016, 2017), Ingrid Yrvin (2014, 2015, 2016, 2017), Hans Arthur Kielland Aanesen (2014), Knut Yrvin (2014), FourFire Le'bard (2014), Stefan Mitchell-Lauridsen (2014), Ragnar Wisløff (2014) and Allan Nordhøy (2018) and is released under the GPL v2 or any later version.

The German translation is copyrighted by Holger Levsen (2007), Patrick Winnertz (2007), Ralf Gesellensetter (2007, 2009), Roland F. Teichert (2007, 2008, 2009), Jürgen Leibner (2007, 2009, 2011, 2014), Ludger Sicking (2008, 2010), Kai Hatje (2008), Kurt Gramlich (2009), Franziska Teichert (2009), Philipp Hübner (2009), Andreas Mundt (2009, 2010) and Wolfgang Schweer (2012, 2013, 2014, 2015, 2016, 2017, 2018) and is released under the GPL v2 or any later version.

The Italian translation is copyrighted by Claudio Carboncini (2007, 2008, 2009, 2010, 2011, 2012, 2013, 2014, 2015, 2016, 2017, 2018) and Beatrice Torracca (2013, 2014) and is released under the GPL v2 or any later version.

The French translation is copyrighted by Christophe Masson (2008), Olivier Vitrat (2010), Cédric Boutillier (2012, 2013, 2014, 2015), Jean-Paul Guilloneau (2012), David Prévot (2012), Thomas Vincent (2012) and the French l10n team (2009, 2010, 2012) and is released under the GPL v2 or any later version.

The Danish translation is copyrighted by Joe Hansen (2012, 2013, 2014, 2015, 2016) and is released under the GPL v2 or any later version.

The Dutch translation is copyrighted by Frans Spiesschaert (2014, 2015, 2016, 2017, 2018) and is released under the GPL v2 or any later version.

The Japanese translation is copyrighted by victory (2016, 2017) and is released under the GPL v2 or any later version.

The Polish translation is copyrighted by Stanisław Krukowski (2016, 2017) and is released under the GPL v2 or any later version.

The Simplified Chinese translation is copyrighted by Ma Yong (2016, 2017), Boyuan Yang (2017) and Roy Zhang (2017) and is released under the GPL v2 or any later version.

26. この文書の翻訳

Versions of this document translated into German, Italian, French, Danish, Dutch, Norwegian Bokmål and Japanese are available. Incomplete translations exist for Spanish, Polish and Simplified Chinese. There is an online overview of shipped translations.

26.1. この文書の翻訳方法

26.1.1. POファイルを使った翻訳

As in many free software projects, translations of this document are kept in PO files. More information about the process can be found in /usr/share/doc/debian-edu-doc/README.debian-edu-buster-manual-translations. The Git repository (see below) contains this file too. Take a look there and at the language specific conventions if you want to help translating this document.

To commit your translations you need to be a member of the Salsa project debian-edu.

Then check out the debian-edu-doc source using ssh access: git clone git@salsa.debian.org:debian-edu/debian-edu-doc.git

翻訳したいだけなら Git から取得 (匿名で取得できます) する必要があるのは一部のファイルだけです。その場合、debian-edu-doc パッケージに対してバグ報告し、PO ファイルをそのバグ報告に添付してください。バグ報告方法についての指示がいくらかあります。

以下のコマンドで debian-edu-doc のソースを匿名で取得できます (これには git パッケージをインストールしている必要があります):

git clone https://salsa.debian.org/debian-edu/debian-edu-doc.git

Then edit the file documentation/debian-edu-buster/debian-edu-buster-manual.$CC.po (replacing $CC with your language code). There are many tools for translating available; we suggest using lokalize.

それから翻訳したファイルを Git に直接 (権限があれば) 送るか、バグ報告にファイルを添付します。

リポジトリのローカルコピーの更新には debian-edu-doc ディレクトリで

git pull

Read /usr/share/doc/debian-edu-doc/README.debian-edu-buster-manual-translations to find information how to create a new PO file for your language if there isn't one yet, and how to update translations.

Please keep in mind that this manual is still under development, so don't translate any string which contains " FIXME".

Basic information about Salsa (the host where our Git repository is located) and Git is available at https://wiki.debian.org/Salsa.

If you are new to Git, look at the Pro Git book; it has a chapter on the recording changes to the repository. Also you might want to look at the gitk package that provides a GUI for Git.

26.1.2. Translate online using a web browser

Some language teams have decided to translate via Weblate. See https://hosted.weblate.org/projects/debian-edu-documentation/debian-edu-buster/ for more information.

何か問題があれば報告してください。

27. 付録A - GNU General Public License

Note to translators: there is no need to translate the GPL license text.
Translations are available at https://www.gnu.org/licenses/old-licenses/gpl-2.0-translations.html.

27.1. Manual for Debian Edu 10+edu0 Codename Buster

This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version.

This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.

You should have received a copy of the GNU General Public License along with this program; if not, write to the Free Software Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 USA.

27.2. GNU GENERAL PUBLIC LICENSE

Version 2, June 1991

Copyright (C) 1989, 1991 Free Software Foundation, Inc. 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301, USA. Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed.

27.3. TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION

0. This License applies to any program or other work which contains a notice placed by the copyright holder saying it may be distributed under the terms of this General Public License. The "Program", below, refers to any such program or work, and a "work based on the Program" means either the Program or any derivative work under copyright law: that is to say, a work containing the Program or a portion of it, either verbatim or with modifications and/or translated into another language. (Hereinafter, translation is included without limitation in the term "modification".) Each licensee is addressed as "you".

Activities other than copying, distribution and modification are not covered by this License; they are outside its scope. The act of running the Program is not restricted, and the output from the Program is covered only if its contents constitute a work based on the Program (independent of having been made by running the Program). Whether that is true depends on what the Program does.

1. You may copy and distribute verbatim copies of the Program's source code as you receive it, in any medium, provided that you conspicuously and appropriately publish on each copy an appropriate copyright notice and disclaimer of warranty; keep intact all the notices that refer to this License and to the absence of any warranty; and give any other recipients of the Program a copy of this License along with the Program.

You may charge a fee for the physical act of transferring a copy, and you may at your option offer warranty protection in exchange for a fee.

2. You may modify your copy or copies of the Program or any portion of it, thus forming a work based on the Program, and copy and distribute such modifications or work under the terms of Section 1 above, provided that you also meet all of these conditions:

a) You must cause the modified files to carry prominent notices stating that you changed the files and the date of any change.
b) You must cause any work that you distribute or publish, that in whole or in part contains or is derived from the Program or any part thereof, to be licensed as a whole at no charge to all third parties under the terms of this License.
c) If the modified program normally reads commands interactively when run, you must cause it, when started running for such interactive use in the most ordinary way, to print or display an announcement including an appropriate copyright notice and a notice that there is no warranty (or else, saying that you provide a warranty) and that users may redistribute the program under these conditions, and telling the user how to view a copy of this License. (Exception: if the Program itself is interactive but does not normally print such an announcement, your work based on the Program is not required to print an announcement.)

These requirements apply to the modified work as a whole. If identifiable sections of that work are not derived from the Program, and can be reasonably considered independent and separate works in themselves, then this License, and its terms, do not apply to those sections when you distribute them as separate works. But when you distribute the same sections as part of a whole which is a work based on the Program, the distribution of the whole must be on the terms of this License, whose permissions for other licensees extend to the entire whole, and thus to each and every part regardless of who wrote it.

Thus, it is not the intent of this section to claim rights or contest your rights to work written entirely by you; rather, the intent is to exercise the right to control the distribution of derivative or collective works based on the Program.

In addition, mere aggregation of another work not based on the Program with the Program (or with a work based on the Program) on a volume of a storage or distribution medium does not bring the other work under the scope of this License.

3. You may copy and distribute the Program (or a work based on it, under Section 2) in object code or executable form under the terms of Sections 1 and 2 above provided that you also do one of the following:

a) Accompany it with the complete corresponding machine-readable source code, which must be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,
b) Accompany it with a written offer, valid for at least three years, to give any third party, for a charge no more than your cost of physically performing source distribution, a complete machine-readable copy of the corresponding source code, to be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,
c) Accompany it with the information you received as to the offer to distribute corresponding source code. (This alternative is allowed only for noncommercial distribution and only if you received the program in object code or executable form with such an offer, in accord with Subsection b above.)

The source code for a work means the preferred form of the work for making modifications to it. For an executable work, complete source code means all the source code for all modules it contains, plus any associated interface definition files, plus the scripts used to control compilation and installation of the executable. However, as a special exception, the source code distributed need not include anything that is normally distributed (in either source or binary form) with the major components (compiler, kernel, and so on) of the operating system on which the executable runs, unless that component itself accompanies the executable.

If distribution of executable or object code is made by offering access to copy from a designated place, then offering equivalent access to copy the source code from the same place counts as distribution of the source code, even though third parties are not compelled to copy the source along with the object code.

4. You may not copy, modify, sublicense, or distribute the Program except as expressly provided under this License. Any attempt otherwise to copy, modify, sublicense or distribute the Program is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance.

5. You are not required to accept this License, since you have not signed it. However, nothing else grants you permission to modify or distribute the Program or its derivative works. These actions are prohibited by law if you do not accept this License. Therefore, by modifying or distributing the Program (or any work based on the Program), you indicate your acceptance of this License to do so, and all its terms and conditions for copying, distributing or modifying the Program or works based on it.

6. Each time you redistribute the Program (or any work based on the Program), the recipient automatically receives a license from the original licensor to copy, distribute or modify the Program subject to these terms and conditions. You may not impose any further restrictions on the recipients' exercise of the rights granted herein. You are not responsible for enforcing compliance by third parties to this License.

7. If, as a consequence of a court judgment or allegation of patent infringement or for any other reason (not limited to patent issues), conditions are imposed on you (whether by court order, agreement or otherwise) that contradict the conditions of this License, they do not excuse you from the conditions of this License. If you cannot distribute so as to satisfy simultaneously your obligations under this License and any other pertinent obligations, then as a consequence you may not distribute the Program at all. For example, if a patent license would not permit royalty-free redistribution of the Program by all those who receive copies directly or indirectly through you, then the only way you could satisfy both it and this License would be to refrain entirely from distribution of the Program.

If any portion of this section is held invalid or unenforceable under any particular circumstance, the balance of the section is intended to apply and the section as a whole is intended to apply in other circumstances.

It is not the purpose of this section to induce you to infringe any patents or other property right claims or to contest validity of any such claims; this section has the sole purpose of protecting the integrity of the free software distribution system, which is implemented by public license practices. Many people have made generous contributions to the wide range of software distributed through that system in reliance on consistent application of that system; it is up to the author/donor to decide if he or she is willing to distribute software through any other system and a licensee cannot impose that choice.

This section is intended to make thoroughly clear what is believed to be a consequence of the rest of this License.

8. If the distribution and/or use of the Program is restricted in certain countries either by patents or by copyrighted interfaces, the original copyright holder who places the Program under this License may add an explicit geographical distribution limitation excluding those countries, so that distribution is permitted only in or among countries not thus excluded. In such case, this License incorporates the limitation as if written in the body of this License.

9. The Free Software Foundation may publish revised and/or new versions of the General Public License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns.

Each version is given a distinguishing version number. If the Program specifies a version number of this License which applies to it and "any later version", you have the option of following the terms and conditions either of that version or of any later version published by the Free Software Foundation. If the Program does not specify a version number of this License, you may choose any version ever published by the Free Software Foundation.

10. If you wish to incorporate parts of the Program into other free programs whose distribution conditions are different, write to the author to ask for permission. For software which is copyrighted by the Free Software Foundation, write to the Free Software Foundation; we sometimes make exceptions for this. Our decision will be guided by the two goals of preserving the free status of all derivatives of our free software and of promoting the sharing and reuse of software generally.

NO WARRANTY

11. BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.

12. IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.

END OF TERMS AND CONDITIONS

28. Appendix B - no Debian Edu Live CD/DVDs for Buster yet

$/!\$ Debian Edu Live CD/DVDs for Buster are not available at the moment.

28.1. Standalone イメージに収録されている機能

XFCE デスクトップ
Standalone プロファイルの全パッケージ
laptop タスクの全パッケージ

28.2. Workstation イメージに収録されている機能

XFCE デスクトップ
Workstation プロファイルの全パッケージ
laptop タスクの全パッケージ

28.3. 翻訳や地域サポートの有効化

特定の翻訳を有効化するにはブートオプションとして locale=ll_CC.UTF-8 を使ってブートします。「ll_CC.UTF-8」には希望するロケールの名前とエンコーディングを指定します。決まったキーボードレイアウトを有効化するには keyb=KB オプションを使います。「KB」には希望するキーボードレイアウトを指定します。広く利用されているロケールコード一覧:

言語 (地域)	ロケール	キーボードレイアウト
ノルウェー語 (ブークモール)	nb_NO.UTF-8	no
ノルウェー語 (ニーノシュク)	nn_NO.UTF-8	no
ドイツ語	de_DE.UTF-8	de
フランス語 (フランス)	fr_FR.UTF-8	fr
ギリシャ語 (ギリシャ)	el_GR.UTF-8	el
日本語	ja_JP.UTF-8	jp
北サーミ語 (ノルウェー)	se_NO	no(smi)

/usr/share/i18n/SUPPORTED に利用可能なロケールコードの完全な一覧がありますが live イメージでサポートするのは UTF-8 ロケールだけです。全ロケールに翻訳があるわけでもありません。キーボードレイアウトの名前は /usr/share/keymaps/i386/ にあります。

28.4. 知っておくべき事柄

最初のユーザのパスワードは「user」で、root のパスワードはセットされていません。

28.5. イメージの既知の問題

$/!\$ イメージはまだありません

28.6. ダウンロード

The image would be (but currently isn't) available via FTP, HTTP or rsync from ftp.skolelinux.org under cd-buster-live/.

29. Appendix C - Features in older releases

29.1. New features for Debian Edu 9+edu0 Codename Stretch released 2017-06-17

29.1.1. インストールの変更

Debian Stretch 用の新しいバージョンの debian-installer。詳細についてはインストールマニュアルを見てください。
「Thin-Client-Server (シンクライアントサーバ)」プロファイルは「LTSP-Server」プロファイルに改名されました。
New artwork based on the "soft Waves" theme, the default artwork for Debian 9 Stretch.

29.1.2. ソフトウェアの更新

Everything which was new in Debian 9 Stretch, eg:
- Linux カーネル 4.9
- デスクトップ環境 KDE Plasma Workspace 5.8、GNOME 3.22、Xfce 4.12、LXDE 0.99.2、MATE 1.16
  - デフォルトで KDE Plasma Workspace がインストールされます。他のデスクトップ環境選択についてはこのマニュアルを見てください。
- Firefox 45.9 ESR 及び Chromium 59
  - Iceweasel の名前はまたまた Firefox に変わりました!
- Icedove の名前はまたまた Thunderbird に変わり、デフォルトでインストールされるようになっています。
- LibreOffice 5.2.6
- 教育用ツール集 GCompris 15.10
- 音楽作成 Rosegarden 16.06
- GOsa 2.7.4
- LTSP 5.5.9
- Debian Stretch には 50000 以上のパッケージを収録し、インストールして利用できます。
- Debian 9 Stretch についてさらなる情報がリリースノート及びインストールマニュアルで提供されています。

29.1.3. 文書や翻訳の更新

インストーラで使われるテンプレートの翻訳。現在29言語が用意されています。
Debian Edu Stretch のマニュアルはドイツ語、フランス語、イタリア語、デンマーク語、オランダ語、ノルウェー語 (ブークモール)、日本語に完全に翻訳されています。
- Partly translated versions exist for Spanish, Polish and Simplified Chinese.

29.1.4. 前のリリースからの他の変更点

監視ツールが Nagios から Icinga に替わりました
スクリーンショットツールが ksnapshot から kde-spectacle に替わりました
フリーの flash プレーヤー gnash が帰ってきました
Plymouth is installed and activated by default, except for the 'Main Server' and 'Minimal' profiles; pressing ESC allows to view boot and shutdown messages.
Jessie からアップグレードする際、LDAP データベースを調整しないといけません。GOsa² や LDAP エディタを使い、sudoHost の「tjener」を「tjener.intern」に置き換えます。
The 32-bit PC support (known as the Debian architecture i386) now no longer covers a plain i586 processor. The new baseline is the i686, although some i586 processors (e.g. the "AMD Geode") will remain supported.
Debian 9 enables unattended upgrades (for security updates) by default for new installations. This might cause a delay of about 15 minutes if a system with a low uptime value is powered off.
LTSP now uses NBD instead of NFS for the root filesystem. After each single change to an LTSP chroot, the related NBD image must be regenerated (ltsp-update-image) for the changes to take effect.
LTSP サーバと LTSP シンクライアントへの同一ユーザによる同時ログインは許可されなくなっています。

29.2. 2016年7月2日にリリースされた Debian Edu 8+edu0 コード名 Jessie の新機能

read the release announcement on www.debian.org: Debian Edu / Skolelinux Jessie — a complete Linux solution for your school.

29.2.1. インストールの変更

Debian Jessie 用の新しいバージョンの debian-installer。詳細についてはインストールマニュアルを見てください。

29.2.2. ソフトウェアの更新

Debian 8 Jessie で新しくなっているもの全て。例えば:
- Linux カーネル 3.16.x
- デスクトップ環境 KDE Plasma Workspace 4.11.13、GNOME 3.14、Xfce 4.10、LXDE 0.5.6
  - デスクトップ環境の新たな選択肢: MATE 1.8
  - デフォルトで KDE Plasma Workspace がインストールされます。他のデスクトップ環境選択についてはこのマニュアルを見てください。
- ウェブブラウザ Iceweasel 31 ESR 及び Chromium 41
- LibreOffice 4.3.3
- 教育用ツール集 GCompris 14.12
- 音楽作成 Rosegarden 14.02
- GOsa 2.7.4
- LTSP 5.5.4
- new boot framework: systemd. More information is available in the Debian systemd wiki page and in thesystemd manual.
- Debian Jessie には約 42000 のパッケージを収録し、インストールして利用できます。
- Debian 8 Jessie についてさらなる情報がリリースノート及びインストールマニュアルで提供されています。

29.2.3. 文書や翻訳の更新

インストーラで使われるテンプレートの翻訳。現在29言語が用意されています。
オランダ語とノルウェー語 (ブークモール) への翻訳が完了。
Debian Edu Jessie のマニュアルはドイツ語、フランス語、イタリア語、デンマーク語、オランダ語、ノルウェー語 (ブークモール) に完全に翻訳されています。スペイン語には部分的に翻訳されているバージョンが存在します。

29.2.4. 前のリリースからの他の変更点

squid: Shutdown and reboot of the main server takes longer than before due to a new default setting shutdown_lifetime 30 seconds. As an example the delay could be set to 10 seconds by appending the line shutdown_lifetime 10 seconds to /etc/squid3/squid.conf.
ssh: The root user is no longer allowed to login via SSH with password. The old default PermitRootLogin yes has been replaced with PermitRootLogin without-password, so ssh-keys will still work.
slbackup-php: To be able to use the slbackup-php site (which uses root logins via ssh), PermitRootLogin yes has to be set temporarily in /etc/ssh/sshd_config.
sugar: Sugar デスクトップは Debian Jessie から削除されたため、Debian Edu jessie でも利用できません。

29.3. 2013年9月28日にリリースされた Debian Edu 7.1+edu0 コード名 Wheezy の新機能

29.3.1. ユーザから見える変更点

インストール中、ログイン画面、デスクトップの壁紙として見えるアートワークと新しい Debian Edu / Skolelinux ロゴが更新されました。

29.3.2. インストールの変更

Debian Wheezy 用の新しいバージョンの debian-installer。詳細についてはインストールマニュアルを見てください。
DVDイメージは無くなりました。代わりにUSBフラッシュドライブ / Blu-ray ディスク用のイメージを用意しています。DVDイメージと同じように使えますが巨大すぎて DVD には収まらなくなりました。

29.3.3. ソフトウェアの更新

Debian Wheezy 7.1 で新しくなっているもの全て。例えば:
- Linux カーネル 3.2.x
- デスクトップ環境の KDE Plasma 4.8.4、GNOME 3.4、Xfce 4.8.6、LXDE 0.5.5 (KDE Plasma がデフォルトでインストールされます。GNOME や Xfce、LXDE を選択する方法についてはマニュアルを見てください)。
- ウェブブラウザ Iceweasel 17 ESR
- LibreOffice 3.5.4
- LTSP 5.4.2
- GOsa 2.7.4
- CUPS 印刷システム 1.5.3
- 教育用ツール集 GCompris 12.01
- 音楽作成 Rosegarden 12.04
- 画像編集用エディタ Gimp 2.8.2
- 仮想宇宙 Celestia 1.6.1
- 仮想プラネタリウム Stellarium 0.11.3
- Scratch 視覚的プログラミング環境 1.4.0.6
- Debian Wheezy 用の新しいバージョンの debian-installer。詳細についてはインストールマニュアルを見てください。
- Debian Wheezy には約 37000 のパッケージを収録し、インストールして利用できます。
- Debian Wheezy 7.1 についてさらなる情報がリリースノート及びインストールマニュアルで提供されています。

29.3.4. 文書や翻訳の更新

インストーラで使われるテンプレートの翻訳。現在29言語が用意されています。
Debian Edu Wheezy のマニュアルはドイツ語、フランス語、イタリア語、デンマーク語に完全に翻訳されています。ノルウェー語 (Bokmål) とスペイン語には部分的に翻訳されているバージョンが存在します。

29.3.5. LDAP 関連の変更点

Slight changes to some objects and acls to have more types to choose from when adding systems in GOsa. Now systems can be of type server, workstation, printer, terminal or netdevice.

29.3.6. 他の変更点

新しい Xfce デスクトップタスク。
LTSP ディスクレスワークステーションが追加設定無しで動作します。
LTSP サーバのクライアント用ネットワーク (デフォルトは 192.168.0.0/24) では、十分な性能のないマシンはデフォルトでディスクレスワークステーションとして動作します。
GOsa gui: Now some options that seemed to be available, but are non functional, are greyed out (or are not clickable). Some tabs are completely hidden to the end user, others even to the GOsa admin.

29.3.7. 既知の問題

Using KDE "Plasma" on standalone and roaming workstations, at least Konqueror, Chromium and Step sometimes fail to work out-of-the box when the machines are used outside the backbone network, proxy use is required to use the other network but no wpad.dat information is found. Workaround: Use Iceweasel or configure the proxy manually.

29.4. Historic information about older releases

The following Debian Edu releases were made further in the past:

2013年3月3日にリリースされた Debian Edu 6.0.7+r1 コード名 Squeeze の新機能
2012年3月11日にリリースされた Debian Edu 6.0.4+r0 コード名 Squeeze の新機能
2010年10月5日にリリースされた Debian Edu 5.0.6+edu1 コード名 Lenny の新機能
2010年2月8日にリリースされた Debian Edu 5.0.4+edu0 コード名 Lenny の新機能
2007年12月5日にリリースされた Debian Edu 3.0r1 Terra
2007年4月8日にリリースされた Debian 4.0 Etch ベースの2007年7月22日にリリースされた Debian Edu 3.0r0 Terra
2005年6月6日にリリースされた Debian 3.1 Sarge ベースの2006年3月14日にリリースされた Debian Edu 2.0
2002年7月19日にリリースされた Debian 3.0 Woody ベースの2004年6月20日にリリースされた Debian Edu 1.0 Venus

A complete and detailed overview about older releases is contained in Appendix C of the Jessie manual; or see the related release manuals on the release manuals page.

29.4.1. もっと古いリリースについてのさらなる情報

もっと古いリリースについてのさらなる情報は http://developer.skolelinux.no/info/cdbygging/news.html にあります。