Helppiä kouluverkkoon

[Kake]

Kuinka Ubuntuun asennetaan verkko josta ladataan käyttäjä? Siis se toimisi periaatteessa näin: Koneella jossa on ubuntu kirjaudutaan sisään joka lataa käyttäjäsi tiedot pääkoneelta (pääkoneessa on Windows) ja sitten hommat toimisi. Ja oma käyttäjätunnus on joko rajattu (esim. oppilas) tai sitten täys-käyttäjä (esim. opettaja / henkilökunta)

Vastauksia pikapuoliin. Kiitos jo etukatään jos edes vähän onnistuu avittamaan


t: Kake

[Risto H. Kurppa]

Miltäpä kuulostaisi Edubuntu:
http://www.edubuntu.org

r

[Asmo Koskinen]

Vastauksia pikapuoliin. Kiitos jo etukatään jos edes vähän onnistuu avittamaan

Oletko kouluverkon ylläpitäjä vai käyttäjä? Millainen kouluverkko teillä nyt on? Onko Windows-palvelin NT4 vai Server 2003 vai jotain siltä väliltä?

LDAP perinteisesti hoitaa kirjautumisen laajoissa verkoissa, joissa passwd-tiedosto (Linux) ei enää riitä. Koska Microsoft saa näppylöitä avoimista ratkaisuista, niin Windows-verkossa LDAP on nimeltään AD.

Lue lisää aiheesta, aihe ei ole ihan triviaali; vertaa Windows-palvelimen korvaaminen Samba-palvelimella.

Aloita vaikka täältä: http://bachue.com/svnwiki/linux%20ldap%20howto

Tämän enempää en osaa aiheesta auttaa, koska en ylläpidä Windows-palvelimia, vain LTSP-palvelinta O.T.O.

Ystävällisin terveisin Asmo Koskinen.

[ErkkoS]

Meillä Lucina Hagmanin lukiossa Kälviällä on ollut kolme vuotta käytössä LTSP (www.ltsp.org) Fedoran päällä. Nyt uusien koneiden myötä koko taloon on asennettu Ubuntut. LTSP on nyt heitetty pois ja uusi verkkokäyttö pitäisi saada toimimaan. Aiemmin käytin NIS/NFS-jakoa pääpalvelimelta LTSP-palvelimelle, joka toimi hyvin vaikkakin puutteineen (tietoturva, ei ääntä...).

Nyt olen viikon lukenut dokumentteja Open LDAP:sta ja saanut testikoneessa palvelimen ja asiakkaankin jotenkuten toimimaan, mutta paljon on vielä epäselvää.

Oleellisesti: miten saan uudet käyttäjät audio, plugin,cdrom jne. ryhmiin siten että asiakaskoneessa tulee mahdolliseksi äänen, USB-tikun, CDROMin jne käyttö?

Löysin pari dokumenttia (http://www.ubuntuforums.org/showthread.php?t=11006), jotka liittyvät samaan ongelmaan NIS:n kanssa ja ratkaisut perustuivat käsittääkseni siihen että joko romutetaan Ubuntun ryhmäkäytäntöihin liittyvä laitehalintaperiaate tai että korvataan jotenkin paikallinen ryhmä audio NIS-ryhmällä audio, mutta dokumentti oli varsin suurpiirteinen.

Minä, opettajakollegat ja opiskelijamme olisimme avusta kovin kiitollisia

Jos voin jotenkin auttaa muita samassa asemassa olevia, niin ottakaa yhteyttä.

Erkko S

[Asmo Koskinen]

Meillä Lucina Hagmanin lukiossa Kälviällä on ollut kolme vuotta käytössä LTSP (www.ltsp.org) Fedoran päällä. Nyt uusien koneiden myötä koko taloon on asennettu Ubuntut.

Nyt olen viikon lukenut dokumentteja Open LDAP:sta ja saanut testikoneessa palvelimen ja asiakkaankin jotenkuten toimimaan, mutta paljon on vielä epäselvää.

Terve,

minähän asun Kokkolassa - mennäänkö kahville teille vai meille? Ota yhteyttä privaatisti.

Ystävällisin terveisin Asmo Koskinen.

[Ville Pöntinen]

Oleellisesti: miten saan uudet käyttäjät audio, plugin,cdrom jne. ryhmiin siten että asiakaskoneessa tulee mahdolliseksi äänen, USB-tikun, CDROMin jne käyttö?

Lisää tiedostoon /etc/pam.d/gdm rivi

Koodia: [Valitse]

auth optional pam_group.so

Lisää tiedostoon /etc/security/group.conf rivi

Koodia: [Valitse]

gdm;*;*;Al0000-2400;floppy,audio,cdrom,video,plugdev,scanner
Tällöin jokainen gdm:än kirjautuva luetaan kuuluvaksi ko. ryhmiin.

En tiedä onko tämä paras tapa tehdä tämä, mutta toimii. Itse tappelin aikani (yritin mm. lisätä köyttöjiö NIS-serverin cdrom ym. ryhmiin, mutta käyttäjiä oli liikaa, eivätkä ryhmäjäsenyydet välittyneet vaikka puukotin /var/yp/Makefileä) ja lopulta löysin tämän tavan osoitteesta http://tech.canterburyschool.org/tech/UbuntuWorkstations kohdasta Sound, USB, etc access.

Ainoat löytämäni ohjeet, joissa neuvottiin tätä asiaa laitteiden oikeuksien muuttamisella, totesivat graafisen käytön estyvän (ts. käyttäjien pitäisi mountata laitteita komentorivilt).

[ErkkoS]

Paljon kiitoksia. Yritänpä noin. Ilmeisesti toimii vastaavasti myös kdm:lle.

Tällä tavalla siis voisimme pysyttäytyä NIS/NFS järjestelmässä, joka on vanha tuttu. Kuitenkin nyt^tm olisi sopiva hetki vaihtaa autentikointia...

Tämä ei nyt tosin ole enää aloittelija-asiaa, mutta kuuluu muuten teemaan:
Huomasin juuri kauhukseni, että Dapperissa käyttäjät näkevät oletuksena toistensa kansioiden sisällöt, kts.

Koodia: [Valitse]

erkko@edubuntu:/home$ ls -la te*
yhteensä 20
drwxr-xr-x 2 testikayttaja testikayttaja 4096 2006-08-21 22:30 .
drwxr-xr-x 9 root          root          4096 2006-08-21 22:41 ..
-rw-r--r-- 1 testikayttaja testikayttaja  220 2006-08-21 22:30 .bash_logout
-rw-r--r-- 1 testikayttaja testikayttaja  414 2006-08-21 22:30 .bash_profile
-rw-r--r-- 1 testikayttaja testikayttaja 2227 2006-08-21 22:30 .bashrc

enkä mitenkään voi käsittää, miksi näin on. Olen lukenut tämänkin asetuksen käytön joskus jostain, mutta ihan julkisuudenkin vuoksi otan tässä esiin.

Siis: Miten saan käyttäjän kotikansiot (ja käyttäjän luomat tiedostotkin) asetettua yksityisiksi jo käyttäjän luontivaiheessa?

-- Erkko

[Asmo Koskinen]

Siis: Miten saan käyttäjän kotikansiot (ja käyttäjän luomat tiedostotkin) asetettua yksityisiksi jo käyttäjän luontivaiheessa?

Muokkaa tiedostoa /etc/adduser.conf - erityisesti nämä kohdat vaikuttavat tähän kysymykseen:

---
USERGROUPS=yes
---
DIR_MODE=0755
---

Joten oletuksena minullakin on näin:

koskias@ubuntu:/home$ ls -l
yhteensä 52
drwxr-xr-x 66 koskias koskias  4096 2006-08-23 20:17 koskias
drwxr-xr-x  2 root    root    49152 2006-08-16 10:39 lost+found
koskias@ubuntu:/home$

Mutta kun muokkaan jälkimmäiseen kohtaa "0700", niin uudet tunnukset kuuluvat omaan uniikkiryhmäänsä (ryhmän nimi on sama kuin käyttäjän tunnus) ja kotihakemisto on turvassa muilta käyttäjiltä.

koskias@ubuntu:/home$ sudo adduser testaaja
Lisätään käyttäjää `testaaja'...
Lisätään uusi ryhmä `testaaja' (1001).
Lisätään uusi käyttäjä `testaaja' (1001) ryhmällä `testaaja'.
Luodaan kotihakemistoa `/home/testaaja'.
Kopioidaan tiedostoja `/etc/skel':sta
Enter new UNIX password:
Retype new UNIX password:
passwd: salasanan päivitys onnistui
Muutetaan käyttäjän testaaja tietoja
Syötä uusi arvo tai paina ENTER jättääksesi oletuksen
        Koko nimi []: Teppo Testaaja
        Huonenumero []:
        Työpuhelin []:
        Kotipuhelin []:
        Muu []:
Onko tieto oikein? [y/N] y
koskias@ubuntu:/home$ ls -l
yhteensä 56
drwxr-xr-x 66 koskias  koskias   4096 2006-08-23 20:17 koskias
drwxr-xr-x  2 root     root     49152 2006-08-16 10:39 lost+found
drwx------  2 testaaja testaaja  4096 2006-08-23 20:23 testaaja
koskias@ubuntu:/home$ cd testaaja
bash: cd: testaaja: Lupa evätty
koskias@ubuntu:/home$

Kouluverkossa kannattaa tuonne /etc/skel (skeleton - luuranko) -hakemistoon laittaa tiedostoja ja hakemistoja, jotka olisi mukava olla heti uuden käyttäjän käytössä.

Ystävällisin terveisin Asmo Koskinen.

[Ville Pöntinen]

Toimiiko tuo adduser.conffin muokkaaminen, kun käyttää newusers-komentoa käyttäjien tekemiseen? Itse olen hoitanut kotihakemistojen muutosten muuttamisen scriptillä käyttäjien luonnin jälkeen.

Tuon newuserssin löytäminen auttoi meikäläistä melkoisesti. Uusia käyttäjiä tulee 150 vuodessa ja tunnusten generointi ja syötetiedoston tekeminen tuolle newuserssille onnistuu taulukko-ohjelmalla helposti, varsinkin kun nimet etc. saa tuotua tekstitiedostoksi hallinto-ohjelmasta (meillä primus).

[ErkkoS]

No nys se toimii. Kiitoksia kaikille. Juuri sain ensimmäisen oppilaskoneen tekemään niin kuin pitää.

Meillä uusia ei ole vuosittain niin paljon että tällainen batch-käyttäjänluonti olisi ollut tarpeen. Mahdollisuus on silti mielenkiintoinen.

Kaikkien kilkkeiden editointi on kuitenkin hankalahko juttu ja virhelyöntejä sattuu. Siis nyt olisi automatisoinnin paikka.

Seuraavana projektina olisi sitten siis luoda skripti, joka

1. ottaisi ssh-yhteyden jokaiseen oppilaskoneeseen vuorollaan, ja
2. päivittäisi järjestelmän
3. asentaisi NISsin, asettaisi NIS-domainin ja NIS-palvelinnimen ja täydentäisi /etc/passwd /etc/group /etc/shadow ja /etc/gshadow -tiedostot
4. loisi opiskelijoille ryhmäkansion tai -kansiot
5. täydentäisi /etc/fstabin NFS-jaoilla kotikansioiden liittämistä varten
6. täydentäisi /etc/pam/gdm ja /etc/security/group.confin
7. kirjoittaisi /boot/grub/menu.lst -tiedostoon acpi=force -parametrin ja suojaisi grubin salasanalla

ja lopuksi käynnistäisi uudestaan. Skenaario on tietysti se, että oppilaskoneen voisi perusasennuksen ja ssh:n asennuksen jälkeen yhdellä komennolla saattaa työkuntoon. Se vasta olisi jotakin, se!

Tässä alkaisi olla jonkinlaisen howton kirjoittamisen paikka...

-- Erkko

[Juhhe1]

No nys se toimii. Kiitoksia kaikille. Juuri sain ensimmäisen oppilaskoneen tekemään niin kuin pitää.

Meillä uusia ei ole vuosittain niin paljon että tällainen batch-käyttäjänluonti olisi ollut tarpeen. Mahdollisuus on silti mielenkiintoinen.

Kaikkien kilkkeiden editointi on kuitenkin hankalahko juttu ja virhelyöntejä sattuu. Siis nyt olisi automatisoinnin paikka.

Seuraavana projektina olisi sitten siis luoda skripti, joka

1. ottaisi ssh-yhteyden jokaiseen oppilaskoneeseen vuorollaan, ja
2. päivittäisi järjestelmän
3. asentaisi NISsin, asettaisi NIS-domainin ja NIS-palvelinnimen ja täydentäisi /etc/passwd /etc/group /etc/shadow ja /etc/gshadow -tiedostot
4. loisi opiskelijoille ryhmäkansion tai -kansiot
5. täydentäisi /etc/fstabin NFS-jaoilla kotikansioiden liittämistä varten
6. täydentäisi /etc/pam/gdm ja /etc/security/group.confin
7. kirjoittaisi /boot/grub/menu.lst -tiedostoon acpi=force -parametrin ja suojaisi grubin salasanalla

ja lopuksi käynnistäisi uudestaan. Skenaario on tietysti se, että oppilaskoneen voisi perusasennuksen ja ssh:n asennuksen jälkeen yhdellä komennolla saattaa työkuntoon. Se vasta olisi jotakin, se!

Tässä alkaisi olla jonkinlaisen howton kirjoittamisen paikka...

-- Erkko

Ei tuo sitten onnistuisi niin, että teet yhdelle koneelle perusasennuksen ja nuo tarvittavat toimeenpiteet ja sit otat kovalevystä imagen/tar-pallon ja purkailet sen vaan sitten joka koneeseen? Tietysti sit jää vielä grubin asennus käsipelillä, mut olis ainakin toimiva systeemi jo heti "asennuksen jälkeen"

[ErkkoS]

Joo, kyllä vain ja olen tämäntapaista harrastanutkin. G4U (http://www.feyrer.de/g4u/) hoitaa sen hienosti.

Kantona kaskessa on tuo kurja toinen käyttöjärjestelmä jota ei pysty heivaamaan koneista pois ennen kuin joku kertoo miten Alfasoftin ohjelmat saadaan pyörimään Winen päällä. (Tai alfasoft tekee Linux-versiot...) ja joka pitää siis ottaa huomioon. Koko kovalevyn kloonaaminen on siis toistaiseksi toimimaton visio. Partition kloonaaminen on sensijaan näppärä ratkaisu.

EDIT: mutta ssh-skripti tuntuu tällä hetkellä paremmalta, koska se toimii palvelimelta etänä...


-- Erkko

[Asmo Koskinen]

mutta ssh-skripti tuntuu tällä hetkellä paremmalta, koska se toimii palvelimelta etänä...

Tätä kysyttiin muutamia päiviä sitten. Löysin Mussh-skritpin. Mushh-skriotin avulla voi muita laajoja skriptejä, ei vain yhden rivin mittaisia.

Tein siitä pienen ohjeen, jossa lähetin käskyn ilman salasanaa (rsa-avaimet) palvelimelle, jota hallitsen (www-palvelin).

"MUltihost SSH Wrapper - Broadcasts commands over SSH to multiple hosts.

Mussh is a shell script that allows you to execute a command or script over SSH on multiple hosts with one command. When possible, it will use ssh-agent and RSA/DSA keys to minimize the need to enter your password more than once."

http://forum.ubuntu-fi.org/index.php?topic=4740.0

Ystävällisin terveisin Asmo Koskinen.

[Ville Pöntinen]

Tässä alkaisi olla jonkinlaisen howton kirjoittamisen paikka...

Laitoin kokemuksiani tuonne: http://forum.ubuntu-fi.org/index.php?topic=4867.0