Administratorhandbuch paedML Linux 3.0 - Mniehaus.monheim.de
Administratorhandbuch paedML Linux 3.0 - Mniehaus.monheim.de
Administratorhandbuch paedML Linux 3.0 - Mniehaus.monheim.de
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Administratorhandbuch</strong><br />
<strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> - Die Musterlösung <strong>de</strong>s Lan<strong>de</strong>s<br />
Ba<strong>de</strong>n-Württemberg<br />
<strong>Linux</strong><br />
<strong>paedML</strong> ® <strong>Linux</strong> <strong>3.0</strong><br />
für schulische Netzwerke<br />
Administratorenhandbuch mit Installationsanleitung
<strong>Administratorhandbuch</strong>: <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> - Die Musterlösung <strong>de</strong>s<br />
Lan<strong>de</strong>s Ba<strong>de</strong>n-Württemberg<br />
Andreas Mendyk, Rainer Rössler, Frank Schiebel und Thomas Schmitt<br />
Veröffentlicht 19. Januar 2008<br />
Copyright © 2007 Lan<strong>de</strong>smedienzentrum Ba<strong>de</strong>n-Württemberg<br />
Redaktion: Thomas Schmitt<br />
Herzlichen Dank an:<br />
Lorenz Bausch<br />
All rights reserved.<br />
This document is free; you can redistribute it and/or modify it un<strong>de</strong>r the terms of the GNU General Public License as published by<br />
the Free Software Foundation; either version 2 of the License, or (at your option) any later version.<br />
This document is distributed in the hope that it will be useful, but WITHOUT ANYWARRANTY; without even the implied warranty<br />
of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more <strong>de</strong>tails.<br />
You should have received a copy of the GNU General Public License along with this document; if not, write to the Free Software<br />
Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.<br />
Version <strong>3.0</strong>
Inhaltsverzeichnis<br />
Vorwort ................................................................................................................................. v<br />
1. Leistungsmerkmale <strong>de</strong>r <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> ......................................................................................... 1<br />
2. Vorbereitungen ...................................................................................................................... 2<br />
1. Interne IP-Adressen .......................................................................................................... 2<br />
2. Für die Installation benötigte Daten ......................................................................................... 2<br />
3. Installation mit <strong>de</strong>diziertem IPCop .................................................................................................. 4<br />
1. Installation <strong>de</strong>s IPCop (<strong>de</strong>diziert) ............................................................................................ 4<br />
1.1. Voraussetzungen ................................................................................................... 4<br />
1.2. Installations-CD booten ............................................................................................ 4<br />
1.3. Netzwerkkonfiguration ............................................................................................ 5<br />
1.4. Hinweise nach <strong>de</strong>r Installation ..................................................................................... 5<br />
2. Installation <strong>de</strong>s Servers (<strong>de</strong>diziert) .......................................................................................... 5<br />
2.1. Voraussetzungen ................................................................................................... 5<br />
2.2. Installations-CD booten ............................................................................................ 6<br />
2.3. Partitionierung ..................................................................................................... 6<br />
2.4. Konfiguration <strong>de</strong>r <strong>paedML</strong> <strong>Linux</strong> ................................................................................. 7<br />
2.4.1. Startseite mit Hinweisen zur Installation ................................................................ 7<br />
2.4.2. Län<strong>de</strong>rkürzel ............................................................................................. 7<br />
2.4.3. Bun<strong>de</strong>sland .............................................................................................. 7<br />
2.4.4. Schulort .................................................................................................. 7<br />
2.4.5. Schulname ............................................................................................... 8<br />
2.4.6. Samba-Domänen-Name ................................................................................. 8<br />
2.4.7. Servername .............................................................................................. 8<br />
2.4.8. Internet-Domäne ......................................................................................... 8<br />
2.4.9. IP-Bereich für das interne Netz .......................................................................... 9<br />
2.4.10. Firewall ................................................................................................. 9<br />
2.4.11. Externe Mailanbindung ................................................................................ 9<br />
2.4.12. Passwörter .............................................................................................. 9<br />
2.4.13. Zuordnung <strong>de</strong>r Netzwerkkarten bei <strong>de</strong>dizierter Firewall ............................................. 10<br />
2.4.14. Installation abbrechen ................................................................................. 11<br />
2.4.15. Installation abschliessen .............................................................................. 11<br />
4. Installation mit integriertem IPCop ................................................................................................ 12<br />
1. Voraussetzungen ........................................................................................................... 12<br />
2. Installations-CD booten .................................................................................................... 12<br />
3. Partitionierung .............................................................................................................. 13<br />
4. Konfiguration <strong>de</strong>r <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> ...................................................................................... 13<br />
4.1. Startseite mit Hinweisen zur Installation ......................................................................... 13<br />
4.2. Län<strong>de</strong>rkürzel ...................................................................................................... 13<br />
4.3. Bun<strong>de</strong>sland . ...................................................................................................... 13<br />
4.4. Schulort ........................................................................................................... 14<br />
4.5. Schulname ........................................................................................................ 14<br />
4.6. Samba-Domänen-Name .......................................................................................... 14<br />
4.7. Servername ....................................................................................................... 14<br />
4.8. Internet-Domäne .................................................................................................. 14<br />
4.9. IP-Bereich für das interne Netz .................................................................................. 15<br />
4.10. Firewall .......................................................................................................... 15<br />
4.11. Externe Internetanbindung ...................................................................................... 15<br />
4.11.1. Statische IP-Adresse .................................................................................. 16<br />
4.11.2. DSL ................................................................................................... 16<br />
4.12. Externe Mailanbindung ......................................................................................... 17<br />
4.13. Passwörter ....................................................................................................... 17<br />
4.14. Zuordnung <strong>de</strong>r Netzwerkkarten bei integrierter Firewall ....................................................... 17<br />
4.15. Installation abbrechen ........................................................................................... 20<br />
4.16. Installation abschließen ......................................................................................... 21<br />
5. Wartung <strong>de</strong>r <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> .................................................................................................... 22<br />
1. <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> einrichten .............................................................................................. 22<br />
1.1. Online-Paket-Quellen konfigurieren und Sicherheitsupdates einspielen ........................................ 22<br />
1.2. Firewall-Administrationsrechner einrichten ..................................................................... 22<br />
1.3. Nachträgliche Konfigurationsän<strong>de</strong>rung mit linuxmuster-setup .................................................. 23<br />
1.4. Rembo/mySHN-Keys bereitstellen .............................................................................. 24<br />
1.5. Eigene Intranetseiten einrichten .................................................................................. 24<br />
1.6. Samba-Server/Netlogon anpassen ................................................................................ 24<br />
1.7. Moodle einrichten ................................................................................................ 25<br />
1.8. KDE-Desktop installieren (optional) ............................................................................. 25<br />
2. Backup und Restore <strong>de</strong>s Servers ........................................................................................... 26<br />
2.1. Backupkonfiguration ............................................................................................. 26<br />
2.2. Backups durchführen ............................................................................................. 28<br />
2.3. Backupstrategie und Automatisierung ........................................................................... 29<br />
Version <strong>3.0</strong><br />
Seite iii
2.4. Wie<strong>de</strong>rherstellung von Dateien und Verzeichnissen im Live-Betrieb ........................................... 31<br />
2.5. Komplettrestore <strong>de</strong>s Servers (Disaster Recovery) ............................................................... 32<br />
2.5.1. Automatischer Restore eines Vollbackups ............................................................. 33<br />
2.5.2. Restore von differentiellen und inkrementellen Backups .............................................. 34<br />
2.5.3. Interaktiver Restore .................................................................................... 35<br />
2.5.4. Restore von einem NFS-Share ......................................................................... 38<br />
3. Netzwerkdrucker einrichten ................................................................................................ 38<br />
3.1. Drucker importieren .............................................................................................. 38<br />
3.2. Druckereinrichtung mit CUPS ................................................................................... 38<br />
3.3. Zugriffssteuerung über Schulkonsole ............................................................................ 41<br />
4. LVM ........................................................................................................................ 42<br />
4.1. Größe von Logical Volumes verän<strong>de</strong>rn .......................................................................... 42<br />
4.2. Zusätzliche Festplatte in das LVM-System einbin<strong>de</strong>n ........................................................... 44<br />
5. Zertifikatsverwaltung . ...................................................................................................... 45<br />
5.1. Server-Zertifikat .................................................................................................. 45<br />
5.2. OpenVPN-Client-Zertifikate ..................................................................................... 45<br />
6. Monitoring mit Nagios ..................................................................................................... 48<br />
6.1. Zugriff auf das Webinterface ..................................................................................... 49<br />
6.2. Mail-Benachrichtigungen ........................................................................................ 49<br />
6.3. Anpassung <strong>de</strong>r Konfiguration .................................................................................... 50<br />
7. Fernwartungsadministrator einrichten ...................................................................................... 52<br />
6. IPCop ............................................................................................................................... 53<br />
1. Auslieferungszustand . ...................................................................................................... 53<br />
2. Einstellungen sichern und wie<strong>de</strong>rherstellen ................................................................................ 54<br />
3. IPCop Disaster Recovery ................................................................................................... 54<br />
3.1. Dedizierter IPCop ................................................................................................ 54<br />
3.2. Integrierter IPCop ................................................................................................ 55<br />
7. Client-Integration ................................................................................................................... 56<br />
1. Vergabe <strong>de</strong>r IP-Adressen ................................................................................................... 56<br />
2. Client-Integration Schritt für Schritt ....................................................................................... 56<br />
2.1. Vorbereitung <strong>de</strong>r Musterarbeitsstation für <strong>de</strong>n Netzwerkboot ................................................... 57<br />
2.2. Aufnahme <strong>de</strong>r Musterarbeitsstation ins Schulnetzwerk .......................................................... 58<br />
2.3. Konfiguration <strong>de</strong>r Rechnergruppen .............................................................................. 59<br />
2.4. Partitionierung <strong>de</strong>r Musterarbeitsstation ......................................................................... 62<br />
2.5. Installation <strong>de</strong>s Betriebssystems auf <strong>de</strong>r Musterarbeitsstation ................................................... 63<br />
2.6. Erstellen eines Images ............................................................................................ 65<br />
2.7. Domänenbeitritt, Softwareinstallation und Benutzerprofile ..................................................... 67<br />
2.8. Aufnahme <strong>de</strong>r restlichen Arbeitsstationen ins Schulnetzwerk ................................................... 71<br />
2.9. Verteilen <strong>de</strong>s Images auf die restlichen Arbeitsstationen ........................................................ 71<br />
3. Integration von <strong>Linux</strong>-Clients .............................................................................................. 73<br />
3.1. Ubuntu 6.06 LTS (Dapper Drake) ................................................................................ 74<br />
3.2. Ubuntu 7.10 (Gutsy Gibbon) ..................................................................................... 76<br />
3.3. Debian 4.0 (Etch) ................................................................................................. 77<br />
3.4. Tipps bei Einsatz heterogener Hardware ......................................................................... 77<br />
3.4.1. Unterschiedliche Grafikkarten ......................................................................... 78<br />
3.4.2. Unterschiedliche Netzwerk- und Soundkarten ......................................................... 78<br />
3.4.3. Unterschiedliche Festplattenkontroller ................................................................. 78<br />
3.4.4. SATA- und PATA/IDE-Kontroller in einem Image ................................................... 79<br />
4. Druckereinrichtung auf <strong>de</strong>m Client ........................................................................................ 79<br />
4.1. Windows 98 ...................................................................................................... 79<br />
4.2. Windows 2000/XP ............................................................................................... 80<br />
4.3. <strong>Linux</strong> ............................................................................................................. 81<br />
A. Partitionierung ..................................................................................................................... 85<br />
1. Automatische Partitionierung .............................................................................................. 85<br />
2. Partitionierung im Expertenmodus ......................................................................................... 85<br />
B. Verzeichnisrechte auf <strong>de</strong>m Server ................................................................................................ 104<br />
C. Administrative Gruppen und Benutzer ........................................................................................... 106<br />
1. Gruppen ................................................................................................................... 106<br />
2. Administratoren ........................................................................................................... 106<br />
D. Übersicht <strong>de</strong>r Webdienste ........................................................................................................ 107<br />
E. Umstieg von <strong>Linux</strong>-Musterlösung 2.x auf <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> ................................................................... 108<br />
1. Voraussetzungen für <strong>de</strong>n Umstieg ........................................................................................ 108<br />
2. Benutzer anlegen .......................................................................................................... 108<br />
3. Arbeitsstationen importieren .............................................................................................. 108<br />
4. Programm- und CDROM-Verzeichnisse bereitstellen .................................................................... 109<br />
Version <strong>3.0</strong><br />
Seite iv
Vorwort<br />
Die Anfor<strong>de</strong>rungen an ein Computernetzwerk in einer Schulungsumgebung, also an ein pädagogisches Netzwerk, sind komplexer als<br />
in einer reinen Büroumgebung.<br />
Abgestürzte Arbeitsstationen unter Windows müssen in Minutenschnelle während einer Abschlussprüfung o<strong>de</strong>r zwischen <strong>de</strong>n<br />
Unterrichtsstun<strong>de</strong>n restaurierbar sein.<br />
In bestimmten Unterrichtssituationen, zum Beispiel während einer Klassenarbeit, müssen Lehrerinnen und Lehrer die Möglichkeit<br />
haben, <strong>de</strong>n Zugriff auf das Internet und an<strong>de</strong>re Kommunikationsmöglichkeiten (wie Mail und Telnet) per Knopfdruck auszuschalten.<br />
Ebenso sollte <strong>de</strong>r Zugriff auf Drucker in <strong>de</strong>n Klassenräumen steuerbar sein.<br />
Selbstverständlich müssen alle Anfor<strong>de</strong>rungen an ein LAN/Intranet erfüllt sein, wie die Sicherheit gegen Zugriff von außen (Firewall),<br />
Internetzugang (www, ftp, Mail), Intranetdienste, File- und Printdienste sowie die Benutzeradministration. Bei Einrichtungen mit<br />
über 1000 Schülerinnen und Schüler sollte vor allem die Administration (also die Verwaltung aller Benutzerinnen und Benutzer in<br />
einer Schule), möglichst einfach und überschaubar sein.<br />
Bei <strong>de</strong>n <strong>paedML</strong> Versionen <strong>de</strong>s Lan<strong>de</strong>s Ba<strong>de</strong>n-Württemberg han<strong>de</strong>lt es sich um vorkonfigurierte Serverlösungen, die alle notwendigen<br />
Funktionen eines schulischen Netzwerk erfüllen.<br />
Im Umgang mit <strong>de</strong>r <strong>paedML</strong> müssen die zuständigen Netzwerkberaterinnen und Netzwerkberater einer Schule nicht über das Knowhow<br />
von IT-Experten verfügen!<br />
Anmerkung:<br />
Dieses Buch ist unter <strong>Linux</strong> mit Docbook-XML erstellt. So verfügt man über Exportmöglichkeiten in die gängigen Online-Dokumentenformate<br />
PDF und HTML.<br />
Vielen Dank an die unermüdlich arbeiten<strong>de</strong> Open Source Gemein<strong>de</strong> für ihre professionelle Software und Dokumentation!<br />
Wichtige Hinweise:<br />
Die Handbücher zur <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> und zu IPCop befin<strong>de</strong>n sich auf <strong>de</strong>r CD im Ordner "doc". Da diese regelmäßig aktualisiert<br />
wer<strong>de</strong>n, lohnt es sich auf <strong>de</strong>n entsprechen<strong>de</strong>n Internetseiten nachzuschauen, ob in <strong>de</strong>r Zwischenzeit aktuellere Versionen verfügbar<br />
sind.<br />
Die aktuelle Version dieses Handbuchs fin<strong>de</strong>n Sie auf <strong>de</strong>n Internetseiten <strong>de</strong>s Lan<strong>de</strong>smedienzentrums Ba<strong>de</strong>n-Württemberg Projekt<br />
Support-Netz. 1<br />
Weiterführen<strong>de</strong> Dokumentationen, insbeson<strong>de</strong>re zum Einsatz <strong>de</strong>r Schulkonsole, erhalten Sie im Basiskursskript <strong>de</strong>r Lehrerfortbildung<br />
Ba<strong>de</strong>n-Württemberg. Die aktuelle Version <strong>de</strong>s Basiskurses können Sie von <strong>de</strong>n Seiten <strong>de</strong>r Lan<strong>de</strong>saka<strong>de</strong>mie für Fortbildung und Personalentwicklung<br />
Ba<strong>de</strong>n-Württemberg herunterla<strong>de</strong>n. 2<br />
Dokumentationen zu IPCop 3 und <strong>de</strong>n Addons Advanced Proxy 4 , Urlfilter 5 und BlockOutTraffic 6 sind im Netz ebenso verfügbar.<br />
1 http://www.support-netz.<strong>de</strong><br />
2 http://www.lehrerfortbildung-bw.<strong>de</strong>/netz/muster/linux/<br />
3 http://www.ipcop.org/in<strong>de</strong>x.php?module=pnWikka&tag=IPCopDocumentationGer<br />
4 http://www.advproxy.net/documentation.html<br />
5 http://www.urlfilter.net/documentation.html<br />
6 http://www.blockouttraffic.<strong>de</strong>/docu_<strong>de</strong>.php<br />
Version <strong>3.0</strong><br />
Seite v / Vorwort
Version <strong>3.0</strong><br />
Seite vi / Vorwort
Kapitel 1. Leistungsmerkmale <strong>de</strong>r <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong><br />
Die <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> besitzt folgen<strong>de</strong> Leistungsmerkmale:<br />
• Debian Server als Grundlage. Aktualisierung <strong>de</strong>r <strong>paedML</strong> <strong>Linux</strong> Installation über die Debian Paketverwaltung.<br />
• SheilA Konzept: Restaurieren von Arbeitsstationen auf Knopfdruck<br />
• Firewall-Lösung durch IPCop - Abschirmung nach außen und Sicherheit im internen Netzwerk (Paketfilter, auch für ausgehen<strong>de</strong><br />
Verbindungen)<br />
• Filterung problematischer Internet-Inhalte durch Bereichsfilterung (Pornografie, Gewalt, Drogen, Raubkopien, etc.) und URL-<br />
Filter mit White- und Blacklists (basierend auf SquidGuard)<br />
• Weboberfläche zur Steuerung <strong>de</strong>r Funktionen im Unterricht und <strong>de</strong>r Administration durch <strong>de</strong>n Netzwerkbetreuer (Schulkonsole)<br />
• Sichere Umgebung für Klassenarbeiten und Abschlussprüfungen am Rechner<br />
• Komplettes Intranet (Mail, Webserver mit CGI-Perl, PHP, Datenbanken)<br />
• Remote Administration möglich<br />
• Aktives und proaktives Monitoring <strong>de</strong>s Servers<br />
• Arbeiten im Netzwerk durch<br />
• zentrale Benutzerverzeichnisse auf <strong>de</strong>m Server (Windows- und <strong>Linux</strong>-Clients)<br />
• Tauschverzeichnisse für verschie<strong>de</strong>ne Gruppen (Schule, Lehrer, Klassen, Projekte)<br />
• Vorkonfigurierte Webapplikationen für das Intranet<br />
• Lernplattform Moodle in <strong>de</strong>r Version 1.6.3<br />
• OpenGroupware in <strong>de</strong>r Version 1.0 (Projektarbeit, Kalen<strong>de</strong>rfunktion, Webmail)<br />
• Hor<strong>de</strong> 3 (Webmail, Zugriff auf Dateien, Versionskontrolle)<br />
• Zugang über das Internet ins Intranet ist möglich (VPN o<strong>de</strong>r SSL)<br />
• Webaccess auf Mails vom LAN und von zu Hause für Schüler und Lehrer<br />
• Verschlüsselter Zugriff auf eigene Daten für Lehrer und Schüler von zu Hause aus<br />
• Drucker- und Internetzugang raumweise an- und abschaltbar<br />
• Vollautomatische Installation<br />
• Halbautomatische Aufnahme <strong>de</strong>r Arbeitsstationen in <strong>de</strong>n DHCP- und DNS-Server<br />
Version <strong>3.0</strong><br />
Seite 1 / Kapitel 1
Kapitel 2. Vorbereitungen<br />
Die <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> kann als Ein-Server-Lösung mit integrierter Firewall o<strong>de</strong>r als Zwei-Server-Lösung mit Firewall auf einem<br />
zusätzlichen Rechner installiert wer<strong>de</strong>n. Als Firewall wird IPCop verwen<strong>de</strong>t. Im Falle <strong>de</strong>r Ein-Server-Lösung läuft IPCop in einer<br />
Usermo<strong>de</strong>-<strong>Linux</strong>-Umgebung.<br />
Wollen Sie die Zwei-Server-Lösung installieren, beginnen Sie zuerst mit <strong>de</strong>r Installation <strong>de</strong>s <strong>de</strong>dizierten IPCop-Servers und fahren<br />
dann, wenn <strong>de</strong>r IPCop-Server läuft, mit <strong>de</strong>r Installation <strong>de</strong>s Servers fort.<br />
Bevorzugen Sie die Ein-Server-Variante, beginnen Sie gleich mit <strong>de</strong>r Installation <strong>de</strong>s Servers.<br />
Anmerkung<br />
In <strong>de</strong>r Folge wird immer wie<strong>de</strong>r die Re<strong>de</strong> von integrierter und <strong>de</strong>zidierter Firewall sein. "Integrierte Firewall" bezieht<br />
sich auf die Ein-Server-Variante, "<strong>de</strong>zidierte Firewall" auf die Zwei-Server-Variante.<br />
1. Interne IP-Adressen<br />
Das interne Schulnetz ist entsprechend <strong>de</strong>m IP-Adress-Schema 10.x.0.0 mit Netzmaske 255.240.0.0 konfigurierbar.<br />
Das be<strong>de</strong>utet folgen<strong>de</strong> Auswahlmöglichkeiten für x bei <strong>de</strong>r Installation:<br />
Auswahl <strong>de</strong>r IP-Bereiche für das interne Schulnetz<br />
Auswahl<br />
Beginn IP-Bereich<br />
En<strong>de</strong> IP-Bereich<br />
Server-IP<br />
IPCop-IP<br />
16-31<br />
10.16.0.0<br />
10.31.255.255<br />
10.16.1.1<br />
10.16.1.254<br />
32-47<br />
10.32.0.0<br />
10.47.255.255<br />
10.32.1.1<br />
10.32.1.254<br />
...<br />
224-239<br />
10.224.0.0<br />
10.239.255.255<br />
10.224.1.1<br />
10.239.1.254<br />
Für eine sinnvoll durchstrukturierte IP-Adress-Vergabe im Schulnetz stehen so im 2. Oktett 15 Adressen für Gebäu<strong>de</strong>, im 3. Oktett<br />
254 Adressen für Räume und im 4. Oktett 254 Adressen für Rechner zur Verfügung.<br />
Der freie DHCP-IP-Bereich für die Rechneraufnahme stellt sich wie folgt dar:<br />
Freie IP-Bereiche für die Rechneraufnahme<br />
Auswahl<br />
16-31<br />
32-47<br />
...<br />
224-239<br />
Beginn IP-Bereich<br />
10.16.1.100<br />
10.32.1.100<br />
10.224.1.100<br />
En<strong>de</strong> IP-Bereich<br />
10.16.1.200<br />
10.32.1.200<br />
10.224.1.200<br />
Es stehen somit 101 freie IP-Adressen für die Rechneraufnahme zur Verfügung.<br />
Die IP-Adressen für die IPCop-Netze BLAU (WLAN), ORANGE (DMZ) und OpenVPN (Netzmaske jeweils 255.255.255.0)<br />
wer<strong>de</strong>n entsprechend <strong>de</strong>m gewählten IP-Bereich (x aus 16, 32, 48, ..., 224) nach folgen<strong>de</strong>m Schema automatisch vergeben:<br />
IP-Adressen <strong>de</strong>r IPCop-Netze<br />
IPCop-IP<br />
Beginn freier IP-Bereich<br />
En<strong>de</strong> freier IP-Bereich<br />
BLAU (WLAN)<br />
172.16.x.254<br />
172.16.x.1<br />
172.16.x.253<br />
ORANGE (DMZ)<br />
172.16.x+1.254<br />
172.16.x+1.1<br />
172.16.x+1.253<br />
OpenVPN<br />
172.16.x+2.254<br />
172.16.x+2.1<br />
172.16.x+2.253<br />
2. Für die Installation benötigte Daten<br />
Für die im folgen<strong>de</strong>n weitgehend automatisch ablaufen<strong>de</strong> Installation benötigen Sie einige Daten, die während <strong>de</strong>s Installationsprozesses<br />
abgefragt wer<strong>de</strong>n. Dies sind:<br />
• <strong>de</strong>r Name <strong>de</strong>s Servers (z.B. server);<br />
• die Internet-Domäne <strong>de</strong>s Schulnetzes (z.B linuxmuster.local);<br />
• die interne IP-Struktur Ihres Schulnetzes;<br />
Version <strong>3.0</strong><br />
Seite 2 / Kapitel 2
• die Internetzugangsdaten:<br />
• Art <strong>de</strong>s Zugangs (Router o<strong>de</strong>r DSL);<br />
• die externe IP-Adresse <strong>de</strong>s Servers 7<br />
• die Subnetzmaske <strong>de</strong>r externen IP-Adresse 7<br />
• die IP-Adresse <strong>de</strong>s Default-Gateways (Routers) 7<br />
• die IP-Adresse(n) <strong>de</strong>s/<strong>de</strong>r DNS-Forwar<strong>de</strong>rs (Nameserver);<br />
• ggf. die Adresse <strong>de</strong>s Mailservers über <strong>de</strong>n E-Mail empfangen und verschickt wer<strong>de</strong>n soll (z.B.: mail.belwue.<strong>de</strong>);<br />
• ggf. die DSL-Zugangsdaten;<br />
• die Passwörter <strong>de</strong>r administrativen User root, administrator, pgmadmin und wwwadmin;<br />
• ein Passwort für die IPCop-User root und admin.<br />
Wichtiger Hinweis<br />
Vermei<strong>de</strong>n Sie unbedingt in <strong>de</strong>n Passwörtern die Son<strong>de</strong>rzeichen $, &, {, }, !, [, ] und ".<br />
7 Entfaellt bei DSL<br />
Version <strong>3.0</strong><br />
Seite 3 / Kapitel 2
Kapitel 3. Installation mit <strong>de</strong>diziertem IPCop<br />
In diesem Kapitel wird die Installation <strong>de</strong>r <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> auf zwei Servern (Zwei-Server-Lösung) beschrieben. Zuerst wird <strong>de</strong>r<br />
IPCop auf <strong>de</strong>m entsprechen<strong>de</strong>n Rechner installiert, danach <strong>de</strong>r eigentliche Server.<br />
1. Installation <strong>de</strong>s IPCop (<strong>de</strong>diziert)<br />
Wichtiger Hinweis<br />
• Installieren Sie IPCop von <strong>de</strong>r <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> CD, da unser IPCop-Installationsarchiv notwendige Anpassungen<br />
für die <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> enthält.<br />
• Falls Sie bisher schon eine <strong>de</strong>dizierte IPCop-Firewall verwen<strong>de</strong>n, müssen Sie diese von <strong>de</strong>r <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> CD<br />
neu installieren, da sonst die Zusammenarbeit mit <strong>de</strong>r <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> nicht funktioniert.<br />
1.1. Voraussetzungen<br />
• Server mit min<strong>de</strong>stens zwei Netzwerkarten, bis zu vier Netzwerkkarten wer<strong>de</strong>n unterstützt<br />
• Min<strong>de</strong>stens 64 MB RAM<br />
• Festplatte mit min<strong>de</strong>stens 4 GB<br />
• Rechner muss von CDROM booten können.<br />
1.2. Installations-CD booten<br />
• Das BIOS <strong>de</strong>s Rechners muss so eingestellt sein, dass von <strong>de</strong>r CD gebootet wer<strong>de</strong>n kann.<br />
• Nach <strong>de</strong>m Einlegen <strong>de</strong>r Installations-CD <strong>de</strong>n Rechner neu starten o<strong>de</strong>r einschalten.<br />
• Nach kurzer Zeit erscheint <strong>de</strong>r Boot-Prompt mit Hinweisen:<br />
• Am Boot-Prompt können Sie mit <strong>de</strong>r Eingabe von Parametern das Installationsverhalten beeinflussen.<br />
• Mit <strong>de</strong>r F4-Taste erhält man eine Übersicht <strong>de</strong>r Bootvarianten für die IPCop-Installation:<br />
Version <strong>3.0</strong><br />
Seite 4 / Kapitel 3
• Mit <strong>de</strong>r Eingabe von ipcop am Boot-Prompt und ENTER starten Sie die Installation. Bei Hardwareproblemen können die Bootparameter<br />
ipcop1 bis ipcop4 eventuell zum Erfolg führen.<br />
Installieren Sie nun IPCop nach <strong>de</strong>r Anleitung entsprechend Ihren Gegebenheiten. Die <strong>de</strong>utsche Installationsanleitung befin<strong>de</strong>t sich<br />
als PDF-Datei auf <strong>de</strong>r CD im Ordner doc/ipcop.<br />
Wichtiger Hinweis<br />
Beachten Sie die Vorgaben für die Netzwerkkonfiguration im nächsten Abschnitt und die zu vermei<strong>de</strong>n<strong>de</strong>n Son<strong>de</strong>rzeichen<br />
in Passwörtern.<br />
1.3. Netzwerkkonfiguration<br />
Das externe Interface (ROT) konfigurieren Sie nach Anleitung entsprechend Ihrer Internetanbindung.<br />
Bei <strong>de</strong>r Konfiguration <strong>de</strong>r weiteren Schnittstellen müssen Sie folgen<strong>de</strong> Netzwerkadressen verwen<strong>de</strong>n:<br />
• Internes Interface (GRÜN):<br />
IP: 10.16.1.254 (o<strong>de</strong>r 10.32.1.254 ... 10.224.1.254, je nach<strong>de</strong>m welcher IP-Bereich für das interne Netz gewählt<br />
wird)<br />
Netzmaske: 255.240.0.0<br />
• optionales WLAN-Interface (BLAU):<br />
IP: 172.16.16.254 (o<strong>de</strong>r 172.16.32.254 ... 172.16.224.254, je nach<strong>de</strong>m welcher IP-Bereich für das interne Netz<br />
gewählt wird)<br />
Netzmaske: 255.255.255.0<br />
• optionales DMZ-Interface (ORANGE):<br />
IP: 172.16.17.254 (o<strong>de</strong>r 172.16.33.254 ... 172.16.225.254, je nach<strong>de</strong>m welcher IP-Bereich für das interne Netz<br />
gewählt wird)<br />
Netzmaske: 255.255.255.0<br />
1.4. Hinweise nach <strong>de</strong>r Installation<br />
Ist <strong>de</strong>r IPCop-Server installiert und die externe Netzverbindung hergestellt, kann <strong>de</strong>r <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> Server aufgesetzt wer<strong>de</strong>n.<br />
Voraussetzung für eine erfolgreiche Installation ist, dass IPCop und Server Netzwerkverkverbindung über <strong>de</strong>n Switch für das interne<br />
Netz haben.<br />
Beachten Sie, dass Sie das IPCop root-Passwort während <strong>de</strong>r Installation <strong>de</strong>s <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> Servers korrekt eingeben, sonst<br />
scheitert die <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> spezifische Anpassung <strong>de</strong>s IPCop-Servers.<br />
2. Installation <strong>de</strong>s Servers (<strong>de</strong>diziert)<br />
2.1. Voraussetzungen<br />
Min<strong>de</strong>stvoraussetzungen für die Installation:<br />
Version <strong>3.0</strong><br />
Seite 5 / Kapitel 3
• Intelkompatibler Prozessor mit mind. 1 Ghz<br />
• Eine Netzwerkkarte<br />
• Min<strong>de</strong>stens 512 MB RAM und 20 GB freier Festplattenplatz.<br />
2.2. Installations-CD booten<br />
• Das BIOS <strong>de</strong>s Rechners muss so eingestellt sein, dass von <strong>de</strong>r CD gebootet wer<strong>de</strong>n kann.<br />
• Starten Sie nach <strong>de</strong>m Einlegen <strong>de</strong>r Installations-CD <strong>de</strong>n Rechner neu o<strong>de</strong>r schalten Sie ihn ein.<br />
• Nach kurzer Zeit erscheint <strong>de</strong>r Boot-Prompt mit folgen<strong>de</strong>n Hinweisen:<br />
• Am Boot-Prompt können Sie mit <strong>de</strong>r Eingabe von Parametern das Installationsverhalten beeinflussen.<br />
Anmerkung<br />
Nach 30 Sekun<strong>de</strong>n Inaktivität o<strong>de</strong>r mit ENTER ohne Eingabe am Bootprompt wird versucht von <strong>de</strong>r ersten im System<br />
gefun<strong>de</strong>nen Festplatte zu booten. Falls Sie die Installation mit <strong>de</strong>m Parameter auto starten, wird nach <strong>de</strong>m automatischen<br />
Neustart am En<strong>de</strong> <strong>de</strong>r ersten Installationsphase von Festplatte gestartet und die Installation automatisch fortgesetzt.<br />
• Mit <strong>de</strong>r F3-Taste erhalten Sie eine Übersicht <strong>de</strong>r Bootvarianten für die Installation <strong>de</strong>r <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong>:<br />
• Mit <strong>de</strong>n Tasten F5, F6 und F7 erhalten Sie weitere Informationen zu speziellen, hardwarespezifischen Bootparametern.<br />
2.3. Partitionierung<br />
Es stehen zwei Möglichkeiten <strong>de</strong>r Partitionierung für <strong>de</strong>n Server zur Verfügung:<br />
• die automatische Partitionierung, bei <strong>de</strong>r die Festplatte nach einem bestimmten Schema aufgeteilt wird und<br />
Version <strong>3.0</strong><br />
Seite 6 / Kapitel 3
• die Experten-Partitionierung, bei <strong>de</strong>r ein individuelles Schema zur Partitionierung angegeben wer<strong>de</strong>n kann.<br />
2.4. Konfiguration <strong>de</strong>r <strong>paedML</strong> <strong>Linux</strong><br />
Beim ersten Start von <strong>de</strong>r Festplatte wer<strong>de</strong>n zunächst alle für die <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> benötigten Pakete installiert. Das dauert je nach<br />
Hardware unterschiedlich lang. In <strong>de</strong>r Regel benötigt die Installation 20 - 30 Minuten.<br />
Sind alle Pakete installiert, folgen die Abfragen für die Konfiguration <strong>de</strong>r <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong>.<br />
Anmerkung<br />
Die Angaben zu Län<strong>de</strong>rkürzel, Bun<strong>de</strong>sland, Schulort und Schulname wer<strong>de</strong>n für die Serverzertifikate benötigt.<br />
2.4.1. Startseite mit Hinweisen zur Installation<br />
Der Konfigurationsprozess startet mit Hinweisen zu <strong>de</strong>n für die Installation benötigten Daten:<br />
Mit <strong>de</strong>n Pfeiltasten können Sie die Seite nach unten scrollen. Bestätigen Sie die Hinweisseite einfach mit ENTER.<br />
2.4.2. Län<strong>de</strong>rkürzel<br />
Hier ist das internationale Län<strong>de</strong>rkürzel einzugeben. Länge zwei Zeichen, nur Großbuchstaben sind erlaubt:<br />
DE ist die richtige Eingabe für Deutschland.<br />
2.4.3. Bun<strong>de</strong>sland<br />
Die Bezeichnung <strong>de</strong>s Bun<strong>de</strong>slan<strong>de</strong>s, in <strong>de</strong>r sich Ihre Schule befin<strong>de</strong>t (kann abgekürzt wer<strong>de</strong>n):<br />
2.4.4. Schulort<br />
Nun geben Sie <strong>de</strong>n Orts- o<strong>de</strong>r Stadtnamen Ihrer Schule ein:<br />
Version <strong>3.0</strong><br />
Seite 7 / Kapitel 3
2.4.5. Schulname<br />
Eingabe <strong>de</strong>s Schulnamens: Falls <strong>de</strong>r Schulort Teil <strong>de</strong>s Schulnamens ist, müssen Sie ihn hier weglassen:<br />
2.4.6. Samba-Domänen-Name<br />
Wie soll <strong>de</strong>r Name <strong>de</strong>r Samba-Domäne lauten? Nur Buchstaben sind erlaubt:<br />
2.4.7. Servername<br />
Der Hostname <strong>de</strong>s Servers: Es sind nur Buchstaben, Ziffern und das Minuszeichen erlaubt.<br />
2.4.8. Internet-Domäne<br />
Der Internet-Domänen-Name darf nur aus Buchstaben, Ziffern, Minuszeichen und Punkten bestehen:<br />
Anmerkung<br />
Falls Sie <strong>de</strong>n externen Zugriff auf Ihren Server über eine dynamische DNS-Adresse realisieren wollen, können Sie sich<br />
einiges an händischer Nachkonfiguration ersparen, wenn Sie <strong>de</strong>n dynamischen Domänennamen auch für das Intranet verwen<strong>de</strong>n.<br />
Version <strong>3.0</strong><br />
Seite 8 / Kapitel 3
2.4.9. IP-Bereich für das interne Netz<br />
Wählen Sie <strong>de</strong>n IP-Bereich für das interne Netz aus. Mit <strong>de</strong>n Pfeiltasten können Sie in <strong>de</strong>r Liste navigieren. Bestätigen Sie Ihre Auswahl<br />
mit <strong>de</strong>r ENTER-Taste:<br />
2.4.10. Firewall<br />
Sie installieren die Zwei-Server-Variante. Wählen Sie <strong>de</strong>swegen mit <strong>de</strong>n Pfeiltasten <strong>de</strong>dicated aus.<br />
Wichtiger Hinweis<br />
Beachten Sie, dass <strong>de</strong>r IPCop-Server bereits installiert und in Betrieb sein muss.<br />
2.4.11. Externe Mailanbindung<br />
Falls Sie <strong>de</strong>n Postfix-Mailserver <strong>de</strong>r <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> nutzen wollen, müssen Sie hier die Internetadresse <strong>de</strong>s Mailservers Ihres<br />
Provi<strong>de</strong>rs eingeben. Wollen Sie diesen Dienst nicht nutzen, lassen Sie das Feld leer:<br />
2.4.12. Passwörter<br />
Einfache Passwörter sind ein Sicherheitsrisiko. Wählen Sie <strong>de</strong>shalb für Ihre Passwörter eine Kombination aus Groß- und Kleinbuchstaben,<br />
Son<strong>de</strong>rzeichen (keine Leerzeichen!) und Ziffern. Beachten Sie die außer<strong>de</strong>m die zu vermei<strong>de</strong>n<strong>de</strong>n Son<strong>de</strong>rzeichen in Passwörtern.<br />
In <strong>de</strong>n folgen<strong>de</strong>n zehn Dialogfenstern sind die Passwörter für die Systembenutzer root, administrator, pgmadmin, wwwadmin<br />
und für die administrativen IPCop-User root und admin einzugeben.<br />
Wichtiger Hinweis<br />
Sie müssen hier das root-Passwort eingeben, das Sie bei <strong>de</strong>r Installation <strong>de</strong>s IPCop vergeben haben.<br />
Nach <strong>de</strong>r Eingabe eines Passwortes wer<strong>de</strong>n Sie (um Tippfehler zu vermei<strong>de</strong>n) aufgefor<strong>de</strong>rt, das Passwort zur Bestätigung noch einmal<br />
einzugeben.<br />
Version <strong>3.0</strong><br />
Seite 9 / Kapitel 3
Der User administrator entspricht <strong>de</strong>m früheren admin. Er hat Administrationsrechte auf <strong>de</strong>r Arbeitsstation, darf Programme<br />
installieren und Drucker einrichten. Er ist Mitglied <strong>de</strong>r Gruppen domadmins, administrators und printoperators.<br />
wwwadmin ist <strong>de</strong>r Admininstrator-Account für die Webdienste Hor<strong>de</strong>3/Imp, Moodle und OpenGroupware. Es ist kein Windows-<br />
Account.<br />
pgmadmin ist <strong>de</strong>r Windows-Programm-Administrator. Er ist berechtigt auf <strong>de</strong>m Windows-Client Programme serverbasiert zu<br />
installieren und ist Mitglied <strong>de</strong>r Gruppe domadmins.<br />
2.4.13. Zuordnung <strong>de</strong>r Netzwerkkarten bei <strong>de</strong>dizierter Firewall<br />
Wird nur eine Netzwerkkarte im System gefun<strong>de</strong>n, wird diese automatisch <strong>de</strong>m internen Interface zugeordnet. Navigieren Sie auf<br />
<strong>de</strong>n Menüpunkt Fertig und starten Sie so die Serverkonfiguration:<br />
Bei mehreren Netzwerkkarten erhalten Sie eine Liste <strong>de</strong>r auf Ihrem Server erkannten Karten. Es wer<strong>de</strong>n Hersteller, Typ und MAC-<br />
Adresse aufgelistet. Wählen Sie nun mit <strong>de</strong>n Pfeiltasten die Netzwerkkarte aus, die über <strong>de</strong>n Switch mit <strong>de</strong>m IPCop-Server verbun<strong>de</strong>n<br />
ist. Bestätigen Sie die Auswahl mit ENTER.<br />
Version <strong>3.0</strong><br />
Seite 10 / Kapitel 3
Sie können die Zuordnung durch Auswahl einer an<strong>de</strong>ren Netzwerkkarte einfach än<strong>de</strong>rn. Ist die Zuordnung korrekt, navigieren Sie<br />
mit <strong>de</strong>n Pfeiltasten auf <strong>de</strong>n Menüpunkt Fertig. Starten Sie die Serverkonfiguration mit ENTER:<br />
2.4.14. Installation abbrechen<br />
Sollten Sie während <strong>de</strong>s Konfigurationsdialogs Fehleingaben gemacht haben, können Sie die Installation im Netzwerkkarten-Menü<br />
abbrechen. Dazu wählen Sie einfach <strong>de</strong>n entsprechen<strong>de</strong>n Menüpunkt mit <strong>de</strong>n Pfeiltasten aus und betätigen die ENTER-Taste. Es<br />
erscheint <strong>de</strong>r Login-Prompt <strong>de</strong>r Serverkonsole, an <strong>de</strong>m Sie sich als User root einloggen können. Mit <strong>de</strong>m Befehl<br />
# linuxmuster-setup --first<br />
können Sie die Installation erneut starten und eventuelle Fehleingaben korrigieren.<br />
2.4.15. Installation abschliessen<br />
Mit Auswahl <strong>de</strong>s Menüpunkts Fertig im Netzwerkkarten-Menü sind alle Eingaben im Konfigurationsdialog abgeschlossen. Es startet<br />
die letzte Phase <strong>de</strong>r Installation. Die Serverkonfiguration wird angepasst, ssl-Zertifikate erstellt, Netzwerk und Datenbanken eingerichtet<br />
und schließlich alle Serverdienste neu gestartet.<br />
Je nach Rechnerleistung und Installationsvariante kann diese Phase noch einmal 15 bis 30 Minuten dauern.<br />
Die Ausgaben <strong>de</strong>r Installationsroutine wer<strong>de</strong>n nach /var/log/linuxmuster/setup.log geloggt.<br />
Nach Abschluss <strong>de</strong>r Installation begrüßt Sie <strong>de</strong>r Login-Prompt <strong>de</strong>r <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong>.<br />
Version <strong>3.0</strong><br />
Seite 11 / Kapitel 3
Kapitel 4. Installation mit integriertem IPCop<br />
1. Voraussetzungen<br />
Min<strong>de</strong>stvoraussetzungen für die Installation:<br />
• Intelkompatibler Prozessor mit mind. 1 Ghz;<br />
• Min<strong>de</strong>stens zwei Netzwerkarten, bis zu vier Netzwerkkarten wer<strong>de</strong>n unterstützt;<br />
• Min<strong>de</strong>stens 512 MB RAM und 20 GB freier Festplattenplatz.<br />
2. Installations-CD booten<br />
• Das BIOS <strong>de</strong>s Rechners muss so eingestellt sein, dass von <strong>de</strong>r CD gebootet wer<strong>de</strong>n kann.<br />
• Nach <strong>de</strong>m Einlegen <strong>de</strong>r Installations-CD starten Sie <strong>de</strong>n Rechner neu starten o<strong>de</strong>r schalten Sie <strong>de</strong>n Rechner ein.<br />
• Nach kurzer Zeit erscheint <strong>de</strong>r Boot-Prompt mit folgen<strong>de</strong>n Hinweisen:<br />
• Am Bootprompt kann mit <strong>de</strong>r Eingabe von Parametern das Installationsverhalten beeinflusst wer<strong>de</strong>n.<br />
Anmerkung<br />
Nach 30 Sekun<strong>de</strong>n Inaktivität o<strong>de</strong>r mit ENTER ohne Eingabe am Bootprompt wird versucht von <strong>de</strong>r ersten im System<br />
gefun<strong>de</strong>nen Festplatte zu booten. Falls Sie die Installation mit <strong>de</strong>m Parameter auto starten, wird nach <strong>de</strong>m automatischen<br />
Neustart am En<strong>de</strong> <strong>de</strong>r ersten Installationsphase von Festplatte gestartet und die Installation automatisch fortgesetzt.<br />
• Mit <strong>de</strong>r F3-Taste erhalten Sie eine Übersicht <strong>de</strong>r Bootvarianten für die Installation <strong>de</strong>r <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong>:<br />
Version <strong>3.0</strong><br />
Seite 12 / Kapitel 4
• Mit <strong>de</strong>n Tasten F5, F6 und F7 erhalten Sie weitere Informationen zu speziellen, hardwarespezifischen Bootparametern.<br />
3. Partitionierung<br />
Es stehen zwei Möglichkeiten <strong>de</strong>r Partitionierung für <strong>de</strong>n Server zur Verfügung:<br />
• die automatische Partitionierung, bei <strong>de</strong>r die Festplatte nach einem bestimmten Schema aufgeteilt wird, und<br />
• die Experten Partitionierung, bei <strong>de</strong>r ein individuelles Schema zur Partitionierung angegeben wer<strong>de</strong>n kann.<br />
4. Konfiguration <strong>de</strong>r <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong><br />
Beim ersten Start von <strong>de</strong>r Festplatte wer<strong>de</strong>n zunächst alle für die <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> benötigten Pakete installiert. Das dauert je nach<br />
Hardware unterschiedlich lang. In <strong>de</strong>r Regel benötigt die Installation 20 - 30 Minuten.<br />
Sind alle Pakete installiert, folgen die Abfragen für die Konfiguration <strong>de</strong>r <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong>.<br />
Anmerkung<br />
Die Angaben zu Län<strong>de</strong>rkürzel, Bun<strong>de</strong>sland, Schulort und Schulname wer<strong>de</strong>n für die Serverzertifikate benötigt.<br />
4.1. Startseite mit Hinweisen zur Installation<br />
Der Konfigurationsprozess startet mit Hinweisen zu <strong>de</strong>n für die Installation benötigten Daten:<br />
Mit <strong>de</strong>n Pfeiltasten können Sie die Seite nach unten scrollen. Bestätigen Sie die Hinweisseite einfach mit ENTER.<br />
4.2. Län<strong>de</strong>rkürzel<br />
Hier ist das internationale Län<strong>de</strong>rkürzel einzugeben. Länge zwei Zeichen, nur Großbuchstaben sind erlaubt:<br />
DE ist die richtige Eingabe für Deutschland.<br />
4.3. Bun<strong>de</strong>sland<br />
Die Bezeichnung <strong>de</strong>s Bun<strong>de</strong>slan<strong>de</strong>s, in <strong>de</strong>r sich Ihre Schule befin<strong>de</strong>t, kann abgekürzt wer<strong>de</strong>n:<br />
Version <strong>3.0</strong><br />
Seite 13 / Kapitel 4
4.4. Schulort<br />
Nun geben Sie <strong>de</strong>n Orts- o<strong>de</strong>r Stadtnamen Ihrer Schule ein:<br />
4.5. Schulname<br />
Eingabe <strong>de</strong>s Schulnamens: Falls <strong>de</strong>r Schulort Teil <strong>de</strong>s Schulnamens ist, müssen Sie ihn hier weglassen:<br />
4.6. Samba-Domänen-Name<br />
Wie soll <strong>de</strong>r Name <strong>de</strong>r Samba-Domäne lauten? Nur Buchstaben sind erlaubt:<br />
4.7. Servername<br />
Der Hostname <strong>de</strong>s Servers: Es sind nur Buchstaben, Ziffern und das Minuszeichen erlaubt.<br />
4.8. Internet-Domäne<br />
Der Internet-Domänen-Name darf nur aus Buchstaben, Ziffern, Minuszeichen und Punkten bestehen:<br />
Version <strong>3.0</strong><br />
Seite 14 / Kapitel 4
Anmerkung<br />
Falls Sie <strong>de</strong>n externen Zugriff auf Ihren Server über eine dynamische DNS-Adresse realisieren wollen, können Sie sich<br />
einiges an händischer Nachkonfiguration ersparen, wenn Sie <strong>de</strong>n dynamischen Domänennamen auch für das Intranet verwen<strong>de</strong>n.<br />
4.9. IP-Bereich für das interne Netz<br />
Wählen Sie <strong>de</strong>n IP-Bereich für das interne Netz aus. Mit <strong>de</strong>n Pfeiltasten können Sie in <strong>de</strong>r Liste navigieren. Bestätigen Sie Ihre Auswahl<br />
mit <strong>de</strong>r ENTER-Taste:<br />
4.10. Firewall<br />
Bie <strong>de</strong>r Ein-Server-Variante installieren Sie <strong>de</strong>n Server mit integrierterem IPCop (siehe Vorbereitungen)?<br />
Wählen Sie <strong>de</strong>swegen mit <strong>de</strong>n Pfeiltasten "integrated" aus und bestätigen Sie mit OK.<br />
4.11. Externe Internetanbindung<br />
Wie ist Ihr Server an das Internet angebun<strong>de</strong>n? Drei Verbindungsvarianten stehen zur Auswahl:<br />
• static: Statische IP-Adresse <strong>de</strong>s Servers, <strong>de</strong>r Normalfall, wenn <strong>de</strong>r Server über einen Router an das Internet angebun<strong>de</strong>n wird. Im<br />
nächsten Schritt müssen Sie dann die Netzwerkadressen für die externe Anbindung zur Eingabe bereit haben.<br />
• dhcp: Wenn Ihr Server seine externe IP-Adresse von einem DHCP-Server (z.B. einem entprechend konfigurierten Router) erhält,<br />
wählen Sie diese Option. In diesem Fall müssen keine weiteren Angaben zur externen Netzwerkverbindung gemacht wer<strong>de</strong>n.<br />
• pppoe: Erfolgt die externe Anbindung direkt über ein DSL-Mo<strong>de</strong>m, ist dies die Option <strong>de</strong>r Wahl. In <strong>de</strong>r Folge müssen Sie die<br />
DSL-Verbindungsdaten Ihres Provi<strong>de</strong>rs eingeben.<br />
Version <strong>3.0</strong><br />
Seite 15 / Kapitel 4
4.11.1. Statische IP-Adresse<br />
Zunächst geben Sie die externe IP-Adresse <strong>de</strong>s Servers ein:<br />
Im nächsten Schritt geben Sie die Netzmaske für die externe Verbindung:<br />
Jetzt folgt die Eingabe <strong>de</strong>r IP-Adresse <strong>de</strong>s Gateways bzw. Routers:<br />
Die Eingabe <strong>de</strong>r IP-Adressen <strong>de</strong>r Nameserver schließt die Konfiguration <strong>de</strong>r externen Netzwerkverbindung ab. Es können bis zu zwei<br />
Adressen, getrennt durch ein Leerzeichen, eingegeben wer<strong>de</strong>n:<br />
4.11.2. DSL<br />
In <strong>de</strong>n folgen<strong>de</strong>n bei<strong>de</strong>n Dialogfenstern müssen Sie Ihre DSL-Zugangsdaten eingeben. Zuerst geben Sie die Benutzerkennung an, die<br />
zum Beispiel bei T-Online so aufgebaut ist:<br />
Anschlusskennung+T-Onlinenummer+#+Suffix+@t-online.<strong>de</strong><br />
Nun müssen Sie nur noch Ihr DSL-Kennwort eingeben. Damit ist die Konfiguration <strong>de</strong>r externen Netzwerkverbindung abgeschlossen.<br />
Version <strong>3.0</strong><br />
Seite 16 / Kapitel 4
4.12. Externe Mailanbindung<br />
Falls Sie <strong>de</strong>n Postfix-Mailserver <strong>de</strong>r <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> nutzen wollen, müssen Sie hier die Internetadresse <strong>de</strong>s Mailservers Ihres<br />
Provi<strong>de</strong>rs eingeben. Wollen Sie diesen Dienst nicht nutzen, lassen Sie das Feld leer:<br />
4.13. Passwörter<br />
Einfache Passwörter sind ein Sicherheitsrisiko. Wählen Sie <strong>de</strong>shalb Ihre Passwörter eine Kombination aus Groß- und Kleinbuchstaben,<br />
Son<strong>de</strong>rzeichen (keine Leerzeichen!) und Ziffern. Beachten Sie außer<strong>de</strong>m die zu vermei<strong>de</strong>n<strong>de</strong>n Son<strong>de</strong>rzeichen in Passwörtern.<br />
In <strong>de</strong>n folgen<strong>de</strong>n zehn Dialogfenstern sind die Passwörter für die Systembenutzer root, administrator, pgmadmin, wwwadmin<br />
und für die administrativen IPCop-User root und admin einzugeben. Nach <strong>de</strong>r Eingabe <strong>de</strong>s Passworts wer<strong>de</strong>n Sie, um Tippfehler<br />
zu vermei<strong>de</strong>n, aufgefor<strong>de</strong>rt, das Passwort zur Bestätigung noch einmal einzugeben.<br />
Der User administrator entspricht <strong>de</strong>m früheren admin. Er hat Administrationsrechte auf <strong>de</strong>n Arbeitsstationen, darf Programme<br />
installieren und Drucker einrichten. Er ist Mitglied <strong>de</strong>r Gruppen domadmins, administrators und printoperators.<br />
wwwadmin ist <strong>de</strong>r Admininstrator-Account für die Webdienste Hor<strong>de</strong>3/Imp, Moodle und OpenGroupware. Es ist kein Windows-<br />
Account.<br />
pgmadmin ist <strong>de</strong>r Windows-Programm-Administrator. Er ist berechtigt auf <strong>de</strong>m Windows-Client Programme serverbasiert zu<br />
installieren. Er ist Mitglied <strong>de</strong>r Gruppe domadmins.<br />
Wichtiger Hinweis<br />
Das Passwort gilt gleichermaßen für die IPCop-User root und admin (Webinterface).<br />
4.14. Zuordnung <strong>de</strong>r Netzwerkkarten bei integrierter Firewall<br />
In diesem letzten Konfigurationsschritt müssen Sie die Netzwerkkarten Ihres Servers <strong>de</strong>n Netzwerkinterfaces extern, intern und<br />
gegebenenfalls wlan und dmz zuordnen. Es müssen min<strong>de</strong>stens ein externes und internes Interface <strong>de</strong>finiert sein, wlan und dmz sind<br />
optional.<br />
Version <strong>3.0</strong><br />
Seite 17 / Kapitel 4
Im Folgen<strong>de</strong>n wird an einem Beispiel die Vorgehensweise aufgezeigt. Die Darstellung entspricht möglicherweise nicht <strong>de</strong>n Gegebenheiten<br />
auf Ihrem System. Verifizieren Sie, welche Netzwerkkarte Ihres Servers mit welchem Interface verbun<strong>de</strong>n wer<strong>de</strong>n muss.<br />
Das Beispiel zeigt ein System mit vier i<strong>de</strong>ntischen Netzwerkkarten. Dadurch kann man sie nur an Hand <strong>de</strong>r MAC-Adresse unterschei<strong>de</strong>n.<br />
Im Beispiel muss folgen<strong>de</strong> Zuordnung vorgenommen wer<strong>de</strong>n:<br />
• Netzwerkkarte 0 --> wlan<br />
• Netzwerkkarte 1 --> intern<br />
• Netzwerkkarte 2 --> extern<br />
• Netzwerkkarte 3 --> dmz<br />
Daraus ergibt sich folgen<strong>de</strong> Vorgehensweise:<br />
Navigieren Sie im Netzwerkkarten-Menü mit <strong>de</strong>r PFEIL-NACH-OBEN- bzw. PFEIL-NACH-UNTEN-Taste auf die zuzuordnen<strong>de</strong><br />
Netzwerkkarte 0:<br />
Betätigen Sie mit ENTER. Sie gelangen in das Menü für die Auswahl <strong>de</strong>s Interfaces. Navigieren Sie wie<strong>de</strong>rum mit <strong>de</strong>r PFEIL-NACH-<br />
OBEN- bzw. PFEIL-NACH-UNTEN-Taste auf das auszuwählen<strong>de</strong> Interface. In diesem Fall auf wlan:<br />
Bestätigen Sie die Auswahl mit ENTER. Sie gelangen zurück ins Netzwerkkarten-Menü und sehen nun <strong>de</strong>n eben ausgewählten<br />
Interfacetyp wlan hinter <strong>de</strong>r MAC-Adresse von Netzwerkkarte 0:<br />
Version <strong>3.0</strong><br />
Seite 18 / Kapitel 4
Navigieren Sie im nächsten Schritt auf Netzwerkkarte 1 und betätigen Sie mit ENTER. Wie<strong>de</strong>r im Menü für die Auswahl <strong>de</strong>s Interfaces<br />
navigieren Sie jetzt auf intern:<br />
Nach <strong>de</strong>r Übernahme <strong>de</strong>r Auswahl mit ENTER sehen Sie im Netzwerkkarten-Menü, dass hinter die MAC-Adresse von Netzwerkkarte<br />
1 <strong>de</strong>r Interfacetyp intern eingetragen wur<strong>de</strong>:<br />
Dieselbe Vorgehensweise für Netzwerkkarte 2, die nun <strong>de</strong>m Interface extern zugeordnet wird:<br />
Schließlich muss Netzwerkkarte 3 noch <strong>de</strong>m Interface dmz zugeordnet wer<strong>de</strong>n:<br />
Version <strong>3.0</strong><br />
Seite 19 / Kapitel 4
Für die letzte Netzwerkkarte bleibt jetzt nur noch das Interface dmz übrig:<br />
Falsche Zuordnungen können Sie über das Menü je<strong>de</strong>rzeit än<strong>de</strong>rn, in<strong>de</strong>m Sie über <strong>de</strong>n Menüpunkt keine Zuordnung die Zuordnung<br />
aufheben und danach neu auswählen.<br />
Sie schließen die Netzwerkkarten-Zuordnung ab, in<strong>de</strong>m Sie auf Fertig navigieren und die ENTER-Taste betätigen:<br />
Danach wird die Serverkonfiguration gestartet und entsprechend Ihren Angaben durchgeführt.<br />
4.15. Installation abbrechen<br />
Sollten Sie während <strong>de</strong>s Konfigurationsdialogs Fehleingaben gemacht haben, können Sie die Installation im Netzwerkkarten-Menü<br />
abbrechen. Dazu wählen Sie einfach <strong>de</strong>n entsprechen<strong>de</strong>n Menüpunkt mit <strong>de</strong>n Pfeiltasten aus und betätigen die ENTER-Taste. Es<br />
erscheint <strong>de</strong>r Login-Prompt <strong>de</strong>r Serverkonsole, an <strong>de</strong>m Sie sich als User root einloggen können. Mit <strong>de</strong>m Befehl<br />
# linuxmuster-setup --first<br />
können Sie die Installation erneut starten und eventuelle Fehleingaben korrigieren.<br />
Version <strong>3.0</strong><br />
Seite 20 / Kapitel 4
4.16. Installation abschließen<br />
Mit Auswahl <strong>de</strong>s Menüpunkts Fertig im Netzwerkkarten-Menü sind alle Eingaben im Konfigurationsdialog abgeschlossen. Es startet<br />
die letzte Phase <strong>de</strong>r Installation. Die Serverkonfiguration wird angepasst, ssl-Zertifikate erstellt, Netzwerk und Datenbanken eingerichtet<br />
und schließlich alle Serverdienste neu gestartet.<br />
Je nach Rechnerleistung und Installationsvariante kann diese Phase noch einmal 15 bis 30 Minuten dauern.<br />
Die Ausgaben <strong>de</strong>r Installationsroutine wer<strong>de</strong>n nach /var/log/linuxmuster/setup.log geloggt.<br />
Nach Abschluss <strong>de</strong>r Installation begrüßt Sie <strong>de</strong>r Login-Prompt <strong>de</strong>r <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong>.<br />
Version <strong>3.0</strong><br />
Seite 21 / Kapitel 4
Kapitel 5. Wartung <strong>de</strong>r <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong><br />
1. <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> einrichten<br />
1.1. Online-Paket-Quellen konfigurieren und Sicherheitsupdates einspielen<br />
Wichtiger Hinweis<br />
Führen Sie gleich nach <strong>de</strong>r Installation eine Aktualisierung durch, um Updates, die nach <strong>de</strong>r Veröffentlichung <strong>de</strong>r Installations-CD<br />
erschienen sind, einzuspielen! Sie bringen so Ihr System wie<strong>de</strong>r auf <strong>de</strong>n aktuellen Stand.<br />
Das Debian-Paketinstallations-Tool apt ist nach <strong>de</strong>r Installation so konfiguriert, dass es auf <strong>de</strong>r Installations-CD nach Software-<br />
Paketen sucht. Um die Online-Paketliste zu aktivieren, gehen Sie folgen<strong>de</strong>rmaßen vor:<br />
• Loggen Sie sich als User root auf einer Serverkonsole ein.<br />
• Wechseln Sie ins apt-Konfigurationsverzeichnis:<br />
# cd /etc/apt<br />
• Kopieren Sie die Online-Konfigurationsdatei:<br />
# cp sources.list.online sources.list<br />
• Aktualisieren Sie die Paketlisten:<br />
# aptitu<strong>de</strong> update<br />
Nun sind Sie in <strong>de</strong>r Lage Aktualisierungen und weitere Software-Pakete über das Internet zu installieren.<br />
Jetzt sollten Sie zum Beispiel die seit <strong>de</strong>r Erstellung <strong>de</strong>r Installations-CD aufgelaufenen Sicherheitsupdates installieren:<br />
• Nach<strong>de</strong>m Sie die Paketliste aktualisiert haben (siehe oben), geben Sie ein:<br />
# aptitu<strong>de</strong> dist-upgra<strong>de</strong><br />
• Es wird aufgelistet, welche Pakete aktualisiert wer<strong>de</strong>n. Bestätigen Sie die Aktualisierung mit <strong>de</strong>r Eingabe von J:<br />
• Die zu aktualisieren<strong>de</strong>n Software-Pakete wer<strong>de</strong>n installiert und Ihr System ist wie<strong>de</strong>r auf <strong>de</strong>m neuesten Stand.<br />
1.2. Firewall-Administrationsrechner einrichten<br />
Nach <strong>de</strong>r Installation ist die IPCop-Firewall so eingerichtet, dass Sie, auch wenn Sie sich durch Fehlkonfiguration vom Zugriff auf<br />
das Webinterface ausgesperrt haben, vom Server aus darauf zugreifen können. Es ist jedoch sinnvoll, diesen Notzugriff für einen<br />
Clientrechner zu konfigurieren, von <strong>de</strong>m aus Sie in <strong>de</strong>r Regel administrative Aufgaben erledigen.<br />
Für diesen Konfigurationsschritt muss <strong>de</strong>r Rechner Netzwerkverbindung zum IPCop haben, da mit Hilfe eines Internetbrowsers auf<br />
die Konfigurationsoberfläche <strong>de</strong>s IPCop zugegriffen wer<strong>de</strong>n muss.<br />
Steht im Moment kein entsprechen<strong>de</strong>r Client zur Verfügung, können Sie diesen Konfigurationsschritt auch noch durchführen, wenn<br />
Sie einen Client ins Netzwerk integriert haben.<br />
Gehen Sie so vor:<br />
• Ermitteln Sie die MAC-Adresse eines Clients, <strong>de</strong>r in <strong>de</strong>r Regel Ihr Administrationsrechner ist.<br />
• Öffnen Sie mit einem Browser die URL https://ipcop:445 und bestätigen Sie das IPCop-Server-Zertifikat.<br />
• Navigieren Sie auf die Seite "Firewall -> Block outgoing Traffic" und loggen sich als User admin ein.<br />
Version <strong>3.0</strong><br />
Seite 22 / Kapitel 5
• Betätigen Sie die Schaltfläche Einstellungen.<br />
• Schalten Sie BOT aus, in<strong>de</strong>m Sie auf die entsprechen<strong>de</strong> Schaltfläche klicken.<br />
• Nach<strong>de</strong>m BOT ausgeschaltet ist, klicken Sie im nächsten Schritt auf Bearbeiten.<br />
• Geben Sie im Eingabefeld Admin MAC: die zuvor ermittelte MAC-Adresse <strong>de</strong>s Administrationsrechners ein. Anschließend klicken<br />
Sie auf Speichern.<br />
• Schalten Sie nun BOT wie<strong>de</strong>r ein, in<strong>de</strong>m Sie im Konfigurationsbereich BlockOutTraffic Konfiguration: die entsprechen<strong>de</strong><br />
Schaltfläche betätigen.<br />
• Jetzt können Sie, auch wenn Sie durch Konfigurationsfehler <strong>de</strong>n Zugriff auf IPCop blockiert haben, von <strong>de</strong>m Client mit <strong>de</strong>r eingetragenen<br />
MAC-Adresse aus, die Administrationsseite immer aufrufen.<br />
1.3. Nachträgliche Konfigurationsän<strong>de</strong>rung mit linuxmuster-setup<br />
Wichtiger Hinweis<br />
Erstellen Sie ein Backup bevor Sie Konfigurationsän<strong>de</strong>rungen mit linuxmuster-setup durchführen!<br />
Version <strong>3.0</strong><br />
Seite 23 / Kapitel 5
Nachträgliche Än<strong>de</strong>rungen an <strong>de</strong>n bei <strong>de</strong>r Installation eingegebenen Konfigurationsdaten können Sie mit Hilfe <strong>de</strong>s Skriptes linuxmustersetup<br />
veranlassen. Sie durchlaufen dann noch einmal die Abfragen <strong>de</strong>s Installationsvorgangs 8 . Der Befehlsaufruf<br />
# linuxmuster-setup --modify<br />
fragt alle Konfigurationsdaten außer <strong>de</strong>n Passwörtern ab, wobei die alten Werte angezeigt und verän<strong>de</strong>rt wer<strong>de</strong>n können. So können<br />
Sie zum Beispiel auch die Netzwerkeinstellungen än<strong>de</strong>rn 9 . Beachten Sie, dass bei Än<strong>de</strong>rung <strong>de</strong>s Server- und/o<strong>de</strong>r Domainnamens<br />
neue Zertifikate erstellt und die Alten daher ungültig wer<strong>de</strong>n. Falls Ihre Benutzer OpenVPN-Zertifikate erstellt haben, müssen diese<br />
erneuert wer<strong>de</strong>n.<br />
Mit <strong>de</strong>r Befehlsvariante<br />
linuxmuster-setup --first<br />
veranlassen Sie eine Neukonfiguration <strong>de</strong>s Systems. Alle bisher angelegten Benutzerkonten und importierten Arbeitsstationen wer<strong>de</strong>n<br />
gelöscht, die Passwörter müssen neu eingegeben wer<strong>de</strong>n, alle Zertifikate wer<strong>de</strong>n neu erstellt und IPCop wird in <strong>de</strong>n Auslieferungszustand<br />
zurückgesetzt. Rembo/mySHN-Images und Gruppenkonfigurationen bleiben jedoch erhalten.<br />
1.4. Rembo/mySHN-Keys bereitstellen<br />
Die Rembo-Schlüsseldatei muss nach /usr/share/rembo/rembo.key, die mySHN-Schlüsseldatei nach /var/lib/myshn/myshn-v40.key<br />
kopiert wer<strong>de</strong>n.<br />
Anschließend muss <strong>de</strong>r Rembo-Dienst neu gestartet wer<strong>de</strong>n:<br />
# /etc/init.d/rembo restart<br />
1.5. Eigene Intranetseiten einrichten<br />
In <strong>de</strong>r Standar<strong>de</strong>instellung sucht <strong>de</strong>r Apache-Webserver seine In<strong>de</strong>x-Seite auf <strong>de</strong>m Serverdateisystem unter /var/www/apache2-<br />
<strong>de</strong>fault. In diesem Verzeichnis liegt als Datei in<strong>de</strong>x.html die In<strong>de</strong>x-Seite <strong>de</strong>r <strong>paedML</strong>. Wollen Sie eine eigene In<strong>de</strong>x-Seite<br />
einrichten, gehen Sie so vor:<br />
1. Erstellen Sie zunächst unter /var/www ein neues Verzeichnis (zum Beispiel Schule), in <strong>de</strong>m Sie Ihre In<strong>de</strong>x-Datei und gegebenenfalls<br />
weitere Dateien ablegen. Von einem Client aus können Sie das zum Beispiel mit WinSCP o<strong>de</strong>r Konqueror (<strong>Linux</strong>) erledigen.<br />
Damit die neue In<strong>de</strong>x-Seite unter <strong>de</strong>r URL http:// angezeigt wird, muss jedoch noch die Konfiguration <strong>de</strong>s<br />
Webservers angepasst wer<strong>de</strong>n.<br />
2. Öffnen Sie auf <strong>de</strong>m Server die Datei /etc/apache2/sites-available/<strong>de</strong>fault in einem Editor Ihrer Wahl und<br />
än<strong>de</strong>rn Sie die Zeile<br />
RedirectMatch ^/$ /apache2-<strong>de</strong>fault/<br />
in<br />
RedirectMatch ^/$ /Schule/<br />
3. Damit die Konfigurationsän<strong>de</strong>rung <strong>de</strong>m Webserver bekannt wird, muss <strong>de</strong>r Dienst neu gestartet wer<strong>de</strong>n:<br />
# /etc/init.d/apache2 restart<br />
4. Nun kann Ihre Seite unter <strong>de</strong>r URL http:// aufgerufen wer<strong>de</strong>n.<br />
1.6. Samba-Server/Netlogon anpassen<br />
Die zentrale Konfigurationsdatei für <strong>de</strong>n Samba-Server ist /etc/samba/smb.conf. Da diese Datei bei je<strong>de</strong>r Aktualisierung <strong>de</strong>r<br />
<strong>paedML</strong>-Software-Pakete überschrieben wird, lassen sich eigene Anpassungen nicht dauerhaft darin einpflegen.<br />
Für eigene Samba-Konfigurationsanpassungen haben wir daher zwei Dateien vorgesehen, die vom Samba-Server zusätzlich eingelesen<br />
wer<strong>de</strong>n und die Paketaktualisierungen unbescha<strong>de</strong>t überstehen:<br />
1. /etc/samba/smb.conf.global: Hier können zusätzliche globale Parameter gesetzt o<strong>de</strong>r Werte bereits in smb.conf<br />
<strong>de</strong>finierter Parameter geän<strong>de</strong>rt wer<strong>de</strong>n. Beispiel:<br />
# custom global options<br />
case sensitive = No<br />
8 siehe Abschnitte Konfiguration <strong>de</strong>r <strong>paedML</strong> <strong>Linux</strong> (<strong>de</strong>diziert) beziehungsweise Konfiguration <strong>de</strong>r <strong>paedML</strong> <strong>Linux</strong> (integriert)<br />
9 Wenn Sie IPCop in <strong>de</strong>r <strong>de</strong>dizierten Variante installiert haben, müssen Sie die Netzwerkeinstellungen auf <strong>de</strong>m IPCop mit <strong>de</strong>m Befehl setup anpassen.<br />
Version <strong>3.0</strong><br />
Seite 24 / Kapitel 5
2. /etc/samba/smb.conf.shares: Hier können sie zusätzlich eigene Freigaben <strong>de</strong>finieren o<strong>de</strong>r Parameter von bereits in<br />
smb.conf <strong>de</strong>finierten Freigaben än<strong>de</strong>rn. Beispiel:<br />
# custom share <strong>de</strong>finitions<br />
[pgm]<br />
writeable = Yes<br />
write list =<br />
readonly = No<br />
guest ok = No<br />
case sensitive = No<br />
[spgm]<br />
path = /home/samba/sprogs<br />
comment = Schueler Programme<br />
create mo<strong>de</strong> = 664<br />
directory mo<strong>de</strong> = 775<br />
writeable = yes<br />
Damit zusätzlich eingerichtete Freigaben bei <strong>de</strong>r Benutzeranmeldung an Windows-Clients auch mit einem Laufwerksbuchstaben<br />
verbun<strong>de</strong>n wer<strong>de</strong>n, muss zusätzlich noch das Netlogon-Skript /home/samba/netlogon/login.bat angepasst wer<strong>de</strong>n (im<br />
Beispiel wird zusätzlich die Freigabe spgm mit Laufwerk S: verbun<strong>de</strong>n):<br />
:winnt<br />
call \\server\netlogon\logon.bat H: %USERNAME% K: pgm R: cdrom S: spgm<br />
1.7. Moodle einrichten<br />
Moodle 10 ist so vorkonfiguriert, dass <strong>de</strong>r LDAP-Dienst <strong>de</strong>s Musterlösungsservers zur Authentifizierung verwen<strong>de</strong>t wird. Das<br />
Anmel<strong>de</strong>n an Moodle geschieht über die URL http:///moodle. Damit das Benutzerpasswort nicht unverschlüsselt übertragen<br />
wird, wird <strong>de</strong>r Anmel<strong>de</strong>vorgang temporär über das https-Protokoll geleitet.<br />
Der Benutzer, <strong>de</strong>r in Moodle Administrationsrechte besitzt, heißt wwwadmin. Das Passwort dieses Benutzers haben Sie während <strong>de</strong>r<br />
Serverinstallation vergeben.<br />
Wollen Sie Moodle per Zugriff von außen nutzen und hat Ihr Server extern einen an<strong>de</strong>ren Domänennamen als intern, so müssen Sie<br />
<strong>de</strong>n externen Servernamen in die Moodlekonfiguration eintragen. Öffnen Sie dazu als root auf einer Serverkonsole die Konfigurationsdatei<br />
/etc/moodle/config.php mit einem Editor Ihrer Wahl und passen die Variable "$CFG->wwwroot" entsprechend<br />
Ihrem externen Servernamen an:<br />
$CFG->wwwroot = 'http://server.dyndns.org/moodle';<br />
Danach können Sie über die externe Adresse auf Moodle zugreifen.<br />
1.8. KDE-Desktop installieren (optional)<br />
Stellen Sie sicher, dass Sie die Paketverwaltung auf Onlinebetrieb umgestellt haben 11 . Die Software-Pakete für <strong>de</strong>n KDE-Desktop<br />
müssen komplett vom Debian-Paketserver installiert wer<strong>de</strong>n.<br />
Zur Installation <strong>de</strong>s KDE-Desktops loggen Sie sich als User root auf einer Serverkonsole ein und geben nach <strong>de</strong>r Umstellung <strong>de</strong>r<br />
Paketverwaltung folgen<strong>de</strong>n Befehl ein:<br />
# tasksel install linuxmuster-<strong>de</strong>sktop<br />
Nun wer<strong>de</strong>n alle für <strong>de</strong>n KDE-Desktop benötigten Softwarepakete heruntergela<strong>de</strong>n, installiert und anschließend konfiguriert. Während<br />
<strong>de</strong>r Konfiguration müssen Sie ggf. Angaben zu Ihrer Grafikhardware und Ihrem Monitor machen 12 . Des weiteren wer<strong>de</strong>n Sie mit <strong>de</strong>r<br />
Frage konfrontiert, ob die Konfigurationsdatei /etc/pam.d/kdm beibehalten o<strong>de</strong>r mit einer neueren Version überschrieben wer<strong>de</strong>n<br />
soll. Wählen Sie hier beibehalten, sonst kann sich anschließend <strong>de</strong>r Benutzer administrator nicht einloggen.<br />
Nach erfolgter Installation muss <strong>de</strong>r Xserver als User root mit <strong>de</strong>m Befehl<br />
# /etc/init.d/kdm restart<br />
neu gestartet wer<strong>de</strong>n.<br />
Wenn alles geklappt hat, können Sie sich nun grafisch einloggen. Falls <strong>de</strong>r Xserver nicht startet, können Sie die Xserver-Konfiguration<br />
mit <strong>de</strong>m Befehl<br />
10 http://moodle.org<br />
11 Siehe Abschnitt Online-Paket-Quellen konfigurieren und Sicherheitsupdates einspielen.<br />
12 Siehe Debian-Anwen<strong>de</strong>rhandbuch Abschnitt 10.1.1 Installation von XFree86 4.x.<br />
Version <strong>3.0</strong><br />
Seite 25 / Kapitel 5
# dpkg-reconfigure xserver-xfree86<br />
wie<strong>de</strong>rholen. Alternativ können Sie auch das Konfigurationstool von XFree86 direkt aufrufen:<br />
# xf86config<br />
2. Backup und Restore <strong>de</strong>s Servers<br />
Backup und Restore <strong>de</strong>s Servers wer<strong>de</strong>n in <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> mit <strong>de</strong>m Opensource-Tool Mondo Rescue realisiert. Es ermöglicht:<br />
• Vollbackup im Live-Betrieb;<br />
• Automatische Backups per Cronjob;<br />
• Backup-Strategien mit inkrementellen und differentiellen Backups;<br />
• Backup auf Wechselplatte/NFS-Share;<br />
• Restore von Festplatte, NFS o<strong>de</strong>r CD-/DVD-Medien;<br />
• Komplettwie<strong>de</strong>rherstellung <strong>de</strong>s Servers inklusive LVM- o<strong>de</strong>r Raidsystem;<br />
• Wie<strong>de</strong>rherstellung einzelner Dateien und Verzeichnisse im Live-Betrieb.<br />
Weiterführen<strong>de</strong> Informationen zu Mondo Rescue fin<strong>de</strong>n Sie im MondoRescue HOWTO.<br />
2.1. Backupkonfiguration<br />
Die Konfiguration <strong>de</strong>s Backupverhaltens kann entwe<strong>de</strong>r direkt in <strong>de</strong>r Datei /etc/linuxmuster/backup.conf, o<strong>de</strong>r als<br />
Benutzer administrator über die Schulkonsole (Einstellungen) geschehen. Die Parameter im Einzelnen:<br />
• backup<strong>de</strong>vice<br />
Festplattenpartition o<strong>de</strong>r NFS-Share, auf das gesichert wer<strong>de</strong>n soll, wird nach /media/backup gemountet. Beispiele: backup<strong>de</strong>vice=/<strong>de</strong>v/sdb1,<br />
backup<strong>de</strong>vice=10.16.1.10:/home/nfs.<br />
Wichtiger Hinweis<br />
Das Backupgerät darf nicht in /etc/fstab eingetragen sein, da alle dort eingetragenen Dateisysteme bei einer<br />
Komplettrestaurierung formatiert wer<strong>de</strong>n!<br />
• restoremethod<br />
Mögl. Werte: "hd" o<strong>de</strong>r "nfs", je nach<strong>de</strong>m, ob von Festplatte o<strong>de</strong>r NFS-Share restauriert wer<strong>de</strong>n soll.<br />
Standard: restoremethod=hd<br />
• ipcop<br />
Mögl. Werte: "yes" o<strong>de</strong>r "no", je nach<strong>de</strong>m, ob die aktuellen Einstellungen <strong>de</strong>s IPCop gesichert wer<strong>de</strong>n sollen. Es wird ein Archiv<br />
ipcop-backup.tar.gz unter /var/lib/linuxmuster-ipcop erzeugt, das beim ersten Start nach einer Vollrestauration<br />
bei <strong>de</strong>r Erstellung <strong>de</strong>s IPCop-UML-Images eingespielt wird.<br />
Standard: ipcop=yes<br />
• verify<br />
Mögl. Werte: "yes" o<strong>de</strong>r "no", je nach<strong>de</strong>m, ob die gesicherten Daten nach <strong>de</strong>m Backuplauf auf Konsistenz überprüft wer<strong>de</strong>n sollen.<br />
Standard: verify=yes<br />
• isoprefix<br />
Wird für die Bezeichnung <strong>de</strong>r ISO-Images und <strong>de</strong>s Backup-Verzeichnisses verwen<strong>de</strong>t.<br />
Standard: isoprefix=server<br />
• mediasize<br />
mondo benutzt ISO-Images als Backup-Container, die bei Bedarf auch auf CD/DVD gebrannt wer<strong>de</strong>n können. Diese Option legt<br />
die Größe <strong>de</strong>r Images in MB fest.<br />
Standard: mediasize=4430<br />
• exclu<strong>de</strong>dirs<br />
Version <strong>3.0</strong><br />
Seite 26 / Kapitel 5
Eine kommaseparierte Liste <strong>de</strong>r Verzeichnisse, die nicht gesichert wer<strong>de</strong>n sollen. Die Standar<strong>de</strong>instellung sollte nicht entfernt<br />
wer<strong>de</strong>n.<br />
Standard: exclu<strong>de</strong>dirs=/var/lib/uml/ipcop,/var/tmp,/var/cache/apt/archives<br />
• inclu<strong>de</strong>dirs<br />
Eine Komma separierte Liste <strong>de</strong>r Verzeichnisse, die gesichert wer<strong>de</strong>n sollen. Wird nichts angegeben (Standard), wird das<br />
gesamte Dateisystem gesichert.<br />
• services<br />
Mögliche Werte: "all" o<strong>de</strong>r eine Komma separierte Liste <strong>de</strong>r Dienste <strong>de</strong>s aktuellen Runlevels, die vor <strong>de</strong>m Start <strong>de</strong>s Backups<br />
heruntergefahren wer<strong>de</strong>n sollen. "all" fährt alle Dienste <strong>de</strong>s aktuellen Runlevels herunter. Nach <strong>de</strong>m Backuplauf wer<strong>de</strong>n die<br />
Dienste wie<strong>de</strong>r hochgefahren. Wird nichts angegeben, wer<strong>de</strong>n auch keine Dienste heruntergefahren. Die in <strong>de</strong>r Standar<strong>de</strong>instellung<br />
vorgesehenen Dienste sollten nicht entfernt wer<strong>de</strong>n.<br />
Standard: services=nagios2,postgresql,mysql,slapd,samba,postfix,apache2,opengroupware.org,cyrus21,rembo,saslauthd,clamav-daemon<br />
• compression<br />
Kompressionsgrad, mögl. Werte 0-9, <strong>de</strong>r Standardwert 3 ist ein guter Kompromiss zwischen Schnelligkeit und Komprimierung.<br />
Wert 0 be<strong>de</strong>utet keine Komprimierung.<br />
Standard: compression=3<br />
• unmount<br />
Mögl. Werte: "yes" o<strong>de</strong>r "no", bei "yes" wird versucht das backup<strong>de</strong>vice nach <strong>de</strong>m Backup auszuhängen. Das klappt natürlich<br />
nur, wenn es nicht noch an<strong>de</strong>rweitig in Gebrauch ist.<br />
Standard: unmount=yes<br />
• keepfull<br />
Mögl. Werte: integer ab 1. Definiert die Anzahl <strong>de</strong>r Vollbackups, die vorgehalten wer<strong>de</strong>n.<br />
Standard: keepfull=1<br />
• keepdiff<br />
Mögl. Werte: integer ab 1. Definiert die Anzahl <strong>de</strong>r differentiellen Backups, die vorgehalten wer<strong>de</strong>n.<br />
Standard: keepdiff=3<br />
• keepinc<br />
Mögl. Werte: integer ab 1. Definiert die Anzahl <strong>de</strong>r inkrementellen Backups, die vorgehalten wer<strong>de</strong>n.<br />
Standard: keepinc=7<br />
Anmerkung<br />
Alte Backups wer<strong>de</strong>n nur gelöscht, wenn das Backup zuvor fehlerfrei durchlief.<br />
Die Backupsets wer<strong>de</strong>n in ISO-Dateien in ein Verzeichnis nach <strong>de</strong>m Schema /_full, /_diff<br />
bzw. /_inc auf das Backupmedium gesichert.<br />
Version <strong>3.0</strong><br />
Seite 27 / Kapitel 5
Dabei wer<strong>de</strong>n die ISO-Dateien nach <strong>de</strong>m Schema -1.iso, -2.iso usw. abgelegt. Die ISO-<br />
Dateien dienen als Backup-Container und können ggf. auch auf CD/DVD gebrannt wer<strong>de</strong>n, um davon zu restaurieren. Desweiteren<br />
wird bei einem Vollbackup das für die Restauration benötigte Bootimage mondorescue.iso im Backupverzeichnis abgelegt.<br />
Im Homeverzeichnis <strong>de</strong>s Benutzers administrator wird ein Link _backup zum Mountpoint /media/backup <strong>de</strong>s Backupmediums<br />
angelegt, sodass er in <strong>de</strong>r Lage ist, ISO-Images von einem Client aus auf einen Rohling zu brennen. Dazu muss jedoch das<br />
Backupmedium gemountet sein.<br />
2.2. Backups durchführen<br />
Gestartet wird ein Backup über das Wrapper-Skript /usr/sbin/linuxmuster-backup, das das Programm mondoarchive mit<br />
<strong>de</strong>n entsprechen<strong>de</strong>n Optionen für einen nicht interaktiven Ablauf aufruft. Hat man alle benötigten Einstellungen in <strong>de</strong>r Datei backup.conf<br />
getroffen, so genügt es, wenn man das Skript mit <strong>de</strong>n Optionen "--full" bzw. "--diff" o<strong>de</strong>r "--inc" startet. Der Backuplauf wird dann<br />
vollautomatisch ohne weitere Eingaben durchgeführt und kann somit auch über einen Cronjob nachts angestoßen wer<strong>de</strong>n.<br />
Skriptaufrufe für Voll-, differentielles und inkrementelles Backup:<br />
# linuxmuster-backup --full<br />
# linuxmuster-backup --diff<br />
# linuxmuster-backup --inc<br />
Desweiteren ist es möglich, das Skript mit allen Optionen auch über die Kommandozeile zu starten. Kommandozeilenoptionen überschreiben<br />
die Werte, die in backup.conf festgelegt wur<strong>de</strong>n. Zu beachten ist, dass vor je<strong>de</strong> Option ein Doppelminus "--" zu setzen<br />
ist. Beispiele:<br />
Version <strong>3.0</strong><br />
Seite 28 / Kapitel 5
# linuxmuster-backup --full --inclu<strong>de</strong>dirs=/home --isoprefix=home --backup<strong>de</strong>vice=/<strong>de</strong>v/sdc1<br />
# linuxmuster-backup --diff --ipcop=no --verify=no<br />
# linuxmuster-backup --inc --unmount=no --mediasize=700<br />
Einen Gesamtüberblick über die Kommandozeilenparameter von linuxmuster-backup liefert <strong>de</strong>r Befehl:<br />
# linuxmuster-backup --help<br />
2.3. Backupstrategie und Automatisierung<br />
Für die Planung von automatischen Backups per Cronjob sollten Sie sich zunächst darüber klar wer<strong>de</strong>n<br />
• wie oft und wann <strong>de</strong>r Server gesichert wer<strong>de</strong>n soll,<br />
• wieviele und welche Backupmedien Sie einsetzen,<br />
• wie groß <strong>de</strong>r zur Verfügung stehen<strong>de</strong> Backupspeicherplatz ist und<br />
• wieviele Vollbackups, differentielle und inkrementelle Backups Sie vorhalten wollen.<br />
Basierend auf <strong>de</strong>n Standar<strong>de</strong>instellungen in backup.conf sind auf <strong>de</strong>m Server Cronjobs für Voll-, differentielle und inkrementelle<br />
Backups angelegt, die Sie an Ihre Bedürfnisse anpassen können. Sie fin<strong>de</strong>n die Beispiele in Webmin unter System -> Geplante Cron-<br />
Aufträge (https://server:999/cron).<br />
Vollbackup<br />
Im Beispiel wird ein Vollbackup immer am 1. eines Monats um 1 Uhr nachts ausgeführt:<br />
Differentielles Backup<br />
Differentielle Backups wer<strong>de</strong>n dreimal im Monat jeweils am 9., 17. und 25. um 2 Uhr nachts ausgeführt:<br />
Version <strong>3.0</strong><br />
Seite 29 / Kapitel 5
Inkrementelles Backup<br />
Inkrementelle Backups wer<strong>de</strong>n an <strong>de</strong>n übrigen Tagen <strong>de</strong>s jeweiligen Monats um 3 Uhr nachts ausgeführt:<br />
Mit dieser Backupstrategie erhalten Sie über einen Monatszeitraum hinweg eine Backup-Historie, die es ermöglicht, <strong>de</strong>n Serverzustand<br />
eines bestimmten Zeitpunktes wie<strong>de</strong>r herzustellen:<br />
Durch die Verwendung von differentiellen und inkrementellen Backups wird <strong>de</strong>r Speicherplatzverbrauch auf <strong>de</strong>m Backupmedium<br />
minimiert.<br />
Bei <strong>de</strong>r Planung von weiteren Cronjobs sollten Sie berücksichtigen, dass während eines Backuplaufs keine weiteren Aufträge ausgeführt<br />
wer<strong>de</strong>n. Wie lange ein Backup dauert, hängt natürlich von <strong>de</strong>r verwen<strong>de</strong>ten Hardware und <strong>de</strong>r zu sichern<strong>de</strong>n Datenmenge ab.<br />
Version <strong>3.0</strong><br />
Seite 30 / Kapitel 5
Wichtiger Hinweis<br />
Den Wechsel <strong>de</strong>s Backupmediums sollten Sie immer vor einem Vollbackup vornehmen, da bei differentiellen und inkrementellen<br />
Backups die Sicherungsdaten <strong>de</strong>r vorher durchgeführten Backups auf <strong>de</strong>m Backupmedium vorhan<strong>de</strong>n sein<br />
müssen.<br />
2.4. Wie<strong>de</strong>rherstellung von Dateien und Verzeichnissen im Live-Betrieb<br />
Dazu muss das Backupmedium unter /media/backup gemountet sein:<br />
# mount /<strong>de</strong>v/sdb1 /media/backup<br />
Starten Sie als root in einer Konsole das Programm mondorestore:<br />
# mondorestore<br />
Es begrüßt Sie <strong>de</strong>r Startbildschirm von Mondo Rescue. Drücken Sie ENTER um:<br />
Wählen Sie als Backupmedium Hard Disk aus:<br />
Geben Sie nun <strong>de</strong>n kompletten Pfad zu <strong>de</strong>m Backupset an, von <strong>de</strong>m Sie restaurieren wollen:<br />
Im nächsten Schritt geben Sie das Präfix für die ISO-Dateien ein (in unserem Fall "server"):<br />
Version <strong>3.0</strong><br />
Seite 31 / Kapitel 5
Anschließend liest mondorescue die Dateilisten ein:<br />
Sind alle Dateilisten gela<strong>de</strong>n, wird Ihnen <strong>de</strong>r zugegebenermaßen etwas umständlich zu bedienen<strong>de</strong> Dateilisten-Editor präsentiert.<br />
Navigieren Sie mit <strong>de</strong>n Pfeiltasten auf ein Verzeichnis. Mit <strong>de</strong>r TAB-Taste gelangen Sie in das Menü und wie<strong>de</strong>r heraus. Innerhalb<br />
<strong>de</strong>s Menüs können Sie wie<strong>de</strong>rum mit <strong>de</strong>r TAB-Taste navigieren. Wählen Sie More, um <strong>de</strong>n Verzeichnisbaum aufzuklappen, Less<br />
um ihn wie<strong>de</strong>r zuzuklappen. Mit Toggle können Sie ein Verzeichnis o<strong>de</strong>r eine Datei für <strong>de</strong>n Restore markieren o<strong>de</strong>r die Markierung<br />
wie<strong>de</strong>r aufheben. Für <strong>de</strong>n Restore markierte Elemente wer<strong>de</strong>n mit einem * gekennzeichnet. Haben Sie die Auswahl abgeschlossen,<br />
so navigieren Sie auf OK und drücken ENTER. Mit Cancel wird das Programm ohne Nachfrage verlassen.<br />
Bestätigen Sie die folgen<strong>de</strong> Sicherheitsabfrage, um schließlich <strong>de</strong>n Zielpfad einzugeben. Es ist sicher eine gute I<strong>de</strong>e, erst einmal in<br />
ein temporäres Verzeichnis (z. Bsp. /var/tmp) zu restaurieren, um die Dateien dann nach eingehen<strong>de</strong>r Prüfung an <strong>de</strong>n vorgesehenen<br />
Ort zu verschieben.<br />
Die ausgewählten Dateien und Verzeichnisse wer<strong>de</strong>n nun unter /var/tmp wie<strong>de</strong>r hergestellt. Danach been<strong>de</strong>t sich mondorestore<br />
und Sie können das Backupmedium wie<strong>de</strong>r unmounten.<br />
2.5. Komplettrestore <strong>de</strong>s Servers (Disaster Recovery)<br />
Da dies nicht im Livebetrieb geschehen kann, muss ein Bootmedium hergestellt wer<strong>de</strong>n. Dazu brennen Sie die ISO-Datei mondorescue.iso<br />
aus <strong>de</strong>m Verzeichnis <strong>de</strong>s jüngsten Vollbackupsets (vgl. Abschnitt 4.1) mit einem han<strong>de</strong>lsüblichen Brennprogramm auf<br />
einen CD-Rohling.<br />
Schließen Sie gegebenenfalls die Backupfestplatte an <strong>de</strong>n Server an o<strong>de</strong>r stellen Sie sicher, dass Netzwerkverbindung zum NFS-<br />
Backup-Server besteht. Booten Sie dann <strong>de</strong>n Server von <strong>de</strong>r mondorescue-Boot-CD. Nach kurzer Zeit erscheint <strong>de</strong>r Bootprompt von<br />
Mondo Rescue:<br />
Version <strong>3.0</strong><br />
Seite 32 / Kapitel 5
Hier haben Sie nun unter an<strong>de</strong>rem folgen<strong>de</strong> Möglichkeiten für die Restaurationsmetho<strong>de</strong>:<br />
• nuke: Partitioniert und formatiert vollautomatisch und restauriert das letzte Vollbackup;<br />
• interactive: Startet mondorestore im interaktiven Modus und bietet so die volle Kontrolle über <strong>de</strong>n Restaurationsvorgang.<br />
2.5.1. Automatischer Restore eines Vollbackups<br />
Nach <strong>de</strong>r Eingabe von nuke am Bootprompt wird <strong>de</strong>r Rechner vollautomatisch aus <strong>de</strong>m letzten Vollbackupset restauriert. Die Festplatte(n)<br />
wer<strong>de</strong>n partitioniert und formatiert. Raid- bzw. LVM-Systeme wer<strong>de</strong>n wie<strong>de</strong>rhergestellt. Falls auf <strong>de</strong>m Zielsystem größere<br />
Festplatten vorhan<strong>de</strong>n sind, wer<strong>de</strong>n die Partitionsgrößen dynamisch angepasst.<br />
Anschließend wird <strong>de</strong>r auf <strong>de</strong>m Backupmedium gefun<strong>de</strong>ne Vollbackupset, aus <strong>de</strong>m das zur Restauration verwen<strong>de</strong>te ISO-Image<br />
mondorescue.iso stammt, wie<strong>de</strong>r hergestellt.<br />
Nach Abschluss <strong>de</strong>s Restaurationsvorgangs erscheint noch ein Hinweis, <strong>de</strong>n Sie mit ENTER bestätigen müssen,<br />
Version <strong>3.0</strong><br />
Seite 33 / Kapitel 5
um schließlich auf die Konsole zu gelangen.<br />
Falls Sie keine differentiellen und inkrementellen Backupsets zu restaurieren müssen, geben Sie am Prompt exit ein, um in <strong>de</strong>n frisch<br />
restaurierten Server zu booten. Was im an<strong>de</strong>ren Fall ist noch zu tun ist, lesen Sie im folgen<strong>de</strong>n Abschnitt.<br />
2.5.2. Restore von differentiellen und inkrementellen Backups<br />
Wenn Sie nach einem Vollbackup noch weitere differentielle und/o<strong>de</strong>r inkrementelle Backups erstellt haben, müssen diese anschließend<br />
an <strong>de</strong>n Restore <strong>de</strong>s Vollbackups in chronologischer Reihenfolge zurückgespielt wer<strong>de</strong>n. Das muss dann im interaktiven Modus<br />
erfolgen.<br />
Haben Sie differentielle Backups erstellt, wird als nächstes das aktuellste, differentielle Backup restauriert. Sind dann noch inkrementelle<br />
Backups jüngeren Datums vorhan<strong>de</strong>n, müssen diese nacheinan<strong>de</strong>r auch noch zurückgespielt wer<strong>de</strong>n.<br />
Die Vorgehensweise anhand <strong>de</strong>s oben genannten Beispiels<br />
Version <strong>3.0</strong><br />
Seite 34 / Kapitel 5
wäre dann:<br />
1. Automatisches Restore <strong>de</strong>s Vollbackups 070201_010002_full, wie im vorigen Abschnitt beschrieben;<br />
2. Restore <strong>de</strong>s differentiellen Backups 070225_020002_diff;<br />
3. Restore <strong>de</strong>r bei<strong>de</strong>n nachfolgen<strong>de</strong>n inkrementellen Backups 070227_030002_inc und 070228_030002_inc.<br />
Nach erfolgtem Restore <strong>de</strong>s Vollbackups booten Sie das System also nicht neu, son<strong>de</strong>rn starten auf <strong>de</strong>r Mondo-Rescue-Konsole das<br />
Programm mondorestore:<br />
# mondorestore<br />
Fahren Sie fort, wie im nächsten Abschnitt beschrieben. Wie<strong>de</strong>rholen Sie <strong>de</strong>n Restorevorgang für je<strong>de</strong>s differentielle und inkrementelle<br />
Backup, das Sie restaurieren müssen.<br />
2.5.3. Interaktiver Restore<br />
Geben Sie am Bootprompt interactive ein. Die CD bootet dann direkt in das Startmenü von mondorestore.<br />
Wählen Sie im Startmenü die Option Interactively:<br />
Wählen Sie im nächsten Schritt das Backupmedium aus:<br />
Geben Sie <strong>de</strong>n Präfix für die ISO-Dateien nun ein (in unserem Fall "server"):<br />
Geben Sie das Backupgerät ebenfalls ein (in unserem Beispiel eine Festplattenpartition):<br />
Version <strong>3.0</strong><br />
Seite 35 / Kapitel 5
Das Dateisystem <strong>de</strong>r Backup-Partition wird automatisch erkannt, das Eingabefeld kann also leer bleiben:<br />
Geben Sie <strong>de</strong>n Pfad zum gewünschten Backupset ein. Vorgegeben wird <strong>de</strong>r Pfad zum Vollbackup. Wenn Sie ein differentielles o<strong>de</strong>r<br />
inkrementelles Backupset zurückspielen möchten, müssen Sie <strong>de</strong>n Pfad anpassen.<br />
Jetzt können Sie noch die Partitionierung <strong>de</strong>r Festplatte(n) anpassen. Das ist jedoch nur in Spezialfällen notwendig, wenn Sie zum<br />
Beispiel ein Vollbackup interaktiv restaurieren und die Partitionierung auf <strong>de</strong>m Zielsystem an<strong>de</strong>rs sein soll als auf <strong>de</strong>m System, das<br />
gesichert wur<strong>de</strong>. Um weiter zu gelangen, navigieren Sie mit <strong>de</strong>r TAB-Taste auf OK und drücken Sie ENTER.<br />
Bestätigen Sie noch die Sicherheitsabfrage bezüglich <strong>de</strong>r Mountliste.<br />
Nach<strong>de</strong>m die Zieldateisysteme gemountet wur<strong>de</strong>n, wer<strong>de</strong>n Sie noch gefragt, ob Sie alle Dateien <strong>de</strong>s Backupsets restaurieren wollen.<br />
Wählen Sie Yes, um <strong>de</strong>n Backupset komplett zu restaurieren. Mit No erhalten Sie die Möglichkeit mit <strong>de</strong>m Dateilisten-Editor einzelne<br />
Dateien und Verzeichnisse für die Restauration auszuwählen.<br />
Version <strong>3.0</strong><br />
Seite 36 / Kapitel 5
Schließlich startet <strong>de</strong>r Restaurationsvorgang.<br />
Sind alle Dateien restauriert kann <strong>de</strong>r Bootloa<strong>de</strong>r initialisiert wer<strong>de</strong>n. Wählen Sie Yes.<br />
In einem weiteren Schritt muss noch angegeben wer<strong>de</strong>n, ob die Mountliste geän<strong>de</strong>rt wur<strong>de</strong>.<br />
Sollen die Partitionen mit einem Label versehen wer<strong>de</strong>n? Hier kann mit Yes geantwortet wer<strong>de</strong>n.<br />
Bestätigen Sie abschließend noch <strong>de</strong>n Start <strong>de</strong>s post-nuke scripts.<br />
Nun ist die Restauration <strong>de</strong>s Backupsets abgeschlossen und die Mondo-Rescue-Konsole erscheint. Wenn Sie weitere Backupsets<br />
zurückspielen müssen, starten Sie mondorestore auf <strong>de</strong>r Konsole. Um das System neu zu starten, geben Sie exit ein.<br />
Version <strong>3.0</strong><br />
Seite 37 / Kapitel 5
2.5.4. Restore von einem NFS-Share<br />
Bei meinen Versuchen von einem NFS-Share zu restaurieren, gelang es <strong>de</strong>r Mondo-Rescue-CD nicht, das Netzwerk zu konfigurieren.<br />
In <strong>de</strong>m Fall müssen Sie die Netzwerkkonfiguration auf <strong>de</strong>r Konsole von Hand einrichten. Gehen Sie so vor:<br />
1. Been<strong>de</strong>n Sie mondorestore, um auf die Konsole zu gelangen.<br />
2. Fin<strong>de</strong>n Sie heraus, welches Netzwerkinterface mit <strong>de</strong>m NFS-Server verbun<strong>de</strong>n ist. Der Befehl<br />
# ifconfig -a<br />
gibt eine Übersicht aller Netzwerkinterfaces aus.<br />
3. Konfigurieren Sie jetzt das Netzwerkinterface (Beispiel, Interface und IP-Adresse müssen ggf. angepasst wer<strong>de</strong>n):<br />
# ifconfig eth0 10.16.1.1 netmask 255.240.0.0 up<br />
4. Überprüfen Sie mit ping, ob <strong>de</strong>r NFS-Server erreichbar ist.<br />
5. Starten Sie <strong>de</strong>n Portmap-Dienst:<br />
# portmap<br />
6. Mounten Sie nun das NFS-Share nach /tmp/isodir (Beispiel):<br />
# mount -t nfs 10.16.1.10:/home/nfs /tmp/isodir<br />
Starten Sie nun mondorestore und führen Sie die Restauration durch.<br />
3. Netzwerkdrucker einrichten<br />
Vor <strong>de</strong>r Druckerinstallation sollten Sie folgen<strong>de</strong> Informationen vorliegen haben:<br />
• die genaue Bezeichnung <strong>de</strong>s Druckermo<strong>de</strong>lls und<br />
• die IP-Adresse falls <strong>de</strong>r Drucker über das Netzwerk angesteuert wer<strong>de</strong>n soll. Wie Sie die IP-Adresse anpassen können, entnehmen<br />
Sie bitte <strong>de</strong>m Druckerhandbuch o<strong>de</strong>r <strong>de</strong>r Bedienungsanleitung <strong>de</strong>s Printservers.<br />
Die Verwaltung <strong>de</strong>s Druckdienstes auf <strong>de</strong>m <strong>Linux</strong>-Server übernimmt <strong>de</strong>r so genannte CUPS-Daemon (Common Unix Printing System).<br />
Dessen Konfiguration lässt sich bequem in einem Browser über ein Webinterface erledigen.<br />
Was auf Clientseite bei <strong>de</strong>r Druckereinrichtung zu beachten ist, lesen Sie bitte im Clientkapitel.<br />
3.1. Drucker importieren<br />
Viele Printserver und Netzwerkdrucker sind in <strong>de</strong>r Lage Ihre IP-Adresse von einem DHCP-Server zu beziehen. Diese Fähigkeit<br />
können wir nutzen, um <strong>de</strong>m Gerät automatisch einen Namen zuweisen zu lassen und es wie eine Arbeitsstation in das Schulnetz zu<br />
integrieren. Ermitteln Sie hierzu die MAC-Adresse <strong>de</strong>s Geräts. Loggen Sie sich dann als administrator in <strong>de</strong>r Schulkonsole<br />
(https://:242) ein und legen Sie unter Hosts einen Eintrag für das Gerät an:<br />
Da <strong>de</strong>r Drucker ja nicht über PXE bootet, wählen Sie für PXE die Option "Aus". Ein Klick auf die Schaltfläche Än<strong>de</strong>rungen übernehmen<br />
importiert <strong>de</strong>n Drucker wie eine Arbeitsstation in das Schulnetz.<br />
3.2. Druckereinrichtung mit CUPS<br />
Drucker lassen sich komfortabel über das CUPS-Webinterface einrichten. Starten Sie auf einem Client o<strong>de</strong>r auf <strong>de</strong>m Server einen<br />
Webbrowser und geben Sie folgen<strong>de</strong> Adresse ein:<br />
https://:631/admin<br />
Loggen Sie sich als Benutzer administrator auf <strong>de</strong>r Administrationsseite <strong>de</strong>s CUPS-Druckservers ein. Über diese Seite können<br />
Sie Drucker einrichten, Einstellungen än<strong>de</strong>rn und Druckaufträge verwalten.<br />
Version <strong>3.0</strong><br />
Seite 38 / Kapitel 5
Klicken Sie nun auf die Schaltfläche Drucker hinzufügen, um einen neuen Drucker einzurichten.<br />
Der Druckername (zum Beispiel laser_203), <strong>de</strong>r hier vergeben wird, gilt als Freigabename für <strong>Linux</strong> wie für Windows-Arbeitsstationen.<br />
Die restlichen Angaben sind zwar optional, sollten aber <strong>de</strong>r besseren Übersicht wegen eingegeben wer<strong>de</strong>n.<br />
Mit Klick auf Fortsetzen gelangen Sie zum Einrichtungs-Dialog.<br />
Hier müssen Sie angeben, auf welche Weise <strong>de</strong>r Drucker mit <strong>de</strong>m Server verbun<strong>de</strong>n ist. Bei einem Netzwerkdrucker ist dies im Normalfall<br />
die Option AppSocket/HP JetDirect. Konsultieren Sie im Zweifelsfall die Bedienungsanleitung Ihres Druckers beziehungsweise<br />
Printservers. Ist <strong>de</strong>r Drucker direkt über Parallel- o<strong>de</strong>r USB-Schnittstelle mit <strong>de</strong>m Server verbun<strong>de</strong>n, wählen Sie die<br />
Anschlussart entsprechend.<br />
Im Falle eines Netzwerkdruckers müssen Sie im nächsten Dialog IP-Adresse o<strong>de</strong>r Hostnamen und zusätzlich bei Verwendung eines<br />
Print-Servers, <strong>de</strong>r über mehrere Anschlüsse verfügt, noch die Warteschlange anzugeben. Zum Beispiel:<br />
socket://10.16.203.22/lpt1<br />
Im Zweifelsfall sollte auch hier die Bedienungsanleitung <strong>de</strong>s Printservers weiterhelfen.<br />
Version <strong>3.0</strong><br />
Seite 39 / Kapitel 5
Im nächsten Schritt wählen Sie <strong>de</strong>n Hersteller <strong>de</strong>s Druckers aus (in unserem Beispiel HP).<br />
Danach wählen Sie in <strong>de</strong>r folgen<strong>de</strong>n Liste Ihr Druckermo<strong>de</strong>ll aus. Falls für Ihr Mo<strong>de</strong>ll mehrere Treiber zur Auswahl stehen, wählen<br />
Sie <strong>de</strong>n empfohlenen Treiber (recommen<strong>de</strong>d) aus.<br />
Mit Klick auf Drucker hinzufügen schließen Sie die Druckerinstallation. Danach gelangen Sie zur Einstellungsseite <strong>de</strong>s Druckers.<br />
Hier können Sie noch abhängig vom Mo<strong>de</strong>ll die verschie<strong>de</strong>nsten Einstellungen für das Standardverhalten <strong>de</strong>s Druckertreibers vornehmen<br />
(zum Beispiel die Seitengröße auf A4 einstellen, falls das nicht standardmäßig vorgesehen ist):<br />
Version <strong>3.0</strong><br />
Seite 40 / Kapitel 5
Über Druckereinstellungen festlegen gelangen Sie schließlich zur Verwaltungsseite <strong>de</strong>s neu eingerichteten Druckers:<br />
Hier können Sie<br />
• eine Testseite ausdrucken lassen,<br />
• <strong>de</strong>n Drucker anhalten und wie<strong>de</strong>r starten,<br />
• die Entgegennahme von Druckaufträgen sperren und wie<strong>de</strong>r freischalten,<br />
• die Druckereinrichtung wie<strong>de</strong>rholen, um IP-Adresse o<strong>de</strong>r Druckertreiber zu än<strong>de</strong>rn,<br />
• die Druckereinstellungen anpassen o<strong>de</strong>r<br />
• erlaubte Benutzer festlegen.<br />
Nun ist Ihr Netzwerkdrucker betriebsbereit und kann auf <strong>de</strong>n Arbeitsstationen eingerichtet wer<strong>de</strong>n.<br />
3.3. Zugriffssteuerung über Schulkonsole<br />
Zunächst ist je<strong>de</strong>r neu eingerichtete Netzwerkdrucker im gesamten Netz an je<strong>de</strong>r Arbeitsstation verfügbar. Sie können jedoch <strong>de</strong>n<br />
Druckerzugriff auf bestimmte Räume und/o<strong>de</strong>r Arbeitsstationen beschränken.<br />
Loggen Sie sich dazu als Benutzer administrator auf <strong>de</strong>r Schulkonsole ein und navigieren Sie auf die Druckerseite (https://server:242/schulkonsole/printers).<br />
Sie sehen eine Liste <strong>de</strong>r in Ihrem Schulnetz verfügbaren Netzwerkdrucker und gegebenenfalls die<br />
einem Drucker zugeordneten Räume und Rechner. Ist ein Drucker we<strong>de</strong>r einem Raum noch einem Rechner zugeordnet, ist er ohne<br />
Einschränkung netzweit verfügbar.<br />
Än<strong>de</strong>rung <strong>de</strong>s Zugriffes auf die Drucker von bestimmten Räumen o<strong>de</strong>r Rechnern durch anklicken <strong>de</strong>r Schaltfläche Bearbeiten.<br />
Version <strong>3.0</strong><br />
Seite 41 / Kapitel 5
Wenn Sie die Elemente von abgewählt nach ausgewählt verschieben (und umgekehrt) können Sie die entsprechen<strong>de</strong>n Zuordnungen<br />
einrichten o<strong>de</strong>r aufheben.<br />
4. LVM<br />
Wichtiger Hinweis<br />
Ist ein Drucker auch nur einem Raum bzw. Rechner zugeordnet, so ist <strong>de</strong>r Zugriff von an<strong>de</strong>ren Räumen bzw. Rechnern<br />
aus gesperrt. In diesem Fall müssen Sie <strong>de</strong>m Drucker zusätzlich diejenigen Räume/Rechner zuordnen, die ebenfalls Zugriff<br />
haben sollen.<br />
Nur wenn ein Drucker einem entsprechen<strong>de</strong>n Raum zugeorn<strong>de</strong>t wur<strong>de</strong>, kann ein Lehrer diesen über die Schulkonsole (im<br />
Bereich Aktueller Raum) steuern.<br />
Vorab einige Informationen zu LVM, die <strong>de</strong>m LVM-Howto von Markus Hoffmann entnommen wur<strong>de</strong>n.<br />
LVM ist die Abkürzung für Logical Volume Manager und bezeichnet eine Funktion, die es ermöglicht, ein Dateisystem über mehrere<br />
Partitionen und Festplatten zu verteilen. Das funktioniert auch nach <strong>de</strong>m Anlegen eines Dateisystems, sogar wenn schon Daten darin<br />
abgespeichert wur<strong>de</strong>n. Dazu wird das Dateisystem auf einer virtuellen Partition, einem so genannten Logical Volume, angelegt. Man<br />
kann einer zu kleinen Partition, die mit LVM verwaltet wird, nachträglich freien Speicherplatz zuweisen. Voraussetzung ist allerdings,<br />
dass die betreffen<strong>de</strong>n Partitionen schon als Logical Volumes angelegt wur<strong>de</strong>n. LVM kann nicht nachträglich auf bereits bestehen<strong>de</strong><br />
Partitionen angewandt wer<strong>de</strong>n.<br />
Ein LVM-System besteht aus drei Ebenen: <strong>de</strong>m Physical Volume, <strong>de</strong>r Volume Group und <strong>de</strong>m Logical Volume.<br />
• Ein Physical Volume und ist eine gewöhnliche Festplattenpartition (also zum Beispiel /<strong>de</strong>v/hdb1 o<strong>de</strong>r /<strong>de</strong>v/sda2), die unter<br />
die Verwaltung <strong>de</strong>s LVM gestellt wird.<br />
• Eine Volume Group bezeichnet <strong>de</strong>n logischen Zusammenschluss mehrerer Physical Volumes zu einem großen Speicherpool. Eine<br />
Volume Group kann auch nachträglich mit neu angelegten Physical Volumes erweitert wer<strong>de</strong>n.<br />
• Ein Logical Volume bezeichnet eine virtuelle Partition, die Teil einer Volume Group ist. Ein Logical Volume kann sich daher über<br />
mehrere gewöhnliche Partitionen erstrecken. Wie eine Volume Group kann auch ein Logical Volume nachträglich vergrößert o<strong>de</strong>r<br />
verkleinert wer<strong>de</strong>n.<br />
Die folgen<strong>de</strong>n Abschnitte zeigen, wie Sie die Größe bestehen<strong>de</strong>r Logical Volumes anpassen können und wie Sie zusätzliche Festplatten<br />
einbin<strong>de</strong>n können.<br />
Weitere Informationen zu LVM fin<strong>de</strong>n Sie im <strong>de</strong>utschen LVM-Howto unter http://www.linuxhaven.<strong>de</strong>/dlhp/HOWTO/DE-LVM-<br />
HOWTO.html.<br />
4.1. Größe von Logical Volumes verän<strong>de</strong>rn<br />
Wenn Sie <strong>de</strong>n Server mit Hilfe <strong>de</strong>r automatischen Partitionierung installiert haben, fin<strong>de</strong>n Sie nach <strong>de</strong>r Installation ein LVM-System<br />
vor. Es wur<strong>de</strong> zum Beispiel auf einer 40 GB-Festplatte ein 33,79 GB großes Physical Volume /<strong>de</strong>v/sda6 mit einer Volume Group<br />
vg_lml erstellt:<br />
10:51/0 server ~ # pvscan<br />
PV /<strong>de</strong>v/sda6 VG vg_lml lvm2 [33.79 GB / 0 free]<br />
Total: 1 [33.79 GB] / in use: 1 [33.79 GB] / in no VG: 0 [0 ]<br />
Die Volume Group vg_lml enthält drei Logical Volumes (siehe Abschnitt automatische Partitionierung):<br />
10:53/0 server ~ # lvscan<br />
ACTIVE<br />
'/<strong>de</strong>v/vg_lml/home' [13.86 GB] inherit<br />
ACTIVE<br />
'/<strong>de</strong>v/vg_lml/var' [13.86 GB] inherit<br />
ACTIVE<br />
'/<strong>de</strong>v/vg_lml/var+spool+cups' [6.08 GB] inherit<br />
Angenommen wir benötigen unter /home mehr Speicherplatz. /home soll auf circa 20 GB wachsen. Dazu verkleinern wir<br />
/var/spool/cups auf 2 GB und /var auf 11 GB und weisen <strong>de</strong>n freigewor<strong>de</strong>nen Platz /home zu. Gehen Sie so vor:<br />
Zuerst muss <strong>de</strong>r Server in <strong>de</strong>n Wartungsmodus gebracht wer<strong>de</strong>n. Dazu loggen Sie sich als root direkt am Server (nicht remote!) ein.<br />
Auf <strong>de</strong>r Konsole geben Sie <strong>de</strong>n Befehl<br />
Version <strong>3.0</strong><br />
Seite 42 / Kapitel 5
#<br />
init 1<br />
ein. Nun wer<strong>de</strong>n die Serverdienste heruntergefahren und Sie müssen erneut das root-Passwort eingeben, um Wartungsarbeiten<br />
durchführen zu können:<br />
Give<br />
root password for maintenance (or type Control-D to<br />
continue):<br />
Im nächsten Schritt müssen alle zu verän<strong>de</strong>rn<strong>de</strong>n LVM-Dateisysteme ausgehängt wer<strong>de</strong>n. Beachten Sie, dass /var/spool/cups<br />
vor /var ausgehängt wer<strong>de</strong>n muss:<br />
# umount /var/spool/cups<br />
# umount /var<br />
# umount /home<br />
Bevor irgendwelche Än<strong>de</strong>rungen vorgenommen wer<strong>de</strong>n können, müssen Sie zwingend ein Dateisystemcheck gegen die entsprechen<strong>de</strong>n<br />
Dateisysteme ausgeführen:<br />
# e2fsck -f /<strong>de</strong>v/mapper/vg_lml-var+spool+cups<br />
# e2fsck -f /<strong>de</strong>v/mapper/vg_lml-var<br />
# e2fsck -f /<strong>de</strong>v/mapper/vg_lml-home<br />
Nun können wir die Dateisysteme verkleinern. Das geschieht mit <strong>de</strong>m Befehl resize2fs:<br />
# resize2fs G<br />
Übertragen auf unser Beispiel muss also<br />
# resize2fs /<strong>de</strong>v/mapper/vg_lml-var+spool+cups 2G<br />
# resize2fs /<strong>de</strong>v/mapper/vg_lml-var 11G<br />
eingegeben wer<strong>de</strong>n.<br />
Wichtiger Hinweis<br />
Die Verkleinerung kann natürlich nur durchgeführt wer<strong>de</strong>n, wenn auf <strong>de</strong>n Dateisystemen auch tatsächlich nicht mehr Platz<br />
als angegeben belegt ist. Datenverlust wäre sonst die unweigerliche Folge!<br />
Sind die Dateisystemgrößen angepasst, wer<strong>de</strong>n im folgen<strong>de</strong>n Schritt noch die Größen <strong>de</strong>r korrespondieren<strong>de</strong>n Logical Volumes korrigiert.<br />
Dafür ist <strong>de</strong>r Befehl lvresize zuständig:<br />
# lvresize -L G <br />
In unserem Fall führen wir das wie folgt durch:<br />
# lvresize -L 11G /<strong>de</strong>v/vg_lml/var<br />
# lvresize -L 2G /<strong>de</strong>v/vg_lml/var+spool+cups<br />
Überprüfen Sie mit <strong>de</strong>m Befehl pvscan wie viel freien Platz Sie gewonnen haben. Im Beispiel sind es 6,93 GB:<br />
10:55/0 server ~ # pvscan<br />
PV /<strong>de</strong>v/sda6 VG vg_lml lvm2 [33.79 GB / 6.93 GB free]<br />
Total: 1 [33.79 GB] / in use: 1 [33.79 GB] / in no VG: 0 [0 ]<br />
Jetzt kann <strong>de</strong>r freigewor<strong>de</strong>ne Platz <strong>de</strong>m Logical Volume /<strong>de</strong>v/vg_lml/home zugewiesen wer<strong>de</strong>n. Wir vergrößern es genau um<br />
<strong>de</strong>n Wert, <strong>de</strong>r frei gewor<strong>de</strong>n ist:<br />
# lvresize -L +6.93G /<strong>de</strong>v/vg_lml/home<br />
Das darunterliegen<strong>de</strong> Dateisystem muss natürlich auch noch vergrößert wer<strong>de</strong>n. Wird <strong>de</strong>r Parameter für die neue Größe weggelassen,<br />
verwen<strong>de</strong>t resize2fs automatisch <strong>de</strong>n maximal zur Verfügung stehen<strong>de</strong>n Speicherplatz:<br />
# resize2fs /<strong>de</strong>v/mapper/vg_lml-home<br />
Mit <strong>de</strong>m Befehl lvscan überprüfen Sie die neuen Größen <strong>de</strong>r Logical Volumes:<br />
10:57/0 server ~ # lvscan<br />
ACTIVE<br />
'/<strong>de</strong>v/vg_lml/home' [20.79 GB] inherit<br />
ACTIVE<br />
'/<strong>de</strong>v/vg_lml/var' [11.00 GB] inherit<br />
ACTIVE<br />
'/<strong>de</strong>v/vg_lml/var+spool+cups' [2.00 GB] inherit<br />
Zum Schluss können Sie alle Dateisysteme wie<strong>de</strong>r einhängen<br />
Version <strong>3.0</strong><br />
Seite 43 / Kapitel 5
# mount -a<br />
und die Dienste wie<strong>de</strong>r im Runlevel 2 starten.<br />
# init 2<br />
Damit ist die Anpassung <strong>de</strong>r Logical Volumes abgeschlossen.<br />
4.2. Zusätzliche Festplatte in das LVM-System einbin<strong>de</strong>n<br />
Mit einem LVM-System sind Sie in <strong>de</strong>r Lage <strong>de</strong>n Speicherplatz Ihrer Logical Volumes durch das Einbin<strong>de</strong>n einer zusätzlichen Festplatte<br />
zu vergrößern.<br />
Wenn Sie eine zweite SATA-Platte (/<strong>de</strong>v/sdb) ins LVM-System einbin<strong>de</strong>n möchten, gehen Sie wie folgt vor. Erstellen Sie mit<br />
cfdisk eine Partition (/<strong>de</strong>v/sdb1) auf <strong>de</strong>r Platte:<br />
Wählen Sie <strong>de</strong>n Menüpunkt Type und weisen Sie <strong>de</strong>r Partition <strong>de</strong>n Typ 8E (<strong>Linux</strong> LVM) zu:<br />
Wie<strong>de</strong>r im Hauptmenü lassen Sie Ihre Än<strong>de</strong>rungen mit Write auf die Platte schreiben. Verlassen Sie cfdisk und richten Sie danach<br />
mit pvcreate ein Physical Volume auf <strong>de</strong>r Partition ein:<br />
# pvcreate /<strong>de</strong>v/sdb1<br />
Anmerkung<br />
Falls die neue Partition von pvcreate nicht erkannt wer<strong>de</strong>n sollte, müssen Sie <strong>de</strong>n Server neu starten.<br />
Nun muss das neue Physical Volume /<strong>de</strong>v/sdb1 mit <strong>de</strong>m Befehl vgextend <strong>de</strong>r Volume Group vg_lml zugeordnet wer<strong>de</strong>n:<br />
# vgextend vg_lml /<strong>de</strong>v/sdb1<br />
Überprüfen Sie mit pvscan, ob <strong>de</strong>r Speicherplatz <strong>de</strong>r neuen Partition nun <strong>de</strong>r Volume Group vg_lml zur Verfügung steht:<br />
Version <strong>3.0</strong><br />
Seite 44 / Kapitel 5
13:52/0 server ~ # pvscan<br />
PV /<strong>de</strong>v/sda6 VG vg_lml lvm2 [33,79 GB / 0 free]<br />
PV /<strong>de</strong>v/sdb1 VG vg_lml lvm2 [19,99 GB / 19.99 GB free]<br />
Total: 2 [53.78 GB] / in use: 2 [53.78 GB] / in no VG: 0 [0 ]<br />
Jetzt sind Sie in <strong>de</strong>r Lage die Logical Volumes entsprechend <strong>de</strong>r im vorigen Abschnitt geschil<strong>de</strong>rten Vorgehensweise zu vergrößern.<br />
Beachten Sie die Reihenfolge:<br />
1. Server in <strong>de</strong>n Wartungsmodus bringen;<br />
2. LVM-Dateisystem aushängen;<br />
3. Dateisystemcheck mit e2fsck -f;<br />
4. Logical Volume mit lvresize vergrößern;<br />
5. Dateisystem mit resize2fs vergrößern.<br />
5. Zertifikatsverwaltung<br />
Die <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> beinhaltet Kommandozeilen-Frontends für die Verwaltung <strong>de</strong>s Serverzertifikats und <strong>de</strong>r OpenVPN-Client-<br />
Zertifikate. Informationen dazu und wie Sie diese Zertifikate verwalten können, erfahren Sie in diesem Abschnitt.<br />
5.1. Server-Zertifikat<br />
Bei <strong>de</strong>r Installation <strong>de</strong>s Servers wird von linuxmuster-setup auf Basis Ihrer Eingaben automatisch ein selbstsigniertes Server-Zertifikat<br />
erstellt. Dieses Serverzertifikat ist 10 Jahre gültig und wird für <strong>de</strong>n Apache-Webserver, <strong>de</strong>n Postfix-Mailer und <strong>de</strong>n OpenLDAP-<br />
Server verwen<strong>de</strong>t. Die Zertifikatsdateien wer<strong>de</strong>n unter /etc/ssl/private abgelegt. Än<strong>de</strong>rn Sie unter Verwendung von linuxmuster-setup<br />
<strong>de</strong>n Server- und/o<strong>de</strong>r Domainnamen <strong>de</strong>s Systems, wird automatisch ein neues Serverzertifikat erstellt.<br />
Sie können selbst ein neues Serverzertifikat einfach durch Aufruf <strong>de</strong>s Skripts<br />
# /usr/share/linuxmuster/scripts/create-ssl-cert.sh<br />
erstellen.<br />
Bei <strong>de</strong>r Installation wur<strong>de</strong> ein Serverzertifikat erstellt. Wenn Sie ein Serverzertifikat mit an<strong>de</strong>ren Werten möchte, müssen Sie das<br />
Skript vor <strong>de</strong>m Aufruf entsprechend anpassen. Die Anpassungen nehmen Sie am Anfang <strong>de</strong>s Skriptes vor:<br />
# modify this to your needs<br />
days=3650<br />
country="DE"<br />
state="BW"<br />
location="Musterstadt"<br />
schoolname="Musterschule"<br />
section="<strong>paedML</strong>-<strong>Linux</strong>-<strong>3.0</strong>"<br />
[ -z "$myname" ] && myname="server.linuxmuster.local"<br />
mymail="administrator@linuxmuster.local"<br />
Anmerkung<br />
Stellen Sie zuerst eine Kopie <strong>de</strong>s Skripts her und arbeiten Sie dann mit <strong>de</strong>r Kopie.<br />
5.2. OpenVPN-Client-Zertifikate<br />
Lehrer/innen wie Schüler/innen können ihr OpenVPN-Client-Zertifikat über die Schulkonsole auf <strong>de</strong>r Startseite erstellen. Nach <strong>de</strong>r<br />
Erstellung müssen die Zertifikate vom Administrator aktiviert wer<strong>de</strong>n, damit sichergestellt ist, dass nur berechtigte Benutzer sicheren<br />
Remotezugriff erhalten. Die Aktivierung und an<strong>de</strong>re Zertifikatverwaltungsaufgaben lassen sich über das IPCop-Webinterface (VPNs<br />
-> OpenVPN -> Client status and control) erledigen. Bei vielen Zertifikaten wird das schnell unübersichtlich und artet zu einer<br />
"Klickorgie" aus. Aus diesem Grund bietet die <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> ein Kommandozeilen-Frontend linuxmuster-ovpn, mit <strong>de</strong>ssen<br />
Hilfe Sie als root auf <strong>de</strong>r Serverkonsole (nicht auf <strong>de</strong>m IPCop direkt) die OpenVPN-Client-Zertifikate verwalten können.<br />
Die Eingabe <strong>de</strong>s Befehls<br />
# linuxmuster-ovpn<br />
liefert eine kurze Übersicht <strong>de</strong>r möglichen Parameter:<br />
Tool to manage OpenVPN client certificates<br />
Usage: linuxmuster-ovpn <br />
<br />
<br />
Version <strong>3.0</strong><br />
Seite 45 / Kapitel 5
<br />
<br />
<br />
<br />
<br />
<br />
Anmerkung<br />
linuxmuster-ovpn verwaltet nur Zertifikate, die es selbst erstellt hat o<strong>de</strong>r die über die Schulkonsole erstellt wur<strong>de</strong>n.<br />
Zertifikate, die direkt über das IPCop-OpenVPN-Webinterface erstellt wur<strong>de</strong>n, wer<strong>de</strong>n ignoriert.<br />
Überprüfen Sie, ob ein User ein Zertifkat erstellt hat<br />
Mit <strong>de</strong>r Option --check wird geprüft, ob sich ein bestimmter User ein Zertifikat erstellt hat:<br />
10:03/1 server ~ # linuxmuster-ovpn --check --username=zell<br />
User zell has an openvpn certificate.<br />
Diese Funktion wird von <strong>de</strong>r Schulkonsole verwen<strong>de</strong>t und ist für die Kommandozeile wenig sinnvoll.<br />
Zertifikat erstellen<br />
Die Option --create ermöglicht die Erstellung eines Zertifikats. Loginname <strong>de</strong>s Users und ein min<strong>de</strong>stens sechs Zeichen langes<br />
Passwort müssen mit übergeben wer<strong>de</strong>n:<br />
10:48/0 server ~ # linuxmuster-ovpn --create --username=zell --password=passwort<br />
Creating openvpn certificate for user zell ...<br />
openvpn certificate for user zell successfully created! :-)<br />
Certificate for user zell successfully downloa<strong>de</strong>d! :-)<br />
Zertifikat und OpenVPN-Konfigurationsdateien wer<strong>de</strong>n in das Heimatverzeichnis <strong>de</strong>s Users in <strong>de</strong>n Ordner OpenVPN heruntergela<strong>de</strong>n.<br />
Die Funktion wird ebenfalls von <strong>de</strong>r Schulkonsole genutzt.<br />
Alternativ kann beim Aufruf das Passwort über die Standar<strong>de</strong>ingabe übergeben wer<strong>de</strong>n:<br />
# echo -e passwort\n | linuxmuster-ovpn --create --username=zell<br />
Zertifikat herunterla<strong>de</strong>n<br />
Mit <strong>de</strong>r Option --download wird das Zertifikat nochmal in das Heimatverzeichnis <strong>de</strong>s Users heruntergela<strong>de</strong>n:<br />
10:56/0 server ~ # linuxmuster-ovpn --download --username=zell<br />
Certificate for user zell successfully downloa<strong>de</strong>d! :-)<br />
Auch diese Funktion wird von <strong>de</strong>r Schulkonsole genutzt.<br />
Zertfikatsinformationen anzeigen<br />
Details zu einem Client-Zertifikat lässt man sich mit <strong>de</strong>r Option --show anzeigen:<br />
11:02/0 server ~ # linuxmuster-ovpn --show --username=zell<br />
Certificate:<br />
Data:<br />
Version: 3 (0x2)<br />
Serial Number: 47 (0x2f)<br />
Signature Algorithm: md5WithRSAEncryption<br />
Issuer: C=DE, ST=BW, L=Musterstadt, O=Musterschule, OU= \x09<strong>paedML</strong>-<strong>Linux</strong>-<strong>3.0</strong>,<br />
CN=Musterschule/emailAddress=administrator@linuxmuster.local<br />
Validity<br />
Not Before: Apr 14 08:49:12 2007 GMT<br />
Not After : Apr 11 08:49:12 2017 GMT<br />
Subject: C=DE, ST=BW, O= \x09Musterschule, CN= Klaus zell [zell]<br />
Zertifikate aktivieren<br />
Die Zertifikatsaktivierung geschieht über die Option --activate. Dabei können Sie entwe<strong>de</strong>r nur das Zertifikat eines bestimmten<br />
Users<br />
11:05/0 server ~ # linuxmuster-ovpn --activate --username=zell<br />
Found certificate for user zell.<br />
Version <strong>3.0</strong><br />
Seite 46 / Kapitel 5
Activating OpenVPN certificate for zell!<br />
Executing certificate configuration update ...<br />
o<strong>de</strong>r die Zertifikate einer ganzen Gruppe aktivieren.<br />
11:09/0 server ~ # linuxmuster-ovpn --activate --group=5a<br />
Found certificate for user hartmape.<br />
Activating OpenVPN certificate for hartmape!<br />
Found certificate for user schirrmo.<br />
Activating OpenVPN certificate for schirrmo!<br />
Found certificate for user serdarje.<br />
Activating OpenVPN certificate for serdarje!<br />
Executing certificate configuration update ...<br />
Zertifikate <strong>de</strong>aktivieren<br />
Analog zur Zertifikatsaktivierung lassen sich Zertifikate über die Option --<strong>de</strong>activate auch wie<strong>de</strong>r <strong>de</strong>aktivieren. Für einzelne<br />
User ebenso<br />
11:13/0 server ~ # linuxmuster-ovpn --<strong>de</strong>activate --username=zell<br />
Found certificate for user zell.<br />
Deactivating OpenVPN certificate for zell!<br />
Executing certificate configuration update ...<br />
wie für eine Gruppe.<br />
11:13/0 server ~ # linuxmuster-ovpn --<strong>de</strong>activate --group=5a<br />
Found certificate for user hartmape.<br />
Deactivating OpenVPN certificate for hartmape!<br />
Found certificate for user schirrmo.<br />
Deactivating OpenVPN certificate for schirrmo!<br />
Found certificate for user serdarje.<br />
Deactivating OpenVPN certificate for serdarje!<br />
Executing certificate configuration update ...<br />
Zertifikate löschen<br />
Die Option --purge erlaubt das Löschen von Zertifikaten bestimmter User<br />
11:16/0 server ~ # linuxmuster-ovpn --purge --username=zell<br />
Purging OpenVPN certificate for zell ...<br />
Executing certificate configuration update ...<br />
o<strong>de</strong>r einer ganzen Gruppe.<br />
11:17/0 server ~ # linuxmuster-ovpn --purge --group=5a<br />
Purging OpenVPN certificate for hartmape ...<br />
Purging OpenVPN certificate for schirrmo ...<br />
Purging OpenVPN certificate for serdarje ...<br />
Executing certificate configuration update ...<br />
Dabei wird auch <strong>de</strong>r OpenVPN-Ordner im Heimatverzeichnis <strong>de</strong>s Users gelöscht.<br />
Zertifikate auflisten<br />
Eine Übersicht über alle erstellten Zertifikate inklusive Aktivierungszustand ermöglicht die Option --list:<br />
11:20/0 server ~ # linuxmuster-ovpn --list<br />
1 on Hans Ba<strong>de</strong>r [ba] (teachers)<br />
2 on Hans Bo [bo] (teachers)<br />
3 on Mannfred Bech [bz] (teachers)<br />
4 on Andrea <strong>de</strong>nzer [<strong>de</strong>] (teachers)<br />
5 on doerthe mueller [do] (teachers)<br />
6 on marianne dornstett [dorn] (teachers)<br />
7 on Hans-Peter schoeninger [schoen] (teachers)<br />
9 on Klaus zembowski [zem] (teachers)<br />
22 off Katrin Fray [frayka] (10a)<br />
23 off Felix Gengler [genglefe] (10a)<br />
24 off Judith Ilkes [ilkesju] (10a)<br />
25 off Henriette Imbrogiana [imbroghe] (10a)<br />
26 off Richard Krueger [kruegeri] (10a)<br />
27 on Jochen Gaissinger [gaissijo] (13a)<br />
28 on Tanja Gelhaar [gelhaata] (13a)<br />
29 on Achim Gengler [gengleac] (13a)<br />
Version <strong>3.0</strong><br />
Seite 47 / Kapitel 5
30 off Klaus zell [zell] (teachers)<br />
31 off Peter Hartmann [hartmape] (5a)<br />
32 off Moritz Schirra [schirrmo] (5a)<br />
33 off Jelena Serdarevicic [serdarje] (5a)<br />
Hängt man über eine Pipe noch einen grep-Befehl an, so lassen sich nur die Zertifikate einer bestimmten Gruppe auflisten:<br />
11:26/0 server ~ # linuxmuster-ovpn --list | grep 10a<br />
22 off Katrin Fray [frayka] (10a)<br />
23 off Felix Gengler [genglefe] (10a)<br />
24 off Judith Ilkes [ilkesju] (10a)<br />
25 off Henriette Imbrogiana [imbroghe] (10a)<br />
26 off Richard Krueger [kruegeri] (10a)<br />
Zertifikate aufräumen<br />
Wollen Sie die Zertifikate gelöschter User wie<strong>de</strong>r loswer<strong>de</strong>n und die Zertifikate von Usern, die in <strong>de</strong>n Dachbo<strong>de</strong>n versetzt wur<strong>de</strong>n,<br />
<strong>de</strong>aktivieren, so ist --cleanup die Option <strong>de</strong>r Wahl:<br />
# linuxmuster-ovpn --cleanup<br />
Nach Aufruf dieses Befehls sind alle Zertifikate, für die keine User mehr auf <strong>de</strong>m System existieren, gelöscht. Außer<strong>de</strong>m wer<strong>de</strong>n die<br />
Zertifikate nur noch gedul<strong>de</strong>ter User <strong>de</strong>aktiviert. Es empfiehlt sich also diesen Befehl immer im Anschluss an eine Aktion, bei <strong>de</strong>r<br />
User gelöscht o<strong>de</strong>r versetzt wur<strong>de</strong>n, aufzurufen.<br />
Darüberhinaus ist es eventuell wünschenswert am Schuljahresen<strong>de</strong> alle Schülerzertifikate zu löschen. Dies ermöglicht die Option<br />
--purgeallstu<strong>de</strong>ntcerts:<br />
# linuxmuster-ovpn --purgeallstu<strong>de</strong>ntcerts<br />
Vorsicht: Nach dieser Aktion sind wirklich alle Schülerzertifikate gelöscht!<br />
Es bietet sich an, diese Aufräumaktionen per Cronjob automatisiert ausführen zu lassen. Entsprechen<strong>de</strong> Beispiele sind auf <strong>de</strong>m Server<br />
bereits angelegt. Loggen Sie sich als root in Webmin ein (https://server:999) und navigieren Sie nach System -> Geplante<br />
Cron-Aufträge. Dort können Sie die Beispiele ihren Anfor<strong>de</strong>rungen entsprechend anpassen und aktivieren. Alternativ lässt sich dies<br />
als root auch auf <strong>de</strong>r Serverkonsole mit <strong>de</strong>m Befehl crontab -e erledigen (Kenntnisse über die Bedienung <strong>de</strong>s Editors vi und <strong>de</strong>r<br />
Notation von Crontab-Einträgen vorausgesetzt):<br />
# 0 1 1 * * /usr/sbin/linuxmuster-backup --full<br />
# 0 2 9,17,25 * * /usr/sbin/linuxmuster-backup --diff<br />
# 0 3 2-8,10-16,18-24,26-31 * * /usr/sbin/linuxmuster-backup --inc<br />
# 0 0 * * * /usr/sbin/linuxmuster-ovpn --cleanup<br />
# 30 0 31 7 * /usr/sbin/linuxmuster-ovpn --purgeallstu<strong>de</strong>ntcerts<br />
Gültigkeitsdauer von Zertifikaten festlegen<br />
Die Standard-Gültigkeitsdauer von OpenVPN-Client-Zertifikaten wird in <strong>de</strong>r Konfigurationsdatei /etc/linuxmuster/clientcert.conf<br />
festgelegt<br />
s in days, <strong>de</strong>fault 10 years<br />
admins_certperiod=3650<br />
# period for teachers in days, <strong>de</strong>fault 10 years<br />
teachers_certperiod=3650<br />
# period for others in days, <strong>de</strong>fault 1 year<br />
others_certperiod=365<br />
Die Gültigkeitsdauer wird in Tagen abgegeben. Die Standardwerte sind für Administratoren und Lehrer/innen jeweils 3650 Tage, für<br />
an<strong>de</strong>re User (Schüler/innen) 365 Tage. Än<strong>de</strong>rn Sie gegebenenfalls die Werte entsprechend Ihren Anfor<strong>de</strong>rungen.<br />
Beachten Sie, dass die hier festgelegten Werte für die Gültigkeitsdauer nur von linuxmuster-ovpn ausgewertet wer<strong>de</strong>n. Zertifikate,<br />
die Sie mit <strong>de</strong>m IPCop-OpenVPN-Webinterface erstellen, sind generell 16 Jahre gültig.<br />
6. Monitoring mit Nagios<br />
Nagios 13 ist ein Host- und Service-Monitoring-System. Es überwacht Rechner und Server-Dienste und schickt bei Problemen Mitteilungen<br />
an <strong>de</strong>n Administrator. Aktuelle Statusinformationen und Reports können über ein Webfrontend abgerufen wer<strong>de</strong>n.<br />
13 http://www.nagios.org<br />
Version <strong>3.0</strong><br />
Seite 48 / Kapitel 5
6.1. Zugriff auf das Webinterface<br />
Nach <strong>de</strong>r Installation <strong>de</strong>s Servers können Sie unter <strong>de</strong>r Adresse https:///nagios2/ auf das Nagios-Webinterface zugreifen.<br />
Sie müssen sich als Benutzer administrator mit <strong>de</strong>ssen Passwort anmel<strong>de</strong>n. Der Benutzername muss klein geschrieben wer<strong>de</strong>n.<br />
Unterschiedliche Blickwinkel auf Hosts und Services bekommen Sie durch Auswahl <strong>de</strong>r Menüpunkte im Menü auf <strong>de</strong>r linken Seite.<br />
Von beson<strong>de</strong>rem Interesse ist dort zunächst <strong>de</strong>r Punkt Service Detail, welcher einen Überblick über alle Services unter <strong>de</strong>r Kontrolle<br />
von Nagios liefert. Zunächst sind dort alle Services grau, nach und nach wer<strong>de</strong>n Sie mit <strong>de</strong>n aktuellen Statusmeldungen gefüllt:<br />
6.2. Mail-Benachrichtigungen<br />
Der Benutzer administrator bekommt bei je<strong>de</strong>m Statuswechsel eines Dienstes eine Mail. Nagios kennt 4 Stati: OK, Warning,<br />
Critical und Unknown. Wann immer ein Dienst seinen Status ( z.B. von OK nach Warning - o<strong>de</strong>r zurück) wechselt, wird eine Mail<br />
Version <strong>3.0</strong><br />
Seite 49 / Kapitel 5
verschickt. Bei Diensten, die sich anhaltend im Status Warning o<strong>de</strong>r Critical befin<strong>de</strong>n, wer<strong>de</strong>n fortlaufend Mails verschickt, die auf<br />
das Problem aufmerksam machen.<br />
Im Rahmen <strong>de</strong>r Fernwartung sieht die Konfiguration vor, einen weiteren Kontakt zu <strong>de</strong>finieren, an <strong>de</strong>n Fehlermeldungen zu Systemlast,<br />
Speicherauslastung und Festplattenplatz gesandt wer<strong>de</strong>n, wenn Sie als Netzwerkberater nicht zeitnah reagieren. Die Mailadresse<br />
dieses Kontakts können Sie in <strong>de</strong>r Konfigurationsdatei festlegen.<br />
Darüber hinaus können Sie weitere Personen festlegen, die alle Fehlermeldungen <strong>de</strong>s Systems erhalten. Eine beispielhafte Konfiguration<br />
fin<strong>de</strong>n Sie in <strong>de</strong>r Datei /etc/nagios2/conf.d/linuxmuster_custom.cfg <strong>de</strong>ren Inhalt unten zu sehen<br />
ist.<br />
# custom contact(s) ##########################<br />
<strong>de</strong>fine contact{<br />
contact_name<br />
custom1<br />
alias<br />
Help from outsi<strong>de</strong><br />
; change the next two lines to something useful<br />
; to enable this contact. possible options are:<br />
; 24x7, workhours, nonworkhours<br />
; (see main config file for timeperiod <strong>de</strong>finitions)<br />
service_notification_period never<br />
host_notification_period never<br />
service_notification_options w,u,c,r<br />
host_notification_options d,u,r<br />
service_notification_commands notify-by-email<br />
host_notification_commands host-notify-by-email<br />
; adjust email to your needs...<br />
email<br />
eine.emailadresse@irgendwo.<strong>de</strong><br />
}<br />
# custom contact group #############################<br />
<strong>de</strong>fine contactgroup{<br />
; do NOT change this name!<br />
contactgroup_name custom-group<br />
alias<br />
Angepasste Liste mit weiteren Admins<br />
; add your own contacts as a comma seperated list<br />
members<br />
custom1<br />
}<br />
Um <strong>de</strong>n Kontakt custom1 zu aktivieren müssen Sie anstelle von never für die bei<strong>de</strong>n Benachrichtigungszeiträume service_notification_period<br />
und host_notification_period eine an<strong>de</strong>re Zeit<strong>de</strong>finition angeben, am besten 24x7, um in je<strong>de</strong>m Falle informiertzu<br />
wer<strong>de</strong>n. Den Namen <strong>de</strong>r Kontaktgruppe custom-group dürfen Sie nicht verän<strong>de</strong>rn, da auf diese Gruppenbezeichnung in <strong>de</strong>r automatisierten<br />
Konfiguration Bezug genommen wird. Damit die Benachrichtigung an externe Mailadressen funktioniert, muss <strong>de</strong>r Server<br />
natürlich Mails an solche Adressen ausliefern können.<br />
6.3. Anpassung <strong>de</strong>r Konfiguration<br />
Dienste, welche auf Schwellwerte reagieren sollen (CPULoad, Mailqueue,o.ä.) können in <strong>de</strong>r Datei /etc/linuxmuster/nagios.conf<br />
angepasst wer<strong>de</strong>n. Diese Datei ist entsprechend kommentiert. Hier sehen Sie einen Auszug:<br />
# Main configuration for linuxmuster-nagios<br />
# Frank Schiebel <br />
# <strong>de</strong>scriptions for the servers<br />
DESC_SERVER="Server <strong>de</strong>r PaedML <strong>3.0</strong>"<br />
DESC_FW="Firewall <strong>de</strong>r PaedML <strong>3.0</strong>"<br />
# <strong>de</strong>scription for servergroup<br />
DESC_SERVERGROUP="Server <strong>de</strong>r PaedML <strong>3.0</strong>"<br />
# check interval: nagios checks all <strong>de</strong>fined services<br />
# asynchronous with the given interval in minutes.<br />
# intensive checking can take a big amount of system<br />
# performance!<br />
# <strong>de</strong>fault: 15 Minutes<br />
GENERIC_CHECK_INTERVAL = 15<br />
# escalation settings: nagios can escalate notifications<br />
# to external support.<br />
# To enable external notifications, set an appropriate email-address<br />
REMOTE_SUPPORT_EMAIL = ""<br />
# which services should be notificated remotley? service names must match<br />
# exactly and be seperated by pipes (|)<br />
Version <strong>3.0</strong><br />
Seite 50 / Kapitel 5
# Disk space currently is always notificated remotely.<br />
REMOTE_SUPPORT_SERVICES = "SYS - memory/swap | SYS - memory/application mem | SYS - CPU Load"<br />
# hard disk monitoring <strong>de</strong>vices<br />
# auto:20:10 Tries to examine the system an sets up<br />
# monitoring for all recognized <strong>de</strong>vices. In this<br />
# example warning level ist 20%, critical<br />
# level is 10% free on all <strong>de</strong>vices. You can change<br />
# these values accordingly - be shure to set<br />
# critical less than emergency<br />
# /usr/local:20:10<br />
# List of *mount points* to monitor seperated by<br />
# whitespaces. You can set warning and critical<br />
# free space on a per <strong>de</strong>vice basis<br />
#<br />
#DISK_DEVICES="/usr/local:30:20 /home:20:10"<br />
DISK_DEVICES="auto:20:10"<br />
# SWAP usage warning & critical levels<br />
# amount of FREE space to change the<br />
# state into warning/emergency<br />
SWAP_WARN="70"<br />
SWAP_CRIT="40"<br />
# Memory usage warning & critical levels<br />
# amount of space to change the<br />
# state into warning/emergency<br />
MEM_WARN="90"<br />
MEM_CRIT="95"<br />
# CPU Load warning & critical levels<br />
# cpu load to change state into warning/emergency.<br />
# Format: !!<br />
# For help on the meaning of these values refere to top/uptime<br />
# man pages<br />
# Whenever one of the limits is overrid<strong>de</strong>n, state changes<br />
# to warnig/critical<br />
LOAD_WARN="6!5!4"<br />
LOAD_CRIT="15!12!8"<br />
Nach je<strong>de</strong>r Än<strong>de</strong>rung in <strong>de</strong>r Datei /etc/linuxmuster/nagios.conf muss das Skript<br />
# linuxmuster-nagios-setup<br />
ausgeführt wer<strong>de</strong>n und nagios neu gestartet wer<strong>de</strong>n:<br />
# /etc/init.d/nagios2 stop<br />
# /etc/init.d/nagios2 start<br />
Die eigentliche nagios-Konfiguration wird dabei in die Datei /etc/nagios2/conf.d/linuxmuster_main.cfg geschrieben.<br />
Diese Datei sollten Sie keinesfalls manuell än<strong>de</strong>rn, da diese Datei bei je<strong>de</strong>m Skriptlauf von linuxmuster-nagios-setup neu erzeugt<br />
wird. Eigene Anpassungen, die über die Möglichkeiten <strong>de</strong>r automatisierten Konfiguration hinausgehen sollten Sie in <strong>de</strong>r Datei<br />
/etc/nagios2/conf.d/linuxmuster_custom.cfg vornehmen.<br />
Mit Hilfe von linuxmuster-nagios-setup können Sie die Konfiguration in /etc/nagios2/ in <strong>de</strong>n Ausgangszustand zurücksetzen.<br />
Rufen Sie dazu das Skript mit <strong>de</strong>r Option linuxmuster-nagios-setup --first auf:<br />
# linuxmuster-nagios-setup --first<br />
This command resets the nagios configuration to a <strong>de</strong>fault state.<br />
*** ALL CONFIGURATION FILES IN THE DIRECTORY /etc/nagios2/ WILL BE LOST! ***<br />
Do you really want to proceed [yes/no]? yes<br />
OK - configuration reset to <strong>de</strong>fault.<br />
In case of emergency, you will find a tarfile of your last<br />
configuration in /var/backup/linuxmuster/nagios/lastconfig.tgz<br />
Der Befehl löscht das gesamte Verzeichnis /etc/nagios2/ und erstellt eine neue Ausgangskonfiguration aus <strong>de</strong>r Datei /etc/linuxmuster/nagios.conf.<br />
Parameter und Schwellwerte, die Sie dort zuvor angepasst haben, bleiben also erhalten, nicht aber<br />
Anpassungen in <strong>de</strong>r Datei /etc/nagios2/conf.d/linuxmuster_custom.cfg. Auch alle an<strong>de</strong>ren mögflicherweise vorhan<strong>de</strong>nen<br />
Konfigurationsdateien wer<strong>de</strong>n gelöscht.<br />
Version <strong>3.0</strong><br />
Seite 51 / Kapitel 5
7. Fernwartungsadministrator einrichten<br />
Falls Sie einen Dienstleister o<strong>de</strong>r die Support-Netz-Hotline mit <strong>de</strong>r Fernwartung Ihres Servers beauftragt haben, können Sie zu diesem<br />
Zweck einen Fernwartungsadministrator einrichten. Dieser erhält <strong>de</strong>n Loginnamen remoteadmin. Einmal eingerichtet kann sich<br />
dieser Benutzer auf <strong>de</strong>r Serverkonsole einloggen und über <strong>de</strong>n Befehl sudo Superuserrechte erlangen. Des weiteren ist er in <strong>de</strong>r Lage<br />
sich auf Arbeitsstationen, in <strong>de</strong>r Schulkonsole und in Webmin einzuloggen. Außer<strong>de</strong>m wird für ihn ein OpenVPN-Zertifikat 14 erzeugt,<br />
sodass er auch eine VPN-Verbindung zum Server aufbauen kann. Zu<strong>de</strong>m wird ein E-Mail-Konto eingerichtet. Für die Quotierung<br />
wer<strong>de</strong>n die Werte <strong>de</strong>s Benutzers administrator übernommen.<br />
Die Aktivitäten <strong>de</strong>s remoteadmin auf <strong>de</strong>r Konsole wer<strong>de</strong>n in /home/administrators/remoteadmin/.bash_history<br />
beziehungsweise /root/.bash_history mitgeloggt. Der Wechsel <strong>de</strong>r I<strong>de</strong>ntität per sudo wird in /var/log/auth.log aufgezeichnet.<br />
Sie erzeugen <strong>de</strong>n Fernwartungsaccount mit <strong>de</strong>m Befehl:<br />
# remoteadmin --create<br />
Im Verlauf wer<strong>de</strong>n Sie je zweimal aufgefor<strong>de</strong>rt das Benutzerpasswort und das Zertifikatspasswort einzugeben. Das neu erstellte Zertifikat<br />
wird dabei sofort freigeschaltet.<br />
Durch Eingabe <strong>de</strong>s Befehls<br />
# remoteadmin --<strong>de</strong>activate<br />
können Sie <strong>de</strong>n Account <strong>de</strong>aktivieren. Der Benutzer remoteadmin kann sich daraufhin nicht mehr anmel<strong>de</strong>n. Sein Homeverzeichnis<br />
und das OpenVPN-Zertifikat (inklusive Zertifikatspasswort) bleiben jedoch erhalten, wobei das Zertfikat jedoch <strong>de</strong>aktiviert wird.<br />
Bei Bedarf wird <strong>de</strong>r Benutzer über <strong>de</strong>n Befehl<br />
# remoteadmin --activate<br />
wie<strong>de</strong>r aktiviert. Dabei ist wie<strong>de</strong>r ein neues Benutzerpasswort zu vergeben. Das Passwort für das Open-VPN-Zertifikat bleibt auf <strong>de</strong>m<br />
Wert, <strong>de</strong>r beim Erzeugen <strong>de</strong>s Accounts eingegeben wur<strong>de</strong>.<br />
Um <strong>de</strong>n Fernwartungsadministrator komplett vom System zu entfernen, geben Sie<br />
# remoteadmin --remove<br />
ein.<br />
14 Siehe Abschnitt OpenVPN-Client-Zertifikate<br />
Version <strong>3.0</strong><br />
Seite 52 / Kapitel 5
Kapitel 6. IPCop<br />
Der <strong>paedML</strong>-IPCop, ob <strong>de</strong>diziert o<strong>de</strong>r integriert, unterschei<strong>de</strong>t sich in einigen Punkten von einem Standard-IPCop:<br />
• <strong>de</strong>r Zugriff per SSH auf Port 222 vom grünen Netz aus ist nach <strong>de</strong>r Installation automatisch aktiviert;<br />
• zusätzliche sogenannte Add-Ons sind installiert:<br />
• Advanced Proxy 15 ,<br />
• Urlfilter 16 ,<br />
• BlockOutTraffic 17 und<br />
• Zerina OpenVPN 18 .<br />
1. Auslieferungszustand<br />
Standar<strong>de</strong>instellungen für <strong>de</strong>n externen Zugriff auf <strong>de</strong>n Server<br />
Nach <strong>de</strong>r Installation ist <strong>de</strong>r externe Zugriff auf <strong>de</strong>n Server nur über SSH auf Port 2222 möglich. Die entsprechen<strong>de</strong> Regel befin<strong>de</strong>t<br />
sich im IPCop-Webinterface unter Firewall | Port-Weiterleitung. Eingehen<strong>de</strong> Verbindungen auf Port 2222 wer<strong>de</strong>n an Port 22 <strong>de</strong>s<br />
Servers weitergeleitet. Sie können <strong>de</strong>n Port für eingehen<strong>de</strong> SSH-Verbindungen än<strong>de</strong>rn, in<strong>de</strong>m Sie die Regel bearbeiten und <strong>de</strong>n Quell-<br />
Port auf einen an<strong>de</strong>ren Wert setzen.<br />
Auf dieser Seite sind weitere Regeln <strong>de</strong>finiert, aber standardmäßig <strong>de</strong>aktiviert. Durch setzen eines Häkchens bei <strong>de</strong>r gewünschten<br />
Regel kann diese aktiviert wer<strong>de</strong>n. So sind im Auslieferungszustand externe Zugriffe auf Mail- und Webdienste zunächst blockiert.<br />
Wollen Sie zum Beispiel E-Mail per SMTP empfangen, müssen Sie die entsprechen<strong>de</strong> Regel aktivieren.<br />
Für Zugriffe aus <strong>de</strong>m Internet über OpenVPN ist unter Firewall | Externer Zugang die "OpenVPN access"-Regel zu aktivieren.<br />
Standar<strong>de</strong>instellungen für <strong>de</strong>n Zugriff aus <strong>de</strong>m internen Netz<br />
Diese Zugriffe wer<strong>de</strong>n über das Addon BOT (Block Outgoing Traffic) geregelt. Die zugehörige Einstellungsseite fin<strong>de</strong>n Sie unter<br />
Firewall | Block Outgoing Traffic. Nach <strong>de</strong>r Installation fin<strong>de</strong>n Sie folgen<strong>de</strong> Standar<strong>de</strong>instellungen vor:<br />
• Aus <strong>de</strong>m grünen Netz ins Internet sind nur die Protokolle ssh, ftp, icmp, https und http (über transparenten Proxy) erlaubt.<br />
15 http://www.advproxy.net<br />
16 http://www.urlfilter.net<br />
17 http://blockouttraffic.<strong>de</strong><br />
18 http://www.zerina.<strong>de</strong><br />
Version <strong>3.0</strong><br />
Seite 53 / Kapitel 6
• Der Server darf zusätzlich die Protokolle smtp und ntp (E-Mail-Versand und Zeitserverabfrage) nutzen.<br />
• Direkter Zugriff auf <strong>de</strong>n IPCop aus <strong>de</strong>m grünen Netz ist nur auf <strong>de</strong>n Ports 800 (Proxy), 222 (SSH) und 445 (Webinterface) erlaubt.<br />
Diese drei Dienste sind unter <strong>de</strong>m Ziel IPCop Access gruppiert (siehe Firewall | Erweiterte BOT Konfig | Dienst Gruppierung).<br />
• Dem Server ist außer<strong>de</strong>m <strong>de</strong>r Zugriff auf <strong>de</strong>n IPCop-DNS und das Pingen erlaubt.<br />
• Aus <strong>de</strong>m blauen Netz ist <strong>de</strong>r direkte Zugriff auf die Dienste unter IPCop Access blockiert. Zugriffe aus <strong>de</strong>m blauen Netz wer<strong>de</strong>n<br />
über das grüne Netz geleitet. BOT-Regeln, die für das grüne Netz erstellt wur<strong>de</strong>n, gelten automatisch auch für Clients aus <strong>de</strong>m<br />
blauen Netz.<br />
2. Einstellungen sichern und wie<strong>de</strong>rherstellen<br />
Diese Anleitung gilt gleichermaßen für <strong>de</strong>dizierten und integrierten IPCop.<br />
Unter System | Datensicherung bietet IPCop auf <strong>de</strong>m Webinterface zwar eine Funktion zur Datensicherung an. Diese Funktion<br />
sichert jedoch nicht alle Einstellungen, die <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> spezifisch auf <strong>de</strong>m IPCop vorgenommen wer<strong>de</strong>n. Daher bietet die<br />
<strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> eine eigene Funktion zur Sicherung <strong>de</strong>r IPCop-Daten an. Diese steht <strong>de</strong>m Administrator mit <strong>de</strong>m Shell-Skript<br />
/usr/share/linuxmuster-ipcop/backup-settings.sh zur Verfügung. Dieses Skript wird auch von linuxmusterbackup<br />
verwen<strong>de</strong>t, wenn in <strong>de</strong>r Backupkonfiguration <strong>de</strong>r Wert für ipcop auf yes gesetzt wur<strong>de</strong>.<br />
Sichern Sie die IPCop-Einstellungen durch Aufruf <strong>de</strong>s Befehls<br />
# /usr/share/linuxmuster-ipcop/backup-settings.sh<br />
als root auf <strong>de</strong>r Serverkonsole. Die Einstellungen wer<strong>de</strong>n in ein komprimiertes tar-Achiv unter<br />
/var/lib/linuxmuster-ipcop/ipcop-backup.tar.gz<br />
gesichert.<br />
Zur Wie<strong>de</strong>rherstellung <strong>de</strong>r gesicherten Einstellungen la<strong>de</strong>n Sie zunächst das Backuparchiv auf <strong>de</strong>n IPCop nach /tmp hochlädt.<br />
# scp -P 222 /var/lib/linuxmuster-ipcop/ipcop-backup.tar.gz ipcop:/tmp<br />
Danach loggen Sie sich per ssh als root auf <strong>de</strong>m IPCop ein<br />
# ssh -p 222 ipcop<br />
und packen das Archiv ins Rootverzeichnis aus.<br />
# tar xzvf /tmp/ipcop-backup.tar.gz -C /<br />
Abschließend müssen Sie <strong>de</strong>n IPCop neu starten. Diese Vorgehensweise lässt sich per ssh von einem Client aus <strong>de</strong>m Intranet durchführen.<br />
Sie müssen hierfür nicht unbedingt direkt an <strong>de</strong>r Serverkonsole arbeiten.<br />
Wenn Sie vom linuxmuster-backup bei je<strong>de</strong>m Backuplauf die IPCop-Einstellungen mitsichern, können Sie Einstellungen aus<br />
bestimmten Backupsets wie<strong>de</strong>r herstellen. Dazu kopieren Sie sich das Backuparchiv mittels mondorestore aus <strong>de</strong>m entsprechen<strong>de</strong>n<br />
Backupset heraus (siehe Abschnitt Wie<strong>de</strong>rherstellung von Dateien und Verzeichnissen im Livebetrieb) und führen dann die Wie<strong>de</strong>rherstellung<br />
nach <strong>de</strong>r oben geschil<strong>de</strong>rten Metho<strong>de</strong> durch.<br />
3. IPCop Disaster Recovery<br />
Ein nicht mehr funktionstüchtiger IPCop lässt sich abhängig von <strong>de</strong>r Installationsvariante in wenigen Schritten wie<strong>de</strong>rherstellen. Also:<br />
Don't panic!<br />
3.1. Dedizierter IPCop<br />
In diesem Fall kommen Sie nicht umhin <strong>de</strong>n <strong>de</strong>dizierten IPCop zunächst nach Anleitung (siehe Abschnitt 1 „Installation <strong>de</strong>s IPCop<br />
(<strong>de</strong>diziert)“) neu aufzusetzen. Ist <strong>de</strong>r neu installierte IPCop gestartet, stellen Sie sicher, dass die interne Netzwerkverbindung zwischen<br />
Server und IPCop funktioniert. Loggen Sie sich dann als root auf <strong>de</strong>m Server ein und starten Sie das Skript<br />
# /usr/share/linuxmuster-ipcop/restore-<strong>de</strong>dicated.sh<br />
Zu Beginn wer<strong>de</strong>n Sie aufgefor<strong>de</strong>rt das IPCop-root-Passwort einzugeben:<br />
linuxmuster's <strong>de</strong>dicated IPCop restoring tool<br />
--------------------------------------------<br />
Please enter IPCop's root password:<br />
Version <strong>3.0</strong><br />
Seite 54 / Kapitel 6
Ist das erfolgt, wird <strong>de</strong>r <strong>de</strong>dizierte IPCop mit allen Updates und Addons neu an die <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> angepasst. Liegt ein Einstellungsbackup<br />
vor (siehe Abschnitt 2 „Einstellungen sichern und wie<strong>de</strong>rherstellen“), so wird dieses wie<strong>de</strong>r zurückgespielt. Nach<br />
Abschluss <strong>de</strong>r Wie<strong>de</strong>rherstellung wird <strong>de</strong>r IPCop neu gestartet.<br />
Ist <strong>de</strong>r IPCop nach <strong>de</strong>m Neustart wie<strong>de</strong>r online, muss schließlich noch auf <strong>de</strong>m Server mit <strong>de</strong>m Befehl<br />
# dpkg-reconfigure linuxmuster-ipcop<br />
die IPCop-Konfiguration aktualisiert wer<strong>de</strong>n. Falls das fehlschlägt und die Aktion mit <strong>de</strong>r Meldung "IPCop is not online!" abbricht,<br />
müssen Sie die Datei /root/.ssh/known_hosts löschen:<br />
# rm /root/.ssh/known_hosts<br />
Verbin<strong>de</strong>n Sie sich dann per ssh mit <strong>de</strong>r IPCop-IP-Adresse (die Adresse im Beispiel müssen Sie gegebenenfalls anpassen):<br />
# ssh -p 222 10.16.1.254<br />
Bestätigen Sie die Sicherheitsabfrage bezüglich <strong>de</strong>s Schlüssels mit "yes" und loggen Sie sich dann mit <strong>de</strong>m Befehl "exit" wie<strong>de</strong>r aus.<br />
Nun sollte die <strong>de</strong>dizierte IPCop-Firewall wie<strong>de</strong>r reibungslos funktionieren.<br />
3.2. Integrierter IPCop<br />
Mit folgen<strong>de</strong>r Vorgehensweise verfügen Sie in kürzester Zeit wie<strong>de</strong>r über einen lauffähigen IPCop:<br />
Stoppen Sie als Erstes <strong>de</strong>n IPCop-Dienst:<br />
# /etc/init.d/linuxmuster-ipcop stop<br />
Nun wird mit einem Befehl die IPCop-User-Mo<strong>de</strong>-<strong>Linux</strong>-Umgebung komplett neu aufgebaut und ein etwaiges Einstellungsbackup<br />
wie<strong>de</strong>r zurückgespielt:<br />
# /usr/share/linuxmuster-ipcop/restore-uml.sh<br />
Je nach Hardwareausstattung <strong>de</strong>s Servers dauert dies ein paar Minuten. Ist die Wie<strong>de</strong>rherstellung abgeschlossen, starten Sie <strong>de</strong>n<br />
IPCop-Dienst einfach wie<strong>de</strong>r:<br />
# /etc/init.d/linuxmuster-ipcop start<br />
Es kann einen Moment dauern bis <strong>de</strong>r IPCop wie<strong>de</strong>r online ist. Überprüfen Sie das am Besten mit einem Ping. Wenn er sich wie<strong>de</strong>r<br />
mel<strong>de</strong>t, müssen Sie abschließend noch mit <strong>de</strong>m Befehl<br />
# dpkg-reconfigure linuxmuster-ipcop<br />
die IPCop-Konfiguration auf <strong>de</strong>n neuesten Stand bringen. Danach sollte <strong>de</strong>r integrierte IPCop wie<strong>de</strong>r funktionieren.<br />
Version <strong>3.0</strong><br />
Seite 55 / Kapitel 6
Kapitel 7. Client-Integration<br />
1. Vergabe <strong>de</strong>r IP-Adressen<br />
Vor <strong>de</strong>r Integration <strong>de</strong>r Arbeitsstationen in das Netz muss klar sein, wie viele Räume, welche PC-Namen und IP-Adressen im LAN<br />
benutzt wer<strong>de</strong>n sollen. Die <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> bietet die Möglichkeit einen kompletten Rechnerraum mit nur einem Mausklick vom<br />
Internet und Drcuker zu trennen. Dazu müssen die IP-Adressen <strong>de</strong>r Rechner nach einem bestimmten Schema aufgebaut sein. Hier ein<br />
Beispiel:<br />
Zuordnung <strong>de</strong>r Client-IP-Adressen<br />
Gebäu<strong>de</strong><br />
Raum<br />
Rechnername/IP<br />
Rechnername/IP<br />
Rechnername/IP<br />
Gebäu<strong>de</strong> 1<br />
Raum 113<br />
g1r113-pc01<br />
g1r113-pc02<br />
g1r113-pc03<br />
10.16.113.1<br />
10.16.113.2<br />
10.16.113.3<br />
Gebäu<strong>de</strong> 2<br />
Raum 221<br />
g2r221-pc01<br />
g2r221-pc02<br />
g2r221-pc03<br />
10.17.221.1<br />
10.17.221.2<br />
10.17.221.2<br />
Gebäu<strong>de</strong> 16<br />
Raum 203<br />
g16r203-pc01<br />
g16r203-pc02<br />
g16r203-pc03<br />
10.31.203.1<br />
10.31.203.2<br />
10.31.203.3<br />
Je<strong>de</strong> IP-Adresse besteht aus vier Ziffernblöcken, die durch einen Punkt getrennt sind, z.B.: 10.16.113.21. Der zweite und dritte Ziffernblock<br />
muss für alle Rechner eines Raumes i<strong>de</strong>ntisch sein. Stehen die Rechner nun in Gebäu<strong>de</strong> 1 im Raum 113, so sollten die IP-<br />
Adressen zum Beispiel folgen<strong>de</strong> Struktur haben: 10.16.113.x. Dabei stellt x eine laufen<strong>de</strong> Nummer für die Arbeitsstationen dar.<br />
Wichtiger Hinweis<br />
Denken Sie bei <strong>de</strong>r Vergabe <strong>de</strong>r IP-Adressen daran, dass<br />
• abhängig vom (für das interne Netz) gewählten IP-Bereich im zweiten Ziffernblock nur Werte zwischen 16 und 31<br />
(32 und 47 usw.) gewählt wer<strong>de</strong>n dürfen;<br />
• die Raum- und PC-Nummern (dritter und vierter Ziffernblock) nur im Bereich von 1 bis 254 liegen dürfen;<br />
• kein Rechnername und keine IP-Adresse doppelt vorkommen darf.<br />
2. Client-Integration Schritt für Schritt<br />
Dieser Abschnitt beschreibt, wie Sie mit Rembo/mySHN Schritt für Schritt ihre Arbeitsstationen in das Schulnetzwerk integrieren.<br />
Weiterführen<strong>de</strong> Informationen zum Handling von Rembo/mySHN im Schulalltag fin<strong>de</strong>n Sie in <strong>de</strong>r Dokumentation von mySHN<br />
(mySHN-30624.pdf) auf <strong>de</strong>r Installations-CD im Ordner doc/linuxmuster.<br />
Anmerkung<br />
Rembo steht für remotely managed boot operations und ist ein Softwareprodukt <strong>de</strong>r Schweizer Firma Rembo Technology<br />
SARL. Rembo ist eine Imaging-Software und zugleich eine äußerst vielseitige und leistungsfähige Programmiersprache,<br />
mit <strong>de</strong>r sich Computersysteme und die darauf laufen<strong>de</strong>n Betriebssysteme und Anwendungen vor <strong>de</strong>m Start <strong>de</strong>s Betriebssystems<br />
nahezu beliebig manipulieren lassen.<br />
mySHN ist eine grafische Bedienoberfläche für Rembo, die von <strong>de</strong>r Firma SBE (Heilbronn) entwickelt wur<strong>de</strong>. Es verfügt<br />
über mächtige Funktionen und erleichtert <strong>de</strong>n Umgang mit Rembo <strong>de</strong>utlich.<br />
Die Aufnahme <strong>de</strong>r Arbeitsstationen ins Schulnetzwerk vollzieht sich in neun Schritten:<br />
1. Musterarbeitsstation für <strong>de</strong>n Netzwerkboot vorbereiten,<br />
2. Musterarbeitsstation ins Schulnetzwerk aufnehmen,<br />
3. Rechnergruppen in Rembo/mySHN konfigurieren,<br />
4. Musterarbeitsstation mit Rembo/mySHN partitionieren,<br />
5. Betriebssystem auf <strong>de</strong>r Musterarbeitsstation installieren,<br />
6. Image von <strong>de</strong>r Musterarbeitsstation erstellen,<br />
7. Domäne beitreten und weitere Anpassungen durchführen,<br />
8. restlichen Arbeitsstationen ins Schulnetzwerk aufnehmen und<br />
Version <strong>3.0</strong><br />
Seite 56 / Kapitel 7
9. Image auf die restlichen Arbeitsstationen verteilen.<br />
Falls Sie schon eine komplett eingerichtete Musterarbeitsstation haben, überspringen Sie Schritt 4 sowie Schritt 5, und führen die<br />
Domänenanmeldung unter Schritt 7 durch, erstellen dann ein Image (Schritt 6) und fahren dann mit Schritt 8 fort.<br />
2.1. Vorbereitung <strong>de</strong>r Musterarbeitsstation für <strong>de</strong>n Netzwerkboot<br />
Vor <strong>de</strong>r Aufnahme eines neuen Rechners ins Schulnetzwerk sind an diesem noc622h Vorbereitungen zu treffen. Folgen<strong>de</strong> Schritte<br />
sind an je<strong>de</strong>r neu aufzunehmen<strong>de</strong>n Arbeitsstation notwendig:<br />
• Die Netzkarte <strong>de</strong>r Arbeitsstation muss auf remote boot (PXE) eingestellt sein. Nehmen Sie hieruzu im Bootrom <strong>de</strong>r Netzwerkkarte<br />
folgen<strong>de</strong> Einstellungen vor:<br />
Starten Sie die erste Arbeitsstation und beobachten Sie <strong>de</strong>n Bootvorgang. Wenn die Meldung<br />
Initializing mba ...<br />
erscheint, drücken Sie bei 3Com-Netzkarten bitte Strg+Alt+B, bei Intel-Karten Strg+S (bei an<strong>de</strong>ren Karten gibt es an<strong>de</strong>re Tastenkombinationen<br />
- man muss schnell sein). Nun erscheint ein Menü, das an drei Stellen zu bearbeiten ist. Das folgen<strong>de</strong> Bild zeigt<br />
als Beispiel das Bootmenü einer Intel-Netzwerkkarte. Die Bootmenüs von an<strong>de</strong>ren Netzwerkkarten sehen ähnlich aus. Die<br />
Bedienung ist im jeweiligen Menü erklärt.<br />
Abbildung 7.1. Bootmenü einer Intel-Netzwerkkarte<br />
Der erste Eintrag Boot Protocol stellen Sie auf PXE, <strong>de</strong>n Eintrag Default Boot auf Network, <strong>de</strong>r Eintrag Local Boot auf Disabled<br />
und <strong>de</strong>r Eintrag Setup Message ebenfalls auf Disable. Vergessen Sie nicht, die Än<strong>de</strong>rungen zu speichern.<br />
• Im Bios <strong>de</strong>s Rechners müssen Sie die Bootreihenfolge so einrichten, dass Booten vom Netz als erster Eintrag genommen wird.<br />
Um <strong>de</strong>n Rechner zusätzlich abzusichern, können Sie noch die an<strong>de</strong>ren Bootgeräte (Festplatte, CDROM etc.) <strong>de</strong>aktivieren und das<br />
BIOS-Setup mit Passwort sichern.<br />
Wenn diese bei<strong>de</strong>n Schritte erledigt sind, wird die Arbeitsstation neu gestartet.<br />
Anmerkung<br />
Auf älteren Rechnern kann es unter Umstän<strong>de</strong>n möglich sein, dass Sie nicht in das Boot-Menü <strong>de</strong>r Netzwerkkarte gelangen.<br />
In diesem Fall hilft Ihnen sehr wahrscheinlich dieser Hinweis von Norman Meilick (SBE network solutions GmbH, Heilbronn)<br />
aus <strong>de</strong>m Support-Forum <strong>de</strong>r Firma SBE:<br />
[...]<br />
> Wir haben eine Ladung alter Rechner (DELL G1, PII, 400 MHZ)<br />
> geschenkt bekommen, die auch super funktionieren und die wir<br />
> mit win98 als clients einsetzen wollen. Ich komme aber - auf<br />
> Teufel komm raus - nicht in das Bootmenü <strong>de</strong>r<br />
> 3Com-Netzwerkkarte.<br />
> Dieselbe Karte funktioniert in an<strong>de</strong>ren Rechnern wun<strong>de</strong>rbar.<br />
Unter<br />
http://www.myshn.<strong>de</strong>/pub/mba-3com.zip<br />
fin<strong>de</strong>n Sie das Image einer Flashdiskette. Dieses müssen Sie auf<br />
eine leere Diskette schreiben.<br />
Unter Windows: makedisk.bat aufrufen<br />
Unter <strong>Linux</strong>: dd if=ba_3com.img of=/<strong>de</strong>v/fd0<br />
Wenn Sie davon booten, wird die 3Com Karte automatisch auf<br />
MBA v4.30 geflasht und verschie<strong>de</strong>ne Einstellungen vorgenommen.<br />
Wenn es danach immer noch nicht funktioniert, booten Sie von<br />
<strong>de</strong>r Diskette und brechen Sie <strong>de</strong>n Startvorgang mit F5 ab.<br />
Rufen Sie dann im ba-3com Ordner das Tool mbacfg.exe auf.<br />
Version <strong>3.0</strong><br />
Seite 57 / Kapitel 7
Dort lässt sich irgendwo die Bootmetho<strong>de</strong> einstellen.<br />
Setzen Sie diese testweise auf "Int 19h", und wenn das nicht<br />
klappt, auf "Int 18h".<br />
[...]<br />
2.2. Aufnahme <strong>de</strong>r Musterarbeitsstation ins Schulnetzwerk<br />
Nach <strong>de</strong>m Start <strong>de</strong>r Arbeitstation mit PXE-Boot (s.o.) öffnet Rembo/mySHN ein Fenster mit einer Meldung, die die Rechneraufnahme<br />
erklärt. Danach geht es mit folgen<strong>de</strong>r Eingabemaske weiter:<br />
Abbildung 7.2. Rechneraufnahme mit Rembo/mySHN<br />
Folgen<strong>de</strong>s ist einzugeben (Gebäu<strong>de</strong>bezeichnung ist optional):<br />
• Rechnername: nach <strong>de</strong>m Schema -, also zum Beispiel g16r203-<br />
pc01, eingeben (max. 15 Zeichen). Beachten Sie bitte, dass als Zeichen nur Kleinbuchstaben, Ziffern und das Minuszeichen<br />
erlaubt sind.<br />
• IP Adresse: abhängig von Ihren Netzdaten, z.B. 10.31.203.1 für diesen PC eingeben. Beachten Sie bitte hier, dass keine 0<br />
erlaubt ist.<br />
• Netzmaske: Unverän<strong>de</strong>rt auf <strong>de</strong>m Wert 255.240.0.0 belassen.<br />
• Raum: geben Sie hier die Raumbezeichnung (z.B. g16r203) ein, in <strong>de</strong>m die Arbeitsstation steht. Beachten Sie bitte, dass sie mit<br />
einem Kleinbuchstaben beginnen und mit <strong>de</strong>m ersten Teil <strong>de</strong>s Rechnernamens i<strong>de</strong>ntisch sein muss.<br />
• Hardwareklasse: ein<strong>de</strong>utiger Name zur Unterscheidung <strong>de</strong>r verschie<strong>de</strong>nen Rechnergruppen, z.B. p4_2000 eingeben. Wichtig:<br />
Ausschließlich Buchstaben (keine Umlaute und Son<strong>de</strong>rzeichen), Ziffern und <strong>de</strong>n Unterstrich (_) verwen<strong>de</strong>n!<br />
• UDMA <strong>de</strong>aktivieren: Nur auszuwählen bei problematischer Hardware.<br />
• Unicast Transfer: Nur anklicken bei Problemen mit diversen Netzwerk-Switches o<strong>de</strong>r Netzwerkkarten, die keinen Multicast-<br />
Transfer unterstützen (z.B. Via-Rhine Onboard-NICs).<br />
Sind alle Eingaben gemacht, bestätigen Sie mit Klick auf die Schaltfläche OK. Danach fahren Sie <strong>de</strong>n Rechner herunter.<br />
Für je<strong>de</strong> Arbeitsstation, die Sie auf diese Weise <strong>de</strong>m Server bekannt machen, wird nun auf <strong>de</strong>m Server in <strong>de</strong>r Datei<br />
/var/lib/rembo/files/global/wimport_data eine Zeile angefügt. So haben die Einträge in obiger Maske folgen<strong>de</strong><br />
Zeile ergeben:<br />
g16r203;g16r203-pc01;p4_2000;00:0C:29:6C:07:B4;10.31.203.1;255.240.0.0;1;1;1;1;22<br />
Die einzelnen Fel<strong>de</strong>r haben folgen<strong>de</strong> Be<strong>de</strong>utung:<br />
Version <strong>3.0</strong><br />
Seite 58 / Kapitel 7
Fel<strong>de</strong>r in <strong>de</strong>r Datei wimport_data<br />
g16r203<br />
g16r203-pc01<br />
p4_2000<br />
00:0C:29:6C:07:B4<br />
10.31.203.1<br />
255.240.0.0<br />
1<br />
1<br />
1<br />
1<br />
22<br />
die Raumbezeichnung<br />
<strong>de</strong>r Hostname (Raumbezeichnung+Gerätename)<br />
die Hardwareklasse/Rechnergruppe<br />
die MAC-Adresse <strong>de</strong>r Netzwerkkarte<br />
die IP-Adresse <strong>de</strong>s Rechners<br />
die Netzmaske für das Schulnetz<br />
Variable, momentan nicht belegt<br />
Variable, momentan nicht belegt<br />
Variable, momentan nicht belegt<br />
Variable, momentan nicht belegt<br />
PXE-Flag: 0 - kein PXE, 22 - PXE<br />
Nach erfolgter Registrierung <strong>de</strong>r Arbeitsstationen müssen Sie auf <strong>de</strong>m Server in einer Kommandozeile das Skript<br />
# import_workstations<br />
aufrufen, um die Aufnahme wirksam wer<strong>de</strong>n zu lassen. Durch <strong>de</strong>n Aufruf <strong>de</strong>s Skripts wer<strong>de</strong>n aus <strong>de</strong>n Arbeitsstationsdaten unter<br />
an<strong>de</strong>rem die Konfigurationsdateien <strong>de</strong>s DHCP-Dienstes generiert und die Arbeitsstationen so mit ihrem DNS-Namen im LAN bekannt<br />
gemacht und beim Booten mit <strong>de</strong>r konfigurierten IP-Adresse versehen.<br />
Unter /var/lib/myshn/groups fin<strong>de</strong>n Sie schließlich die Hardwareklassenunterverzeichnisse. In je<strong>de</strong>m Verzeichnis liegt eine<br />
config-Datei, die Ihren Gegebenheiten (Partitionen und Betriebssysteme) angepasst wer<strong>de</strong>n muss, was im nächsten Abschnitt genauer<br />
beschrieben wird.<br />
2.3. Konfiguration <strong>de</strong>r Rechnergruppen<br />
Bevor man mit Rembo/mySHN arbeitet, muss man sich über folgen<strong>de</strong> Punkte klar wer<strong>de</strong>n:<br />
1. Welche(s) Betriebssystem(e) soll(en) genutzt wer<strong>de</strong>n?<br />
2. Wie sollen die Partitionen auf <strong>de</strong>r lokalen Festplatte aussehen?<br />
3. Welche Dateisysteme (FAT32, NTFS, EXT2) sollen genutzt wer<strong>de</strong>n?<br />
Tipp<br />
Verwen<strong>de</strong>n Sie für Win2000 und WinXP das FAT32-Dateisystem. Rembo dankt es Ihnen mit signifikant kürzeren<br />
Restaurationszeiten.<br />
Die Partitionierungsdaten wer<strong>de</strong>n in einer Konfigurationsdatei von Rembo/mySHN festgehalten. Diese Datei heißt config und liegt<br />
im Verzeichnis:<br />
/var/lib/myshn/<br />
Aus dieser config-Datei wird für je<strong>de</strong> Rechnergruppe die eigentliche Konfigurationsdatei abgeleitet. Die abgeleitete Datei heißt<br />
ebenfalls config und liegt im Verzeichnis <strong>de</strong>r zugehören<strong>de</strong>n Gruppe. Beispiel: Lautet <strong>de</strong>r Gruppenname p4_2000, so ist diese Datei<br />
in<br />
/var/lib/myshn/groups/p4_2000<br />
zu fin<strong>de</strong>n. Die dort liegen<strong>de</strong> config-Datei bestimmt nun die konkreten Partitionierungsdaten für alle Rechner <strong>de</strong>r Gruppe p4_2000.<br />
Beim Umgang mit dieser Datei ist daher größte Vorsicht geboten.<br />
Eine minimale config-Datei:<br />
Version <strong>3.0</strong><br />
Seite 59 / Kapitel 7
Abbildung 7.3. Minimale mySHN-config<br />
Be<strong>de</strong>utung <strong>de</strong>r Schlüsselwörter:<br />
• Unit: gefolgt von einem Namen wird eine physikalische Einheit auf <strong>de</strong>r Festplatte <strong>de</strong>s Arbeitsstation <strong>de</strong>finiert (im Beispiel<br />
u_win98C).<br />
• System: Definition eines Betriebssystems (im Beispiel mit <strong>de</strong>r Kennung win98)<br />
• Type: Der Typ <strong>de</strong>s Betriebssystems wird festgelegt (Windows 98)<br />
• Partition: Definiert die Partitionen, die <strong>de</strong>m Betriebssystem zugeordnet wer<strong>de</strong>n (Beispiel C)<br />
• UseUnit: Definiert die Unit, die die Partition verwen<strong>de</strong>n soll (Beispiel u_win98C)<br />
Kommentarzeilen beginnen mit <strong>de</strong>m Zeichen #. Achten Sie bei <strong>de</strong>r Bearbeitung darauf, dass keine <strong>de</strong>r geschweiften Klammern verloren<br />
geht. Für je<strong>de</strong> geöffnete Klammer muss es die entsprechen<strong>de</strong> geschlossene Klammer geben.<br />
Mit dieser Konfigurationsdatei wird eine Win98-Partition mit zwei Gigabyte angelegt. Nach <strong>de</strong>m Start <strong>de</strong>r Arbeitsstation erhalten Sie<br />
folgen<strong>de</strong>s Rembo-Menü:<br />
Abbildung 7.4. Rembo-Menü mit Win98<br />
Folgen<strong>de</strong>s config-Datei-Beispiel zeigt ein Win98- und Win2000-System, das nach <strong>de</strong>m Start <strong>de</strong>r Arbeitsstation wahlweise gestartet<br />
wer<strong>de</strong>n kann:<br />
Version <strong>3.0</strong><br />
Seite 60 / Kapitel 7
Abbildung 7.5. mySHN-config mit Win98 und Win2000 (1)<br />
Hier sehen Sie die Be<strong>de</strong>utung <strong>de</strong>r Schlüsselwörter hier noch einmal im Einzelnen:<br />
Abbildung 7.6. mySHN-config mit Win98 und Win2000 (2)<br />
Abbildung 7.7. mySHN-config mit Win98 und Win2000 (3)<br />
Die config-Datei kann editiert und nach <strong>de</strong>n eigenen Gegebenheiten und Möglichkeiten angepasst wer<strong>de</strong>n. Zunächst wird je<strong>de</strong>r<br />
Hardwareklasse eine Standard-config-Datei zugeteilt. Sie enthält alle Möglichkeiten. Da es nur sinnvoll ist Betriebssysteme anzubieten,<br />
die auch tatsächlich vorhan<strong>de</strong>n sind, sollten die Teile entfernt wer<strong>de</strong>n, für die kein Betriebssystem vorhan<strong>de</strong>n ist.<br />
Version <strong>3.0</strong><br />
Seite 61 / Kapitel 7
Wenn Sie kein Win98-System haben, so entfernen Sie alle Einträge, die sich auf Win98 beziehen. Am obigen Beispiel wäre das <strong>de</strong>r<br />
Eintrag Unit u_win98C mit <strong>de</strong>n zugehörigen Klammern und allem was in diesen Klammern steht. Zusätzlich müssen Sie <strong>de</strong>n Block<br />
System win98 mit allen zugehörigen Klammern und Inhalten entfernen.<br />
Das Editieren <strong>de</strong>r config-Datei kann am Server als root (Vorsicht!) mit einem Editor ihrer Wahl (z.B. kwrite, wenn die graphische<br />
Oberfläche läuft) o<strong>de</strong>r mit <strong>de</strong>m im Midnight-Comman<strong>de</strong>r (mc) integrierten Editor mcedit geschehen. Mit <strong>de</strong>m Midnight-Comman<strong>de</strong>r<br />
gehen Sie wie folgt vor:<br />
1. Starten Sie <strong>de</strong>n Midnight-Comman<strong>de</strong>r durch die Eingabe von mc in einer Rootkonsole. Wählen Sie mit <strong>de</strong>n Cursortasten im<br />
entsprechen<strong>de</strong>n Verzeichnis die Datei config aus:<br />
/var/lib/myshn/groups/p4_2000/config<br />
2. Drücken Sie die Taste F4, um die Datei zu öffnen und zu bearbeiten. Nach<strong>de</strong>m Sie alle Verän<strong>de</strong>rungen vorgenommen haben,<br />
speichern Sie die Datei mit <strong>de</strong>r Taste F2 ab und verlassen <strong>de</strong>n Editor mit <strong>de</strong>r Taste F10. Die Konfiguration ist nun abgeschlossen.<br />
Bei einem Neustart einer Arbeitsstation in <strong>de</strong>r zugehörigen Hardwareklasse erscheinen im Rembo-Menü nur noch die eben<br />
<strong>de</strong>finierten Systeme.<br />
Anmerkung<br />
Beispielkonfigurationsdateien für verschie<strong>de</strong>ne Betriebssysteme und die Einbindung von Datenpartitionen fin<strong>de</strong>n Sie auf<br />
<strong>de</strong>m Server im Verzeichnis<br />
/usr/share/doc/myshn/examples<br />
Haben Sie die config-Datei Ihren Bedürfnissen entsprechend angepasst, müssen Sie nun die Partionierung auf <strong>de</strong>n Client übertragen.<br />
Dazu starten Sie jetzt die Arbeitsstation.<br />
Wichtiger Hinweis<br />
Rembo benötigt auf <strong>de</strong>m Client einen lokalen Cache-Bereich, in <strong>de</strong>m eine Kopie <strong>de</strong>s Client-Images vorgehalten wird.<br />
Lassen Sie also einen genügend großen Bereich <strong>de</strong>r Client-Festplatte unpartitioniert! Faustregel: ca. 80% <strong>de</strong>s durch<br />
Betriebssystempartitionen belegten Platzes sollte unpartitioniert bleiben. Mit dieser Formel sind Sie auf je<strong>de</strong>n Fall auf <strong>de</strong>r<br />
sicheren Seite.<br />
Beispiel anhand obiger config-Datei:<br />
• Win98-Partition mit 2 GB und<br />
• Win2000-Partition mit 3 GB<br />
Es sind also insgesamt 5 GB <strong>de</strong>r Festplatte durch Betriebssysteme belegt, von <strong>de</strong>nen Images erzeugt wer<strong>de</strong>n sollen. In<br />
diesem Fall sollte die Client-Festplatte ca. 4 GB freien unpartitionierten Bereich bereitstellen.<br />
2.4. Partitionierung <strong>de</strong>r Musterarbeitsstation<br />
Nach <strong>de</strong>m Start <strong>de</strong>r Arbeitsstation über Netzwerkboot, erscheint das Rembo/mySHN-Menü mit <strong>de</strong>r Systemauswahl. Sie enthält<br />
Schaltflächen für die zuvor in <strong>de</strong>r config-Datei <strong>de</strong>finierten Betriebsysteme.<br />
Abbildung 7.8. Rembo/mySHN: Systemauswahl<br />
Über das Totenkopfsymbol starten Sie <strong>de</strong>n Dialog zum Formatieren einer bestimmten Betriebssystempartition. Klicken Sie nun auf<br />
das Totenkopfsymbol <strong>de</strong>s Betriebssystems, <strong>de</strong>ssen Partition Sie formatieren wollen. Es erscheint <strong>de</strong>r folgen<strong>de</strong> Dialog, <strong>de</strong>r hier<br />
Initialisierung genannt wird:<br />
Version <strong>3.0</strong><br />
Seite 62 / Kapitel 7
Abbildung 7.9. Rembo/mySHN: Partition formatieren (1)<br />
Markieren Sie nur das Auswahlfeld bei "C" und <strong>de</strong>aktivieren Sie alle an<strong>de</strong>ren Optionen, <strong>de</strong>nn es gibt ja noch kein Image, das<br />
zurückgespielt o<strong>de</strong>r ein System, das gestartet wer<strong>de</strong>n könnte.<br />
Anmerkung<br />
Falls Sie <strong>de</strong>m Betriebssystem in <strong>de</strong>r config-Datei eine Datenpartition zugeordnet haben, erscheint ein weiteres Auswahlfeld<br />
"D". In diesem Fall markieren Sie dieses zusätzlich, damit die Datenpartition auch formatiert wird.<br />
Um die Formatierung zu starten klicken Sie auf OK. Es erscheint ein Hinweis-Fenster mit einigen Informationen und Warnungen.<br />
Abbildung 7.10. Rembo/mySHN: Partition formatieren (2)<br />
Der Counter beginnt bei 30 Sekun<strong>de</strong>n an abwärts zu zählen, bevor die eigentliche Aktion <strong>de</strong>r Formatierung durchgeführt wird. Sie<br />
können <strong>de</strong>n Zähler stoppen, in<strong>de</strong>m Sie mit <strong>de</strong>r Maus das Häkchen Countdown anhalten wählen o<strong>de</strong>r die Leertaste auf Ihrer Tastatur<br />
drücken. Mit Klick auf OK wird die Partition automatisch angelegt und formatiert. Nun können Sie Ihr Betriebssystem in die neu<br />
angelegte Partition installieren.<br />
2.5. Installation <strong>de</strong>s Betriebssystems auf <strong>de</strong>r Musterarbeitsstation<br />
Wie bei <strong>de</strong>r Installation im Detail vorzugehen ist, hängt natürlich von Ihrem Betriebssystem ab. Im Folgen<strong>de</strong>n schil<strong>de</strong>rn wir <strong>de</strong>n<br />
Ablauf am Beispiel von Windows 2000 Professional ©.<br />
Wichtiger Hinweis<br />
Führen Sie alle Schritte wie beschrieben nacheinan<strong>de</strong>r aus.<br />
1. Stellen Sie gegebenenfalls das BIOS <strong>de</strong>r Arbeitsstation so ein, dass Sie von <strong>de</strong>r Installations-CD booten kann.<br />
Version <strong>3.0</strong><br />
Seite 63 / Kapitel 7
2. Folgen Sie <strong>de</strong>n Anweisungen <strong>de</strong>r Installationsroutine.<br />
3. Bei <strong>de</strong>r Frage nach <strong>de</strong>r Partitionierung übernehmen Sie die von mySHN angelegte Partitionierung. In <strong>de</strong>r Abbildung sehen Sie<br />
ein Beispiel für die Anzeige beim Windows 2000 Professional Setup.<br />
Abbildung 7.11. Windows 2000 Pro Setup: Übernahme <strong>de</strong>r Partitionierung<br />
4. Im nächsten Schritt übernehmen Sie das zuvor erkannte Dateisystem für die Formatierung <strong>de</strong>r Partition.<br />
Abbildung 7.12. Windows 2000 Pro Setup: Formatierung <strong>de</strong>r Partition<br />
Anmerkung<br />
Bei neueren Windows XP Versionen ist es möglich, dass die Option "Partition mit <strong>de</strong>m FAT-Dateisystem formatieren"<br />
nicht mehr zur Verfügung steht. In <strong>de</strong>m Fall wählen Sie "Bestehen<strong>de</strong>s Dateisystem beibehalten (keine Än<strong>de</strong>rung)".<br />
5. Fahren Sie mit <strong>de</strong>r Installation fort und folgen Sie <strong>de</strong>n Anweisungen <strong>de</strong>s Setupprogramms bis zum ersten Neustart.<br />
6. In <strong>de</strong>r Regel wer<strong>de</strong>n vor <strong>de</strong>m ersten Neustart alle notwendigen Dateien für <strong>de</strong>n Start <strong>de</strong>s Systems und die weitere Installation<br />
bereits auf die Festplatte kopiert. Sie können bereits an dieser Stelle wie<strong>de</strong>r die Bootreihenfolge im BIOS so umstellen, dass<br />
wie<strong>de</strong>r zuerst vom Netzwerk gebootet wird (siehe Abschnitt 2.3).<br />
7. Der Neustart <strong>de</strong>s Rechners bringt nach <strong>de</strong>r Umstellung auf <strong>de</strong>n Netzwerkboot wie<strong>de</strong>r das mySHN-Auswahlmenü für Ihr<br />
Betriebssystem.<br />
Anmerkung<br />
Wählen Sie fortan immer <strong>de</strong>n Lokalstart bis Sie eine Grundinstallation (Betriebssystemdateien, Treiber für Mainboard,<br />
Grafik, Sound, Grun<strong>de</strong>instellungen usw.) für das System durchgeführt haben.<br />
Abbildung 7.13. Lokalstart ohne Synchronisation<br />
8. Ist die Arbeitstation inklusive aller Treiber eingerichtet, erstellen Sie ein erstes Image <strong>de</strong>r Arbeitsstation. Wie das geht, erfahren<br />
Sie im nächsten Abschnitt.<br />
Version <strong>3.0</strong><br />
Seite 64 / Kapitel 7
2.6. Erstellen eines Images<br />
Starten Sie <strong>de</strong>n Rechner neu. Es erscheint die gewohnte mySHN-Systemauswahl. Den Assistenten zur Imageerzeugung starten Sie<br />
über das Diskettensymbol.<br />
Abbildung 7.14. Imageerzeugung mit Rembo/mySHN (1)<br />
Geben Sie <strong>de</strong>n Benutzer administrator mit zugehörigem Passwort an und bestätigen Sie mit OK.<br />
Abbildung 7.15. Imageerzeugung mit Rembo/mySHN (2)<br />
Belassen Sie die Voreinstellung <strong>de</strong>r Sicherungsmetho<strong>de</strong> auf Komplett und starten Sie über die Schaltfläche Details <strong>de</strong>n wichtigen<br />
Dialog zur Festlegung <strong>de</strong>r Sicherungs<strong>de</strong>tails.<br />
Abbildung 7.16. Imageerzeugung mit Rembo/mySHN (3)<br />
Die folgen<strong>de</strong> Abbildung zeigt die vier Optionen an, die Sie im Dialog Details für je<strong>de</strong> Partition separat festlegen können. (In <strong>de</strong>m<br />
Dialog wird zwar das System, aber lei<strong>de</strong>r nicht die Partition <strong>de</strong>s Systems angezeigt).<br />
Im Normalfall machen Sie hier zwei Angaben:<br />
1. Gültigkeitsbereich: Hier geben Sie die Hardwareklasse an, für die das Image gelten soll.<br />
2. Kommentar: Sie tragen einen Kommentar ein, <strong>de</strong>r z.B. die Software beschreibt, die Sie gera<strong>de</strong> installiert haben.<br />
Nach<strong>de</strong>m Sie diese bei<strong>de</strong>n Eingaben gemacht haben, bestätigen Sie <strong>de</strong>n Dialog mit OK und kehren dadurch wie<strong>de</strong>r zum vorigen<br />
Dialogfenster zurück.<br />
Version <strong>3.0</strong><br />
Seite 65 / Kapitel 7
Abbildung 7.17. Imageerzeugung mit Rembo/mySHN (4)<br />
Wichtig: Falls dies das erste Image ist, das Sie für diese Rechnergruppe erzeugen, müssen Sie noch die Quellpartition festlegen.<br />
Betätigen Sie dazu die Schaltfläche Click. Markieren Sie die Partition, die das Betriebssystem enthält und bestätigen Sie mit OK .<br />
Abbildung 7.18. Imageerzeugung mit Rembo/mySHN (5)<br />
Nach<strong>de</strong>m Sie alle Einstellungen im Dialog Details festgelegt haben, starten Sie <strong>de</strong>n eigentlichen Prozess <strong>de</strong>r Imageerzeugung mit<br />
Weiter.<br />
Abbildung 7.19. Imageerzeugung mit Rembo/mySHN (6)<br />
Zunächst wer<strong>de</strong>n nicht benötigte Dateien über betriebssystemspezifische Filter aus <strong>de</strong>m Image herausgefiltert.<br />
Version <strong>3.0</strong><br />
Seite 66 / Kapitel 7
Abbildung 7.20. Imageerzeugung mit Rembo/mySHN (7)<br />
Nach <strong>de</strong>r Filterung wird über alle vorhan<strong>de</strong>nen Dateien ein Inhaltsverzeichnis (Archive Content) erstellt und auf <strong>de</strong>n Server kopiert.<br />
Abbildung 7.21. Imageerzeugung mit Rembo/mySHN (8)<br />
Anhand <strong>de</strong>s Inhaltsverzeichnisses wird auf <strong>de</strong>m Server geprüft, welche Dateien aus diesem Inhaltsverzeichnis noch nicht auf <strong>de</strong>m<br />
Server vorhan<strong>de</strong>n sind. Anschließend wer<strong>de</strong>n diese gemeinsam genutzten Dateien (shared files) auf <strong>de</strong>n Server kopiert.<br />
Abbildung 7.22. Imageerzeugung mit Rembo/mySHN (9)<br />
Nach<strong>de</strong>m das Image auf <strong>de</strong>m Server erzeugt wur<strong>de</strong>, erscheint auf <strong>de</strong>m Client wie<strong>de</strong>r das Startmenü.<br />
Wichtiger Hinweis<br />
Starten Sie nach <strong>de</strong>r Erzeugung <strong>de</strong>s ersten Images das Betriebssystem unbedingt synchronisiert (große Schaltfläche mit<br />
rotem Kreuz), damit mySHN die notwendigen Patches anwen<strong>de</strong>n kann.<br />
2.7. Domänenbeitritt, Softwareinstallation und Benutzerprofile<br />
Nach <strong>de</strong>r Erstellung <strong>de</strong>s ersten Images müssen auf <strong>de</strong>m Client noch weitere Anpassungen vorgenommen wer<strong>de</strong>n. Gehen Sie wie<strong>de</strong>r<br />
Schritt für Schritt vor. Ersetzen Sie <strong>de</strong>n im Beispiel verwen<strong>de</strong>ten Domänennamen "SCHULE" durch <strong>de</strong>njenigen, <strong>de</strong>n Sie bei <strong>de</strong>r<br />
Installation <strong>de</strong>s <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> Servers vergeben haben.<br />
Wichtiger Hinweis<br />
Neu in Version <strong>3.0</strong>: Der einzige Benutzer, <strong>de</strong>r die Berechtigung hat, <strong>de</strong>r Domäne beizutreten, heißt nun domadmin. Er<br />
hat das Passwort, das Sie während <strong>de</strong>r Installation an <strong>de</strong>n Benutzer administrator vergeben haben!<br />
1. Zunächst muss die Arbeitstation in die Domäne "Schule" aufgenommen wer<strong>de</strong>n. Mel<strong>de</strong>n Sie sich dazu als lokaler Administrator<br />
an <strong>de</strong>r Arbeitsstation an.<br />
2. Klicken Sie mit <strong>de</strong>r rechten Maustaste auf Arbeitsplatz und wählen Sie Eigenschaften, dann Netzwerki<strong>de</strong>ntifikation.<br />
Anmerkung<br />
Bei Windows XP Professional fin<strong>de</strong>n Sie die Konfigurationsoption zum Domänenbeitritt unter Arbeitsplatz -> Eigenschaften<br />
-> Computername.<br />
Version <strong>3.0</strong><br />
Seite 67 / Kapitel 7
Abbildung 7.23. Windows 2000: Domäne beitreten (1)<br />
3. Wählen Sie Eigenschaften aus, geben als Computernamen <strong>de</strong>n Namen ein, <strong>de</strong>n Sie <strong>de</strong>r Arbeitsstation auch bei <strong>de</strong>r Aufnahme<br />
ins Schulnetzwerk vergeben haben und wählen die Option Mitglied von Domäne SCHULE.<br />
Abbildung 7.24. Windows 2000: Domäne beitreten (2)<br />
4. Nach einem Klick auf OK wer<strong>de</strong>n Sie nach einem Benutzer gefragt, <strong>de</strong>r auf <strong>de</strong>m Server die Berechtigung besitzt, <strong>de</strong>n Rechner<br />
in die Domäne aufzunehmen. Dies kann nur <strong>de</strong>r User domadmin! Geben Sie also domadmin ein und das Passwort, das Sie<br />
während <strong>de</strong>r Installation an <strong>de</strong>n User administrator vergeben haben! Nach einem Klick auf OK sollten Sie nach einer<br />
kleinen Wartezeit in <strong>de</strong>r Domäne SCHULE begrüßt wer<strong>de</strong>n.<br />
Version <strong>3.0</strong><br />
Seite 68 / Kapitel 7
Anmerkung<br />
Domänenbeitritt bei Windows 98:<br />
Öffnen Sie die Netzwerkumgebung, wählen Sie Client für Microsoft-Netzwerke aus und öffnen Sie anschließend Eigenschaften.<br />
Der Haken muss bei An Windows NT-Domäne anmel<strong>de</strong>n gesetzt und als Windows Domäne SCHULE eingetragen<br />
sein. Zusätzlich sollten Sie Schnelle Anmeldung auswählen.<br />
Abbildung 7.25. Windows 98: Domäne beitreten<br />
5. Starten Sie nun die Arbeitsstation neu (unsynchronisiert!). Im folgen<strong>de</strong>n Anmel<strong>de</strong>dialog sollten Sie sich als Benutzer administrator<br />
an <strong>de</strong>r Domäne anmel<strong>de</strong>n können. Das Anmel<strong>de</strong>skript sollte abgearbeitet wer<strong>de</strong>n und Sie mit <strong>de</strong>n entsprechen<strong>de</strong>n<br />
Verzeichnissen auf <strong>de</strong>m Server verbin<strong>de</strong>n.<br />
6. Installieren Sie jetzt als Benutzer administrator o<strong>de</strong>r pgmadmin (falls an Ihrer Schule eine weitere Person für die Programminstallationen<br />
zuständig ist), die auf <strong>de</strong>n Arbeitsstationen benötigte Software.<br />
7. Verlegen Sie <strong>de</strong>n Ordner Eigene Dateien auf Lauwerk H: (Homelaufwerk <strong>de</strong>s Benutzers).<br />
• Rechtsklick mit <strong>de</strong>r Maus auf Eigene Dateien.<br />
• Wählen Sie Eigenschaften im Kontextmenü.<br />
• Im Eingabefeld Ziel än<strong>de</strong>rn Sie <strong>de</strong>n Eintrag auf "H:\".<br />
• Bestätigen Sie im nächsten Dialog das Kopieren <strong>de</strong>r Dateien mit OK.<br />
8. Nehmen Sie gegebenenfalls weitere Anpassungen an <strong>de</strong>r Konfiguration <strong>de</strong>r Arbeitsstation vor.<br />
Anmerkung<br />
Bei Windows 98 müssen Sie noch die notwendigen Patches einspielen: Wechseln Sie in das Verzeichnis H:\winutils\registry-patches.<br />
Doppelklicken Sie auf disable_pwl_caching.reg und dont_esc_logon.reg.<br />
Je nach<strong>de</strong>m ob Sie als administrator o<strong>de</strong>r pgmadmin die Programminstallationen durchgeführt haben, muss (nach<strong>de</strong>m die<br />
Arbeitsstation nun vollständig eingerichtet ist), das Profil (Desktop- und Startmenüeinstellungen) dieses Benutzers für alle Benutzer<br />
zugänglich gemacht wer<strong>de</strong>n. Bei Windows 98 ist dieser Schritt nicht notwendig. Gehen Sie so vor:<br />
1. Mel<strong>de</strong>n Sie sich als lokaler Administrator an <strong>de</strong>r Arbeitsstation an.<br />
2. Klicken Sie mit <strong>de</strong>r rechten Maustaste auf das Symbol Arbeitsplatz und wählen Sie aus <strong>de</strong>m Kontextmenü <strong>de</strong>n Eintrag Eigenschaften.<br />
Anmerkung<br />
Unter Windows XP Professional fin<strong>de</strong>n Sie die Benutzerprofile unter Arbeitsplatz -> Eigenschaften -> Erweitert.<br />
3. Wählen Sie die Registerkarte Benutzerprofile. Sie sehen im folgen<strong>de</strong>n Dialog die vorhan<strong>de</strong>nen Profile.<br />
4. Wählen Sie das Profil von administrator bzw. pgmadmin aus.<br />
Version <strong>3.0</strong><br />
Seite 69 / Kapitel 7
5. Wählen Sie die Schaltfläche Kopieren nach. Geben Sie im folgen<strong>de</strong>n Dialog als Ziel für das Profil <strong>de</strong>n Ordner <strong>de</strong>s Default User<br />
(C:\Dokumente und Einstellungen\Default User) an.<br />
Anmerkung<br />
Wenn Sie über Durchsuchen <strong>de</strong>n lokalen Ordner Default User nicht sehen, dann liegt das an <strong>de</strong>r Einstellung Ihrer Ordneransicht.<br />
Diese müssen Sie so än<strong>de</strong>rn, dass versteckte Dateien und Ordner angezeigt wer<strong>de</strong>n.<br />
6. Damit alle Benutzer das Profil la<strong>de</strong>n können, müssen Sie über die Schaltfläche Än<strong>de</strong>rn <strong>de</strong>r Gruppe "Je<strong>de</strong>r" das La<strong>de</strong>n <strong>de</strong>s Profils<br />
erlauben. Geben Sie also im Eingabefeld <strong>de</strong>s nächsten Dialogs "Je<strong>de</strong>r" ein.<br />
Abbildung 7.26. Windows XP: Profil kopieren (1)<br />
7. Bestätigen Sie das Kopieren <strong>de</strong>s Profils.<br />
Abbildung 7.27. Windows XP: Profil kopieren (2)<br />
8. Nach<strong>de</strong>m das Profil kopiert wur<strong>de</strong>, sollten Sie es über die Profilübersicht löschen. Falls Profile an<strong>de</strong>rer User vorhan<strong>de</strong>n sind,<br />
sollten Sie diese ebenfalls löschen.<br />
Version <strong>3.0</strong><br />
Seite 70 / Kapitel 7
Abbildung 7.28. Windows XP: Profil löschen<br />
Wichtiger Hinweis<br />
Löschen Sie jedoch niemals das Profil <strong>de</strong>s lokalen Administrators!<br />
9. Falls sich die Profile nicht löschen lassen, kommen Sie nicht umhin, die Arbeitsstation noch einmal (unsynchronisiert!), neu<br />
zu starten um das Löschen zu wie<strong>de</strong>rholen.<br />
10. Nun, da die Arbeitsstation vollständig eingerichtet ist, starten Sie neu und erstellen nochmal ein Image.<br />
2.8. Aufnahme <strong>de</strong>r restlichen Arbeitsstationen ins Schulnetzwerk<br />
Hier gehen Sie nacheinan<strong>de</strong>r für je<strong>de</strong> Arbeitsstation analog zur Verfahrensweise mit <strong>de</strong>r Musterarbeitsstation die Schritte<br />
1. Vorbereitung für <strong>de</strong>n Netzwerkboot und<br />
2. Aufnahme ins Schulnetzwerk<br />
durch. Hier genügt es jedoch das Skript<br />
# import_workstations<br />
auf <strong>de</strong>m Server nur einmal nach <strong>de</strong>r Aufnahme <strong>de</strong>r letzten Arbeitsstation aufzurufen. Danach sind alle Arbeitsstationen ins Schulnetzwerk<br />
integriert. Schließlich muss nur noch das Image, das von <strong>de</strong>r Musterarbeitsstation erzeugt wur<strong>de</strong>, auf die an<strong>de</strong>ren Arbeitsstationen<br />
verteilt wer<strong>de</strong>n.<br />
2.9. Verteilen <strong>de</strong>s Images auf die restlichen Arbeitsstationen<br />
Anmerkung<br />
Das Verteilen eines Images auf die Arbeitsstationen nennt man auch Synchronisation. Gemeint ist <strong>de</strong>r Vorgang, bei <strong>de</strong>m<br />
ein Abgleich zwischen <strong>de</strong>m Urzustand (gespeichert in einem Image auf <strong>de</strong>m Server) und <strong>de</strong>m aktuellen Zustand auf <strong>de</strong>r<br />
Festplatte <strong>de</strong>r Arbeitsstation durchgeführt wird. Der Begriff <strong>de</strong>r selbstheilen<strong>de</strong>n Arbeitsstationen (SheilA) ist gleichbe<strong>de</strong>utend<br />
mit <strong>de</strong>m Vorgang <strong>de</strong>r Synchronisation.<br />
In <strong>de</strong>r Systemauswahl <strong>de</strong>s mySHN-Menüs hat die Anwen<strong>de</strong>rin bzw. <strong>de</strong>r Anwen<strong>de</strong>r mehrere Möglichkeiten die Arbeitsstation zu<br />
starten:<br />
• mit Synchronisation: Die Arbeitsstation wird wie<strong>de</strong>r in <strong>de</strong>n Urzustand versetzt. Alle zwischenzeitlich auf <strong>de</strong>r lokalen Festplatte<br />
abgespeicherten Daten gehen verloren. Das rote Kreuz im Symbol links oben ver<strong>de</strong>utlicht <strong>de</strong>n Modus <strong>de</strong>r Selbstheilung.<br />
• ohne Synchronisation: Alle auf <strong>de</strong>r Arbeitsstation zuvor durchgeführten Än<strong>de</strong>rungen bleiben erhalten. Das durchgestrichene<br />
Kreuz ver<strong>de</strong>utlicht, dass keine Selbstheilung durchgeführt wird.<br />
• Formatierung: Über das Totenkopf-Symbol kann die Formatierung einer bestimmten Partition <strong>de</strong>s Systems wahlweise mit Synchronisation<br />
<strong>de</strong>r Festplatte und Systemsstart durchgeführt wer<strong>de</strong>n. Diese Option wird z.B. benötigt, wenn Synchronisationsfehler<br />
auftreten o<strong>de</strong>r wenn die Festplatte <strong>de</strong>r Arbeitsstation noch nicht partitioniert und formatiert ist.<br />
Version <strong>3.0</strong><br />
Seite 71 / Kapitel 7
• Imageauswahl: Über dieses Symbol können Sie wählen, ob Sie zum Beispiel ein an<strong>de</strong>res Image mit einer an<strong>de</strong>ren Software<br />
zurückspielen möchten. Die Synchronisation dieses Images wird aber erst durch Druck auf das Symbol "Synchronisation" gestartet.<br />
Standardmäßig wird bei <strong>de</strong>r Synchronisation immer das aktuellste Image verwen<strong>de</strong>t.<br />
Wenn Sie eine Arbeitsstation zum ersten Mal mit einem Image bespielen wollen, wählen Sie also das Totenkopfsymbol, damit die<br />
Festplatte entsprechend partitioniert und formatiert wird.<br />
Abbildung 7.29. Image verteilen (1)<br />
Wählen Sie nun im folgen<strong>de</strong>n Dialog Initialisierung zusätzlich die Optionen<br />
• Image(s) zurückspielen,<br />
• Systemanpassungen vornehmen und<br />
• System starten<br />
aus. Bestätigen Sie die Auswahl mit OK.<br />
Abbildung 7.30. Rembo/mySHN: Partition formatieren (1)<br />
Nun erscheint ein Hinweis-Fenster mit einigen Informationen und Warnungen. Der Vorgang kann hier noch abgebrochen wer<strong>de</strong>n.<br />
Mit Klick auf OK wird die Partition automatisch angelegt und formatiert.<br />
Version <strong>3.0</strong><br />
Seite 72 / Kapitel 7
Abbildung 7.31. Rembo/mySHN: Partition formatieren (2)<br />
Abbildung 7.32. Image verteilen (2)<br />
Danach startet die Synchronisation. Der Verlauf wird durch einen Fortschrittsbalken angezeigt, wie unten dargestellt. Zunächst<br />
erscheint kurz das Wort "Synchronisation", gefolgt von "Copying files".<br />
Sie heben <strong>de</strong>n Vorgang erfolgreich been<strong>de</strong>t, wenn Sie alle Arbeitsstationen auf diese Weise mit <strong>de</strong>m Image <strong>de</strong>r Musterarbeitsstation<br />
bespielt haben. Jetzt ist Ihr Schulnetzwerk ist einsatzbereit!<br />
Wenn Sie Wechsellaufwerke (Cardrea<strong>de</strong>r, Digitalkameras etc.) an einem Windowsclient betreiben, kann es (je nach Anzahl <strong>de</strong>r sonst<br />
angeschlossenen Laufwerke), zu Konflikten mit <strong>de</strong>n per Domain-Logon verbun<strong>de</strong>nen Netzlaufwerken kommen. Es ist möglich, dass<br />
<strong>de</strong>r Laufwerksbuchstabe H: von einem Wechsellaufwerk belegt wird. In diesem Fall müssen Sie das Wechsellaufwerk auf einen<br />
an<strong>de</strong>ren freien Laufwerksbuchstaben legen.<br />
3. Integration von <strong>Linux</strong>-Clients<br />
Im Moment wer<strong>de</strong>n drei <strong>de</strong>bianbasierte Distributionen als Clientbetriebssysteme <strong>de</strong>r <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> unterstützt:<br />
• Ubuntu 6.06 LTS (Dapper Drake)<br />
• Ubuntu 7.10 (Gutsy Gibbon)<br />
• Debian 4.0 (Etch)<br />
Für die optimale Anbindung an <strong>de</strong>n <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> Server wird ein Softwarepaket zur Verfügung gestellt, bei <strong>de</strong>ssen Installation<br />
alle notwendigen Anpassungen vorgenommen wer<strong>de</strong>n:<br />
• LDAP-Authentifizierung, damit sich die auf <strong>de</strong>m Server angelegten Benutzer am Client anmel<strong>de</strong>n können;<br />
• automatisches Einbin<strong>de</strong>n <strong>de</strong>r vom Server exportierten Samba-Freigaben bei <strong>de</strong>r Anmeldung am Client als cifs-Dateisystem.<br />
Benutzer können sich somit auf <strong>de</strong>m Client grafisch einloggen und fin<strong>de</strong>n ihre auf <strong>de</strong>m Server abgelegten Dateien und Tauschordner<br />
im Homeverzeichnis. Benutzer-Einstellungen wer<strong>de</strong>n im Homeverzeichnis dauerhaft gespeichert und stehen somit auf allen Arbeitsstationen<br />
im Schulnetzwerk zur Verfügung.<br />
Version <strong>3.0</strong><br />
Seite 73 / Kapitel 7
Dank <strong>de</strong>r cifs-Dateisystems fin<strong>de</strong>n die Benutzer in ihrem Heimatverzeichnis ein vollwertiges unix-Dateisystem vor. Alle Benutzer-<br />
IDs und Dateiberechtigungen wer<strong>de</strong>n transparent vom Serverdateisystem übernommen.<br />
Schüler/innen können lokal als root arbeiten, ohne dass Benutzerdaten auf <strong>de</strong>m Server kompromittiert wer<strong>de</strong>n. Auf <strong>de</strong>n per cifs-<br />
Dateisystem gemounteten Serververzeichnissen hat <strong>de</strong>r lokale root keine Superuserrechte und zum Mounten eines frem<strong>de</strong>n Benutzerheimatverzeichnisses<br />
wird immer das jeweilige Benutzer-Passwort benötigt.<br />
Überprüfen Sie vor <strong>de</strong>r Installation, ob bei <strong>de</strong>r Partitionierung <strong>de</strong>r Clientfestplatte eine Swappartition eingerichtet wur<strong>de</strong>. Korrigieren<br />
Sie gegebenenfalls die Partitionierung mit <strong>de</strong>m Partitionierungstool <strong>de</strong>s Imagingsystems.<br />
Voraussetzung für die Installation <strong>de</strong>s Clientpakets ist, dass das Betriebssystem netzwerkfähig eingerichtet wur<strong>de</strong>, die grafische<br />
Oberfläche funktioniert und <strong>de</strong>r Client die Rechneraufnahme durchlaufen hat. Internetverbindung wird außer<strong>de</strong>m vorausgesetzt.<br />
Bevor das Clientpaket installiert wer<strong>de</strong>n kann, muss <strong>de</strong>r <strong>paedML</strong>-Release-Schlüssel, mit <strong>de</strong>m die <strong>paedML</strong>-Pakete signiert sind,<br />
importiert wer<strong>de</strong>n. La<strong>de</strong>n Sie dazu zuerst die Schlüsseldatei herunter ...<br />
# wget http://pkg.lml.support-netz.<strong>de</strong>/paedml-release.asc<br />
... um diese dann in das Paketsystem zu übernehmen:<br />
# apt-key add paedml-release.asc<br />
Den erfolgreichen Import <strong>de</strong>s Schlüssels quittiert die Konsole mit einem OK.<br />
Nun müssen die Paketquellen in <strong>de</strong>r Datei /etc/apt/sources.list um folgen<strong>de</strong>n Eintrag ergänzt wer<strong>de</strong>n:<br />
# <strong>paedML</strong> Clientpaket<br />
<strong>de</strong>b http://pkg.lml.support-netz.<strong>de</strong>/client ./<br />
Nach Anpassung <strong>de</strong>r sources.list aktualisieren Sie mit <strong>de</strong>m Befehl<br />
# aptitu<strong>de</strong> update<br />
die Paketlisten. Anschließend sollten Sie mit einem<br />
# aptitu<strong>de</strong> dist-upgra<strong>de</strong><br />
die Distribution auf <strong>de</strong>n aktuellen Stand bringen.<br />
Jetzt kann das Clientpaket installiert wer<strong>de</strong>n:<br />
# aptitu<strong>de</strong> install linuxmuster-client<br />
Nach Absetzen dieses Befehls, wird zunächst eine Liste <strong>de</strong>r abhängigen Pakete angezeigt, die automatisch mitinstalliert wer<strong>de</strong>n.<br />
Bestätigen Sie die Auswahl mit "Ja", wer<strong>de</strong>n alle Pakete heruntergela<strong>de</strong>n und installiert.<br />
Lesen Sie in <strong>de</strong>n folgen<strong>de</strong>n Abschnitten, wie sich <strong>de</strong>r weitere Ablauf <strong>de</strong>r Installation distributionsspezifisch gestaltet. Nach En<strong>de</strong> <strong>de</strong>r<br />
Installation ist ein Neustart <strong>de</strong>s Clients zwingend erfor<strong>de</strong>rlich.<br />
Sollten nachträglich Än<strong>de</strong>rungen an <strong>de</strong>n Installationsdaten notwendig wer<strong>de</strong>n, so kann das Clientpaket mit <strong>de</strong>m Befehl<br />
# dpkg-reconfigure linuxmuster-client<br />
neu konfiguriert wer<strong>de</strong>n.<br />
Anmerkung<br />
Das Clientpaket unterstützt die Ubuntu-, Kubuntu- und Xubuntu-Derivate gleichermaßen.<br />
Bei Ubuntu-Systemen erhält <strong>de</strong>r während <strong>de</strong>r Installation eingerichtete Benutzer lokale Administrationsrechte. Berücksichtigen<br />
Sie diesen Sachverhalt, in<strong>de</strong>m Sie einen entsprechen<strong>de</strong>n Benutzernamen vergeben (zum Beispiel linuxadmin).<br />
3.1. Ubuntu 6.06 LTS (Dapper Drake)<br />
Zunächst muss die IP-Adresse <strong>de</strong>s Servers eingegeben wer<strong>de</strong>n. Falls die Vorgabe abweicht, müssen Sie sie entsprechend anpassen:<br />
Version <strong>3.0</strong><br />
Seite 74 / Kapitel 7
Der "distinguished name of the search base" setzt sich aus <strong>de</strong>n Teilen <strong>de</strong>r verwen<strong>de</strong>ten Internetdomäne zusammen und muss entsprechend<br />
angepasst wer<strong>de</strong>n. Hier zwei Beispiele:<br />
• linuxmuster.local --> dc=linuxmuster,dc=local<br />
• whrs-es.schule-bw.<strong>de</strong> --> dc=whrs-es,dc=schule-bw,dc=<strong>de</strong><br />
Die zu verwen<strong>de</strong>n<strong>de</strong> LDAP-Version ist "3":<br />
"Make local root Database admin" ist mit "Nein" zu beantworten:<br />
"Database requires logging in" ist ebenfalls mit "Nein" zu beantworten:<br />
Die Datei nsswitch.conf wird vom Clientpaket automatisch konfiguriert. Der letzte Hinweis wird einfach mit ENTER bestätigt:<br />
Version <strong>3.0</strong><br />
Seite 75 / Kapitel 7
3.2. Ubuntu 7.10 (Gutsy Gibbon)<br />
In die Gutsy-Distribution wur<strong>de</strong> ein neues Paket "ldap-auth-config" aufgenommen, das in Zukunft wohl die LDAP-Konfiguration<br />
übernehmen soll. Lei<strong>de</strong>r wur<strong>de</strong> das nicht so konsequent umgesetzt, sodass im Folgen<strong>de</strong>n manche Eingaben doppelt getätigt wer<strong>de</strong>n<br />
müssen.<br />
Als erstes wird abgefragt, ob "<strong>de</strong>bconf" die LDAP-Konfiguration verwalten soll. Hier muss mit "Nein" geantwortet wer<strong>de</strong>n:<br />
Jetzt muss die IP-Adresse <strong>de</strong>s Servers eingegeben wer<strong>de</strong>n. Falls die Vorgabe abweicht, müssen Sie sie entsprechend anpassen:<br />
Der "distinguished name of the search base" setzt sich aus <strong>de</strong>n Teilen <strong>de</strong>r verwen<strong>de</strong>ten Internetdomäne zusammen. Hier zwei Beispiele:<br />
• linuxmuster.local --> dc=linuxmuster,dc=local<br />
• whrs-es.schule-bw.<strong>de</strong> --> dc=whrs-es,dc=schule-bw,dc=<strong>de</strong><br />
Nun wird <strong>de</strong>r "LDAP server Uniform Resource I<strong>de</strong>ntifier" verlangt. Passen Sie gegebenenfalls wie<strong>de</strong>r die Server-IP an:<br />
Anschließend ist noch einmal <strong>de</strong>r "distinguished name of the search base" einzugeben:<br />
Die zu verwen<strong>de</strong>n<strong>de</strong> LDAP-Version ist "3":<br />
Version <strong>3.0</strong><br />
Seite 76 / Kapitel 7
"Make local root Database admin" ist mit "Nein" zu beantworten:<br />
"Does the LDAP database require login" ist ebenfalls mit "Nein" zu beantworten:<br />
3.3. Debian 4.0 (Etch)<br />
Die Vorgehensweise ist ähnlich zu <strong>de</strong>rjenigen bei Ubuntu 7.10 (Siehe Abschnitt 3.2 „Ubuntu 7.10 (Gutsy Gibbon)“). Wenn das Paket<br />
"samba-common" zuvor noch nicht installiert wur<strong>de</strong>, wer<strong>de</strong>n Sie mit zwei weiteren Abfragen konfrontiert. Zunächst beantworten Sie<br />
die Frage nach <strong>de</strong>r Samba-Domäne (gegebenenfalls anzupassen):<br />
Die folgen<strong>de</strong> Frage nach <strong>de</strong>n WINS-Einstellungen können Sie wie angeboten mit "Nein" beantworten:<br />
3.4. Tipps bei Einsatz heterogener Hardware<br />
In diesem Abschnitt erhalten Sie Konfigurationsstipps, wie Sie Ihre <strong>Linux</strong>-Clients bei unterschiedlicher Hardware mit nur einem<br />
gemeinsamen Rembo-Image verwalten können.<br />
Version <strong>3.0</strong><br />
Seite 77 / Kapitel 7
3.4.1. Unterschiedliche Grafikkarten<br />
Wenn Sie Clients mit unterschiedlicher Grafikhardware einsetzen, wird <strong>de</strong>r Start <strong>de</strong>r grafischen Oberfläche sehr wahrscheinlich nicht<br />
auf allen Arbeitstationen funktionieren. In diesem Fall gehen Sie auf <strong>de</strong>m entsprechen<strong>de</strong>n Client wie folgt vor:<br />
1. Sichern Sie zunächst die Xserver-Konfigurationsdatei /etc/X11/xorg.conf nach /etc/X11/xorg.conf.<strong>de</strong>fault:<br />
# cp /etc/X11/xorg.conf /etc/X11/xorg.conf.<strong>de</strong>fault<br />
2. Konfigurieren Sie nun die Grafikhardware mit <strong>de</strong>m Befehl:<br />
# dpkg-reconfigure xserver-xorg<br />
3. Starten Sie danach die grafische Oberfläche im Falle von KDE mit<br />
# /etc/init.d/kdm restart<br />
neu o<strong>de</strong>r mit<br />
# /etc/init.d/gdm restart<br />
wenn Sie Gnome verwen<strong>de</strong>n.<br />
4. Falls die grafische Oberfläche nun startet, sichern Sie die Xserver-Konfigurationsdatei /etc/X11/xorg.conf in eine<br />
xorg.conf-Datei, die <strong>de</strong>n Client-Hostnamen als Erweiterung verwen<strong>de</strong>t:<br />
# cp /etc/X11/xorg.conf /etc/X11/xorg.conf.<br />
also zum Beispiel:<br />
# cp /etc/X11/xorg.conf /etc/X11/xorg.conf.r100-pc03<br />
5. Falls Sie mehrere Clients mit <strong>de</strong>r i<strong>de</strong>ntischen Grafikhardware verwen<strong>de</strong>n, kopieren Sie für je<strong>de</strong>n Client die xorg.conf-Datei entsprechend.<br />
6. Starten Sie <strong>de</strong>n Client neu und erstellen Sie ein Image.<br />
3.4.2. Unterschiedliche Netzwerk- und Soundkarten<br />
Debianbasierte Distributionen erlauben es beim Systemstart über die Datei /etc/modules Treiber für Hardware zu la<strong>de</strong>n, die nicht<br />
automatisch erkannt wird.<br />
Mit <strong>de</strong>m Befehl<br />
# discover --module ethernet<br />
erhalten Sie <strong>de</strong>n Treibernamen für die Netzwerkkarte, analog dazu mit<br />
# discover --module sound<br />
das entsprechen<strong>de</strong> Modul für die Soundkarte.<br />
Tragen Sie die Module für die Hardware, die nicht erkannt wird, einfach Zeile für Zeile in /etc/modules ein. Danach starten Sie<br />
<strong>de</strong>n Client neu und erstellen ein Image.<br />
3.4.3. Unterschiedliche Festplattenkontroller<br />
Treiber für Festplattenkontroller müssen in <strong>de</strong>r initialen Ramdisk (InitRD) vorhan<strong>de</strong>n sein, damit ein System überhaupt bootet. Bei<br />
<strong>de</strong>r Installation einer <strong>Linux</strong>-Distribution wird in <strong>de</strong>r Regel nur <strong>de</strong>r Treiber für <strong>de</strong>n Kontroller aufgenommen, <strong>de</strong>r auf <strong>de</strong>m Rechner<br />
(auf <strong>de</strong>m installiert wur<strong>de</strong>), vorhan<strong>de</strong>n ist. So kann es vorkommen, dass ein System, das auf einen Rechner mit an<strong>de</strong>rem Festplattenkontroller<br />
geklont wur<strong>de</strong>, dort nicht startet.<br />
In diesem Fall müssen Sie eine neue InitRD mit <strong>de</strong>n entsprechen<strong>de</strong>n Modulen erstellen:<br />
1. Tragen Sie alle benötigten Kontroller-Module in die Datei /etc/initramfs-tools/modules ein.<br />
2. Aktualisieren Sie die InitRD mit <strong>de</strong>m Befehl:<br />
# update-initramfs -u<br />
3. Starten Sie <strong>de</strong>n Client neu und erstellen Sie ein Image.<br />
Version <strong>3.0</strong><br />
Seite 78 / Kapitel 7
3.4.4. SATA- und PATA/IDE-Kontroller in einem Image<br />
Angenommen Sie haben eine Rechnergruppe (Hardwareklasse) mit IDE-Rechnern namens "linuxi<strong>de</strong>". Sie schaffen neue Rechner mit<br />
SATA-Kontrollern an und wollen diese mit <strong>de</strong>mselben Image betreiben wie die IDE-Rechner. Da SATA-Festplatten unter <strong>Linux</strong> mit<br />
<strong>de</strong>m Devicenamen /<strong>de</strong>v/sda angesprochen wer<strong>de</strong>n (IDE mit /<strong>de</strong>v/hda), muss das Imagingsystem das jeweilige Clientbetriebssystem<br />
beim Start entsprechend anpassen. Mit dieser Vorgehensweise können Sie das erfolgreich bewerkstelligen:<br />
1. Kopieren Sie die Konfiguration <strong>de</strong>r Rechnergruppe "linuxi<strong>de</strong>" zum Beispiel nach "linuxsata":<br />
# cd /var/lib/myshn/groups<br />
# cp -a linuxi<strong>de</strong> linuxsata<br />
2. Ergänzen Sie in <strong>de</strong>r Konfigurationsdatei <strong>de</strong>r Gruppe "linuxi<strong>de</strong>" linuxi<strong>de</strong>/config im globalen Teil am Anfang <strong>de</strong>r Datei<br />
folgen<strong>de</strong>n Eintrag:<br />
DeviceMap hda<br />
3. Ergänzen Sie in <strong>de</strong>r Konfigurationsdatei <strong>de</strong>r Gruppe "linuxsata" inuxsata/config im globalen Teil am Anfang <strong>de</strong>r Datei<br />
folgen<strong>de</strong>n Eintrag:<br />
DeviceMap sda<br />
4. Weisen Sie <strong>de</strong>n SATA-Rechnern bei <strong>de</strong>r Rechneraufnahme die Gruppe "linuxsata" zu.<br />
Falls die neuen Rechner nach <strong>de</strong>r Synchronisation nicht booten, müssen Sie die SATA-Kontrollertreiber, wie im Abschnitt 3.4.3<br />
„Unterschiedliche Festplattenkontroller“ beschrieben noch in die InitRD aufnehmen.<br />
4. Druckereinrichtung auf <strong>de</strong>m Client<br />
Clientseitig müssen Drucker über das http-Protokoll eingerichtet wer<strong>de</strong>n, damit die raumbezogene Druckerzugriffskontrolle über die<br />
Schulkonsole funktioniert. Die URL für die Druckerverbindung wird nach folgen<strong>de</strong>m Schema zusammengesetzt:<br />
http://:631/printers/<br />
Auf <strong>de</strong>m Server ist standardmäßig ein PDF-Drucker eingerichtet, <strong>de</strong>r über die URL<br />
http://:631/printers/PDF-Printer<br />
angesprochen wird. Damit <strong>de</strong>r PDF-Drucker genutzt wer<strong>de</strong>n kann, muss auf <strong>de</strong>m Client ein Postskript-Drucker eingerichtet wer<strong>de</strong>n<br />
(siehe folgen<strong>de</strong> Abschnitte). Auf <strong>de</strong>n PDF-Drucker kann aus beliebigen Anwendungen heraus gedruckt wer<strong>de</strong>n. Die resultieren<strong>de</strong><br />
PDF-Datei wird im Heimatverzeichnis <strong>de</strong>s jeweiligen Benutzers im Ordner PDF abgelegt.<br />
4.1. Windows 98<br />
Windows 98 unterstützt nicht von Haus aus die Druckeranbindung über http-Protokoll. Dazu muss ein Treiber installiert wer<strong>de</strong>n. Die<br />
Installationsdatei für <strong>de</strong>n "MS Internet Print Service" (wpnpins.exe) kann hier 19 heruntergela<strong>de</strong>n wer<strong>de</strong>n.<br />
Nach <strong>de</strong>r Treiberinstallation können Sie die Netzwerkdrucker einrichten. Mel<strong>de</strong>n Sie sich als Benutzer administrator am Client<br />
an und installieren Sie <strong>de</strong>n Drucker über Start | Einstellungen | Drucker | Neuer Drucker. Geben Sie im Assistenten für die<br />
Druckerinstallation <strong>de</strong>n Netzwerkpfad wie im vorigen Abschnitt beschrieben an, also z.B. http://server:631/printers/laser_r100:<br />
19 Download von "MS Internet Print Service" (wpnpins.exe): http://www.its.caltech.edu/~fong/math/pc/down/<br />
Version <strong>3.0</strong><br />
Seite 79 / Kapitel 7
Für die Nutzung <strong>de</strong>s PDF-Druckers muss ein Postskript-Drucker eingerichtet wer<strong>de</strong>n. Starten Sie über <strong>de</strong>n Assistenten für die<br />
Druckerinstallation die Installation eines Netzwerkdruckers und geben Sie als Netzwerkpfad die URL <strong>de</strong>s PDF-Printers an (siehe<br />
vorigen Abschnitt). Wählen Sie im weiteren Verlauf <strong>de</strong>s Installationsdialogs das Druckermo<strong>de</strong>ll Apple Color LaserWriter 12/600:<br />
Im nächsten Schritt geben Sie als Druckername PDF-Drucker ein:<br />
Schließen Sie die Druckerinstallation mit <strong>de</strong>m Druck <strong>de</strong>r Testseite ab. Die resultieren<strong>de</strong> PDF-Datei Testseite.pdf ist nun im<br />
Ordner H:\PDF zu fin<strong>de</strong>n.<br />
4.2. Windows 2000/XP<br />
Sie starten die Installation eines Netzwerkdruckers als Benutzer administrator mit <strong>de</strong>m Druckerinstallations-Assistenten über<br />
Start | Einstellungen | Drucker und Faxgeräte | Drucker hinzufügen. Wählen Sie im nächsten Schritt Netzwerkdrucker und<br />
geben dann unter Verbindung mit einem Drucker im Internet die Drucker-URL gemäß <strong>de</strong>r Vorgabe aus <strong>de</strong>m Abschnitt Druckereinrichtung<br />
ein, also zum Beispiel http://server:631/printers/laser_r100:<br />
Version <strong>3.0</strong><br />
Seite 80 / Kapitel 7
Für die Nutzung <strong>de</strong>s PDF-Druckers muss ein Postskript-Drucker eingerichtet wer<strong>de</strong>n. Starten Sie über <strong>de</strong>n Druckerinstallations-<br />
Assistenten die Installation eines Netzwerkdruckers und geben als Netzwerkpfad die URL <strong>de</strong>s PDF-Printers an (siehe Druckereinrichtung).<br />
Wählen Sie im weiteren Verlauf <strong>de</strong>s Installationsdialogs das Druckermo<strong>de</strong>ll Apple Color LW 12/660 PS:<br />
Nach Abschluss <strong>de</strong>r Druckerinstallation steht <strong>de</strong>r PDF-Drucker als PDF-Printer an http://server:631 zur Verfügung.<br />
4.3. <strong>Linux</strong><br />
Die Druckerinstallation auf <strong>de</strong>m <strong>Linux</strong>-Client (hier am Beispiel von Ubuntu 6.06) lässt sich wie auf <strong>de</strong>m Server mit Hilfe <strong>de</strong>s CUPS-<br />
Webinterfaces bewerkstelligen. Loggen Sie sich auf <strong>de</strong>m Client mit einem Browser über die URL http://localhost:631/admin<br />
als Benutzer administrator auf <strong>de</strong>r CUPS-Administrationsseite ein und klicken Sie auf Drucker hinzufügen. Die Eingabe <strong>de</strong>s<br />
Druckernamens ist zwingend, die an<strong>de</strong>ren Fel<strong>de</strong>r sind optional:<br />
Wählen Sie im nächsten Schritt für "Gerät" Internet Printing Protocol (http):<br />
Version <strong>3.0</strong><br />
Seite 81 / Kapitel 7
Geben Sie nun die Geräte-URI für <strong>de</strong>n Drucker nach <strong>de</strong>m Schema http://:631/printers/<br />
ein:<br />
Auf <strong>de</strong>r nächsten Seite ist <strong>de</strong>r Hersteller <strong>de</strong>s Druckers aus <strong>de</strong>r Liste auszuwählen. Alternativ können Sie eine Druckertreiber-Datei<br />
(PPD) hochla<strong>de</strong>n, die <strong>de</strong>r Hersteller eventuell auf <strong>de</strong>r (<strong>de</strong>m Drucker) beigelegten CD bereitstellt.<br />
Wer<strong>de</strong>n mehrere Druckertreiber zu Ihrem Mo<strong>de</strong>ll angeboten, wählen Sie <strong>de</strong>n empfohlenen (recommen<strong>de</strong>d) aus:<br />
Version <strong>3.0</strong><br />
Seite 82 / Kapitel 7
Schließlich können Sie auf <strong>de</strong>r Druckereinstellungsseite noch diverse Vorgaben für das Standardverhalten <strong>de</strong>s Druckertreibers festlegen:<br />
Über die Schaltfläche Druckereinstellungen festlegen schließen Sie die Installation ab. Nun ist <strong>de</strong>r Drucker eingerichtet und kann<br />
genutzt wer<strong>de</strong>n:<br />
Bei <strong>de</strong>r Einrichtung <strong>de</strong>s PDF-Druckers gehen Sie analog vor. Vergeben Sie als Druckername "PDF-Drucker" und geben Sie die<br />
Geräte-URI http://server:631/printers/PDF-Printer ein. Als "Hersteller" wählen Sie Generic:<br />
Für <strong>de</strong>n PDF-Drucker benötigen Sie <strong>de</strong>n Drucker-Treiber Generic PostScript Printer:<br />
Version <strong>3.0</strong><br />
Seite 83 / Kapitel 7
Version <strong>3.0</strong><br />
Seite 84 / Kapitel 7
Anhang A. Partitionierung<br />
1. Automatische Partitionierung<br />
Wichtiger Hinweis<br />
Bei dieser Installationsvariante wird die erste im System gefun<strong>de</strong>ne Festplatte automatisch ohne Nachfrage partitioniert<br />
und formatiert.<br />
Hierzu geben Sie am Bootprompt auto gegebenenfalls gefolgt von weiteren Bootparametern ein.<br />
Die automatische Partitionierung wird unter Verwendung von LVM nach folgen<strong>de</strong>n Vorgaben durchgeführt, wobei /home, /var<br />
und /var/spool/cups als logical volumes in <strong>de</strong>r volume group "vg_lml" angelegt wer<strong>de</strong>n:<br />
Partitionsgrößen bei automatischer Partitionierung<br />
Partition<br />
Einhängepunkt<br />
Min<strong>de</strong>stgrüße in MB<br />
priorisierte Größe in MB<br />
Maximalgröße in MB<br />
root<br />
/<br />
1024<br />
2048<br />
5120<br />
swap<br />
-<br />
512<br />
1024<br />
das Dreifache <strong>de</strong>s<br />
Arbeitsspeichers<br />
vg_lml-home<br />
/home<br />
4096<br />
12000<br />
unbegrenzt<br />
vg_lml-var<br />
/var<br />
4096<br />
12000<br />
50000<br />
vg_lml-var+spool+cups<br />
/var/spool/cups<br />
1024<br />
5120<br />
10240<br />
Anmerkung<br />
/tmp wird als tmpfs-Dateisystem im Arbeitsspeicher angelegt.<br />
Wie Sie das LVM-System nachträglich anpassen können, erfahren Sie im Abschnitt LVM.<br />
Nach <strong>de</strong>r Installation <strong>de</strong>s Debian-Basissystems wird <strong>de</strong>r Server automatisch neu gestartet, um von <strong>de</strong>r Festplatte das neu installierte<br />
System zu booten. Lassen Sie die Installations-CD im Laufwerk, sie wird für die Installation zusätzlicher Software-Pakete benötigt.<br />
2. Partitionierung im Expertenmodus<br />
Hierzu geben Sie am Bootprompt expert, gegebenenfalls gefolgt von weiteren Bootparametern ein.<br />
Nach Abschluss <strong>de</strong>r Hardwareerkennung erscheint das Menü mit <strong>de</strong>n Partitionsmetho<strong>de</strong>n.<br />
Über die Menüoptionen Geführt - verwen<strong>de</strong> vollständige Festplatte und Geführt - gesamte Platte verwen<strong>de</strong>n und LVM einrichten<br />
gelangen Sie zu <strong>de</strong>n von Debian-Entwicklern vorgefertigten Partitions-Schemata.<br />
Wählen Sie Manuell, wenn Sie die größtmögliche Kontrolle über die Partitionierung Ihres Systems haben wollen.<br />
Anmerkung<br />
Eine <strong>de</strong>taillierte Beschreibung zur Partitionierung mit <strong>de</strong>m Debian-Installer fin<strong>de</strong>n Sie im Debian-Installations-Handbuch<br />
Kapitel 6.3.2 unter doc/<strong>de</strong>bian/install/manual/<strong>de</strong> auf <strong>de</strong>r Installations-CD.<br />
Partitionierung mit Software-RAID 5 und LVM<br />
Version <strong>3.0</strong><br />
Seite 85 / Anhang A
Im Folgen<strong>de</strong>n wird beispielhaft gezeigt, wie Sie im Expertenmodus <strong>de</strong>n Musterlösungsserver mit Software-RAID 5 und LVM<br />
installieren können.<br />
Im Beispiel hat das System 4 SCSI-(SATA)-Platten mit je ca. 80 GB. Drei davon wer<strong>de</strong>n als aktive Platten eingerichtet, eine als<br />
Reserveplatte. Wenn Sie IDE-Platten verwen<strong>de</strong>n, beachten Sie, dass die Partitionsbezeichnung zum Beispiel /<strong>de</strong>v/hda1 statt<br />
/<strong>de</strong>v/sda1 lautet. Die Partitionen sollen so eingerichtet wer<strong>de</strong>n:<br />
• 6 GB / (Rootpartition)<br />
• 2 GB swap<br />
• 80 GB /home<br />
• 60 GB /var<br />
• ca. 7 GB /var/spool/cups (Druckerspooler, unquotiert)<br />
Die Rootpartition muss als RAID1-Verbund erstellt wer<strong>de</strong>n, da Grub nicht von einer RAID5-Partition booten kann. Alle an<strong>de</strong>ren<br />
Partitionen wer<strong>de</strong>n als logische Volumes auf einer RAID5-Partition erstellt. Bevor Sie die Installation beginnen, stellen Sie sicher,<br />
dass im BIOS jegliches Hardware-RAID abgeschaltet wur<strong>de</strong>.<br />
Nach<strong>de</strong>m Sie die Installations-CD mit <strong>de</strong>r Bootoption expert gestartet haben, wählen Sie die Partitionsmetho<strong>de</strong> Manuell in Menü<br />
<strong>de</strong>s Installers (siehe oben). Sie erhalten nun eine Übersicht Ihrer im System vorhan<strong>de</strong>nen Festplatten:<br />
Anmerkung<br />
Sollten die Festplatten noch Partitionen enthalten, müssen Sie diese zuerst alle löschen, sodass bei je<strong>de</strong>r Platte FREIER<br />
SPEICHER angezeigt wird.<br />
Wir partitionieren zunächst die erste Festplatte (sda). Navigieren Sie mit <strong>de</strong>n Pfeiltasten auf die entsprechen<strong>de</strong> Menüzeile und drücken<br />
Sie Enter. Bei einer neuen Platte müssen Sie nun die Erstellung einer leeren Partitionstabelle bestätigen:<br />
Jetzt wird angezeigt wieviel FREIER SPEICHER auf <strong>de</strong>r Platte für Partitionen zur Verfügung steht:<br />
Version <strong>3.0</strong><br />
Seite 86 / Anhang A
Im freien Bereich richten wir jetzt zwei RAID-Partitionen ein. Navigieren Sie mit <strong>de</strong>n Pfeiltasten auf die Zeile FREIER SPEICHER<br />
und drücken Sie Enter. Wählen Sie Eine neue Partition erstellen:<br />
Im nächsten Schritt geben wir die Größe ein (im Beispiel 6 GB für die Rootpartition):<br />
Als Partitionstyp geben wir Primär ein:<br />
Die neue Partition soll am Anfang <strong>de</strong>s freien Bereichs erstellt wer<strong>de</strong>n:<br />
Als nächstes muss in <strong>de</strong>n Partitionseinstellungen das Dateisystem für die neue Partition festgelegt wer<strong>de</strong>n. Navigieren Sie auf<br />
Benutzen als: und drücken Sie Enter:<br />
Version <strong>3.0</strong><br />
Seite 87 / Anhang A
Wählen Sie physikalisches Volume für RAID:<br />
Mehr Partitionseinstellungen sind in <strong>de</strong>m Fall nicht vorzunehmen. Wählen Sie daher Anlegen <strong>de</strong>r Partition been<strong>de</strong>n:<br />
Wie<strong>de</strong>r in <strong>de</strong>r Partitionsübersicht sehen Sie nun die neu eingerichtete Partition vom Typ K raid und <strong>de</strong>n restlichen freien Speicher<br />
<strong>de</strong>r ersten Platte, auf <strong>de</strong>m nun die zweite RAID-Partition eingerichtet wird.<br />
Version <strong>3.0</strong><br />
Seite 88 / Anhang A
Gehen Sie so vor wie bei <strong>de</strong>r ersten Partition. übernehmen Sie jedoch einfach <strong>de</strong>n gesamten restlichen freien Speicher als neue Größe<br />
<strong>de</strong>r Partition:<br />
Die Partitionsübersicht zeigt nun bei<strong>de</strong> Partitionen <strong>de</strong>r ersten Festplatte vom Typ K raid:<br />
Partitionieren Sie nun die drei restlichen Platten nach i<strong>de</strong>ntischem Schema:<br />
Sind alle Platten entsprechend partitioniert, muss das Software-RAID konfiguriert wer<strong>de</strong>n. Wählen Sie also Software-RAID konfigurieren,<br />
um zunächst mit einer Sicherheitsabfrage konfrontiert zu wer<strong>de</strong>n:<br />
Version <strong>3.0</strong><br />
Seite 89 / Anhang A
Nach Bestätigung <strong>de</strong>r Abfrage geht es mit <strong>de</strong>r Erstellung <strong>de</strong>r Software-RAID-Geräte (MD-Geräte) weiter:<br />
Zunächst erstellen wir das RAID1 für die Rootpartition:<br />
Die Anzahl aktiver Geräte ist in unserem Fall 3:<br />
für die Anzahl <strong>de</strong>r Reserve-Geräte geben wir eine 1 ein:<br />
Version <strong>3.0</strong><br />
Seite 90 / Anhang A
Im nächsten Schritt sind die drei aktiven Geräte auszuWählen, in unserem Fall /<strong>de</strong>v/sda1, /<strong>de</strong>v/sdb1 und /<strong>de</strong>v/sdc1:<br />
Als Reserve-Gerät bleibt /<strong>de</strong>v/sdd1:<br />
Weiter geht es mit <strong>de</strong>r Einrichtung <strong>de</strong>s RAID5-Verbun<strong>de</strong>s, <strong>de</strong>r später alle an<strong>de</strong>ren benötigten Partitionen auf <strong>de</strong>r Basis von logischen<br />
Volumes beherbergen soll:<br />
Hier sind es wie<strong>de</strong>r 3 aktive Geräte:<br />
Und ein Reserve-Gerät:<br />
Version <strong>3.0</strong><br />
Seite 91 / Anhang A
Die drei aktiven Geräte sind nun /<strong>de</strong>v/sda2, /<strong>de</strong>v/sdb2 und /<strong>de</strong>v/sdc2:<br />
Als Reserve-Gerät bleibt noch /<strong>de</strong>v/sdd2:<br />
Mit <strong>de</strong>m Menüpunkt Fertigstellen schließen wir die Software-RAID-Konfiguration ab:<br />
In <strong>de</strong>r Partitionsübersicht sehen wir jetzt zwei neue Geräte RAID1 und RAID5. Auf <strong>de</strong>m RAID5-Gerät #1 richten wir nun ein physikalisches<br />
Volume für <strong>de</strong>n LVM ein. Dazu Wählen wir die entsprechen<strong>de</strong> Partition aus:<br />
Version <strong>3.0</strong><br />
Seite 92 / Anhang A
In <strong>de</strong>n Partitionseinstellungen ist Benutzen als: auszuwählen, damit das Dateisystem <strong>de</strong>finiert wer<strong>de</strong>n kann:<br />
Als Partitionstyp wird nun physikalisches Volume für LVM ausgewählt:<br />
Das Anlegen <strong>de</strong>r Partition kann nun been<strong>de</strong>t wer<strong>de</strong>n:<br />
Version <strong>3.0</strong><br />
Seite 93 / Anhang A
Wie<strong>de</strong>r in <strong>de</strong>r Partitionsübersicht sehen Sie, dass <strong>de</strong>r Partitionstyp <strong>de</strong>s RAID5-Geräts auf K lvm geän<strong>de</strong>rt wur<strong>de</strong>. Fahren Sie fort mit<br />
<strong>de</strong>m Menüpunkt Logical Volume Manager konfigurieren:<br />
Die folgen<strong>de</strong> Abfrage bestätigen Sie mit Ja,<br />
... um in die LVM-Konfigurationsübersicht zu gelangen. Nun müssen Sie eine Volume-Gruppe muss erstellen:<br />
Die neue Volume-Gruppe nennen Sie zum Beispiel vg_lml:<br />
Das Gerät für Ihre Volume-Gruppe vg_lml ist <strong>de</strong>r zuvor erstellte RAID5-Verbund, physikalisch /<strong>de</strong>v/md1:<br />
Wie<strong>de</strong>r in <strong>de</strong>r LVM-Konfigurationsübersicht können Sie nun logische Volumes erstellen:<br />
Version <strong>3.0</strong><br />
Seite 94 / Anhang A
Zunächst müssen Sie die Volume-Gruppe, in <strong>de</strong>r das neue logische Volume erstellt wer<strong>de</strong>n soll wählen. In Ihrem Fall steht nur die<br />
Volume Gruppe vg_lml zur Verfügung:<br />
Das erste logische Volume soll die Swappartition beherbergen. Deshalb nennen Sie es vg_lml-swap:<br />
Die Swappartition soll 2 GB groß sein:<br />
Sie gelangen wie<strong>de</strong>r in die LVM-Konfigurationsübersicht und richten nun das nächste logische Volume für die Homepartition ein.<br />
Dieses nennen Sie vg_lml-home:<br />
Der Homepartition spendieren Sie 80 GB:<br />
Version <strong>3.0</strong><br />
Seite 95 / Anhang A
Das dritte logische Volume wird /var aufnehmen. Folgerichtig nennen Sie es vg_lml-var:<br />
Als Größe geben Sie 60 GB ein:<br />
Als viertes und letztes logisches Volume erstellen Sie vg_lml-var+spool+cups für <strong>de</strong>n Druckerspooler:<br />
Die Größe entspricht <strong>de</strong>m restlichen freien Platz <strong>de</strong>r Volume-Gruppe, in unserem Beispiel 7327 MB:<br />
Sind alle logischen Volumes eingerichtet, können Sie die LVM-Konfiguration fertigstellen:<br />
Version <strong>3.0</strong><br />
Seite 96 / Anhang A
In <strong>de</strong>r Partitionsübersicht wer<strong>de</strong>n jetzt alle eingerichteten logischen Volumes angezeigt. Nun müssen die Dateisysteme in <strong>de</strong>n logischen<br />
Volumes eingerichtet wer<strong>de</strong>n. Sie beginnen mit vg_lml-home und Wählen die darunterliegen<strong>de</strong> Partition aus:<br />
In <strong>de</strong>n Partitionseinstellungen Wählen Sie zunächst Benutzen als: ...<br />
... um das Ext3-Journaling-Dateisystem zuzuordnen:<br />
Version <strong>3.0</strong><br />
Seite 97 / Anhang A
Als Einhängepunkt wählen Sie /home auszuWählen:<br />
Mount-Optionen für /home sind usrquota und grpquota:<br />
Nach<strong>de</strong>m Dateisystem, Einhängepunkt und Mount-Optionen festgelegt wur<strong>de</strong>n, können Sie das Anlegen <strong>de</strong>r Partition been<strong>de</strong>n:<br />
Als Nächstes richten Sie vg_lml-swap ein und Wählen die entsprechen<strong>de</strong> Partition in <strong>de</strong>r Partitionsübersicht aus:<br />
Version <strong>3.0</strong><br />
Seite 98 / Anhang A
Als Dateisystem wählen Sie Auslagerungsspeicher (Swap) gewählt:<br />
Wie<strong>de</strong>rholen Sie die Prozedur für vg_lml-var:<br />
Nach<strong>de</strong>m Sie das Ext3-Journaling-Dateisystem zugeordnet haben, Wählen Sie /var als Einhängepunkt:<br />
Version <strong>3.0</strong><br />
Seite 99 / Anhang A
Mount-Optionen sind noatime, usrquota und grpquota:<br />
Und noch einmal für vg_lml-var+spool+cups:<br />
Auch hier ordnen Sie zunächst das Ext3-Journaling-Dateisystem zu. Den Einhängepunkt müssen Sie jedoch von Hand eingegeben.<br />
Version <strong>3.0</strong><br />
Seite 100 / Anhang A
Er lautet /var/spool/cups:<br />
Mountoptionen für /var/spool/cups sind nicht einzurichten.<br />
Schließlich müssen Sie noch die Rootpartition auf <strong>de</strong>m RAID1-Gerät eingerichten:<br />
Sie wählen wie<strong>de</strong>r Ext3-Journaling-Dateisystem und als Einhängepunkt / (Wurzeldateisystem):<br />
Erfolgreich abgeschlossen, nun sind alle Partitionen eingerichtet:<br />
Version <strong>3.0</strong><br />
Seite 101 / Anhang A
Sie navigieren mit <strong>de</strong>r Pfeiltaste nach unten, wählen in <strong>de</strong>r Partitionsübersicht <strong>de</strong>n letzten Menüpunkt Partitionierung been<strong>de</strong>n und<br />
Än<strong>de</strong>rungen übernehmen:<br />
Nach<strong>de</strong>m Sie die Sicherheitsabfrage bestätigt haben,<br />
wer<strong>de</strong>n Partitionen, Software-RAID und logische Volumes eingerichtet. Anschließend beginnt die Installation <strong>de</strong>s Debian-Basissystems.<br />
Ist die Installation abgeschlossen, wird <strong>de</strong>r Server neu gestartet, um in das neu installierte System zu booten. Lassen Sie die Installations-CD<br />
im Laufwerk, da sie für die Installation weiterer Software-Pakete benötigt wird.<br />
Wichtiger Hinweis<br />
Je nach <strong>de</strong>m wieviel quotierte Dateisysteme Sie angelegt haben, müssen Sie nach <strong>de</strong>m Neustart <strong>de</strong>s Servers gegebenenfalls<br />
die Datei /etc/sophomorix/user/quota.txt anpassen. Für je<strong>de</strong> quotierte Partition muss ein ein Standard-Wert<br />
angegeben wer<strong>de</strong>n. Die Werte müssen mit einem Plus-Zeichen verbun<strong>de</strong>n wer<strong>de</strong>n. Hier ein Beispiel für zwei quotierte<br />
Partitionen:<br />
# $Id: quota.txt,v 1.3 2006/04/22 14:12:59 jeffbeck Exp $<br />
##############################################################################<br />
# This is a comment #<br />
# sophomorix configuration file quota.txt #<br />
# All Values are in MB #<br />
##############################################################################<br />
# 1) Standard Values<br />
# standard quota for workstations<br />
Version <strong>3.0</strong><br />
Seite 102 / Anhang A
standard-workstations: 300+0<br />
# standard quota for stu<strong>de</strong>nts<br />
standard-schueler: 300+0<br />
# standard quota for teachers<br />
standard-lehrer: 500+100<br />
# 2) Other Values<br />
#<br />
# add quota for classes with the command:<br />
# sophomorix-class<br />
#<br />
# add quota for teachers in lehrer.txt !<br />
# quota for single users (NOT teachers)<br />
# quota of administrator:<br />
administrator: 10000+0<br />
pgmadmin: 10000+0<br />
wwwadmin: 500+0<br />
www-data: 0+5000<br />
Version <strong>3.0</strong><br />
Seite 103 / Anhang A
Anhang B. Verzeichnisrechte auf <strong>de</strong>m Server<br />
Beachten Sie bei <strong>de</strong>r Überprüfung <strong>de</strong>r Rechte <strong>de</strong>r von <strong>de</strong>r <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> verwen<strong>de</strong>ten Verzeichnisse auf <strong>de</strong>m Server, dass sie<br />
sich teilweise an <strong>de</strong>n Vorgaben von Samba orientieren, die in /etc/samba/smb.conf auf <strong>de</strong>m Server abgelegt sind:<br />
# File creation mask is set to 0700 for security reasons. If you want to<br />
# create files with group=rw permissions, set next parameter to 0775.<br />
create mask = 2644<br />
# Directory creation mask is set to 0700 for security reasons. If you want to<br />
# create dirs. with group=rw permissions, set next parameter to 0775.<br />
directory mask = 2755<br />
Die Berechtigungen <strong>de</strong>r Verzeichnisse sollten im Einzelnen wie folgt aussehen:<br />
Tabelle <strong>de</strong>r Verzeichnisrechte auf <strong>de</strong>m Server 1<br />
Verzeichnis<br />
Besitzer.Gruppe<br />
Rechte (oktal)<br />
Link<br />
/home<br />
root.root<br />
0755<br />
/home/administrators<br />
root.root<br />
0771<br />
/home/administrators/administrator<br />
administrator.www-data<br />
1710<br />
/home/administrators/pgmadmin<br />
pgmadmin.www-data<br />
1710<br />
/home/administrators/wwwadmin<br />
wwwadmin.www-data<br />
1710<br />
/home/attic<br />
root.root<br />
0775<br />
/home/share<br />
root.domadmins<br />
0771<br />
/home/share/classes<br />
root.root<br />
0775<br />
/home/share/subclasses<br />
root.root<br />
0775<br />
/home/share/exams<br />
root.root<br />
0775<br />
/home/share/projects<br />
root.root<br />
0775<br />
/home/share/school<br />
administrator.teachers<br />
3777<br />
/home/share/teachers<br />
administrator.teachers<br />
3770<br />
/home/share/classes/<br />
administrator.<br />
3770<br />
/home/share/subclasses/<br />
administrator.<br />
3770<br />
/home/share/projects/<br />
administrator.<br />
3770<br />
/home/stu<strong>de</strong>nts<br />
root.root<br />
0775<br />
/home/stu<strong>de</strong>nts/<br />
administrator.teachers<br />
1751<br />
/home/stu<strong>de</strong>nts//<br />
.teachers<br />
3751<br />
/home/stu<strong>de</strong>nts///__vorlagen<br />
administrator.teachers<br />
3755<br />
/home/stu<strong>de</strong>nts///__vorlagen/*<br />
root.teachers<br />
0777<br />
X<br />
/home/stu<strong>de</strong>nts///__einsammeln<br />
administrator.teachers<br />
3757<br />
/home/stu<strong>de</strong>nts///__tauschen<br />
administrator.teachers<br />
3757<br />
/home/stu<strong>de</strong>nts///__tauschen/*<br />
root.teachers<br />
0777<br />
X<br />
/home/stu<strong>de</strong>nts///__austeilen<br />
administrator.teachers<br />
3757<br />
/home/stu<strong>de</strong>nts///__austeilen/*<br />
administrator.teachers<br />
3757<br />
/home/stu<strong>de</strong>nts///__dachbo<strong>de</strong>n<br />
administrator.teachers<br />
3757<br />
/home/stu<strong>de</strong>nts///private_html<br />
administrator.www-data<br />
3757<br />
Version <strong>3.0</strong><br />
Seite 104 / Anhang B
Tabelle <strong>de</strong>r Verzeichnisrechte auf <strong>de</strong>m Server 2<br />
Verzeichnis<br />
Besitzer.Gruppe<br />
Rechte (oktal)<br />
Link<br />
/home/teachers<br />
administrator.teachers<br />
0751<br />
/home/teachers/<br />
.www-data<br />
1710<br />
/home/teachers//__vorlagen<br />
administrator.teachers<br />
1750<br />
/home/teachers//__vorlagen/*<br />
root.root<br />
0777<br />
X<br />
/home/teachers//_bereitstellen<br />
administrator.teachers<br />
1770<br />
/home/teachers//_bereitstellen/*<br />
administrator.teachers<br />
1770<br />
/home/teachers//__austeilen<br />
administrator.teachers<br />
1770<br />
/home/teachers//__austeilen/*<br />
administrator.teachers<br />
1770<br />
/home/teachers//_auszuteilen<br />
administrator.teachers<br />
1770<br />
/home/teachers//_auszuteilen/*<br />
administrator.teachers<br />
1770<br />
/home/teachers//__einsammeln<br />
administrator.teachers<br />
1770<br />
/home/teachers//_eingesammelt<br />
administrator.teachers<br />
1770<br />
/home/teachers//_eingesammelt/*<br />
administrator.teachers<br />
0770<br />
/home/teachers//__dachbo<strong>de</strong>n<br />
administrator.teachers<br />
1770<br />
/home/teachers//__tauschen<br />
administrator.root<br />
1775<br />
/home/teachers//__tauschen/*<br />
root.root<br />
0777<br />
X<br />
/home/teachers//private_html<br />
administrator.www-data<br />
3757<br />
/home/workstations<br />
root.root<br />
0775<br />
/home/workstations/<br />
root.teachers<br />
1751<br />
/home/workstations//<br />
administrator.teachers<br />
1755<br />
/home/workstations///__einsammeln<br />
administrator.teachers<br />
3757<br />
/home/workstations///__vorlagen<br />
administrator.teachers<br />
1755<br />
/home/workstations///__vorlagen/*<br />
root.root<br />
0777<br />
X<br />
/home/workstations///__austeilen<br />
administrator.teachers<br />
3757<br />
/home/workstations///__austeilen/aktueller_raum<br />
administrator.teachers<br />
3757<br />
/var/cache/sophomorix/tasks<br />
root.root<br />
1771<br />
/var/cache/sophomorix/tasks/classes<br />
administrator.teachers<br />
1751<br />
/var/cache/sophomorix/tasks/teachers<br />
administrator.teachers<br />
3770<br />
/var/cache/sophomorix/tasks/subclasses<br />
administrator.teachers<br />
1751<br />
/var/cache/sophomorix/tasks/projects<br />
administrator.teachers<br />
1751<br />
/var/cache/sophomorix/tasks/rooms<br />
administrator.teachers<br />
1751<br />
/var/cache/sophomorix/tasks/classes/<br />
administrator.teachers<br />
3775<br />
/var/cache/sophomorix/tasks/subclasses/<br />
administrator.teachers<br />
3775<br />
/var/cache/sophomorix/tasks/projects/<br />
administrator.teachers<br />
3775<br />
/var/cache/sophomorix/tasks/rooms/<br />
administrator.teachers<br />
3775<br />
Version <strong>3.0</strong><br />
Seite 105 / Anhang B
Anhang C. Administrative Gruppen und Benutzer<br />
1. Gruppen<br />
Administrative Gruppen<br />
Gruppe<br />
domadmins<br />
administrators<br />
printoperators<br />
wwwadmin<br />
Gruppen-ID<br />
512<br />
544<br />
550<br />
997<br />
Bemerkungen<br />
Mitglie<strong>de</strong>r<br />
Windows-Domänenadministratoren, haben lokale Administrationsrechte<br />
administrator,<br />
auf <strong>de</strong>m Windows-Client, Schreibzugriff auf netlo-<br />
pgmadmin<br />
gon-Skripte a , dürfen Programme serverbasiert installieren,<br />
CD-Images auf <strong>de</strong>n Server legen und Drucker einrichten.<br />
Lokale Administrationsrechte auf <strong>de</strong>m Client<br />
Druckeradministratoren, dürfen über das Cups-Webinterface<br />
Drucker verwalten.<br />
Private Gruppe für <strong>de</strong>n Webadministrator wwwadmin, keine<br />
weitere Funktion<br />
administrator<br />
administrator<br />
wwwadmin<br />
a Der Zugriff auf die netlogon-Skripte erfolgt vom Windows-Client aus direkt über die URN \\\netlogon. Diese ist entwe<strong>de</strong>r über Start | ausführen<br />
o<strong>de</strong>r im Adressfeld <strong>de</strong>s Windows-Explorers einzugeben.<br />
2. Administratoren<br />
Administratoren<br />
Benutzername<br />
administrator<br />
pgmadmin<br />
domadmin<br />
wwwadmin<br />
Benutzer-ID<br />
998<br />
999<br />
996<br />
997<br />
Bemerkungen<br />
Hauptadministrator, hat alle Rechte <strong>de</strong>r Gruppen domadmins<br />
und printoperators, Administrator <strong>de</strong>r Schulkonsole,<br />
Zugriff auf Tauschverzeichnisse und Schülerhomes<br />
Windows-Programmadministrator, hat alle Rechte <strong>de</strong>r Gruppe<br />
domadmins<br />
Benutzer für <strong>de</strong>n Domänenbeitritt von Windows-Clients a , hat<br />
sonst keine Funktion, bekommt das bei <strong>de</strong>r Installation für<br />
administrator zugewiesene Passwort<br />
Administrator für die Webdienste Moodle b , Hor<strong>de</strong>3 und<br />
OpenGroupware, kein Windows-Account<br />
Mitglied in<br />
domadmins, administrators,<br />
printoperators,<br />
teachers<br />
domadmins<br />
domadmins<br />
wwwadmin<br />
a siehe Abschnitt Domänenbeitritt, Softwareinstallation und Benutzerprofile<br />
b siehe Abschnitt Moodle einrichten<br />
Version <strong>3.0</strong><br />
Seite 106 / Anhang C
Anhang D. Übersicht <strong>de</strong>r Webdienste<br />
Übersicht <strong>de</strong>r Webdienste<br />
Dienst<br />
Apache<br />
Schulkonsole<br />
Moodle<br />
Hor<strong>de</strong>3<br />
OpenGroupware<br />
Webmin<br />
URL<br />
http(s)://<br />
https://:242<br />
http:///moodle<br />
https:///hor<strong>de</strong>3<br />
Bemerkungen<br />
Webserver, Document-Root liegt unter /var/www (In<strong>de</strong>x-Seite für <strong>de</strong>n<br />
eigenen Auftritt muss dort liegen), Konfigurationsdateien unter<br />
/etc/apache2<br />
<strong>paedML</strong>-Webfrontend, Konfigurationsdateien unter /etc/linuxmuster/schulkonsole,<br />
Administrator: administrator<br />
E-Learning-Plattform, Konfigurationsdateien unter /etc/moodle,<br />
Administrator: wwwadmin<br />
Webmail und -organizer, Konfigurationsdateien unter /etc/hor<strong>de</strong>,<br />
Administrator: wwwadmin<br />
https:///OpenGroupwarre.org,<br />
Groupware-Suite, Konfigurationsdateien unter /etc/opengroupwa-<br />
Administrator:<br />
wwwadmin<br />
https://:999<br />
Systemkonfigurations-Frontend, Administrator: root<br />
Version <strong>3.0</strong><br />
Seite 107 / Anhang D
Anhang E. Umstieg von <strong>Linux</strong>-Musterlösung 2.x auf<br />
<strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong><br />
Die hier beschriebene Vorgehensweise verzichtet auf die Übernahme <strong>de</strong>r Benutzerdaten (Home- und Tauschverzeichnisse, E-Mails,<br />
Quota-Einstellungen), stellt also ein vereinfachtes Szenario dar, das sich ohne großen Aufwand schnell und sicher durchführen lässt.<br />
Stellen Sie die Übernahme <strong>de</strong>r persönlichen Daten in die Eigenverantwortung <strong>de</strong>r Benutzer. Kündigen Sie <strong>de</strong>n Umstieg rechtzeitig<br />
vorher an, damit <strong>de</strong>n Benutzern genügend Zeit zur Verfügung steht die eigenen Daten auf Datenträger zu sichern. Der angenehme<br />
Nebeneffekt dieser Vorgehensweise ist, dass Sie mit einer neuen Serverinstallation starten, die von altem Datenballast befreit ist.<br />
Sollten Sie unbedingt auf die Migration <strong>de</strong>r Benutzerdaten angewiesen sein, können Sie das mit Hilfe <strong>de</strong>s Programms sophomorixvampire<br />
durchführen. 20<br />
1. Voraussetzungen für <strong>de</strong>n Umstieg<br />
Folgen<strong>de</strong> Voraussetzungen müssen erfüllt sein, damit <strong>de</strong>r Umstieg mit <strong>de</strong>r hier beschriebenen Vorgehensweise funktioniert:<br />
1. Die Verzeichnisstruktur unterhalb von /usr/local <strong>de</strong>s alten Servers muss auf <strong>de</strong>m neuen Server zur Verfügung stehen.<br />
Verwen<strong>de</strong>n Sie hierzu entwe<strong>de</strong>r die Wechselplatte mit <strong>de</strong>m Backup <strong>de</strong>s alten Servers und hängen sie ins Dateisystem <strong>de</strong>s neuen<br />
Servers ein, o<strong>de</strong>r kopieren Sie <strong>de</strong>n kompletten Verzeichnisbaum /usr/local <strong>de</strong>s alten Servers in ein Verzeichnis auf <strong>de</strong>m<br />
neuen Server.<br />
2. Die <strong>paedML</strong>-<strong>Linux</strong>-<strong>3.0</strong>-Installation auf <strong>de</strong>m neuen Server muss auf <strong>de</strong>m neuesten Stand sein. 21<br />
3. Auf <strong>de</strong>m neuen Server dürfen we<strong>de</strong>r Benutzer noch Arbeitsstationen angelegt sein.<br />
4. Falls Sie Windows-Clients verwen<strong>de</strong>n: Treten Sie mit einem Musterclient je<strong>de</strong>r Rechnergruppe (Hardwareklasse) aus <strong>de</strong>r Windowsdomäne<br />
aus. Das muss natürlich geschehen, solange <strong>de</strong>r alte Server noch läuft.<br />
2. Benutzer anlegen<br />
Besorgen Sie sich zunächst aktuelle Schüler- und Lehrerlisten von <strong>de</strong>r Schulverwaltung und legen Sie dann wie im Basiskurs für die<br />
<strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> beschrieben die Benutzer an. 22<br />
Falls Sie auf <strong>de</strong>m alten System spezielle Quotierungen für einzelne Benutzer angelegt hatten, pflegen Sie diese nun über die Schulkonsole<br />
ein. 23<br />
Wenn Sie mit Extraschülern und/o<strong>de</strong>r Extrakursen gearbeiten haben, müssen Sie noch die entsprechen<strong>de</strong>n Konfigurationsdateien nach<br />
/etc/sophomorix/user kopieren:<br />
# cp /usr/local/samba/users/extra* /etc/sophomorix/user<br />
Legen Sie danach Ihre Extraschüler und/o<strong>de</strong>r Extrakurse über die Schulkonsole wie<strong>de</strong>r an. 24<br />
Nun sind alle Benutzer wie<strong>de</strong>r angelegt, haben jedoch neue Passwörter. Als Netzwerkberater/in müssen Sie also noch Ihren Lehrkräften<br />
ihre neuen Login-Kärtchen zukommen lassen, damit diese in <strong>de</strong>r Lage sind ihre Schüler/innen ebenso mit ihren neuen Logindaten zu<br />
versorgen. 25<br />
3. Arbeitsstationen importieren<br />
Zunächst müssen die Arbeitsstationsdaten <strong>de</strong>r Datei wimport_data aus <strong>de</strong>m Backup in die neue Datei /etc/linuxmuster/workstations<br />
übernommen wer<strong>de</strong>n:<br />
20 Installieren Sie zunächst das Software-Paket sophomorix-vampire:<br />
# aptitu<strong>de</strong> install sophomorix-vampire<br />
Gehen Sie dann genau nach <strong>de</strong>r in <strong>de</strong>r Man-Page beschriebenen Anleitung vor:<br />
# man sophomorix-vampire<br />
Beachten Sie, dass diese Vorgehensweise <strong>Linux</strong>kenntnisse auf Expertenniveau voraussetzt. Lassen Sie die Datenmigration gegebenenfalls von einem Dienstleister<br />
durchführen.<br />
21 Siehe Abschnitt Online-Paket-Quellen konfigurieren und Sicherheitsupdates einspielen.<br />
22 Siehe Basiskurs <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> auf http://www.lehrerfortbildung-bw.<strong>de</strong>/netz/muster/linux/material/basis3/ Kapitel 4 Abschnitt 4 "Anlegen, Versetzen und<br />
Löschen von Benutzern".<br />
23 Siehe Basiskurs <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> auf http://www.lehrerfortbildung-bw.<strong>de</strong>/netz/muster/linux/material/basis3/ Kapitel 4 Abschnitt 7 "Festplattenplatz beschränken<br />
(Quota)".<br />
24 Siehe Basiskurs <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> auf http://www.lehrerfortbildung-bw.<strong>de</strong>/netz/muster/linux/material/basis3/ Kapitel 4 Abschnitt 4.4 "Pflege <strong>de</strong>r Extraschüler und<br />
Extrakurse".<br />
25 Siehe Basiskurs <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> auf http://www.lehrerfortbildung-bw.<strong>de</strong>/netz/muster/linux/material/basis3/ Kapitel 4 Abschnitt 4.6 "Passwörter verwalten".<br />
Version <strong>3.0</strong><br />
Seite 108 / Anhang E
# cat /usr/local/rembo/files/global/wimport_data > /etc/linuxmuster/workstat<br />
Im nächsten Schritt müssen die IP-Adressen und Netzmasken <strong>de</strong>r Arbeitsstationen angepasst wer<strong>de</strong>n. La<strong>de</strong>n Sie dazu die Datei<br />
/etc/linuxmuster/workstations in einen Editor Ihrer Wahl und nutzen Sie die Suchen-Ersetzen-Funktion:<br />
# Beispiel alt<br />
r100;r100-pc01;fs;00:0C:29:27:2B:48;192.168.100.1;255.255.0.0;1;1;1;1;22<br />
r100;r100-pc02;fs;00:0C:29:C7:83:32;192.168.100.2;255.255.0.0;1;1;1;1;22<br />
# Beispiel neu<br />
r100;r100-pc01;fs;00:0C:29:27:2B:48;10.16.100.1;255.240.0.0;1;1;1;1;22<br />
r100;r100-pc02;fs;00:0C:29:C7:83:32;10.16.100.2;255.240.0.0;1;1;1;1;22<br />
Es müssen also für je<strong>de</strong> Arbeitsstation das 1. und 2. Oktett <strong>de</strong>r IP-Adresse (im Beispiel: ;192.168. -> ;10.16.) und das 2. Oktett <strong>de</strong>r<br />
Netzmaske (im Beispiel: ;255.255. -> ;255.240.) angepasst wer<strong>de</strong>n.<br />
Jetzt können Sie die Arbeitsstationen neu importieren:<br />
# import_workstations<br />
Falls Sie Rembo/mySHN verwen<strong>de</strong>n, müssen Sie jetzt noch die Konfigurationsdateien <strong>de</strong>r Rechnergruppen (Hardwareklassen) ins<br />
neue System übernehmen. Kopieren Sie die Datei config für je<strong>de</strong> Gruppe:<br />
# cd /usr/local/rembo/files/global/myshn/groups<br />
# cp /config /var/lib/myshn/groups/<br />
# cp /config /var/lib/myshn/groups/<br />
...<br />
Anmerkung<br />
Kopieren Sie nicht die config-Datei <strong>de</strong>r Gruppe Rechneraufnahme!<br />
Nun starten Sie <strong>de</strong>n Musterclient, mit <strong>de</strong>m Sie auf <strong>de</strong>m alten System aus Domäne ausgetreten sind, unsynchronisiert, mel<strong>de</strong>n sich als<br />
lokaler Administrator an und treten wie<strong>de</strong>r <strong>de</strong>r Domäne bei. 26<br />
Nach erfolgreichem Domänenbeitritt erstellen Sie ein Image <strong>de</strong>s Musterclients.<br />
Haben Sie mehrere Rechnergruppen zu verwalten, müssen Sie diesen Vorgang für je<strong>de</strong> Gruppe wie<strong>de</strong>rholen.<br />
Danach können die an<strong>de</strong>ren Arbeitsstationen restauriert wer<strong>de</strong>n.<br />
4. Programm- und CDROM-Verzeichnisse bereitstellen<br />
Die Verzeichnisse für serverbasierte Programm- und CDROM-Installationen müssen aus <strong>de</strong>m Backup in die entsprechen<strong>de</strong>n Verzeichnisse<br />
nach /home/samba kopiert wer<strong>de</strong>n:<br />
# cp -a /usr/local/samba/progs/* /home/samba/progs<br />
# cp -a /usr/local/samba/cds/* /home/samba/cds<br />
Je nach Datenmenge und Leistungsfähigkeit <strong>de</strong>r Serverhardware dauert <strong>de</strong>r Kopiervorgang von einigen Minuten bis zu einigen<br />
Stun<strong>de</strong>n.<br />
Da sich die Benutzer-IDs <strong>de</strong>r Administratoren auf <strong>de</strong>r <strong>paedML</strong> <strong>Linux</strong> <strong>3.0</strong> geän<strong>de</strong>rt haben, müssen Sie noch die Besitzer- und Gruppenrechte<br />
<strong>de</strong>r Programm- und CDROM-Verzeichnisse anpassen:<br />
# chown pgmadmin:domadmins /home/samba/progs -R<br />
# chown pgmadmin:domadmins /home/samba/cds -R<br />
Anmerkung<br />
Wenn Sie Programminstallationen auf <strong>de</strong>m Windowsclient als Benutzer administrator durchführen, ersetzen Sie in<br />
obigen Befehlen pgmadmin einfach durch administrator.<br />
Damit die Programmverzeichnisse auf <strong>de</strong>m Windowsclient auch wie<strong>de</strong>r unter Laufwerk P: gefun<strong>de</strong>n wer<strong>de</strong>n, muss abschließend noch<br />
ein Netlogonskript ersetzt wer<strong>de</strong>n:<br />
# cd /home/samba/netlogon<br />
# cp login.bat.compat login.bat<br />
Wenn Sie noch spezielle Anpassungen in die Samba-Konfiguration <strong>de</strong>s neuen Systems einpflegen müssen, lesen Sie dazu bitte<br />
Kapitel 5 Abschnitt 1.6 "Samba-Server/Netlogon anpassen".<br />
26 Siehe Kapitel 7 Abschnitt 2.7 "Domänenbeitritt, Softwareinstallation und Benutzerprofile"<br />
Version <strong>3.0</strong><br />
Seite 109 / Anhang E