Amministrare via web con lwat

Lwat è uno strumento di amministrazione basato su un'interfaccia web che aiuterà ad amministrare alcune parti importanti della configurazione di Debian Edu. L'intera documentazione per lwat può essere trovata in /usr/share/doc/lwat/ del server principale o online .

Con Lwat si possono amministrare (aggiungere, modificare, cancellare):

• utenti
• gruppi
• Automount
• macchine

Per accedere a lwat scrivere l'indirizzo sul browser https://www/lwat . Si dovrebbe visualizzare la pagina sottostante che ha un menu a sinistra e nel centro la parte principale della pagina. Per prima cosa si dovrebbe vedere una finestra di login dove occorre collegarsi con le credenziali di amministratore. Se si accede per la prima volta dopo l'installazione, il nome di login è:

• admin
• la password è la password immessa durante l'installazione per l'acconto di root.

Dopo il login la finestra di login scomparirà e si potrà scegliere tra le varie voci nel menu.

Gestione degli utenti con lwat

In Debian Edu le informazioni sugli account sono archiviate in una directory LDAP e sono usate non solo dal server principale, ma anche dalle workstation e dai thinclient server nella rete. In questo modo le informazioni sugli studenti, allievi, insegnanti, ... devono essere inserite una sola volta e sono disponibili su tutti i sistemi della rete.

Si possono aggiungere utenti, collegarli a gruppi di utenti (per esempio riferirsi agli elementi di una classe facilmente), aggiornarli e cancellarli di nuovo. Le scelte del menu per fare questo sono le quattro voci più alte (nei due gruppi più alti).

Aggiungere utenti

Per aggiungere utenti bisogna solo scegliere "Add" nella parte del menu "Users". Dopo aver fatto questa scelta si vedrà una scheda dove occorre inserire i dati dell'utente che si vuole aggiungere. La cosa più importante da fare è inserire il nome completo dell'utente (punto 1 nella figura sottostante). Come si inseriscono i dati si vedrà lwat generare un username basato sul nome reale. Se l'account automatico non ci va bene si può cambiare più tardi. Come seconda cosa occorre scegliere il profilo dell'account, che è usato da lwat per determinare i privilegi dell'utente per l'amministratore del sistema. A oggi lwat conosce i profili seguenti:

Dopo aver scelto un profilo si può scegliere il pulsante "Save" e l'utente è aggiunto al sistema.

L'opzione di impostare la password, è stata disattivata, ma si può definire una propria password modificando l'utente aggiunto.

Se l'inserimento è andato a buon fine si dovrebbe vedere un messaggio alla fine della pagina che informa che i dato sono stati aggiunti alla directory ldap (altrimenti la scheda si resetta):

Added user: Demo User 
username: demuse
password: somethingsecret

Cercare e cancellare utenti

Per modificare o cancellare un utente occorre prima trovarlo usando search nelle scelte del menu. Nella scheda che appare (searcharea nella figura) occorre scrivere il nome reale dell'utente o il suo username. I risultati verranno mostrati sotto la scheda (resultarea nella figura). Alla sinistra di ogni risultato c'è un checkbox che si può usare per cancellare o disabilitare uno o più utenti con i due pulsanti sotto. Se si vuole modificare un utente, occorre cliccarci sopra, tutti i risultati sono collegamenti alla pagina di modifica.

Una nuova pagina mostrerà dove modificare le informazioni dell'utente come cambiare la password dell'utente o modificare la lista dei gruppi ai quali è collegato.

Gestione avanzata degli utenti

E' possibile inserire una quantità notevole di utenti con lwat usando un file .csv , che può essere creato con qualsiasi buon foglio elettronico (per esempio oocalc ).

Lo script che importa i dati si aspetta un file che ha tutti i dati di un utente su una riga, con ogni campo separato da un punto e virgola. Le informazioni minime necessarie sono il nome completo dell'utente. Se il nome completo non è inserito lo script aspetta di avere il nome e il cognome. Il massimo di informazione che è possibile dare sono "Ambiente utente; Nome Cognome; Username; Password; Gruppo addizionale".

Se il campo della password manca, una password facile da ricordare sarà creata.

Se un utente è messo in un gruppo, il gruppo deve esistere, così occorre creare manualmente il gruppo (con lwat, vedi sotto) prima di importare gli utenti.

E' una buona idea fare qualche test prima, meglio con un file .csv che contiene pochi utenti fittizi che potranno essere cancellati più tardi.

Gestione dei gruppi con lwat

L'amministrazione dei gruppi è simile a quella degli utenti. Si può inserire un nome e una descrizione per il gruppo. Quando si fa la ricerca per i gruppi si può cancellare o disabilitare tutti gli utenti del gruppo trovato. Nella pagina di modifica si può avere accesso a tutti gli utenti del gruppo.

I gruppi inseriti attraverso lwat sono gruppi regolari unix, in modo da usare questo strumento anche per i permessi dei file.

Gestione avanzata dei gruppi

Con lwat è facile inserire gli utenti in un gruppo specifico (per esempio chiamato con l'anno in cui entrano o finiscono la scuola) e creare tutte le home directory in una directory dedicata.

Per avere questo occorre creare una stanza come la seguente nel file /etc/lwat/admin.ini :

[2009] 
ou = "ou=People,%base%"
objectClass = top posixAccount shadowAccount imapUser sambaSamAccount
homeDirectory = /skole/tjener/home0/2009/%username%
groups = none students 2009
loginShell = /bin/bash
mailMessageStore = /var/lib/maildirs/%username%

Perché questo funzioni occorre creare il gruppo 2009 prima di aggiungere gli utenti.

La stanza è aggiunta sopra home0, se si vuole in un'altra posizione, occorre usare un altro automount, con lwat aggiungendo l'automount desiderato e cambiare la stringa homeDirectory in admini.in.

Gestione delle macchine con lwat

Con l'amministrazione delle macchine si controllano tutti gli IP degli apparati della rete Debian Edu. Ogni macchina aggiunta alla directory LDAP con lwat ha un nome, un indirizzo-IP, un indirizzo-MAC e un nome di dominio che in genere è "intern". Per una descrizione più completa dell'architettura di Debian Edu consulta la sezione architettura di questo manuale.

Se si aggiunge una macchina, si può usare un ip/hostname da uno spazio di indirizzi prefigurato. I seguenti intervalli di ip sono predefiniti:

Gli indirizzi da 10.0.2.100 a 10.0.2.255 e da 10.0.3.0 a 10.0.3.243 sono riservati per il dhcp e sono assegnati dinamicamente.

Per assegnare a un host con il MAC-address 00:40:05:AF:4E:C6 un indirizzo statico occorre inserire il MAC-address e il nome dell'host, nel nostro esempio static00, mentre i campi rimanenti saranno completati automaticamente secondo la configurazione predefinita.

Questo non configurerà il server dhcp. Bisogna configurare l'host staticamente o modificare la configurazione del server dhcp a mano come mostrato sotto.

Assegnare un ip statico con dhcp

Per assegnare un ip statico a un host che è stato aggiunto a ldap con lwat occorre modificare /etc/dhcp3/dhcpd.conf e lanciare /etc/init.d/dhcp3-server restart come root.

Per il nostro esempio si dovrebbe, dopo aver aperto /etc/dhcpd3/dhcpd.conf con un editor, cercare la sezione static00 . Si dovrebbe vedere una cosa simile a questa:

host static00 { 
  hardware ethernet 00:00:00:00:00:00;
  fixed-address static00;
} 

Occorre sostituire la sequenza di zero nel MAC-address con quello dell'host statico. Ecco come dovrebbe essere nel nostro esempio:

host static00 { 
  hardware ethernet 00:40:05:AF:4E:C6;
  fixed-address static00;
} 

Non dimenticare di fare il restart di dhcpd come descritto sopra tutte le volte che si cambia la configurazione.

Modificare macchine esistenti / Gestione del Netgroup

Dopo aver aggiunto una macchina a ldap usando lwat, si può modificarne le proprietà usando la funzione search cliccando sulla macchina desiderata (come per gli utenti).

La scheda relativa al collegamento della macchina è simile a quella già vista per modificare le proprietà dell'utente, ma le informazioni hanno un altro significato in questo contesto.

Per esempio, quando si aggiunge una macchina a un NetGroup non si modificano i permessi di quella macchina (o degli utenti che si collegano da quella macchina) ma si indica quali file o programmi sono disponibili per quella macchina sul server. E' qualcosa di più che limitare i servizi che una macchina può usare sul server principale.

L'installazione di default mette a disposizione quattro NetGroups printer-hosts, workstation-hosts, ltsp-server-hosts and server-hosts. Al momento la funzionalità NetGroup è attivabile solo per NFS. Le directory home sono esportate dal server principale e sono montate dalle workstation e dai server-ltsp. Per ragioni di sicurezza solo macchine che appartengono ai NetGroups workstation-hosts, ltsp-server-hosts e server-hosts possono montare le condivisioni esportate NFS. Così è molto importante ricordarsi di ben configurare questa tipologia di macchine nell'albero ldap attraverso lwat usando un indirizzo statico da ldap.

Ricordarsi di configurare con attenzione le workstation e i server-ldap con lwat, o gli utenti non potranno accedere alle loro home directory.

Un'altra importante parte della configurazione delle macchine è la casella 'Samba host' (nella sezione 'Host information'). Se si progetta di aggiungere macchine Windows al dominio Samba di Skolelinux, occorre aggiungere l'host Windows a ldap e settare questa casella per permettere alla macchina di collegarsi al dominio. Per maggiori informazioni su come aggiungere macchine Windows alla rete Skolelinux FIXME: aggiungere collegamento.

Amministrazione delle stampanti

Per l'amministrazione delle stampanti si può puntare con il browser web a https://www:631 Questo è l'indirizzo di cups dove si possono aggiungere/cancellare/modficare stampanti e pulire le code di stampa. Per fare cambiamenti occorre loggarsi come root, con il protocollo che usa la criptazione ssl.

Se si connette una stampante per la prima volta si consiglia di lanciare printconf come root.