== Diskless Workstation Server (bullseye) == <> === Installation === Das Debian Edu Minimalsystem {{{disklserver.intern}}} installieren wir über die PXE-Installationsumgebung von Debian Edu / Skolelinux. Die Vorbereitung der VM Instanz werden hier für [[../libvirt|libVirt]] bzw. [[../ganeti|Ganeti]] beschrieben. Die VM fährt hoch und bootet über PXE ins iPXE Bootmenü. Hier bitte den 64bit Installer auswählen. Es startet der Debian (Edu) Installer im grafischen Modus: * Installationsprofil: Minimal * Automatische Partitionierung: ja * Paketerfassung verwenden: Ja * Kennwort für root festlegen * ''Wichtig:'' Nach der Installation von {{{disklserver.intern}}}, aber vor dem ersten Start muss der Server im Debian Edu / Skolelinux Netzwerk bekannt gemacht werden: * GOsa² auf TJENER: * System (Typ: Server) anlegen für {{{disklserver.intern}}} * Beschreibung: {{{Diskless Workstations Image Server}}} * IP: {{{10.0.2.9}}} * ermittelte MAC-Adresse eintragen (vergl. Info-Seite bzgl. VM-Instanz Setup, s.o.) * DHCP (10.0.0.0-Netz) * DNS aktivieren * NIS Netgroups Eintrag in Gruppe: {{{server-hosts}}} (hierfür muss der Systemeintrag in GOsa² erstmal angelegt worden sein, danach nochmal die NIS Netgroup nachbearbeiten) === Konfiguration === Nach dem Neustart der VM {{{disklserver.intern}}} sollte der Hostname des gestarteten Systems auf {{{disklserver.intern}}} gesetzt sein. Wird stattdessen ein Hostname angezeigt, der die MAC-Adresse der primären NIC des Systems enthält, hat die Eintragung des Systems in GOsa² nicht funktioniert. Bevor man weiter fortfahren kann, muss dieser Fehler behoben werden. Zum aktuellen Zeitpunkt (Debian Edu 11.2 Release) kommt es bei der Installation eines Minimal-Profils zu einem Fehler. Es fehlt das DEB-Paket {{{libpam-krb5}}}. Dies muss nachinstalliert werden (vergl. [[https://bugs.debian.org/1002299|Debian bug #1002299]]): {{{ apt-get install libpam-krb5 }}} Um als Admin-User (bzw. allgemein als LDAP-User) bei Anmeldung System eine Verbindung zum $HOME-Verzeichnis auf {{{tjener.intern}}} zu erhalten, muss eine /etc/krb5.keytab Datei auf {{{disklserver.intern}}} kopiert werden (welche die Principals für {{{host/disklserver.intern}}} und {{{nfs/disklserver.intern}}} enthält. Dies erfolgt über folgenden Befehlsaufruf: {{{ root@disklserver:~# /usr/share/debian-edu-config/tools/copy-host-keytab Passwort für root@INTERN: disklserver.intern.keytab 100% 324 9.0KB/s 00:00 root@disklserver:~# }}} Danach sollte es möglich sein, sich mit einem LDAP-Benutzerkonto an {{{disklserver.intern}}} via Login TTY od. SSH einzuloggen. ==== Fine-Tuning der VM-Einstellungen ==== * Nach der Installation und dem ersten Start führen wir die folgenden Änderungen an der VM-Konfiguration von {{{disklserver.intern}}} durch. Hierfür muss die VM herunter gefahren werden und die VM-Konfiguration angepasst werden: * zweite Festplatte hinzufügen (Name für libVirt: {{{disklserver.intern_sdb}}}) * VM wieder anschalten und in der VM weiterarbeiten ==== Paket-Quellen für ITZkS aktivieren ==== Für den Diskless-Workstation-Server gibt es ein eigenes Overlay-Paket, welches aus dem IT-Zukunft Schule Projekt-APT-Repository installiert wird: {{{ root@disklserver:~# editor /etc/apt/sources.list.d/itzks.list """ deb http://packages.it-zukunft-schule.de/debian bullseye main contrib non-free """ root@disklserver:~# apt-get --allow-insecure-repositories update && apt-get install itzks-keyring && apt-get update root@disklserver:~# apt-get install itzks-systems-common }}} Bei der Installation von {{{itzks-systems-common}}} wird das Kürzel der Schule / des Schulkundens abgefragt. Diese Kürzel sind im Paket hinterlegt. Es besteht die Möglichkeit, ein Kürzel für die eigene Schule zu beantragen. Bitte dafür Kontakt mit Mike Gabriel vom IT-Zukunft Schule Projekt aufnehmen. Nach der Installation von {{{itzks-systems-common}}} dann folgenden Befehl aufrufen: {{{ root@disklserver:~# itzks-systems.do_preseed Preseeding ocsinventory-agent/tag to Preseeding ocsinventory-agent/method to http Preseeding ocsinventory-agent/server to inventory.it-zukunft-schule.de Silently running dpkg-reconfigure on package ocsinventory-agent ... DONE. }}} ==== Software nachinstallieren ==== Die weitere Software wird über die Installation des Meta- und Config-Pakets {{{itzks-systems-disklserver}}} installiert: {{{ root@disklserver:~# sudo apt-get install itzks-systems-disklserver }}} ==== System konfigurieren ==== 1. Login als {{{root}}} 1. Standard-Editor festlegen (an der Unix-Console){{{ root@disklserver:~# update-alternatives --config editor }}}Hier {{{vim.basic}}} auswählen. 1. Das Programm Midnight Commander starten (Kommando: {{{mc}}}): * F9 drücken * Optionen -> Konfiguration: [x] Internen Editor benutzen * Optionen -> Einstellungen speichern * F10: Midnight Commander beenden 1. Den Midnight Commander Editor (Kommando: {{{mcedit}}}) starten: * F9 drücken * Menüpunkt: ''Optionen -> Allgemein'' * "Backspace durch Tabs" auswählen * "Tabs mit Leerzeichen auffüllen" auswählen * "Return rückt automatisch ein" abwählen * mit "OK" bestätigen * F10: Editor beenden ==== Boot-Verzögerung bei Stromausfall ==== Debian Edu Systeme setzen beim Systemstart einen erreichbaren Hauptserver voraus. Für Debian Edu Server-VMs ergibt sich die Anforderung einer Boot-Verzögerung, die z.B. bei Stromausfall dafür sorgt, dass der Haupt-Server nach Neustart aller Systeme verfügbar ist. Anstelle aufwendiger VM-Host Skripte wird eine Startverzögerung durch ein hohes Timeout im Bootloader GRUB erwirkt.{{{ @disklserver:/# diff -u /etc/default/grub.orig /etc/default/grub --- /etc/default/grub.orig 2012-08-31 16:06:51.000000000 +0200 +++ /etc/default/grub 2012-08-31 16:06:59.000000000 +0200 @@ -2,7 +2,7 @@ # /boot/grub/grub.cfg. GRUB_DEFAULT=0 -GRUB_TIMEOUT=5 +GRUB_TIMEOUT=600 GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian` GRUB_CMDLINE_LINUX_DEFAULT="quiet" GRUB_CMDLINE_LINUX="" }}} Danach muss die Konfigurationsänderung übernommen werden:{{{ root@disklserver:~# update-grub }}} ==== Nur Admin-User und Junior-Admins dürfen sich auf DISKLSERVER einloggen ==== Schul-Admins und IT-Dienstleister:innen tragen wir in der LDAP-Gruppe {{{admins}}} ein. Junior-Admins (z.B. Schüler:innen einer Computer-AG) tragen wir in der Gruppe {{{jradmins}}} ein. /!\ '''Wichtig:''' Der Diskless Workstation Server darf ein Login nur für Dienstleister, Schul-Admins und Junior-Admins erlauben. Hierfür müssen die Dateien {{{/etc/security/access.conf}}} und {{{/etc/pam.d/sshd}}} angepasst werden:{{{ --- /etc/security/access.conf.orig +++ /etc/security/access.conf @@ -120,3 +120,6 @@ # # All other users should be denied to get access from all sources. #- : ALL : ALL + ++ : admins jradmins root : ALL +- : ALL : ALL }}}{{{ --- /etc/pam.d/sshd.orig 2012-07-30 17:51:12.000000000 +0200 +++ /etc/pam.d/sshd 2012-07-30 17:51:26.000000000 +0200 @@ -15,7 +15,7 @@ # Uncomment and edit /etc/security/access.conf if you need to set complex # access limits that are hard to express in sshd_config. -# account required pam_access.so +account required pam_access.so # Standard Un*x authorization. @include common-account }}} === Automatische Konfiguration via Puppet Agent === Wie jede Maschine in einem ITZkS-basierten Debian Edu Netzwerk, wird auf {{{disklserver.intern}}} wird Puppet verwaltet. D.h. alle weiteren Konfigurationsschritte sind mittels Puppet realisiert. Hierzu muss der Puppet Agent einmalig ausgeführt werden:{{{ root@disklserver:~# sudo -i root@disklserver:~# http_proxy= https_proxy= puppet agent --test }}} Danach muss auf {{{tjener.intern}}} eine Freischaltung (Signierung) des Host(-Zertifikats) durchgeführt werden:{{{ root@tjener:~# puppet ca sign disklserver.intern }}} Abschließend nochmal den Puppet Agent durchlaufen lassen und den Dienst auch aktivieren:{{{ root@disklserver:~# http_proxy= https_proxy= puppet agent --test root@disklserver:~# puppet agent --enable root@disklserver:~# systemctl enable --now puppet }}} === DLW Chroot bereitstellen === ==== Speicherplatz für DLW Chroot bereit stellen ==== Zunächst muss der für das Diskless Workstation Chroot Image vorgesehene Festplattenplatz vorbereitet werden: {{{ root@disklserver:~# fdisk /dev/sdb # eine Partition: sdb1, Partitionstyp: 8e root@disklserver:~# pvcreate /dev/sdb1 root@disklserver:~# vgextend vg_system /dev/sdb1 root@disklserver:~# lvcreate vg_system -n srv -L 60G root@disklserver:~# mkfs.ext4 /dev/vg_system/srv }}} Jetzt noch einen Eintrag in {{{/etc/fstab}}} anlegen:{{{ --- /etc/fstab.orig 2012-07-31 13:31:19.000000000 +0200 +++ /etc/fstab 2012-07-31 13:34:46.000000000 +0200 @@ -10,6 +10,7 @@ /dev/mapper/vg_system-root / ext4 errors=remount-ro 0 1 # /boot was on /dev/vda1 during installation UUID= /boot ext4 defaults 0 2 +/dev/mapper/vg_system-srv /srv ext4 defaults 0 2 /dev/mapper/vg_system-usr /usr ext4 defaults 0 2 /dev/mapper/vg_system-var /var ext4 defaults 0 2 /dev/mapper/vg_system-swap_1 none swap sw 0 0 }}} ... und zuletzt das Dateisystem mounten (unter der Voraussetzung, dass {{{/srv}}} keine Daten enthält): {{{ root@disklserver:~# sudo mount /srv }}} Das Management der Diskless Workstations erfolgt mit dem Tool LTSP. Das DLW Chroot wird zentral gepflegt und per Skript auf die DLW Server in den versch. Schulen übertragen. Das Chroot wird wahlweise nächtlich per rsync oder einmalig von einem zentralen Host auf den Schulserver synchronisiert. Die einmalige Bereitstellung des jeweils aktuellen DLW Images erfolgt auf Nachfrage. Das regelmäßige Update (meist zu Debian Point-Releases) erfolgt nur kostenpflichtig. Das DLW Chroot wird im Ordner {{{/srv/ltsp/dlw+bullseye+amd64}}} bereit gestellt. Das DLW Chroot kann so wie es ist mittels LTSP startbar gemacht werden. ==== DLW Chroot via LTSP startbar machen ==== Desweiteren sind einige weitere manuelle Schritte nötig, um das DLW Chroot über PXE starbar zu machen. Zunächst muss die NFS-Server Konfiguration von debian-edu-config deaktiviert werden. Hierfür müssen alle Zeilen in {{{/etc/exports.d/edu.exports}}} auskommentiert werden. Danach den NFS Kernel Server neustarten:{{{ root@disklserver:~# invoke-rc.d nfs-kernel-server restart }}} Danach müssen folgende LTSP Befehle ausgeführt werden:{{{ root@disklserver:~# ltsp ipxe root@disklserver:~# ltsp kernel root@disklserver:~# ltsp initrd root@disklserver:~# ltsp nfs }}} ==== DLW Squashfs Image ==== Es empfiehlt sich wegen der besseren Performanz, das DLW Chroot zu einem Squashfs Image umzuwandeln und dann das DLW Squashfs Image per PXE zu starten und nicht das DLW Chroot selbst. Das Squashfs-Image (und auch die Aktualisierung der PXE-Umgebung) kann mit dem Skript {{{itzks-update-disklserver-squashfs-images}}} erfolgen:{{{ root@disklserver:~# itzks-update-disklserver-squashfs-images Running: mount -t tmpfs -o mode=0755 tmpfs /srv/tmp/tmp.b3kQRsMM76/tmpfs Running: mount -t overlay -o upperdir=/srv/tmp/tmp.b3kQRsMM76/tmpfs/0/up,lowerdir=/srv/ltsp/dlw+amd64+bullseye,workdir=/srv/tmp/tmp.b3kQRsMM76/tmpfs/0/work /srv/tmp/tmp.b3kQRsMM76/tmpfs /srv/tmp/tmp.b3kQRsMM76/root/ Trying to acquire package management lock: /srv/ltsp/dlw+amd64+bullseye/var/lib/dpkg/lock Cleaning up dlw+amd64+bullseye before mksquashfs... Replacing /srv/tmp/tmp.b3kQRsMM76/root/etc/ssh/ssh_host_ecdsa_key Replacing /srv/tmp/tmp.b3kQRsMM76/root/etc/ssh/ssh_host_ed25519_key Replacing /srv/tmp/tmp.b3kQRsMM76/root/etc/ssh/ssh_host_rsa_key Generating a RSA private key ..................+++++ .............................................................................................................................................................................................+++++ writing new private key to '/srv/tmp/tmp.b3kQRsMM76/root/etc/ssl/private/ssl-cert-snakeoil.key' ----- Parallel mksquashfs: Using 4 processors Creating 4.0 filesystem on /srv/ltsp/images/dlw+amd64+bullseye.img.tmp, block size 131072. [========/ ] 73160/855010 8% }}} Der Vorgang (Squashfs Image bauen) dauert relativ lange und sollte ggf. in einem {{{screen}}}-Terminal ausgeführt werden. Das Skript {{{itzks-update-disklserver-squashfs-images}}} aktualisiert am Ende auch die PXE-Startumgebung via LTSP, so dass nach Ausführen des Skripts das DLW Squashfs Image sofort zur Verfügung steht. So sieht die restliche Ausgabe des Skripts aus:{{{ [========================================================================================================/] 855010/855010 100% Exportable Squashfs 4.0 filesystem, gzip compressed, data block size 131072 compressed data, compressed metadata, compressed fragments, compressed xattrs, compressed ids duplicates are removed Filesystem size 11555688.01 Kbytes (11284.85 Mbytes) 44.34% of uncompressed filesystem size (26062824.09 Kbytes) Inode table size 9220230 bytes (9004.13 Kbytes) 27.71% of uncompressed inode table size (33277580 bytes) Directory table size 9344774 bytes (9125.76 Kbytes) 35.75% of uncompressed directory table size (26137271 bytes) Number of duplicate files found 44541 Number of inodes 923305 Number of files 717670 Number of fragments 60650 Number of symbolic links 99322 Number of device nodes 0 Number of fifo nodes 0 Number of socket nodes 0 Number of directories 106313 Number of ids (unique uids + gids) 36 Number of uids 15 root (0) statd (110) unknown (123) avahi (111) Debian-exim (105) _apt (100) man (6) unknown (120) unknown (127) tftp (115) nobody (65534) unknown (124) unknown (125) unknown (122) unknown (126) Number of gids 28 root (0) dip (30) ssl-cert (110) shadow (42) tftp (123) Debian-exim (114) lpadmin (112) messagebus (111) mail (8) saned (121) kvm (105) tty (5) games (60) input (104) unknown (132) utmp (43) staff (50) systemd-timesync (113) man (12) unknown (127) unknown (134) avahi (118) unknown (130) nogroup (65534) unknown (131) adm (4) render (106) unknown (133) Running: ltsp kernel /srv/ltsp/images/dlw+amd64+bullseye.img Running: mount -t tmpfs -o mode=0755 tmpfs /srv/tmp/tmp.e0ec2gJKPE/tmpfs Running: mount -t squashfs -o ro /srv/ltsp/images/dlw+amd64+bullseye.img /srv/tmp/tmp.e0ec2gJKPE/tmpfs/0/looproot Running: mount -t overlay -o upperdir=/srv/tmp/tmp.e0ec2gJKPE/tmpfs/0/up,lowerdir=/srv/tmp/tmp.e0ec2gJKPE/tmpfs/0/looproot,workdir=/srv/tmp/tmp.e0ec2gJKPE/tmpfs/0/work /srv/tmp/tmp.e0ec2gJKPE/tmpfs /srv/tmp/tmp.e0ec2gJKPE/root/ -rw-r--r-- 1 root root 71696536 27. Jul 15:55 /srv/tftp/ltsp/dlw+amd64+bullseye/initrd.img -rw-r--r-- 1 root root 6846656 24. Jul 00:32 /srv/tftp/ltsp/dlw+amd64+bullseye/vmlinuz Running: mount -t tmpfs -o mode=0755 tmpfs /srv/tmp/tmp.D1twk5zxrz/tmpfs Running: mount -t overlay -o upperdir=/srv/tmp/tmp.D1twk5zxrz/tmpfs/0/up,lowerdir=/srv/ltsp/dlw+amd64+bullseye,workdir=/srv/tmp/tmp.D1twk5zxrz/tmpfs/0/work /srv/tmp/tmp.D1twk5zxrz/tmpfs /srv/tmp/tmp.D1twk5zxrz/root/ -rw-r--r-- 1 root root 71696536 27. Jul 15:55 /srv/tftp/ltsp/dlw+amd64+bullseye/initrd.img -rw-r--r-- 1 root root 6846656 24. Jul 00:32 /srv/tftp/ltsp/dlw+amd64+bullseye/vmlinuz 311 Blöcke Generated ltsp.img: -rw-r--r-- 1 root root 159232 18. Sep 22:56 /srv/tftp/ltsp/ltsp.img Installed /usr/share/ltsp/server/ipxe/ltsp.ipxe in /srv/tftp/ltsp/ltsp.ipxe Skipped existing /srv/tftp/ltsp/memtest.0 memtest.efi not found, that iPXE menu won't work Skipped existing /srv/tftp/ltsp/snponly.efi Skipped existing /srv/tftp/ltsp/undionly.kpxe }}} ==== Diskless Workstations via PXE anbieten ==== Schließlich muss das Booten als Diskless Workstation über PXE via LDAP angeboten werden. Hierfür muss folgendes LDAP-Snippet nach LDAP importiert werden:{{{ dn: cn=diskless-workstation,cn=10.0.0.0,cn=intern,cn=dhcp,cn=tjener,ou=servers,[========/ ] 73160/855010 8% ou=systems,dc=skole,dc=skolelinux,dc=no dhcpStatements: next-server disklserver cn: diskless-workstation objectClass: top objectClass: dhcpGroup objectClass: dhcpOptions }}} ==== Krb5 Host Keytab per SSH übertragen während Bootvorgang ==== Die DLWs übertragen beim Starten des System die krb5.keytab Datei für den DLW-Host von TJENER. Hierfür muss eine Vertrauensstellung via SSH aufgebaut werden für {{{root@}}} -> {{{debian-edu@tjener.intern}}}. Zuerst muss im DLW Chroot ein SSH priv/pub Schlüsselpaar erstellt werden:{{{ root@disklserver:~# chroot /srv/ltsp/dlw+amd64+bullseye root@disklserver:~# ssh-keygen # keine Passphrase hinterlegen! root@disklserver:~# cat ~/.ssh/id_rsa.pub root@disklserver:~# exit # chroot wieder verlassen }}} Zusätzlich muss im DLW Chroot noch eine {{{known_hosts}}} Datei abgelegt werden. Hierfür muss ein kleiner Umweg gegangen werden, da die DLW im Chroot keinen eigenen Host-Key liegen hat. {{{ root@disklserver:~# mv /root/.ssh/known_hosts /root/.ssh/known_hosts.bak root@disklserver:~# ssh -lroot tjener.intern The authenticity of host 'tjener.intern (10.0.2.2)' can't be established. ECDSA key fingerprint is SHA256:. Are you sure you want to continue connecting (yes/no/[fingerprint])? yes Warning: Permanently added 'tjener.intern,10.0.2.2' (ECDSA) to the list of known hosts. root@tjener.intern's password: }}} Den Host-Fingerprint von {{{tjener.intern}}} akzeptieren, ein Login auf TJENER ist nicht nötig (und sollte auch mit Passwort nicht funktionieren). Danach die Datei {{{/root/.ssh/known_hosts}}} in das DLW Chroot kopieren und die vorige Version von {{{known_hosts}}} wieder herstellen:{{{ root@disklserver:~# cp /root/.ssh/known_hosts /srv/ltsp/dlw+amd64+bullseye/root/.ssh/ root@disklserver:~# mv /root/.ssh/known_hosts.bak /root/.ssh/known_hosts }}} Den jetzt via Copy+Paste übertragen nach {{{debian-edu@tjener.intern}}}:{{{ root@tjener:~# su - debian-edu $ bash debian-edu@tjener:~$ mkdir .ssh debian-edu@tjener:~$ editor ~/.ssh/authorized_keys }}} In {{{~debian-edu/.ssh/authorized_keys}}} jetzt den hineinkopieren. Speichern und Editor schließen. Zuletzt muss jetzt das DLW Squashfs Image nochmal neu erstellt werden:{{{ root@disklserver:~# ltsp image /srv/ltsp/dlw+amd64+bullseye }}}