7578
Kommentar:
|
← Revision 82 vom 2022-09-16 11:54:29 ⇥
11510
|
Gelöschter Text ist auf diese Art markiert. | Hinzugefügter Text ist auf diese Art markiert. |
Zeile 1: | Zeile 1: |
== Installation == | #acl AdminGroup:read,write,delete,revert,admin All:read |
Zeile 3: | Zeile 3: |
<<TableOfContents(4)>> | = Installation IT-Zukunft Schule Setup auf Basis von Debian Edu= |
Zeile 5: | Zeile 5: |
Die Installationshinweise sind so aufgeführt, dass sie die chronologische '''Reihenfolge der Installationsarbeiten''' wiedergeben. Grundlage für das Verständnis bildet die [[/Technik/Infrastruktur|Netzwerktopologie]] eines IT-Zukunft Schule™-Netzwerks. | <<TableOfContents(5)>> |
Zeile 7: | Zeile 7: |
Die Installationshinweise sind so aufgeführt, dass sie die chronologische '''Reihenfolge der Installationsarbeiten''' wiedergeben. Grundlage für das Verständnis bildet die [[Technik/Netzwerk|Netzwerktopologie]] eines IT-Zukunft Schule Netzwerks. == Infrastrukturkomponenten == === Einrichtung von VPN an neuen Server-Systemen === Eine Anleitung, wie neue VPN-Zertifikate erstellt und entsprechend eingebunden werden können ist [[Technik/Installation/VPN|hier]] zu finden. |
|
Zeile 10: | Zeile 17: |
Bevor die Einrichtungsarbeiten der IT-Infrastruktur von IT-Zukunft Schule™ beginnen können, muss die '''Internet-Anbindung des Schul-Intranets geprüft und angepasst werden'''. | Bevor die Einrichtungsarbeiten der IT-Infrastruktur von IT-Zukunft Schule beginnen können, muss die '''Internet-Anbindung des Schul-Intranets geprüft und angepasst werden'''. |
Zeile 30: | Zeile 37: |
'''Hinweis:''' In der Vergangenheit haben wir ipFire und Endian 2.5 in Schulen bereit gestellt, allerdings waren wir mit den Produkten aus verschiedenen Gründen (Auslieferung der Inhalte mittels Squidguard gesperrter Seiten auf anderen PC-Systemen bei ipFire, Performanzmangel des http-Proxyservers / Support discontinued bzgl. Endian 2.5, extremer Performanzmangel im Inhaltsfilter von Endian 3.0). | '''Anmerkung:''' In der Vergangenheit haben wir ipFire und Endian 2.5 in Schulen bereit gestellt, allerdings waren wir mit den Produkten aus verschiedenen Gründen (Auslieferung der Inhalte mittels Squidguard gesperrter Seiten auf anderen PC-Systemen bei ipFire, Performanzmangel des http-Proxyservers / Support discontinued bzgl. Endian 2.5, extremer Performanzmangel im Inhaltsfilter von Endian 3.0). |
Zeile 32: | Zeile 39: |
=== Captive Portal für Schulinternes WLAN === | |
Zeile 33: | Zeile 41: |
=== Virtuelle Maschinen === | Um einen höheren Zugriffschutz der internen Schulumgebung und eine bessere Abtrennung verschiedener Netzwerkbereich zu ermöglichen, nutzen wir zusammen mit einer !UniFi-Wifi Umgebung (siehe [[Technik/Installation/VM/WifiManager]]) eine via pfSense eingerichtete Captive-Portal Verwaltung, mit der sich Schüler, Lehrer und Gäste sicher und komfortabel im Schul-internen Netz bewegen können. [[Technik/Installation/Firewall/Pfsense#Captive_Portal|Installationshinweise...]] === Monitoring mit Icinga2 === Zum Überwachen der Serverinfrastruktur nutzt das ITZkS-Projekt die Monitoring-Software Icinga2, in welche sich zu überwachende Systeme als Nodes einbinden lassen. [[Technik/Nutzungshinweise/Icinga2|Installationshinweise...]] == Virtuelle Maschinen == === Server-VMs im Education-Netzwerk === |
Zeile 37: | Zeile 58: |
Der Haupt-Server im pädagogischen Schul-Intranet ist der Debian Edu / Skolelinux Haupt-Server namens ''TJENER'' (norwegisch/bokmal für ''Server''). Die Installation von TJENER für die Debian Edu / Skolelinux Version ''squeeze'' innerhalb des IT-Zukunft Schule™-Netzwerks wird im folgenden beschrieben. Die Betreuung des Hauptservers darf nur von Lehrer/innen und dem IT-Dienstleister durchgeführt werden. | Der Haupt-Server im pädagogischen Schul-Intranet ist der Debian Edu / Skolelinux Haupt-Server namens ''TJENER'' (norwegisch/bokmal für ''Server''). Die Installation von TJENER für die Debian Edu / Skolelinux Version ''squeeze'' innerhalb des IT-Zukunft Schule Netzwerks wird im folgenden beschrieben. Die Betreuung des Hauptservers darf nur von Lehrer/innen und dem IT-Dienstleister durchgeführt werden. |
Zeile 39: | Zeile 60: |
[[Technik/Installation/VM/HauptServerTjener|Installationshinweise]] ([[Technik/Installation/VM/HauptServerTjener/Squeeze|squeeze]], [[Technik/Installation/VM/HauptServerTjener/Squeeze2Jessie|squeeze->jessie Upgrade]], [[Technik/Installation/VM/HauptServerTjener/Jessie|jessie]])... | [[Technik/Installation/VM/HauptServerTjener|Installationshinweise]] ([[Technik/Installation/VM/HauptServerTjener/Bullseye|bullseye]], buster (leider nicht), [[Technik/Installation/VM/HauptServerTjener/Stretch|stretch]], [[Technik/Installation/VM/HauptServerTjener/Jessie|jessie]], [[Technik/Installation/VM/HauptServerTjener/Squeeze|squeeze]], [[Technik/Installation/VM/HauptServerTjener/Squeeze2Jessie|squeeze->jessie Upgrade]])... ==== Server für Inhaltsfilterung / Web-Proxy ==== Die Aufgabe der Inhaltsfilterung wird im IT-Zukunft Schule Projekt nicht von der zentralen Firewall übernommen, sondern von einem Debian basierten System, auf dem die Sofware [[http://e2guardian.org/cms/index.php|"E2Guardian"]] installiert ist. [[Technik/Installation/VM/FilterServer|Installationshinweise...]] ==== FAI Installations-Server ==== Im IT-Zukunft Schule Projekt setzen wir Virtualisierung ein. Ein Ziel ist das Verteilen von Zuständigkeiten der IT-Betreuung und das Einbeziehen von geschulten Schüler/innen in unsere Arbeit. Ein Server für die vollautomatisierte Installation von Workstations im Debian Edu / Skolelinux Netzwerk kann eine beliebte Aufgabe für die Computer-AG einer Schule darstellen. [[Technik/Installation/VM/FAIServer|Installationshinweise...]] |
Zeile 43: | Zeile 76: |
Im IT-Zukunft Schule™ Projekt setzen wir Virtualisierung ein. Ein Ziel ist das Verteilen von Zuständigkeiten der IT-Betreuung und das Einbeziehen von geschulten Schüler/innen in unsere Arbeit. Ein Server für die Software-Images der Diskless Workstations im Debian Edu / Skolelinux Netzwerk ist kann eine beliebte Aufgabe für die Computer-AG einer Schule darstellen. | Im IT-Zukunft Schule Projekt setzen wir Virtualisierung ein. Ein Ziel ist das Verteilen von Zuständigkeiten der IT-Betreuung und das Einbeziehen von geschulten Schüler/innen in unsere Arbeit. Ein Server für die Verteilung von Software-Images auf die Diskless Workstations im Debian Edu / Skolelinux Netzwerk kann eine beliebte Aufgabe für die Computer-AG einer Schule darstellen. |
Zeile 47: | Zeile 80: |
==== Server für Vertretungsplan-Displays ==== An Schulen, die via IT-Zukunft Schule Vertretungsplan-Displays bereitgestellt bekommen, gibt es die virtuelle Maschine {{{displayserver.intern}}}. [[Technik/Installation/VM/DisplayServer|Installationshinweise...]] |
|
Zeile 49: | Zeile 88: |
Die Terminal-Server im Debian Edu / Skolelinux werden in IT-Zukunft Schule™ ebenfalls virtualisiert. Allerdings auf eigenen Hardware-Plattformen. Terminal-Server sind ebenfalls für die gemeinsame Betreuung mit Schüler/innen geeignet. | Die Terminal-Server im Debian Edu / Skolelinux werden in IT-Zukunft Schule ebenfalls virtualisiert. Allerdings auf eigenen Hardware-Plattformen. Terminal-Server sind ebenfalls für die gemeinsame Betreuung mit Schüler/innen geeignet. |
Zeile 77: | Zeile 116: |
==== Installationsprofil: Diskless Workstation ==== | |
Zeile 78: | Zeile 118: |
=== Backup-Server (Datensicherung) === | Stationäre PCs, die ständig kabelgebundenen mit dem Netzwerk/LAN verbunden sind, eignen sich perfekt für den Betrieb als sog. Diskless Workstations. Die Geräte müssen nicht installiert werden, sondern lediglich mit dem LAN verbunden, in GOsa² eingetragen und dann über PXE-Boot gestartet werden. |
Zeile 80: | Zeile 120: |
Die Datensicherung des Schulnetzwerks wird im IT-Zukunft Schule™ Projekt durch den IT-Dienstleister der Schule betreut. | [[Technik/Installation/Workstations/DisklessWorkstation|Installationshinweise...]] ==== Installationsprofil: Kiosk-NB ==== Dieses Installationsprofil ist gedacht für die kontrollierte Internetnutzung mittels eines im Kiosk-Modus laufenden Browsers (hier genutzt ein Wrapper für den Surf-Browser [[https://code.it-zukunft-schule.de/cgit/surf-display/|surf-WWW-display]]) mit einschränkbaren Funktionalitäten und Webzugriffen. [[Technik/Installation/Workstations/KioskNB|Installationshinweise...]] === Server-VMs bzw. physikalische Server im Backbone-/Management-Netzwerk === ==== Backup-Server (Datensicherung) ==== Die Datensicherung des Schulnetzwerks wird im IT-Zukunft Schule Projekt durch den IT-Dienstleister der Schule betreut. |
Zeile 83: | Zeile 135: |
==== Server für UniFi-WifiManager ==== Mit [[https://unifi-sdn.ubnt.com/|UniFi]] Access-Points wird die WLAN-Abdeckung bei einigen Schulen ausgebaut/gewährleistet, welche über eine virtuelle Maschine im !BackBone-Netz verwaltet werden. [[Technik/Installation/VM/WifiManager|Installationshinweise...]] |
|
Zeile 94: | Zeile 152: |
[[Technik/Installation/BenutzerinnenAnlegen|Hinweise...]] | [[Technik/Nutzungshinweise/BenutzerImport|Hinweise...]] |
Zeile 98: | Zeile 156: |
In jeder Schule wird gedruckt. Das Debian Edu Netzwerk unterstützt eine Vielfalt von Druckeranbindungen, so dass Drucken unter Linux und unter Windows auf den Clients einfach konfigurierbar wird. Der Zugriff auf spezielle Drucker kann auf Rechner- und/oder Personengruppen eingeschränkt werden. Druck-Accounting ist in Planung. | In jeder Schule wird gedruckt. Das Debian Edu Netzwerk unterstützt eine Vielfalt von Druckeranbindungen, so dass Drucken unter Linux und unter Windows auf den Clients einfach konfigurierbar wird. Der Zugriff auf spezielle Drucker kann auf Rechner- und/oder Personengruppen eingeschränkt werden. Druck-Accounting ist in Planung. |
Zeile 101: | Zeile 159: |
=== SmartBoard Software für Workstations === Eine Installationsanleitung für die !SmartBoard Software findet sich [[Technik/Installation/SmartBoard|hier...]] |
= Installation IT-Zukunft Schule Setup auf Basis von Debian Edu=
Inhaltsverzeichnis
- Infrastrukturkomponenten
- Virtuelle Maschinen
Die Installationshinweise sind so aufgeführt, dass sie die chronologische Reihenfolge der Installationsarbeiten wiedergeben. Grundlage für das Verständnis bildet die Netzwerktopologie eines IT-Zukunft Schule Netzwerks.
Infrastrukturkomponenten
Einrichtung von VPN an neuen Server-Systemen
Eine Anleitung, wie neue VPN-Zertifikate erstellt und entsprechend eingebunden werden können ist hier zu finden.
Internet-Uplink / DSL-Zugang (o.ä.)
Bevor die Einrichtungsarbeiten der IT-Infrastruktur von IT-Zukunft Schule beginnen können, muss die Internet-Anbindung des Schul-Intranets geprüft und angepasst werden.
Virtualisierungs-Server
Die Server-Komponenten des Schulnetzwerks werden nicht direkt auf vorhandener Server-Hardware installiert.
Auf den physischen Servern jeder Schule wird zu Beginn der Einrichtungsarbeiten eine Virtualisierungsebene bereit gestellt. Innerhalb dieser Virtualisierungsumgebung werden dann die Server-Komponenten des pädagogischen Schul-Intranets als Virtuelle Maschinen betrieben werden.
Firewall / Gateway für das Schulnetz
- Zwischen Internet-Uplink (DSL-Zugang o.ä.) und dem eigentlich Schul-Intranet (Debian Edu / Skolelinux Netzwerk) wird eine gut und flexibel konfigurierbare Firewall zwischengeschaltet.
Als Produkt verwenden wir hierfür seit Sommer 2015 die freie Firewall-FreeBSD-Distribution pfSense (http://www.pfsense.org).
Anmerkung: In der Vergangenheit haben wir ipFire und Endian 2.5 in Schulen bereit gestellt, allerdings waren wir mit den Produkten aus verschiedenen Gründen (Auslieferung der Inhalte mittels Squidguard gesperrter Seiten auf anderen PC-Systemen bei ipFire, Performanzmangel des http-Proxyservers / Support discontinued bzgl. Endian 2.5, extremer Performanzmangel im Inhaltsfilter von Endian 3.0).
Captive Portal für Schulinternes WLAN
Um einen höheren Zugriffschutz der internen Schulumgebung und eine bessere Abtrennung verschiedener Netzwerkbereich zu ermöglichen, nutzen wir zusammen mit einer UniFi-Wifi Umgebung (siehe Technik/Installation/VM/WifiManager) eine via pfSense eingerichtete Captive-Portal Verwaltung, mit der sich Schüler, Lehrer und Gäste sicher und komfortabel im Schul-internen Netz bewegen können.
Monitoring mit Icinga2
- Zum Überwachen der Serverinfrastruktur nutzt das ITZkS-Projekt die Monitoring-Software Icinga2, in welche sich zu überwachende Systeme als Nodes einbinden lassen.
Virtuelle Maschinen
Server-VMs im Education-Netzwerk
Debian Edu / Skolelinux Haupt-Server
Der Haupt-Server im pädagogischen Schul-Intranet ist der Debian Edu / Skolelinux Haupt-Server namens TJENER (norwegisch/bokmal für Server). Die Installation von TJENER für die Debian Edu / Skolelinux Version squeeze innerhalb des IT-Zukunft Schule Netzwerks wird im folgenden beschrieben. Die Betreuung des Hauptservers darf nur von Lehrer/innen und dem IT-Dienstleister durchgeführt werden.
Installationshinweise (bullseye, buster (leider nicht), stretch, jessie, squeeze, squeeze->jessie Upgrade)...
Server für Inhaltsfilterung / Web-Proxy
Die Aufgabe der Inhaltsfilterung wird im IT-Zukunft Schule Projekt nicht von der zentralen Firewall übernommen, sondern von einem Debian basierten System, auf dem die Sofware "E2Guardian" installiert ist.
FAI Installations-Server
- Im IT-Zukunft Schule Projekt setzen wir Virtualisierung ein. Ein Ziel ist das Verteilen von Zuständigkeiten der IT-Betreuung und das Einbeziehen von geschulten Schüler/innen in unsere Arbeit. Ein Server für die vollautomatisierte Installation von Workstations im Debian Edu / Skolelinux Netzwerk kann eine beliebte Aufgabe für die Computer-AG einer Schule darstellen.
Diskless Workstation Image-Server
- Im IT-Zukunft Schule Projekt setzen wir Virtualisierung ein. Ein Ziel ist das Verteilen von Zuständigkeiten der IT-Betreuung und das Einbeziehen von geschulten Schüler/innen in unsere Arbeit. Ein Server für die Verteilung von Software-Images auf die Diskless Workstations im Debian Edu / Skolelinux Netzwerk kann eine beliebte Aufgabe für die Computer-AG einer Schule darstellen.
Server für Vertretungsplan-Displays
An Schulen, die via IT-Zukunft Schule Vertretungsplan-Displays bereitgestellt bekommen, gibt es die virtuelle Maschine displayserver.intern.
Terminal-Server
- Die Terminal-Server im Debian Edu / Skolelinux werden in IT-Zukunft Schule ebenfalls virtualisiert. Allerdings auf eigenen Hardware-Plattformen. Terminal-Server sind ebenfalls für die gemeinsame Betreuung mit Schüler/innen geeignet.
Content-Server
- Für eine Intranet-Homepage (Content Management System, Blog, News-Portal, E-Learning-Software, etc.) stellen wir Schulen optional einen Content-Server bereit. Je nach Web-Applikation, die auf dem System betrieben wird (d.h. welche Inhalte auf dem System gespeichert werden) kann das System von Schüler/innen (mit-)betreut werden oder muss von Lehrer/innen und/oder dem IT-Dienstleister der Schule gepflegt werden.
Arbeitsplatzinstallationen im Debian Edu Netzwerk
Installationsprofil: Arbeitsplatzrechner
- Auf Desktops und Notebooks, die ausschließlich innerhalb des Schulnetzwerks (über LAN od. WLAN) genutzt werden, wird das Debian Edu Profil ,,Arbeitsplatzrechner" (Workstation) bei der Installation ausgewählt. Eine Benutzeranmeldung an diesen Arbeitsplatzrechnern ist außerhalb des Schulnetzwerks nicht möglich.
Installationsprofil: Mobiler Arbeitsplatzrechner
- Dieses Installationsprofil wird selten verwendet und kommt nur für Geräte in Frage, die insbesondere (auch) außerhalb des Debian Edu Netzwerks funktionieren sollen, Ihre Benutzer/innen-Daten aber aus der Benutzerverwaltung des Systems (LDAP) beziehen sollen. Auf Notebooks mit der oben beschriebenen Eigenschaft wird das Debian Edu Profil ,,Mobiler Arbeitsplatzrechner" (Roaming Workstation) bei der Installation ausgewählt. Ein Benutzer muss sich an einem Mobilen Arbeitsplatz erstmalig anmelden, wenn der Rechner mit dem Debian Edu Netzwerk verbunden ist. Danach ist eine Anmeldung auch außerhalb des Netzwerks möglich, ein lokaler Benutzer wurde bei der Erstanmeldung erstellt. Alle Daten für diesen Benutzer werden auf einem Mobilen Arbeitsplatz lokal gespeichert. Wichtig: für Notebook-Bestände, die als Klassensätze innerhalb der Schule im Unterricht genutzt werden, ist dieses Installationsprofile nicht geeignet.
Installationsprofil: Diskless Workstation
- Stationäre PCs, die ständig kabelgebundenen mit dem Netzwerk/LAN verbunden sind, eignen sich perfekt für den Betrieb als sog. Diskless Workstations. Die Geräte müssen nicht installiert werden, sondern lediglich mit dem LAN verbunden, in GOsa² eingetragen und dann über PXE-Boot gestartet werden.
Installationsprofil: Kiosk-NB
Dieses Installationsprofil ist gedacht für die kontrollierte Internetnutzung mittels eines im Kiosk-Modus laufenden Browsers (hier genutzt ein Wrapper für den Surf-Browser surf-WWW-display) mit einschränkbaren Funktionalitäten und Webzugriffen.
Server-VMs bzw. physikalische Server im Backbone-/Management-Netzwerk
Backup-Server (Datensicherung)
- Die Datensicherung des Schulnetzwerks wird im IT-Zukunft Schule Projekt durch den IT-Dienstleister der Schule betreut.
Server für UniFi-WifiManager
Mit UniFi Access-Points wird die WLAN-Abdeckung bei einigen Schulen ausgebaut/gewährleistet, welche über eine virtuelle Maschine im BackBone-Netz verwaltet werden.
GOsa²/LDAP-Baum anpassen/administrieren
Viele Anteile der Administration im Debian Edu Netzwerk basiert auf den Einstellungen und Eintragungen in der LDAP-Datenbank des Systems. Während der Installation nehmen wir einige Anpassungen am LDAP-Baum vor, die bei einem Standard Debian Edu System so nicht existieren. Weiterhin gibt dieser Dokumentationsabschnitt auch Empfehlungen zur Wartung des LDAP-Baums mit GOsa² und/oder dem Tool ldapvi.
Benutzer/innen anlegen (Import)
Die Benutzer(innen)verwaltung auf dem Hauptserver (TJENER) erfolgt über die Verwaltungssoftware GOsa2. Der Massenimport bei Neueinrichtung einer Debian Edu / Skolelinux Infrastruktur wird folgend beschrieben. Die Migration der Userdaten von einer bestehenden Serverinfrastruktur an der Schule wird an dieser Stelle nicht dokumentiert, weil die einzelnen Schritte sehr individuell sind. Eine Migration der Userdaten kann bei dem IT-Dienstleister in Auftrag gegeben werden.
Drucker einrichten
- In jeder Schule wird gedruckt. Das Debian Edu Netzwerk unterstützt eine Vielfalt von Druckeranbindungen, so dass Drucken unter Linux und unter Windows auf den Clients einfach konfigurierbar wird. Der Zugriff auf spezielle Drucker kann auf Rechner- und/oder Personengruppen eingeschränkt werden. Druck-Accounting ist in Planung.
SmartBoard Software für Workstations
Eine Installationsanleitung für die SmartBoard Software findet sich hier...