<channel>
<title>Petter Reinholdtsen</title>
<description></description>
- <link></link>
- <atom:link href="index.rss" rel="self" type="application/rss+xml" />
+ <link>http://people.skolelinux.org/pere/blog/</link>
+ <atom:link href="http://people.skolelinux.org/pere/blog/index.rss" rel="self" type="application/rss+xml" />
<item>
- <title>Automatic Munin and Nagios configuration</title>
- <link>Automatic_Munin_and_Nagios_configuration.html</link>
- <guid isPermaLink="true">Automatic_Munin_and_Nagios_configuration.html</guid>
- <pubDate>Wed, 27 Jan 2010 15:15:00 +0100</pubDate>
+ <title>Pieces of the roaming laptop puzzle in Debian</title>
+ <link>http://people.skolelinux.org/pere/blog/Pieces_of_the_roaming_laptop_puzzle_in_Debian.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Pieces_of_the_roaming_laptop_puzzle_in_Debian.html</guid>
+ <pubDate>Wed, 19 May 2010 19:00:00 +0200</pubDate>
<description>
-<p>One of the new features in the next Debian/Lenny based release of
-Debian Edu/Skolelinux, which is scheduled for release in the next few
-days, is automatic configuration of the service monitoring system
-Nagios. The previous release had automatic configuration of trend
-analysis using Munin, and this Lenny based release take that a step
-further.</p>
-
-<p>When installing a Debian Edu Main-server, it is automatically
-configured as a Munin and Nagios server. In addition, it is
-configured to be a server for the
-<a href="http://wiki.debian.org/DebianEdu/HowTo/SiteSummary">SiteSummary
-system</a> I have written for use in Debian Edu. The SiteSummary
-system is inspired by a system used by the University of Oslo where I
-work. In short, the system provide a centralised collector of
-information about the computers on the network, and a client on each
-computer submitting information to this collector. This allow for
-automatic information on which packages are installed on each machine,
-which kernel the machines are using, what kind of configuration the
-packages got etc. This also allow us to automatically generate Munin
-and Nagios configuration.</p>
-
-<p>All computers reporting to the sitesummary collector with the
-munin-node package installed is automatically enabled as a Munin
-client and graphs from the statistics collected from that machine show
-up automatically on http://www/munin/ on the Main-server.</p>
-
-<p>All non-laptop computers reporting to the sitesummary collector are
-automatically monitored for network presence (ping and any network
-services detected). In addition, all computers (also laptops) with
-the nagios-nrpe-server package installed and configured the way
-sitesummary would configure it, are monitored for full disks, software
-raid status, swap free and other checks that need to run locally on
-the machine.</p>
-
-<p>The result is that the administrator on a school using Debian Edu
-based on Lenny will be able to check the health of his installation
-with one look at the Nagios settings, without having to spend any time
-keeping the Nagios configuration up-to-date.</p>
-
-<p>The only configuration one need to do to get Nagios up and running
-is to set the password used to get access via HTTP. The system
-administrator need to run "<tt>htpasswd /etc/nagios3/htpasswd.users
-nagiosadmin</tt>" to create a nagiosadmin user and set a password for
-it to be able to log into the Nagios web pages. After that,
-everything is taken care of.</p>
+<p>Today, the last piece of the puzzle for roaming laptops in Debian
+Edu finally entered the Debian archive. Today, the new
+<a href="http://packages.qa.debian.org/libp/libpam-mklocaluser.html">libpam-mklocaluser</a>
+package was accepted. Two days ago, two other pieces was accepted
+into unstable. The
+<a href="http://packages.qa.debian.org/p/pam-python.html">pam-python</a>
+package needed by libpam-mklocaluser, and the
+<a href="http://packages.qa.debian.org/s/sssd.html">sssd</a> package
+passed NEW on Monday. In addition, the
+<a href="http://packages.qa.debian.org/libp/libpam-ccreds.html">libpam-ccreds</a>
+package we need is in experimental (version 10-4) since Saturday, and
+hopefully will be moved to unstable soon.</p>
+
+<p>This collection of packages allow for two different setups for
+roaming laptops. The traditional setup would be using libpam-ccreds,
+nscd and libpam-mklocaluser with LDAP or Kerberos authentication,
+which should work out of the box if the configuration changes proposed
+for nscd in <a href="http://bugs.debian.org/485282">BTS report
+#485282</a> is implemented. The alternative setup is to use sssd with
+libpam-mklocaluser to connect to LDAP or Kerberos and let sssd take
+care of the caching of passwords and group information.</p>
+
+<p>I have so far been unable to get sssd to work with the LDAP server
+at the University, but suspect the issue is some SSL/GnuTLS related
+problem with the server certificate. I plan to update the Debian
+package to version 1.2, which is scheduled for next week, and hope to
+find time to make sure the next release will include both the
+Debian/Ubuntu specific patches. Upstream is friendly and responsive,
+and I am sure we will find a good solution.</p>
+
+<p>The idea is to set up the roaming laptops to authenticate using
+LDAP or Kerberos and create a local user with home directory in /home/
+when a usre in LDAP logs in via KDM or GDM for the first time, and
+cache the password for offline checking, as well as caching group
+memberhips and other relevant LDAP information. The
+libpam-mklocaluser package was created to make sure the local home
+directory is in /home/, instead of /site/server/directory/ which would
+be the home directory if pam_mkhomedir was used. To avoid confusion
+with support requests and configuration, we do not want local laptops
+to have users in a path that is used for the same users home directory
+on the home directory servers.</p>
+
+<p>One annoying problem with gdm is that it do not show the PAM
+message passed to the user from libpam-mklocaluser when the local user
+is created. Instead gdm simply reject the login with some generic
+message. The message is shown in kdm, ssh and login, so I guess it is
+a bug in gdm. Have not investigated if there is some other message
+type that can be used instead to get gdm to also show the message.</p>
+
+<p>If you want to help out with implementing this for Debian Edu,
+please contact us on debian-edu@lists.debian.org.</p>
</description>
</item>
<item>
- <title>Sikkerhet, teater, og hvordan gjøre verden sikrere</title>
- <link>Sikkerhet__teater__og_hvordan_gj__re_verden_sikrere.html</link>
- <guid isPermaLink="true">Sikkerhet__teater__og_hvordan_gj__re_verden_sikrere.html</guid>
- <pubDate>Wed, 30 Dec 2009 16:35:00 +0100</pubDate>
+ <title>Parallellized boot is now the default in Debian/unstable</title>
+ <link>http://people.skolelinux.org/pere/blog/Parallellized_boot_is_now_the_default_in_Debian_unstable.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Parallellized_boot_is_now_the_default_in_Debian_unstable.html</guid>
+ <pubDate>Fri, 14 May 2010 22:40:00 +0200</pubDate>
<description>
-<p>Via Slashdot fant jeg en
-<a href="http://www.cnn.com/2009/OPINION/12/29/schneier.air.travel.security.theater/index.html">nydelig
-kommentar fra Bruce Schneier</a> som ble publisert hos CNN i går. Den
-forklarer forbilledlig hvorfor sikkerhetsteater og innføring av
-totalitære politistatmetoder ikke er løsningen for å gjøre verden
-sikrere. Anbefales på det varmeste.</p>
-
-<p>Oppdatering: Kom over
-<a href="http://gizmodo.com/5435675/president-obama-its-time-to-fire-the-tsa">nok
-en kommentar</a> om den manglende effekten av dagens sikkerhetsteater
-på flyplassene.</p>
+<p>Since this evening, parallel booting is the default in
+Debian/unstable for machines using dependency based boot sequencing.
+Apparently the testing of concurrent booting has been wider than
+expected, if I am to believe the
+<a href="http://lists.debian.org/debian-devel/2010/05/msg00122.html">input
+on debian-devel@</a>, and I concluded a few days ago to move forward
+with the feature this weekend, to give us some time to detect any
+remaining problems before Squeeze is frozen. If serious problems are
+detected, it is simple to change the default back to sequential boot.
+The upload of the new sysvinit package also activate a new upstream
+version.</p>
+
+More information about
+<a href="http://wiki.debian.org/LSBInitScripts/DependencyBasedBoot">dependency
+based boot sequencing</a> is available from the Debian wiki. It is
+currently possible to disable parallel booting when one run into
+problems caused by it, by adding this line to /etc/default/rcS:</p>
+
+<blockquote><pre>
+CONCURRENCY=none
+</pre></blockquote>
+
+<p>If you report any problems with dependencies in init.d scripts to
+the BTS, please usertag the report to get it to show up at
+<a href="http://bugs.debian.org/cgi-bin/pkgreport.cgi?users=initscripts-ng-devel@lists.alioth.debian.org">the
+list of usertagged bugs related to this</a>.</p>
</description>
</item>
<item>
- <title>Opphavet til Skolelinux-prosjektet</title>
- <link>Opphavet_til_Skolelinux_prosjektet.html</link>
- <guid isPermaLink="true">Opphavet_til_Skolelinux_prosjektet.html</guid>
- <pubDate>Thu, 17 Dec 2009 10:50:00 +0100</pubDate>
+ <title>Sitesummary tip: Listing MAC address of all clients</title>
+ <link>http://people.skolelinux.org/pere/blog/Sitesummary_tip__Listing_MAC_address_of_all_clients.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Sitesummary_tip__Listing_MAC_address_of_all_clients.html</guid>
+ <pubDate>Fri, 14 May 2010 21:10:00 +0200</pubDate>
<description>
-<p>De færreste er klar over at Skolelinux-prosjektet kom som et resultat
-av en avgjørelse på årsmøtet i
-<a href="http://www.nuug.no/">NUUG</a> i 2000-06-29, der Håkon Wium
-Lie, da varamedlem i styret, tok på seg oppdraget om å starte et
-initiativ kalt "Teach the Teacher", som skulle være et initiativ for
-å få fri programvare og unix-lignende operativsystemer inn i Skolen.
-Tanken var at en måtte starte med lærerne for at ungene skulle få
-mulighet til å møte en bedre IT-hverdag. Jeg var tilstede på
-møtet, og hadde sans for ideen, men intet skjedde. På vårparten
-2001 ble det arrangert en demonstrasjon i anledning at First Tuesday
-hadde invitert Microsoft til et møte for å fortelle om fremtidens
-Internet. Dette provoserte endel av oss, og EFN og NUUG tok initiativ
-til å arrangere
-<a href="http://www.digi.no/60982/first-tuesday-mote-med-microsoft-protest">en
-demonstrasjon utenfor lokalene 2001-05-21</a>. Blant de som sto bak
-demonstrasjonen var Vidar Bakke fra NUUG og Håkon W. Lie fra EFN.
-Etter demonstrasjonen arrangerte Håkon en fest hjemme hos seg der alle
-som hadde vært aktive i demonstrasjonsplanlegging og gjennomføringen
-deltok. Før festen var jeg blitt lei av å vente på at Håkon skulle ta
-initiativ til "Teach the Teacher", og for å forsøke å få litt fremgang
-besteme jeg meg for å benytte anledningen hos Håkon til å snakke om
-behovet for å hjelpe skolene i gang med bedre datasystemer bestående
-av fri programvare og unix-lignende operativsystemer. Flere var
-interessert, og Knut Yrvin tenkte på ideen. Han
-<a href="http://developer.skolelinux.no/brev/2001-06-28-invitasjon-skolelinux.txt">ropte
-sammen</a> til et stiftelsesmøte i prosjektet i sin arbeidsgivers
-Objectwares lokaler ved Ullevål stadion 2001-07-02, og jeg ble med.
-Resten er historie. :)</p>
+<p>In the recent Debian Edu versions, the
+<a href="http://wiki.debian.org/DebianEdu/HowTo/SiteSummary">sitesummary
+system</a> is used to keep track of the machines in the school
+network. Each machine will automatically report its status to the
+central server after boot and once per night. The network setup is
+also reported, and using this information it is possible to get the
+MAC address of all network interfaces in the machines. This is useful
+to update the DHCP configuration.</p>
+
+<p>To give some idea how to use sitesummary, here is a one-liner to
+ist all MAC addresses of all machines reporting to sitesummary. Run
+this on the collector host:</p>
+
+<blockquote><pre>
+perl -MSiteSummary -e 'for_all_hosts(sub { print join(" ", get_macaddresses(shift)), "\n"; });'
+</pre></blockquote>
+
+<p>This will list all MAC addresses assosiated with all machine, one
+line per machine and with space between the MAC addresses.</p>
+
+<p>To allow system administrators easier job at adding static DHCP
+addresses for hosts, it would be possible to extend this to fetch
+machine information from sitesummary and update the DHCP and DNS
+tables in LDAP using this information. Such tool is unfortunately not
+written yet.</p>
</description>
</item>
<item>
- <title>Første NUUG-fordrag sendt på TV</title>
- <link>F__rste_NUUG_fordrag_sendt_p___TV.html</link>
- <guid isPermaLink="true">F__rste_NUUG_fordrag_sendt_p___TV.html</guid>
- <pubDate>Tue, 8 Dec 2009 12:00:00 +0100</pubDate>
+ <title>systemd, an interesting alternative to upstart</title>
+ <link>http://people.skolelinux.org/pere/blog/systemd__an_interesting_alternative_to_upstart.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/systemd__an_interesting_alternative_to_upstart.html</guid>
+ <pubDate>Thu, 13 May 2010 22:20:00 +0200</pubDate>
<description>
-<p>Endelig har NUUG klart å få kringkastet ut et av sine fordrag på
-TV. Foredraget om
-<a href="http://www.nuug.no/aktiviteter/20090512-bifrost/">utskriftsløsningen
-Biforst</a> var først ute, pga. at det var det nyeste foredraget som
-var holdt på norsk, og dermed slapp vi å finne ut av hvordan
-teksting av video skulle gjøres.</p>
-
-<p>NUUG har vært involvert i
-<a href="http://www.frikanalen.no/">Frikanalen</a> en stund nå, for å
-forsøke å få ut budskapet vårt også på TV, og dette første foredraget
-er en sped start på det vi har planlagt.</p>
-
-<p>NUUGs første foredrag sendes ut via frikanelen på digitalt
-bakkenett, og alle abonnenter av riks-TV skal dermed ha mulighet til å
-ta inn sendingen. Slå på TVen 5/12 16:05 (for sent), 12/12 14:00,
-19/12 16:00, 24/12 15:37 eller 26/12 16:11 i år, så skal du få se
-meg, Tollef og alle andre de som deltok på møtet på TV.<p>
+<p>The last few days a new boot system called
+<a href="http://www.freedesktop.org/wiki/Software/systemd">systemd</a>
+has been
+<a href="http://0pointer.de/blog/projects/systemd.html">introduced</a>
+
+to the free software world. I have not yet had time to play around
+with it, but it seem to be a very interesting alternative to
+<a href="http://upstart.ubuntu.com/">upstart</a>, and might prove to be
+a good alternative for Debian when we are able to switch to an event
+based boot system. Tollef is
+<a href="http://bugs.debian.org/580814">in the process</a> of getting
+systemd into Debian, and I look forward to seeing how well it work. I
+like the fact that systemd handles init.d scripts with dependency
+information natively, allowing them to run in parallel where upstart
+at the moment do not.</p>
+
+<p>Unfortunately do systemd have the same problem as upstart regarding
+platform support. It only work on recent Linux kernels, and also need
+some new kernel features enabled to function properly. This means
+kFreeBSD and Hurd ports of Debian will need a port or a different boot
+system. Not sure how that will be handled if systemd proves to be the
+way forward.</p>
+
+<p>In the mean time, based on the
+<a href="http://lists.debian.org/debian-devel/2010/05/msg00122.html">input
+on debian-devel@</a> regarding parallel booting in Debian, I have
+decided to enable full parallel booting as the default in Debian as
+soon as possible (probably this weekend or early next week), to see if
+there are any remaining serious bugs in the init.d dependencies. A
+new version of the sysvinit package implementing this change is
+already in experimental. If all go well, Squeeze will be released
+with parallel booting enabled by default.</p>
</description>
</item>
<item>
- <title>Kartverket "frigjør" data men er fortsatt ikke interessante</title>
- <link>Kartverket__frigj__r__data_men_er_fortsatt_ikke_interessante.html</link>
- <guid isPermaLink="true">Kartverket__frigj__r__data_men_er_fortsatt_ikke_interessante.html</guid>
- <pubDate>Thu, 12 Nov 2009 10:10:00 +0100</pubDate>
+ <title>Parallellizing the boot in Debian Squeeze - ready for wider testing</title>
+ <link>http://people.skolelinux.org/pere/blog/Parallellizing_the_boot_in_Debian_Squeeze___ready_for_wider_testing.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Parallellizing_the_boot_in_Debian_Squeeze___ready_for_wider_testing.html</guid>
+ <pubDate>Thu, 6 May 2010 23:25:00 +0200</pubDate>
<description>
-<p>Dagens
-<a href="http://www.statkart.no/Gratis+karttjenester.d25-SwJfY1-.ips">kartnyhet</a>
-er at kartverket gir ikke-kommersiell tilgang til
-en WMS-tjeneste der en til privat bruk kan hente ut bilder av
-kartutsnitt så lenge disse ikke lagres lokalt, brukes i begrenset
-oppløsning og ikke skader kartverket og rettighetshavernes omdømme og
-interesse.</p>
-
-<p>I går publiserte Ivan Sanchez
-<a href="http://www.opengeodata.org/2009/11/11/921/">kaketesten</a>
-som et forslag til en (av forhåpentligvis flere) måter å teste om kart
-eller kartdata er fritt tilgjengelige på. Testen er enkel, og sier
-enkelt (oversatt av meg): Et sett med geodata, eller en kart, er kun
-fritt tilgjengelig hvis noen kan gi deg en kake med det kartet på
-toppen, som en gave. Kartverkets publisering av kart feiler så vidt
-jeg kan se denne testen fullstendig. En kan slik jeg leser vilkårene
-ikke be en konditor om å lage en kake (brudd på kravet om
-ikke-kommersiell bruk) med kartverkets kart.</p>
-
-<p>De som vil lage karttjenester basert på denne nye tjenesten fra
-kartverket vil gjøre det på kartverkets nåde og med sterke bindinger
-og begresninger. Det blir dermed helt uinteressant for meg. Jeg vil
-nok fortsette å bruke data fra
-<a href="http://www.openstreetmap.org">OpenStreetmap.org</a>, der jeg
-har kontrollen med tilgang til kartdataene, og kan endre på de
-underliggende dataene som jeg ønsker.</p>
-
-<p>Som et eksempel, så trenger vi til en norsk
-<a href="http://www.fixmystreet.com/">FixMyStreet-installasjon</a>
-tilgang til vektorutgaven av kommunegrensene. Denne nye karttjenesten
-er ubrukelig til dette.</p>
+<p>These days, the init.d script dependencies in Squeeze are quite
+complete, so complete that it is actually possible to run all the
+init.d scripts in parallell based on these dependencies. If you want
+to test your Squeeze system, make sure
+<a href="http://wiki.debian.org/LSBInitScripts/DependencyBasedBoot">dependency
+based boot sequencing</a> is enabled, and add this line to
+/etc/default/rcS:</p>
+
+<blockquote><pre>
+CONCURRENCY=makefile
+</pre></blockquote>
+
+<p>That is it. It will cause sysv-rc to use the startpar tool to run
+scripts in parallel using the dependency information stored in
+/etc/init.d/.depend.boot, /etc/init.d/.depend.start and
+/etc/init.d/.depend.stop to order the scripts. Startpar is configured
+to try to start the kdm and gdm scripts as early as possible, and will
+start the facilities required by kdm or gdm as early as possible to
+make this happen.</p>
+
+<p>Give it a try, and see if you like the result. If some services
+fail to start properly, it is most likely because they have incomplete
+init.d script dependencies in their startup script (or some of their
+dependent scripts have incomplete dependencies). Report bugs and get
+the package maintainers to fix it. :)</p>
+
+<p>Running scripts in parallel could be the default in Debian when we
+manage to get the init.d script dependencies complete and correct. I
+expect we will get there in Squeeze+1, if we get manage to test and
+fix the remaining issues.</p>
+
+<p>If you report any problems with dependencies in init.d scripts to
+the BTS, please usertag the report to get it to show up at
+<a href="http://bugs.debian.org/cgi-bin/pkgreport.cgi?users=initscripts-ng-devel@lists.alioth.debian.org">the
+list of usertagged bugs related to this</a>.</p>
</description>
</item>
<item>
- <title>Internet-leverandører er ikke vokterne av sine kunders nettbruk</title>
- <link>Internet_leverand__rer_er_ikke_vokterne_av_sine_kunders_nettbruk.html</link>
- <guid isPermaLink="true">Internet_leverand__rer_er_ikke_vokterne_av_sine_kunders_nettbruk.html</guid>
- <pubDate>Fri, 6 Nov 2009 18:45:00 +0100</pubDate>
+ <title>Forcing new users to change their password on first login</title>
+ <link>http://people.skolelinux.org/pere/blog/Forcing_new_users_to_change_their_password_on_first_login.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Forcing_new_users_to_change_their_password_on_first_login.html</guid>
+ <pubDate>Sun, 2 May 2010 13:47:00 +0200</pubDate>
<description>
-<p>Det er svært gledelig å se at
-<a href="http://www.aftenposten.no/nyheter/iriks/article3360796.ece">retten
-fant at Telenor ikke skal fungere som Internet-voktere</a> på vegne av
-opphavsrettsmafiaen. TONO påstår ikke overraskende "rettighetshaverne
-er rettsløse". De burde jo vite alt om hvordan rettighetshaverne blir
-behandlet, som har
-<a href="http://www.ballade.no/nmi.nsf/doc/art2009042008430427192492">nektet
-å hjelpe et av sine medlemmer i en plagiatsak</a> mot Universal i
-Polen.</p>
-
-<p>Ved opphavsrettsbrudd så er det jo den som offentliggjort
-kulturuttrykk ulovlig som må stilles til ansvar, og ikke noen andre.
-Hverken Telenor eller Pirate Bay publiserer innholdet. Telenor lager
-en Internet-tjeneste som brukes av borgerne til sitt daglige virke,
-det være seg å holde kontakt med barnebarn, skaffe medisinsk viten
-eller holde seg orientert i samfunnsdebatten. Det bør de gjøre uten å
-tvinges til å være overvåkningsinstans. Og Pirate Bay lager en
-katalog over hvor lovlig og ulovlig innhold på Internet er å få tak i.
-De publiserer ikke innholdet, de lager kun en katalog over det. Hvis
-en ikke liker det som blir publisert, så må det tas opp med den som
-publiserer, ikke noen andre.</p>
-
-<p>Personlig velger jeg å stort sett bruke kulturuttrykk som
-publiseres med mer brukervennlige vilkår, som CC-BY og lignende.</p>
+<p>One interesting feature in Active Directory, is the ability to
+create a new user with an expired password, and thus force the user to
+change the password on the first login attempt.</p>
+
+<p>I'm not quite sure how to do that with the LDAP setup in Debian
+Edu, but did some initial testing with a local account. The account
+and password aging information is available in /etc/shadow, but
+unfortunately, it is not possible to specify an expiration time for
+passwords, only a maximum age for passwords.</p>
+
+<p>A freshly created account (using adduser test) will have these
+settings in /etc/shadow:</p>
+
+<blockquote><pre>
+root@tjener:~# chage -l test
+Last password change : May 02, 2010
+Password expires : never
+Password inactive : never
+Account expires : never
+Minimum number of days between password change : 0
+Maximum number of days between password change : 99999
+Number of days of warning before password expires : 7
+root@tjener:~#
+</pre></blockquote>
+
+<p>The only way I could come up with to create a user with an expired
+account, is to change the date of the last password change to the
+lowest value possible (January 1th 1970), and the maximum password age
+to the difference in days between that date and today. To make it
+simple, I went for 30 years (30 * 365 = 10950) and January 2th (to
+avoid testing if 0 is a valid value).</p>
+
+<p>After using these commands to set it up, it seem to work as
+intended:</p>
+
+<blockquote><pre>
+root@tjener:~# chage -d 1 test; chage -M 10950 test
+root@tjener:~# chage -l test
+Last password change : Jan 02, 1970
+Password expires : never
+Password inactive : never
+Account expires : never
+Minimum number of days between password change : 0
+Maximum number of days between password change : 10950
+Number of days of warning before password expires : 7
+root@tjener:~#
+</pre></blockquote>
+
+<p>So far I have tested this with ssh and console, and kdm (in
+Squeeze) login, and all ask for a new password before login in the
+user (with ssh, I was thrown out and had to log in again).</p>
+
+<p>Perhaps we should set up something similar for Debian Edu, to make
+sure only the user itself have the account password?</p>
+
+<p>If you want to comment on or help out with implementing this for
+Debian Edu, please contact us on debian-edu@lists.debian.org.</p>
+
+<p>Update 2010-05-02 17:20: Paul Tötterman tells me on IRC that the
+shadow(8) page in Debian/testing now state that setting the date of
+last password change to zero (0) will force the password to be changed
+on the first login. This was not mentioned in the manual in Lenny, so
+I did not notice this in my initial testing. I have tested it on
+Squeeze, and '<tt>chage -d 0 username</tt>' do work there. I have not
+tested it on Lenny yet.</p>
+
+<p>Update 2010-05-02-19:05: Jim Paris tells me via email that an
+equivalent command to expire a password is '<tt>passwd -e
+username</tt>', which insert zero into the date of the last password
+change.</p>
</description>
</item>
<item>
- <title>Endelig operativt webbasert medlemsregister for Fri programvare i skolen</title>
- <link>Endelig_operativt_webbasert_medlemsregister_for_Fri_programvare_i_skolen.html</link>
- <guid isPermaLink="true">Endelig_operativt_webbasert_medlemsregister_for_Fri_programvare_i_skolen.html</guid>
- <pubDate>Mon, 2 Nov 2009 22:40:00 +0100</pubDate>
+ <title>Thoughts on roaming laptop setup for Debian Edu</title>
+ <link>http://people.skolelinux.org/pere/blog/Thoughts_on_roaming_laptop_setup_for_Debian_Edu.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Thoughts_on_roaming_laptop_setup_for_Debian_Edu.html</guid>
+ <pubDate>Wed, 28 Apr 2010 20:40:00 +0200</pubDate>
<description>
-<p>Under helgens utviklersamling i
-<a href="http://www.skolelinux.no/">Skolelinux</a> fikk jeg endelig
-satt meg ned sammen med Ronny Aasen i styret for å få et webbasert
-medlemsregister tilbake på plass for foreningen som passer på
-skolelinuxprosjektet. Etter flere års knot og problemer, er nå
-memberdb satt opp og klart til bruk. Import av det gamle
-medlemsregisteret har vist seg vanskelig, så alle medlemmer bes om å
-registrere seg på nytt. Hvis du støtter FRiSKs formål så er du
-hjertelig velkommen til
-<a href="http://medlem.friprogramvareiskolen.no/">å melde deg
-inn</a>. Formålet lyder:</p>
-
-<blockquote>Linux i skolen skal tilrettelegge for og informere om bruk
-av fri programvare, i henhold til Debian Free Software Guidelines av
-2002-02-03, i den norske skolen, slik som f.eks. Linux og
-GNU.</blockquote>
+<p>For some years now, I have wondered how we should handle laptops in
+Debian Edu. The Debian Edu infrastructure is mostly designed to
+handle stationary computers, and less suited for computers that come
+and go.</p>
+
+<p>Now I finally believe I have an sensible idea on how to adjust
+Debian Edu for laptops, by introducing a new profile for them, for
+example called Roaming Workstations. Here are my thought on this.
+The setup would consist of the following:</p>
+
+<ul>
+
+ <li>During installation, the user name of the owner / primary user of
+ the laptop is requested and a local home directory is set up for
+ the user, with uid and gid information fetched from the LDAP
+ server. This allow the user to work also when offline. The
+ central home directory can be available in a subdirectory on
+ request, for example mounted via CIFS. It could be mounted
+ automatically when a user log in while on the Debian Edu network,
+ and unmounted when the machine is taken away (network down,
+ hibernate, etc), it can be set up to do automatic mounting on
+ request (using autofs), or perhaps some GUI button on the desktop
+ can be used to access it when needed. Perhaps it is enough to use
+ the fish protocol in KDE?</li>
+
+ <li>Password checking is set up to use LDAP or Kerberos
+ authentication when the machine is on the Debian Edu network, and
+ to cache the password for offline checking when the machine unable
+ to reach the LDAP or Kerberos server. This can be done using
+ <a href="http://www.padl.com/OSS/pam_ccreds.html">libpam-ccreds</a>
+ or the Fedora developed
+ <a href="https://fedoraproject.org/wiki/Features/SSSD">System
+ Security Services Daemon</a> packages.</li>
+
+ <li>File synchronisation with the central home directory is set up
+ using a shared directory in both the local and the central home
+ directory, using unison.</li>
+
+ <li>Printing should be set up to print to all printers broadcasting
+ their existence on the local network, and should then work out of
+ the box with CUPS. For sites needing accurate printer quotas, some
+ system with Kerberos authentication or printing via ssh could be
+ implemented.</li>
+
+ <li>For users that should have local root access to their laptop,
+ sudo should be used to allow this to the local user.</li>
+
+ <li>It would be nice if user and group information from LDAP is
+ cached on the client, but given that there are entries for the
+ local user and primary group in /etc/, it should not be needed.</li>
+
+</ul>
+
+<p>I believe all the pieces to implement this are in Debian/testing at
+the moment. If we work quickly, we should be able to get this ready
+in time for the Squeeze release to freeze. Some of the pieces need
+tweaking, like libpam-ccreds should get support for pam-auth-update
+(<a href="http://bugs.debian.org/566718">#566718</a>) and nslcd (or
+perhaps debian-edu-config) should get some integration code to stop
+its daemon when the LDAP server is unavailable to avoid long timeouts
+when disconnected from the net. If we get Kerberos enabled, we need
+to make sure we avoid long timeouts there too.</p>
+
+<p>If you want to help out with implementing this for Debian Edu,
+please contact us on debian-edu@lists.debian.org.</p>
</description>
</item>
<item>
- <title>Jeg vil ikke ha BankID</title>
- <link>Jeg_vil_ikke_ha_BankID.html</link>
- <guid isPermaLink="true">Jeg_vil_ikke_ha_BankID.html</guid>
- <pubDate>Fri, 30 Oct 2009 13:05:00 +0100</pubDate>
+ <title>Great book: "Content: Selected Essays on Technology, Creativity, Copyright, and the Future of the Future"</title>
+ <link>http://people.skolelinux.org/pere/blog/Great_book___Content__Selected_Essays_on_Technology__Creativity__Copyright__and_the_Future_of_the_Future_.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Great_book___Content__Selected_Essays_on_Technology__Creativity__Copyright__and_the_Future_of_the_Future_.html</guid>
+ <pubDate>Mon, 19 Apr 2010 17:10:00 +0200</pubDate>
<description>
-<p>Min hovedbankforbindelse,
-<a href="http://www.postbanken.no/">Postbanken</a>, har fra 1. oktober
-blokkert tilgangen min til nettbanken hvis jeg ikke godtar vilkårene
-for <a href="https://www.bankid.no/">BankID</a> og går over til å
-bruke BankID for tilgangskontroll. Tidligere kunne jeg bruke en
-kodekalkulator som ga tilgang til nettbanken, men nå er dette ikke
-lenger mulig. Jeg blokkeres ute fra nettbanken og mine egne penger
-hvis jeg ikke godtar det jeg anser som urimelige vilkår i
-BankID-avtalen.</p>
-
-<p>BankID er en løsning der banken gis rett til å handle på vegne av
-meg, med avtalemessig forutsetning at jeg i hvert enkelt tilfelle har
-bedt banken gjøre dette. BankID kan brukes til å signere avtaler,
-oppta lån og andre handlinger som har alvorlige følger for meg.
-Problemet slik jeg ser det er at BankID er lagt opp slik at banken har
-all informasjon og tilgang som den trenger for å bruke BankID, også
-uten at jeg er involvert. Avtalemessing og juridisk skal de kun bruke
-min BankID når jeg har oppgitt pinkode og passord, men praktisk og
-konkret kan de gjøre dette også uten at min pinkode eller mitt passord
-er oppgitt, da de allerede har min pinkode og passord tilgjengelig hos
-seg for å kunne sjekke at riktig pinkode og passord er oppgitt av meg
-(eller kan skaffe seg det ved behov). Jeg ønsker ikke å gi banken
-rett til å inngå avtaler på vegne av meg.</p>
-
-<p>Rent teknisk er BankID et offentlig nøkkelpar, en privat og en
-offentlig nøkkel, der den private nøkkelen er nødvendig for å
-"signere" på vegne av den nøkkelen gjelder for, og den offentlige
-nøkkelen er nødvendig for å sjekke hvem som har signert. Banken
-sitter på både den private og den offentlige nøkkelen, og sier de kun
-skal bruke den private hvis kunden ber dem om det og oppgir pinkode og
-passord.</p>
-
-
-<p>I postbankens
-<a href="https://www.postbanken.no//portalfront/nedlast/no/person/avtaler/BankID_avtale.pdf">vilkår
-for BankID</a> står følgende:</p>
-
-<blockquote>
- <p>"6. Anvendelsesområdet for BankID</p>
-
- <p>PersonBankID kan benyttes fra en datamaskin, eller etter nærmere
- avtale fra en mobiltelefon/SIM-kort, for pålogging i nettbank og til
- identifisering og signering i forbindelse med elektronisk
- meldingsforsendelse, avtaleinngåelse og annen form for nettbasert
- elektronisk kommunikasjon med Banken og andre brukersteder som har
- tilrettelagt for bruk av BankID. Dette forutsetter at brukerstedet
- har inngått avtale med bank om bruk av BankID."</p>
-</blockquote>
-
-<p>Det er spesielt retten til "avtaleinngåelse" jeg synes er urimelig
-å kreve for at jeg skal få tilgang til mine penger via nettbanken, men
-også retten til å kommunsere på vegne av meg med andre brukersteder og
-signering av meldigner synes jeg er problematisk. Jeg må godta at
-banken skal kunne signere for meg på avtaler og annen kommunikasjon
-for å få BankID.</p>
-
-<p>På spørsmål om hvordan jeg kan få tilgang til nettbank uten å gi
-banken rett til å inngå avtaler på vegne av meg svarer Postbankens
-kundestøtte at "Postbanken har valgt BankID for bl.a. pålogging i
-nettbank , så her må du nok ha hele denne løsningen". Jeg nektes
-altså tilgang til nettbanken inntil jeg godtar at Postbanken kan
-signere avtaler på vegne av meg.</p>
-
-<p>Postbankens kundestøtte sier videre at "Det har blitt et krav til
-alle norske banker om å innføre BankID, bl.a på grunn av
-sikkerhet", uten at jeg her helt sikker på hvem som har framsatt
-dette kravet. [Oppdatering: Postbankens kundestøtte sier kravet er
-fastsatt av <a href="http://www.kredittilsynet.no/">kreditttilsynet</a>
-og <a href="http://www.bbs.no/">BBS</a>.] Det som er situasjonen er
-dog at det er svært få banker igjen som ikke bruker BankID, og jeg
-vet ikke hvilken bank som er et godt alternativ for meg som ikke vil
-gi banken rett til å signere avtaler på mine vegne.</p>
-
-<p>Jeg ønsker mulighet til å reservere meg mot at min BankID brukes
-til annet enn å identifisere meg overfor nettbanken før jeg vil ta i
-bruk BankID. Ved nettbankbruk er det begrenset hvor store skader som
-kan oppstå ved misbruk, mens avtaleinngåelse ikke har tilsvarende
-begrensing.</p>
-
-<p>Jeg har klaget vilkårene inn for <a
-href="http://www.forbrukerombudet.no/">forbrukerombudet</a>, men
-regner ikke med at de vil kunne bidra til en rask løsning som gir meg
-nettbankkontroll over egne midler. :(
+<p>The last few weeks i have had the pleasure of reading a
+thought-provoking collection of essays by Cory Doctorow, on topics
+touching copyright, virtual worlds, the future of man when the
+conscience mind can be duplicated into a computer and many more. The
+book titled "Content: Selected Essays on Technology, Creativity,
+Copyright, and the Future of the Future" is available with few
+restrictions on the web, for example from
+<a href="http://craphound.com/content/">his own site</a>. I read the
+epub-version from
+<a href="http://www.feedbooks.com/book/2883">feedbooks</a> using
+<a href="http://www.fbreader.org/">fbreader</a> and my N810. I
+strongly recommend this book.</p>
</description>
</item>
<item>
- <title>Internet-sensur skal i retten på mandag</title>
- <link>Internet_sensur_skal_i_retten_p___mandag.html</link>
- <guid isPermaLink="true">Internet_sensur_skal_i_retten_p___mandag.html</guid>
- <pubDate>Sat, 10 Oct 2009 22:00:00 +0200</pubDate>
+ <title>Kerberos for Debian Edu/Squeeze?</title>
+ <link>http://people.skolelinux.org/pere/blog/Kerberos_for_Debian_Edu_Squeeze_.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Kerberos_for_Debian_Edu_Squeeze_.html</guid>
+ <pubDate>Wed, 14 Apr 2010 17:20:00 +0200</pubDate>
<description>
-<p><a href="http://www.dagensit.no/bransje/article1757755.ece">DagensIT</a>
-melder at Telenor og Tono skal i retten på mandag for å diskutere
-hvorvidt Tonos krav om at Telenor skal blokkere for tilgang til The
-Pirate Bay er i tråd med norsk rett. Det blir interessant å se
-resultatet fra den rettsaken.</p>
-
-<p>Jeg bet meg dog merke i en av påstandene fra Tonos advokat Cato
-Strøm, som forteller at "Pirate Bay inneholder 95 prosent ulovlig
-utlagt materiale, og å stanse tilgangen til det kan ikke kalles
-sensur". Jeg tok en titt på
-<a href="http://thepiratebay.org/">forsiden til The Pirate Bay</a>,
-som forteller at det pr. i dag er 1 884 694 torrenter på trackeren.
-Dette tilsvarer antall filer en kan søke blant og hente ned ved hjelp
-av The Pirate Bay. 5% av dette antallet er 94 235. Det kan dermed
-virke som om Tonos advokat mener at det ikke er sensur å blokkere for
-tilgang til nesten 100 000 lovlige filer. Jeg lurer på om han er
-korrekt sitert.</p>
-
-<p>Lurer også på hvor 95%-tallet kommer fram. Er det seriøs og
-etterprøvbar forskning på området som viser at dette er andelen
-ulovlige filer tilgjengelig via The Pirate Bay, eller er det
-musikkbransjenes egne tall? De har
-<a href="http://www.guardian.co.uk/music/2009/oct/06/edwyn-collins-sharing-music">jo
-demonstrert</a> at de ikke er i stand til å skille lovlig og ulovlig
-bruk av musikk.</p>
+<p><a href="http://www.nuug.no/aktiviteter/20100413-kerberos/">Yesterdays
+NUUG presentation</a> about Kerberos was inspiring, and reminded me
+about the need to start using Kerberos in Skolelinux. Setting up a
+Kerberos server seem to be straight forward, and if we get this in
+place a long time before the Squeeze version of Debian freezes, we
+have a chance to migrate Skolelinux away from NFSv3 for the home
+directories, and over to an architecture where the infrastructure do
+not have to trust IP addresses and machines, and instead can trust
+users and cryptographic keys instead.</p>
+
+<p>A challenge will be integration and administration. Is there a
+Kerberos implementation for Debian where one can control the
+administration access in Kerberos using LDAP groups? With it, the
+school administration will have to maintain access control using flat
+files on the main server, which give a huge potential for errors.</p>
+
+<p>A related question I would like to know is how well Kerberos and
+pam-ccreds (offline password check) work together. Anyone know?</p>
+
+<p>Next step will be to use Kerberos for access control in Lwat and
+Nagios. I have no idea how much work that will be to implement. We
+would also need to document how to integrate with Windows AD, as such
+shared network will require two Kerberos realms that need to cooperate
+to work properly.</p>
+
+<p>I believe a good start would be to start using Kerberos on the
+skolelinux.no machines, and this way get ourselves experience with
+configuration and integration. A natural starting point would be
+setting up ldap.skolelinux.no as the Kerberos server, and migrate the
+rest of the machines from PAM via LDAP to PAM via Kerberos one at the
+time.</p>
+
+<p>If you would like to contribute to get this working in Skolelinux,
+I recommend you to see the video recording from yesterdays NUUG
+presentation, and start using Kerberos at home. The video show show
+up in a few days.</p>
</description>
</item>
<item>
- <title>MVA på bøker med DRM, ikke MVA på bøker uten DRM?</title>
- <link>MVA_p___b__ker_med_DRM__ikke_MVA_p___b__ker_uten_DRM_.html</link>
- <guid isPermaLink="true">MVA_p___b__ker_med_DRM__ikke_MVA_p___b__ker_uten_DRM_.html</guid>
- <pubDate>Wed, 23 Sep 2009 10:00:00 +0200</pubDate>
+ <title>På vegne av vanvitting mange, Aftenposten!</title>
+ <link>http://people.skolelinux.org/pere/blog/P___vegne_av_vanvitting_mange__Aftenposten_.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/P___vegne_av_vanvitting_mange__Aftenposten_.html</guid>
+ <pubDate>Sat, 6 Mar 2010 21:15:00 +0100</pubDate>
<description>
-<p>Elektroniske bøker diskuteres for tiden, etter at
-<a href="http://www.aftenposten.no/kul_und/litteratur/article3280914.ece">bokbransjen
-hevder</a> det er usikkert om de kommer til å gi ut elektroniske
-bøker så lenge det er merverdiavgift på elektroniske bøker og ikke
-på papirbøker. I den forbindelse så jeg et interessant forslag i
-en
-<a href="http://www.digi.no/php/ny_debatt.php?id=823912">digi-debatt</a>
-jeg hadde sans for. "einarr" foreslo at DRM-infiserte elektroniske
-bøker bør ha merverdiavgift, da "de ikke bidrar til
-kunnskapsspredning på samme måte" som papirbøker og dermed går
-imot intensjonene bak mva-fritaket. Bøker uten DRM derimot bør ha
-mva-fritak da de "kan overføres mellom enheter, leses på ulike
-plattformer, lånes ut og siteres og kopieres fra" slik en kan med
-papirbøker.</p>
-
-<p>En oppfølgerkommentar sier seg enig i dette, da DRM-infisert
-materiale må anses som leid og dermed en tjeneste, mens materiale uten
-DRM må anses som et kjøp.</p>
+<p><a href="http://fotball.aftenposten.no/incoming/article163000.ece">Aftenposten
+melder</a> på forsiden av webavisen sin at de tror Erling Fossen
+provoserer nordlendinger med sine uttalelser på
+fotballtinget. Jeg er utflyttet nordlending, og må innrømme at jeg
+ikke kjennet så mye som et snev av provokasjon fra denne litt morsomme
+uttalelsen til Hr. Fossen. Lurer på om Aftenposten har noen kilder
+utenom redaksjonen for sin påstand om at nordledinger er provosert av
+Hr. Fossen. Må innrømme at jeg tviler på det.</p>
+
+<p>Det hele bringer tankene tilbake til Sture Hansen i Hallo i Uken.</p>
</description>
</item>
projects / homepage.git / blobdiff