<channel>
<title>Petter Reinholdtsen</title>
<description></description>
- <link></link>
- <atom:link href="index.rss" rel="self" type="application/rss+xml" />
+ <link>http://people.skolelinux.org/pere/blog/</link>
+ <atom:link href="http://people.skolelinux.org/pere/blog/index.rss" rel="self" type="application/rss+xml" />
<item>
- <title>Regjerningen forlater prinsippet om ingen royalty-betaling i standardkatalogen versjon 2</title>
- <link>Regjerningen_forlater_prinsippet_om_ingen_royalty_betaling_i_standardkatalogen_versjon_2.html</link>
- <guid isPermaLink="true">Regjerningen_forlater_prinsippet_om_ingen_royalty_betaling_i_standardkatalogen_versjon_2.html</guid>
- <pubDate>Mon, 6 Jul 2009 21:00:00 +0200</pubDate>
+ <title>Pieces of the roaming laptop puzzle in Debian</title>
+ <link>http://people.skolelinux.org/pere/blog/Pieces_of_the_roaming_laptop_puzzle_in_Debian.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Pieces_of_the_roaming_laptop_puzzle_in_Debian.html</guid>
+ <pubDate>Wed, 19 May 2010 19:00:00 +0200</pubDate>
<description>
-<p>Jeg ble glad da regjeringen
-<a href="http://www.digi.no/817635/her-er-statens-nye-it-standarder">annonserte</a>
-versjon 2 av
-<a href="http://www.regjeringen.no/upload/FAD/Vedlegg/IKT-politikk/Referansekatalogen_versjon2.pdf">statens
-referansekatalog over standarder</a>, men trist da jeg leste hva som
-faktisk var vedtatt etter
-<a href="http://www.regjeringen.no/nb/dep/fad/dok/horinger/horingsdokumenter/2009/horing---referansekatalog-versjon-2.html">høringen</a>.
-De fleste av de valgte åpne standardene er gode og vil bidra til at
-alle kan delta på like vilkår i å lage løsninger for staten, men
-noen av dem blokkerer for de som ikke har anledning til å benytte
-spesifikasjoner som krever betaling for bruk (såkalt
-royalty-betaling). Det gjelder spesifikt for H.264 for video og MP3
-for lyd. Så lenge bruk av disse var valgfritt mens Ogg Theora og Ogg
-Vorbis var påkrevd, kunne alle som ønsket å spille av video og lyd
-fra statens websider gjøre dette uten å måtte bruke programmer der
-betaling for bruk var nødvendig. Når det nå er gjort valgfritt for
-de statlige etatene å bruke enten H.264 eller Theora (og MP3 eler
-Vorbis), så vil en bli tvunget til å forholde seg til
-royalty-belastede standarder for å få tilgang til videoen og
-lyden.</p>
-
-<p>Det gjør meg veldig trist at regjeringen har forlatt prinsippet om
-at alle standarder som ble valgt til å være påkrevd i katalogen skulle
-være uten royalty-betaling. Jeg håper det ikke betyr at en har mistet
-all forståelse for hvilke prinsipper som må følges for å oppnå
-likeverdig konkurranse mellom aktørene i IT-bransjen. NUUG advarte
-mot dette i
-<a href="http://wiki.nuug.no/uttalelser/200901-standardkatalog-v2">sin
-høringsuttalelse</a>, men ser ut til å ha blitt ignorert.</p>
+<p>Today, the last piece of the puzzle for roaming laptops in Debian
+Edu finally entered the Debian archive. Today, the new
+<a href="http://packages.qa.debian.org/libp/libpam-mklocaluser.html">libpam-mklocaluser</a>
+package was accepted. Two days ago, two other pieces was accepted
+into unstable. The
+<a href="http://packages.qa.debian.org/p/pam-python.html">pam-python</a>
+package needed by libpam-mklocaluser, and the
+<a href="http://packages.qa.debian.org/s/sssd.html">sssd</a> package
+passed NEW on Monday. In addition, the
+<a href="http://packages.qa.debian.org/libp/libpam-ccreds.html">libpam-ccreds</a>
+package we need is in experimental (version 10-4) since Saturday, and
+hopefully will be moved to unstable soon.</p>
+
+<p>This collection of packages allow for two different setups for
+roaming laptops. The traditional setup would be using libpam-ccreds,
+nscd and libpam-mklocaluser with LDAP or Kerberos authentication,
+which should work out of the box if the configuration changes proposed
+for nscd in <a href="http://bugs.debian.org/485282">BTS report
+#485282</a> is implemented. The alternative setup is to use sssd with
+libpam-mklocaluser to connect to LDAP or Kerberos and let sssd take
+care of the caching of passwords and group information.</p>
+
+<p>I have so far been unable to get sssd to work with the LDAP server
+at the University, but suspect the issue is some SSL/GnuTLS related
+problem with the server certificate. I plan to update the Debian
+package to version 1.2, which is scheduled for next week, and hope to
+find time to make sure the next release will include both the
+Debian/Ubuntu specific patches. Upstream is friendly and responsive,
+and I am sure we will find a good solution.</p>
+
+<p>The idea is to set up the roaming laptops to authenticate using
+LDAP or Kerberos and create a local user with home directory in /home/
+when a usre in LDAP logs in via KDM or GDM for the first time, and
+cache the password for offline checking, as well as caching group
+memberhips and other relevant LDAP information. The
+libpam-mklocaluser package was created to make sure the local home
+directory is in /home/, instead of /site/server/directory/ which would
+be the home directory if pam_mkhomedir was used. To avoid confusion
+with support requests and configuration, we do not want local laptops
+to have users in a path that is used for the same users home directory
+on the home directory servers.</p>
+
+<p>One annoying problem with gdm is that it do not show the PAM
+message passed to the user from libpam-mklocaluser when the local user
+is created. Instead gdm simply reject the login with some generic
+message. The message is shown in kdm, ssh and login, so I guess it is
+a bug in gdm. Have not investigated if there is some other message
+type that can be used instead to get gdm to also show the message.</p>
+
+<p>If you want to help out with implementing this for Debian Edu,
+please contact us on debian-edu@lists.debian.org.</p>
</description>
</item>
<item>
- <title>Microsofts misvisende argumentasjon rundt multimediaformater</title>
- <link>Microsofts_misvisende_argumentasjon_rundt_multimediaformater.html</link>
- <guid isPermaLink="true">Microsofts_misvisende_argumentasjon_rundt_multimediaformater.html</guid>
- <pubDate>Fri, 26 Jun 2009 15:30:00 +0200</pubDate>
+ <title>Parallellized boot is now the default in Debian/unstable</title>
+ <link>http://people.skolelinux.org/pere/blog/Parallellized_boot_is_now_the_default_in_Debian_unstable.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Parallellized_boot_is_now_the_default_in_Debian_unstable.html</guid>
+ <pubDate>Fri, 14 May 2010 22:40:00 +0200</pubDate>
<description>
-<p>I
-<a href="http://www.regjeringen.no/upload/FAD/Vedlegg/Hoeringer/Refkat_V2/MicrosoftNorge.pdf">Microsoft
-sin høringsuttalelse</a> til
-<a href="http://www.regjeringen.no/nb/dep/fad/dok/horinger/horingsdokumenter/2009/horing---referansekatalog-versjon-2.html?id=549422">forslag
-til versjon 2 av statens referansekatalog over standarder</a>, lirer
-de av seg følgende FUD-perle:</p>
-
-<p><blockquote>"Vorbis, OGG, Theora og FLAC er alle tekniske
- spesifikasjoner overordnet styrt av xiph.org, som er en
- ikke-kommersiell organisasjon. Etablerte og anerkjente
- standardiseringsorganisasjoner, som Oasis, W3C og Ecma, har en godt
- innarbeidet vedlikeholds- og forvaltningsprosess av en standard.
- Det er derimot helt opp til hver enkelt organisasjon å bestemme
- hvordan tekniske spesifikasjoner videreutvikles og endres, og disse
- spesifikasjonene bør derfor ikke defineres som åpne
- standarder."</blockquote></p>
-
-<p>De vokter seg vel for å nevne den anerkjente
-standardiseringsorganisasjonen IETF, som er organisasjonen bak HTTP,
-IP og det meste av protokoller på Internet, og RFC-standardene som
-IETF står bak. Ogg er spesifisert i
-<a href="http://ietf.org/rfc/rfc3533.txt">RFC 3533</a>, og er uten
-tvil å anse som en åpen standard. Vorbis er
-<a href="http://ietf.org/rfc/rfc5215.txt">RFC 5215</a>. Theora er
-
-under standardisering via IETF, med
-<a href="http://svn.xiph.org/trunk/theora/doc/draft-ietf-avt-rtp-theora-00.txt">siste
-utkast publisert 2006-07-21</a> (riktignok er dermed teksten ikke
-skrevet i stein ennå, men det blir neppe endringer som ikke er
-bakoverkompatibel). De kan være inne på noe når det gjelder FLAC da
-jeg ikke finner tegn til at <a
-href="http://flac.sourceforge.net/format.html">spesifikasjonen
-tilgjengelig på web</a> er på tur via noen
-standardiseringsorganisasjon, men i og med at folkene bak Ogg, Theora
-og Vorbis også har involvert seg i Flac siden 2003, så ser jeg ikke
-bort fra at også den organiseres via IETF. Jeg kjenner personlig lite
-til FLAC.</p>
-
-<p>Uredelig argumentasjon bør en holde seg for god til å komme med,
-spesielt når det er så enkelt i dagens Internet-hverdag å gå
-misvisende påstander etter i sømmene.</p>
+<p>Since this evening, parallel booting is the default in
+Debian/unstable for machines using dependency based boot sequencing.
+Apparently the testing of concurrent booting has been wider than
+expected, if I am to believe the
+<a href="http://lists.debian.org/debian-devel/2010/05/msg00122.html">input
+on debian-devel@</a>, and I concluded a few days ago to move forward
+with the feature this weekend, to give us some time to detect any
+remaining problems before Squeeze is frozen. If serious problems are
+detected, it is simple to change the default back to sequential boot.
+The upload of the new sysvinit package also activate a new upstream
+version.</p>
+
+More information about
+<a href="http://wiki.debian.org/LSBInitScripts/DependencyBasedBoot">dependency
+based boot sequencing</a> is available from the Debian wiki. It is
+currently possible to disable parallel booting when one run into
+problems caused by it, by adding this line to /etc/default/rcS:</p>
+
+<blockquote><pre>
+CONCURRENCY=none
+</pre></blockquote>
+
+<p>If you report any problems with dependencies in init.d scripts to
+the BTS, please usertag the report to get it to show up at
+<a href="http://bugs.debian.org/cgi-bin/pkgreport.cgi?users=initscripts-ng-devel@lists.alioth.debian.org">the
+list of usertagged bugs related to this</a>.</p>
</description>
</item>
<item>
- <title>Debian boots quicker and quicker</title>
- <link>Debian_boots_quicker_and_quicker.html</link>
- <guid isPermaLink="true">Debian_boots_quicker_and_quicker.html</guid>
- <pubDate>Wed, 24 Jun 2009 21:40:00 +0200</pubDate>
+ <title>Sitesummary tip: Listing MAC address of all clients</title>
+ <link>http://people.skolelinux.org/pere/blog/Sitesummary_tip__Listing_MAC_address_of_all_clients.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Sitesummary_tip__Listing_MAC_address_of_all_clients.html</guid>
+ <pubDate>Fri, 14 May 2010 21:10:00 +0200</pubDate>
<description>
-<p>I spent Monday and tuesday this week in London with a lot of the
-people involved in the boot system on Debian and Ubuntu, to see if we
-could find more ways to speed up the boot system. This was an Ubuntu
-funded
-<a href="https://wiki.ubuntu.com/FoundationsTeam/BootPerformance/DebianUbuntuSprint">developer
-gathering</a>. It was quite productive. We also discussed the future
-of boot systems, and ways to handle the increasing number of boot
-issues introduced by the Linux kernel becoming more and more
-asynchronous and event base. The Ubuntu approach using udev and
-upstart might be a good way forward. Time will show.</p>
-
-<p>Anyway, there are a few ways at the moment to speed up the boot
-process in Debian. All of these should be applied to get a quick
-boot:</p>
-
-<ul>
+<p>In the recent Debian Edu versions, the
+<a href="http://wiki.debian.org/DebianEdu/HowTo/SiteSummary">sitesummary
+system</a> is used to keep track of the machines in the school
+network. Each machine will automatically report its status to the
+central server after boot and once per night. The network setup is
+also reported, and using this information it is possible to get the
+MAC address of all network interfaces in the machines. This is useful
+to update the DHCP configuration.</p>
-<li>Use dash as /bin/sh.</li>
+<p>To give some idea how to use sitesummary, here is a one-liner to
+ist all MAC addresses of all machines reporting to sitesummary. Run
+this on the collector host:</p>
-<li>Disable the init.d/hwclock*.sh scripts and make sure the hardware
- clock is in UTC.</li>
+<blockquote><pre>
+perl -MSiteSummary -e 'for_all_hosts(sub { print join(" ", get_macaddresses(shift)), "\n"; });'
+</pre></blockquote>
-<li>Install and activate the insserv package to enable
- <a href="http://wiki.debian.org/LSBInitScripts/DependencyBasedBoot">dependency
- based boot sequencing</a>, and enable concurrent booting.</li>
+<p>This will list all MAC addresses assosiated with all machine, one
+line per machine and with space between the MAC addresses.</p>
-</ul>
-
-These points are based on the Google summer of code work done by
-<a href="http://initscripts-ng.alioth.debian.org/soc2006-bootsystem/">Carlos
-Villegas</a>.
-
-<p>Support for makefile-style concurrency during boot was uploaded to
-unstable yesterday. When we tested it, we were able to cut 6 seconds
-from the boot sequence. It depend on very correct dependency
-declaration in all init.d scripts, so I expect us to find edge cases
-where the dependences in some scripts are slightly wrong when we start
-using this.</p>
-
-<p>On our IRC channel for this effort, #pkg-sysvinit, a new idea was
-introduced by Raphael Geissert today, one that could affect the
-startup speed as well. Instead of starting some scripts concurrently
-from rcS.d/ and another set of scripts from rc2.d/, it would be
-possible to run a of them in the same process. A quick way to test
-this would be to enable insserv and run 'mv /etc/rc2.d/S* /etc/rcS.d/;
-insserv'. Will need to test if that work. :)</p>
+<p>To allow system administrators easier job at adding static DHCP
+addresses for hosts, it would be possible to extend this to fetch
+machine information from sitesummary and update the DHCP and DNS
+tables in LDAP using this information. Such tool is unfortunately not
+written yet.</p>
</description>
</item>
<item>
- <title>Litt om valgfusk og problemet med elektronisk stemmegiving</title>
- <link>Litt_om_valgfusk_og_problemet_med_elektronisk_stemmegiving.html</link>
- <guid isPermaLink="true">Litt_om_valgfusk_og_problemet_med_elektronisk_stemmegiving.html</guid>
- <pubDate>Wed, 17 Jun 2009 14:20:00 +0200</pubDate>
+ <title>systemd, an interesting alternative to upstart</title>
+ <link>http://people.skolelinux.org/pere/blog/systemd__an_interesting_alternative_to_upstart.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/systemd__an_interesting_alternative_to_upstart.html</guid>
+ <pubDate>Thu, 13 May 2010 22:20:00 +0200</pubDate>
<description>
-<p><a href="http://www.aftenposten.no/nyheter/uriks/article3127058.ece">Aftenposten
-melder</a> at det kan se ut til at Iran ikke har lært av USA når det
-gjelder valgfusk. En bør endre tallene før de publiseres, slik at en
-kandidat aldri får færre stemmer under opptellingen, ellers blir det
-veldig tydelig at tallene ikke er til å stole på. I USA er det
-derimot <a href="http://www.blackboxvoting.org/">rapporter om at
-tallene har vært endret</a> på tur mot opptellingen, ikke etter at
-tallene er publiserte (i tillegg til en rekke andre irregulariteter).
-En ting Iran åpenbart har forstått, er verdien av å kunne
-kontrolltelle stemmer. Det ligger an til kontrolltelling i hvert fall
-i noen områder. Hvorvidt det har verdi, kommer an på hvordan
-stemmene har vært oppbevart.</p>
-
-<p><a href="http://universitas.no/kronikk/48334/kan-vi-stole-pa-universitetets-elektroniske-valgsystem-/">Universitetet
-i Oslo derimot</a>, har ikke forstått verdien av å kunne
-kontrolltelle. Her har en valgt å ta i bruk elektronisk stemmegiving
-over Internet, med et system som ikke kan kontrolltelles hvis det
-kommer anklager om juks med stemmene. Systemet har flere kjente
-problemer og er i mine øyne ikke bedre enn en spørreundersøkelse, og
-jeg har derfor latt være å stemme ved valg på UiO siden det ble
-innført.</p>
-
-<p>Universitet i Bergen derimot har klart det kunststykket å aktivt gå
-inn for å gjøre det kjent at det elektroniske stemmegivingssystemet
-over Internet <a href="http://nyheter.uib.no/?modus=vis_nyhet&id=43404">kan
-spore hvem som stemmer hva</a> (det kan en forøvrig også ved UiO), og tatt
-kontakt med stemmegivere for å spørre hvorfor de stemte som de gjorde.
-Hemmelige valg står for fall. Mon tro hva stemmesedlenne hadde
-inneholdt i Iran hvis de ikke hadde hemmelige valg?</p>
+<p>The last few days a new boot system called
+<a href="http://www.freedesktop.org/wiki/Software/systemd">systemd</a>
+has been
+<a href="http://0pointer.de/blog/projects/systemd.html">introduced</a>
+
+to the free software world. I have not yet had time to play around
+with it, but it seem to be a very interesting alternative to
+<a href="http://upstart.ubuntu.com/">upstart</a>, and might prove to be
+a good alternative for Debian when we are able to switch to an event
+based boot system. Tollef is
+<a href="http://bugs.debian.org/580814">in the process</a> of getting
+systemd into Debian, and I look forward to seeing how well it work. I
+like the fact that systemd handles init.d scripts with dependency
+information natively, allowing them to run in parallel where upstart
+at the moment do not.</p>
+
+<p>Unfortunately do systemd have the same problem as upstart regarding
+platform support. It only work on recent Linux kernels, and also need
+some new kernel features enabled to function properly. This means
+kFreeBSD and Hurd ports of Debian will need a port or a different boot
+system. Not sure how that will be handled if systemd proves to be the
+way forward.</p>
+
+<p>In the mean time, based on the
+<a href="http://lists.debian.org/debian-devel/2010/05/msg00122.html">input
+on debian-devel@</a> regarding parallel booting in Debian, I have
+decided to enable full parallel booting as the default in Debian as
+soon as possible (probably this weekend or early next week), to see if
+there are any remaining serious bugs in the init.d dependencies. A
+new version of the sysvinit package implementing this change is
+already in experimental. If all go well, Squeeze will be released
+with parallel booting enabled by default.</p>
</description>
</item>
<item>
- <title>Standarder fungerer best når en samler seg rundt dem</title>
- <link>Standarder_fungerer_best_n__r_en_samler_seg_rundt_dem.html</link>
- <guid isPermaLink="true">Standarder_fungerer_best_n__r_en_samler_seg_rundt_dem.html</guid>
- <pubDate>Tue, 19 May 2009 11:30:00 +0200</pubDate>
+ <title>Parallellizing the boot in Debian Squeeze - ready for wider testing</title>
+ <link>http://people.skolelinux.org/pere/blog/Parallellizing_the_boot_in_Debian_Squeeze___ready_for_wider_testing.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Parallellizing_the_boot_in_Debian_Squeeze___ready_for_wider_testing.html</guid>
+ <pubDate>Thu, 6 May 2010 23:25:00 +0200</pubDate>
<description>
-<p>En standard er noe man samler seg rundt, ut fra ideen om at en får
-fordeler når mange står sammen. Jo flere som står sammen, jo
-bedre. Når en vet dette, blir det litt merkelig å lese noen av
-uttalelsene som er kommet inn til
-<a href="http://www.regjeringen.no/nb/dep/fad/dok/horinger/horingsdokumenter/2009/horing---referansekatalog-versjon-2/horingsuttalelser.html?id=549423">høringen
-om versjon 2 av statens referansekatalog over standarder</a>. Blant
-annet Abelia, NHO og Microsoft tror det er lurt med flere standarder
-innenfor samme område. Det blir som å si at det er fint om Norge
-standardiserte både på A4- og Letter-størrelser på arkene, ulik
-sporvidde på jernbaneskinnene, meter og fot som lengemål, eller
-høyre- og venstrekjøring - slik at en kan konkurrere på hvilken
-standard som er best. De fleste forstår heldigvis at dette ikke
-bidrar positivt.</p>
+<p>These days, the init.d script dependencies in Squeeze are quite
+complete, so complete that it is actually possible to run all the
+init.d scripts in parallell based on these dependencies. If you want
+to test your Squeeze system, make sure
+<a href="http://wiki.debian.org/LSBInitScripts/DependencyBasedBoot">dependency
+based boot sequencing</a> is enabled, and add this line to
+/etc/default/rcS:</p>
+
+<blockquote><pre>
+CONCURRENCY=makefile
+</pre></blockquote>
+
+<p>That is it. It will cause sysv-rc to use the startpar tool to run
+scripts in parallel using the dependency information stored in
+/etc/init.d/.depend.boot, /etc/init.d/.depend.start and
+/etc/init.d/.depend.stop to order the scripts. Startpar is configured
+to try to start the kdm and gdm scripts as early as possible, and will
+start the facilities required by kdm or gdm as early as possible to
+make this happen.</p>
+
+<p>Give it a try, and see if you like the result. If some services
+fail to start properly, it is most likely because they have incomplete
+init.d script dependencies in their startup script (or some of their
+dependent scripts have incomplete dependencies). Report bugs and get
+the package maintainers to fix it. :)</p>
+
+<p>Running scripts in parallel could be the default in Debian when we
+manage to get the init.d script dependencies complete and correct. I
+expect we will get there in Squeeze+1, if we get manage to test and
+fix the remaining issues.</p>
+
+<p>If you report any problems with dependencies in init.d scripts to
+the BTS, please usertag the report to get it to show up at
+<a href="http://bugs.debian.org/cgi-bin/pkgreport.cgi?users=initscripts-ng-devel@lists.alioth.debian.org">the
+list of usertagged bugs related to this</a>.</p>
</description>
</item>
<item>
- <title>BSAs påstander om piratkopiering møter motstand</title>
- <link>BSAs_p__stander_om_piratkopiering_m__ter_motstand.html</link>
- <guid isPermaLink="true">BSAs_p__stander_om_piratkopiering_m__ter_motstand.html</guid>
- <pubDate>Sun, 17 May 2009 23:05:00 +0200</pubDate>
+ <title>Forcing new users to change their password on first login</title>
+ <link>http://people.skolelinux.org/pere/blog/Forcing_new_users_to_change_their_password_on_first_login.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Forcing_new_users_to_change_their_password_on_first_login.html</guid>
+ <pubDate>Sun, 2 May 2010 13:47:00 +0200</pubDate>
<description>
-<p>Hvert år de siste årene har BSA, lobbyfronten til de store
-programvareselskapene som Microsoft og Apple, publisert en rapport der
-de gjetter på hvor mye piratkopiering påfører i tapte inntekter i
-ulike land rundt om i verden. Resultatene er tendensiøse. For noen
-dager siden kom
-<a href="http://global.bsa.org/globalpiracy2008/studies/globalpiracy2008.pdf">siste
-rapport</a>, og det er flere kritiske kommentarer publisert de siste
-dagene. Et spesielt interessant kommentar fra Sverige,
-<a href="http://www.idg.se/2.1085/1.229795/bsa-hoftade-sverigesiffror">BSA
-höftade Sverigesiffror</a>, oppsummeres slik:</p>
-
-<blockquote>
-I sin senaste rapport slår BSA fast att 25 procent av all mjukvara i
-Sverige är piratkopierad. Det utan att ha pratat med ett enda svenskt
-företag. "Man bör nog kanske inte se de här siffrorna som helt
-exakta", säger BSAs Sverigechef John Hugosson.
-</blockquote>
-
-<p>Mon tro om de er like metodiske når de gjetter på andelen piratkopiering i Norge? To andre kommentarer er <a
-href="http://www.vnunet.com/vnunet/comment/2242134/bsa-piracy-figures-shot-reality">BSA
-piracy figures need a shot of reality</a> og <a
-href="http://www.michaelgeist.ca/content/view/3958/125/">Does The WIPO
-Copyright Treaty Work?</a></p>
-
-<p>Fant lenkene via <a
-href="http://tech.slashdot.org/article.pl?sid=09/05/17/1632242">oppslag
-på Slashdot</a>.</p>
+<p>One interesting feature in Active Directory, is the ability to
+create a new user with an expired password, and thus force the user to
+change the password on the first login attempt.</p>
+
+<p>I'm not quite sure how to do that with the LDAP setup in Debian
+Edu, but did some initial testing with a local account. The account
+and password aging information is available in /etc/shadow, but
+unfortunately, it is not possible to specify an expiration time for
+passwords, only a maximum age for passwords.</p>
+
+<p>A freshly created account (using adduser test) will have these
+settings in /etc/shadow:</p>
+
+<blockquote><pre>
+root@tjener:~# chage -l test
+Last password change : May 02, 2010
+Password expires : never
+Password inactive : never
+Account expires : never
+Minimum number of days between password change : 0
+Maximum number of days between password change : 99999
+Number of days of warning before password expires : 7
+root@tjener:~#
+</pre></blockquote>
+
+<p>The only way I could come up with to create a user with an expired
+account, is to change the date of the last password change to the
+lowest value possible (January 1th 1970), and the maximum password age
+to the difference in days between that date and today. To make it
+simple, I went for 30 years (30 * 365 = 10950) and January 2th (to
+avoid testing if 0 is a valid value).</p>
+
+<p>After using these commands to set it up, it seem to work as
+intended:</p>
+
+<blockquote><pre>
+root@tjener:~# chage -d 1 test; chage -M 10950 test
+root@tjener:~# chage -l test
+Last password change : Jan 02, 1970
+Password expires : never
+Password inactive : never
+Account expires : never
+Minimum number of days between password change : 0
+Maximum number of days between password change : 10950
+Number of days of warning before password expires : 7
+root@tjener:~#
+</pre></blockquote>
+
+<p>So far I have tested this with ssh and console, and kdm (in
+Squeeze) login, and all ask for a new password before login in the
+user (with ssh, I was thrown out and had to log in again).</p>
+
+<p>Perhaps we should set up something similar for Debian Edu, to make
+sure only the user itself have the account password?</p>
+
+<p>If you want to comment on or help out with implementing this for
+Debian Edu, please contact us on debian-edu@lists.debian.org.</p>
+
+<p>Update 2010-05-02 17:20: Paul Tötterman tells me on IRC that the
+shadow(8) page in Debian/testing now state that setting the date of
+last password change to zero (0) will force the password to be changed
+on the first login. This was not mentioned in the manual in Lenny, so
+I did not notice this in my initial testing. I have tested it on
+Squeeze, and '<tt>chage -d 0 username</tt>' do work there. I have not
+tested it on Lenny yet.</p>
+
+<p>Update 2010-05-02-19:05: Jim Paris tells me via email that an
+equivalent command to expire a password is '<tt>passwd -e
+username</tt>', which insert zero into the date of the last password
+change.</p>
</description>
</item>
<item>
- <title>Webbasert tegneseriearkiv på trappene</title>
- <link>Webbasert_tegneseriearkiv_p___trappene.html</link>
- <guid isPermaLink="true">Webbasert_tegneseriearkiv_p___trappene.html</guid>
- <pubDate>Sat, 16 May 2009 19:05:00 +0200</pubDate>
+ <title>Thoughts on roaming laptop setup for Debian Edu</title>
+ <link>http://people.skolelinux.org/pere/blog/Thoughts_on_roaming_laptop_setup_for_Debian_Edu.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Thoughts_on_roaming_laptop_setup_for_Debian_Edu.html</guid>
+ <pubDate>Wed, 28 Apr 2010 20:40:00 +0200</pubDate>
<description>
-<p>For noen dager siden ble jeg tipset om en ny norsk webtjeneste for
-å holde styr på ens tegneseriesamling. Har så smått begynt å
-teste den og lagt inn noen hundre oppføringer, og det ser ut til å
-fungere fint. Utvikleren, Trond Hallstensen, er selv ivrig samler og
-har laget systemet i første omgang for seg selv, men altså gjort det
-mulig også for andre å bidra. Tjenesten har potensiale til å bli
-en komplett og verdifull tegneserieindeks over norske serier. Da jeg
-oppdaget tjenesten var det endel mangler som gjorde meg skeptisk til
-å registrere min samling der. Det var nemlig ingen måte å hente ut
-en maskinlesbar oversikt over det jeg registrerte, slik at mine data
-ville være innelåst i tjenesten. Siden den gang har Trond lagt til
-en eksportfunksjon til CSV-format, slik at i hvert fall noen av
-feltene i databasen kan hentes ut for mine serier. Pr. i dag er det
-serie, seriegruppe, år, nr og tittel_på_forside.</p>
-
-<p>Prinsipielt ønsker jeg å kunne hente ut alle feltene om en
-tegneserie, for å unngå repetisjon av det som skjedde med IMDB og
-CDDB på 90-tallet. Begge begynte som fellesskapsprosjekter der
-brukerne bidro på like vilkår, og ble lukket inne da
-initiativtageren og innehaveren av maskinen der tjenesten kjørte
-hadde fått nok innhold til at de ikke lenger følte at de trengte å
-behandle brukerne som likemenn. Trond har skrevet til meg at flere
-felter vil bli lagt inn i eksporten (blant annet strekkode), men
-uttrykt skepsis til å gjøre all informasjonen tilgjengelig (han
-ønsker slik jeg forsto han å kontrollere tjenesten og ikke gjøre
-det mulig å lage konkurrerende tjeneste). Holdningen gjør meg ennå
-mer skeptisk, men tjenesten fungerer fint, så jeg har bestemt meg for
-å ta den i bruk, men begrense meg til å registrere informasjon som
-er tilgjengelig i eksporten.</p>
-
-<p>Har ennå ikke begynt masseregistrering, da jeg venter på støtte for
-strekkoder i tjenesten. Har strekkodeleser, og vil spare litt tid i
-registreringen når jeg går løs på mine esker. Foreløbig har jeg
-registrert litt tilfeldige serier som ligger rundt om i huset, men for
-å få et komplett arkiv må nok noen tusen tegneserier registreres.</p>
-
-<p>Løsningen er i følge utvikleren laget med et Oracle-spesifikt
-verktøy for å lage webtjenester, og ikke fri programvare.
-Utvikleren tar imot innspill men det hørtes ikke ut som om utvikling
-av systemet var enkelt å dele mellom flere, slik at det må via
-ham.</p>
-
-<p>Høres dette interessant ut, besøk
-<a href="http://www.mineserier.no/">mineserier.no</a> og ta en
-titt.</p>
+<p>For some years now, I have wondered how we should handle laptops in
+Debian Edu. The Debian Edu infrastructure is mostly designed to
+handle stationary computers, and less suited for computers that come
+and go.</p>
+
+<p>Now I finally believe I have an sensible idea on how to adjust
+Debian Edu for laptops, by introducing a new profile for them, for
+example called Roaming Workstations. Here are my thought on this.
+The setup would consist of the following:</p>
+
+<ul>
+
+ <li>During installation, the user name of the owner / primary user of
+ the laptop is requested and a local home directory is set up for
+ the user, with uid and gid information fetched from the LDAP
+ server. This allow the user to work also when offline. The
+ central home directory can be available in a subdirectory on
+ request, for example mounted via CIFS. It could be mounted
+ automatically when a user log in while on the Debian Edu network,
+ and unmounted when the machine is taken away (network down,
+ hibernate, etc), it can be set up to do automatic mounting on
+ request (using autofs), or perhaps some GUI button on the desktop
+ can be used to access it when needed. Perhaps it is enough to use
+ the fish protocol in KDE?</li>
+
+ <li>Password checking is set up to use LDAP or Kerberos
+ authentication when the machine is on the Debian Edu network, and
+ to cache the password for offline checking when the machine unable
+ to reach the LDAP or Kerberos server. This can be done using
+ <a href="http://www.padl.com/OSS/pam_ccreds.html">libpam-ccreds</a>
+ or the Fedora developed
+ <a href="https://fedoraproject.org/wiki/Features/SSSD">System
+ Security Services Daemon</a> packages.</li>
+
+ <li>File synchronisation with the central home directory is set up
+ using a shared directory in both the local and the central home
+ directory, using unison.</li>
+
+ <li>Printing should be set up to print to all printers broadcasting
+ their existence on the local network, and should then work out of
+ the box with CUPS. For sites needing accurate printer quotas, some
+ system with Kerberos authentication or printing via ssh could be
+ implemented.</li>
+
+ <li>For users that should have local root access to their laptop,
+ sudo should be used to allow this to the local user.</li>
+
+ <li>It would be nice if user and group information from LDAP is
+ cached on the client, but given that there are entries for the
+ local user and primary group in /etc/, it should not be needed.</li>
+
+</ul>
+
+<p>I believe all the pieces to implement this are in Debian/testing at
+the moment. If we work quickly, we should be able to get this ready
+in time for the Squeeze release to freeze. Some of the pieces need
+tweaking, like libpam-ccreds should get support for pam-auth-update
+(<a href="http://bugs.debian.org/566718">#566718</a>) and nslcd (or
+perhaps debian-edu-config) should get some integration code to stop
+its daemon when the LDAP server is unavailable to avoid long timeouts
+when disconnected from the net. If we get Kerberos enabled, we need
+to make sure we avoid long timeouts there too.</p>
+
+<p>If you want to help out with implementing this for Debian Edu,
+please contact us on debian-edu@lists.debian.org.</p>
</description>
</item>
<item>
- <title>Massiv overvåkning av kollektivtrafikken i Oslo planlegges</title>
- <link>Massiv_overv__kning_av_kollektivtrafikken_i_Oslo_planlegges.html</link>
- <guid isPermaLink="true">Massiv_overv__kning_av_kollektivtrafikken_i_Oslo_planlegges.html</guid>
- <pubDate>Sat, 16 May 2009 09:30:00 +0200</pubDate>
+ <title>Great book: "Content: Selected Essays on Technology, Creativity, Copyright, and the Future of the Future"</title>
+ <link>http://people.skolelinux.org/pere/blog/Great_book___Content__Selected_Essays_on_Technology__Creativity__Copyright__and_the_Future_of_the_Future_.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Great_book___Content__Selected_Essays_on_Technology__Creativity__Copyright__and_the_Future_of_the_Future_.html</guid>
+ <pubDate>Mon, 19 Apr 2010 17:10:00 +0200</pubDate>
<description>
-<p><a href="http://www.aftenposten.no/nyheter/oslo/article3078919.ece">Flere</a>
-og
-<a href="http://blogg.karlsbakk.net/2009/02/28/nsb-ruter-og-flexus/">flere</a>
-protesterer på den massive overvåkningen og registrering av
-trafikkmønster i kollektivtrafikken som planlegges i Oslo. Det er
-bra. Jeg mister lysten til å bruke kollektivtransport når jeg ser
-hvordan trafikkselskapet holder på. Jeg forventer og forlanger å
-ikke bli overvåket med mindre jeg mistenkes for å ha gjort noe
-alvorlig galt. Den massive registreringen av hvor og når
-passasjerene reiser med kollektivtrafikk som planegges av Ruter i Oslo
-er et grotesk overgrep mot alle som bruker buss, trikk T-bane og tog i
-Osloområdet.</p>
+<p>The last few weeks i have had the pleasure of reading a
+thought-provoking collection of essays by Cory Doctorow, on topics
+touching copyright, virtual worlds, the future of man when the
+conscience mind can be duplicated into a computer and many more. The
+book titled "Content: Selected Essays on Technology, Creativity,
+Copyright, and the Future of the Future" is available with few
+restrictions on the web, for example from
+<a href="http://craphound.com/content/">his own site</a>. I read the
+epub-version from
+<a href="http://www.feedbooks.com/book/2883">feedbooks</a> using
+<a href="http://www.fbreader.org/">fbreader</a> and my N810. I
+strongly recommend this book.</p>
</description>
</item>
<item>
- <title>3D-printing brer om seg - fabrikkene består</title>
- <link>3D_printing_brer_om_seg___fabrikkene_best__r.html</link>
- <guid isPermaLink="true">3D_printing_brer_om_seg___fabrikkene_best__r.html</guid>
- <pubDate>Sun, 10 May 2009 16:50:00 +0200</pubDate>
+ <title>Kerberos for Debian Edu/Squeeze?</title>
+ <link>http://people.skolelinux.org/pere/blog/Kerberos_for_Debian_Edu_Squeeze_.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Kerberos_for_Debian_Edu_Squeeze_.html</guid>
+ <pubDate>Wed, 14 Apr 2010 17:20:00 +0200</pubDate>
<description>
-<p>I 2004 fikk jeg med meg en forelesning om 3D-printing under <a
-href="http://wiki.oreillynet.com/eurofoo/index.cgi">euro foo camp</a>
-der jeg lærte mye nytt om 3D-printing. Fikk se et lite sjakktårn
-skrevet ut i plast, med vindeltrapp på innsiden av tårnet, og en hul
-gummiball som også var skrevet ut (med et lite hull for å få ut
-fyllmassen). Ble fortalt at det amerikanske kavaleriet skriver ut
-reservedeler i metall i felt, og at det fantes amerikanske husbyggere
-som eksperimenterer med utskrift av hus. De to siste har jeg ikke
-funnet noen referanser til i ettertid, og har derfor lurt på om det
-stemmer. Teknologisk skulle det ikke være noe i veien for slike
-løsninger, det er kun et spørmål om pris på skrivehoder og
-skrivere. I dag ble jeg tipset om en løsning som
-<a href="http://www.shapeways.com/blog/archives/217-3D-printing-buildings-interview-with-Enrico-Dini-of-D_Shape.html">kan
-skrive ut hus</a>, med sand og bindemiddel i 25 DPI oppløsning. Mon
-tro om det er fremtidens byggemetode.</p>
-
-<p>Jeg er ikke i tvil om at 3D-utskrift vil føre til endringer i
-hvordan produksjon gjøres, og at tilgjengeligheten på en rekke produkter
-som i dag er vanskelig eller umulig å få tak i vil bedre seg. Men de
-som tror at 3D-skrivere vil gjøre fabrikkene overflødige, tror jeg har
-forregnet seg. 3D-skrivere er fantastisk bra til å lage spesielle
-dingser på forespørsel, f.eks. etter å ha lastet ned et 3D-design fra
-tjenester som <a href="http://www.thingiverse.com/">Thingiverse</a>.
-De er derimot ikke spesielt bra til å lage mange eksemplarer av samme
-dings. Lav pris pr. enhet er fabrikkenes fortrinn. Hvis det skal
-lages tusenvis, eller millioner av en dings, så vil fabrikkene
-sannsynligvis fortsette å slå 3D-skriving ned i støvlene
-økonomisk, selv om en tar hensyn til transport og logistikk. Hvis
-det derimot skal lages en håndfull, så vil 3D-skriving fremstå som
-et suverent alternativ. 3D-skriving er i så måte løsning for
-<a href="http://en.wikipedia.org/wiki/The_Long_Tail">den lange
-halen</a>, mens fabrikker nok fortsatt vil være løsningen for
-massemarkedet.</p>
+<p><a href="http://www.nuug.no/aktiviteter/20100413-kerberos/">Yesterdays
+NUUG presentation</a> about Kerberos was inspiring, and reminded me
+about the need to start using Kerberos in Skolelinux. Setting up a
+Kerberos server seem to be straight forward, and if we get this in
+place a long time before the Squeeze version of Debian freezes, we
+have a chance to migrate Skolelinux away from NFSv3 for the home
+directories, and over to an architecture where the infrastructure do
+not have to trust IP addresses and machines, and instead can trust
+users and cryptographic keys instead.</p>
+
+<p>A challenge will be integration and administration. Is there a
+Kerberos implementation for Debian where one can control the
+administration access in Kerberos using LDAP groups? With it, the
+school administration will have to maintain access control using flat
+files on the main server, which give a huge potential for errors.</p>
+
+<p>A related question I would like to know is how well Kerberos and
+pam-ccreds (offline password check) work together. Anyone know?</p>
+
+<p>Next step will be to use Kerberos for access control in Lwat and
+Nagios. I have no idea how much work that will be to implement. We
+would also need to document how to integrate with Windows AD, as such
+shared network will require two Kerberos realms that need to cooperate
+to work properly.</p>
+
+<p>I believe a good start would be to start using Kerberos on the
+skolelinux.no machines, and this way get ourselves experience with
+configuration and integration. A natural starting point would be
+setting up ldap.skolelinux.no as the Kerberos server, and migrate the
+rest of the machines from PAM via LDAP to PAM via Kerberos one at the
+time.</p>
+
+<p>If you would like to contribute to get this working in Skolelinux,
+I recommend you to see the video recording from yesterdays NUUG
+presentation, and start using Kerberos at home. The video show show
+up in a few days.</p>
</description>
</item>
<item>
- <title>Lenker samlet 2009-05-09</title>
- <link>Lenker_samlet_2009_05_09.html</link>
- <guid isPermaLink="true">Lenker_samlet_2009_05_09.html</guid>
- <pubDate>Sat, 9 May 2009 22:40:00 +0200</pubDate>
+ <title>På vegne av vanvitting mange, Aftenposten!</title>
+ <link>http://people.skolelinux.org/pere/blog/P___vegne_av_vanvitting_mange__Aftenposten_.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/P___vegne_av_vanvitting_mange__Aftenposten_.html</guid>
+ <pubDate>Sat, 6 Mar 2010 21:15:00 +0100</pubDate>
<description>
-<ul>
-
-<li><a href="http://www.aftenposten.no/meninger/kronikker/article3066834.ece">Jeg, et offer</a>
-<br>Aage Borchgrevink drodler om offerrollens framvekst i den norske
-offentligheten.</li>
-
-<li><a href="http://www.nuug.no/pub/video/published/200904-goopen.html">Opptak fra Go Open 2009 på web</a>
-<br>Endelig kan jeg få med meg foredragene jeg gikk glipp av.</li>
+<p><a href="http://fotball.aftenposten.no/incoming/article163000.ece">Aftenposten
+melder</a> på forsiden av webavisen sin at de tror Erling Fossen
+provoserer nordlendinger med sine uttalelser på
+fotballtinget. Jeg er utflyttet nordlending, og må innrømme at jeg
+ikke kjennet så mye som et snev av provokasjon fra denne litt morsomme
+uttalelsen til Hr. Fossen. Lurer på om Aftenposten har noen kilder
+utenom redaksjonen for sin påstand om at nordledinger er provosert av
+Hr. Fossen. Må innrømme at jeg tviler på det.</p>
-<li><a href="http://www.robweir.com/blog/2009/05/update-on-odf-spreadsheet.html">MS Excel 2007 håndterer ODF dårlig</a>
-<br>Microsoft har lykkes med å implementere ODF slik at de ikke
-samhandler med noen av de andre som håndterer ODF-regneark.</li>
-
-<li><a href="http://www.groklaw.net/article.php?story=20090503215045379">MS
-Word 2007 håndterer ODF dårlig</a>
-<br>Fotnoter laget i MS Office blir merkelige i OpenOffice.org.</li>
-
-</ul>
+<p>Det hele bringer tankene tilbake til Sture Hansen i Hallo i Uken.</p>
</description>
</item>
projects / homepage.git / blobdiff