Das Konzept
Home ] Einführung ] [ Das Konzept ] Benutzerverwaltung ] Squid ] Samba-Server ] DHCP-Server ] CD-ROM-Server ] UUCP ] Kanabündelung ] Administration ] Klonen von Clientrechnern ]

 

Anforderung an einen Intranet-Server auf Basis von Linux in der Schule

Vorbemerkung

Auf viele Netzwerkbetreuer in allgemeinbildenden Schulen sind in den vergangenen drei Jahren neue Aufgaben durch die Anbindung lokaler Netzwerke an das Internet hinzugekommen. Da zur Durchführung von E-Mail-Projekten persönliche Accounts vergeben werden sollten, ist der Aufwand für die Benutzerverwaltung beträchtlich gestiegen.

Die Anbindung an das Internet selbst für viele Kollegen nur mit einem erheblichen Mehraufwand an Einarbeitung möglich. Es gibt inzwischen eine ganze Reihe von Lösungen, die aber nicht alle für die Schule geeignet sind. Wichtige Voraussetzung für die Schule ist die Verwaltung einer eigenen Subdomain mit beliebig vielen E-Mail-Adressen für Schüler.

Außer recht teuren auf Windows-NT oder Novell basierenden Lösungen haben sich in vielen Schulen auf dem Betriebssysteme LINUX basierende Systeme durchgesetzt. Insbesondere auf zwei Distributionen sei hier hingewiesen:

·        c’t-ODS-Server: Diese vom Heise-Verlag kostenlos verteilte und betreute Distribution wird in vielen Schulen eingesetzt. Geplant war eine Plug-and-Play-Lösung, die auch mit Unix-Systemen nicht vertrauten Lehrern ein Arbeiten mit dem System ermöglichen sollte. Für die zahlreichen inzwischen vorhandenen Weiterentwicklungen sind aber in der Regel trotzdem spezielle Linux-Kenntnisse notwendig.
Die Administration und das Freischalten des Internets wird direkt am Unix-Rechner vorgenommen.

·        Internet Proxy System: Die in Zusammenarbeit mit dem STZ, Recklinghausen entwickelte Distribution erfordert keine Unix-Kenntnisse. Die Administration ist fast vollständig über ein Webinterface möglich. Allerdings ist die Version nicht kostenlos. Da die Distribution inzwischen an eine Firma übergegangen ist, kommen hier kosten für Anschaffung und Support auf die Schulen zu.

Nachteil beider Distributionen ist, dass sie sich nicht auf gängige Distributionen wie SuSE, RedHat oder Debian stützen und daher Updates auf neue Linux-Entwicklungen gar nicht oder nur von Fachleuten vorgenommen werden kann. Außerdem läuft bei beiden System die Benutzerverwaltung nur auf Basis der Unix-Benutzerverwaltung. Das IPS besitzt zwar ein Webinterface, bei c’t-ODS-Server ist auch die Übernahme der Benutzernamen von Diskette möglich, trotzdem ist bei beiden System ein beträchtlich Arbeitsaufwand mit der Verwaltung der Benutzer verbunden.

Anforderung

Die Mängel der oben genannten Systeme haben dazu geführt, dass viele Kollegen inzwischen einige Unix-Kenntnisse erworben haben und lieber ein System auf Basis einer gängigen Linux-Distribution (z.B. SuSE) aufbauen würden, da diese regelmäßig gepflegt wird und in regelmäßigen Abständen neue Updates zur Verfügung stehen.

Jeder Schüler sollte über eine eigene E-Mail-Adresse verfügen. Um den Arbeitsaufwand bei der Benutzerverwaltung zu verringern, sollte diese auf einer Datenbank basieren, in die sich die Schüler selber eintragen. Dadurch lassen sich weitere wünschenswerte Angaben (Adresse, Klassenzugehörigkeit, Arbeitsgemeinschaften) speichern. Der Lehrer braucht anschließend lediglich durch Anklicken mit Hilfe eines Webinterface den Account freizugeben und eventuelle des Status zu verändern (z.B. darf Internet freischalten). Durch die Freigabe wird ein Account erzeugt und dem Schüler ein geeignetes Benutzerprofil eingerichtet. Über entsprechende Formulare lässt sich der Account auch wieder löschen.

Die Datenbank bietet bei diesem Verfahren den Vorteil, das durch Filter sich bestimmte Schüler leicht zusammenfassen lassen (z.B. Mitglieder einer Klasse oder AG). 

Durch die Einrichtung von Gruppen können auch gemeinsame Arbeitsbereiche z.B. für die Erstellung von Publikationen im Netz geschaffen werden . Sinnvoll wäre, wenn man den Linux-Rechner gleichzeitig als Domänen-Controller in einem aus Win 98 oder Win NT Workstation bestehendem Netz einrichten würde, so dass die Rechte in NT-Netz und auf dem Kommunikationsserver gleichzeitig gewartet können bzw. identisch sind.

Zusammenfassung

Die vorhandene Linux-Lösungen sind häufig für Unix-Laien konzipiert und daher nicht offen und nur schwer erweiterbar. Daher wäre die Realisierung einer Linux-Distribution speziell für Schulen wünschenswert, die

·        auf einer gängigen Distribution aufsetzt (z.B. SuSE) und mit dieser wächst.

·        über eine Benutzerdatenbank (z.B. auf Basis von MySQL) mit geeignetem Webinterface (PHP3, Perl, Phyton) verfügt, die das eintragen der Daten dem Benutzer überlässt. Der Administrator schaltet die Zugänge dann lediglich frei, bzw. löscht oder verändert sie. Aus der Datenbank werden dann Unix-Rechte abgeleitet und entsprechende Accounts eingerichtet.

·        Standardkonfigurationen für die Benutzung des Rechners als Kommunikationsrechner enthält. Die Einrichtung von named, sendmail, inn , uucp, squid sollte dokumentiert werden, für die Schule geeignete Konfigurationsdateien sollten  mitgeliefert werden.

·        Gleiches gilt auch für die Einrichtung des Servers als NT-Domänen-Controlles (PDC) mit Hilfe von samba. Hierbei ist die Möglichkeit zu Berücksichtigen, für Gruppen einen geschlossenen Arbeitsraum zu bilden.

·        Die mitgelieferten Programme sollten im Quelltext verfügbar sein, um sie den eigenen Wünschen anzupassen. Eine Open-Source-Lizenzierung wäre wünschenswert.

·        Wünschenswert wäre die Zusammenarbeit mit einem Distributor, der eine entsprechende Konfiguration in seiner Distribution vorsieht.

Anlage 1

Benutzerverwaltung

Ein zentrale Erweiterung ist die Verwaltung der Benutzer über eine SQL-Datenbank. Aufgrund des möglichen Missbrauchs des Internets sollte jeder Schüler für die Aktivitäten, die er im Internet entfaltet hat, auch selbst verantwortlich sein. Dazu ist es notwendig, dass sich der Schüler mit seinem persönlichen Namen beim System anmeldet, so dass gegebenenfalls durch Auswertung entsprechender Log-Files nachvollzogen werden kann, wer einen entsprechenden Missbrauch betrieben hat. Jeder Benutzer sollte für seine Aktivitäten im Internet selbst verantwortlich sein.

Die Benutzerdaten[1] werden in einer Benutzertabelle verwaltet, die folgende Einträge erhält:

  •  Name

  • Vorname

  • Gruppe/Klasse[2]

  • Benutzername

  • Kennwort

  • E-Mail-Adresse[3]

  • Rechte

Die Daten kann der Benutzer selber eingeben, indem er sich als Gast im System anmeldet und mit einem entsprechenden Webinterface die Daten in ein Formular einträgt. Benutzername[4] und Kennwort[5] sind dabei frei wählbar.

Die Rechte werden später vom Moderator oder Administrator gesetzt. Es werden folgende Rechte unterschieden:

0.      Ein Benutzer hat keine Rechte. Ein solcher Benutzer ist von der Benutzung des Internet völlig ausgeschlossen, auch wenn es von einem Lehrer freigeschaltet wurde.  Freischalten bezieht sich auf das Freischalten der Telefonleitung zum Povider. Keine Rechte werden an den Gast-Account vergeben. Es ist aber auch denkbar, dass für Klassen oder Kurse solche Accounts eingerichtet werden, die dann keinen Zugang zum Internet bieten, aber für Gruppenarbeiten verwendet werden können.

1.      Ein Benutzer darf das Internet benutzen, wenn es freigeschaltet wurde. Dies sollte der Normalfall für einen persönlichen Account sein, über den ein Schüler verfügt.

2.      Ein Benutzer (Lehrer oder Schüler) darf das Internet für eine frei wählbare Zeit freischalten. D.h. er hat die Möglichkeit, die Telefonverbindung zum Provider herzustellen. Der Vorgang des Freischaltens sollte vom System protokolliert werden und unter Umständen sollte aus diesen Daten eine Kostenrechnung erstellt werden können.

3.      Ein Benutzer (Moderator, Klassenlehrer, Fachlehrer) darf einen Account freischalten. Hierdurch wird ein Benutzer im System angemeldet. Diesem Benutzer steht anschließend ein Account mit Home-Verzeichnis und einer E-Mail-Adresse zu Verfügung. Außerdem kann dieser Benutzer einen Account sperren.

4.      Eine Benutzer (Systemadministrator) darf Accounts löschen. Damit werden alle zu diesem Account gehörenden Daten von der Festplatte entfernt. Außerdem sollte diese Benutzer neue Gruppern / Klassen einrichten und leere Gruppen wieder entfernen können.

Benutzer

Gast/Gruppen

Schüler

Lehrer

Moderator

Administrator

Internet benuzten

 

Å

Å

Å

Å

Internet freischalten

 

 

Å

Å

Å

Account freischalten und sperren

 

 

 

Å

Å

Accounts löschen

 

 

 

 

Å

Tabelle 1.: Übersicht über die Rechte

Formulare

Über den Gast- oder Sammelaccount ist eine Formular zur Anmeldung erreichbar. Dies erfragt vom Benutzer die folgenden Daten: Name, Vorname, Gruppe (aus eine Liste auswählbar), Benutzername (falls nicht automatisch generiert), Kennwort, E-Mail-adresse (falls Weiterleitung gewünscht wird).

Für Benutzer ist ein Formular zum Ändern des Kennwort erreichbar. Die übrigen Daten (Name, Vorname) können nur vom Moderator geändert werden 

Anlage 2

Serverkonfiguration

Es wird davon ausgegangen, das der Administrator des System über rudimentäre Unix/Linux-Kenntnisse verfügt und in der Lage ist, mit Hilfe einer normalen SuSE-Distribution einen Rechner zu installieren. Hierzu gehört auch die Einrichtung mindestens einer Netzwerkkarte und einer ISDN-Karte.

Um den Kommunikationsserver installieren zu können, müssen folgende Pakete der Distribution installiert sein:

Apache

Webserver

PHP

Skriptsprache für die Bearbeitung der Formulare

MySQL

SQL-Datenbank

Samba

Files- und Printserver für Windows-Netze

UUCP

Abwicklung von E-Mail

Squid

Http-Proxy

DHCP

DHCP-Server, erlaubt die automatische Vergabe von IP-Nummer an die Clients.

Das alle Programme über entsprechende Konfigurationsdateien konfiguriert werden, ist zu überlegen, inwieweit entsprechende vorgefertigte Konfigurationsdateien zur Verfügung gestellt werden können, die damit dem Administrator die eigenständig Anpassung abnehmen.

Falls dies nicht möglich sein sollte, müssen in einem Handbuch die notwendigen Schritte beschrieben werden.

Dabei ist davon auszugehen, das ein Intranet aufgebaut wird, das in einem freien IP-Bereich läuft (Z.B. 192.168.0.x oder 172.16.200.x). Mit diesem Netz könnte der DHCP-Server vorkonfiguriert werden.

Anlage 3

Einrichtung der Clients

Als Client-Systeme sind Windows 95, Windows 98 und Windows NT 4.0 Workstation vorgesehen. Andere Betriebssysteme werden in der geplanten Version nicht unterstützt.

Für die Clients sind Startskripte zu entwicklen, die eine automatische Konfiguration von Netscape Navigator und Netscape Messenger erlauben. Outlook Express soll nicht unterstützt werden. 

 

[1] Aus Gründen des Datenschutzes wird auf die Erhebung weiter Daten wie Adresse, Telefonnummer etc. verzichtet.

[2] Jeder Benutzer kann nur einer Gruppe angehören. Für diese Gruppe hat er automatisch Lese- und Schreibrechte im Gruppenverzeichnis. Da es durchaus möglich ist, dass ein Schüler tatsächlich mehreren Gruppen angehört (z.B. verschiedene Kurse in der Oberstufe), sollte für Kurse eine Sammelaccount eingerichtet werden, der aber keinen Zugriff auf das Internet gestattet.

[3] Es sollte die Möglichkeit bestehen, auf die Einrichtung eines E-Mail-Account zu verzichten und statt dessen eine Weiterleitung von Mails zu ermöglichen. Dies ist z.B. sinnvoll bei Sammelaccounts für Gruppen.

[4] Es muss in Erwägung gezogen werden, ob der Benutzername automatisch generiert wird. Dies hätte den Vorteil, dass keine anstößigen Benutzernamen eingefügt werden können. Eine Möglichkeit für eine automatische Generierung besteht in der Möglichkeit, den Benutzernamen aus dem Vornamen und dem ersten Buchstaben des Nachnamens zusammenzusetzen.

[5] Das Kennwort sollte eine Mindestzahl von Buchstaben enthalten.