Open School Server 3 Handbuch

Die Arbeit mit dem
Open School Server 3
als Systemadministrator
© 2009-2013 EXTIS GmbH
Inhaltsverzeichnis
1 Überblick........................................................................................................................................................ 5
Die Netzwerkstruktur des Open School Servers............................................................................................... 6
Konkreter Aufbau in Ihrer Schule...................................................................................................................... 7
2 Installation...................................................................................................................................................... 9
Partitionieren..................................................................................................................................................... 9
Netzwerkadressen.......................................................................................................................................... 11
Die Startseite im Browser............................................................................................................................... 13
3 Backup und Restore.................................................................................................................................... 15
Automatische Installation eines Backup-Servers............................................................................................ 16
Backup auf eine externe USB-Festplatte........................................................................................................ 16
Festplatte Formatieren und Partitionieren....................................................................................................... 17
Restore........................................................................................................................................................... 18
Vollständiges Zurückspielen des Backups...................................................................................................... 18
Partielles Zurückspielen des Backups............................................................................................................ 18
4 Administration Räume und Rechner............................................................................................................ 19
Räume/Rechner.............................................................................................................................................. 19
Anbindung von Windows-Clients.................................................................................................................... 20
5 Benutzer...................................................................................................................................................... 22
Neu – Anlegen einzelner Benutzer................................................................................................................. 22
Benutzer importieren – Einlesen von Benutzerlisten...................................................................................... 24
Format der Import CSV-Datei......................................................................................................................... 24
Testen und Kontrollieren des Imports............................................................................................................. 26
Bearbeiten – Verändern der Benutzerdaten.................................................................................................... 27
Gruppen bearbeiten........................................................................................................................................ 29
Anlegen einer Gruppe..................................................................................................................................... 29
6 Drucker........................................................................................................................................................ 30
Neuen Drucker anlegen.................................................................................................................................. 30
Übersicht der Drucker..................................................................................................................................... 31
Drucker auf UNIX/Linux Clients einrichten...................................................................................................... 31
7 Zugangskontrolle......................................................................................................................................... 32
Proxy............................................................................................................................................................... 32
Raumkontrolle................................................................................................................................................. 32
Zugangszeitplan............................................................................................................................................. 33
Firewall........................................................................................................................................................... 33
Eingehende Verbindungen.............................................................................................................................. 33
Ausgehende Verbindungen............................................................................................................................. 34
Fernwartungszugänge.................................................................................................................................... 35
8 Profile verwenden........................................................................................................................................ 36
Profile am OSS............................................................................................................................................... 36
Erstellung und Behandlung von Profilen am OSS.......................................................................................... 37
Verteilbares Windows 7/8 Profil erstellen........................................................................................................ 37
1.Windows vorbereiten................................................................................................................................... 37
2. Profil erstellen............................................................................................................................................. 41
3. Client wiederherstellen und Profil kopieren................................................................................................. 42
Profile verteilen............................................................................................................................................... 45
9 Mobile Clients.............................................................................................................................................. 47
WebDAV-Zugriff.............................................................................................................................................. 47
WebDAV-Zugriff für einzelne Benutzer........................................................................................................... 47
WebDAV-Zugriff für Gruppen.......................................................................................................................... 47
10 Systemüberwachung................................................................................................................................. 49
Prozessüberwachung..................................................................................................................................... 49
Supportanfrage............................................................................................................................................... 49
11 Windows mit dem OSS klonen................................................................................................................... 51
Systemvoraussetzungen................................................................................................................................. 51
Master vorbereiten.......................................................................................................................................... 51
Klonen............................................................................................................................................................. 51
Verwenden von SYSPREP............................................................................................................................. 51
Ohne SYSPREP............................................................................................................................................. 51
Wichtige Hinweise.......................................................................................................................................... 51
12 Softwareverteilung..................................................................................................................................... 53
Pakete herunterladen..................................................................................................................................... 53
Zur Installation/Zur Deinstallation................................................................................................................... 55
Installationen suchen...................................................................................................................................... 56
Pakete bearbeiten........................................................................................................................................... 58
MSI/WPKG Paket hinzufügen......................................................................................................................... 59
Lizenzschlüssel............................................................................................................................................... 61
Software einem Image zuweisen.................................................................................................................... 62
13 OSS Radius-Server................................................................................................................................... 63
Überblick......................................................................................................................................................... 63
Systemvoraussetzungen................................................................................................................................. 63
Installation....................................................................................................................................................... 63
Passwort festlegen......................................................................................................................................... 63
Prozessüberwachung..................................................................................................................................... 64
Konfiguration des Access-Points.................................................................................................................... 64
Aufnahme der WLAN-Clients in den OSS....................................................................................................... 64
Konfiguration der WLAN-Clients..................................................................................................................... 65
Windows Clients............................................................................................................................................. 66
Verhalten bei Missbrauch................................................................................................................................ 66
14 Klassenzimmerüberwachung..................................................................................................................... 67
Raum anordnen.............................................................................................................................................. 67
PCs überwachen............................................................................................................................................ 68
1
Überblick
Der Open School Server (OSS) beruht auf dem Suse Linux Enterprise Server 11 und bietet den Lehrern und
Schülern folgende Dienste an:
•
Dateiserver: stellt die privaten Verzeichnisse der Schüler und Lehrer sowie zahlreiche gemeinsame
Verzeichnisse zentral bereit
•
Druckserver: stellt alle Drucker im Netz bereit und steuert den Zugriff darauf
•
Internetzugang: die Internetverbindung wird zentral über den OSS hergestellt, welcher den Zugang
gegen unbefugte Zugriffe von außen sichert und die Schüler vor kritischen Seiten des Internets schützt
•
Anmeldeserver: für Windows-, Mac-, und Linux-Clients verwaltet der OSS die Benutzer-IDs, Passwörter und Gruppenzugehörigkeit der Lehrer und Schüler
•
Mailserver: regelt das Empfangen und Senden von E-Mails, innerhalb der Schule und nach außen
•
Serverbasierte Anwendungen: weitere zentrale Anwendungen wie Groupware (Termine, Kalender,
Dokumentenverwaltung) oder Moodle (E-Learning) werden auf dem OSS betrieben
•
WEB-Server: Schüler, Lehrer und Arbeitsgruppen können eigene Webseiten innerhalb der Schule veröffentlichen. Über Joomla (Content-Management System) können zudem schulische Inhalte ohne
HTML Kenntnisse im Internet/Intranet bereitgestellt werden
•
PXE-Bootumgebung: für verschiedene Szenarien zum Booten über Netzwerk ist der OSS vorbereitet,
z. B. Netwerkboot, Terminal-Lösungen oder Autoinstallation
•
Klonen und Backup von PCs: über einen einfachen Klone-Mechanismus können konfigurierte Systeme geklont bzw. gesichert werden
•
Softwareverteiliung und Aktualisierungsserver: Für Windows-Clients bietet der Open School Server
einen Softwareinstallationsserver inkl. Versions- und Abhängigkeitsverteilung sowie einen Updateserver
•
Autoinstallationsumgebung: Open School Server bietet eine Autoinstallationsumgebung für die Installation und Verwaltung von openSUSE-Clients an
•
Administrationsanwendung: per Browser können die wichtigsten Funktionen des OSS administriert
werden
5
Einige Funktionen wie E-Mail, Internetzugang oder Drucken stehen den Client-Rechnern sofort zur Verfügung. Um allerdings den vollen Funktionsumfang des Open School Servers nutzen zu können
•
müssen sich die Benutzer an den Client-Rechnern anmelden und
•
muss der Client-Rechner beim OSS registriert sein.
Erst nach dem Anmelden bekommen die Benutzer Zugang zu ihrem privaten Ordner (Home-Verzeichnis)
und zu den gemeinsamen Verzeichnissen.
Die Netzwerkstruktur des Open School Servers
Der Open School Server unterteilt das Netzwerk in logische Segmente. Die einzelnen Segmente entsprechen dabei den realen räumlichen Gegebenheiten der betreffenden Schule. Dadurch können die Arbeitsplatzrechner gezielt von den Lehrern kontrolliert werden.
Aber nicht nur stationäre Rechner sondern auch mobile Geräte, externe Laptops und unbekannte Rechner
können problemlos im Netzwerk betrieben werden – erhalten aber ohne „Erlaubnis“ des Administrators nur
eingeschränkten Zugriff auf die vorhandenen Ressourcen.
Sie sehen hier den grundlegenden Netzwerkaufbau. Das Schulnetz wird in mehrere logische Teilnetze unterteilt.
Im ersten Teilnetz („Servernetz“) befinden sich die Server der Schule. Hier können Sie z. B. die Netzwerkdrucker registrieren. Im Servernetz würden Sie auch die Geräte Ihrer IP-Infrastruktur platzieren, z. B. Switche
mit eigenen IP-Adressen. Für dieses Netzwerksegment können Sie besondere Zugriffsrechte auf das Internet definieren, damit Virenscannerserver zu jeder Zeit ungestört die Virensignaturen holen können, oder die
Drucker ihren Verbrauchsmaterialstand Ihren Lieferanten melden können usw.
Das zweite Teilnetz (ANON_DHCP-Bereich) wird für neue bzw. provisorische Arbeitsplätze reserviert. Aus
diesem Bereich ist nur ein beschränkter Zugang möglich. (Eine Ausnahme bildet hier die Installation vom
Open School Server als Grundschulserver.)
In den weiteren Teilnetzen werden die Arbeitsplätze, Tablets, iPads und sonstige Geräte der Schule geordnet
untergebracht. Dazu wird jedem Schulraum ein eigener IP-Adressenbereich zugeordnet. Es ist sinnvoll nicht
stationäre Rechner auch einem oder mehreren virtuellen Schulräumen zuzuordnen.
Diese Aufteilung des Netzwerkes ermöglicht einerseits die bequeme und effektive raumweise Sperrung der
Dienste des Open School Servers und bietet andererseits die Möglichkeit bei Störungen im Netz schnell einzugreifen.
6
Konkreter Aufbau in Ihrer Schule
•
Transportnetzwerk-Adresse des OSS:
•
Internet-Verbindung über:
•
IP-Adressen des OSS:
admin, ldap, pdc-server, nameserver,
timeserver, samba:
mailserver, schoolserver:
printserver:
proxy:
backup:
•
Anonymer Bereich:
•
Domainname:
•
Windows-Domäne:
•
Windowsname des Schulservers:
7
8
2
Installation
Sie werden automatisch durch den Installationsprozess geführt und müssen im Normalfall nur die Daten zu
Ihrer Schule und Ihrem Netzwerk eingeben.
Bei Bedarf können Sie aber auch spezielle Einstellungen vornehmen.
Partitionieren
Der OSS teilt die Festplatte i. d. R. selbst korrekt auf. Sollten Sie Veränderungen/Anpassungen vornehmen
wollen, beachten Sie bitte Folgendes:
Wenn Sie den unten stehenden Partitionierungsvorschlag befolgen, müssen Sie 5 Partitionen erstellen. Auf
Legacy-Bios-Systemen müssen Sie „ / “ auf jeden Fall als primäre Partition anlegen, um Bootprobleme zu
vermeiden. Die restlichen Partitionen können in einer erweiterten Partition angelegt werden.
Als Format empfehlen wir das Filesystem Ext3. Sie müssen nun folgende Partitionen mit den hier erläuterten
Parametern anlegen und konfigurieren. Da der Platzbedarf für /home und /srv nur sehr schwer einzuschätzen ist, empfehlen wir die Anwendung von LVM.
Partition
Beschreibung
swap
Diese Partition dient dem zeitweisen Auslagern von RAM-Speicherinhalten. Wählen Sie diesen
Bereich entsprechend der Speichergröße Ihres Rechners aus.
/
Das Wurzelverzeichnis des Systems. Als Größe sollten im Normalfall 10 GB reichen.
/var
In diesem Verzeichnis befinden sich vor allem die Spool-Verzeichnisse des Drucksystems, die
Emails der Benutzer und die Benutzerdatenbank. Deshalb ist es sinnvoll, dieses Verzeichnis auf
eine separate Partition zu legen.
Die Größe dieser Partition wird in erster Linie durch die Anzahl und Größe der Mailboxen bestimmt. Sind in Ihrer Schule z. B. 800 Schüler und 80 Lehrer, werden die Mailboxen der Lehrer
auf 25 MB und die der Schüler auf 5 MB begrenzt. So sind Sie in unserem Beispiel mit einer
Partitionsgröße von
(800 * 5 MB) + (80 * 25 MB) + 20GB = 26 GB
auf der sicheren Seite.
/home
Hier werden die Dateien der Benutzer gespeichert. Die Praxis zeigt, dass diese Partition nie
groß genug sein kann. Am besten verwendet man dafür aus Performancegründen eine eigene
Festplatte.
/srv
Hier werden die Daten verschiedener Serverdienste, die Images des cloneTools, die Pakete der
Softwareverteilung und die Windows Updatepakete gespeichert.
Weiterhin müssen ggf. die Inhalte der Installations-DVD vom OSS für die Einrichtung eines
Backupservers nach (/srv/ftp/akt/CD1) kopiert werden. Hierfür benötigen Sie ca. 4GB.
Um SUSE LINUX Clients automatisch zu installieren, muss eine Autoinstallationsumgebung eingerichtet werden. Dafür benötigen Sie mindestens 40GB.
Hinweis
Für die / und /var und /home-Partitionen müssen die Fstab Optionen
Listen für Zugriffskontrolle (ACL) bzw. Erweiterte Benutzerattribute
aktiviert sein. Weiterhin ist es empfehlenswert als Label des Volumes root, var bzw. home zu
setzen. Für die /home-Partition muss im Feld Beliebiger Optionswert folgender Wert eingetragen werden: usrquota.
9
10
Netzwerkadressen
Für das Schulnetz wurden drei Netzwerkmodelle bereits bis ins Detail vorkonfiguriert:
•
10.0.0.0/8
•
172.16.0.0/16
•
192.168.0.0/16
Andere Netzwerkbereiche kann man gleichfalls wählen, diese müssen jedoch manuell eingetragen werden.
Akzeptiert man die Standardeinstellungen, muss in diesem Menü lediglich der Domainname der Schule eingetragen werden.
Beachten Sie bitte, dass es sich bei der Vorauswahl um IP-Nummern für lokale Netze handelt: Diese IPAdressen werden nicht im Internet verwendet und auch nicht weitergeleitet. Damit ist sichergestellt, dass es
zu keinerlei Adresskonflikten mit „richtigen“ IP-Internet-Adressen kommt.
Wenn Sie z. B. die Konfiguration für das 172er Netzwerk übernehmen, wird der Open School Server folgendermaßen konfiguriert:
•
IP-Adresse z. B. 172.16.0.2;
DNS-Namen: admin, dns, nfs, ldap, samba, PDC-SERVER, gateway, timeserver
•
Subnetzmaske z. B. 255.255.0.0;
Eine engere Netzwerkmaske als 255.255.240.0 wird von dem Open School Server nicht akzeptiert, da
sonst keine IP-Adressen für die Schulräume zur Verfügung stehen.
•
IP-Adresse des Mailservers z. B. 172.16.0.3;
DNS-Namen: schulserver, mailserver, schoolserver
•
IP-Adresse des Druckservers z. B. 172.16.0.4;
DNS-Namen: printserver, install
11
•
IP-Adresse des Proxy-Servers z. B. 172.16.0.5;
DNS-Name: proxy
•
IP-Adresse des Backup-Servers z. B. 172.16.0.6
•
Anonymer DHCP-Bereich: Aus diesem IP-Adressenbereich bekommen neue bzw. nicht registrierte
Rechner ihre IP-Adressen.
Der Standardbereich ist z. B. 172.16.1.1 bis 172.16.1.25
Alle Rechner des IP-Adressenbereiches für nicht registrierte Rechner werden in den Nameserver mit
folgendem Namen eingetragen: dhpc1 - dhcp254.<domainname.der.schule>.
•
Erstes Klassenzimmer: Aus diesem IP-Adressenbereich bekommen registrierte Rechner des ersten
Klassenraumes ihre IP-Adressen (z. B. 172.16.2.1 bis 172.16.2.64). Weitere Klassenräume werden entsprechend angelegt.
•
(Ungefähre) Anzahl der Schulräume: Für jeden Schulraum wird eine sog. DHCP-Gruppe und ein IPAdressenbereich von 62 IP-Adressen reserviert. Hier geben Sie bitte die ungefähre Anzahl der Schulräume, in denen sich Computer befinden, an. Auch später ist es möglich weitere DHCP-Gruppen bzw.
IP- Adressenbereiche über die DHCP-Konfigurationsoberfläche zu reservieren, was jedoch tiefergehende Kenntnisse erfordert, weswegen Sie hier lieber großzügiger sein sollten.
Achtung
Wir empfehlen den Schulserver immer mit 2 Netzwerkkarten auszustatten und den Internetzugang über die zweite Netzwerkkarte und einen Router zu konfigurieren (Transportnetz).
In diesem Fall müssen Sie auf jeden Fall für das Schulnetz und für das Transportnetz unterschiedliche
Netzwerkbereiche auswählen. Wenn Ihr Transportnetz bzw. Ihr Internetrouter z. B. ein 192er Netzwerk verwendet, sollten Sie für das Schulnetz ein 10er oder 172er Netzwerk auswählen.
12
Die Startseite im Browser
Nach der erfolgreichen Installation steht Ihnen nun der Open School Server mit seinen Funktionen zur Verfügung. Öffnen Sie dazu einen Browser auf einem Ihrer Clientrechner und geben Sie die URL https://admin/
ein. Sie sollten dann folgende Startseite erhalten.
Achtung
Da das Zertifikat des Open School Servers erst bei der Installation speziell für Ihre Schule
ausgestellt wird, kennt der Browser dieses Zertifikat nicht und gibt eine entsprechende Warnung aus. Je nach Webbrowser müssen Sie dieses Zertifikat auf unterschiedliche Weise dauerhaft akzeptieren bzw. in das Zertifikat-Management aufnehmen.
Sollten Sie bei der dauerhaften Annahme Probleme haben: In den Schulungsunterlagen für
Lehrer finden Sie eine entsprechende Anleitung für die gängigsten Browser.
Je nach Rolle des angemeldeten Benutzers werden verschiedene Administrationsmöglichkeiten angeboten.
Rolle / Benutzer
Tätigkeit
Root
Dieser Benutzer kann sich nicht an der Adminoberfläche anmelden. Er
wird genutzt, um das System mit Linux-Mitteln zu administrieren. Der
Windows Domänenadministrator wird auf Linux-Seite als „root“
gemappt. D. h.: Meldet man sich als „Administrator“ an einem WindowsClient bei der Domäne an, hat dieser Benutzer vollen Zugriff auf alle
Benutzerdateien über die Freigabe „users“.
admin
Dieser Benutzer ist Systemadministrator und hat alle Rechte in der
Administrationsoberfläche - nicht jedoch auf das Filesystem, weshalb es
ihm nicht möglich ist, alle Benutzerdateien einzusehen bzw. zu löschen.
Da er Mitglied der Gruppe „Domain Administrator“ ist, hat er auf jedem
Rechner, der der Schuldomäne beigetreten ist, lokale
Administrationsrechte.
Lehrer mit Administrationsrechten Diese Lehrkräfte sind ebenfalls Systemadministratoren und haben
weitreichende Rechte in der Adminoberfläche. Außerdem haben Sie auf
den Windows-Clients „Domain Administrator-Rechte“. Also auch sie
können Software bzw. Drucker an den Clients installieren.
LehrerInnen
Diese Personen können ihre Klassen und das Klassenzimmer, aus dem
sie sich gerade an der Adminoberfläche angemeldet haben, verwalten.
Schüler
Können lediglich ihr Passwort in dieser Oberfläche ändern und auf Ihre
eigenen Daten zugreifen.
13
14
3
Backup und Restore
Die Konfiguration des automatischen Backups erfolgt über die Administrationsoberfläche unter System ->
Globale Konfiguration -> Backup. Zunächst legen Sie mit vier Variablen den Speicherplatz und den Ablauf für
das Backup fest:
Variable
Bedeutung
BACKUP
Mögliche Werte: yes oder no.
Soll überhaupt ein Backup durchgeführt werden?
BACKUP_CAN_NOT_SAVE_ACL Wenn Ihr Backup-Medium ACLs nicht speichern kann, setzen Sie diese
Variable auf yes. In diesem Fall werden die ACLs in einer separaten
Datei gespeichert.
BACKUP_CHECK_MOUNT
Diese Variable sollten Sie bei der Verwendung von externen Medien immer auf yes setzen. Dann prüft der Open School Server vor dem
Backup, ob das Verzeichnis gemountet ist und führt bei einem negativen Ergebnis kein Backup durch. Sollten Sie also einmal vergessen
eine Platte anzuschließen oder ist der Backup-Server bzw. NAS nicht
erreichbar, wird auch kein Backup durchgeführt. Das erspart Ihnen im
Fall der Fälle zwar keinen Datenverlust aber viele Warn-E-Mails und
eine vollgelaufene /-Partition.
BACKUP_FULL_DIR
Geben Sie hier den Pfad zum Verzeichnis für das vollständige Backup
an.
BACKUP_INC_DIR
Unterhalb dieses Verzeichnisses werden die inkrementellen Backups
abgelegt. Dabei wird jeden Tag ein neues Unterverzeichnis mit dem aktuellen Datum erzeugt. Für das vollständige und das inkrementelle
Backup können Sie auch dieselben Verzeichnisse angeben. Der Open
School Server legt für jedes inkrementelle Backup ein neues Unterverzeichnis mit der genauen Zeit als Namen an. Deshalb können beide
Verzeichnisse (BACKUP_FULL_DIR und BACKUP_INC_DIR) identisch
sein.
BACKUP_START_CMD
Dieser Befehl wird ausgeführt bevor das Backup gestartet wird. Hier
können Sie Befehle festlegen, um das Backup-Medium zu mounten.
Die Standardwerte sind für die automatisch installierten Backup-Server
geeignet. Wenn Sie mehrere Befehle angeben, müssen diese durch „;“
getrennt werden.
BACKUP_STOP_CMD
Dieser Befehl wird nach dem Abschluss aller Backup-Prozesse ausgeführt. Hier können Sie Befehle festlegen, um das Backup-Medium auszuhängen (umount). Die Standardwerte sind für die automatisch installierten Backup-Server geeignet. Wenn Sie mehrere Befehle angeben,
müssen diese durch „;“ getrennt werden.
15
Mit Hilfe weiterer Variablen bestimmen Sie dann den Umfang des Backups:
Variable
Bedeutung
BACKUP_CTOOL
Die mit dem cloneTool erstellten Images und Konfigurationen werden
bei „yes“ auch gespeichert.
BACKUP_CUSTOM_SCRIPTS
Hier können Sie Befehle festlegen, die zusätzlich zu den Backup-Skripten des Open School Servers ausgeführt werden. Dadurch können Sie
z. B. von zusätzlich installierten Datenbanken oder Webseiten Backups
erstellen. Das Backup-Skript erwartet hier den vollen Pfad zu dem auszuführenden Skript, z. B. /usr/sbin/save-my-database. Wenn Sie mehrere Skripte verwenden, müssen diese durch Leerzeichen getrennt werden. Diese Skripte werden mit folgenden Parametern aufgerufen:
1. Parameter: Pfad zum aktuellen BACKUP_INC_DIR Verzeichnis
2. Parameter: Pfad zum BACKUP_FULL_DIR Verzeichnis
Hier dürfen keine Shell-Befehle direkt angegeben werden!
BACKUP_DB
Mit diesem Eintrag können Sie entscheiden, ob die Datenbank der jeweiligen Groupware gesichert werden soll. Hier werden je nach verwendeter Groupware u. a. die Termine, persönlichen Adressbücher und
Forum-Nachrichten gespeichert.
BACKUP_HOME
Mit yes aktivieren Sie das Backup für das /home-Verzeichnis.
BACKUP_JOOMLA
Definiert, ob Joomla mit gesichert werden soll.
BACKUP_LDAP
Da sämtliche Benutzerdaten des Open School Servers in der LDAPDatenbank gespeichert werden, sollten Sie hier generell yes eintragen.
BACKUP_MAIL
Mit yes werden sämtliche E-Mails gesichert.
BACKUP_MOODLE
Definiert, ob Moodle mit gesichert werden soll.
Automatische Installation eines Backup-Servers
Der Open School Server bietet eine automatische Installationsmöglichkeit für einen Backup-Server. Wenn
Sie mit dieser Methode einen Rechner installieren, ist dieser vollständig für das Backup vorbereitet und in
das Netzwerk des Open School Servers integriert. Dieser Server ist so konfiguriert, dass
•
er den DNS-Namen backup.<Ihr DNS-Domainame> und die damit verbundene IP-Adresse erhält
•
er eine große Partition für das Backup mit den erforderlichen Mount-Optionen anlegt
•
diese Partition für den Open School Server per NFS Zugriff gewährt.
Um den Backup-Server installieren zu können, müssen Sie den Inhalt der aktuellen openSUSE Distribution
auf den Open School Server unter /srv/ftp/akt/CD1 kopieren. Wechseln Sie anschließend ins Verzeichnis
/srv/ftp/ und führen Sie als root folgenden Befehl aus:
cp * /srv/tftp
Ob Sie die 32 oder 64 Bit Version von openSUSE verwenden, hängt von der Hardware des zu installierenden Rechners ab.
Zum Installieren booten Sie nun den Backup-Server über PXE und wählen Sie dort SUSE Linux Autoinstallation bzw. SUSE Linux Autoinstallation 64Bit -> Backup Server installieren aus. Sollten diese Menüpunkte bei Ihnen nicht erscheinen, können Sie diese über die Datei /srv/tftp/pxelinux.cfg/default aktivieren.
Nach erfolgreicher Installation müssen Sie lediglich die Variable BACKUP über die Administrationsoberfläche
unter System -> Globale Konfiguration -> Backup auf yes setzen.
Backup auf eine externe USB-Festplatte
Melden Sie sich zunächst als root am Open School Server an. Schließen Sie nun eine handelsübliche, externe USB-Festplatte (empfohlen: USB 2.0 oder höher) an einen USB-Port Ihres Rechners an. Der SUSE Plugger sollte die Festplatte nun erkennen und Ihnen anbieten, diese unter einem bestimmten Mountpoint in das
Dateisystem einzuhängen. Kontrollieren Sie den Inhalt der Festplatte.
16
Festplatte Formatieren und Partitionieren
Die meisten heute erhältlichen Festplatten sind mit dem FAT32- oder NTFS-Dateisystem formatiert und bestehen aus einer einzigen, großen Partition. Auf diesen Dateisystemen können nicht alle Linux-Rechte übernommen werden, so dass eine solchermaßen vorbereitete Festplatte erst mit einem anderen Dateisystem
formatiert werden muss, bevor sie für ein Backup des Open School Server genutzt werden kann.
Achtung
Durch das Formatieren der USB-Festplatte werden sämtliche Daten auf der entsprechenden
Partition gelöscht!
Starten Sie nun YaST2 über die grafische Oberfläche. Wählen Sie System -> Partitionieren. Eine Warnmeldung weist nochmals auf die Gefahren des Partitionierungs-Tools hin. Bestätigen Sie mit Ja, dass Sie sich
der Gefahr eines möglichen Datenverlusts bewusst sind.
Den nächsten Dialog kennen Sie schon, wenn Sie während der Installation des Open School Servers eine
manuelle Partitionierung vorgenommen haben, entsprechend gelten die im Kapitel Installation gemachten
Anmerkungen auch hier. Im Expertenmodus werden Ihnen nun sämtliche Festplatten mitsamt ihren Partitionen angezeigt.
Achtung
Bearbeiten Sie niemals ohne Grund die Partitionen für /, swap, /var, /srv und /home! Auf diesen Partitionen sind sämtliche Daten des Open School Servers gespeichert.
Sie können die USB-Festplatte u. a. daran erkennen, dass
•
Ihr als Mountpoint noch ein Verzeichnis unterhalb von /media zugewiesen wird.
•
Die USB-Festplatte meist diejenige ist, welche als letzte Platte aufgelistet wird.
•
Enthält die Festplatte noch keine Partitionen, legen Sie eine an.
•
Markieren Sie nun die Partition der USB-Festplatte, die Sie zukünftig für Backups nutzen wollen, und
öffnen Sie diese durch einen Doppelklick.
•
Notieren Sie den Einhängepunkt (Mount Point), und setzen Sie diesen in der Administrationsoberfläche
unter System -> Globale Konfiguration -> Backup sowohl für BACKUP_FULL_DIR als auch für
BACKUP_INC_DIR ein.
•
Klicken Sie auf Bearbeiten und setzen Sie folgende Einstellungen:
•
•
Formatierungsoptionen:
•
Partition formatieren
•
Dateisystem: Ext3
Einhängeoptionen:
•
Partition nicht einhängen
•
Verlassen Sie diesen Dialog mit Beenden.
•
Wieder zurück in der Übersicht des Expertenmodus kontrollieren Sie bitte nochmals, ob Sie die richtige
Festplatte und Partition gewählt haben.
•
Wenn Sie anschließend auf Weiter klicken, wird Ihnen eine Übersicht der auszuführenden Operationen
angezeigt. Durch einen Klick auf Beenden wird das Formatieren der Partition gestartet.
17
Restore
Für das Zurückspielen der Daten ist das Skript oss_recover.sh verantwortlich, welches die Backup-Daten auf
einem installierten Open School Server wiederherstellt. Das Skript wird – zusammen mit einer „README“ –
automatisch in das Verzeichnis kopiert, in welchem sich auch das Vollbackup befindet. Wenn Sie das Skript
mit der Option --help aufrufen, bekommen Sie eine kurze Hilfe angezeigt.
Vollständiges Zurückspielen des Backups
Wenn Sie das Skript ohne eine Option aufrufen, werden sämtliche auf dem System vorhandenen Verzeichnisse und Datenbanken automatisch wiederhergestellt.
Partielles Zurückspielen des Backups
Je nachdem welche Daten Sie gesichert haben (siehe Abschnitt „Konfiguration des Backups“), können Sie
diese partiell wieder herstellen, indem Sie das Skript oss_recover.sh mit der betreffenden Option aufrufen.
Option
Wirkung
--egroupware
Die Datenbank der eGroupware wird wieder hergestellt.
--home
Mit dieser Option werden die Daten im Homeverzeichnis mit denen aus dem
Vollbackup überschrieben. Alle bis dahin im /home-Verzeichnis vorhandenen Daten gehen dabei verloren!
--joomla
Die Joomla-Datenbank wird wiederhergestellt.
--ldap
Mit dieser Option wird die LDAP-Datenbank wiederhergestellt.
--mail
Mit dieser Option werden die E-Mails der Benutzer wiederhergestellt.
--moodle
Die Moodle-Datenbank und die Dateien für Moodle werden wiederhergestellt.
--proxy
Die Proxy-Konfiguration und die persönlichen Blacklists werden
wiederhergestellt.
--samba
Die Samba-Konfiguration und die Samba-Datenbanken werden wiederhergestellt.
--ssh
Die SSH-Keys werden wiederhergestellt.
--ssl
Die SSL-Zertifikate für den Webserver werden wiederhergestellt.
18
4
Administration Räume und Rechner
Räume/Rechner
Unabhängig von dem Betriebsystem des Clientrechners müssen Clients am Open School Server angemeldet werden, um die Workstations einem Schulraum zuzuordnen und in die DNS– und DHCP–Dienste einzutragen. Diese Anmeldung bzw. Verwaltung der Workstations kann man leicht mit dem Webbrowser erledigen.
Wenn Sie das Imagingsystem des Open School Servers nutzen möchten, sollten Sie als Erstes die vorhandenen Rechner in Rechnerkonfigurationen ordnen. Eine Rechnerkonfiguration beschreibt sowohl die Hardware als auch die installierte Software bzw. Betriebssysteme auf einem Rechnertyp. Den Rechnerkonfigurationen können später Räume bzw. Rechner zugewiesen werden. Anhand dieser Zuweisung können die
Images verteilt und die Rechner inventarisiert werden.
Unter dem Menüpunkt Netzwerk->Räume/Rechner wird Ihnen eine Liste der definierten Schulräume ausgegeben.
Direkt nach der Installation ist diese Liste noch leer. Um einen neuen Raum zu definieren, drücken Sie den
Button „Neuen Raum anlegen“.
Hinweis
Der Rechnername wird aus dem Schulraumnamen auf folgende Weise gebildet:
<Schulraum>-pc<NN> (also z. B. musik1-pc01). Aufgrund der DNS-Konventionen darf der
Name eines Schulraumes nur die Buchstaben des englischen Alphabets, Zahlen und das Zeichen ‘-’ enthalten. Da Windows-Betriebssysteme Rechnernamen nur bis zu einer Länge von
maximal 15 Zeichen unterstützen, dürfen Schulraumnamen nicht länger als 10 Zeichen sein.
Klicken Sie auf einen Raum, zeigt Ihnen der Open School Server eine Liste der in diesem Raum registrierten
Arbeitsplatzrechner an. Nun können Sie hier die Hardwareadresse der einzelnen Rechner ändern oder den
Rechner aus dem System entfernen.
Um einen oder mehrere Rechner in einen Raum aufzunehmen, wählen Sie neben dem entsprechenden Eintrag Einfügen.
Führen Sie die Aufnahme direkt vom Client aus durch, da der Open School Server so die Hardwareadresse
des zu registrierenden Rechners automatisch erkennt und diese in das Feld Hardwareadresse einfügt.Wenn
Sie die OSS-Radius Erweiterung erworben haben, können Sie hier den WLAN-Zugriff für den Rechner erlauben und im nächsten Schritt den Rechner einem Benutzer zuweisen.
Oben finden Sie die Liste der verfügbaren Rechnernamen des Raumes. Wählen Sie den gewünschten
Rechnernamen und Rechnerkonfiguration und klicken Sie auf PC hinzufügen.
19
Auf der nächsten Seite erscheint nun das Ergebnis der Registrierung. Der Browser zeigt Ihnen die IP-Adresse, den Hostnamen, die Hardwareadresse und den Netbiosname des Clients an.
Hinweis:
Möchten Sie mehrere Rechner auf einmal registrieren, müssen Sie ins Feld Hardwareadresse
die Hardware-Adressen sämtlicher Rechner eintragen. Anschließend wählen Sie aus der Liste
Rechner den ersten Rechnernamen aus und klicken auf den Button Eintragen.
Während der Registrierung wird weiterhin ein neuer Benutzer angelegt, dessen Name und Passwort dem
Hostnamen des registrierten Rechners entspricht.
Das sind die sogenannten „Workstationbenutzer“, die sich nur an den eigenen Rechner anmelden können.
Die Rechte dieser Benutzer sind weitestgehend eingeschränkt: Sie haben lediglich Zugriff auf ihr eigenes
Homeverzeichnis und besitzen keinen Email-Account.
Dadurch bietet der OSS Ihnen z. B. die Möglichkeit, Klassenarbeiten in einer geschützten Umgebung zu
schreiben. In diesem Fall müssen die Schüler sich nicht mit ihrem eigenen Login (UID) sondern mit dem des
jeweiligen Rechners an das System anmelden. So haben sie eine Standardumgebung und keinen Zugriff auf
ihre eigenen Dateien.
Anbindung von Windows-Clients
Um den vollen Funktionsumfang des Open School Servers nutzen zu können, müssen sich die Benutzer an
den in die Domäne eingebundenen Client-Rechnern anmelden. Nach der Anmeldung bekommen sie dann
Zugang zu ihrem privaten Home-Verzeichnis und zu den gemeinsamen Verzeichnissen (Freigaben).
Um die Anmeldung zu ermöglichen, müssen die Windows-Clients in die Windows-Domäne des Open School
Servers aufgenommen werden. Die Anbindung von Windows-Clients (ab Windows NT) erfolgt in folgenden
Schritten:
1 Stellen Sie sicher, dass eine Netzwerkverbindung zwischen dem Open School Server und dem WindowsClient besteht.
2 Melden Sie sich als lokaler Benutzer Administrator am Windows-Client an und stellen Sie sicher, dass der
Rechner nicht der Domäne des Schulservers angehört.
3 Öffnen Sie in einem Webbrowser die Webseite https://admin und registrieren Sie den Rechner wie im Kapitel
Administration für Räume und Rechner beschrieben.
20
4 Laden Sie sich die entsprechende Version vom OSSClientInstall von unserem Webserver herunter und entpacken Sie den Inhalt auf den Desktop des Masterclients:
https://repo.openschoolserver.net/tools/OSSClientInstall/
Die Zugangsdaten entsprechen den ersten vier Blöcken Ihres Regcodes - die ersten beiden bilden den Benutzernamen und die letzten zwei das Passwort.
5 Sobald der Kopiervorgang abgeschlossen ist, gehen Sie in den Ordner und navigieren
nach ...\windows\OSSClientInstall\OssClientSetup.exe. Starten Sie das Setup.
6 Am Anfang der Installation werden Sie gefragt, welche Programme installiert bzw. welche Einstellungen gesetzt werden sollen. Default sind alle Parameter so gesetzt, dass alles, was der Client für die Zusammenarbeit mit dem Open School Server braucht, installiert wird. Das Setup überprüft nun, ob der Client eine Verbindung zum Server hat, er in der Domäne ist sowie ob die RSAT-Pakete installiert sind (falls nicht, beginnt
deren Download mit anschließender Installation), und zeigt an, was installiert wird.
7 Wenn das Setup durchgelaufen ist, erhalten Sie die Meldung, dass der Rechner neustartet. Bei diesem Neustart wird der WCD gestartet (ein Daemon, der zur Kommunikation mit dem OSS benötigt wird). Anschließend startet der Rechner nochmals neu, um in die Domäne aufgenommen zu werden.
8 Nach dem zweiten Neustart sollten Sie sich als Domain-User anmelden können. Der Rechner ist nun fertig
konfiguriert und einsatzbereit für die Arbeit mit dem OSS.
21
5
Benutzer
Nachdem der Open School Server installiert wurde, sollten Sie Benutzer anlegen. Bereits vorhanden sind
der Benutzer admin (welcher den Open School Server konfiguriert und die E-Mails an den Administrator lesen kann), sowie der sog. „Templatebenutzer“ für die Schüler, Lehrer und das Verwaltungspersonal (tstudents, tteachers, tadministration).
Benutzer können Sie unter zwei Menüpunkten anlegen:
1 Neu
In diesem Fall wird ein einzelner Benutzer angelegt.
2 Importieren
Unter diesem Menüpunkt haben Sie die Möglichkeit, Benutzer aus einer Textdatei einzule
sen. Wie Sie dies machen, wird im Kapitel Benutzerimport erläutert.
Neu – Anlegen einzelner Benutzer
Wählen Sie im Hauptmenü Benutzer, dann im Untermenü Neu, um den ersten Benutzer anzulegen.
Folgende Felder müssen beim Anlegen eines neuen Benutzers unbedingt ausgefüllt bzw. gesetzt werden:
•
Nachname
•
Vorname
•
Geburtstag
•
Rolle: Wählen Sie eine primäre Gruppe, der der neue Benutzer angehören soll. Weitere Gruppen können Sie später über das Menü Gruppen/Ordner zuordnen. Sofern Sie noch keine Gruppen angelegt haben, können Sie hier nur die Gruppen Schüler, Lehrer, Verwaltung oder Template Benutzer wählen.
•
Klasse: Benutzer können zu einer beliebigen Anzahl von Klassen gehören. Ist der neu angelegte Benutzer ein Schüler, muss er jedoch mind. einer Klasse zugeordnet werden. Am Ende der Auswahl können
Sie auch all wählen, um einen Lehrer allen Klassen zuzuordnen.
22
Wurde kein Benutzerkürzel (UID: User-ID) angegeben, wird dieses aus dem Nach- und Vornamen ggf Geburtsjahr ermittelt. Dieser Vorgang wird durch die Systemvariable SCHOOL_LOGIN_SCHEME unter System->Globale Konfiguration gesteuert. Der Standardwert ist N4V4.
Achtung
Die Änderung dieses Wertes betrifft nur neu angelegte Benutzer.
Das bedeutet, dass der Login aus den ersten vier Buchstaben des Nachnamens plus der ersten vier Buchstaben des Vornamens gebildet wird. Existiert im System schon ein Benutzer mit derselben UID, wird eine
Zahl an die UID angehängt, damit diese eindeutig ist. Für Geburtsjahr verwenden Sie den Buchstaben „Y“
gefolgt von den Ziffern 2 oder 4. Andere Zahlen sind für das Geburtsjahr nicht erlaubt.
Sie können auch selbst eine UID für den neuen Benutzer angeben. Bitte beachten Sie dabei, dass die UID
aus Kleinbuchstaben bestehen muss, keine Sonderzeichen oder Leerstellen enthalten darf und auf dem
System eindeutig sein muss.
Hinweis
Für Templatebenutzer muss immer ein Benutzerkürzel angegeben werden. Außerdem sollte
bei Templatebenutzern das Feld Nachname eine ausführliche Beschreibung des anzulegenden Templates erhalten.
Für jeden neuen Benutzer wird ein eigenes Heimatverzeichnis angelegt. Die Lehrer bekommen ihre Verzeichnisse unterhalb des Verzeichnisses /home/teachers/ und die Schüler unterhalb des Verzeichnisses
/home/students. „Verwaltungsnutzer“ bekommen ihre Verzeichnisse unterhalb des Verzeichnisses /home/administration.
Folgende Verzeichnisse werden in jedem neu erzeugten Heimatverzeichnis angelegt:
Verzeichnisname
Inhalt
Export
Für Dateien, welche an andere Benutzer verteilt werden sollen. Hier legt z. B. ein Schüler von ihm bearbeitete Dateien ab, damit sie der Lehrer einsammeln
kann.
Import
Für Dateien, die von anderen Benutzern in dasHomeverzeichnis kopiert werden. Dies trifft z. B. bei
Lehrern zu, die Dateien von Schülern einsammeln.
public_html
Für die Veröffentlichung von Dateien im WWW. Anderen Benutzern ist dieses Verzeichnis über die in
einem Browser eingegebene URL: https:// schulserver/~<login> zugänglich.
Zusätzlich bekommt jeder Benutzer ein Verzeichnis unterhalb von /home/profile für seine Windowsprofile.
Hier wird für jede Windows-Version (Win2K, WinXP, Vista.V2) ein eigenes Unterverzeichnis angelegt.
23
Benutzer importieren – Einlesen von Benutzerlisten
Da es sehr mühsam wäre, die Schüler bzw. die Lehrer jedes Jahr von Hand einzutragen, bietet der Open
School Server die Möglichkeit, die Liste der Schüler (und Lehrer) aus einer Datei zu importieren.
Die Datei sollte dazu folgendes Format haben:
•
Normale ASCII-Textdatei: Hierbei handelt es sich um eine normale Textdatei in der für die Landessprache üblichen Kodierung (in Deutschland und Österreich ist das ISO-Latin-1) oder UTF-8. Wie empfehlen die Verwendung von UTF-8 Kodierung.
Die Trennzeichen zwischen den einzelnen Feldern sind prinzipiell egal – Hauptsache, sie ändern sich
nicht im Verlauf der Datei. So reicht die bei vielen Schulverwaltungsprogrammen existierende ExportFunktion in eine CSV oder Textdatei meist vollkommen aus.
•
Sonderformen: Für einige Schulverwaltungsprogramme wurden Import-Filter geschrieben, um die
Schülerdaten korrekt in den Open School Server zu importieren. Hierbei handelt es sich u.a. um die
Schulverwaltungsprogramme WinSV, Sibank und Schild-NRW.
Im Kapitel Schülerdaten exportieren und importieren finden Sie Anleitungen für den richtigen Export der Daten bei diesen Programmen und den korrekten Import am Open School Server.
Format der Import CSV-Datei
In der ersten Zeile werden die Spalten und das Trennfeld der Datei definiert. Zur Zeit sind folgende Schlüsselwörter erlaubt, Pflichtfelder sind als solche vermerkt:
Feldname
Pflichtfeld / Bedeutung
NACHNAME
Pflichtfeld
VORNAME
Pflichtfeld
GEBURTSTAG
Pflichtfeld
KLASSE
Wird der Benutzer mehreren Klassen zugeordnet, müssen diese durch
Leerzeichen getrennt werden.
RELIGION
PASSWORT
Hier können Sie das Passwort eines jeden Benutzers optional, individuell
bestimmen.
BENUTZERKENNUNG
Sie können individuelle User-IDs eingeben. Nutzen Sie diese Möglichkeit, wenn Ihnen die vom OSS automatisch generierten User-IDs (Anmeldenamen) nicht gefallen.
TELEFONNUMMER
FAXNUMMER
TELEFONNUMMER-PRIVAT
TELEFONNUMMER-MOBIL
SPRACHE
BESCHREIBUNG
STRASSE
PLZ
BUNDESLAND
EMAIL-DOMAIN
Die mit Pflichtfeld gekennzeichneten Felder sind obligatorisch. Ein Benutzer wird also durch die Felder
NACHNAME, VORNAME und GEBURTSTAG identifiziert und durch das Feld KLASSE einer Klasse zugeordnet.
24
ACHTUNG
Verwenden Sie als Name für die Spalten die exakte Schreibweise wie oben in den Tabellen.
Andernfalls kann der OSS die Spalten nicht richtig erkennen. Groß-/Kleinschreibung ist jedoch
irrelevant.
Es bestehen drei Möglichkeiten, wie mit Benutzerdaten nach dem Einlesen der Benutzerdatei weiter verfahren wird:
1 Neuer Benutzer
Wird ein Benutzer in der LDAP-Datenbank nicht gefunden, handelt es sich um einen neuen Benutzer. In diesem Fall wird für diesen Benutzer ein neuer eindeutiger Login Name, wie unter Neu Anlegen einzelner Benutzer beschrieben, ermittelt und dieser in die LDAP-Datenbank aufgenommen.
Falls vorhanden, wird das Feld PASSWORT wie folgt ausgewertet:
•
‘text’ => ‘text’ wird als Passwort gesetzt.
•
‘*’ =>
Sollten Sie in ein und derselben Textdatei einigen Nutzern ein fest definiertes Passwort über
‘text’ zuweisen, für andere jedoch ein zufälliges Passwort generieren lassen wollen, so fügen Sie bei
diesen Nutzern den ‘*’ ein.
•
‘kein Inhalt’ => Sollte anderen Nutzern ein Passwort über die beiden oben angegebenen Möglichkeiten
(fest oder zufällig) zugewiesen worden sein, bei einem (oder mehreren) Nutzern in derselben Datei
aber kein Wert im Passwortfeld enthalten sein, so bekommen diese Nutzer kein Passwort, d.h. sie können sich ohne Passwort am System anmelden.
Ist das Feld PASSWORT in der Datei nicht vorhanden, wird ein zufälliges Passwort zugewiesen.
2 Vorhandene Benutzer ändern
Steht ein Benutzer sowohl in der LDAP-Datenbank als auch in der Benutzerliste, handelt es sich um einen
alten Benutzer.
Bei vorhandenen Benutzern wird das Feld PASSWORT nicht ausgewertet. Die Benutzer werden lediglich
aus der alten Klasse aus- und in die neue Klasse eingetragen.
3 Benutzer löschen
Hinweis: Diese Funktion funktioniert nur, wenn sie nicht eine Teilliste der Schüler einlesen.
Steht ein Benutzer in der LDAP-Datenbank, jedoch nicht in der Benutzerliste, bedeutet das, dass dieser Benutzer die Schule verlassen hat.
Also werden seine Daten aus der Datenbank gelöscht, sein Heimatverzeichnis wird in ein Archiv zusammengefasst und unter /home/archiv/ benutzername-datum.tgz gespeichert.
Ergebnis
Nach dem Abarbeiten der eingelesenen Datei wird die neue, aktuelle Benutzerliste pro Klasse in der Datei
/home/sysadmins/admin/<datum>.<uhrzeit>/userlist. <KLASSE>.txt im Homeverzeichniss des Benutzers admin gespeichert. In dieser Datei stehen die Passwörter im Klartext und muss dementsprechend mit Vorsicht
behandelt werden.
Hier ist eine Beispieldatei für das erste Laden des Systems mit unterschiedlichen Passwort-Vergaben:
GEBURTSTAG:NACHNAME:VORNAME:PASSWORT:KLASSE
11.10.1986:Klein:Aladar:12345:9A
4.08.1986:Micuc:Emil::9A
09.11.1986:Groß:Evelyn:*:9A
17.04.1986:Müller:Helmuth:*:9A 10A:
29.9.1987:Klein:Aladar:*:10A
Die resultierenden Dateien
/home/groups/SYSADMINS/userimport.<datum>.<uhrzeit>/userlist.9A.txt
und
/home/groups/SYSADMINS/userimport.<datum>.<uhrzeit>/.userlist.10A.txt
25
Testen und Kontrollieren des Imports
Ehe Sie den Import durchführen, testen Sie die zu importierende Datei, indem Sie einen Haken bei Nur testen, nicht ausführen auswählen und dann auf importieren klicken. Anschließend drücken Sie den Button Alte
Importe Anzeigen und dann auf Import.html, um das Resultat des Tests zu sehen.
Um den eigentlichen Import durchzuführen, entfernen Sie den Haken bei Nur testen, nicht ausführen und
wählen dann importieren.
Der Importvorgang startet daraufhin. Wählen Sie dann nochmals Benutzer->Importieren und dann die
Schaltfläche Alte Importe Anzeigen und dann auf Import.html. (bei manchen Browsern wechselt die Ansicht
nach Betätigen des Importieren-Buttons direkt in diese Ansicht). Sie sehen jetzt die Protokolldatei des Imports. Sollte der Import noch nicht beendet sein, werden die neu verarbeiteten Datensätze oben automatisch
eingefügt.
Anhand dieser Liste können Sie auch schon im Test feststellen:
•
welche Klassen neu angelegt werden
•
welche Benutzer neu angelegt werden
•
welche Benutzer gelöscht werden
•
welche Benutzer in eine neue Klasse versetzt werden
Hinweis
Manche Fehler in der Importdatei können erst zum Zeitpunkt des tatsächlichen Imports und
nicht schon während des Testlaufes erkannt werden. Deshalb ist es auch nach einem erfolgreichen Test wichtig, das Protokoll des tatsächlichen Imports zu prüfen.
26
Bearbeiten – Verändern der Benutzerdaten
Klicken Sie zunächst auf Bearbeiten. Jetzt müssen Sie auswählen, welche Benutzer angezeigt werden sollen. Haben Sie eine überschaubare Anzahl von Benutzern, dann klicken Sie auf Filter anwenden, ohne den
Wert ‘*’ im Eingabefeld Filter zu verändern. Daraufhin werden alle Benutzer angezeigt. Wählen Sie den zu
bearbeitenden Benutzer mit einem Mausklick aus.
Sie können Benutzer nach folgenden Kriterien suchen:
Feld
Bedeutung
Name
Suche nach UID (Anmeldename), Nachname oder Vorname
Tragen Sie das gesuchte Wort oder einen Teil davon mit ‘*’ erweitert in das Eingabefeld Benutzer ein. Andere Sonderzeichen wie z. B. ‘?’ unterstützt der Open School Server zur Zeit nicht.
Rolle
Wählen Sie optional die Rolle der gesuchten Personen
Klasse
Arbeitsgruppe
Tragen Sie die Bezeichnung der Klasse oder Gruppe, deren Mitglieder Sie suchen, ins
Feld Klasse / Gruppe ein. Auch hier können Sie mit einem Suchstring wie beispielsweise ‘5*’ alle Schüler des fünften Jahrgangs und deren Lehrer auflisten.
Durch die Kombination der Felder Rolle, Klasse und Gruppe können Sie z. B. alle Schüler des fünften Jahrgangs auflisten, die auch Mitglied der Arbeitsgruppe EDV sind.
Die Funktionen Löschen, Profile verteilen, Benutzerstatus, Quota ändern und Internet erlauben/verbieten
lassen sich auch für mehrere Benutzer gleichzeitig anwenden. Wählen Sie dazu einfach mit Hilfe der gedrückten Strg- oder Shift-Taste mehrere Benutzer mit der Maus aus. Die Namen der gewählten Benutzer
sind dann farbig markiert.
Am rechten Rand befinden sich Buttons für die einzelnen Funktionen.
27
Aktion
Wirkung
Passwort ändern
In dieser Maske wird ein neues Passwort vergeben.
Benutzer bearbeiten
Sie erhalten nahezu dieselbe Maske, die auch beim Anlegen eines Benutzers
erscheint. Hier können Sie alle Werte ändern. Zusätzlich besteht jetzt die Möglichkeit, dem Benutzer „Aliasnamen“ zu vergeben.
Dazu können Sie im Feld E-Mail-Aliase eine Auflistung der Namen - jeweils
durch ein Leerzeichen getrennt - eintragen, mit denen der Benutzer zusätzlich
zu seiner UID per E-Mail (in der Hauptmaildomain) erreichbar sein soll.
Quota ändern
Hier können Sie die Quota für Datei und E-Mail der Benutzer ändern.
Benutzer-Status ändern
Unter diesem Menüpunkt werden die aktuellen Zugangsberechtigungen ausgewählter Benutzer angezeigt und verändert.
Mailbox
Je nachdem, wie Sie den Open School Server installiert haben (Stichwort: Das
Versenden von externen Mails für Schüler verbieten), ist das Versenden von externen Mails für Schüler verboten oder erlaubt. Diese Standardeinstellung wird
jedoch nicht an die Gruppe der Schüler gebunden, sondern wird beim Anlegen
jedes einzelnen Benutzers gesondert gesetzt.
Unter diesem Menüpunkt können Sie einzelnen Benutzern das Versenden von
externen Mails auch nachträglich noch erlauben bzw. verbieten. Sie können die
Mailbox einzelner Benutzer auch ganz deaktivieren.
Anmelden erlaubt/verboten
Hier können Sie einzelnen Benutzern das Anmelden an den Workstations und
an der Weboberfläche verbieten bzw. erlauben. (Das LDAP-Attribut loginDisabled wird auf den Wert true bzw. false gesetzt.)
Proxy-Zugang
Hier können Sie einzelnen Benutzern den Zugang ins Internet über den Proxyserver sperren bzw. wieder freigeben. (Das LDAP-Attribut internetDisabled wird
auf den Wert true bzw. false gesetzt.) Dies betrifft allerdings nur das Surfen im
Internet – andere Dienste (wie z. B. E-Mail) sind davon nicht betroffen.
Open Exchange Zugang
Hier können Sie Benutzern den Zugang zu der Groupware Openexchange verbieten. Bitte beachten Sie, dass Open Exchange seit der OSS Version von 3.4.1
nicht unterstützt wird.
Rechnerzuweisung
Hier können Sie die Zuordnung der Benutzer zu einzelnen Rechnern löschen.
Profile verteilen
Unter diesem Menüpunkt können Sie vordefinierte Profile (z. B. Windows
und/oder Linux Desktop Einstellungen) an ausgewählte Benutzer verteilen.
Sie müssen zunächst das gewünschte Betriebssystem (entsprechende Windows-Version oder Linux) anklicken. Durch das Setzen des Häkchens Windowsprofile nur lesbar machen verhindern Sie Änderungen durch die Benutzer.
Benutzer löschen
Entfernt den ausgewählten Benutzer vom Server. Gehen Sie mit dieser Funktion
vorsichtig um: Alle E-Mails dieses Benutzers sind dann unwiederbringlich
verloren!
Alle Dateien, die der Benutzer erstellt hat (einschließlich seiner Windowsprofile),
werden in einem Archiv gesammelt und unter /home/archiv/ <Benutzername><Datum>.<Uhrzeit>.tgz gespeichert.
Benutzerdateien suchen
Es passiert öfter, dass ein Benutzer sein Festplattenquota überschritten hat, obwohl er angeblich kaum Dateien in seinem Homeverzeichnis hat. Lehrkräfte und
der Hauptadministrator können über diesen Menüpunkt eine Auflistung aller Dateien einzelner Benutzer auf dem OSS erstellen.
28
Gruppen bearbeiten
Hier können Sie neue Gruppen anlegen, vorhandene Gruppen bearbeiten oder löschen sowie die Beschreibung der Gruppe ändern. Wählen Sie eine Gruppe und die Schaltfläche Bearbeiten, um Daten der Gruppe
und die Liste der Mitglieder einzusehen oder zu ändern.
Dieser Gruppe bereits zugeordnete User sind farbig markiert. Ändern Sie die Zugehörigkeiten nach Ihren
Wünschen per Mausklick. Mit Anwenden schließen Sie die Bearbeitung ab und speichern die Änderungen.
Anlegen einer Gruppe
Mit dem Untermenü Neu aus dem Menü Gruppen erstellen Sie eine neue Gruppe. Wählen Sie einen eindeutigen Gruppennamen aus.
Achtung
Verwenden Sie für den Gruppennamen keine Sonderzeichen und auch keine Leerstellen! Die
Gruppennamen werden immer in Großbuchstaben konvertiert.
Geben Sie der Gruppe eine aussagekräftige Beschreibung. Der Schulserver bietet abweichend von anderen
Betriebsystemen drei Arten von Gruppen an:
Art
Bedeutung
Rolle
Diese Gruppen bestimmen die grundsätzliche Rolle eines Benutzers auf dem System.
Nach einer Neuinstallation des Open School Servers sind folgende primäre Gruppen
schon vordefiniert „Schüler“, „Lehrer“, „Verwaltung“, „Templatebenutzer“ und „Workstation–Benutzer“.
Klasse
Diese Gruppen bilden die realen Schulklassen einer Schule ab und können nur vom
Benutzer admin oder von Lehrern mit besonderen Administrationsrechten angelegt
werden.
Arbeitsgruppe
Diese Gruppenart kann von jedem Lehrer angelegt und/oder bearbeitet werden. Sie
ist z. B. zur Verwendung bei Projektarbeiten, Arbeitskreisen, ... geeignet.
Alle diese Gruppen bekommen eine Mailbox und ein Gruppenverzeichnis und erscheinen auch in der Groupware (z. B. für Terminabsprachen oder Email).
Um der zu erstellenden Gruppe Benutzer zuzuordnen, müssen Sie sich eine Liste der vorhandenen Benutzer anzeigen lassen. Klicken Sie auf Suchen ohne den Wert im Feld Filter zu verändern, um eine Liste aller
vorhandenen Benutzer anzuzeigen, oder schränken Sie vorher die anzuzeigenden Benutzer mit dem Eingabefeld Filter ein.
Wählen Sie dann per Mausklick einen oder mehrere Benutzer aus, die der Gruppe angehören sollen. Ausgewählte Benutzer werden farbig markiert. Mit dem Knopf Anwenden legen Sie die Gruppe mit den gewählten
Mitgliedern an.
Tipp
Gruppen verwenden
Sie können auch einer ganzen Gruppe Rechte vergeben. Fassen Sie also nach Möglichkeit
Ihre Benutzer in Gruppen zusammen und vergeben Sie dann Rechte für die Gruppen. Damit
erleichtern Sie später den Verwaltungsaufwand, wenn Änderungen erforderlich sind.
29
6
Drucker
Der Open School Server dient auch als Druckserver. Nur wenn Sie alle Drucker im Netzwerk über den OSS
verwalten, kann der OSS auch die Drucker klassenraumspezifisch sperren oder freigeben.
Drucker werden im CUPS Printing System verwaltet. Um dorthin zu gelangen, wählen Sie in der AdminOberfläche System -> Systemüberwachung -> Druckserver.
Neuen Drucker anlegen
Folgende Einstellungen nehmen Sie direkt am Drucker bzw. auf seiner Webfläche vor:
Zunächst stellen Sie den Drucker auf DHCP, damit ihm eine IP vom OSS zugewiesen werden kann. Anschließend konfigurieren Sie ihn so, dass er sich im Netzwerk nicht bekannt macht, d.h SLP, Ether Talk und
Airprint deaktivieren. Zuletzt setzen Sie noch ein Administratorpasswort auf dem Drucker, damit niemand außer Ihnen die gerade gesetzte Konfiguration ändern kann.
Nun melden Sie sich auf der Adminoberfläche an:
Registrieren Sie den Drucker wie jedes andere Gerät auch am OSS. Es wird empfohlen Drucker im Server
Netz aufzunehmen, und Sie sollten ihm außerdem einen eindeutigen alternativen Namen geben (z.B „edv32kyo-bw“). Starten Sie den Drucker neu und vergewissern Sie sich, dass er eine IP vom OSS bekommen hat.
Anschließend können Sie den Drucker über CUPS einrichten. Hierfür gehen Sie auf der Adminoberfläche
unter Netzwerk auf Drucker verwalten und auf „Neuer Drucker“. Geben Sie als Druckernamen und Socketadresse den Alternativen Namen an, welchen Sie auf der Adminoberfläche gewählt haben.
Achtung
Nach der Einrichtung des Druckers sollten Sie unter Drucker -> Druckereinstellungen festlegen kontrollieren, ob das Papierformat (Media Size) auf DIN A4 und die Fehlerbehandlung auf
„Abort-Job“ eingestellt ist.
30
Der Drucker ist nun fertig aufgenommen und eingerichtet. Sie können ihn jetzt in verschiedenen Räumen
zur Verfügung stellen, indem Sie zunächst in der Druckerverwaltung auf „Räume“ klicken. Hier sehen Sie
alle Räume, die Sie am OSS eingerichtet haben, und können ihnen Drucker zuweisen. Das „Drop-DownMenü“ gibt den Standarddrucker für einen Raum an. In der Liste rechts davon können Sie Drucker auswählen, die aus dem Raum ebenfalls erreichbar sein sollen. Zum Schluss aktivieren Sie unter Drucker verwalten
die Treiberverteilung.
Übersicht der Drucker
Wählen Sie den Menüpunkt Drucker verwalten. Hier finden Sie eine Liste sämtlicher auf dem OSS installierten Drucker mit Bezeichnung, Standort und Status.
Sie können hier die einzelnen Druckaufträge für den Drucker verwalten.
Drucker auf UNIX/Linux Clients einrichten
Um auf den Drucker des Druckservers von UNIX/Linux Clients zugreifen zu können, muss auf den Clients
der CUPS-Client (Common Unix Printing System) installiert sein. Zwar ist es möglich, dass der Printserver
über Broadcast die verfügbaren Drucker den Clients mitteilt, es ist jedoch empfehlenswert, den Clients den
Druckserver manuell mitzuteilen. Das geschieht durch folgenden Eintrag in der Datei /etc/cups/client.conf:
ServerName printserver
Auf automatisch installierten SUSE Linux Clients ist dieser Eintrag schon vorhanden.
Hinweis
Durch die Verwendung eines vom Druckerhersteller unabhängigen Postscript-Treibers auf Client Seite und die korrekte Konfiguration des Druckers im CUPS, erspart man sich die Installation verschiedenster Druckertreiber auf Client-Seite. Der OSS setzt dann das Postscript-Format auf den jeweiligen Drucker um. Wenn Sie Quotas für die einzelnen Drucker setzen möchten, müssen Sie unbedingt dieses Verfahren wählen.
31
7
Zugangskontrolle
Proxy
Der OSS bringt den Proxy-Server Squid mit. Squid regelt den Internetzugang so, dass nur autorisierte Benutzer Zugriff auf das Internet bekommen. Über einen Jugendschutzfilter (Squid-Guard) filtert er zusätzlich
Inhalte heraus, die für Jugendliche nicht geeignet sind. Lehrern bieten sich weitere Möglichkeiten, den Zugriff
über den Proxy zu reglementieren.
Der OSS bietet seine Proxydienste über den Server proxy und über Port 8080 an. Um die PCs automatisch
zu konfigurieren, geben Sie im Browser bei den Proxy-Einstellungen ein, dass zur Konfiguration die
http://admin/proxy.pac verwendet werden soll.
Nach der Installation ist der Proxy sehr restriktiv eingestellt. Wechseln Sie daher zu dem Menüpunkt Proxy
und konfigurieren Sie den Basisfilter.
Sie finden im Basisfilter eine lange Liste von verschiedenen Kategorien. Hinter jeder Kategorie versteckt sich
eine Liste von Internetadressen, die automatisch aktualisiert wird. Sie können für jede Liste einstellen, wer
(Schüler, Lehrer, Verwaltung oder sonstige Benutzer/Voreinstellung) die darin enthaltenen URLs aufrufen
darf.
Hinweis
Bei der Konfiguration eines transparenten Proxy weiß der OSS nicht, wer gerade surft. Deshalb ist in diesem Fall für jeden Benutzer die Spalte Voreinstellung relevant, während die anderen Spalten ignoriert werden.
Die eigene Whitelist und eigene Blacklist sind Listen, die Sie für die Schule selbst pflegen (über die gleichnamigen Menüpunkte). In der Whitelist tragen Sie die Domainnamen ein, die in den anderen Kategorien gesperrt sind, aber von Ihnen erlaubt werden sollen. In die Blacklist tragen Sie die Domainnamen ein, die auf
jeden Fall gesperrt werden sollen. Auch hier können Sie selbstverständlich spezifizieren, für wen diese Listen gelten.
Eine weitere besondere Liste ist die letzte Kategorie „Der Rest“. Ist diese Kategorie nicht erlaubt, sind nur
die Adressen erlaubt, die sich in den explizit erlaubten Kategorien befinden.
Während Ihres Unterrichts haben Lehrkräfte die Möglichkeit über Positivlisten selbst Einfluss auf den Proxy
zu nehmen. Dies wird in den Schulungsunterlagen für Lehrer beschrieben.
Raumkontrolle
Haben Sie die Rechner der Schule am Open School Server angemeldet und Schulräumen zugewiesen, besteht die Möglichkeit den Rechnern eines Schulraumes bestimmte Dienste zu verbieten bzw. zu gestatten.
Sie erreichen diese Funktion über den Menüpunkt Sicherheit->Zugriffskontrolle Raum.
Dies betrifft folgende Dienste:
•
Direkter Internetzugang
•
Internetzugang über Proxy
•
Zugang zum Mail– und Groupware–Server
•
Zugang zur Anmeldung
•
Zugang zum Druckserver
Diese Möglichkeit besteht nicht nur für den Hauptadministrator admin und Systemadministratoren sondern
auch für Lehrkräfte. Während diese die Dienste jedoch nur für den aktuellen Klassenraum ein– und ausschalten können, darf ein Systemadministrator dies für jeden PC-Raum tun.
32
Zugangszeitplan
Unter dem Button Zugangszeitplan anzeigen kann der Hauptadministrator (bzw. Lehrer mit Administrationsrechten) je Schulraum einen Zugangszeitplan erstellen.
Zugriffszeitpläne sind sinnvoll, um Räume zu bestimmten Zeiten auf zuvor definierte Einstellungen zu setzen, beispielsweise vergessene Einstellungen des Vortages rückgängig zu machen oder für bestimmte Tageszeiten regelmäßig die Einstellung anzupassen.
Beispiel: Sie betreiben ein Internetkaffee in einem Klassenzimmer, in dem von 14 bis 16 Uhr der Internetzugang für Schüler über den Proxy erlaubt ist, aber das Drucken verboten werden soll. Hierfür erstellen Sie
zwei Einträge:
•
einen Eintrag um 14 Uhr mit Proxy gesetzt und Drucken nicht gesetzt
•
einen Eintrag um 16 Uhr mit Standard gesetzt (dann wird auf die Standard-Einstellungen zurückgesetzt).
Die Zeile Standard-Zugriffsstatus zeigt Ihnen die jeweilige Standardeinstellung an, auf die der Raum z. B.
nach einem Serverneustart zurückgesetzt wird.
Firewall
Diese Funktion steht Ihnen nur dann zur Verfügung, wenn der Open School Server bei der Installation als Internet Gateway konfiguriert wurde.
Mit diesem Modul können Sie eingehende und ausgehende Firewallregeln definieren sowie die Firewall einund ausschalten.
Eingehende Verbindungen
Normalerweise blockiert die Firewall des Open School Servers jeden Zugriff aus dem Internet. Hier können
Sie den Open School Server so konfigurieren, dass einige Dienste auch über das Internet erreichbar sind.
Dies betrifft unter anderem den SSH-Zugang und den Zugriff auf die Administrations- und die Benutzerweboberfläche.
Achtung
Neustart der Firewall
Wenn Sie in diesem Menü Änderungen vornehmen, muss die Firewall neu gestartet werden.
Damit werden aber auch alle Zugriffsrechte der einzelnen Klassenräume wieder in den Ausgangszustand versetzt!
Sie sollten also Änderungen hier nur durchführen, wenn niemand mehr mit den Schulrechnern
arbeitet.
33
Erlaubter Zugriff
Wirkung
SSH Zugriff
Wenn Sie diese Schaltfläche aktivieren, können Sie den Server über eine
SSH-Verbindung aus der Ferne administrieren. Hierfür wird in der Firewall der
Port 22 für einen externen Zugriff freigeschaltet.
Hoher SSH-Port
Ist der OSS direkt (DSL) mit dem Internet verbunden, sollte nicht der Standard SSH-Port (Port 22) geöffnet werden, da dieser oft von Hackern heimgesucht wird. Deshalb bietet der OSS die Möglichkeit Ports mit hohen Nummern
zu öffnen, da diese weniger gefährdet sind.
Zugriff auf das Schulportal
Vom Schulportal haben Sie Zugriff auf alle Webdienste des OSS:
Adminoberfläche, Groupware, WebDAV-Freigaben.
SMTP-Port öffnen
Verfügt Ihre Schule über eine feste, offizielle IP-Adresse, und soll der Open
School Server die E–Mails aus dem Internet direkt empfangen, müssen Sie
den SMTP–Port in der Firewall öffnen.
In der Grundeinstellung wurde der Mailserver des Open School Servers so
konfiguriert, dass dieser nur auf die IP–Adressen mailserver und localhost
hört. Sie müssen nun Postfix so konfigurieren, dass dieser zusätzlich auf die
IP-Adresse des externen Interfaces lauscht. Das wird durch das Setzen der
Variable inet_interfaces in der Datei /etc/postfix/main.cf erreicht. Diese Variable können Sie mit Hilfe eines Texteditors oder auf der Administrationsweboberfläche setzen.
Rdesktop
Wenn Sie diesen Port öffnen, können Sie den OSS über die grafische Oberfläche mit „Remote Desktop“ Clients erreichen.
Andere TCP-Ports
Sie können hier eine mit Leerzeichen getrennte Liste von Ports angeben, die
freigeschaltet werden sollen.
Diese Liste wird auch von der Administrations-Oberfläche gefüllt, wenn Sie
z.B. den Fernwartungszugang zu PCs freischalten.
Hinweis
Ist der Open School Server nicht direkt (z. B. DSL) sondern über ein Transportnetz (DSL-Router) mit dem Internet verbunden, müssen Sie die o.g. Ports vom Router auf den Open School
Server umleiten.
Beachten Sie bitte, dass der Server hier jedem Nutzer aus dem Internet sein Angebot zur Verfügung stellt. Sollte ein Schüler ein zu schwaches Passwort für seinen Account verwenden, so
kann es u.U. zu unschönen Nebenwirkungen kommen, wenn plötzlich bösartige E-Mails über
diesen Account versendet werden . . .
Ausgehende Verbindungen
Hier können Sie für einzelne Räume oder Rechner Zugriff auf bestimmte Adressen und Ports im Internet zulassen.
34
Fernwartungszugänge
Wenn Sie den OSS mit zwei Netzwerkkarten eingerichtet und die Firewall aktiviert haben, trotzdem aber außerhalb der Schule auf bestimmte Rechner im Schulnetz Zugriff haben möchten, müssen Sie über Netzwerk
-> Fernwartung einen Zugang dafür konfigurieren.
Dazu benötigen Sie den Namen des Rechners im Netz, den Port auf diesem Rechner, den Sie ansprechen
möchten, sowie einen freien Port auf dem OSS.
35
8
Profile verwenden
Profile am OSS
Der Open School Server kann Profile für die Benutzer verwalten.
Für Windows 2000 und Windows XP werden Default-User-Profile mitgeliefert. In diesen ist bereits die ProxyEinstellung für den IE, die Umleitung der Eigenen Dateien auf Z: und einige Verknüpfungen auf dem Desktop
eingestellt.
Der OSS unterscheidet folgende Profile, von denen es pro Betriebssystem jedes in einer eigenen Ausprägung gibt:
Profil
Bedeutung
Standardbenutzer-Profil
bzw. Default User Profil
Dieses Profil wird jedem neuen Benutzer automatisch zugewiesen.
Sie finden es am OSS im Verzeichnis:
/var/lib/samba/netlogon/<Betriebssystemkennung>/Default User/
Templateprofil Lehrer
Das Standardprofil für neu angelegte Lehrkräfte (wenn vorhanden, wird
dieses anstelle des Default User Profils verwendet)
Sie finden es am OSS im Verzeichnis:
/home/profile/tteachers/<Betriebssystemkennung>
bzw. U:\profile\tteachers\<Betriebssystemkennung>
Templateprofil Schüler
Das Standardprofil für neu angelegte Schüler (wenn vorhanden, wird dieses
anstelle des Default User Profils verwendet)
Sie finden es am OSS im Verzeichnis:
/home/profile/tstudents/<Betriebssystemkennung>
bzw. U:\profile\tstudents\<Betriebssystemkennung>
Templateprofil Workstation
Das Standardprofil für neu angelegte Arbeitsplatz-Benutzer-Accounts (wenn
vorhanden, wird dieses anstelle des Default User Profils verwendet)
Sie finden es am OSS im Verzeichnis:
/home/profile/tworkstations/<Betriebssystemkennung>
bzw. U:\profile\tworkstations\<Betriebssystemkennung>
Templateprofil Verwaltung
Das Standardprofil für neu angelegte Benutzer aus der Verwaltung (wenn
vorhanden, wird dieses anstelle des Default User Profils verwendet)
Sie finden es am OSS im Verzeichnis:
/home/profile/tadministration/<Betriebssystemkennung>
bzw. U:\profile\tadministration\<Betriebssystemkennung>
Benutzerprofil
Das persönliche Benutzerprofil jedes einzelnen angemeldeten Benutzers.
Sie finden es am OSS im Verzeichnis:
/home/profile/<Benutzerlogin>/<Betriebssystemkennung>
bzw. U:\profile\<Benutzerlogin\<Betriebssystemkennung>
DIE TEMPLATE BENUTZER DER EINZELNEN ROLLEN DÜRFEN
NUR DANN PROFILE HABEN, WENN DIESE VERTEILBAR SIND!!
Da sich die verschiedenen Windows Versionen unterscheiden, werden am OSS dafür auch unterschiedliche
Profilverzeichnisse hinterlegt. Die Pfade dafür wurden in der vorangegangen Tabelle mit dem Platzhalter
<Betriebssystemkennung> markiert. Der OSS unterscheidet die Betriebssysteme wie folgt:
Betriebssystemkennung
Betriebssysteme
Win2K
Windows 2000
WinXP
Windows XP, alle Servicepacks
WinNT
Windows NT
Win2K3
Windows 2003
Vista
Windows Vista erste Version
Vista.V2
Windows Vista zweite Version
und Windows
36
Linux
Das Linux Profil wird gesondert behandelt, da Linux keine Profile im Sinne
von Windows kennt.
Erstellung und Behandlung von Profilen am OSS
Verteilbares Windows 7/8 Profil erstellen
Im Folgenden wird beschrieben, welche Schritte nötig sind, um mit einem Windows 7 Rechner ein verteilbares Benutzerprofil zu erstellen.
Es empfiehlt sich, einen komplett sauberen (d.h. neu aufgesetzten Rechner) zu verwenden, da hier die Gefahr, dass unerwünschte Daten im Profil gespeichert werden, am geringsten ist. Es sollten nur die nötigsten
Programme installiert sein. Das wären zum einen die EXTIS-Tools (OSSClientInstall, WCD,) und zum anderen Programme, deren Verknüpfungen Sie auf den Desktop legen möchten, und bei denen Sie sicher sind,
dass sie auf allen Rechnern installiert sind/werden.
In größeren Schulen, in denen man Rechner entbehren kann, bietet es sich an, einen Rechner speziell für
das Erstellen von Benutzerprofilen zu reservieren, da Ihnen dadurch immer ein sauberer Rechner zur Verfügung steht.
1.Windows vorbereiten
Melden Sie sich als der Benutzer Lokaler Administrator an und löschen Sie alle Benutzer, die sich nicht auf
der Administratorebene befinden. Gehen sie hierfür in der Systemsteuerung in den Menüpunkt Benutzerkonten und anschließend auf Benutzerkonten verwalten. Nun sehen Sie alle Benutzer, die gegenwärtig
auf dem Rechner angelegt sind. Entfernen Sie alle Benutzer, die sich nicht in der Gruppe „Administratoren“
befinden.
Jetzt müssen Sie sich das Windows Automated Installation Kit (AIK) für Windows 7 von dem Microsoft Download Center herunterladen ( https://www.microsoft.com/de-de/download/details.aspx?id=5753 ). Da
Microsoft hier nur ein ISO-Image anbietet, müssen Sie dieses noch mit einer passenden Software (z.B. WinCDEmu) mounten. Sie können das Image natürlich auch auf eine DVD brennen und die Installation von der
DVD ausführen.
37
Sollten Sie den Lokalen Administrator noch nicht aktiviert haben, können Sie das mit
Hilfe der CMD.exe schnell erledigen. Öffnen Sie hierfür die Taskleiste und geben Sie in
das Suchfeld „cmd“ ein. Führen Sie einen Rechtsklick auf das Suchergebnis (cmd) aus
und rufen Sie es mittels als Administrator ausführen auf. Geben Sie folgenden Befehl
ein: net user administrator * /active:yes. Sie werden dazu aufgefordert das Passwort
einzugeben. Anschließend können Sie sich abmelden und als Lokaler Administrator
wieder anmelden.
Haben Sie das Image erfolgreich gemountet, können Sie das AIK-Setup installieren. Öffnen hierfür die DVD,
wählen Sie das Windows AIK-Setup aus und führen Sie die Installation durch.
Sobald die Installation abgeschlossen ist, können Sie anfangen den Desktop nach ihren Wünschen zu gestalten. Es ist möglich, Verknüpfungen von Programmen oder auch von Pfaden auf dem Server (z.B. das all
Verzeichnis) zu erstellen, sowie den Desktop Hintergrund zu ändern, wobei Sie dann allerdings sicher sein
müssen, dass das Bild, welches Sie als Hintergrund einstellen möchten, auf allen Clients unter dem selben
Pfad gespeichert ist, da es ansonsten nicht gefunden wird. Sie können ebenfalls die Taskleiste anpassen
(Windows Explorer können Sie nicht so einfach entfernen).
Denken Sie daran Ihren Download Ordner zu entleeren, indem jetzt noch das ISO-Image von dem Windows
AIK Kit liegen sollte. Es ist wichtig, dass Ihr Homeverzeichnis (alle Ordner unter C:\Benutzer\Administrator\... und der Papierkorb) komplett leer ist, da alle Dateien, die hier gespeichert sind, auch mit in das Profil
einfließen, welches dadurch größer wird, was wiederum zu längeren Anmeldezeiten führt.
Nun erstellen Sie mit Hilfe des Windows System Image Managers (SIM) die Unattend.xml. Dies ist eine Antwortdatei, mit der man Windows im Folgenden sagen kann, dass es während der Profilerstellung das Profil
des Lokalen Administrators als Abbild nehmen soll (deswegen haben Sie gerade Ihren Desktop konfiguriert).
Mit dieser Antwortdatei können Sie Windows noch viel genauer einrichten. Hierzu können Sie sich auf der
Microsoft technetsite noch weiter in das Thema einarbeiten ( https://technet.microsoft.com/dede/library/dd799285%28v=ws.10%29.aspx ), da dies hier den Rahmen sprengen würde.
Öffnen Sie den SIM. Um eine neue Antwortdatei zu erstellen, müssen Sie zunächst ein passendes WindowsAbbild oder eine passende Katalogdatei auswählen. Diese Datei(en) befinden sich auf Ihrer Windows 7/8 Installations DVD unter dem Verzeichnis \Sources\install.wim/Install_Windows7....clg. Wählen Sie die zu Ihrem Betriebssystem (HOME, PROFESSIONAL, ...) gehörige CLG-Datei aus.
38
Haben Sie die passende CLG-Datei ausgewählt , können Sie eine neue Antwortdatei erstellen.
39
Öffnen Sie in dem Windows-Abbild Feld den Ordner Components und suchen Sie nach der Komponente
x86_Microsoft-Windows-Shell-Setup.... .
Anschließend fügen Sie diese Komponente mittels Rechtsklick und Einstellung zu Pass 4 specialize hinzufügen der Antwortdatei hinzu.
40
Ist die Komponente hinzugefügt, müssen Sie nur noch den Parameter CopyProfil auf „true“ setzen.
Speichern Sie anschließend die Antwortdatei unter dem Namen Unattend in C:\.... Die Antwortdatei wird im
XML-Format gespeichert.
Sie können jetzt noch letzte Veränderungen an Ihrem Desktop vornehmen. Anschließend kontrollieren Sie
bitte nochmals, ob Ihr Homeverzeichnis sowie der Papierkorb leer sind.
2. Profil erstellen
Öffnen Sie eine Kommandozeile als Administrator (siehe Hinweis unter 1. Windows vorbereiten). Geben Sie
zu erst den Befehl cd sysprep ein, um in das Sysprep Verzeichnis zu gelangen. Sie sollten nun folgenden
Pfad angezeigt bekommen: C:\Windows\System32\sysprep> . Falls nicht, öffnen Sie eine neue Kommandozeile und achten Sie auf den Aufruf als Administrator ausführen. Geben Sie jetzt folgenden Befehl ein:
sysprep.exe /oobe /shutdown /generalize /unattend:C:\Unattend.xml.
Der Parameter /unattend gibt den Speicherpfad der Antwortdatei an, die Sie soeben erstellt haben. Sollten
Sie diese Datei unter einem anderen Pfad gespeichert haben, müssen Sie den Befehl diesbezüglich anpassen, da Windows die Datei ansonsten nicht findet, und der Vorgang nicht gestartet werden kann.
41
3. Client wiederherstellen und Profil kopieren
Sobald der Rechner heruntergefahren ist, können Sie ihn wieder einschalten. Sie werden den Rechner neu
einrichten müssen, da er durch das Sysprep auf das Standartverhalten (Out-of-Box Experiance) zurückgesetzt wurde. Da Windows sich neu konfigurieren muss, wird der erste Neustart etwas länger dauern.
Sollten Sie den Rechner aktiv im Schulbetrieb nutzen, empfiehlt es sich dem Rechner den Namen zu geben,
mit dem er vorher am OSS registriert war. Sobald sich der Rechner wiederhergestellt hat, aktivieren Sie den
Lokalen Administrator und melden sich als dieser an.
Um zu überprüfen ob, das Profil korrekt als Abbild des Administratorkontos erstellt wurde, navigieren Sie im
Explorer nach C:\Windows\Panther\UnattendGC\ und öffnen Sie die Textdatei Setupact. Suchen Sie nach
dem Eintrag [shell unattend] CopyProfileDirectory from c:\Users\Administrator succeeded. Ist dieser
Eintrag vorhanden, können Sie den Rechner per Hand in die Domäne aufnehmen und nach dem Neustart
fortfahren. Ansonsten müssen Sie die Schritte ab der Erstellung der Antwortdatei wiederholen.
Melden Sie sich als der Benutzer Administrator (Wichtig! Nicht Admin sondern Administrator) in der Domäne an und gehen in das Verzeichnis C:\Benutzer\root\Eigene Dokumente. Erstellen Sie hier einen Ordner
Vista.V2.
42
Öffnen Sie die Systemsteuerung. Gehen Sie hier auf Erweiterte Systemeinstellungen.
Klicken Sie unter Benutzerprofile auf Einstellungen. Markieren Sie Standardprofil und klicken Sie auf Kopieren nach... .
Nun geben Sie den Pfad zu dem gerade erstellten Vista.V2 Ordner an C:\Benutzer\ root\Eigene Dokumente\Vista.V2\ und klicken anschließend auf ändern.
43
Bevor sie den Kopiervorgang starten, müssen Sie das Profil für jeden nutzbar machen, indem Sie im Feld
Jeder eingeben und anschließend mit OK bestätigen. Durch Klicken auf OK im Kopieren nach-Fenster starten Sie den Kopiervorgang. Windows wird Sie nach einer Bestätigung fragen, da der vorhandene Vista.V2
Ordner überschrieben werden muss. Klicken Sie einfach Ja.
Der Kopiervorgang ist abgeschlossen, sobald das Kopieren nach-Fenster verschwindet. Geschieht dies
nach längerer Zeit nicht, kontrollieren Sie die Größe des Zielordners. Stimmt diese mit der Größe von Standardprofil überein, ist der Kopiervorgang abgeschlossen, und Sie können das Fenster über Abbrechen
schließen. Es kann passieren, dass (Keine Rückmeldung) erscheint. Dies können Sie ignorieren.
44
Navigieren Sie mit Hilfe des Explorers in das Profilverzeichnis des Templatebenutzers, für den Sie gerade
das Profil erstellt haben, z.B. \\admin\profiles\tstudents\ . Kopieren Sie nun den soeben erstellten Vista.V2
Ordner aus dem Lokalen Verzeichnis in das Profilverzeichnis des Templatebenutzers. Sollte hier bereits ein
Vista.V2 Ordner vorhanden sein, können Sie diesen überschreiben.
Speichern Sie den Lokalen Vista.V2 Ordner zusätzlich auf einem USB-Stick, um ein Backup zu haben, falls
während des Kopiervorganges etwas schief gelaufen ist, und löschen Sie anschließend diesen Ordner vom
Rechner.
Profile verteilen
Zum Verteilen von Profilen wählen Sie über die Admin-Oberfläche als Erstes die Personen, denen Sie das
neue Profil geben möchten, aus - entweder über den Menüpunkt Benutzer/Gruppen → Bearbeiten oder
Schüler → Schüler verwalten. Sie können mehrere Personen gleichzeitig auswählen. Bestätigen Sie dann
über den Button Profile verteilen.
45
Ehe Sie das Profil an alle Schüler verteilen, sollten Sie es zum Test zuvor an die im vorigen Kapitel angelegten Testbenutzer verteilen.
In der ersten Zeile sehen Sie die Liste der gewählten Benutzer, die ein neues Profil erhalten. Wählen Sie
dann das Betriebssystem, dessen Profil Sie verteilen möchten, und anschließend das zu verteilende Profiltemplate. Die Option Nur Desktop verteilt nur den Desktop des Templatebenutzers, bzw. übernimmt dessen
Einstellungen (Icon, Verknüpfungen etc...). Ob Sie das Profil nur lesbar oder schreibbar machen, hängt davon ab, wie viel Freiheit Sie den Benutzern lassen wollen. Lassen Sie die Profile schreibbar, können die Benutzer ihren Desktop frei verändern und Daten im Profil speichern, wodurch das Profil wächst, was zu längeren Anmeldezeiten führt. Stellen Sie das Profil auf nur lesbar, so kann der Benutzer dieselben Veränderungen vornehmen, allerdings werden diese nach dem Abmelden nicht auf den Server kopiert und gehen verloren. Das Profil bleibt also unverändert. Mit löschen entfernen Sie das aktuelle Profil des/der ausgewählten
Benutzers. Der Benutzer kann sich anschließend immer noch anmelden, bekommt aber bei der Anmeldung
ein frisches Profil.
Hinweis
Wenn Sie die bestehenden Profile nur lesbar oder schreibbar machen möchten ohne sie neu
zu verteilen, können Sie einfach das Betriebssystem auswählen und den Button Profil nur lesbar oder Profil schreibbar drücken.
Sie können unter Windows 7 als lokaler Benutzer die Verzeichnisse vom OSS verbinden. Im
Microsoftartikel steht dazu ein falscher Hinweis („2. Führen Sie den Befehl Ausführen...“ ).
Öffnen Sie den Windows-Explorer und klicken Sie im Menü auf Netzlaufwerk verbinden (steht
ggf. hinter den >> versteckt). Wählen Sie einen Laufwerksbuchstaben aus, und geben Sie als
Ordner \\pdc-server\profiles an. Setzen Sie den Haken bei Verbindung mit anderen Anmeldeinformationen herstellen und drücken Sie auf Fertig stellen.
46
9
Mobile Clients
Mobile Clients müssen anders gehandhabt werden als normale PCs, sie
•
müssen authentifiziert werden: Nehmen Sie diese in den OSS regulär auf. Zusätzlich empfehlen wir Ihnen für die Verwaltung den OSS Radius-Server (s.u.)
•
möchten in das Internet: Ordnen Sie die Geräte eigenen „virtuellen“ Räumen zu, um eine angepasste
Proxy- und Firewall-Konfiguration zu ermöglichen
•
benötigen Speicher im Netz: OSS-WebDAV Freigaben
WebDAV-Zugriff
Seit der OSS-Version 3.2 wird WebDAV-Zugriff auf dem Open School Server unterstützt und ist für einzelne
Benutzer und Gruppen vorgesehen. Der Zugang kann für jeden Benutzer und jede Gruppe aktiviert bzw. deaktiviert werden. Dies können Sie in der Admin-Oberfläche bei Benutzer Bearbeiten bzw. Gruppe Bearbeiten
durch Setzen eines Häkchens bei WebDAV Zugriff erreichen.
Hinweis
Um WebDAV innerhalb des Schulnetzes verwenden zu können, müssen Sie die entsprechenden Endgeräte in einen Raum aufnehmen.
Wenn Sie den Zugriff von außen aktiviert haben, können Sie auch über die externe IP-Adresse bzw. die Domain des Schulservers auf die WebDAV-Funktion zugreifen.
WebDAV-Zugriff für einzelne Benutzer
Um Zugriff auf die Dateien einzelner Benutzer zu erlangen, verwenden Sie bitte folgende Zugangsdaten:
Schlüssel
Wert
Server
https://schoolserver/webdav/u/<Benutzername>/
Port
443
Benutzername
Der Benutzername (z. B. des Schülers)
Passwort
Das Passwort des Benutzers
WebDAV-Zugriff für Gruppen
Um Zugriff auf die Dateien von Gruppen zu erlangen, nutzen Sie bitte folgende Zugangsdaten:
Schlüssel
Wert
Server
https://schoolserver/webdav/g/<Gruppenname>/
Port
443
Benutzername
Der Benutzername (z. B. des Schülers)
Passwort
Das Passwort des Benutzers
Hinweis WebDAV Clients
Auch mit PCs können Sie diese WebDAV Schnittstelle verwenden. Beachten Sie dabei aber
bitte, dass die meisten Windows-Versionen mit ihrem eingebauten WebDAV-Client mit über
https passwortgeschützten WebDAV-Freigaben - wie sie der OSS anbietet - Probleme haben.
Deshalb müssen Sie hier spezialisierte Clients wie z.B. cyberduck verwenden.
47
48
10
Systemüberwachung
Prozessüberwachung
Dieser Menüpunkt zeigt Ihnen eine Übersicht wichtiger Systemdienste und deren aktuelle Zustände an.
Welche Einträge der Open School Server hier anzeigt, legen Sie über den Parameter MonitorServices unter
dem Menüpunkt System->Globale Konfiguration fest.
Ein Dienst kann aktiviert oder deaktiviert sein. Ist ein Dienst aktiviert, wird er beim Hochfahren des Systems
automatisch gestartet.
Weiterhin können Sie einen Dienst starten, stoppen, neu laden und neu starten. Wenn Sie einen Dienst neu
starten, wird dieser zunächst gestoppt und danach wieder gestartet. Wenn Sie einen Dienst neu laden, wird
dieser nicht beendet, sondern lädt in der Regel seine Konfiguration neu oder führt einige Initialisierungen
durch. Nicht alle Dienste unterstützen diese Funktion. Nachdem Sie den Status eines Dienstes geändert haben, klicken Sie auf Diesen Status setzen.
Supportanfrage
Über den Menüpunkt System->Support können Sie Supportanfragen an das Supportteam des Open School
Servers oder an Ihre persönliche Supportstelle richten.
Neben der Beschreibung Ihres Problems können Sie die Konfiguration Ihres Systems und die LDAP–Datenbank mitsenden. Vergessen Sie dabei nicht eine korrekte Antwortadresse einzutragen.
Sie erhalten nach Eingang der Supportanfrage in der Regel innerhalb von 20 Minuten eine automatische Bestätigung. Wenn diese nicht erfolgt, müssen Sie davon ausgehen, dass die Supportanfrage nicht ankam,
oder Sie Antworten des Supports nicht empfangen können.
Hinweis
Beachten Sie, dass die LDAP–Datenbank die (verschlüsselten) Passwörter und persönlichen
Daten Ihrer Benutzer enthält. Senden Sie diese daher nur nach expliziter Aufforderung.
49
50
11
Windows mit dem OSS klonen
Systemvoraussetzungen
Sie benötigen einen PC, auf dem Windows 7 installiert ist. Soll der PC später in die Domäne aufgenommen
werden, muss mindestens Windows 7 Professional installiert sein.
Die PCs müssen über eine PXE-boot-fähige Netzwerkkarte verfügen und per Netzwerk an den Open School
Server angeschlossen sein.
Der Open School Server muss mindestens auf Version 3.1 sein.
Wenn Sie den ClaXss Klassenzimmermonitor nutzen möchten, müssen Sie diesen auf dem OSS erst über
System -> Zusatzpakete installieren.
Master vorbereiten
Gehen Sie vor wie unter „Anbindung von Windows Clients“ auf der Seite 20 beschrieben.
Klonen
Es gibt zwei Möglichkeiten, um Windows 7 zu klonen
Verwenden von SYSPREP
Starten Sie C:\windows\System32\sysprep\sysprep.exe und konfigurieren Sie es wie folgt:
•
Bei Systembereiningungsaktion wählen Sie Out-of-Box-Experience (OOBE) Modus
•
Wählen Sie Verallgemeinern aus
•
Bei Option für Herunterfahren wählen Sie Neustart
In dieser Methode wird der Rechner neu starten, und Sie können mit Hilfe des CloneTools wie gewohnt ein
Image Ihres Master-Rechners ziehen (s. Schulungsunterlagen OSS 3 oder Handbuch). Dieses Image können Sie auf die anderen Rechner übertragen. Die Zielrechner müssen nicht unbedingt dieselbe Hardware
wie der Master besitzen.
Hinweis
Bricht Sysprep mit einer Fehlermeldung ab, kann dies am Windows Mediaplayer-Netzwerkfreigabedienst liegen. Beenden Sie in diesem Fall diesen Dienst mit folgendem Befehl:
net stop wmpnetworksvc
Ohne SYSPREP
Sie können auch ohne Verwendung von Sysprep klonen. Hierfür müssen Sie vorher mit dem Master-Rechner aus der Domäne austreten. Starten Sie den Rechner neu und verwenden Sie das CloneTool wie gewohnt (s. Schulungsunterlagen OSS 3 oder Handbuch), um das Image zu ziehen. In diesem Fall müssen Sie
bei „Windows Anmeldung“ „Windows Domainenmitglied ohne Sysprep“ wählen. Dieses Image können Sie
nur auf hardwaregleichen Rechnern wieder aufspielen.
Wichtige Hinweise
Info
Durch Verwendung der SYSPREP-Methode muss der neue Zielrechner nicht unbedingt dieselbe Hardware wie der Master haben. Sie brauchen also künftig weniger Master-Images.
Einfacher geht es ohne SYSPREP aber nur wenn die Zielrechner alle über identische Hardware verfügen. In diesem Fall muss der Master-Rechner vor dem Klonen aus der Domäne genommen werden.
51
Wichtig!
Bei der Installation von Windows7 werden meistens 2 Partitionen erstellt. Eine kleinere, die
zum Booten verwendet wird, und die Systempartition. Beide Partitionen müssen geklont werden! Beim Klonen der Bootpartition muss als Betriebssystem Windows7 und als „Windows Anmeldung“ „Keine Aufnahme“ gewählt werden.
Wichtig!
Wollen Sie neue Softwarepakete installieren oder Änderungen an der Konfiguration vornehmen, müssen Sie den Masterrechner bearbeiten und wieder klonen. Es ist zwar nicht zwingend erforderlich, aber die Erfahrungen haben gezeigt, dass es empfehlenswert ist, den Masterrechner vor so einer Arbeit wiederherzustellen, damit man eine sauber installierte Grundlage hat.
52
12
Softwareverteilung
Der OSS bietet die Möglichkeit Software über die Admin-Oberfläche gezielt an den einzelnen Clients zu installieren. Dies funktioniert mittels Softwarepaketen über die Softwareverteilung. Diese Softwarepakete werden von EXTIS zur Verfügung gestellt und können über die Admin-Oberfläche heruntergeladen werden.
So sieht die Softwareverteilung bei einem frisch aufgesetzten Server aus. Es ist noch keine Software vorhanden. Sie können hier Pakete herunterladen, selber WPKG bzw. MSI Pakete hinzufügen oder, falls Ihnen
solche zur Verfügung stehen, Pakete, die zuvor von einem anderen OSS exportiert wurden, importieren.
Pakete herunterladen
Sobald Sie auf Pakete herunterladen klicken, sehen Sie alle Pakete nach Kategorien geordnet, die Ihnen
zum Download zur Verfügung stehen. Hier haben Sie die Möglichkeit, gleich eine komplette Kategorie herunterzuladen oder durch Klicken auf eine einzelne Kategorie, deren Inhalte einzusehen und diese anschließend gezielt herunterzuladen.
53
Sobald Sie Ihre Auswahl getroffen haben - Häkchen vor dem jeweiligen Paket/Kategorie -, bestätigen Sie
den Download mit Herunterladen. Der Download startet sofort, und Sie werden zurück in die Softwarevertelung geleitet. Wenn alle Pakete heruntergeladen sind, erscheinen sie nach denselben Kategorien geordnet
wie zuvor auf der Downloadseite.
Wie zuvor beim Herunterladen haben Sie auch bei der Installation der Pakete die Möglichkeit, entweder ganze Kategorien oder nach einem Klick auf den Kategorienamen einzelne Pakete aus der betreffenden Kategorie zur Installation auszuwählen. Sobald Sie Ihre Wahl getroffen haben, starten Sie den Vorgang mit Zur Installation.
54
Zur Installation/Zur Deinstallation
Bevor Sie den Befehl zur Installation geben, wird Ihnen eine Übersicht Ihrer Paketauswahl angezeigt, in der
Sie jetzt noch Pakete abwählen können. In den nächsten Feldern können Sie die Auswahl der Clients, auf
denen Sie Pakete installieren wollen, nach Gerätekonfiguration sowie Klassenräumen filtern. In der letzten
Liste werden alle Clients aufgelistet, die den von Ihnen gewählten Filterkriterien entsprechen. Die Ergebnisse dieser Liste sind vorausgewählt, d. h. wenn Sie nun auf Installieren klicken, würden alle Clients dieser Liste den Befehl zur Installation bekommen, der beim nächsten Neustart ausgeführt wird. Um die Installation
sofort zu starten, müssen Sie unten bei Installation/Deinstallation sofort starten ein Häkchen setzen.
Wenn Sie jetzt auf Installieren klicken, bekommen die Clients den Installationsbefehl sofort. Wenn Ihre Clients Wake-on-Lan unterstützen, und Sie diese Einstellung auf ihnen aktiviert haben, werden sie im Fall des
sofort starten eingeschaltet, sollten sie ausgeschaltet oder im Sleep-Mode sein.
Wenn Sie Programme deinstallieren möchten, gehen Sie genau wie bei der Installation vor. Wählen Sie die
zu deinstallierenden Programme aus. Beim Filtern werden Ihnen diesmal die Clients angezeigt, auf denen
die ausgewählten Pakete installiert sind. Durch Klicken auf Entfernen wird die Deinstallation entweder beim
nächsten Neustart der Clients oder, wenn markiert, sofort gestartet.
55
Installationen suchen
Um eine bessere Übersicht über den aktuellen Stand der Clients zu bieten, gibt es auf dem OSS die Möglichkeit nach Installationen zu suchen. Allerdings bietet Installationen suchen mehr als nur einen einfachen
Überblick. Sie können von hier aus sehen, welche Software auf den Clients installiert ist, auch wenn diese
nicht durch die Softwareverteilung installiert wurde, Installation-/Deinstallationbefehle geben und den Installationsstatus der einzelnen Clients einsehen.
Auf der ersten Seite können Sie die Filterkriterien setzen. Sie haben die Möglichkeit nach Kategorie, Paketen, Status, Räume und Arbeitsplätzen zu filtern. Wollen Sie beispielsweise jedes Paket auf jedem Rechner
eines bestimmten Raumes sehen, dann wählen Sie nur den Raum aus (z. B. edv32) und klicken anschließend auf suchen. Wollen Sie z. B. nur die Pakete sehen, die auch Installiert sind, müssen Sie auch den Status installiert markieren.
56
Abhängig von den Filterkriterien haben Sie auf dieser Seite mehrere Möglichkeiten. Aktuell könnten Sie die
Status der Installationen löschen oder Programme deinstallieren. Für Zweiteres müssen Sie einmal die Pakete auf dem Client sowie den Client, auf dem Sie deinstallieren wollen, markieren. Erst danach dürfen Sie
auf deinstallieren klicken. Der Button Jetzt ausführen führt dazu, dass das Installscript auf dem Client erneutausgeführt wird, wodurch die Pakete bzw. die Status der Pakete aktualisiert werden, aber auch hier müssen
Sie den Client markieren, bevor Sie jetzt ausführen klicken.
Hat ein Paket einen „nicht festen Status“, d. h. es hat den Befehl zur Inst/Deinstallation bekommen, wurde
nur noch nicht ausgeführt, haben Sie die Möglichkeit hier den Befehl über Inst/Deinst abbrechen zu revidieren oder ihn über Jetzt ausführen sofort ausführen zu lassen. Sollten Sie ein Paket deinstallieren wollen,
können Sie das von hier aus ebenfalls tun.
57
Haben Sie auf Jetzt ausführen geklickt, sehen Sie, dass das Installscript angelaufen ist. Das (Gestartet)
zeigt Ihnen genau, welches Paket das Script im Augenblick bearbeitet.
Das Installscript kann allerdings mehr als nur installieren. Es liest auf dem Computer die installierte Software
aus und zeigt sie als Manuell Installiert bzw. als Manuell Deinstalliert an, wenn ein zuvor mit der Softwareverteilung installiertes Paket auf einem Client von Hand deinstalliert wurde.
Hier sehen Sie, dass der WinDiffCreator manuell deinstalliert wurde. Pakete, die als Manuell Installiert gelistet werden, können Sie zur Softwareverteilung hinzufügen, d. h. Pakete aus ihnen bauen. Wie das im Einzelnen funktioniert, wird später noch unter „MSI/WPKG Paket hinzufügen“ erläutert.
Pakete bearbeiten
58
In dieser Übersicht sehen Sie sämtliche Pakete, die Sie heruntergeladen haben, und können sie bearbeiten,
löschen oder exportieren. Durch Markieren einer Kategorie vor Betreten der Übersicht werden nur die Pakete angezeigt, die sich in der markierten Kategorie befinden.
Es gibt verschiedene Möglichkeiten neue Pakete auf den OSS zu bekommen. Herunterladen ist die wohl
einfachste Variante. Wollen Sie aber selber ein Paket bauen, bietet Ihnen der OSS auch hierfür gewisse
Werkzeuge. Die einzige Einschränkung ist, dass die Methode nur bei MSI- bzw. InnoSetup Installern funktioniert, da diese beiden standardisierte Installations-Switche besitzen, weshalb der OSS mit nur wenigen Eingaben ein Paket bauen kann.
MSI/WPKG Paket hinzufügen
Die Schritte für das Hinzufügen von
Paketen - unabhängig ob MSI oder
InnoSetup - sind im Prinzip dieselben:
•
Name; zusammengesetzt
aus Programmname und
Versionsnummer, verknüpft
durch „V“ (z.B. ExEV1.2.3)
•
Beschreibung; kurze Information zum Programm
•
Version; selbe Programmversion wie zuvor beim Namen
•
Kategorie; gibt an, in welcher Kategorie das Paket
nach der Erstellung gespeichert wird. Sollte die Angegebene Kategorie noch
nicht existieren, wird sie erstellt
•
Vorgänger Paket; nur der
Name (ohne Version) des
Pakets
•
Lizenzbestimmungen; URL
zu der Herstellerseite
•
Paketanforderungen; z. B.
JRE für BlueJ
•
Software ID; die Nummer
oder der Name, die/der eine
Software in der Registry unter HKLM/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/UNINSTALL einträgt. Für
MSI Installer ist das eine Nummer in Klammern (Bsp. {4F34C602-4D6D-470D-A2A059E4F25DDBF2} ), für InnoSetup der Programmname und „_is1“ (Bsp. WinMerge_is1)
•
Softwarename; auch Displayname, ist der Name der unter Programme und Funktionen → Programme deinstallieren angezeigt wird
•
Installations-/Speicherpfad; Pfad zu einer Datei, die während der Abarbeitung des Pakets auf dem
Client erstellt wird, z. B. Script, welches ein Bild an eine bestimmte Stelle auf dem Client kopiert
•
Installation/Deinstallation; in der Abbildung oben sehen Sie die Kommandos für ein WPKG Paket.
Für MSI Pakete siehe unten:
59
•
Ausführen; gibt an, ob das Paket nur einmal oder bei jedem Neustart des Clients „Installiert“ werden
soll, z. B. Script, das die Systemzeit des Clients mit der des Servers synchronisiert
•
Paketpfad; gibt den genauen Pfad zur Installationsquelle auf dem Server aus Windowssicht an. Sie
müssen, wenn Sie bis hierhin alles vollständig ausgefüllt haben, nur den Installer angeben
Ihre Eingaben bestätigen Sie durch Hinzufügen. Der OSS erstellt das Paket jetzt voll automatisch. Es erscheint in der von Ihnen angegebenen Kategorie in der Softwareverteilung.
Es bietet sich während der Erstellung von Paketen an, auf die Option Hinzufügen bei manuell installierten
Paketen zurückzugreifen, da der OSS in diesem Fall die meisten Felder eigenständig ausfüllt, und Sie somit
nur geringfügige Anpassungen vornehmen müssen. Um diese Option zu nutzen, installieren Sie das gewünschte Programm auf einem Client und lassen - nach abgeschlossener Installation - das Installscript auf
diesem Client mittels Jetzt Ausführen (siehe Installation suchen) durchlaufen oder starten ihn neu. Wenn Sie
nun nach dem Status der Installation auf diesem Client suchen, sehen Sie das installierte Programm in blauer Schrift. Sobald Sie auf den Hinzufügen-Button klicken, erstellt der OSS daraus ein Paket, welches in der
neu erstellten Kategorie Manuell Installierte Software gespeichert wird.
Die Kategorie (auch das Paket) erscheint rot, da das Paket noch nicht vollständig fertig gestellt ist. Sie müssen es über Paket bearbeiten selber fertig stellen.
Der OSS hat den Pfad, den Sie unter
Paketpfad sehen, angelegt. Da ihm
jetzt noch die Installationsquelle, gibt er
die zu sehende Fehlermeldung aus.
Sobald Sie die Installationsquelle angegeben und sie an diese Stelle auf dem
OSS kopiert haben, ist das Paket vollständig einsatzbereit und kann an weitere Clients verteilt werden. Sie können
die Installationsquelle entweder manuell auf dem Server an die richtige Stelle
kopieren oder über .MSI Auswählen von
dem Computer aus, auf dem Sie gerade
angemeldet sind, hochladen.
Die Abbildung zeigt das Vorgehen am
Beispiel des MSI-Installers für orca.
60
Lizenzschlüssel
Das OSS Software-Repository erlaubt Ihnen die Angabe mehrere Lizenzschlüssel für ein Paket. Sie können
dabei angeben, wie oft dieser Schlüssel verwendet werden darf. Wurde ein Schlüssel einmal für einen PC
verwendet, dann bleibt dieser auch diesem PC zugeordnet, selbst wenn Sie die Software dort deinstallieren.
Ein Freigeben des Schlüssels muß durch Sie manuell erfolgen.
Bei der Anlage des Softwarepaketes geben Sie an, wie die Lizenzen vorhanden sind, ob über eine XMLDatei, eine CSV Datei oder ob Sie direkt eingegeben werden.
Über die Details können Sie später die Zuordnung der Lizenzschlüssel einsehen und ggf. diese wieder über
„freigeben für andere PCs“ freistellen.
61
Software einem Image zuweisen
Ihren Images können Sie ebenfalls Software aus dem Repository zuweisen. Bei neuen PCs, die dieses
Image erhalten, wird dann automatisch die Softwareauswahl installiert:
Gehen Sie nach Netzwerk->Gerätekonfigurationen, wählen Sie dort das image aus (Hardware bearbeiten),
gehen auf Details bei Zu installierende Software und wählen dort die Standardsoftware aus.
Hinweis
Wenn ein PC schon einmal mit Softwarepaketen versorgt wurde, wird beim Wiederherstellungsprozess mit dem Image dieselbe Software wieder installiert, die beim OSS registriert ist,
d.h. nicht die Software, die dem Image zugeordnet ist, sondern der letzte Stand des PCs.
62
13
OSS Radius-Server
Überblick
Dieses Dokument beschreibt die Anbindung von WLAN-Clients über den OSS 3 Radius-Server.
Die Anbindung der WLAN-Clients bietet sich immer dann an, wenn man fremde Notebooks im Netz erlauben
möchte ohne ein gemeinsames Kennwort an alle Benutzer zu vergeben, welches im Falle des Missbrauchs
für jeden Benutzer geändert werden müsste.
Zur Anbindung der Clients nach dieser Anleitung benötigen Sie Radius-fähige Access Points. Diese
verbinden Sie über das Schulnetzwerk mit dem OSS.
Beispiel-Access-Points mit Radius Authentifizierung: Netgear WN802T, Apple Aiport Extreme.
Die Radius-Funktion der Access Points wird oftmals auch mit den Standards WPA2-Enterprise, WPA2-1x
oder WPA2-802.1x bezeichnet.
Systemvoraussetzungen
Sie benötigen:
– Open School Server ab Version 3.2 (oder einen OSS 3 mit den letzten Updates)
– Einen Radius-fähigen Accesspoint (s. 1.)
– Einen Client mit WLAN Karte; bei Windows empfehlen wir mindestens XP Professional mit Service
Pack 3 (einige XP SP2 funktionieren ebenfalls)
Installation
Wenn Sie die OSS-Radius-Erweiterung gekauft haben, werden Sie ein sog. Rpm-Paket erhalten, welches
Sie als Benutzer root mit folgendem Befehl installieren müssen:
zypper install oss-radius.rpm
Wenn Sie Schwierigkeiten mit der Installation haben, wenden Sie sich an unser Supportteam.
Passwort festlegen
Nach der Standardinstallation ändern Sie bitte das default Passwort in der Datei /etc/raddb/clients.conf im
Bereich „client ...“ mit „shortname=server-net“ von testing123-1 auf ein anderes Passwort. Dieses Passwort
benötigen Sie wieder bei der Access-Point-Konfiguration.
Jedes Mal, wenn Sie Änderungen in dieser Datei (z. B. Passwortänderung) vornehmen, müssen Sie als root
den Free-Radius Server mit folgendem Befehl neustarten:
rcfreeradius restart
63
Prozessüberwachung
Wenn Sie möchten, dass der Radius Prozess in der Liste der Prozesse im Menüpunkt System -> Prozessüberwachung aufgeführt wird, dann nehmen Sie den Dienst freeradius unter System -> Globale Konfiguration -> Einstellungen in die Liste der zu überwachenden Prozesse auf (Parameter MONITOR_SERVICES).
Konfiguration des Access-Points
Nehmen Sie den Access-Point über die Administrationsoberfläche unter Netzwerk -> Räume/Rechner in den
Raum SERVER_NET auf. Tragen Sie dort die MAC-Adresse der Netzwerkkarte ein, mit der der Access-Point
mit dem OSS verbunden ist.
Die weitere Konfiguration ist abhängig vom verwendeten Access-Point. Sie müssen beim Access-Point bei
der Zugriffssteuerung „Radius“ bzw. „Firmenweiter WPA2“ auswählen.
Am Beispiel des Apple Airport Extreme:
a) Einstellen, dass Radius verwendet werden soll:
Wählen Sie bei Schutz „Firmenweiter WPA2“ aus.
Anschließend gehen Sie auf „RADIUS konfigurieren“.
b) Tragen Sie als Haupt-RADIUS-IP-Adresse die Adresse des OSS Servers (Schulnetz) ein. Je nachdem
welches Netzwerk Sie bei der OSS-Installation gewählt haben, lautet die Adresse z. B. 192.168.0.2 oder
10.0.0.2.
c) Tragen Sie als Haupt-Schlüssel das Passwort ein, das Sie unter 3.1 angegeben haben.
d) Konfigurieren Sie den Haupt-Port – wenn Sie diesen nicht bei der Installation des Radius-Servers geändert haben, ist er 1812.
Aufnahme der WLAN-Clients in den OSS
Registrieren Sie die WLAN-Clients - wie jeden anderen PC - über ihre MAC-Adressen am OSS. Legen Sie
dazu ggf. virtuelle Räume/Notebookklassen an.
Wichtig
Verwenden Sie zur Aufnahme die MAC-Adresse der WLAN-Karte und nicht die der normalen
Netzwerkkarte! Sie erhalten diese über die Netzwerkeinstellungen.
Sie werden feststellen, dass nach der Installation des Radius-Servers die Raumkonfiguration um den Eintrag
WLAN-Zugang erweitert wurde – sowohl bei der Neuaufnahme der PCs als auch in der Raumübersicht.
64
Wenn Sie hier bei WLAN-Zugang einen Haken setzen, konfigurieren Sie den OSS darauf, dass Benutzer
sich über diesen PC im WLAN anmelden können.
Im zweiten Schritt müssen Sie dann noch zuordnen, welcher Schüler oder Lehrer diesen PC für den WLANZugang nutzen darf. Dazu rufen Sie die betreffende Person über das Menü Benutzer/Gruppen -> Benutzer
Bearbeiten auf.
Sie können bei WLAN/RAS-Zugang den Zugang jedes Benutzers einstellen. Durch „no“ hat der Benutzer
keinen Zugang, stattdessen führt „all“ zu einem Zugang von jedem WLAN-Client aus. Die Clients werden
erst in dieser Liste erscheinen, wenn Sie sie wie im vorherigen Schritt beschrieben für „WLAN-Zugang“
konfiguriert haben.
Wichtig
Damit man überhaupt Rechner über die WLAN-Karte registrieren kann, wird bei der Installation des Paketes oss-radius beim Benutzer admin und bei allen Lehrern mit Administrationsrechten der Wert WLAN-Zugang auf „all“ gesetzt.
Konfiguration der WLAN-Clients
Die Konfiguration der Clients hängt von ihrem Betriebssystem und von der verwendeten WLANSoftware/Treiber ab.
Wollen Sie sich mit einem für WLAN im OSS konfigurierten Client am Schulnetz anmelden, dann schalten
Sie das WLAN auf dem Client ein und wählen das Schul-WLAN aus (der Name wird von Ihrem Access-Point
definiert).
Die WLAN-Client Software sollte automatisch erkennen, dass der Zugriff über WPA2 (nicht WPA2-PSK) gehen soll und dabei Benutzername und Passwort eingegeben werden müssen. Hier verwenden die Benutzer
die Zugangsdaten, die sie auch verwenden, um sich an der Windows-Domäne des Schulservers oder an der
Adminoberfläche anzumelden.
Nach erfolgreicher Anmeldung im OSS-WLAN wird in der OSS-LDAP-Datenbank jeweils ein Attribut an das
Personen- und Rechnerobjekt gesetzt. Dadurch ist eine weitere Anmeldung an den Proxyserver nicht mehr
nötig. Lediglich die Internetverbindung muss im Browser über Proxy (Automaisches Proxy-KonfigurationScript: http://admin/proxy.pac ) konfiguriert werden.
Auf die Freigaben des OSS kann über den Netzwerkbrowser zugegriffen werden.
65
Windows Clients
Bei Windows Clients sind abhängig von der Windows-Version ggf. weitere Schritte notwendig.
Entfernen Sie in den Drahtlosen Netzwerkeigenschaften bei
Authentifizierung die beiden Haken bei „Als Computer authentifizieren“ und „Als Gast authentifizieren“.
Klicken Sie auf „Eigenschaften“ bei „EAP-Typ“ und entfernen Sie den Haken bei „Serverzertifikat überprüfen“
(außer Sie haben ein offizielles Zertifikat auf dem OSS installiert).
Gehen Sie dann auf Authentifizierungsmethode auswählen“ -> Konfigurieren. Entfernen Sie den Haken bei „Automatisch eigenen Windows-Anmeldenamen...“ .
Wenn Sie von Windows bei der Herstellung der WLAN-Verbindung nach Benutzername und Passwort gefragt werden, geben Sie Ihren OSS Benutzernamen und Passwort ein, lassen aber das Feld „Domäne“ leer.
Verhalten bei Missbrauch
Sollten Sie den Missbrauch eines WLAN-Zugangs feststellen, dann entfernen Sie in der Admin-Oberfläche
über Netzwerk -> Räume/Rechner für das betreffende Schüler-Notebook einfach den Haken unter „WLANZugang“, wodurch Sie ihm die WLAN-Berechtigung entziehen.
Sollte Ihnen ein Access-Point gestohlen worden sein, und Ihre Access-Points erlauben das nachträgliche
Auslesen des Hauptpasswortes, müssen Sie nur - wie im Kapitel „Installation“ beschrieben - das Passwort
des Server-Netzes ändern und auf den verbleibenden Access-Points das neue Passwort eintragen. Auf den
Schüler-Notebooks muss in diesem Fall nichts geändert werden.
66
14
Klassenzimmerüberwachung
Raum anordnen
Für den OSS Klassenzimmermonitor (ClaXss Monitor) müssen Sie nach der Aufnahme der PCs in einen
Raum die PCs so im Raum anordnen, wie sie aus Sicht des Lehrers tatsächlich im Raum stehen.
Rufen Sie den Menüpunkt Netzwerk->Räume/Rechner auf und wählen Sie Ihren Raum aus, indem Sie auf
die Schaltfläche mit dem Raumnamen klicken. Wählen Sie dann über die Schaltfläche Raumtyp zuerst ein
Raster für die Aufstellung der Tische im Klassenzimmer aus, indem Sie die Anzahl der Reihen und Plätze
pro Reihe angeben.
Anschließend positionieren Sie die PCs im Raum. Wählen Sie dazu den Raum und dann die Schaltfläche
Raum anordnen aus.
Es erscheint daraufhin ein schematisiertes Abbild Ihres Klassenzimmers, in dem ggf. die bereits positionierten Rechner angeordnet sind. Rechts davon finden Sie die noch nicht positionierten Rechner.
Verschieben Sie nun einfach mit der Maus die PCs an die richtige Stelle und benutzen Sie die Schaltfläche
Anwenden zum Speichern.
67
PCs überwachen
Gehen Sie auf Sicherheit->Raumüberwachung, um die PC-Überwachung zu starten.
Wählen Sie auf der Linken Seite den Raum über einen Doppelckllick aus, dann wird Ihnen der Raum im von
Ihnen vorgegebenen Layout angezeigt. Wenn Sie dann in der Menüzeile auf den Play-Knopf (2. von links)
drücken, dann starten Sie die Echtzeitüberwachung.
Der OSS zeigt Ihnen an, welcher PC erreichbar ist, wer angemeldet ist, und ggf. eine verkleinerte Bildschirmkopie.
Ein Doppelklick auf den kleinen Bildschirm zeigt Ihnen einen aktuellen vergrößerten Bildschirmausschnitt an.
Mit der rechten Maustaste erhalten Sie weitere Optionen für einen PC, wie z. B. Bildschirm sperren oder
Ausschalten des PCs. Möchten Sie alle PCs des Raumes auf einmal steuern, verwenden Sie die Symbole in
der Menüzeile.
68