Die Arbeit mit dem Open School Server 3 als Systemadministrator © 2009-2013 EXTIS GmbH Inhaltsverzeichnis 1 Überblick........................................................................................................................................................ 5 Die Netzwerkstruktur des Open School Servers............................................................................................... 6 Konkreter Aufbau in Ihrer Schule...................................................................................................................... 7 2 Installation...................................................................................................................................................... 9 Partitionieren..................................................................................................................................................... 9 Netzwerkadressen.......................................................................................................................................... 11 Die Startseite im Browser............................................................................................................................... 13 3 Backup und Restore.................................................................................................................................... 15 Automatische Installation eines Backup-Servers............................................................................................ 16 Backup auf eine externe USB-Festplatte........................................................................................................ 16 Festplatte Formatieren und Partitionieren....................................................................................................... 17 Restore........................................................................................................................................................... 18 Vollständiges Zurückspielen des Backups...................................................................................................... 18 Partielles Zurückspielen des Backups............................................................................................................ 18 4 Administration Räume und Rechner............................................................................................................ 19 Räume/Rechner.............................................................................................................................................. 19 Anbindung von Windows-Clients.................................................................................................................... 20 5 Benutzer...................................................................................................................................................... 22 Neu – Anlegen einzelner Benutzer................................................................................................................. 22 Benutzer importieren – Einlesen von Benutzerlisten...................................................................................... 24 Format der Import CSV-Datei......................................................................................................................... 24 Testen und Kontrollieren des Imports............................................................................................................. 26 Bearbeiten – Verändern der Benutzerdaten.................................................................................................... 27 Gruppen bearbeiten........................................................................................................................................ 29 Anlegen einer Gruppe..................................................................................................................................... 29 6 Drucker........................................................................................................................................................ 30 Neuen Drucker anlegen.................................................................................................................................. 30 Übersicht der Drucker..................................................................................................................................... 31 Drucker auf UNIX/Linux Clients einrichten...................................................................................................... 31 7 Zugangskontrolle......................................................................................................................................... 32 Proxy............................................................................................................................................................... 32 Raumkontrolle................................................................................................................................................. 32 Zugangszeitplan............................................................................................................................................. 33 Firewall........................................................................................................................................................... 33 Eingehende Verbindungen.............................................................................................................................. 33 Ausgehende Verbindungen............................................................................................................................. 34 Fernwartungszugänge.................................................................................................................................... 35 8 Profile verwenden........................................................................................................................................ 36 Profile am OSS............................................................................................................................................... 36 Erstellung und Behandlung von Profilen am OSS.......................................................................................... 37 Verteilbares Windows 7/8 Profil erstellen........................................................................................................ 37 1.Windows vorbereiten................................................................................................................................... 37 2. Profil erstellen............................................................................................................................................. 41 3. Client wiederherstellen und Profil kopieren................................................................................................. 42 Profile verteilen............................................................................................................................................... 45 9 Mobile Clients.............................................................................................................................................. 47 WebDAV-Zugriff.............................................................................................................................................. 47 WebDAV-Zugriff für einzelne Benutzer........................................................................................................... 47 WebDAV-Zugriff für Gruppen.......................................................................................................................... 47 10 Systemüberwachung................................................................................................................................. 49 Prozessüberwachung..................................................................................................................................... 49 Supportanfrage............................................................................................................................................... 49 11 Windows mit dem OSS klonen................................................................................................................... 51 Systemvoraussetzungen................................................................................................................................. 51 Master vorbereiten.......................................................................................................................................... 51 Klonen............................................................................................................................................................. 51 Verwenden von SYSPREP............................................................................................................................. 51 Ohne SYSPREP............................................................................................................................................. 51 Wichtige Hinweise.......................................................................................................................................... 51 12 Softwareverteilung..................................................................................................................................... 53 Pakete herunterladen..................................................................................................................................... 53 Zur Installation/Zur Deinstallation................................................................................................................... 55 Installationen suchen...................................................................................................................................... 56 Pakete bearbeiten........................................................................................................................................... 58 MSI/WPKG Paket hinzufügen......................................................................................................................... 59 Lizenzschlüssel............................................................................................................................................... 61 Software einem Image zuweisen.................................................................................................................... 62 13 OSS Radius-Server................................................................................................................................... 63 Überblick......................................................................................................................................................... 63 Systemvoraussetzungen................................................................................................................................. 63 Installation....................................................................................................................................................... 63 Passwort festlegen......................................................................................................................................... 63 Prozessüberwachung..................................................................................................................................... 64 Konfiguration des Access-Points.................................................................................................................... 64 Aufnahme der WLAN-Clients in den OSS....................................................................................................... 64 Konfiguration der WLAN-Clients..................................................................................................................... 65 Windows Clients............................................................................................................................................. 66 Verhalten bei Missbrauch................................................................................................................................ 66 14 Klassenzimmerüberwachung..................................................................................................................... 67 Raum anordnen.............................................................................................................................................. 67 PCs überwachen............................................................................................................................................ 68 1 Überblick Der Open School Server (OSS) beruht auf dem Suse Linux Enterprise Server 11 und bietet den Lehrern und Schülern folgende Dienste an: • Dateiserver: stellt die privaten Verzeichnisse der Schüler und Lehrer sowie zahlreiche gemeinsame Verzeichnisse zentral bereit • Druckserver: stellt alle Drucker im Netz bereit und steuert den Zugriff darauf • Internetzugang: die Internetverbindung wird zentral über den OSS hergestellt, welcher den Zugang gegen unbefugte Zugriffe von außen sichert und die Schüler vor kritischen Seiten des Internets schützt • Anmeldeserver: für Windows-, Mac-, und Linux-Clients verwaltet der OSS die Benutzer-IDs, Passwörter und Gruppenzugehörigkeit der Lehrer und Schüler • Mailserver: regelt das Empfangen und Senden von E-Mails, innerhalb der Schule und nach außen • Serverbasierte Anwendungen: weitere zentrale Anwendungen wie Groupware (Termine, Kalender, Dokumentenverwaltung) oder Moodle (E-Learning) werden auf dem OSS betrieben • WEB-Server: Schüler, Lehrer und Arbeitsgruppen können eigene Webseiten innerhalb der Schule veröffentlichen. Über Joomla (Content-Management System) können zudem schulische Inhalte ohne HTML Kenntnisse im Internet/Intranet bereitgestellt werden • PXE-Bootumgebung: für verschiedene Szenarien zum Booten über Netzwerk ist der OSS vorbereitet, z. B. Netwerkboot, Terminal-Lösungen oder Autoinstallation • Klonen und Backup von PCs: über einen einfachen Klone-Mechanismus können konfigurierte Systeme geklont bzw. gesichert werden • Softwareverteiliung und Aktualisierungsserver: Für Windows-Clients bietet der Open School Server einen Softwareinstallationsserver inkl. Versions- und Abhängigkeitsverteilung sowie einen Updateserver • Autoinstallationsumgebung: Open School Server bietet eine Autoinstallationsumgebung für die Installation und Verwaltung von openSUSE-Clients an • Administrationsanwendung: per Browser können die wichtigsten Funktionen des OSS administriert werden 5 Einige Funktionen wie E-Mail, Internetzugang oder Drucken stehen den Client-Rechnern sofort zur Verfügung. Um allerdings den vollen Funktionsumfang des Open School Servers nutzen zu können • müssen sich die Benutzer an den Client-Rechnern anmelden und • muss der Client-Rechner beim OSS registriert sein. Erst nach dem Anmelden bekommen die Benutzer Zugang zu ihrem privaten Ordner (Home-Verzeichnis) und zu den gemeinsamen Verzeichnissen. Die Netzwerkstruktur des Open School Servers Der Open School Server unterteilt das Netzwerk in logische Segmente. Die einzelnen Segmente entsprechen dabei den realen räumlichen Gegebenheiten der betreffenden Schule. Dadurch können die Arbeitsplatzrechner gezielt von den Lehrern kontrolliert werden. Aber nicht nur stationäre Rechner sondern auch mobile Geräte, externe Laptops und unbekannte Rechner können problemlos im Netzwerk betrieben werden – erhalten aber ohne „Erlaubnis“ des Administrators nur eingeschränkten Zugriff auf die vorhandenen Ressourcen. Sie sehen hier den grundlegenden Netzwerkaufbau. Das Schulnetz wird in mehrere logische Teilnetze unterteilt. Im ersten Teilnetz („Servernetz“) befinden sich die Server der Schule. Hier können Sie z. B. die Netzwerkdrucker registrieren. Im Servernetz würden Sie auch die Geräte Ihrer IP-Infrastruktur platzieren, z. B. Switche mit eigenen IP-Adressen. Für dieses Netzwerksegment können Sie besondere Zugriffsrechte auf das Internet definieren, damit Virenscannerserver zu jeder Zeit ungestört die Virensignaturen holen können, oder die Drucker ihren Verbrauchsmaterialstand Ihren Lieferanten melden können usw. Das zweite Teilnetz (ANON_DHCP-Bereich) wird für neue bzw. provisorische Arbeitsplätze reserviert. Aus diesem Bereich ist nur ein beschränkter Zugang möglich. (Eine Ausnahme bildet hier die Installation vom Open School Server als Grundschulserver.) In den weiteren Teilnetzen werden die Arbeitsplätze, Tablets, iPads und sonstige Geräte der Schule geordnet untergebracht. Dazu wird jedem Schulraum ein eigener IP-Adressenbereich zugeordnet. Es ist sinnvoll nicht stationäre Rechner auch einem oder mehreren virtuellen Schulräumen zuzuordnen. Diese Aufteilung des Netzwerkes ermöglicht einerseits die bequeme und effektive raumweise Sperrung der Dienste des Open School Servers und bietet andererseits die Möglichkeit bei Störungen im Netz schnell einzugreifen. 6 Konkreter Aufbau in Ihrer Schule • Transportnetzwerk-Adresse des OSS: • Internet-Verbindung über: • IP-Adressen des OSS: admin, ldap, pdc-server, nameserver, timeserver, samba: mailserver, schoolserver: printserver: proxy: backup: • Anonymer Bereich: • Domainname: • Windows-Domäne: • Windowsname des Schulservers: 7 8 2 Installation Sie werden automatisch durch den Installationsprozess geführt und müssen im Normalfall nur die Daten zu Ihrer Schule und Ihrem Netzwerk eingeben. Bei Bedarf können Sie aber auch spezielle Einstellungen vornehmen. Partitionieren Der OSS teilt die Festplatte i. d. R. selbst korrekt auf. Sollten Sie Veränderungen/Anpassungen vornehmen wollen, beachten Sie bitte Folgendes: Wenn Sie den unten stehenden Partitionierungsvorschlag befolgen, müssen Sie 5 Partitionen erstellen. Auf Legacy-Bios-Systemen müssen Sie „ / “ auf jeden Fall als primäre Partition anlegen, um Bootprobleme zu vermeiden. Die restlichen Partitionen können in einer erweiterten Partition angelegt werden. Als Format empfehlen wir das Filesystem Ext3. Sie müssen nun folgende Partitionen mit den hier erläuterten Parametern anlegen und konfigurieren. Da der Platzbedarf für /home und /srv nur sehr schwer einzuschätzen ist, empfehlen wir die Anwendung von LVM. Partition Beschreibung swap Diese Partition dient dem zeitweisen Auslagern von RAM-Speicherinhalten. Wählen Sie diesen Bereich entsprechend der Speichergröße Ihres Rechners aus. / Das Wurzelverzeichnis des Systems. Als Größe sollten im Normalfall 10 GB reichen. /var In diesem Verzeichnis befinden sich vor allem die Spool-Verzeichnisse des Drucksystems, die Emails der Benutzer und die Benutzerdatenbank. Deshalb ist es sinnvoll, dieses Verzeichnis auf eine separate Partition zu legen. Die Größe dieser Partition wird in erster Linie durch die Anzahl und Größe der Mailboxen bestimmt. Sind in Ihrer Schule z. B. 800 Schüler und 80 Lehrer, werden die Mailboxen der Lehrer auf 25 MB und die der Schüler auf 5 MB begrenzt. So sind Sie in unserem Beispiel mit einer Partitionsgröße von (800 * 5 MB) + (80 * 25 MB) + 20GB = 26 GB auf der sicheren Seite. /home Hier werden die Dateien der Benutzer gespeichert. Die Praxis zeigt, dass diese Partition nie groß genug sein kann. Am besten verwendet man dafür aus Performancegründen eine eigene Festplatte. /srv Hier werden die Daten verschiedener Serverdienste, die Images des cloneTools, die Pakete der Softwareverteilung und die Windows Updatepakete gespeichert. Weiterhin müssen ggf. die Inhalte der Installations-DVD vom OSS für die Einrichtung eines Backupservers nach (/srv/ftp/akt/CD1) kopiert werden. Hierfür benötigen Sie ca. 4GB. Um SUSE LINUX Clients automatisch zu installieren, muss eine Autoinstallationsumgebung eingerichtet werden. Dafür benötigen Sie mindestens 40GB. Hinweis Für die / und /var und /home-Partitionen müssen die Fstab Optionen Listen für Zugriffskontrolle (ACL) bzw. Erweiterte Benutzerattribute aktiviert sein. Weiterhin ist es empfehlenswert als Label des Volumes root, var bzw. home zu setzen. Für die /home-Partition muss im Feld Beliebiger Optionswert folgender Wert eingetragen werden: usrquota. 9 10 Netzwerkadressen Für das Schulnetz wurden drei Netzwerkmodelle bereits bis ins Detail vorkonfiguriert: • 10.0.0.0/8 • 172.16.0.0/16 • 192.168.0.0/16 Andere Netzwerkbereiche kann man gleichfalls wählen, diese müssen jedoch manuell eingetragen werden. Akzeptiert man die Standardeinstellungen, muss in diesem Menü lediglich der Domainname der Schule eingetragen werden. Beachten Sie bitte, dass es sich bei der Vorauswahl um IP-Nummern für lokale Netze handelt: Diese IPAdressen werden nicht im Internet verwendet und auch nicht weitergeleitet. Damit ist sichergestellt, dass es zu keinerlei Adresskonflikten mit „richtigen“ IP-Internet-Adressen kommt. Wenn Sie z. B. die Konfiguration für das 172er Netzwerk übernehmen, wird der Open School Server folgendermaßen konfiguriert: • IP-Adresse z. B. 172.16.0.2; DNS-Namen: admin, dns, nfs, ldap, samba, PDC-SERVER, gateway, timeserver • Subnetzmaske z. B. 255.255.0.0; Eine engere Netzwerkmaske als 255.255.240.0 wird von dem Open School Server nicht akzeptiert, da sonst keine IP-Adressen für die Schulräume zur Verfügung stehen. • IP-Adresse des Mailservers z. B. 172.16.0.3; DNS-Namen: schulserver, mailserver, schoolserver • IP-Adresse des Druckservers z. B. 172.16.0.4; DNS-Namen: printserver, install 11 • IP-Adresse des Proxy-Servers z. B. 172.16.0.5; DNS-Name: proxy • IP-Adresse des Backup-Servers z. B. 172.16.0.6 • Anonymer DHCP-Bereich: Aus diesem IP-Adressenbereich bekommen neue bzw. nicht registrierte Rechner ihre IP-Adressen. Der Standardbereich ist z. B. 172.16.1.1 bis 172.16.1.25 Alle Rechner des IP-Adressenbereiches für nicht registrierte Rechner werden in den Nameserver mit folgendem Namen eingetragen: dhpc1 - dhcp254.<domainname.der.schule>. • Erstes Klassenzimmer: Aus diesem IP-Adressenbereich bekommen registrierte Rechner des ersten Klassenraumes ihre IP-Adressen (z. B. 172.16.2.1 bis 172.16.2.64). Weitere Klassenräume werden entsprechend angelegt. • (Ungefähre) Anzahl der Schulräume: Für jeden Schulraum wird eine sog. DHCP-Gruppe und ein IPAdressenbereich von 62 IP-Adressen reserviert. Hier geben Sie bitte die ungefähre Anzahl der Schulräume, in denen sich Computer befinden, an. Auch später ist es möglich weitere DHCP-Gruppen bzw. IP- Adressenbereiche über die DHCP-Konfigurationsoberfläche zu reservieren, was jedoch tiefergehende Kenntnisse erfordert, weswegen Sie hier lieber großzügiger sein sollten. Achtung Wir empfehlen den Schulserver immer mit 2 Netzwerkkarten auszustatten und den Internetzugang über die zweite Netzwerkkarte und einen Router zu konfigurieren (Transportnetz). In diesem Fall müssen Sie auf jeden Fall für das Schulnetz und für das Transportnetz unterschiedliche Netzwerkbereiche auswählen. Wenn Ihr Transportnetz bzw. Ihr Internetrouter z. B. ein 192er Netzwerk verwendet, sollten Sie für das Schulnetz ein 10er oder 172er Netzwerk auswählen. 12 Die Startseite im Browser Nach der erfolgreichen Installation steht Ihnen nun der Open School Server mit seinen Funktionen zur Verfügung. Öffnen Sie dazu einen Browser auf einem Ihrer Clientrechner und geben Sie die URL https://admin/ ein. Sie sollten dann folgende Startseite erhalten. Achtung Da das Zertifikat des Open School Servers erst bei der Installation speziell für Ihre Schule ausgestellt wird, kennt der Browser dieses Zertifikat nicht und gibt eine entsprechende Warnung aus. Je nach Webbrowser müssen Sie dieses Zertifikat auf unterschiedliche Weise dauerhaft akzeptieren bzw. in das Zertifikat-Management aufnehmen. Sollten Sie bei der dauerhaften Annahme Probleme haben: In den Schulungsunterlagen für Lehrer finden Sie eine entsprechende Anleitung für die gängigsten Browser. Je nach Rolle des angemeldeten Benutzers werden verschiedene Administrationsmöglichkeiten angeboten. Rolle / Benutzer Tätigkeit Root Dieser Benutzer kann sich nicht an der Adminoberfläche anmelden. Er wird genutzt, um das System mit Linux-Mitteln zu administrieren. Der Windows Domänenadministrator wird auf Linux-Seite als „root“ gemappt. D. h.: Meldet man sich als „Administrator“ an einem WindowsClient bei der Domäne an, hat dieser Benutzer vollen Zugriff auf alle Benutzerdateien über die Freigabe „users“. admin Dieser Benutzer ist Systemadministrator und hat alle Rechte in der Administrationsoberfläche - nicht jedoch auf das Filesystem, weshalb es ihm nicht möglich ist, alle Benutzerdateien einzusehen bzw. zu löschen. Da er Mitglied der Gruppe „Domain Administrator“ ist, hat er auf jedem Rechner, der der Schuldomäne beigetreten ist, lokale Administrationsrechte. Lehrer mit Administrationsrechten Diese Lehrkräfte sind ebenfalls Systemadministratoren und haben weitreichende Rechte in der Adminoberfläche. Außerdem haben Sie auf den Windows-Clients „Domain Administrator-Rechte“. Also auch sie können Software bzw. Drucker an den Clients installieren. LehrerInnen Diese Personen können ihre Klassen und das Klassenzimmer, aus dem sie sich gerade an der Adminoberfläche angemeldet haben, verwalten. Schüler Können lediglich ihr Passwort in dieser Oberfläche ändern und auf Ihre eigenen Daten zugreifen. 13 14 3 Backup und Restore Die Konfiguration des automatischen Backups erfolgt über die Administrationsoberfläche unter System -> Globale Konfiguration -> Backup. Zunächst legen Sie mit vier Variablen den Speicherplatz und den Ablauf für das Backup fest: Variable Bedeutung BACKUP Mögliche Werte: yes oder no. Soll überhaupt ein Backup durchgeführt werden? BACKUP_CAN_NOT_SAVE_ACL Wenn Ihr Backup-Medium ACLs nicht speichern kann, setzen Sie diese Variable auf yes. In diesem Fall werden die ACLs in einer separaten Datei gespeichert. BACKUP_CHECK_MOUNT Diese Variable sollten Sie bei der Verwendung von externen Medien immer auf yes setzen. Dann prüft der Open School Server vor dem Backup, ob das Verzeichnis gemountet ist und führt bei einem negativen Ergebnis kein Backup durch. Sollten Sie also einmal vergessen eine Platte anzuschließen oder ist der Backup-Server bzw. NAS nicht erreichbar, wird auch kein Backup durchgeführt. Das erspart Ihnen im Fall der Fälle zwar keinen Datenverlust aber viele Warn-E-Mails und eine vollgelaufene /-Partition. BACKUP_FULL_DIR Geben Sie hier den Pfad zum Verzeichnis für das vollständige Backup an. BACKUP_INC_DIR Unterhalb dieses Verzeichnisses werden die inkrementellen Backups abgelegt. Dabei wird jeden Tag ein neues Unterverzeichnis mit dem aktuellen Datum erzeugt. Für das vollständige und das inkrementelle Backup können Sie auch dieselben Verzeichnisse angeben. Der Open School Server legt für jedes inkrementelle Backup ein neues Unterverzeichnis mit der genauen Zeit als Namen an. Deshalb können beide Verzeichnisse (BACKUP_FULL_DIR und BACKUP_INC_DIR) identisch sein. BACKUP_START_CMD Dieser Befehl wird ausgeführt bevor das Backup gestartet wird. Hier können Sie Befehle festlegen, um das Backup-Medium zu mounten. Die Standardwerte sind für die automatisch installierten Backup-Server geeignet. Wenn Sie mehrere Befehle angeben, müssen diese durch „;“ getrennt werden. BACKUP_STOP_CMD Dieser Befehl wird nach dem Abschluss aller Backup-Prozesse ausgeführt. Hier können Sie Befehle festlegen, um das Backup-Medium auszuhängen (umount). Die Standardwerte sind für die automatisch installierten Backup-Server geeignet. Wenn Sie mehrere Befehle angeben, müssen diese durch „;“ getrennt werden. 15 Mit Hilfe weiterer Variablen bestimmen Sie dann den Umfang des Backups: Variable Bedeutung BACKUP_CTOOL Die mit dem cloneTool erstellten Images und Konfigurationen werden bei „yes“ auch gespeichert. BACKUP_CUSTOM_SCRIPTS Hier können Sie Befehle festlegen, die zusätzlich zu den Backup-Skripten des Open School Servers ausgeführt werden. Dadurch können Sie z. B. von zusätzlich installierten Datenbanken oder Webseiten Backups erstellen. Das Backup-Skript erwartet hier den vollen Pfad zu dem auszuführenden Skript, z. B. /usr/sbin/save-my-database. Wenn Sie mehrere Skripte verwenden, müssen diese durch Leerzeichen getrennt werden. Diese Skripte werden mit folgenden Parametern aufgerufen: 1. Parameter: Pfad zum aktuellen BACKUP_INC_DIR Verzeichnis 2. Parameter: Pfad zum BACKUP_FULL_DIR Verzeichnis Hier dürfen keine Shell-Befehle direkt angegeben werden! BACKUP_DB Mit diesem Eintrag können Sie entscheiden, ob die Datenbank der jeweiligen Groupware gesichert werden soll. Hier werden je nach verwendeter Groupware u. a. die Termine, persönlichen Adressbücher und Forum-Nachrichten gespeichert. BACKUP_HOME Mit yes aktivieren Sie das Backup für das /home-Verzeichnis. BACKUP_JOOMLA Definiert, ob Joomla mit gesichert werden soll. BACKUP_LDAP Da sämtliche Benutzerdaten des Open School Servers in der LDAPDatenbank gespeichert werden, sollten Sie hier generell yes eintragen. BACKUP_MAIL Mit yes werden sämtliche E-Mails gesichert. BACKUP_MOODLE Definiert, ob Moodle mit gesichert werden soll. Automatische Installation eines Backup-Servers Der Open School Server bietet eine automatische Installationsmöglichkeit für einen Backup-Server. Wenn Sie mit dieser Methode einen Rechner installieren, ist dieser vollständig für das Backup vorbereitet und in das Netzwerk des Open School Servers integriert. Dieser Server ist so konfiguriert, dass • er den DNS-Namen backup.<Ihr DNS-Domainame> und die damit verbundene IP-Adresse erhält • er eine große Partition für das Backup mit den erforderlichen Mount-Optionen anlegt • diese Partition für den Open School Server per NFS Zugriff gewährt. Um den Backup-Server installieren zu können, müssen Sie den Inhalt der aktuellen openSUSE Distribution auf den Open School Server unter /srv/ftp/akt/CD1 kopieren. Wechseln Sie anschließend ins Verzeichnis /srv/ftp/ und führen Sie als root folgenden Befehl aus: cp * /srv/tftp Ob Sie die 32 oder 64 Bit Version von openSUSE verwenden, hängt von der Hardware des zu installierenden Rechners ab. Zum Installieren booten Sie nun den Backup-Server über PXE und wählen Sie dort SUSE Linux Autoinstallation bzw. SUSE Linux Autoinstallation 64Bit -> Backup Server installieren aus. Sollten diese Menüpunkte bei Ihnen nicht erscheinen, können Sie diese über die Datei /srv/tftp/pxelinux.cfg/default aktivieren. Nach erfolgreicher Installation müssen Sie lediglich die Variable BACKUP über die Administrationsoberfläche unter System -> Globale Konfiguration -> Backup auf yes setzen. Backup auf eine externe USB-Festplatte Melden Sie sich zunächst als root am Open School Server an. Schließen Sie nun eine handelsübliche, externe USB-Festplatte (empfohlen: USB 2.0 oder höher) an einen USB-Port Ihres Rechners an. Der SUSE Plugger sollte die Festplatte nun erkennen und Ihnen anbieten, diese unter einem bestimmten Mountpoint in das Dateisystem einzuhängen. Kontrollieren Sie den Inhalt der Festplatte. 16 Festplatte Formatieren und Partitionieren Die meisten heute erhältlichen Festplatten sind mit dem FAT32- oder NTFS-Dateisystem formatiert und bestehen aus einer einzigen, großen Partition. Auf diesen Dateisystemen können nicht alle Linux-Rechte übernommen werden, so dass eine solchermaßen vorbereitete Festplatte erst mit einem anderen Dateisystem formatiert werden muss, bevor sie für ein Backup des Open School Server genutzt werden kann. Achtung Durch das Formatieren der USB-Festplatte werden sämtliche Daten auf der entsprechenden Partition gelöscht! Starten Sie nun YaST2 über die grafische Oberfläche. Wählen Sie System -> Partitionieren. Eine Warnmeldung weist nochmals auf die Gefahren des Partitionierungs-Tools hin. Bestätigen Sie mit Ja, dass Sie sich der Gefahr eines möglichen Datenverlusts bewusst sind. Den nächsten Dialog kennen Sie schon, wenn Sie während der Installation des Open School Servers eine manuelle Partitionierung vorgenommen haben, entsprechend gelten die im Kapitel Installation gemachten Anmerkungen auch hier. Im Expertenmodus werden Ihnen nun sämtliche Festplatten mitsamt ihren Partitionen angezeigt. Achtung Bearbeiten Sie niemals ohne Grund die Partitionen für /, swap, /var, /srv und /home! Auf diesen Partitionen sind sämtliche Daten des Open School Servers gespeichert. Sie können die USB-Festplatte u. a. daran erkennen, dass • Ihr als Mountpoint noch ein Verzeichnis unterhalb von /media zugewiesen wird. • Die USB-Festplatte meist diejenige ist, welche als letzte Platte aufgelistet wird. • Enthält die Festplatte noch keine Partitionen, legen Sie eine an. • Markieren Sie nun die Partition der USB-Festplatte, die Sie zukünftig für Backups nutzen wollen, und öffnen Sie diese durch einen Doppelklick. • Notieren Sie den Einhängepunkt (Mount Point), und setzen Sie diesen in der Administrationsoberfläche unter System -> Globale Konfiguration -> Backup sowohl für BACKUP_FULL_DIR als auch für BACKUP_INC_DIR ein. • Klicken Sie auf Bearbeiten und setzen Sie folgende Einstellungen: • • Formatierungsoptionen: • Partition formatieren • Dateisystem: Ext3 Einhängeoptionen: • Partition nicht einhängen • Verlassen Sie diesen Dialog mit Beenden. • Wieder zurück in der Übersicht des Expertenmodus kontrollieren Sie bitte nochmals, ob Sie die richtige Festplatte und Partition gewählt haben. • Wenn Sie anschließend auf Weiter klicken, wird Ihnen eine Übersicht der auszuführenden Operationen angezeigt. Durch einen Klick auf Beenden wird das Formatieren der Partition gestartet. 17 Restore Für das Zurückspielen der Daten ist das Skript oss_recover.sh verantwortlich, welches die Backup-Daten auf einem installierten Open School Server wiederherstellt. Das Skript wird – zusammen mit einer „README“ – automatisch in das Verzeichnis kopiert, in welchem sich auch das Vollbackup befindet. Wenn Sie das Skript mit der Option --help aufrufen, bekommen Sie eine kurze Hilfe angezeigt. Vollständiges Zurückspielen des Backups Wenn Sie das Skript ohne eine Option aufrufen, werden sämtliche auf dem System vorhandenen Verzeichnisse und Datenbanken automatisch wiederhergestellt. Partielles Zurückspielen des Backups Je nachdem welche Daten Sie gesichert haben (siehe Abschnitt „Konfiguration des Backups“), können Sie diese partiell wieder herstellen, indem Sie das Skript oss_recover.sh mit der betreffenden Option aufrufen. Option Wirkung --egroupware Die Datenbank der eGroupware wird wieder hergestellt. --home Mit dieser Option werden die Daten im Homeverzeichnis mit denen aus dem Vollbackup überschrieben. Alle bis dahin im /home-Verzeichnis vorhandenen Daten gehen dabei verloren! --joomla Die Joomla-Datenbank wird wiederhergestellt. --ldap Mit dieser Option wird die LDAP-Datenbank wiederhergestellt. --mail Mit dieser Option werden die E-Mails der Benutzer wiederhergestellt. --moodle Die Moodle-Datenbank und die Dateien für Moodle werden wiederhergestellt. --proxy Die Proxy-Konfiguration und die persönlichen Blacklists werden wiederhergestellt. --samba Die Samba-Konfiguration und die Samba-Datenbanken werden wiederhergestellt. --ssh Die SSH-Keys werden wiederhergestellt. --ssl Die SSL-Zertifikate für den Webserver werden wiederhergestellt. 18 4 Administration Räume und Rechner Räume/Rechner Unabhängig von dem Betriebsystem des Clientrechners müssen Clients am Open School Server angemeldet werden, um die Workstations einem Schulraum zuzuordnen und in die DNS– und DHCP–Dienste einzutragen. Diese Anmeldung bzw. Verwaltung der Workstations kann man leicht mit dem Webbrowser erledigen. Wenn Sie das Imagingsystem des Open School Servers nutzen möchten, sollten Sie als Erstes die vorhandenen Rechner in Rechnerkonfigurationen ordnen. Eine Rechnerkonfiguration beschreibt sowohl die Hardware als auch die installierte Software bzw. Betriebssysteme auf einem Rechnertyp. Den Rechnerkonfigurationen können später Räume bzw. Rechner zugewiesen werden. Anhand dieser Zuweisung können die Images verteilt und die Rechner inventarisiert werden. Unter dem Menüpunkt Netzwerk->Räume/Rechner wird Ihnen eine Liste der definierten Schulräume ausgegeben. Direkt nach der Installation ist diese Liste noch leer. Um einen neuen Raum zu definieren, drücken Sie den Button „Neuen Raum anlegen“. Hinweis Der Rechnername wird aus dem Schulraumnamen auf folgende Weise gebildet: <Schulraum>-pc<NN> (also z. B. musik1-pc01). Aufgrund der DNS-Konventionen darf der Name eines Schulraumes nur die Buchstaben des englischen Alphabets, Zahlen und das Zeichen ‘-’ enthalten. Da Windows-Betriebssysteme Rechnernamen nur bis zu einer Länge von maximal 15 Zeichen unterstützen, dürfen Schulraumnamen nicht länger als 10 Zeichen sein. Klicken Sie auf einen Raum, zeigt Ihnen der Open School Server eine Liste der in diesem Raum registrierten Arbeitsplatzrechner an. Nun können Sie hier die Hardwareadresse der einzelnen Rechner ändern oder den Rechner aus dem System entfernen. Um einen oder mehrere Rechner in einen Raum aufzunehmen, wählen Sie neben dem entsprechenden Eintrag Einfügen. Führen Sie die Aufnahme direkt vom Client aus durch, da der Open School Server so die Hardwareadresse des zu registrierenden Rechners automatisch erkennt und diese in das Feld Hardwareadresse einfügt.Wenn Sie die OSS-Radius Erweiterung erworben haben, können Sie hier den WLAN-Zugriff für den Rechner erlauben und im nächsten Schritt den Rechner einem Benutzer zuweisen. Oben finden Sie die Liste der verfügbaren Rechnernamen des Raumes. Wählen Sie den gewünschten Rechnernamen und Rechnerkonfiguration und klicken Sie auf PC hinzufügen. 19 Auf der nächsten Seite erscheint nun das Ergebnis der Registrierung. Der Browser zeigt Ihnen die IP-Adresse, den Hostnamen, die Hardwareadresse und den Netbiosname des Clients an. Hinweis: Möchten Sie mehrere Rechner auf einmal registrieren, müssen Sie ins Feld Hardwareadresse die Hardware-Adressen sämtlicher Rechner eintragen. Anschließend wählen Sie aus der Liste Rechner den ersten Rechnernamen aus und klicken auf den Button Eintragen. Während der Registrierung wird weiterhin ein neuer Benutzer angelegt, dessen Name und Passwort dem Hostnamen des registrierten Rechners entspricht. Das sind die sogenannten „Workstationbenutzer“, die sich nur an den eigenen Rechner anmelden können. Die Rechte dieser Benutzer sind weitestgehend eingeschränkt: Sie haben lediglich Zugriff auf ihr eigenes Homeverzeichnis und besitzen keinen Email-Account. Dadurch bietet der OSS Ihnen z. B. die Möglichkeit, Klassenarbeiten in einer geschützten Umgebung zu schreiben. In diesem Fall müssen die Schüler sich nicht mit ihrem eigenen Login (UID) sondern mit dem des jeweiligen Rechners an das System anmelden. So haben sie eine Standardumgebung und keinen Zugriff auf ihre eigenen Dateien. Anbindung von Windows-Clients Um den vollen Funktionsumfang des Open School Servers nutzen zu können, müssen sich die Benutzer an den in die Domäne eingebundenen Client-Rechnern anmelden. Nach der Anmeldung bekommen sie dann Zugang zu ihrem privaten Home-Verzeichnis und zu den gemeinsamen Verzeichnissen (Freigaben). Um die Anmeldung zu ermöglichen, müssen die Windows-Clients in die Windows-Domäne des Open School Servers aufgenommen werden. Die Anbindung von Windows-Clients (ab Windows NT) erfolgt in folgenden Schritten: 1 Stellen Sie sicher, dass eine Netzwerkverbindung zwischen dem Open School Server und dem WindowsClient besteht. 2 Melden Sie sich als lokaler Benutzer Administrator am Windows-Client an und stellen Sie sicher, dass der Rechner nicht der Domäne des Schulservers angehört. 3 Öffnen Sie in einem Webbrowser die Webseite https://admin und registrieren Sie den Rechner wie im Kapitel Administration für Räume und Rechner beschrieben. 20 4 Laden Sie sich die entsprechende Version vom OSSClientInstall von unserem Webserver herunter und entpacken Sie den Inhalt auf den Desktop des Masterclients: https://repo.openschoolserver.net/tools/OSSClientInstall/ Die Zugangsdaten entsprechen den ersten vier Blöcken Ihres Regcodes - die ersten beiden bilden den Benutzernamen und die letzten zwei das Passwort. 5 Sobald der Kopiervorgang abgeschlossen ist, gehen Sie in den Ordner und navigieren nach ...\windows\OSSClientInstall\OssClientSetup.exe. Starten Sie das Setup. 6 Am Anfang der Installation werden Sie gefragt, welche Programme installiert bzw. welche Einstellungen gesetzt werden sollen. Default sind alle Parameter so gesetzt, dass alles, was der Client für die Zusammenarbeit mit dem Open School Server braucht, installiert wird. Das Setup überprüft nun, ob der Client eine Verbindung zum Server hat, er in der Domäne ist sowie ob die RSAT-Pakete installiert sind (falls nicht, beginnt deren Download mit anschließender Installation), und zeigt an, was installiert wird. 7 Wenn das Setup durchgelaufen ist, erhalten Sie die Meldung, dass der Rechner neustartet. Bei diesem Neustart wird der WCD gestartet (ein Daemon, der zur Kommunikation mit dem OSS benötigt wird). Anschließend startet der Rechner nochmals neu, um in die Domäne aufgenommen zu werden. 8 Nach dem zweiten Neustart sollten Sie sich als Domain-User anmelden können. Der Rechner ist nun fertig konfiguriert und einsatzbereit für die Arbeit mit dem OSS. 21 5 Benutzer Nachdem der Open School Server installiert wurde, sollten Sie Benutzer anlegen. Bereits vorhanden sind der Benutzer admin (welcher den Open School Server konfiguriert und die E-Mails an den Administrator lesen kann), sowie der sog. „Templatebenutzer“ für die Schüler, Lehrer und das Verwaltungspersonal (tstudents, tteachers, tadministration). Benutzer können Sie unter zwei Menüpunkten anlegen: 1 Neu In diesem Fall wird ein einzelner Benutzer angelegt. 2 Importieren Unter diesem Menüpunkt haben Sie die Möglichkeit, Benutzer aus einer Textdatei einzule sen. Wie Sie dies machen, wird im Kapitel Benutzerimport erläutert. Neu – Anlegen einzelner Benutzer Wählen Sie im Hauptmenü Benutzer, dann im Untermenü Neu, um den ersten Benutzer anzulegen. Folgende Felder müssen beim Anlegen eines neuen Benutzers unbedingt ausgefüllt bzw. gesetzt werden: • Nachname • Vorname • Geburtstag • Rolle: Wählen Sie eine primäre Gruppe, der der neue Benutzer angehören soll. Weitere Gruppen können Sie später über das Menü Gruppen/Ordner zuordnen. Sofern Sie noch keine Gruppen angelegt haben, können Sie hier nur die Gruppen Schüler, Lehrer, Verwaltung oder Template Benutzer wählen. • Klasse: Benutzer können zu einer beliebigen Anzahl von Klassen gehören. Ist der neu angelegte Benutzer ein Schüler, muss er jedoch mind. einer Klasse zugeordnet werden. Am Ende der Auswahl können Sie auch all wählen, um einen Lehrer allen Klassen zuzuordnen. 22 Wurde kein Benutzerkürzel (UID: User-ID) angegeben, wird dieses aus dem Nach- und Vornamen ggf Geburtsjahr ermittelt. Dieser Vorgang wird durch die Systemvariable SCHOOL_LOGIN_SCHEME unter System->Globale Konfiguration gesteuert. Der Standardwert ist N4V4. Achtung Die Änderung dieses Wertes betrifft nur neu angelegte Benutzer. Das bedeutet, dass der Login aus den ersten vier Buchstaben des Nachnamens plus der ersten vier Buchstaben des Vornamens gebildet wird. Existiert im System schon ein Benutzer mit derselben UID, wird eine Zahl an die UID angehängt, damit diese eindeutig ist. Für Geburtsjahr verwenden Sie den Buchstaben „Y“ gefolgt von den Ziffern 2 oder 4. Andere Zahlen sind für das Geburtsjahr nicht erlaubt. Sie können auch selbst eine UID für den neuen Benutzer angeben. Bitte beachten Sie dabei, dass die UID aus Kleinbuchstaben bestehen muss, keine Sonderzeichen oder Leerstellen enthalten darf und auf dem System eindeutig sein muss. Hinweis Für Templatebenutzer muss immer ein Benutzerkürzel angegeben werden. Außerdem sollte bei Templatebenutzern das Feld Nachname eine ausführliche Beschreibung des anzulegenden Templates erhalten. Für jeden neuen Benutzer wird ein eigenes Heimatverzeichnis angelegt. Die Lehrer bekommen ihre Verzeichnisse unterhalb des Verzeichnisses /home/teachers/ und die Schüler unterhalb des Verzeichnisses /home/students. „Verwaltungsnutzer“ bekommen ihre Verzeichnisse unterhalb des Verzeichnisses /home/administration. Folgende Verzeichnisse werden in jedem neu erzeugten Heimatverzeichnis angelegt: Verzeichnisname Inhalt Export Für Dateien, welche an andere Benutzer verteilt werden sollen. Hier legt z. B. ein Schüler von ihm bearbeitete Dateien ab, damit sie der Lehrer einsammeln kann. Import Für Dateien, die von anderen Benutzern in dasHomeverzeichnis kopiert werden. Dies trifft z. B. bei Lehrern zu, die Dateien von Schülern einsammeln. public_html Für die Veröffentlichung von Dateien im WWW. Anderen Benutzern ist dieses Verzeichnis über die in einem Browser eingegebene URL: https:// schulserver/~<login> zugänglich. Zusätzlich bekommt jeder Benutzer ein Verzeichnis unterhalb von /home/profile für seine Windowsprofile. Hier wird für jede Windows-Version (Win2K, WinXP, Vista.V2) ein eigenes Unterverzeichnis angelegt. 23 Benutzer importieren – Einlesen von Benutzerlisten Da es sehr mühsam wäre, die Schüler bzw. die Lehrer jedes Jahr von Hand einzutragen, bietet der Open School Server die Möglichkeit, die Liste der Schüler (und Lehrer) aus einer Datei zu importieren. Die Datei sollte dazu folgendes Format haben: • Normale ASCII-Textdatei: Hierbei handelt es sich um eine normale Textdatei in der für die Landessprache üblichen Kodierung (in Deutschland und Österreich ist das ISO-Latin-1) oder UTF-8. Wie empfehlen die Verwendung von UTF-8 Kodierung. Die Trennzeichen zwischen den einzelnen Feldern sind prinzipiell egal – Hauptsache, sie ändern sich nicht im Verlauf der Datei. So reicht die bei vielen Schulverwaltungsprogrammen existierende ExportFunktion in eine CSV oder Textdatei meist vollkommen aus. • Sonderformen: Für einige Schulverwaltungsprogramme wurden Import-Filter geschrieben, um die Schülerdaten korrekt in den Open School Server zu importieren. Hierbei handelt es sich u.a. um die Schulverwaltungsprogramme WinSV, Sibank und Schild-NRW. Im Kapitel Schülerdaten exportieren und importieren finden Sie Anleitungen für den richtigen Export der Daten bei diesen Programmen und den korrekten Import am Open School Server. Format der Import CSV-Datei In der ersten Zeile werden die Spalten und das Trennfeld der Datei definiert. Zur Zeit sind folgende Schlüsselwörter erlaubt, Pflichtfelder sind als solche vermerkt: Feldname Pflichtfeld / Bedeutung NACHNAME Pflichtfeld VORNAME Pflichtfeld GEBURTSTAG Pflichtfeld KLASSE Wird der Benutzer mehreren Klassen zugeordnet, müssen diese durch Leerzeichen getrennt werden. RELIGION PASSWORT Hier können Sie das Passwort eines jeden Benutzers optional, individuell bestimmen. BENUTZERKENNUNG Sie können individuelle User-IDs eingeben. Nutzen Sie diese Möglichkeit, wenn Ihnen die vom OSS automatisch generierten User-IDs (Anmeldenamen) nicht gefallen. TELEFONNUMMER FAXNUMMER TELEFONNUMMER-PRIVAT TELEFONNUMMER-MOBIL SPRACHE BESCHREIBUNG STRASSE PLZ BUNDESLAND EMAIL-DOMAIN Die mit Pflichtfeld gekennzeichneten Felder sind obligatorisch. Ein Benutzer wird also durch die Felder NACHNAME, VORNAME und GEBURTSTAG identifiziert und durch das Feld KLASSE einer Klasse zugeordnet. 24 ACHTUNG Verwenden Sie als Name für die Spalten die exakte Schreibweise wie oben in den Tabellen. Andernfalls kann der OSS die Spalten nicht richtig erkennen. Groß-/Kleinschreibung ist jedoch irrelevant. Es bestehen drei Möglichkeiten, wie mit Benutzerdaten nach dem Einlesen der Benutzerdatei weiter verfahren wird: 1 Neuer Benutzer Wird ein Benutzer in der LDAP-Datenbank nicht gefunden, handelt es sich um einen neuen Benutzer. In diesem Fall wird für diesen Benutzer ein neuer eindeutiger Login Name, wie unter Neu Anlegen einzelner Benutzer beschrieben, ermittelt und dieser in die LDAP-Datenbank aufgenommen. Falls vorhanden, wird das Feld PASSWORT wie folgt ausgewertet: • ‘text’ => ‘text’ wird als Passwort gesetzt. • ‘*’ => Sollten Sie in ein und derselben Textdatei einigen Nutzern ein fest definiertes Passwort über ‘text’ zuweisen, für andere jedoch ein zufälliges Passwort generieren lassen wollen, so fügen Sie bei diesen Nutzern den ‘*’ ein. • ‘kein Inhalt’ => Sollte anderen Nutzern ein Passwort über die beiden oben angegebenen Möglichkeiten (fest oder zufällig) zugewiesen worden sein, bei einem (oder mehreren) Nutzern in derselben Datei aber kein Wert im Passwortfeld enthalten sein, so bekommen diese Nutzer kein Passwort, d.h. sie können sich ohne Passwort am System anmelden. Ist das Feld PASSWORT in der Datei nicht vorhanden, wird ein zufälliges Passwort zugewiesen. 2 Vorhandene Benutzer ändern Steht ein Benutzer sowohl in der LDAP-Datenbank als auch in der Benutzerliste, handelt es sich um einen alten Benutzer. Bei vorhandenen Benutzern wird das Feld PASSWORT nicht ausgewertet. Die Benutzer werden lediglich aus der alten Klasse aus- und in die neue Klasse eingetragen. 3 Benutzer löschen Hinweis: Diese Funktion funktioniert nur, wenn sie nicht eine Teilliste der Schüler einlesen. Steht ein Benutzer in der LDAP-Datenbank, jedoch nicht in der Benutzerliste, bedeutet das, dass dieser Benutzer die Schule verlassen hat. Also werden seine Daten aus der Datenbank gelöscht, sein Heimatverzeichnis wird in ein Archiv zusammengefasst und unter /home/archiv/ benutzername-datum.tgz gespeichert. Ergebnis Nach dem Abarbeiten der eingelesenen Datei wird die neue, aktuelle Benutzerliste pro Klasse in der Datei /home/sysadmins/admin/<datum>.<uhrzeit>/userlist. <KLASSE>.txt im Homeverzeichniss des Benutzers admin gespeichert. In dieser Datei stehen die Passwörter im Klartext und muss dementsprechend mit Vorsicht behandelt werden. Hier ist eine Beispieldatei für das erste Laden des Systems mit unterschiedlichen Passwort-Vergaben: GEBURTSTAG:NACHNAME:VORNAME:PASSWORT:KLASSE 11.10.1986:Klein:Aladar:12345:9A 4.08.1986:Micuc:Emil::9A 09.11.1986:Groß:Evelyn:*:9A 17.04.1986:Müller:Helmuth:*:9A 10A: 29.9.1987:Klein:Aladar:*:10A Die resultierenden Dateien /home/groups/SYSADMINS/userimport.<datum>.<uhrzeit>/userlist.9A.txt und /home/groups/SYSADMINS/userimport.<datum>.<uhrzeit>/.userlist.10A.txt 25 Testen und Kontrollieren des Imports Ehe Sie den Import durchführen, testen Sie die zu importierende Datei, indem Sie einen Haken bei Nur testen, nicht ausführen auswählen und dann auf importieren klicken. Anschließend drücken Sie den Button Alte Importe Anzeigen und dann auf Import.html, um das Resultat des Tests zu sehen. Um den eigentlichen Import durchzuführen, entfernen Sie den Haken bei Nur testen, nicht ausführen und wählen dann importieren. Der Importvorgang startet daraufhin. Wählen Sie dann nochmals Benutzer->Importieren und dann die Schaltfläche Alte Importe Anzeigen und dann auf Import.html. (bei manchen Browsern wechselt die Ansicht nach Betätigen des Importieren-Buttons direkt in diese Ansicht). Sie sehen jetzt die Protokolldatei des Imports. Sollte der Import noch nicht beendet sein, werden die neu verarbeiteten Datensätze oben automatisch eingefügt. Anhand dieser Liste können Sie auch schon im Test feststellen: • welche Klassen neu angelegt werden • welche Benutzer neu angelegt werden • welche Benutzer gelöscht werden • welche Benutzer in eine neue Klasse versetzt werden Hinweis Manche Fehler in der Importdatei können erst zum Zeitpunkt des tatsächlichen Imports und nicht schon während des Testlaufes erkannt werden. Deshalb ist es auch nach einem erfolgreichen Test wichtig, das Protokoll des tatsächlichen Imports zu prüfen. 26 Bearbeiten – Verändern der Benutzerdaten Klicken Sie zunächst auf Bearbeiten. Jetzt müssen Sie auswählen, welche Benutzer angezeigt werden sollen. Haben Sie eine überschaubare Anzahl von Benutzern, dann klicken Sie auf Filter anwenden, ohne den Wert ‘*’ im Eingabefeld Filter zu verändern. Daraufhin werden alle Benutzer angezeigt. Wählen Sie den zu bearbeitenden Benutzer mit einem Mausklick aus. Sie können Benutzer nach folgenden Kriterien suchen: Feld Bedeutung Name Suche nach UID (Anmeldename), Nachname oder Vorname Tragen Sie das gesuchte Wort oder einen Teil davon mit ‘*’ erweitert in das Eingabefeld Benutzer ein. Andere Sonderzeichen wie z. B. ‘?’ unterstützt der Open School Server zur Zeit nicht. Rolle Wählen Sie optional die Rolle der gesuchten Personen Klasse Arbeitsgruppe Tragen Sie die Bezeichnung der Klasse oder Gruppe, deren Mitglieder Sie suchen, ins Feld Klasse / Gruppe ein. Auch hier können Sie mit einem Suchstring wie beispielsweise ‘5*’ alle Schüler des fünften Jahrgangs und deren Lehrer auflisten. Durch die Kombination der Felder Rolle, Klasse und Gruppe können Sie z. B. alle Schüler des fünften Jahrgangs auflisten, die auch Mitglied der Arbeitsgruppe EDV sind. Die Funktionen Löschen, Profile verteilen, Benutzerstatus, Quota ändern und Internet erlauben/verbieten lassen sich auch für mehrere Benutzer gleichzeitig anwenden. Wählen Sie dazu einfach mit Hilfe der gedrückten Strg- oder Shift-Taste mehrere Benutzer mit der Maus aus. Die Namen der gewählten Benutzer sind dann farbig markiert. Am rechten Rand befinden sich Buttons für die einzelnen Funktionen. 27 Aktion Wirkung Passwort ändern In dieser Maske wird ein neues Passwort vergeben. Benutzer bearbeiten Sie erhalten nahezu dieselbe Maske, die auch beim Anlegen eines Benutzers erscheint. Hier können Sie alle Werte ändern. Zusätzlich besteht jetzt die Möglichkeit, dem Benutzer „Aliasnamen“ zu vergeben. Dazu können Sie im Feld E-Mail-Aliase eine Auflistung der Namen - jeweils durch ein Leerzeichen getrennt - eintragen, mit denen der Benutzer zusätzlich zu seiner UID per E-Mail (in der Hauptmaildomain) erreichbar sein soll. Quota ändern Hier können Sie die Quota für Datei und E-Mail der Benutzer ändern. Benutzer-Status ändern Unter diesem Menüpunkt werden die aktuellen Zugangsberechtigungen ausgewählter Benutzer angezeigt und verändert. Mailbox Je nachdem, wie Sie den Open School Server installiert haben (Stichwort: Das Versenden von externen Mails für Schüler verbieten), ist das Versenden von externen Mails für Schüler verboten oder erlaubt. Diese Standardeinstellung wird jedoch nicht an die Gruppe der Schüler gebunden, sondern wird beim Anlegen jedes einzelnen Benutzers gesondert gesetzt. Unter diesem Menüpunkt können Sie einzelnen Benutzern das Versenden von externen Mails auch nachträglich noch erlauben bzw. verbieten. Sie können die Mailbox einzelner Benutzer auch ganz deaktivieren. Anmelden erlaubt/verboten Hier können Sie einzelnen Benutzern das Anmelden an den Workstations und an der Weboberfläche verbieten bzw. erlauben. (Das LDAP-Attribut loginDisabled wird auf den Wert true bzw. false gesetzt.) Proxy-Zugang Hier können Sie einzelnen Benutzern den Zugang ins Internet über den Proxyserver sperren bzw. wieder freigeben. (Das LDAP-Attribut internetDisabled wird auf den Wert true bzw. false gesetzt.) Dies betrifft allerdings nur das Surfen im Internet – andere Dienste (wie z. B. E-Mail) sind davon nicht betroffen. Open Exchange Zugang Hier können Sie Benutzern den Zugang zu der Groupware Openexchange verbieten. Bitte beachten Sie, dass Open Exchange seit der OSS Version von 3.4.1 nicht unterstützt wird. Rechnerzuweisung Hier können Sie die Zuordnung der Benutzer zu einzelnen Rechnern löschen. Profile verteilen Unter diesem Menüpunkt können Sie vordefinierte Profile (z. B. Windows und/oder Linux Desktop Einstellungen) an ausgewählte Benutzer verteilen. Sie müssen zunächst das gewünschte Betriebssystem (entsprechende Windows-Version oder Linux) anklicken. Durch das Setzen des Häkchens Windowsprofile nur lesbar machen verhindern Sie Änderungen durch die Benutzer. Benutzer löschen Entfernt den ausgewählten Benutzer vom Server. Gehen Sie mit dieser Funktion vorsichtig um: Alle E-Mails dieses Benutzers sind dann unwiederbringlich verloren! Alle Dateien, die der Benutzer erstellt hat (einschließlich seiner Windowsprofile), werden in einem Archiv gesammelt und unter /home/archiv/ <Benutzername><Datum>.<Uhrzeit>.tgz gespeichert. Benutzerdateien suchen Es passiert öfter, dass ein Benutzer sein Festplattenquota überschritten hat, obwohl er angeblich kaum Dateien in seinem Homeverzeichnis hat. Lehrkräfte und der Hauptadministrator können über diesen Menüpunkt eine Auflistung aller Dateien einzelner Benutzer auf dem OSS erstellen. 28 Gruppen bearbeiten Hier können Sie neue Gruppen anlegen, vorhandene Gruppen bearbeiten oder löschen sowie die Beschreibung der Gruppe ändern. Wählen Sie eine Gruppe und die Schaltfläche Bearbeiten, um Daten der Gruppe und die Liste der Mitglieder einzusehen oder zu ändern. Dieser Gruppe bereits zugeordnete User sind farbig markiert. Ändern Sie die Zugehörigkeiten nach Ihren Wünschen per Mausklick. Mit Anwenden schließen Sie die Bearbeitung ab und speichern die Änderungen. Anlegen einer Gruppe Mit dem Untermenü Neu aus dem Menü Gruppen erstellen Sie eine neue Gruppe. Wählen Sie einen eindeutigen Gruppennamen aus. Achtung Verwenden Sie für den Gruppennamen keine Sonderzeichen und auch keine Leerstellen! Die Gruppennamen werden immer in Großbuchstaben konvertiert. Geben Sie der Gruppe eine aussagekräftige Beschreibung. Der Schulserver bietet abweichend von anderen Betriebsystemen drei Arten von Gruppen an: Art Bedeutung Rolle Diese Gruppen bestimmen die grundsätzliche Rolle eines Benutzers auf dem System. Nach einer Neuinstallation des Open School Servers sind folgende primäre Gruppen schon vordefiniert „Schüler“, „Lehrer“, „Verwaltung“, „Templatebenutzer“ und „Workstation–Benutzer“. Klasse Diese Gruppen bilden die realen Schulklassen einer Schule ab und können nur vom Benutzer admin oder von Lehrern mit besonderen Administrationsrechten angelegt werden. Arbeitsgruppe Diese Gruppenart kann von jedem Lehrer angelegt und/oder bearbeitet werden. Sie ist z. B. zur Verwendung bei Projektarbeiten, Arbeitskreisen, ... geeignet. Alle diese Gruppen bekommen eine Mailbox und ein Gruppenverzeichnis und erscheinen auch in der Groupware (z. B. für Terminabsprachen oder Email). Um der zu erstellenden Gruppe Benutzer zuzuordnen, müssen Sie sich eine Liste der vorhandenen Benutzer anzeigen lassen. Klicken Sie auf Suchen ohne den Wert im Feld Filter zu verändern, um eine Liste aller vorhandenen Benutzer anzuzeigen, oder schränken Sie vorher die anzuzeigenden Benutzer mit dem Eingabefeld Filter ein. Wählen Sie dann per Mausklick einen oder mehrere Benutzer aus, die der Gruppe angehören sollen. Ausgewählte Benutzer werden farbig markiert. Mit dem Knopf Anwenden legen Sie die Gruppe mit den gewählten Mitgliedern an. Tipp Gruppen verwenden Sie können auch einer ganzen Gruppe Rechte vergeben. Fassen Sie also nach Möglichkeit Ihre Benutzer in Gruppen zusammen und vergeben Sie dann Rechte für die Gruppen. Damit erleichtern Sie später den Verwaltungsaufwand, wenn Änderungen erforderlich sind. 29 6 Drucker Der Open School Server dient auch als Druckserver. Nur wenn Sie alle Drucker im Netzwerk über den OSS verwalten, kann der OSS auch die Drucker klassenraumspezifisch sperren oder freigeben. Drucker werden im CUPS Printing System verwaltet. Um dorthin zu gelangen, wählen Sie in der AdminOberfläche System -> Systemüberwachung -> Druckserver. Neuen Drucker anlegen Folgende Einstellungen nehmen Sie direkt am Drucker bzw. auf seiner Webfläche vor: Zunächst stellen Sie den Drucker auf DHCP, damit ihm eine IP vom OSS zugewiesen werden kann. Anschließend konfigurieren Sie ihn so, dass er sich im Netzwerk nicht bekannt macht, d.h SLP, Ether Talk und Airprint deaktivieren. Zuletzt setzen Sie noch ein Administratorpasswort auf dem Drucker, damit niemand außer Ihnen die gerade gesetzte Konfiguration ändern kann. Nun melden Sie sich auf der Adminoberfläche an: Registrieren Sie den Drucker wie jedes andere Gerät auch am OSS. Es wird empfohlen Drucker im Server Netz aufzunehmen, und Sie sollten ihm außerdem einen eindeutigen alternativen Namen geben (z.B „edv32kyo-bw“). Starten Sie den Drucker neu und vergewissern Sie sich, dass er eine IP vom OSS bekommen hat. Anschließend können Sie den Drucker über CUPS einrichten. Hierfür gehen Sie auf der Adminoberfläche unter Netzwerk auf Drucker verwalten und auf „Neuer Drucker“. Geben Sie als Druckernamen und Socketadresse den Alternativen Namen an, welchen Sie auf der Adminoberfläche gewählt haben. Achtung Nach der Einrichtung des Druckers sollten Sie unter Drucker -> Druckereinstellungen festlegen kontrollieren, ob das Papierformat (Media Size) auf DIN A4 und die Fehlerbehandlung auf „Abort-Job“ eingestellt ist. 30 Der Drucker ist nun fertig aufgenommen und eingerichtet. Sie können ihn jetzt in verschiedenen Räumen zur Verfügung stellen, indem Sie zunächst in der Druckerverwaltung auf „Räume“ klicken. Hier sehen Sie alle Räume, die Sie am OSS eingerichtet haben, und können ihnen Drucker zuweisen. Das „Drop-DownMenü“ gibt den Standarddrucker für einen Raum an. In der Liste rechts davon können Sie Drucker auswählen, die aus dem Raum ebenfalls erreichbar sein sollen. Zum Schluss aktivieren Sie unter Drucker verwalten die Treiberverteilung. Übersicht der Drucker Wählen Sie den Menüpunkt Drucker verwalten. Hier finden Sie eine Liste sämtlicher auf dem OSS installierten Drucker mit Bezeichnung, Standort und Status. Sie können hier die einzelnen Druckaufträge für den Drucker verwalten. Drucker auf UNIX/Linux Clients einrichten Um auf den Drucker des Druckservers von UNIX/Linux Clients zugreifen zu können, muss auf den Clients der CUPS-Client (Common Unix Printing System) installiert sein. Zwar ist es möglich, dass der Printserver über Broadcast die verfügbaren Drucker den Clients mitteilt, es ist jedoch empfehlenswert, den Clients den Druckserver manuell mitzuteilen. Das geschieht durch folgenden Eintrag in der Datei /etc/cups/client.conf: ServerName printserver Auf automatisch installierten SUSE Linux Clients ist dieser Eintrag schon vorhanden. Hinweis Durch die Verwendung eines vom Druckerhersteller unabhängigen Postscript-Treibers auf Client Seite und die korrekte Konfiguration des Druckers im CUPS, erspart man sich die Installation verschiedenster Druckertreiber auf Client-Seite. Der OSS setzt dann das Postscript-Format auf den jeweiligen Drucker um. Wenn Sie Quotas für die einzelnen Drucker setzen möchten, müssen Sie unbedingt dieses Verfahren wählen. 31 7 Zugangskontrolle Proxy Der OSS bringt den Proxy-Server Squid mit. Squid regelt den Internetzugang so, dass nur autorisierte Benutzer Zugriff auf das Internet bekommen. Über einen Jugendschutzfilter (Squid-Guard) filtert er zusätzlich Inhalte heraus, die für Jugendliche nicht geeignet sind. Lehrern bieten sich weitere Möglichkeiten, den Zugriff über den Proxy zu reglementieren. Der OSS bietet seine Proxydienste über den Server proxy und über Port 8080 an. Um die PCs automatisch zu konfigurieren, geben Sie im Browser bei den Proxy-Einstellungen ein, dass zur Konfiguration die http://admin/proxy.pac verwendet werden soll. Nach der Installation ist der Proxy sehr restriktiv eingestellt. Wechseln Sie daher zu dem Menüpunkt Proxy und konfigurieren Sie den Basisfilter. Sie finden im Basisfilter eine lange Liste von verschiedenen Kategorien. Hinter jeder Kategorie versteckt sich eine Liste von Internetadressen, die automatisch aktualisiert wird. Sie können für jede Liste einstellen, wer (Schüler, Lehrer, Verwaltung oder sonstige Benutzer/Voreinstellung) die darin enthaltenen URLs aufrufen darf. Hinweis Bei der Konfiguration eines transparenten Proxy weiß der OSS nicht, wer gerade surft. Deshalb ist in diesem Fall für jeden Benutzer die Spalte Voreinstellung relevant, während die anderen Spalten ignoriert werden. Die eigene Whitelist und eigene Blacklist sind Listen, die Sie für die Schule selbst pflegen (über die gleichnamigen Menüpunkte). In der Whitelist tragen Sie die Domainnamen ein, die in den anderen Kategorien gesperrt sind, aber von Ihnen erlaubt werden sollen. In die Blacklist tragen Sie die Domainnamen ein, die auf jeden Fall gesperrt werden sollen. Auch hier können Sie selbstverständlich spezifizieren, für wen diese Listen gelten. Eine weitere besondere Liste ist die letzte Kategorie „Der Rest“. Ist diese Kategorie nicht erlaubt, sind nur die Adressen erlaubt, die sich in den explizit erlaubten Kategorien befinden. Während Ihres Unterrichts haben Lehrkräfte die Möglichkeit über Positivlisten selbst Einfluss auf den Proxy zu nehmen. Dies wird in den Schulungsunterlagen für Lehrer beschrieben. Raumkontrolle Haben Sie die Rechner der Schule am Open School Server angemeldet und Schulräumen zugewiesen, besteht die Möglichkeit den Rechnern eines Schulraumes bestimmte Dienste zu verbieten bzw. zu gestatten. Sie erreichen diese Funktion über den Menüpunkt Sicherheit->Zugriffskontrolle Raum. Dies betrifft folgende Dienste: • Direkter Internetzugang • Internetzugang über Proxy • Zugang zum Mail– und Groupware–Server • Zugang zur Anmeldung • Zugang zum Druckserver Diese Möglichkeit besteht nicht nur für den Hauptadministrator admin und Systemadministratoren sondern auch für Lehrkräfte. Während diese die Dienste jedoch nur für den aktuellen Klassenraum ein– und ausschalten können, darf ein Systemadministrator dies für jeden PC-Raum tun. 32 Zugangszeitplan Unter dem Button Zugangszeitplan anzeigen kann der Hauptadministrator (bzw. Lehrer mit Administrationsrechten) je Schulraum einen Zugangszeitplan erstellen. Zugriffszeitpläne sind sinnvoll, um Räume zu bestimmten Zeiten auf zuvor definierte Einstellungen zu setzen, beispielsweise vergessene Einstellungen des Vortages rückgängig zu machen oder für bestimmte Tageszeiten regelmäßig die Einstellung anzupassen. Beispiel: Sie betreiben ein Internetkaffee in einem Klassenzimmer, in dem von 14 bis 16 Uhr der Internetzugang für Schüler über den Proxy erlaubt ist, aber das Drucken verboten werden soll. Hierfür erstellen Sie zwei Einträge: • einen Eintrag um 14 Uhr mit Proxy gesetzt und Drucken nicht gesetzt • einen Eintrag um 16 Uhr mit Standard gesetzt (dann wird auf die Standard-Einstellungen zurückgesetzt). Die Zeile Standard-Zugriffsstatus zeigt Ihnen die jeweilige Standardeinstellung an, auf die der Raum z. B. nach einem Serverneustart zurückgesetzt wird. Firewall Diese Funktion steht Ihnen nur dann zur Verfügung, wenn der Open School Server bei der Installation als Internet Gateway konfiguriert wurde. Mit diesem Modul können Sie eingehende und ausgehende Firewallregeln definieren sowie die Firewall einund ausschalten. Eingehende Verbindungen Normalerweise blockiert die Firewall des Open School Servers jeden Zugriff aus dem Internet. Hier können Sie den Open School Server so konfigurieren, dass einige Dienste auch über das Internet erreichbar sind. Dies betrifft unter anderem den SSH-Zugang und den Zugriff auf die Administrations- und die Benutzerweboberfläche. Achtung Neustart der Firewall Wenn Sie in diesem Menü Änderungen vornehmen, muss die Firewall neu gestartet werden. Damit werden aber auch alle Zugriffsrechte der einzelnen Klassenräume wieder in den Ausgangszustand versetzt! Sie sollten also Änderungen hier nur durchführen, wenn niemand mehr mit den Schulrechnern arbeitet. 33 Erlaubter Zugriff Wirkung SSH Zugriff Wenn Sie diese Schaltfläche aktivieren, können Sie den Server über eine SSH-Verbindung aus der Ferne administrieren. Hierfür wird in der Firewall der Port 22 für einen externen Zugriff freigeschaltet. Hoher SSH-Port Ist der OSS direkt (DSL) mit dem Internet verbunden, sollte nicht der Standard SSH-Port (Port 22) geöffnet werden, da dieser oft von Hackern heimgesucht wird. Deshalb bietet der OSS die Möglichkeit Ports mit hohen Nummern zu öffnen, da diese weniger gefährdet sind. Zugriff auf das Schulportal Vom Schulportal haben Sie Zugriff auf alle Webdienste des OSS: Adminoberfläche, Groupware, WebDAV-Freigaben. SMTP-Port öffnen Verfügt Ihre Schule über eine feste, offizielle IP-Adresse, und soll der Open School Server die E–Mails aus dem Internet direkt empfangen, müssen Sie den SMTP–Port in der Firewall öffnen. In der Grundeinstellung wurde der Mailserver des Open School Servers so konfiguriert, dass dieser nur auf die IP–Adressen mailserver und localhost hört. Sie müssen nun Postfix so konfigurieren, dass dieser zusätzlich auf die IP-Adresse des externen Interfaces lauscht. Das wird durch das Setzen der Variable inet_interfaces in der Datei /etc/postfix/main.cf erreicht. Diese Variable können Sie mit Hilfe eines Texteditors oder auf der Administrationsweboberfläche setzen. Rdesktop Wenn Sie diesen Port öffnen, können Sie den OSS über die grafische Oberfläche mit „Remote Desktop“ Clients erreichen. Andere TCP-Ports Sie können hier eine mit Leerzeichen getrennte Liste von Ports angeben, die freigeschaltet werden sollen. Diese Liste wird auch von der Administrations-Oberfläche gefüllt, wenn Sie z.B. den Fernwartungszugang zu PCs freischalten. Hinweis Ist der Open School Server nicht direkt (z. B. DSL) sondern über ein Transportnetz (DSL-Router) mit dem Internet verbunden, müssen Sie die o.g. Ports vom Router auf den Open School Server umleiten. Beachten Sie bitte, dass der Server hier jedem Nutzer aus dem Internet sein Angebot zur Verfügung stellt. Sollte ein Schüler ein zu schwaches Passwort für seinen Account verwenden, so kann es u.U. zu unschönen Nebenwirkungen kommen, wenn plötzlich bösartige E-Mails über diesen Account versendet werden . . . Ausgehende Verbindungen Hier können Sie für einzelne Räume oder Rechner Zugriff auf bestimmte Adressen und Ports im Internet zulassen. 34 Fernwartungszugänge Wenn Sie den OSS mit zwei Netzwerkkarten eingerichtet und die Firewall aktiviert haben, trotzdem aber außerhalb der Schule auf bestimmte Rechner im Schulnetz Zugriff haben möchten, müssen Sie über Netzwerk -> Fernwartung einen Zugang dafür konfigurieren. Dazu benötigen Sie den Namen des Rechners im Netz, den Port auf diesem Rechner, den Sie ansprechen möchten, sowie einen freien Port auf dem OSS. 35 8 Profile verwenden Profile am OSS Der Open School Server kann Profile für die Benutzer verwalten. Für Windows 2000 und Windows XP werden Default-User-Profile mitgeliefert. In diesen ist bereits die ProxyEinstellung für den IE, die Umleitung der Eigenen Dateien auf Z: und einige Verknüpfungen auf dem Desktop eingestellt. Der OSS unterscheidet folgende Profile, von denen es pro Betriebssystem jedes in einer eigenen Ausprägung gibt: Profil Bedeutung Standardbenutzer-Profil bzw. Default User Profil Dieses Profil wird jedem neuen Benutzer automatisch zugewiesen. Sie finden es am OSS im Verzeichnis: /var/lib/samba/netlogon/<Betriebssystemkennung>/Default User/ Templateprofil Lehrer Das Standardprofil für neu angelegte Lehrkräfte (wenn vorhanden, wird dieses anstelle des Default User Profils verwendet) Sie finden es am OSS im Verzeichnis: /home/profile/tteachers/<Betriebssystemkennung> bzw. U:\profile\tteachers\<Betriebssystemkennung> Templateprofil Schüler Das Standardprofil für neu angelegte Schüler (wenn vorhanden, wird dieses anstelle des Default User Profils verwendet) Sie finden es am OSS im Verzeichnis: /home/profile/tstudents/<Betriebssystemkennung> bzw. U:\profile\tstudents\<Betriebssystemkennung> Templateprofil Workstation Das Standardprofil für neu angelegte Arbeitsplatz-Benutzer-Accounts (wenn vorhanden, wird dieses anstelle des Default User Profils verwendet) Sie finden es am OSS im Verzeichnis: /home/profile/tworkstations/<Betriebssystemkennung> bzw. U:\profile\tworkstations\<Betriebssystemkennung> Templateprofil Verwaltung Das Standardprofil für neu angelegte Benutzer aus der Verwaltung (wenn vorhanden, wird dieses anstelle des Default User Profils verwendet) Sie finden es am OSS im Verzeichnis: /home/profile/tadministration/<Betriebssystemkennung> bzw. U:\profile\tadministration\<Betriebssystemkennung> Benutzerprofil Das persönliche Benutzerprofil jedes einzelnen angemeldeten Benutzers. Sie finden es am OSS im Verzeichnis: /home/profile/<Benutzerlogin>/<Betriebssystemkennung> bzw. U:\profile\<Benutzerlogin\<Betriebssystemkennung> DIE TEMPLATE BENUTZER DER EINZELNEN ROLLEN DÜRFEN NUR DANN PROFILE HABEN, WENN DIESE VERTEILBAR SIND!! Da sich die verschiedenen Windows Versionen unterscheiden, werden am OSS dafür auch unterschiedliche Profilverzeichnisse hinterlegt. Die Pfade dafür wurden in der vorangegangen Tabelle mit dem Platzhalter <Betriebssystemkennung> markiert. Der OSS unterscheidet die Betriebssysteme wie folgt: Betriebssystemkennung Betriebssysteme Win2K Windows 2000 WinXP Windows XP, alle Servicepacks WinNT Windows NT Win2K3 Windows 2003 Vista Windows Vista erste Version Vista.V2 Windows Vista zweite Version und Windows 36 Linux Das Linux Profil wird gesondert behandelt, da Linux keine Profile im Sinne von Windows kennt. Erstellung und Behandlung von Profilen am OSS Verteilbares Windows 7/8 Profil erstellen Im Folgenden wird beschrieben, welche Schritte nötig sind, um mit einem Windows 7 Rechner ein verteilbares Benutzerprofil zu erstellen. Es empfiehlt sich, einen komplett sauberen (d.h. neu aufgesetzten Rechner) zu verwenden, da hier die Gefahr, dass unerwünschte Daten im Profil gespeichert werden, am geringsten ist. Es sollten nur die nötigsten Programme installiert sein. Das wären zum einen die EXTIS-Tools (OSSClientInstall, WCD,) und zum anderen Programme, deren Verknüpfungen Sie auf den Desktop legen möchten, und bei denen Sie sicher sind, dass sie auf allen Rechnern installiert sind/werden. In größeren Schulen, in denen man Rechner entbehren kann, bietet es sich an, einen Rechner speziell für das Erstellen von Benutzerprofilen zu reservieren, da Ihnen dadurch immer ein sauberer Rechner zur Verfügung steht. 1.Windows vorbereiten Melden Sie sich als der Benutzer Lokaler Administrator an und löschen Sie alle Benutzer, die sich nicht auf der Administratorebene befinden. Gehen sie hierfür in der Systemsteuerung in den Menüpunkt Benutzerkonten und anschließend auf Benutzerkonten verwalten. Nun sehen Sie alle Benutzer, die gegenwärtig auf dem Rechner angelegt sind. Entfernen Sie alle Benutzer, die sich nicht in der Gruppe „Administratoren“ befinden. Jetzt müssen Sie sich das Windows Automated Installation Kit (AIK) für Windows 7 von dem Microsoft Download Center herunterladen ( https://www.microsoft.com/de-de/download/details.aspx?id=5753 ). Da Microsoft hier nur ein ISO-Image anbietet, müssen Sie dieses noch mit einer passenden Software (z.B. WinCDEmu) mounten. Sie können das Image natürlich auch auf eine DVD brennen und die Installation von der DVD ausführen. 37 Sollten Sie den Lokalen Administrator noch nicht aktiviert haben, können Sie das mit Hilfe der CMD.exe schnell erledigen. Öffnen Sie hierfür die Taskleiste und geben Sie in das Suchfeld „cmd“ ein. Führen Sie einen Rechtsklick auf das Suchergebnis (cmd) aus und rufen Sie es mittels als Administrator ausführen auf. Geben Sie folgenden Befehl ein: net user administrator * /active:yes. Sie werden dazu aufgefordert das Passwort einzugeben. Anschließend können Sie sich abmelden und als Lokaler Administrator wieder anmelden. Haben Sie das Image erfolgreich gemountet, können Sie das AIK-Setup installieren. Öffnen hierfür die DVD, wählen Sie das Windows AIK-Setup aus und führen Sie die Installation durch. Sobald die Installation abgeschlossen ist, können Sie anfangen den Desktop nach ihren Wünschen zu gestalten. Es ist möglich, Verknüpfungen von Programmen oder auch von Pfaden auf dem Server (z.B. das all Verzeichnis) zu erstellen, sowie den Desktop Hintergrund zu ändern, wobei Sie dann allerdings sicher sein müssen, dass das Bild, welches Sie als Hintergrund einstellen möchten, auf allen Clients unter dem selben Pfad gespeichert ist, da es ansonsten nicht gefunden wird. Sie können ebenfalls die Taskleiste anpassen (Windows Explorer können Sie nicht so einfach entfernen). Denken Sie daran Ihren Download Ordner zu entleeren, indem jetzt noch das ISO-Image von dem Windows AIK Kit liegen sollte. Es ist wichtig, dass Ihr Homeverzeichnis (alle Ordner unter C:\Benutzer\Administrator\... und der Papierkorb) komplett leer ist, da alle Dateien, die hier gespeichert sind, auch mit in das Profil einfließen, welches dadurch größer wird, was wiederum zu längeren Anmeldezeiten führt. Nun erstellen Sie mit Hilfe des Windows System Image Managers (SIM) die Unattend.xml. Dies ist eine Antwortdatei, mit der man Windows im Folgenden sagen kann, dass es während der Profilerstellung das Profil des Lokalen Administrators als Abbild nehmen soll (deswegen haben Sie gerade Ihren Desktop konfiguriert). Mit dieser Antwortdatei können Sie Windows noch viel genauer einrichten. Hierzu können Sie sich auf der Microsoft technetsite noch weiter in das Thema einarbeiten ( https://technet.microsoft.com/dede/library/dd799285%28v=ws.10%29.aspx ), da dies hier den Rahmen sprengen würde. Öffnen Sie den SIM. Um eine neue Antwortdatei zu erstellen, müssen Sie zunächst ein passendes WindowsAbbild oder eine passende Katalogdatei auswählen. Diese Datei(en) befinden sich auf Ihrer Windows 7/8 Installations DVD unter dem Verzeichnis \Sources\install.wim/Install_Windows7....clg. Wählen Sie die zu Ihrem Betriebssystem (HOME, PROFESSIONAL, ...) gehörige CLG-Datei aus. 38 Haben Sie die passende CLG-Datei ausgewählt , können Sie eine neue Antwortdatei erstellen. 39 Öffnen Sie in dem Windows-Abbild Feld den Ordner Components und suchen Sie nach der Komponente x86_Microsoft-Windows-Shell-Setup.... . Anschließend fügen Sie diese Komponente mittels Rechtsklick und Einstellung zu Pass 4 specialize hinzufügen der Antwortdatei hinzu. 40 Ist die Komponente hinzugefügt, müssen Sie nur noch den Parameter CopyProfil auf „true“ setzen. Speichern Sie anschließend die Antwortdatei unter dem Namen Unattend in C:\.... Die Antwortdatei wird im XML-Format gespeichert. Sie können jetzt noch letzte Veränderungen an Ihrem Desktop vornehmen. Anschließend kontrollieren Sie bitte nochmals, ob Ihr Homeverzeichnis sowie der Papierkorb leer sind. 2. Profil erstellen Öffnen Sie eine Kommandozeile als Administrator (siehe Hinweis unter 1. Windows vorbereiten). Geben Sie zu erst den Befehl cd sysprep ein, um in das Sysprep Verzeichnis zu gelangen. Sie sollten nun folgenden Pfad angezeigt bekommen: C:\Windows\System32\sysprep> . Falls nicht, öffnen Sie eine neue Kommandozeile und achten Sie auf den Aufruf als Administrator ausführen. Geben Sie jetzt folgenden Befehl ein: sysprep.exe /oobe /shutdown /generalize /unattend:C:\Unattend.xml. Der Parameter /unattend gibt den Speicherpfad der Antwortdatei an, die Sie soeben erstellt haben. Sollten Sie diese Datei unter einem anderen Pfad gespeichert haben, müssen Sie den Befehl diesbezüglich anpassen, da Windows die Datei ansonsten nicht findet, und der Vorgang nicht gestartet werden kann. 41 3. Client wiederherstellen und Profil kopieren Sobald der Rechner heruntergefahren ist, können Sie ihn wieder einschalten. Sie werden den Rechner neu einrichten müssen, da er durch das Sysprep auf das Standartverhalten (Out-of-Box Experiance) zurückgesetzt wurde. Da Windows sich neu konfigurieren muss, wird der erste Neustart etwas länger dauern. Sollten Sie den Rechner aktiv im Schulbetrieb nutzen, empfiehlt es sich dem Rechner den Namen zu geben, mit dem er vorher am OSS registriert war. Sobald sich der Rechner wiederhergestellt hat, aktivieren Sie den Lokalen Administrator und melden sich als dieser an. Um zu überprüfen ob, das Profil korrekt als Abbild des Administratorkontos erstellt wurde, navigieren Sie im Explorer nach C:\Windows\Panther\UnattendGC\ und öffnen Sie die Textdatei Setupact. Suchen Sie nach dem Eintrag [shell unattend] CopyProfileDirectory from c:\Users\Administrator succeeded. Ist dieser Eintrag vorhanden, können Sie den Rechner per Hand in die Domäne aufnehmen und nach dem Neustart fortfahren. Ansonsten müssen Sie die Schritte ab der Erstellung der Antwortdatei wiederholen. Melden Sie sich als der Benutzer Administrator (Wichtig! Nicht Admin sondern Administrator) in der Domäne an und gehen in das Verzeichnis C:\Benutzer\root\Eigene Dokumente. Erstellen Sie hier einen Ordner Vista.V2. 42 Öffnen Sie die Systemsteuerung. Gehen Sie hier auf Erweiterte Systemeinstellungen. Klicken Sie unter Benutzerprofile auf Einstellungen. Markieren Sie Standardprofil und klicken Sie auf Kopieren nach... . Nun geben Sie den Pfad zu dem gerade erstellten Vista.V2 Ordner an C:\Benutzer\ root\Eigene Dokumente\Vista.V2\ und klicken anschließend auf ändern. 43 Bevor sie den Kopiervorgang starten, müssen Sie das Profil für jeden nutzbar machen, indem Sie im Feld Jeder eingeben und anschließend mit OK bestätigen. Durch Klicken auf OK im Kopieren nach-Fenster starten Sie den Kopiervorgang. Windows wird Sie nach einer Bestätigung fragen, da der vorhandene Vista.V2 Ordner überschrieben werden muss. Klicken Sie einfach Ja. Der Kopiervorgang ist abgeschlossen, sobald das Kopieren nach-Fenster verschwindet. Geschieht dies nach längerer Zeit nicht, kontrollieren Sie die Größe des Zielordners. Stimmt diese mit der Größe von Standardprofil überein, ist der Kopiervorgang abgeschlossen, und Sie können das Fenster über Abbrechen schließen. Es kann passieren, dass (Keine Rückmeldung) erscheint. Dies können Sie ignorieren. 44 Navigieren Sie mit Hilfe des Explorers in das Profilverzeichnis des Templatebenutzers, für den Sie gerade das Profil erstellt haben, z.B. \\admin\profiles\tstudents\ . Kopieren Sie nun den soeben erstellten Vista.V2 Ordner aus dem Lokalen Verzeichnis in das Profilverzeichnis des Templatebenutzers. Sollte hier bereits ein Vista.V2 Ordner vorhanden sein, können Sie diesen überschreiben. Speichern Sie den Lokalen Vista.V2 Ordner zusätzlich auf einem USB-Stick, um ein Backup zu haben, falls während des Kopiervorganges etwas schief gelaufen ist, und löschen Sie anschließend diesen Ordner vom Rechner. Profile verteilen Zum Verteilen von Profilen wählen Sie über die Admin-Oberfläche als Erstes die Personen, denen Sie das neue Profil geben möchten, aus - entweder über den Menüpunkt Benutzer/Gruppen → Bearbeiten oder Schüler → Schüler verwalten. Sie können mehrere Personen gleichzeitig auswählen. Bestätigen Sie dann über den Button Profile verteilen. 45 Ehe Sie das Profil an alle Schüler verteilen, sollten Sie es zum Test zuvor an die im vorigen Kapitel angelegten Testbenutzer verteilen. In der ersten Zeile sehen Sie die Liste der gewählten Benutzer, die ein neues Profil erhalten. Wählen Sie dann das Betriebssystem, dessen Profil Sie verteilen möchten, und anschließend das zu verteilende Profiltemplate. Die Option Nur Desktop verteilt nur den Desktop des Templatebenutzers, bzw. übernimmt dessen Einstellungen (Icon, Verknüpfungen etc...). Ob Sie das Profil nur lesbar oder schreibbar machen, hängt davon ab, wie viel Freiheit Sie den Benutzern lassen wollen. Lassen Sie die Profile schreibbar, können die Benutzer ihren Desktop frei verändern und Daten im Profil speichern, wodurch das Profil wächst, was zu längeren Anmeldezeiten führt. Stellen Sie das Profil auf nur lesbar, so kann der Benutzer dieselben Veränderungen vornehmen, allerdings werden diese nach dem Abmelden nicht auf den Server kopiert und gehen verloren. Das Profil bleibt also unverändert. Mit löschen entfernen Sie das aktuelle Profil des/der ausgewählten Benutzers. Der Benutzer kann sich anschließend immer noch anmelden, bekommt aber bei der Anmeldung ein frisches Profil. Hinweis Wenn Sie die bestehenden Profile nur lesbar oder schreibbar machen möchten ohne sie neu zu verteilen, können Sie einfach das Betriebssystem auswählen und den Button Profil nur lesbar oder Profil schreibbar drücken. Sie können unter Windows 7 als lokaler Benutzer die Verzeichnisse vom OSS verbinden. Im Microsoftartikel steht dazu ein falscher Hinweis („2. Führen Sie den Befehl Ausführen...“ ). Öffnen Sie den Windows-Explorer und klicken Sie im Menü auf Netzlaufwerk verbinden (steht ggf. hinter den >> versteckt). Wählen Sie einen Laufwerksbuchstaben aus, und geben Sie als Ordner \\pdc-server\profiles an. Setzen Sie den Haken bei Verbindung mit anderen Anmeldeinformationen herstellen und drücken Sie auf Fertig stellen. 46 9 Mobile Clients Mobile Clients müssen anders gehandhabt werden als normale PCs, sie • müssen authentifiziert werden: Nehmen Sie diese in den OSS regulär auf. Zusätzlich empfehlen wir Ihnen für die Verwaltung den OSS Radius-Server (s.u.) • möchten in das Internet: Ordnen Sie die Geräte eigenen „virtuellen“ Räumen zu, um eine angepasste Proxy- und Firewall-Konfiguration zu ermöglichen • benötigen Speicher im Netz: OSS-WebDAV Freigaben WebDAV-Zugriff Seit der OSS-Version 3.2 wird WebDAV-Zugriff auf dem Open School Server unterstützt und ist für einzelne Benutzer und Gruppen vorgesehen. Der Zugang kann für jeden Benutzer und jede Gruppe aktiviert bzw. deaktiviert werden. Dies können Sie in der Admin-Oberfläche bei Benutzer Bearbeiten bzw. Gruppe Bearbeiten durch Setzen eines Häkchens bei WebDAV Zugriff erreichen. Hinweis Um WebDAV innerhalb des Schulnetzes verwenden zu können, müssen Sie die entsprechenden Endgeräte in einen Raum aufnehmen. Wenn Sie den Zugriff von außen aktiviert haben, können Sie auch über die externe IP-Adresse bzw. die Domain des Schulservers auf die WebDAV-Funktion zugreifen. WebDAV-Zugriff für einzelne Benutzer Um Zugriff auf die Dateien einzelner Benutzer zu erlangen, verwenden Sie bitte folgende Zugangsdaten: Schlüssel Wert Server https://schoolserver/webdav/u/<Benutzername>/ Port 443 Benutzername Der Benutzername (z. B. des Schülers) Passwort Das Passwort des Benutzers WebDAV-Zugriff für Gruppen Um Zugriff auf die Dateien von Gruppen zu erlangen, nutzen Sie bitte folgende Zugangsdaten: Schlüssel Wert Server https://schoolserver/webdav/g/<Gruppenname>/ Port 443 Benutzername Der Benutzername (z. B. des Schülers) Passwort Das Passwort des Benutzers Hinweis WebDAV Clients Auch mit PCs können Sie diese WebDAV Schnittstelle verwenden. Beachten Sie dabei aber bitte, dass die meisten Windows-Versionen mit ihrem eingebauten WebDAV-Client mit über https passwortgeschützten WebDAV-Freigaben - wie sie der OSS anbietet - Probleme haben. Deshalb müssen Sie hier spezialisierte Clients wie z.B. cyberduck verwenden. 47 48 10 Systemüberwachung Prozessüberwachung Dieser Menüpunkt zeigt Ihnen eine Übersicht wichtiger Systemdienste und deren aktuelle Zustände an. Welche Einträge der Open School Server hier anzeigt, legen Sie über den Parameter MonitorServices unter dem Menüpunkt System->Globale Konfiguration fest. Ein Dienst kann aktiviert oder deaktiviert sein. Ist ein Dienst aktiviert, wird er beim Hochfahren des Systems automatisch gestartet. Weiterhin können Sie einen Dienst starten, stoppen, neu laden und neu starten. Wenn Sie einen Dienst neu starten, wird dieser zunächst gestoppt und danach wieder gestartet. Wenn Sie einen Dienst neu laden, wird dieser nicht beendet, sondern lädt in der Regel seine Konfiguration neu oder führt einige Initialisierungen durch. Nicht alle Dienste unterstützen diese Funktion. Nachdem Sie den Status eines Dienstes geändert haben, klicken Sie auf Diesen Status setzen. Supportanfrage Über den Menüpunkt System->Support können Sie Supportanfragen an das Supportteam des Open School Servers oder an Ihre persönliche Supportstelle richten. Neben der Beschreibung Ihres Problems können Sie die Konfiguration Ihres Systems und die LDAP–Datenbank mitsenden. Vergessen Sie dabei nicht eine korrekte Antwortadresse einzutragen. Sie erhalten nach Eingang der Supportanfrage in der Regel innerhalb von 20 Minuten eine automatische Bestätigung. Wenn diese nicht erfolgt, müssen Sie davon ausgehen, dass die Supportanfrage nicht ankam, oder Sie Antworten des Supports nicht empfangen können. Hinweis Beachten Sie, dass die LDAP–Datenbank die (verschlüsselten) Passwörter und persönlichen Daten Ihrer Benutzer enthält. Senden Sie diese daher nur nach expliziter Aufforderung. 49 50 11 Windows mit dem OSS klonen Systemvoraussetzungen Sie benötigen einen PC, auf dem Windows 7 installiert ist. Soll der PC später in die Domäne aufgenommen werden, muss mindestens Windows 7 Professional installiert sein. Die PCs müssen über eine PXE-boot-fähige Netzwerkkarte verfügen und per Netzwerk an den Open School Server angeschlossen sein. Der Open School Server muss mindestens auf Version 3.1 sein. Wenn Sie den ClaXss Klassenzimmermonitor nutzen möchten, müssen Sie diesen auf dem OSS erst über System -> Zusatzpakete installieren. Master vorbereiten Gehen Sie vor wie unter „Anbindung von Windows Clients“ auf der Seite 20 beschrieben. Klonen Es gibt zwei Möglichkeiten, um Windows 7 zu klonen Verwenden von SYSPREP Starten Sie C:\windows\System32\sysprep\sysprep.exe und konfigurieren Sie es wie folgt: • Bei Systembereiningungsaktion wählen Sie Out-of-Box-Experience (OOBE) Modus • Wählen Sie Verallgemeinern aus • Bei Option für Herunterfahren wählen Sie Neustart In dieser Methode wird der Rechner neu starten, und Sie können mit Hilfe des CloneTools wie gewohnt ein Image Ihres Master-Rechners ziehen (s. Schulungsunterlagen OSS 3 oder Handbuch). Dieses Image können Sie auf die anderen Rechner übertragen. Die Zielrechner müssen nicht unbedingt dieselbe Hardware wie der Master besitzen. Hinweis Bricht Sysprep mit einer Fehlermeldung ab, kann dies am Windows Mediaplayer-Netzwerkfreigabedienst liegen. Beenden Sie in diesem Fall diesen Dienst mit folgendem Befehl: net stop wmpnetworksvc Ohne SYSPREP Sie können auch ohne Verwendung von Sysprep klonen. Hierfür müssen Sie vorher mit dem Master-Rechner aus der Domäne austreten. Starten Sie den Rechner neu und verwenden Sie das CloneTool wie gewohnt (s. Schulungsunterlagen OSS 3 oder Handbuch), um das Image zu ziehen. In diesem Fall müssen Sie bei „Windows Anmeldung“ „Windows Domainenmitglied ohne Sysprep“ wählen. Dieses Image können Sie nur auf hardwaregleichen Rechnern wieder aufspielen. Wichtige Hinweise Info Durch Verwendung der SYSPREP-Methode muss der neue Zielrechner nicht unbedingt dieselbe Hardware wie der Master haben. Sie brauchen also künftig weniger Master-Images. Einfacher geht es ohne SYSPREP aber nur wenn die Zielrechner alle über identische Hardware verfügen. In diesem Fall muss der Master-Rechner vor dem Klonen aus der Domäne genommen werden. 51 Wichtig! Bei der Installation von Windows7 werden meistens 2 Partitionen erstellt. Eine kleinere, die zum Booten verwendet wird, und die Systempartition. Beide Partitionen müssen geklont werden! Beim Klonen der Bootpartition muss als Betriebssystem Windows7 und als „Windows Anmeldung“ „Keine Aufnahme“ gewählt werden. Wichtig! Wollen Sie neue Softwarepakete installieren oder Änderungen an der Konfiguration vornehmen, müssen Sie den Masterrechner bearbeiten und wieder klonen. Es ist zwar nicht zwingend erforderlich, aber die Erfahrungen haben gezeigt, dass es empfehlenswert ist, den Masterrechner vor so einer Arbeit wiederherzustellen, damit man eine sauber installierte Grundlage hat. 52 12 Softwareverteilung Der OSS bietet die Möglichkeit Software über die Admin-Oberfläche gezielt an den einzelnen Clients zu installieren. Dies funktioniert mittels Softwarepaketen über die Softwareverteilung. Diese Softwarepakete werden von EXTIS zur Verfügung gestellt und können über die Admin-Oberfläche heruntergeladen werden. So sieht die Softwareverteilung bei einem frisch aufgesetzten Server aus. Es ist noch keine Software vorhanden. Sie können hier Pakete herunterladen, selber WPKG bzw. MSI Pakete hinzufügen oder, falls Ihnen solche zur Verfügung stehen, Pakete, die zuvor von einem anderen OSS exportiert wurden, importieren. Pakete herunterladen Sobald Sie auf Pakete herunterladen klicken, sehen Sie alle Pakete nach Kategorien geordnet, die Ihnen zum Download zur Verfügung stehen. Hier haben Sie die Möglichkeit, gleich eine komplette Kategorie herunterzuladen oder durch Klicken auf eine einzelne Kategorie, deren Inhalte einzusehen und diese anschließend gezielt herunterzuladen. 53 Sobald Sie Ihre Auswahl getroffen haben - Häkchen vor dem jeweiligen Paket/Kategorie -, bestätigen Sie den Download mit Herunterladen. Der Download startet sofort, und Sie werden zurück in die Softwarevertelung geleitet. Wenn alle Pakete heruntergeladen sind, erscheinen sie nach denselben Kategorien geordnet wie zuvor auf der Downloadseite. Wie zuvor beim Herunterladen haben Sie auch bei der Installation der Pakete die Möglichkeit, entweder ganze Kategorien oder nach einem Klick auf den Kategorienamen einzelne Pakete aus der betreffenden Kategorie zur Installation auszuwählen. Sobald Sie Ihre Wahl getroffen haben, starten Sie den Vorgang mit Zur Installation. 54 Zur Installation/Zur Deinstallation Bevor Sie den Befehl zur Installation geben, wird Ihnen eine Übersicht Ihrer Paketauswahl angezeigt, in der Sie jetzt noch Pakete abwählen können. In den nächsten Feldern können Sie die Auswahl der Clients, auf denen Sie Pakete installieren wollen, nach Gerätekonfiguration sowie Klassenräumen filtern. In der letzten Liste werden alle Clients aufgelistet, die den von Ihnen gewählten Filterkriterien entsprechen. Die Ergebnisse dieser Liste sind vorausgewählt, d. h. wenn Sie nun auf Installieren klicken, würden alle Clients dieser Liste den Befehl zur Installation bekommen, der beim nächsten Neustart ausgeführt wird. Um die Installation sofort zu starten, müssen Sie unten bei Installation/Deinstallation sofort starten ein Häkchen setzen. Wenn Sie jetzt auf Installieren klicken, bekommen die Clients den Installationsbefehl sofort. Wenn Ihre Clients Wake-on-Lan unterstützen, und Sie diese Einstellung auf ihnen aktiviert haben, werden sie im Fall des sofort starten eingeschaltet, sollten sie ausgeschaltet oder im Sleep-Mode sein. Wenn Sie Programme deinstallieren möchten, gehen Sie genau wie bei der Installation vor. Wählen Sie die zu deinstallierenden Programme aus. Beim Filtern werden Ihnen diesmal die Clients angezeigt, auf denen die ausgewählten Pakete installiert sind. Durch Klicken auf Entfernen wird die Deinstallation entweder beim nächsten Neustart der Clients oder, wenn markiert, sofort gestartet. 55 Installationen suchen Um eine bessere Übersicht über den aktuellen Stand der Clients zu bieten, gibt es auf dem OSS die Möglichkeit nach Installationen zu suchen. Allerdings bietet Installationen suchen mehr als nur einen einfachen Überblick. Sie können von hier aus sehen, welche Software auf den Clients installiert ist, auch wenn diese nicht durch die Softwareverteilung installiert wurde, Installation-/Deinstallationbefehle geben und den Installationsstatus der einzelnen Clients einsehen. Auf der ersten Seite können Sie die Filterkriterien setzen. Sie haben die Möglichkeit nach Kategorie, Paketen, Status, Räume und Arbeitsplätzen zu filtern. Wollen Sie beispielsweise jedes Paket auf jedem Rechner eines bestimmten Raumes sehen, dann wählen Sie nur den Raum aus (z. B. edv32) und klicken anschließend auf suchen. Wollen Sie z. B. nur die Pakete sehen, die auch Installiert sind, müssen Sie auch den Status installiert markieren. 56 Abhängig von den Filterkriterien haben Sie auf dieser Seite mehrere Möglichkeiten. Aktuell könnten Sie die Status der Installationen löschen oder Programme deinstallieren. Für Zweiteres müssen Sie einmal die Pakete auf dem Client sowie den Client, auf dem Sie deinstallieren wollen, markieren. Erst danach dürfen Sie auf deinstallieren klicken. Der Button Jetzt ausführen führt dazu, dass das Installscript auf dem Client erneutausgeführt wird, wodurch die Pakete bzw. die Status der Pakete aktualisiert werden, aber auch hier müssen Sie den Client markieren, bevor Sie jetzt ausführen klicken. Hat ein Paket einen „nicht festen Status“, d. h. es hat den Befehl zur Inst/Deinstallation bekommen, wurde nur noch nicht ausgeführt, haben Sie die Möglichkeit hier den Befehl über Inst/Deinst abbrechen zu revidieren oder ihn über Jetzt ausführen sofort ausführen zu lassen. Sollten Sie ein Paket deinstallieren wollen, können Sie das von hier aus ebenfalls tun. 57 Haben Sie auf Jetzt ausführen geklickt, sehen Sie, dass das Installscript angelaufen ist. Das (Gestartet) zeigt Ihnen genau, welches Paket das Script im Augenblick bearbeitet. Das Installscript kann allerdings mehr als nur installieren. Es liest auf dem Computer die installierte Software aus und zeigt sie als Manuell Installiert bzw. als Manuell Deinstalliert an, wenn ein zuvor mit der Softwareverteilung installiertes Paket auf einem Client von Hand deinstalliert wurde. Hier sehen Sie, dass der WinDiffCreator manuell deinstalliert wurde. Pakete, die als Manuell Installiert gelistet werden, können Sie zur Softwareverteilung hinzufügen, d. h. Pakete aus ihnen bauen. Wie das im Einzelnen funktioniert, wird später noch unter „MSI/WPKG Paket hinzufügen“ erläutert. Pakete bearbeiten 58 In dieser Übersicht sehen Sie sämtliche Pakete, die Sie heruntergeladen haben, und können sie bearbeiten, löschen oder exportieren. Durch Markieren einer Kategorie vor Betreten der Übersicht werden nur die Pakete angezeigt, die sich in der markierten Kategorie befinden. Es gibt verschiedene Möglichkeiten neue Pakete auf den OSS zu bekommen. Herunterladen ist die wohl einfachste Variante. Wollen Sie aber selber ein Paket bauen, bietet Ihnen der OSS auch hierfür gewisse Werkzeuge. Die einzige Einschränkung ist, dass die Methode nur bei MSI- bzw. InnoSetup Installern funktioniert, da diese beiden standardisierte Installations-Switche besitzen, weshalb der OSS mit nur wenigen Eingaben ein Paket bauen kann. MSI/WPKG Paket hinzufügen Die Schritte für das Hinzufügen von Paketen - unabhängig ob MSI oder InnoSetup - sind im Prinzip dieselben: • Name; zusammengesetzt aus Programmname und Versionsnummer, verknüpft durch „V“ (z.B. ExEV1.2.3) • Beschreibung; kurze Information zum Programm • Version; selbe Programmversion wie zuvor beim Namen • Kategorie; gibt an, in welcher Kategorie das Paket nach der Erstellung gespeichert wird. Sollte die Angegebene Kategorie noch nicht existieren, wird sie erstellt • Vorgänger Paket; nur der Name (ohne Version) des Pakets • Lizenzbestimmungen; URL zu der Herstellerseite • Paketanforderungen; z. B. JRE für BlueJ • Software ID; die Nummer oder der Name, die/der eine Software in der Registry unter HKLM/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/UNINSTALL einträgt. Für MSI Installer ist das eine Nummer in Klammern (Bsp. {4F34C602-4D6D-470D-A2A059E4F25DDBF2} ), für InnoSetup der Programmname und „_is1“ (Bsp. WinMerge_is1) • Softwarename; auch Displayname, ist der Name der unter Programme und Funktionen → Programme deinstallieren angezeigt wird • Installations-/Speicherpfad; Pfad zu einer Datei, die während der Abarbeitung des Pakets auf dem Client erstellt wird, z. B. Script, welches ein Bild an eine bestimmte Stelle auf dem Client kopiert • Installation/Deinstallation; in der Abbildung oben sehen Sie die Kommandos für ein WPKG Paket. Für MSI Pakete siehe unten: 59 • Ausführen; gibt an, ob das Paket nur einmal oder bei jedem Neustart des Clients „Installiert“ werden soll, z. B. Script, das die Systemzeit des Clients mit der des Servers synchronisiert • Paketpfad; gibt den genauen Pfad zur Installationsquelle auf dem Server aus Windowssicht an. Sie müssen, wenn Sie bis hierhin alles vollständig ausgefüllt haben, nur den Installer angeben Ihre Eingaben bestätigen Sie durch Hinzufügen. Der OSS erstellt das Paket jetzt voll automatisch. Es erscheint in der von Ihnen angegebenen Kategorie in der Softwareverteilung. Es bietet sich während der Erstellung von Paketen an, auf die Option Hinzufügen bei manuell installierten Paketen zurückzugreifen, da der OSS in diesem Fall die meisten Felder eigenständig ausfüllt, und Sie somit nur geringfügige Anpassungen vornehmen müssen. Um diese Option zu nutzen, installieren Sie das gewünschte Programm auf einem Client und lassen - nach abgeschlossener Installation - das Installscript auf diesem Client mittels Jetzt Ausführen (siehe Installation suchen) durchlaufen oder starten ihn neu. Wenn Sie nun nach dem Status der Installation auf diesem Client suchen, sehen Sie das installierte Programm in blauer Schrift. Sobald Sie auf den Hinzufügen-Button klicken, erstellt der OSS daraus ein Paket, welches in der neu erstellten Kategorie Manuell Installierte Software gespeichert wird. Die Kategorie (auch das Paket) erscheint rot, da das Paket noch nicht vollständig fertig gestellt ist. Sie müssen es über Paket bearbeiten selber fertig stellen. Der OSS hat den Pfad, den Sie unter Paketpfad sehen, angelegt. Da ihm jetzt noch die Installationsquelle, gibt er die zu sehende Fehlermeldung aus. Sobald Sie die Installationsquelle angegeben und sie an diese Stelle auf dem OSS kopiert haben, ist das Paket vollständig einsatzbereit und kann an weitere Clients verteilt werden. Sie können die Installationsquelle entweder manuell auf dem Server an die richtige Stelle kopieren oder über .MSI Auswählen von dem Computer aus, auf dem Sie gerade angemeldet sind, hochladen. Die Abbildung zeigt das Vorgehen am Beispiel des MSI-Installers für orca. 60 Lizenzschlüssel Das OSS Software-Repository erlaubt Ihnen die Angabe mehrere Lizenzschlüssel für ein Paket. Sie können dabei angeben, wie oft dieser Schlüssel verwendet werden darf. Wurde ein Schlüssel einmal für einen PC verwendet, dann bleibt dieser auch diesem PC zugeordnet, selbst wenn Sie die Software dort deinstallieren. Ein Freigeben des Schlüssels muß durch Sie manuell erfolgen. Bei der Anlage des Softwarepaketes geben Sie an, wie die Lizenzen vorhanden sind, ob über eine XMLDatei, eine CSV Datei oder ob Sie direkt eingegeben werden. Über die Details können Sie später die Zuordnung der Lizenzschlüssel einsehen und ggf. diese wieder über „freigeben für andere PCs“ freistellen. 61 Software einem Image zuweisen Ihren Images können Sie ebenfalls Software aus dem Repository zuweisen. Bei neuen PCs, die dieses Image erhalten, wird dann automatisch die Softwareauswahl installiert: Gehen Sie nach Netzwerk->Gerätekonfigurationen, wählen Sie dort das image aus (Hardware bearbeiten), gehen auf Details bei Zu installierende Software und wählen dort die Standardsoftware aus. Hinweis Wenn ein PC schon einmal mit Softwarepaketen versorgt wurde, wird beim Wiederherstellungsprozess mit dem Image dieselbe Software wieder installiert, die beim OSS registriert ist, d.h. nicht die Software, die dem Image zugeordnet ist, sondern der letzte Stand des PCs. 62 13 OSS Radius-Server Überblick Dieses Dokument beschreibt die Anbindung von WLAN-Clients über den OSS 3 Radius-Server. Die Anbindung der WLAN-Clients bietet sich immer dann an, wenn man fremde Notebooks im Netz erlauben möchte ohne ein gemeinsames Kennwort an alle Benutzer zu vergeben, welches im Falle des Missbrauchs für jeden Benutzer geändert werden müsste. Zur Anbindung der Clients nach dieser Anleitung benötigen Sie Radius-fähige Access Points. Diese verbinden Sie über das Schulnetzwerk mit dem OSS. Beispiel-Access-Points mit Radius Authentifizierung: Netgear WN802T, Apple Aiport Extreme. Die Radius-Funktion der Access Points wird oftmals auch mit den Standards WPA2-Enterprise, WPA2-1x oder WPA2-802.1x bezeichnet. Systemvoraussetzungen Sie benötigen: – Open School Server ab Version 3.2 (oder einen OSS 3 mit den letzten Updates) – Einen Radius-fähigen Accesspoint (s. 1.) – Einen Client mit WLAN Karte; bei Windows empfehlen wir mindestens XP Professional mit Service Pack 3 (einige XP SP2 funktionieren ebenfalls) Installation Wenn Sie die OSS-Radius-Erweiterung gekauft haben, werden Sie ein sog. Rpm-Paket erhalten, welches Sie als Benutzer root mit folgendem Befehl installieren müssen: zypper install oss-radius.rpm Wenn Sie Schwierigkeiten mit der Installation haben, wenden Sie sich an unser Supportteam. Passwort festlegen Nach der Standardinstallation ändern Sie bitte das default Passwort in der Datei /etc/raddb/clients.conf im Bereich „client ...“ mit „shortname=server-net“ von testing123-1 auf ein anderes Passwort. Dieses Passwort benötigen Sie wieder bei der Access-Point-Konfiguration. Jedes Mal, wenn Sie Änderungen in dieser Datei (z. B. Passwortänderung) vornehmen, müssen Sie als root den Free-Radius Server mit folgendem Befehl neustarten: rcfreeradius restart 63 Prozessüberwachung Wenn Sie möchten, dass der Radius Prozess in der Liste der Prozesse im Menüpunkt System -> Prozessüberwachung aufgeführt wird, dann nehmen Sie den Dienst freeradius unter System -> Globale Konfiguration -> Einstellungen in die Liste der zu überwachenden Prozesse auf (Parameter MONITOR_SERVICES). Konfiguration des Access-Points Nehmen Sie den Access-Point über die Administrationsoberfläche unter Netzwerk -> Räume/Rechner in den Raum SERVER_NET auf. Tragen Sie dort die MAC-Adresse der Netzwerkkarte ein, mit der der Access-Point mit dem OSS verbunden ist. Die weitere Konfiguration ist abhängig vom verwendeten Access-Point. Sie müssen beim Access-Point bei der Zugriffssteuerung „Radius“ bzw. „Firmenweiter WPA2“ auswählen. Am Beispiel des Apple Airport Extreme: a) Einstellen, dass Radius verwendet werden soll: Wählen Sie bei Schutz „Firmenweiter WPA2“ aus. Anschließend gehen Sie auf „RADIUS konfigurieren“. b) Tragen Sie als Haupt-RADIUS-IP-Adresse die Adresse des OSS Servers (Schulnetz) ein. Je nachdem welches Netzwerk Sie bei der OSS-Installation gewählt haben, lautet die Adresse z. B. 192.168.0.2 oder 10.0.0.2. c) Tragen Sie als Haupt-Schlüssel das Passwort ein, das Sie unter 3.1 angegeben haben. d) Konfigurieren Sie den Haupt-Port – wenn Sie diesen nicht bei der Installation des Radius-Servers geändert haben, ist er 1812. Aufnahme der WLAN-Clients in den OSS Registrieren Sie die WLAN-Clients - wie jeden anderen PC - über ihre MAC-Adressen am OSS. Legen Sie dazu ggf. virtuelle Räume/Notebookklassen an. Wichtig Verwenden Sie zur Aufnahme die MAC-Adresse der WLAN-Karte und nicht die der normalen Netzwerkkarte! Sie erhalten diese über die Netzwerkeinstellungen. Sie werden feststellen, dass nach der Installation des Radius-Servers die Raumkonfiguration um den Eintrag WLAN-Zugang erweitert wurde – sowohl bei der Neuaufnahme der PCs als auch in der Raumübersicht. 64 Wenn Sie hier bei WLAN-Zugang einen Haken setzen, konfigurieren Sie den OSS darauf, dass Benutzer sich über diesen PC im WLAN anmelden können. Im zweiten Schritt müssen Sie dann noch zuordnen, welcher Schüler oder Lehrer diesen PC für den WLANZugang nutzen darf. Dazu rufen Sie die betreffende Person über das Menü Benutzer/Gruppen -> Benutzer Bearbeiten auf. Sie können bei WLAN/RAS-Zugang den Zugang jedes Benutzers einstellen. Durch „no“ hat der Benutzer keinen Zugang, stattdessen führt „all“ zu einem Zugang von jedem WLAN-Client aus. Die Clients werden erst in dieser Liste erscheinen, wenn Sie sie wie im vorherigen Schritt beschrieben für „WLAN-Zugang“ konfiguriert haben. Wichtig Damit man überhaupt Rechner über die WLAN-Karte registrieren kann, wird bei der Installation des Paketes oss-radius beim Benutzer admin und bei allen Lehrern mit Administrationsrechten der Wert WLAN-Zugang auf „all“ gesetzt. Konfiguration der WLAN-Clients Die Konfiguration der Clients hängt von ihrem Betriebssystem und von der verwendeten WLANSoftware/Treiber ab. Wollen Sie sich mit einem für WLAN im OSS konfigurierten Client am Schulnetz anmelden, dann schalten Sie das WLAN auf dem Client ein und wählen das Schul-WLAN aus (der Name wird von Ihrem Access-Point definiert). Die WLAN-Client Software sollte automatisch erkennen, dass der Zugriff über WPA2 (nicht WPA2-PSK) gehen soll und dabei Benutzername und Passwort eingegeben werden müssen. Hier verwenden die Benutzer die Zugangsdaten, die sie auch verwenden, um sich an der Windows-Domäne des Schulservers oder an der Adminoberfläche anzumelden. Nach erfolgreicher Anmeldung im OSS-WLAN wird in der OSS-LDAP-Datenbank jeweils ein Attribut an das Personen- und Rechnerobjekt gesetzt. Dadurch ist eine weitere Anmeldung an den Proxyserver nicht mehr nötig. Lediglich die Internetverbindung muss im Browser über Proxy (Automaisches Proxy-KonfigurationScript: http://admin/proxy.pac ) konfiguriert werden. Auf die Freigaben des OSS kann über den Netzwerkbrowser zugegriffen werden. 65 Windows Clients Bei Windows Clients sind abhängig von der Windows-Version ggf. weitere Schritte notwendig. Entfernen Sie in den Drahtlosen Netzwerkeigenschaften bei Authentifizierung die beiden Haken bei „Als Computer authentifizieren“ und „Als Gast authentifizieren“. Klicken Sie auf „Eigenschaften“ bei „EAP-Typ“ und entfernen Sie den Haken bei „Serverzertifikat überprüfen“ (außer Sie haben ein offizielles Zertifikat auf dem OSS installiert). Gehen Sie dann auf Authentifizierungsmethode auswählen“ -> Konfigurieren. Entfernen Sie den Haken bei „Automatisch eigenen Windows-Anmeldenamen...“ . Wenn Sie von Windows bei der Herstellung der WLAN-Verbindung nach Benutzername und Passwort gefragt werden, geben Sie Ihren OSS Benutzernamen und Passwort ein, lassen aber das Feld „Domäne“ leer. Verhalten bei Missbrauch Sollten Sie den Missbrauch eines WLAN-Zugangs feststellen, dann entfernen Sie in der Admin-Oberfläche über Netzwerk -> Räume/Rechner für das betreffende Schüler-Notebook einfach den Haken unter „WLANZugang“, wodurch Sie ihm die WLAN-Berechtigung entziehen. Sollte Ihnen ein Access-Point gestohlen worden sein, und Ihre Access-Points erlauben das nachträgliche Auslesen des Hauptpasswortes, müssen Sie nur - wie im Kapitel „Installation“ beschrieben - das Passwort des Server-Netzes ändern und auf den verbleibenden Access-Points das neue Passwort eintragen. Auf den Schüler-Notebooks muss in diesem Fall nichts geändert werden. 66 14 Klassenzimmerüberwachung Raum anordnen Für den OSS Klassenzimmermonitor (ClaXss Monitor) müssen Sie nach der Aufnahme der PCs in einen Raum die PCs so im Raum anordnen, wie sie aus Sicht des Lehrers tatsächlich im Raum stehen. Rufen Sie den Menüpunkt Netzwerk->Räume/Rechner auf und wählen Sie Ihren Raum aus, indem Sie auf die Schaltfläche mit dem Raumnamen klicken. Wählen Sie dann über die Schaltfläche Raumtyp zuerst ein Raster für die Aufstellung der Tische im Klassenzimmer aus, indem Sie die Anzahl der Reihen und Plätze pro Reihe angeben. Anschließend positionieren Sie die PCs im Raum. Wählen Sie dazu den Raum und dann die Schaltfläche Raum anordnen aus. Es erscheint daraufhin ein schematisiertes Abbild Ihres Klassenzimmers, in dem ggf. die bereits positionierten Rechner angeordnet sind. Rechts davon finden Sie die noch nicht positionierten Rechner. Verschieben Sie nun einfach mit der Maus die PCs an die richtige Stelle und benutzen Sie die Schaltfläche Anwenden zum Speichern. 67 PCs überwachen Gehen Sie auf Sicherheit->Raumüberwachung, um die PC-Überwachung zu starten. Wählen Sie auf der Linken Seite den Raum über einen Doppelckllick aus, dann wird Ihnen der Raum im von Ihnen vorgegebenen Layout angezeigt. Wenn Sie dann in der Menüzeile auf den Play-Knopf (2. von links) drücken, dann starten Sie die Echtzeitüberwachung. Der OSS zeigt Ihnen an, welcher PC erreichbar ist, wer angemeldet ist, und ggf. eine verkleinerte Bildschirmkopie. Ein Doppelklick auf den kleinen Bildschirm zeigt Ihnen einen aktuellen vergrößerten Bildschirmausschnitt an. Mit der rechten Maustaste erhalten Sie weitere Optionen für einen PC, wie z. B. Bildschirm sperren oder Ausschalten des PCs. Möchten Sie alle PCs des Raumes auf einmal steuern, verwenden Sie die Symbole in der Menüzeile. 68
© Copyright 2024 ExpyDoc