[Schulserver] Zusammenfassung des gestrigen Gespräches

Frank Matthieß Frank.Matthiess at Microdata-POS.de
Fri Oct 25 11:16:02 CEST 2002 

Gestern abend haben wir in Borgholzhausen eine Diskussion geführt, in
der die Funktionen und Kriterien eines Schulservers angesprochen
wurden. Diese Diskussion soll an _dieser_ Stelle weitergeführt werden.

Der Ansatz soll  Serverzentriert sein, d.h. die Konfiguration und
Steuerung  der Clients wird über eine Oberfläche auf dem Server
vorgenommen.

* Linuxbasierender Server auf Basis von debian stable.

* Apache Webserver mit Scriptingmodulen (perl, php, o.ä.) mit SSL
  Unterstützung. Die SSL Unterstützung ist als Snifferschutz gedacht.
  Darüber lassen sich auch ggf. mit Client Zertifikaten IP-unabhängige
  Zugangskontrollen steueren.

* squid als Webproxy bzw. Zugangsfilter.

* Samba als Fileserverdienst für Windowsclients

* NFS als Fileserverdiest für Linux/Unix Clients

* Einen (welchen? Vorschläge?) FTP Server für den Zugriff auf
  Contentbereiche.

* SSH für die Fernadministration

* CUPS als Drucksystem für Windows- und Linux/Unix Clients

* Postfix als Mailserver.

* Eine SQL Datenbank (mysql? postgres?) als administrative Datenbank und
  für den Einsatz im Unterricht.

* LDAP als administrative Benutzerdatenbank für die Dienste/Funktionen:
  - Benutzerauthenifizierung Linux/Unix
  - Benutzerauthenifizierung Samba
  - Benutzerauthenifizierung Apache
  - Benutzerauthenifizierung FTP
  - Benutzerauthenifizierung SQL Server
  - Benutzerabhängige Konfiguration Postfix
  - Eigene Erweiterungen für die Steuerung und Konfiguration der
	schulzentrierten Anwendungen.
	+ Verwaltung Schüler-, Lehrer und Raumaccounts

* Groupware auf Basis von Freesoftware Komponenten.

* Firewall auf Basis von netfilter/iptables.

* Linuxterminalserver (LTSP?) für den Einsatz im Unterricht.
  Dabei hane sich drei Klassen von Rechnersystemen herauskristallisiert:
  
  1. Thinclient: Remoteboot, _keine_ Platte, Unkaputtbar(was für ein
                 Wort..)
				 
  2. Smallclient: System auf lokaler Platte. 
                  Bootmanager: Passwortgeschützer Bootmanager mit der
				               Möglichkeit Partiitonen unsichtbar zu
							   machen. (grub? Welchen können das noch?)
							   
  
                  Notsystem: Rescuesystem welches nur passwortgeschützt
                             gestartet werden kann.
							 Die zeitlicge Dauer der Wiederherstellung
							 darf 5 Minuten nicht überschreiten und
							 MUSS vollautomatisch erfolgen.


                             Wenn die vorhandene Platte ca 1G hat
							 können die Wiederhestellungsdaten lokal
							 vorgehalten werden.
							  
							 Die Wiederherstellungsdaten können über
							 das Netz geholt werden.

							 10MBit = 0.8 MByte/s = 48MB/Min
							 100MB = 2 Min. 5 Sek. 
                              
                  Windows:  Minimal Windowsinstallation. Die
				            Benutzerdaten werden vollständig über den
						    Sambaserver verwaltet (Home-, Klassen- und
						    allgemeine Bereiche)
							
				  Linux:  Vollständige Linuxinstallation mit XServer.
                          Die Benutzerdaten werfden via NFS vom
						  Fileserver zur Verfügung gestellt.
						  Die Grossen Anwendungen sind über den/die
						  Terminalserver nutzbar.
  
  3. Bigclient: Vorzeigesystem: Die grossen Multimediamaschinen mit
                                allem was das Herz begehrt(für die
								Presse und Politik...).

								Große Platte. Wiederherstellung ist als
								Spiegelung nicht sinnvoll, daher eine
								automatische Installationsprozedur, die
								nach der Basisinstalltion die eigenen
								spezifischen Teile nachzieht.

								Die Daten werden nur zum Teil auf dem
								Fileserver hinterlegt.
								
								

Für den Internetzugang wird eine Trennung zwischen Server und Firewall
angestrebt. Dort stehen drei Variantren zur Verfügung:

1. Hardware Router mit LAN Interface.
2. Kleine Maschine mit Firewall Funktionalität(fli4l).
3. Mittlere Maschine mit Firewall und VPN Funktionalität (Linux?
   NetBSD? IPSec? OpenVPN? Cipe? IPv6?)

			   Schul LAN
				  ^
				  |
			  +--------+
			  |        |
			  | Server |
			  |        |
			  +--------+
				  |
				  |
				  | DMZ
				  |
				  |
			  +--------+
			  |        |
			  | Router |
			  | Firew. |
			  |        |
			  +--------+
				  |
				  Internetzugang DSL/ISDN

Desweiteren werden die Webauftritte der Schulen aus dem Schulnetz
verbannt. Die Seiten werden über einen Webhoster verfügbar gemacht.
Damit soll das "lustige Apache Hacking" ohne Sicherheitsrisiken des
Schul-LANs ablaufen.

Für die Steuerung der Zugriffe auf diverse Dienste wird auf IP Ebene
Netfuilter/IPTables verwendet. Damit eine einfache klassenbasiernde
Sicht möglich ist, haben wir den Vorschlag je Klasse ein /24er Netz zu
nehmen.

Der Adresspool ist aus dem 10er Bereich, der von der Schule selbst
verwaltet werden kann.

	10.10.0.0/8: 
		254 Klassen mit 254 Rechnern
		10.10.<KlassenNummer>.<RechnerNummer>
		KlassenNummer 1-254
		RechnerNummer 1-254

Die Serversysteme bekommen einen eigen IP Adressbereich, der ggf. NICHT
frei gewählt werden kann.

	192.168.0.0/29:
		8190 Schulnetze mit 6 Serversystemen
		
Mit der zentralen Vergabe von Servernetzwerkadressen ist die
Schulenübergeifende Kommunikation über VPN möglich. Aber vieleicht macht
ja auch die Zuweisung von beantragten IPv6 Adressen viel mehr Sinn.

Da sich IPv6 über die vorhanden IPv4 Verbindungen tunneln läßt, und die
Serversysteme direkt mit IPv6 ausgestattet sind, ist dies u.U. die
zukunftsweisendere Alternative. Auch Netfilter/IPTables ist für IPv6
vorbereitet und nutzbar.


			  +--------+
			  |        |
			  | Server |
			  |        |
			  +--------+
				  | IPv6 Adr. Server
				  |                   IPv6 Netz Schule A
				  | IPv6 Adr. Router
			  +--------+
			  |        |
			  | Router |
			  | Firew. |
			  |        |
			  +--------+
				  |
				  | IPv4 Adr. ISP Eins
				  |
              IPv4(IPv6 Packet)
				  |
				  | IPv4 Adr. ISP Zwei
				  |
			  +--------+
			  |        |
			  | Router |
			  | Firew. |
			  |        |
			  +--------+
				  | IPv6 Adr. Router 
				  |                   IPv6 Netz Schule B
				  | IPv6 Adr. Server
			  +--------+
			  |        |
			  | Server |
			  |        |
			  +--------+

Im Laufe des Gesprächs haben sich ein paar Forderungen
herauskristallisiert:

* Die Lehrkraft hat Zugriff auf die Homelazufwerke der Schüler.

* Die Freischaltung von Rersourcen erfolgt weahlweise:
  - Raumbasierend
  - Rechnerbasiernd
  - Benutzerbasiernd
  
* Für Prüfungen ist folgendes Verfahren vorgschlagen worden:
  - Die Schülerbenutzerkonten werden für den Zeitraum der Prüfung
	gesperrt.
  - Stattdessen werden Prüfungsbenutzerkonten freigeschaltet.
    Die Plattennbereiche für die Ergebnisse sind nur während dieser Zeit
	errechbar. Nach der prüfun hat nur noch die Lehrkraft daruaf
	Zugriffsrechte.
  - Nach der Prüfung werden die Prüfungsbenutzerkonten gesperrt
	und die normalen Schülerbenutzerkonten wieder freigeschaltet.
  - Die Prüfungkonten werden für jede Prüfung mit neuen Benutzernamen
	und Passwörtern versehen.
	Die Daten werden in Papierform dem Prüfling zur Verfügung gestellt.
	
* Weitgehende Verwendung von Thincclient, bzw. Smallclient um eine
  zentrale Pflege unbd Wartung zu vereinfachen.

* Die Clientbetriebssysteme verwenden Ihr natives Fileserverprotokoll,
  um eine einfache Systemintegration zu gewährleisten.

Einige der o.g. Komponenten sind gestern bereits in Betrieb genommen
worden. 

Weitere Sessions sind heute und morgen in Borgholzhausen im PAB
vorgesehen. 
	
CU

-- 
Frank Matthieß                                          fm at Microdata-pos.de

More information about the SAN mailing list