[Schulserver] Zusammenfassung des gestrigen Gespräches

Jan-Benedict Glaw jbglaw at lug-owl.de
Fri Oct 25 11:44:02 CEST 2002 

On Fri, 2002-10-25 11:15:03 +0200, Frank Matthieß <Frank.Matthiess at Microdata-POS.de>
wrote in message <20021025091503.GE31018 at microdata-pos.de>:
> * squid als Webproxy bzw. Zugangsfilter.

Hach, Zugangsfilter, ... *kopfschüttel*

> * NFS als Fileserverdiest für Linux/Unix Clients

Ev. NFS-Root?

> * Einen (welchen? Vorschläge?) FTP Server für den Zugriff auf
>   Contentbereiche.

WuFTPd. Davon abgesehen - warum nicht via Samba oder NFS (in parallel)?

> * SSH für die Fernadministration

...und zum Email-Lesen:-)

> * Eine SQL Datenbank (mysql? postgres?) als administrative Datenbank und
>   für den Einsatz im Unterricht.

Ich würde mittlerweile PostgreSQL deutlich vorziehen, aber wofür genau?
Daß im Unterricht SQL gemacht wird, kann ich mir beim besten Willen
nicht vorstellen:-)

> * LDAP als administrative Benutzerdatenbank für die Dienste/Funktionen:

>   2. Smallclient: System auf lokaler Platte. 
>                   Bootmanager: Passwortgeschützer Bootmanager mit der
> 				               Möglichkeit Partiitonen unsichtbar zu
> 							   machen. (grub? Welchen können das noch?)

lilo?

> Desweiteren werden die Webauftritte der Schulen aus dem Schulnetz
> verbannt. Die Seiten werden über einen Webhoster verfügbar gemacht.
> Damit soll das "lustige Apache Hacking" ohne Sicherheitsrisiken des
> Schul-LANs ablaufen.

ROTFBTC

Man, Frank, stoooooooooop! Damals, als Männer noch *echte* Männer waren,
war's Wettkampf, den Apachen der anderen Schule aufzumachen. Gerade ich
aus Gaterloo (in der Nähe einer nichtexistenten Stadt) kann davon ein
Lied singen (ESG vs. SG). Das ist so, als würdest Du zwei bekannten
Städten (bzw. den dazugehörigen Unis) das Rudern verbieten!

> Für die Steuerung der Zugriffe auf diverse Dienste wird auf IP Ebene
> Netfuilter/IPTables verwendet. Damit eine einfache klassenbasiernde
> Sicht möglich ist, haben wir den Vorschlag je Klasse ein /24er Netz zu
> nehmen.

ACK. Seeeehr sinnvoll, je Klasse ein Netz zu nehmen.

> Der Adresspool ist aus dem 10er Bereich, der von der Schule selbst
> verwaltet werden kann.
> 
> 	10.10.0.0/8: 
> 		254 Klassen mit 254 Rechnern
> 		10.10.<KlassenNummer>.<RechnerNummer>
> 		KlassenNummer 1-254
> 		RechnerNummer 1-254

U.U. macht's sogar Sinn, die Netze noch kleiner zu untergliedern.

> Die Serversysteme bekommen einen eigen IP Adressbereich, der ggf. NICHT
> frei gewählt werden kann.
> 
> 	192.168.0.0/29:
> 		8190 Schulnetze mit 6 Serversystemen
> 		
> Mit der zentralen Vergabe von Servernetzwerkadressen ist die
> Schulenübergeifende Kommunikation über VPN möglich. Aber vieleicht macht
> ja auch die Zuweisung von beantragten IPv6 Adressen viel mehr Sinn.
> 
> Da sich IPv6 über die vorhanden IPv4 Verbindungen tunneln läßt, und die
> Serversysteme direkt mit IPv6 ausgestattet sind, ist dies u.U. die
> zukunftsweisendere Alternative. Auch Netfilter/IPTables ist für IPv6
> vorbereitet und nutzbar.

Sagen wir, es werden langsam mehr und mehr Module geschrieben und einige
_üble_ Bugs sind 'raus...

> Im Laufe des Gesprächs haben sich ein paar Forderungen
> herauskristallisiert:
> 
> * Die Lehrkraft hat Zugriff auf die Homelazufwerke der Schüler.

Das halte ich für ausgesprochen kritisch. Was exakt hat ein Lehrer im
Normalbetrieb an den Daten eines Schülers verloren? Genausowenig, wie
ein Schüler an des Lehrers Klausuren oder an den Zeugnisdaten seiner
selbst sowie übriger Schüler.

Wenn über das Schul-Netzwerk Böse Dinge (TM) gemacht werden, dann sieht
das, nach Anzeigen-Stellung, anders aus. Aber nicht im Normalbetrieb!

> * Die Freischaltung von Rersourcen erfolgt weahlweise:
>   - Raumbasierend
>   - Rechnerbasiernd
>   - Benutzerbasiernd
>   
> * Für Prüfungen ist folgendes Verfahren vorgschlagen worden:
>   - Die Schülerbenutzerkonten werden für den Zeitraum der Prüfung
> 	gesperrt.
>   - Stattdessen werden Prüfungsbenutzerkonten freigeschaltet.
>     Die Plattennbereiche für die Ergebnisse sind nur während dieser Zeit
> 	errechbar. Nach der prüfun hat nur noch die Lehrkraft daruaf
> 	Zugriffsrechte.
>   - Nach der Prüfung werden die Prüfungsbenutzerkonten gesperrt
> 	und die normalen Schülerbenutzerkonten wieder freigeschaltet.
>   - Die Prüfungkonten werden für jede Prüfung mit neuen Benutzernamen
> 	und Passwörtern versehen.
> 	Die Daten werden in Papierform dem Prüfling zur Verfügung gestellt.

Da viele Schüler (ebenso wie die dazugehörigen Lehrer, sorry...) zu blöd
sind, ein Password richtig abzuschreiben, würde ich empfehlen, nur $HOME
während der Prüfung auf ein 2tes, unabhängiges Verzeichnis zu verbiegen.
Sonst führt das zu heillosem Chaos, glaubt mir:-)

> Weitere Sessions sind heute und morgen in Borgholzhausen im PAB
> vorgesehen. 

Vielleicht komm' ich noch vorbei, allerdings hab' ich heute noch eine
Menge zu tun, und morgen steht meine Verwandtschaft auf dem Teppich:-(

MfG, JBG

-- 
   - Eine Freie Meinung in einem Freien Kopf für
   - einen Freien Staat voll Freier Bürger
   						Gegen Zensur im Internet
Jan-Benedict Glaw   .   jbglaw at lug-owl.de   .   +49-172-7608481
	 -- New APT-Proxy written in shell script --
	   http://lug-owl.de/~jbglaw/software/ap2/
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: not available
Url : http://lug-owl.de/pipermail/san/attachments/20021025/276d89b7/attachment.pgp

More information about the SAN mailing list