[Schulserver] Zusammenfassung des gestrigen Gespräches

Frank Matthieß Frank.Matthiess at Microdata-POS.de
Fri Oct 25 12:13:02 CEST 2002 

Freitag den 25.10.2002 um 11:43 CEST  +0200, schrieb Jan-Benedict Glaw:
> On Fri, 2002-10-25 11:15:03 +0200, Frank Matthieß <Frank.Matthiess at Microdata-POS.de>
> wrote in message <20021025091503.GE31018 at microdata-pos.de>:
> > * squid als Webproxy bzw. Zugangsfilter.
> 
> Hach, Zugangsfilter, ... *kopfschüttel*

Nein - nicht Büssow. Aber www.playboy.de ist entsprechenden Eltern nicht
zu vermitteln.

> 
> > * NFS als Fileserverdiest für Linux/Unix Clients
> 
> Ev. NFS-Root?

Yep.

> 
> > * Einen (welchen? Vorschläge?) FTP Server für den Zugriff auf
> >   Contentbereiche.
> 
> WuFTPd. Davon abgesehen - warum nicht via Samba oder NFS (in parallel)?

Der Sinn von FTP ist mir so recht auch nicht klar.
Zumal sftp mittlerweile durchgängig verfügbar ist und auf ssh basiert.

> 
> > * SSH für die Fernadministration
> 
> ...und zum Email-Lesen:-)

Jaja, mir fallen da auch noch gaaanz viele Dinge ein...

> 
> > * Eine SQL Datenbank (mysql? postgres?) als administrative Datenbank und
> >   für den Einsatz im Unterricht.
> 
> Ich würde mittlerweile PostgreSQL deutlich vorziehen, aber wofür genau?
> Daß im Unterricht SQL gemacht wird, kann ich mir beim besten Willen
> nicht vorstellen:-)

Die IBMer konnten sich auch nicht vorstellen das Anwendungen auf einem
PC mehr als 640kByte RAM benötigen würden....


> 
> > * LDAP als administrative Benutzerdatenbank für die Dienste/Funktionen:
> 
> >   2. Smallclient: System auf lokaler Platte. 
> >                   Bootmanager: Passwortgeschützer Bootmanager mit der
> > 				               Möglichkeit Partiitonen unsichtbar zu
> > 							   machen. (grub? Welchen können das noch?)
> 
> lilo?

Kann lilo PXE Boot's?


> 
> > Desweiteren werden die Webauftritte der Schulen aus dem Schulnetz
> > verbannt. Die Seiten werden über einen Webhoster verfügbar gemacht.
> > Damit soll das "lustige Apache Hacking" ohne Sicherheitsrisiken des
> > Schul-LANs ablaufen.
> 
> ROTFBTC
  ???????

> 
> Man, Frank, stoooooooooop! Damals, als Männer noch *echte* Männer waren,
> war's Wettkampf, den Apachen der anderen Schule aufzumachen. Gerade ich
> aus Gaterloo (in der Nähe einer nichtexistenten Stadt) kann davon ein
> Lied singen (ESG vs. SG). Das ist so, als würdest Du zwei bekannten
> Städten (bzw. den dazugehörigen Unis) das Rudern verbieten!
> 

Das DU solceh Hobbies hast, weiß ich, aber Lehrer haben i.R. andere
Hobbies.

> > Für die Steuerung der Zugriffe auf diverse Dienste wird auf IP Ebene
> > Netfuilter/IPTables verwendet. Damit eine einfache klassenbasiernde
> > Sicht möglich ist, haben wir den Vorschlag je Klasse ein /24er Netz zu
> > nehmen.
> 
> ACK. Seeeehr sinnvoll, je Klasse ein Netz zu nehmen.
> 
> > Der Adresspool ist aus dem 10er Bereich, der von der Schule selbst
> > verwaltet werden kann.
> > 
> > 	10.10.0.0/8: 
> > 		254 Klassen mit 254 Rechnern
> > 		10.10.<KlassenNummer>.<RechnerNummer>
> > 		KlassenNummer 1-254
> > 		RechnerNummer 1-254
> 
> U.U. macht's sogar Sinn, die Netze noch kleiner zu untergliedern.

Aber für 99% der Schilen sollte das so funktionieren, und es ist auf
Anhieb für einen Laien^WLehrer zu erkennen, das es sich um das Netz der
Klasse A oder der Klasse B, handelt. KISS.


> 
> > Die Serversysteme bekommen einen eigen IP Adressbereich, der ggf. NICHT
> > frei gewählt werden kann.
> > 
> > 	192.168.0.0/29:
> > 		8190 Schulnetze mit 6 Serversystemen
> > 		
> > Mit der zentralen Vergabe von Servernetzwerkadressen ist die
> > Schulenübergeifende Kommunikation über VPN möglich. Aber vieleicht macht
> > ja auch die Zuweisung von beantragten IPv6 Adressen viel mehr Sinn.
> > 
> > Da sich IPv6 über die vorhanden IPv4 Verbindungen tunneln läßt, und die
> > Serversysteme direkt mit IPv6 ausgestattet sind, ist dies u.U. die
> > zukunftsweisendere Alternative. Auch Netfilter/IPTables ist für IPv6
> > vorbereitet und nutzbar.
> 
> Sagen wir, es werden langsam mehr und mehr Module geschrieben und einige
> _üble_ Bugs sind 'raus...

Happy testing...
Diese VPN Interconnection ist auch erst im zweiten oder dritten Schritt
umzusetzten. Oder?

> 
> > Im Laufe des Gesprächs haben sich ein paar Forderungen
> > herauskristallisiert:
> > 
> > * Die Lehrkraft hat Zugriff auf die Homelazufwerke der Schüler.
> 
> Das halte ich für ausgesprochen kritisch. Was exakt hat ein Lehrer im
> Normalbetrieb an den Daten eines Schülers verloren? Genausowenig, wie
> ein Schüler an des Lehrers Klausuren oder an den Zeugnisdaten seiner
> selbst sowie übriger Schüler.


> 
> Wenn über das Schul-Netzwerk Böse Dinge (TM) gemacht werden, dann sieht
> das, nach Anzeigen-Stellung, anders aus. Aber nicht im Normalbetrieb!
> 
> > * Die Freischaltung von Rersourcen erfolgt weahlweise:
> >   - Raumbasierend
> >   - Rechnerbasiernd
> >   - Benutzerbasiernd
> >   
> > * Für Prüfungen ist folgendes Verfahren vorgschlagen worden:
> >   - Die Schülerbenutzerkonten werden für den Zeitraum der Prüfung
> > 	gesperrt.
> >   - Stattdessen werden Prüfungsbenutzerkonten freigeschaltet.
> >     Die Plattennbereiche für die Ergebnisse sind nur während dieser Zeit
> > 	errechbar. Nach der prüfun hat nur noch die Lehrkraft daruaf
> > 	Zugriffsrechte.
> >   - Nach der Prüfung werden die Prüfungsbenutzerkonten gesperrt
> > 	und die normalen Schülerbenutzerkonten wieder freigeschaltet.
> >   - Die Prüfungkonten werden für jede Prüfung mit neuen Benutzernamen
> > 	und Passwörtern versehen.
> > 	Die Daten werden in Papierform dem Prüfling zur Verfügung gestellt.
> 
> Da viele Schüler (ebenso wie die dazugehörigen Lehrer, sorry...) zu blöd
> sind, ein Password richtig abzuschreiben, würde ich empfehlen, nur $HOME
> während der Prüfung auf ein 2tes, unabhängiges Verzeichnis zu verbiegen.
> Sonst führt das zu heillosem Chaos, glaubt mir:-)

Und der Schüler mit guten Durchblick im Prüfungsfach gibt gegen Kohle
seine Accountdaten frei....

Ne Ne sooo nich...

Aber das Umbiegen von $HOME auf $PRUEFUNGSHOME ist sicher besser als
der uneingeschränkte Lehrerdurchgriff.


> 
> > Weitere Sessions sind heute und morgen in Borgholzhausen im PAB
> > vorgesehen. 
> 
> Vielleicht komm' ich noch vorbei, allerdings hab' ich heute noch eine
> Menge zu tun, und morgen steht meine Verwandtschaft auf dem Teppich:-(

Und was macht Ihr da auf dem Teppich? ;-)

-- 
Frank Matthieß                                          fm at Microdata-pos.de

More information about the SAN mailing list