Vorschlag für einen Anforderungskatalog (1. Etappe)
Hans-Dietrich Kirmse
hd.kirmse at gmx.de
Sat Apr 12 07:13:02 CEST 2003
Vorschlag für einen Anforderungskatalog einer möglichen ersten Etappe
des Skole-Linux-Servers
Installation
============
1. lehrersichere Standardinstallation
2. Testinstallation in eine Partition sollte trotzdem möglich sein
Nutzerverwaltung
================
- Anlegen der Nutzer (Festlegungen UID, GID, ...)
a) einzeln - Menü?
b) klassenweise [1]
- Änderung der Klassen (neues Schuljahr) [2]
- alle Schüler und Lehrer sind Mitglied der Gruppe "tausch" [3]
- Gruppe tauschadmin (Lehrer werden durch admin aufgenommen) [4]
- Gruppe programmadmin (Lehrer werden durch admin aufgenommen) [5]
- alle User erhalten einen Mailaccount (Adresse?) [6]
- aktuelle Anmeldekontrolle [7]
- rechner- bzw. raumweise Anmeldungen aufgelistet [8]
FileServer
==========
Laufwerk p: (Bereitstellen von Daten und serverbasierten Programmen)
- Schreibrecht nur für bestimmte Lehrer [5]
die bereitgestellten Daten/Programme können von
anderen Lehrern nicht geändert werden (Stickybit)
Laufwerk t: (Tauschverzeichnis)
- im Wurzelverzeichnis jeder volles Schreibrecht für jeden
- in Verzeichnissen besteht Schreibschutz (Stickybit)
- veto-Files verhindern Ablegen ausführbarer Programme
- bestimmten Lehrern können vollst. Schreibrecht erhalten [4]
- es besteht die Möglichkeit, das Lw periodisch zu säubern
- Schülern kann Zugriffsrecht entzogen werden [3]
Laufwerk u: (Homeverzeichnis)
- nur User selbst haben dort Schreib- und Leserecht
- es sollte aber für Schulen mit anderer Konzeption analog
zu Arkturs Fachlehrershell eine Alternative angeboten werden
- Script zum Anzeigen des verbrauchten Plattenplatzes [9]
- einzelnen Schülern kann Homeverzeichnis gesperrt werden
- Quotas sollten nur für die Homeverzeichnisse gelten [10]
Share "allhomes"
- NUR für Admin für bequemen Zugriff auf alle Homeverzeichnisse [11]
ProxyServer
===========
- raumweise Freischaltung durch Lehrer
- Anmeldezwang (bzw. SingleSignOn) für aussagekräftiges Logfile
- Logfile (raumweise) aufbereitet als HTML-Seite für Lehrer
- Aktueller Monitor wie beim GEE
- effektiver Filter (Squidguard)
- Ausschließen einzelner Schüler am Surfen
WebServer
=========
- stellt verschiedene Scripte per SSL zur Verfügung [12]
- stellt für jeden Nutzer ein html_public-Verzeichnis bereit [13]
- für das lok. Webangebot wird der Nutzer "intranet" vorgesehen
- Kontrolle der aufgerufenen Seiten durch aufbereitetes Logfile [14]
- Kontrolle der bereitgestellten Seiten durch Suchmaschine [15]
- Sperren des html_public-Verzeichnis für einzelner Schüler
MailServer
==========
- jeder Schüler hat Mailaccount
- korrekte Mail-Adresse wird als zusätzl. Headerzeile ergänzt [16]
- Mailvirenscanner [17]
- Maßnahmen gegen Spamverhinderung [18]
- es wird ein aufbereitetes Logfile den Lehrern bereitgestellt [19]
- Mailaccounts können durch Admin(?) klassenweise oder einzeln
freigeschalten bzw. gesperrt werden
- für einzelne Schüler sollte das Senden gesperrt werden können
~~~~~~~~~~~~~~~~~~~~~~ Anmerkungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
[1] Die im Wiki angegebene Lösung ist nicht praktikabel. Wer soll
eine solche Datei erstellen?
Lösung von Arktur: Datei hat folgenden Aufbau (zeilenweise)
Nachname Vorname(n)
Der Gruppenname wird im Menü abgefragt. Es wäre sicher auch
möglich, den Dateinamen als Gruppennamen zu verwenden.
[2] folgendes Problem tritt auf:
angenommen man hat die Klassen 7a, 8a, 9a und 10a.
10a verläßt die Schule, alle anderen rutschen nach.
wenn man aber mit den kleinen Klassen anfängt und sagt, alle
Schüler der 7a kommen in die 8a, dann hat man eine doppelt so
starke 8a. Die Schüler der alten 8a bekommt man nun nicht mehr
automatisch in die 9a. Will heißen, man muß von oben anfangen.
Also 10a löschen, dann 9a zur 10a usw. Bei Arktur hilft hier
das RCS. Es müßte also entweder ein Art Undo-Funktion oder ein
Sperre eingebaut werden, damit dieses "mischen" der Klassen
nicht passiert.
[3] Begründung siehe im Wiki
[4] Begründung siehe im Wiki
[5] Begründung siehe im Wiki
[6] es ist zu überlegen, ob eine Alternative zu <login>@schuldomain
sinnvoll ist. (praktisch ist mit dem Login auch die Mailadresse
bekannt bzw. leicht zu erraten - da machen manche ein
Datenschutzproblem daraus)
[7] die Anmeldekontrolle von Rene van Bevern liese sich sofort
einsetzen, aber nur, wenn die Anmeldung am Fileserver
vorgenommen wird. Es gibt aber Schulen, die nehmen als File-
server WinNT oder unter Linux eben NFS. Es müßte also ein
analoges Programm für den LDAP-Server geschrieben werden
[8] Es sollte ebenso die Anmeldekontrolle über einen zurückliegenden
Zeitraum kontrolliert werden können. Bisher wird bei uns das
maschinenbezogene Logfile von Samba genutzt. Geht sowas auch mit
LDAP oder kann LDAP ein maschinenbezogenes Logfile erzeugen?
Mögliche Anwendungen sind, Kontrolle ob während einer Arbeit mal
der Account geändert wurde (Betrugsversuch) oder ob in der Pause
ohne Aufsicht an den Computern "gearbeitet" wurde.
[9] Das Script von Andreas Rittershofer wurde folgendermaßen
verbessert: es listet alle Accounts über einen bestimmten
"Schwellwert" auf. Ist ein weiterer Schwellwert überschritten
sind diese rot dargestellt. Natürlich sortiert mit dem größten
beginnend. Weiterhin lassen sich bestimmte Accounts ausblenden.
[10] es sollten Seiteneffekte durch nichtabgeholte Mails und
liegengebliebene Printjobs entfallen.
[11] dieses Share sollte auch noch in der Netzwerkumgebung nicht
auftauchen. Der Admin verbindet sich bei Bedarf mit diesem Share.
[12] es geht um solche Scripte wie Passwortänderung, Einrichten der
E-Mail-Weiterleitung ...
[13] es sollte PHP und SSI zur Verfügung gestellt werden, schon weil
es Arktur auch kann ;-)
vielleicht abschaltbar, falls es nicht gebraucht wird
[14] bei Arktur das Deckersscript, sollte für jedes Kabinett
gefilterte Seiten liefern
[15] eine "Suchmaschine" liegt von Stephan Beyer in PHP vor
[16] dieses Script liegt irgendwo auf dem Server von www.bszh.de
[17] Es sollte das Virenscanner-Update möglichst automatisch ablaufen
[18] braucht sicher erst später kommen, aber es ist bei der Dauer
der Accounts wichtig.
[19] geloggt werden sollte m.E.: Datum, von, an, Betreff, Größe
wie gesagt, ein Vorschlag als Diskussionsgrundlage.
/"\
Mit freundlichen Grüßen \ / ASCII ribbon campaign
Hans-Dietrich X against HTML mail
/ \ and postings
More information about the SAN
mailing list