Vorschlag für einen Anforderungskatalog (1. Etappe)

Hans-Dietrich Kirmse hd.kirmse at gmx.de
Sat Apr 12 07:13:02 CEST 2003


Vorschlag für einen Anforderungskatalog einer möglichen ersten Etappe
des Skole-Linux-Servers

Installation
============

 1. lehrersichere Standardinstallation 
 2. Testinstallation in eine Partition sollte trotzdem möglich sein


Nutzerverwaltung
================

 - Anlegen der Nutzer (Festlegungen UID, GID, ...)
     a)	einzeln	- Menü?
     b)	klassenweise    					  [1]
 - Änderung der Klassen (neues Schuljahr)			  [2]
 - alle Schüler und Lehrer sind Mitglied der Gruppe "tausch"      [3]
 - Gruppe tauschadmin (Lehrer werden durch admin aufgenommen)     [4]
 - Gruppe programmadmin (Lehrer werden durch admin aufgenommen)   [5]
 - alle User erhalten einen Mailaccount  (Adresse?)		  [6]

 - aktuelle Anmeldekontrolle					  [7]
 - rechner- bzw. raumweise Anmeldungen aufgelistet		  [8]


FileServer 
==========

 Laufwerk p: (Bereitstellen von Daten und serverbasierten Programmen)

 - Schreibrecht nur für bestimmte Lehrer        	          [5]
   die bereitgestellten Daten/Programme können von
   anderen Lehrern nicht geändert werden (Stickybit)


 Laufwerk t: (Tauschverzeichnis)

 - im Wurzelverzeichnis jeder volles Schreibrecht für jeden
 - in Verzeichnissen besteht Schreibschutz (Stickybit) 
 - veto-Files verhindern Ablegen ausführbarer Programme
 - bestimmten Lehrern können vollst. Schreibrecht erhalten	  [4]	
 - es besteht die Möglichkeit, das Lw periodisch zu säubern
 - Schülern kann Zugriffsrecht entzogen werden   		  [3]


 Laufwerk u: (Homeverzeichnis)

 - nur User selbst haben dort Schreib- und Leserecht
 - es sollte aber für Schulen mit anderer Konzeption analog
     zu Arkturs Fachlehrershell eine Alternative angeboten werden
 - Script zum Anzeigen des verbrauchten Plattenplatzes		  [9]
 - einzelnen Schülern kann Homeverzeichnis gesperrt werden	 
 - Quotas sollten nur für die Homeverzeichnisse gelten		 [10] 


 Share  "allhomes"

 - NUR für Admin für bequemen Zugriff auf alle Homeverzeichnisse [11]


ProxyServer
===========

 - raumweise Freischaltung durch Lehrer
 - Anmeldezwang (bzw. SingleSignOn) für aussagekräftiges Logfile
 - Logfile (raumweise) aufbereitet als HTML-Seite für Lehrer
 - Aktueller Monitor wie beim GEE
 - effektiver Filter (Squidguard)
 - Ausschließen einzelner Schüler am Surfen


WebServer 
=========

 - stellt verschiedene Scripte per SSL zur Verfügung		 [12]
 - stellt für jeden Nutzer ein html_public-Verzeichnis bereit    [13]
 - für das lok. Webangebot wird der Nutzer "intranet" vorgesehen
 - Kontrolle der aufgerufenen Seiten durch aufbereitetes Logfile [14]
 - Kontrolle der bereitgestellten Seiten durch Suchmaschine	 [15]
 - Sperren des html_public-Verzeichnis für einzelner Schüler 

   
MailServer 
==========

 - jeder Schüler hat Mailaccount   
 - korrekte Mail-Adresse wird als zusätzl. Headerzeile ergänzt   [16]
 - Mailvirenscanner 						 [17] 
 - Maßnahmen gegen Spamverhinderung				 [18]
 - es wird ein aufbereitetes Logfile den Lehrern bereitgestellt  [19]
 - Mailaccounts können durch Admin(?) klassenweise oder einzeln 
	freigeschalten bzw. gesperrt werden
 - für einzelne Schüler sollte das Senden gesperrt werden können
 


~~~~~~~~~~~~~~~~~~~~~~ Anmerkungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


[1]  Die im Wiki angegebene Lösung ist nicht praktikabel. Wer soll
     eine solche Datei erstellen?

     Lösung von Arktur:	Datei hat folgenden Aufbau (zeilenweise)
				Nachname Vorname(n)
     Der Gruppenname wird im Menü abgefragt. Es wäre sicher auch
     möglich, den Dateinamen als Gruppennamen zu verwenden.	

[2]  folgendes Problem tritt auf: 
     angenommen man hat die Klassen 7a, 8a, 9a und 10a.
     10a verläßt die Schule, alle anderen rutschen nach.
     wenn man aber mit den kleinen Klassen anfängt und sagt, alle
     Schüler der 7a kommen in die 8a, dann hat man eine doppelt so
     starke 8a. Die Schüler der alten 8a bekommt man nun nicht mehr
     automatisch in die 9a. Will heißen, man muß von oben anfangen.
     Also 10a löschen, dann 9a zur 10a usw. Bei Arktur hilft hier 
     das RCS. Es müßte also entweder ein Art Undo-Funktion oder ein
     Sperre eingebaut werden, damit dieses "mischen" der Klassen
     nicht passiert.

[3]  Begründung siehe im Wiki 

[4]  Begründung siehe im Wiki 

[5]  Begründung siehe im Wiki 

[6]  es ist zu überlegen, ob eine Alternative zu <login>@schuldomain
     sinnvoll ist. (praktisch ist mit dem Login auch die Mailadresse
     bekannt bzw. leicht zu erraten - da machen manche ein 
     Datenschutzproblem daraus)

[7]  die Anmeldekontrolle von Rene van Bevern liese sich sofort 
     einsetzen, aber nur, wenn die Anmeldung am Fileserver 
     vorgenommen wird. Es gibt aber Schulen, die nehmen als File-
     server WinNT oder unter Linux eben NFS. Es müßte also ein
     analoges Programm für den LDAP-Server geschrieben werden

[8]  Es sollte ebenso die Anmeldekontrolle über einen zurückliegenden
     Zeitraum kontrolliert werden können. Bisher wird bei uns das
     maschinenbezogene Logfile von Samba genutzt. Geht sowas auch mit
     LDAP oder kann LDAP ein maschinenbezogenes Logfile erzeugen?
     Mögliche Anwendungen sind, Kontrolle ob während einer Arbeit mal
     der Account geändert wurde (Betrugsversuch) oder ob in der Pause
     ohne Aufsicht an den Computern "gearbeitet" wurde.

[9]  Das Script von Andreas Rittershofer wurde folgendermaßen 
     verbessert: es listet alle Accounts über einen bestimmten 
     "Schwellwert" auf. Ist ein weiterer Schwellwert überschritten
     sind diese rot dargestellt. Natürlich sortiert mit dem größten
     beginnend. Weiterhin lassen sich bestimmte Accounts ausblenden. 


[10] es sollten Seiteneffekte durch nichtabgeholte Mails und
     liegengebliebene Printjobs entfallen. 

[11] dieses Share sollte auch noch in der Netzwerkumgebung nicht
     auftauchen. Der Admin verbindet sich bei Bedarf mit diesem Share.

[12] es geht um solche Scripte wie Passwortänderung, Einrichten der
     E-Mail-Weiterleitung ...

[13] es sollte PHP und SSI zur Verfügung gestellt werden, schon weil
     es Arktur auch kann ;-)
     vielleicht abschaltbar, falls es nicht gebraucht wird

[14] bei Arktur das Deckersscript, sollte für jedes Kabinett 
     gefilterte Seiten liefern

[15] eine "Suchmaschine" liegt von Stephan Beyer in PHP vor

[16] dieses Script liegt irgendwo auf dem Server von www.bszh.de

[17] Es sollte das Virenscanner-Update möglichst automatisch ablaufen

[18] braucht sicher erst später kommen, aber es ist bei der Dauer 
     der Accounts wichtig.

[19] geloggt werden sollte m.E.: Datum, von, an, Betreff, Größe



wie gesagt, ein Vorschlag als Diskussionsgrundlage.


                                  /"\
Mit freundlichen Grüßen           \ / ASCII ribbon campaign
Hans-Dietrich                      X  against HTML mail 
                                  / \ and postings




More information about the SAN mailing list