zurück
Betreuung des c't/ODS-Schulservers
Arktur
Zugang zum Server
Telnet
Der Linux-Server kann auch von einem Windows-Client im Netz administriert werden. Windows liefert dafür das Programm "telnet", das eine
wenig benutzerfreundliche Oberfläche hat.
Besser zu benutzen ist "putty":
"putty" lässt sich
besser konfigurieren; es erlaubt auch das Einloggen per "SSH" (secure shell).
Schüler und Lehrer können per Telnet einzig ihr Passwort ändern. Weitere Rechte müssen (von "sysadm" oder von "root")
über eine andere Benutzer-Shell erlaubt werden.
ftp
Das mit Windows mitgelieferte FTP-Programm reicht für viele Zwecke aus.
http
Mit einem Browser kann ich entweder per http://192.168.0.1 auf das Verzeichnis "/home/www" zugreifen oder aber per
http://192.168.0.1/~user auf das Verzeichnis "/home/www-pub/<user>".
In beiden Fällen kann ich nur lesend zugreifen, die Zugriffe werden über den Webserver "Apache" abgewickelt.
Wenn ich Dateien in diesen Verzeichnissen anlegen oder bearbeiten will, dann muss ich mich als jeweiliger Benutzer ("www" oder "user") anmelden und finde dann
das gewünschte Verzeichnis als Unterverzeichnis meines Home-Verzeichnisses.
(als root) Arbeiten mit dem "midnight commander"
Eigentlich sollte man so selten wie möglich als "root" am Server arbeiten. Bei "Arktur" reicht es meistens aus, wenn sich der Benutzer "internet" einloggt und Verbindungen auf- oder abbaut.
Gelegentlich muss der Benutzer "sysadm" sich einloggen, z.B. zum
- Einspielen von Updates
- Verwalten von Benutzern
- Ändern von Passwörtern, die die Benutzer vergessen haben
- Verwalten des Postdienstes
Gelegentlich ist es jedoch nötig oder mindestens sinnvoll, wenn der Administrator mit "root"-Rechten arbeitet.
Arktur erlaubt (per Voreinstellung in "/etc/securetty") gleichzeitig 6 Telnet-Zugänge von "root"; gelegentlich ist diese Grenze erreicht, dann kann "root" sich
nicht mehr einloggen.
Aus vielen Gründen sicherer ist, sich zuerst als sonstiger Benutzer einzuloggen und sich dann per "su -l" (kleines l, keine 1) Root-Rechte zu verschaffen.
Ein Linux-Server lässt sich meistens recht komfortabel mit dem "midnight commander" mc als Benutzer-Oberfläche betreiben. Telnet-Verbindungen
reichen nicht unbedingt die Funktionstasten durch ("putty" kann das), dann hilft oft die "escape"-Taste ("escape" 3 anstelle von "f3").
Der Midnight-Commander pflegt etliche Puffer für bisherige Aktionen, sie können per "alt-p" (previous) bzw. "alt-n" (next) in die Anzeige geholt werden.
Mit "alt-t" lässt sich die Darstellung ändern, in 3 Versionen.
Funktions-Benutzer
Bei "Arktur" sind die folgenden Benutzer mit speziellen Funktionen vor-eingestellt:
root
"root" darf alles; er kann auch (bei Fehleingaben) den meisten Schaden anrichten.
Der Systemadministrator sollte möglichst selten als "root" arbeiten.
sysadm
"sysadm" verwaltet die allermeisten Funktionen und Einstellungen von "Arktur".
internet
"internet" hat nur das Recht, die Verbindung zum Provider auf- und abzubauen.
adm
"adm" verwaltet den Fileserver. Sein Home-Verzeichnis "/home/adm" wird von den Windows-Clients als "P: Pub auf Arktur" gesehen.
www
"www" hat das Home-Verzeichnis "/home/www", also das Start-Verzeichnis von "Arktur" aus HTTP-Sicht.
ftp
"ftp" hat das Home-Verzeichnis "/home/ftp", er verwaltet als den FTP-Server.
Benutzer "internet"
Wenn der Server nicht sowieso faktisch ständig online ist, dann reicht es zum Auf- und Abbauen einer Verbindung zum Provider aus, auf dem Lehrerrechner
ein Icon "Internet" anzulegen, das mit Hilfe von "putty" (oder "puttytel" oder "teraterm") sich als Benutzer "Internet" auf dem Server einloggt
und die entsprechende Shell bietet.
Die originale Shell ("/usr/lib/ods-server/menue/internetsh") sollte jedoch upgedatet werden; dazu dient mein Zusatzprogramm "del-ippp.zip".
Bei dieser Betriebsart ist zudem leichter sicherzustellen, dass das Zugangspasswort in hinreichenden Zeitabständen geändert wird.
Sobald mehrere Räume am Server hängen (oder auch nur ein weiterer Rechner im Lehrerzimmer), sollte eher nur raumweise freigeschaltet werden
(und vielleicht zu definierten Zeiten erst mal wieder abgeschaltet). Dafür gibt es einige Routinen, die aber möglicherweise noch etwas komfortabler
gestaltet werden sollten.
Updates
Die "offiziellen" Updates gibt es hier für die aktuellen Arktur-Versionen.
Erfolgreich eingebundene Updates werden anschliessend vollständig aus dem Update-Verzeichnis gelöscht; wer archivieren will, sollte daran denken.
Benutzer anlegen/verwalten
Ich empfehle, nur "maschinelle" Benutzer ("Stations-Accounts") anzulegen; sonst kann der zuständige Betreuer zu sehr damit beschäftigt sein, verlorengegangene Passwörter
zu "heilen". Weiterhin kann es dann zu leicht zu Beginn der Unterrichtsstunde zu Verzögerungen kommen, weil einige Schüler sich erst mal damit abmühen,
sich korrekt einzuloggen.
Auf meiner Webseite liegen 2 Programme, die die Arbeit mit solchen "maschinellen" Benutzern erleichtern; "num-host" sowie "machklasse".
Ich empfehle, dem Benutzer ("user") den Hostnamen ("client") zu geben, und der Client-Name besteht aus Raumname sowie fortlaufender Nummer. Wenn dann noch
Passwort=Benutzername=Clientname ist, dann ist es möglich, mit Hilfe von "TweakUI" jeden Client automatisch ohne Passwort-Abfrage booten zu lassen.
Damit ist dann auch sichergestellt, dass die im Unterricht gewünschte Oberfläche auf allen Rechnern vorliegt.
Log-Dateien, Fehlermeldungen
Arktur ist recht geschwätzig; die meisten Meldungen landen in "/var/log/messages".
Die Log-Dateien können recht gross werden, sie sollten nicht unbedingt in voller Länge zur Untersuchung weitergegeben werden. Wer sie unter Windows weiter
bearbeiten will, sollte sie zuerst mit dem "midnight commander" nach "/home/tmp" kopieren, die Zugriffsrechte passend ändern und dann unter Windows auf
"T: tmp auf Arktur" zugreifen. Sicherheitshalber sollte die Datei hinterher in diesem Verzeichnis gelöscht werden - auf "T:" kann jeder zugreifen.
Die Arbeit des Web- und des Proxy-Servers wird z.T. in "/var/log/http...log", z.t.in den Dateien in "/var/log/proxy" protokolliert.
Mail und News im Intranet
Arktur enthält auch einen Mail- sowie einen Newsserver, so dass es ohne jegliches Risiko möglich ist, im Unterricht (z.B. im Deutsch-Unterricht) "Mail und News"
zu üben.
Als Programm ist Netscape recht komfortabel, weil dort etliche Vor-Einstellungen nach Wunsch definiert werden können. Sie müssen nicht in der Registry
verankert werden.
Webseiten der Clients
Wer Webseiten entwickelt, kann einen Teil der möglichen Tests über den Webserver von Arktur machen; die Adressierung über
"http://..." prüft u.a. die korrekte
Gross- und Kleinschreibung. Auch SSI, CGI und PHP können geprüft werden.
Bei diesen Tests ist allerdings zu berücksichtigen, dass der Webserver des späteren Providers andere Einstellungen haben kann als der von Arktur.
Software installieren
Software sollte netzfähig sein (s. Rittershofer, s. Betrieb des Rechnerraums).
Netzfähige Software ist in der "Fileserver-Partition" "P: pub auf Arktur" zu installieren. Dieses Verzeichnis ist (aus Arktur-Sicht) das Home-Verzeichnis des Bernutzers
"adm", es heisst also unter Linux "/home/adm", "adm" hat Schreibrecht. Mein Programm "admlogon" sorgt dafür, dass beim Einloggen des Benutzers "adm" von
irgendeinem Windows-Rechner aus dieses Home-Verzeichnis unter dem Laufwerksbuchstaben "P:" erscheint, damit ggfs.die Einträge in der Registry
sofort passen.
Installationsvarianten:
direkt
Etliche Programme (z.B. Office-Programme) lassen sich komplett oder mit dem allgemeinen Teil problemlos nach "P:" oder (besser) nach "//Arktur/pub"
installieren.
indirekt über ein anderes Installationsverzeichnis
"Samba" ist so konfiguriert, dass im Home-Verzeichnis kein Unterverzeichnis "bin" oder "etc" angelegt werden kann ("veto-files"). Das betrifft natürlich auch das Home-Verzeichnis von "adm". Auf Arktur gilt diese Einschränkung nicht für das Verzeichnis "T: tmp auf Arktur", und diese Einschränkung gilt natürlich nicht für
Verzeichnisse auf dem Client. Zudem ist das Home-Verzeichnis (sinnvollerweise) so eingestellt, dass "alle anderen" weder Lese- noch Schreibrecht haben - für
Fileserver ist das nicht sinnvoll.
Also kann es weiter helfen, wenn ein Programm zuerst nach T:\Programme oder D:\Programme installiert wird und anschliessend (einfach oder mit etwas sonstigem Aufwand) nach P:\Programme verschoben wird. Anschliessend sollte der "Owner" angepasst werden, vermutlich auch einige Rechte.
Wenn das Programm sich in der Registry einträgt, dann werden wahrscheinlich hinterher die Registry sowie die Links im Windows-Verzeichnis
"Startmenü" angepasst werden müssen.
Netscape (Version 3.x und 4.x) ist ein typischer Vertreter für diese Installationsart.
für einen symbolischen Benutzer
Rudolf Lucas schlägt vor, für Programme mit eigener Benutzer-Datenbank einen symbolischen Benutzer (z.B. "alfons") anzulegen. In dessen Home-Verzeichnis wird das gesamte Programmpaket installiert, und später loggt sich jeder Schüler als "alfons" ein, wenn er das Programm benutzen will.
Diese Lösung habe ich noch nicht ausführlich erprobt - sie scheint hinreichend einfach und zuverlässig zu sein.
Das grösste Problem könnte sein, dass dieser symbolische Benutzer natürlich nicht gleichzeitig sein sonstiges Home-Verzeichnis benutzen kann.
in einem neuen Verzeichnis
Wenn ein Programm eine Datenbank benutzt, in der z.B. der Lernfortschritt vermerkt wird (wie anscheinend Alfons), dann könnte die servergestützte Installation
nur dann einigermassen überschaubar bleiben, wenn (nach dem Vorbild z.B. von "tmp auf Arktur") ein weiteres Verzeichnis angelegt wird, in das zuerst etwa nach obigem
Muster das Programm installiert wird und bei dem anschliessend die Schreibrechte so weit wie möglich von Hand eingeschränkt werden. Das ist allerdings ein recht grosser zeitlicher Aufwand. Wenn möglich, sollten Programme, die in Unterverzeichnisse schreiben wollen, nicht gekauft werden.
Post verwalten (pine, forward usw.)
Webseiten mit dem "midnight commander" pflegen
© Helmut Hullen
letzte Änderung
04.04.2009