Hallo allerseits, zuerst möchte ich mich entschuldigen bei Allen die noch immer auf ein United Linux CD warte. In der letzte Zeit hatte ich sehr sehr viel zu tun, und außerdem wollte ich nicht, dass die "alte" 0.919 iso zu oft installiert wird. Ich dachte immer ich werde morgen fertig. (Wie halt der kürzeste informatiker Witz lautet: ich bin gleich fertig). Also morgen gehen die versprochene CD-s mit der neueste ISO raus. Also die, die auf United Linux CD warten, müssen die neue ISO runterladen, sie bekommen diese per Post. Nun jetzt ist es endlich wirklich so weit. In der neuen Version hat sich Vieles getan. 1. Die FW on CD Lösung wurde ausgeklammert. Ist nicht mehr drin. Dafür wurden squid und squidGuard auf den Schulserver installiert. Für Squid habe ich deshalb ein Frontend basteln müssen. Zu finden ist diese unter "Hilfsmittel" -> Proxy . Als Grundeinstellung ist, wie gehabt, ldapauthorisieung, und die blacklists sind auch schon sofort da. Auf den proxy greift man mit der URL proxy:8080 zu. 1.1 Das heisst auch, dass der Schulserver einen 4. IP Adresse bekommen hat (zB 192.168.0.5) mit dem Name proxy.<domain>. 1.2 Weiterhin ist es dadurch möglich, den Schulserver zB über ISDN DSL (oder Modem :-(() ans Internet zu hängen. Dies ist für kleineren Schulen bestimmt von interesse. 1.3 Hat eine Schule einen DSL- oder ISD-Router, kann man diese entweder direkt mit dem Schulserver über ein Transportnetz verbinden, oder ans Schulnetz hängen. In beiden fällen muss man darauf achten, dass der Router für den Schulserver der Defaultgateway ist, und dass diese router für den Schulserver, aber nur für die 4 Adressen dess Schulservers, NAT (zB Masquerading) macht. 1.4 Natürlich kann dieser Router der Firewall On CD auch sein. 2. Die Verwaltung der Rechner hat sich tiefergehend geändert: 2.1 Die DHCP-konfiguration wird auch in LDAP gespeichert. 2.2 Die DHCP-Konfiguration kann man grafisch zusätzlich ändern (muss man aber nicht) 2.3 Für einen Schulraum wird nicht mehr ein Klasse C Netzt sondern nur 64 (bzw. 62) IP-Adressen reserviert. 2.4 Deshalb gibt es den IP-Adressenbereich SCHOOL_ROOM_RANGE nicht mehr, sondern man muss halt die erste Netzwerkadresse des Schulräumen und die (gesätzte lieber mehr als weniger) Anzahl der Schulräumen angeben. Nun wird für jede Schulraum eine DHCP Gruop gebildet, und in diese Group werden die Rechner gespeichert. 2.5 Dadurch sind die Schulräumen jedoch noch nicht registriert. Man kann die Schulräumen ab jetzt aber auch ohne einen Rechner registrieren zu müssen eintragen. 2.6 Weiterhin ist es möglich die Clients von überall zu registrieren. Das heist, man hat eine Liste der Hardwareadressen der Netzwerkkarten mit dem Vermerk welcher Rechner in welchen Schulraum ist. Nun kann man zB direkt von Server diese dan eintragen und registrieren. !!! Dabei wird sogar dafür Sorge getragen, obe eine Hardwareadresse schon eingetragen ist oder nicht!!! Ooooops, jetz ist mir aufgefalen, dass ich schon jetzt ein bug habe: Die Suche nach der HWAdressen mache ich case sensitiv obwohl diese case insensitiv sind. Also bitte ständig groß oder klein schreiben!!!!! Bugfix kommt. ( 00:A0:CC:73:30:66 == 00:a0:cc:73:30:66 ). Ich werde wohl alles in upper case konvertieren. Sieht eh Schöner aus. 2.7 Will man einen Rechner registrien, wählt man den Schulraum, dann bekommt man eine Liste von der noch nicht vergebenen Rechnernahmen. Also man kann wählen welcher Rechner EDV-pc01 und welche EDV-pc04 ... ist. 2.8 Rechner löscht man über die DHCP-Verwaltung. Da hat man auch einen schönen Übersicht über alle Rechner. Man kann auch zusätzliche DHCP-Optionen den Rechnern, Schulsräumen, .... was auch immmer verpassen. 3. Ich habe auch ein grafisches Frontend für das Setzen von Filesystem ACL-s eingebaut: "Gruppen/Ordner"->"Filesystem ACL's" Viel Spaß dabei :-) 4. Bei Überwachung gibt es eine neue Möglichkeit: Dienst-Überwachung. Hier kann man schauen ob alle nötige Dienste laufen. Diese kann man sogar starten oder anhalten. 5. Die Lehrer bekamen zusätliche Administrationsrechte. Natürlich nur die mit Administrationsrechten: 5.1 Lehrer können auch den Internetzugang für einzelne SchülerInnen sperren bzw erlauben 5.2 Lehrer können auch das Versenden von externen eMails sperren oder erlauben. 5.3 Lehrer können auch SchülerInnen in Gruppen ein bzw aus Gruppen austragen. 6. Die DNS- bzw Virtuelledomain-Verwaltung hat sich erweitert. !!!!! ZZeit is noch kein update von Beta < 0.920 möglich, da sich die LDAP-Struktur ziemlich verändert hat. Außerdem sind viele zusätlichen Paketen zu installieren. Ich teste gerade noch einiges. Ich muss also ein richtiges Update-script schreiben. Ist schon 80% fertig. Was noch nicht geht, ist Die übernahme der vorhandenen DHCP-Kongifuration sowie der Liste der registrierten Rechner bzw. Räumen. Ist es überhaupt nötig, oder könnten wir davon absehen ??? Also nichts wie ran!! Viel Spaß beim Testen -- ----------------------------------- Péter Varkoly -o) SuSE Linux AG /\\ e-mail: Peter.Varkoly@suse.de _\_/ -----------------------------------
Hallo, Am Mittwoch, 14. Mai 2003 23:42 schrieb Peter Varkoly:
1. Die FW on CD Lösung wurde ausgeklammert. Ist nicht mehr drin.
Warum??? Wie sieht es jetzt mit der Sicherheit des SLSS gegenüber Angriffen von außen aus? Letzte Woche wurden sehr viele Arktur-Schulserver gecrackt - was macht der SLSS für seine Sicherheit? Wird die Firewall on CD wenigstens im Kaufpreis enthalten sein, oder muss man dann als Schule die >1000 Euro löhnen müssen? Viele Grüße (ein etwas erstaunter) Dieter
On Wed, May 14, 2003 at 10:54:16PM +0200, Dieter Kroemer wrote: > Hallo, > > Am Mittwoch, 14. Mai 2003 23:42 schrieb Peter Varkoly: > > > > 1. Die FW on CD Lösung wurde ausgeklammert. Ist nicht mehr drin. > > Warum??? Wie sieht es jetzt mit der Sicherheit des SLSS gegenüber Angriffen > von außen aus? Letzte Woche wurden sehr viele Arktur-Schulserver gecrackt - > was macht der SLSS für seine Sicherheit? 1. Hängt der SLSS nicht direkt in internet => no Problem, dan gibt es halt einen anderen Firewall oder wie bis jetzt der FW on CD 2. Hängt der Schulserver direkt am Internet zBp über eine ISDN-Karte oder DSL-Modem ist die lage auch nicht wesentlich unsicherer, da * alle dienste (hhtpd, smtp, imap, pop3, proxy, dns, ...) so gestartet werden, dass diese nur auf die interne ihnen zugeordnete IP-Adresse hören. Das heist nach Ausen ist nicht offen, also man kommt nich rein. * IP-Forwarding ist standardmäßig aus. Daran sollte man auch nichts ändern. * Weiterhin kann man mit dem Yast Firewall modul den Rechner noch besser schützen, und bei der konfiguration der Internetinterface "Firewall Starten" aktivieren. > Wird die Firewall on CD wenigstens im Kaufpreis enthalten sein, oder muss man > dann als Schule die >1000 Euro löhnen müssen? Das auf keinen Fall, solche Preise gibt es nicht für die Schulen. Sie haben schon die Firewall on CD Lösung, und können weiterhin benutzten. Wie das denn mit dem FW on CD weiter läuft, werde ich schon sagen:-) !!!!!!!!!!!!!!!WICHTIG!!!!!!!!!!!!!!!!!!!!!!! Wir lassen nimanden im Stich !!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! > > Viele Grüße > (ein etwas erstaunter) Dieter Hoffentlich wird es doch besser. > > > -- > Um die Liste abzubestellen, schicken Sie eine Mail an: > slss-unsubscribe@suse.com > Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken > Sie eine Mail an: > slss-help@suse.com -- ----------------------------------- Péter Varkoly -o) SuSE Linux AG /\\ e-mail: Peter.Varkoly@suse.de _\_/ Tel.: +49-911-74053484 -----------------------------------
Hallo, Am Mittwoch, 14. Mai 2003 23:42 schrieb Peter Varkoly:
2. Die Verwaltung der Rechner hat sich tiefergehend geändert: 2.1 Die DHCP-konfiguration wird auch in LDAP gespeichert.
Nur damit ich keine Fehler mache: 0) Wird durch das Abspeichern in diesem Menu noch etwas anderes gemacht, als wenn man die dhcpd.conf an der Konsole editiert und dort auch abspeichert? 1) Kann ich weiterhin die dhcpd.conf problemlos über das Admin-Tool "hilfsmittel -> Konfigurationsdateien bearbeiten" anpassen und dort meine Einträge für den LTSP-Terminalserver vornehmen, wie z.B. option-root-path usw? Hier würde ich dann z.B. auch die MAC-Adresse der diskless-Clients mit zugehöriger IP und dem zu ladenden Image-file eintragen. Btw.: Würde es viel Arbeit machen, wenn man bei diesem Menu zusätzliche eine Schaltfläche einbauen würde, mit der man die dhcpd.conf-Datei z.B: auf Diskette sichern bzw. von dort laden kann? 2) Bekomme ich Probleme mit dem SLSS wenn ich die diskless-Clients dann nicht über das neue Menu "Rechner -> dhcp" zusätlich anmelde (ist ja eigentlich unnötig, da die Clients ja alle über die IP des Terminalsserver nach außen hin erscheinen.) Bislang habe ich die dhcpd.conf direkt an der Konsole editiert, aber ob das dann mit den LDAP-Einstellungen auch funktioniert (insbesondere bei zukünftigen updates ...) ? Viele Grüße Dieter
On Sat, May 17, 2003 at 12:11:08PM +0200, Dieter Kroemer wrote:
Hallo,
Am Mittwoch, 14. Mai 2003 23:42 schrieb Peter Varkoly:
2. Die Verwaltung der Rechner hat sich tiefergehend geändert: 2.1 Die DHCP-konfiguration wird auch in LDAP gespeichert.
Nur damit ich keine Fehler mache:
0) Wird durch das Abspeichern in diesem Menu noch etwas anderes gemacht, als wenn man die dhcpd.conf an der Konsole editiert und dort auch abspeichert?
1) Kann ich weiterhin die dhcpd.conf problemlos über das Admin-Tool "hilfsmittel -> Konfigurationsdateien bearbeiten" anpassen und dort meine Einträge für den LTSP-Terminalserver vornehmen, wie z.B. option-root-path usw? Hier würde ich dann z.B. auch die MAC-Adresse der diskless-Clients mit zugehöriger IP und dem zu ladenden Image-file eintragen.
Nein. DHCP wird nur noch über webfrontend konfiguriert. Diese wird in LDAP gepseichert, und in die konfigurationsdatei geschrieben. Wir hoffen aber stark, dass diese in "die Datei schreiben" sich irgendwann erübrigt. Es gibt schon gute Ansätze den DHCP-Server direkt aus der LDAP-Datenbank zu füttern. Aber Sie wollen doch dabei nicht beta-tester sein, oder :-)))
Btw.: Würde es viel Arbeit machen, wenn man bei diesem Menu zusätzliche eine Schaltfläche einbauen würde, mit der man die dhcpd.conf-Datei z.B: auf Diskette sichern bzw. von dort laden kann?
2) Bekomme ich Probleme mit dem SLSS wenn ich die diskless-Clients dann nicht über das neue Menu "Rechner -> dhcp" zusätlich anmelde (ist ja eigentlich unnötig, da die Clients ja alle über die IP des Terminalsserver nach außen hin erscheinen.)
Ja (siehe oben.)
Bislang habe ich die dhcpd.conf direkt an der Konsole editiert, aber ob das dann mit den LDAP-Einstellungen auch funktioniert (insbesondere bei zukünftigen updates ...) ?
Viele Grüße Dieter
-- Um die Liste abzubestellen, schicken Sie eine Mail an: slss-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: slss-help@suse.com
-- ----------------------------------- Péter Varkoly -o) SuSE Linux AG /\\ e-mail: Peter.Varkoly@suse.de _\_/ Tel.: +49-911-74053484 -----------------------------------
participants (3)
-
Dieter Kroemer
-
Peter Varkoly
-
Peter Varkoly