Berndt wrote:

Hallo,

zu "automatisches Internetsperren": Ich finde es unglücklich, wenn das Internet automatisch nach 45 Minuten gesperrt wird. Bei uns ist der Unterricht 90 Minuten getaktet. Besser wäre da wohl ein cron-job der das Internet jeweils in den Pausen sperrt. Dann kann jeder seine Wunsch-Sperr-Zeiten eingeben.

Wie sowas manuell geht habe ich ja schonmal in http://lists.suse.com/archive/slss/2004-Apr/0084.html bzw. http://lists.suse.com/archive/slss/2004-Apr/0088.html erklärt. Gruß Frank

Am Freitag, 14. Mai 2004 20:03 schrieb Berndt:

Hallo,

zu "automatisches Internetsperren": Ich finde es unglücklich, wenn das Internet automatisch nach 45 Minuten gesperrt wird. Bei uns ist der Unterricht 90 Minuten getaktet. Besser wäre da wohl ein cron-job der das Internet jeweils in den Pausen sperrt. Dann kann jeder seine Wunsch-Sperr-Zeiten eingeben.

zu "Klausurumgebungen": Es ist angedacht, dass es auf der Oberfläche "Zugangsrechte Setzten" eine neue Möglichkeit geben wird: eine Klasse vom Anmelden auszusperren. Dadurch werden sich praktisch alle zusätzliche Kontrollmöglichkeiten fast erübrigen, da Workstationbenutzer keine Rechte haben außer sich an den eigenen Rechner anzumelden. Auch ich finde die SLSS-Lösung unglücklich. Schüler können sich während der Klausur ab- und später wieder anmelden. Das ist eine schlimme Sicherheitslücke. Es ist möglich, mit Samba Einweg-Passworte einzurichten. Dieses wird den Schülern zu Beginn der Klausur bekanntgegeben. Ich habe das mit Windows 2000-Clients getestet: Sobald sich ein Schüler anmeldet (und Windows automatisch über die Profile eine Verbindung zum Homeverzeichnis herstellt) wird der Account gesperrt. Er kann aber weiter in seinem Home-Verzeichnis arbeiten. Ein erneutes Anmelden ist nicht möglich. Falls der Schüler versucht, sein Passwort zu ändern "blockiert" Windows. Dann geht gar nichts mehr.Warum weiß ich auch nicht. Ich habe früher einen eigenen Samba-Server eingerichtet. Da war es so, das jeder Lehrer zusätzlich zu seinem Account (z.B. "pauker") noch weitere Accounts für Klausuren hatte (pauker1, pauker2 usw.). Die Home-Verzeichnisse dieser zusätzlichen Accounts lagen in dem Home-Verzeichnis von pauker. Vorteil: Die Klausur findet im Home-Verzeichnis des Paukers statt. Jeder Lehrer muss seinen Bereich also selbst sauber halten. Nachteil: Wenn ein Schüler massiv Daten produziert, kann er das Quota des Lehrers ausschöpfen und so die Klausur sabotieren. Falls dieser Ansatz interessant sein sollte, stelle ich gern die entsprechenden Samba-Config-Zeilen zur Verfügung. Es fehlt allerdings noch ein Web-Tool, dass die Passworte dann wieder auf einen einzugebenden Wert setzt. Der dazugehörige Konsolen-Befehl ist einfach nur "smbpasswd" mit Optionen, aber mir fehlen die Kenntnisse ein solches Tool anständig zu programmieren.

Andreas Berndt

-- ----------------------------------- Péter Varkoly -o) SuSE Linux AG /\\ e-mail: Peter.Varkoly@suse.de _\_/ Tel.: +49-911-74053484 Mobil.: +49-179-1277635 -----------------------------------

Am Montag, 17. Mai 2004 15:46 schrieb Berndt:

Hallo,

so schnell mag ich meine Einmal-Passworte nicht aufgeben. Bei Eurem Ansatz wäre es theoretisch möglich, sich unter dem Namen eines Schülers aus der Paralellklasse anzumelden. Sicher, das ist sehr theoretisch, aber wenn z.B. Abschlussarbeiten auf dem Computer geschrieben werden, dann muss das auch wirklich wasserdicht sein! Jetzt aber habe ich die rettende alles lösende Idee:

Es wird möglich sein, ein Raum so zu sperren, dass man sich in diesem Raum nur mit dem Workstationsuid anmelden kann. Is it OK????

Andreas Berndt ----- Original Message ----- From: "Peter Varkoly" To: Sent: Monday, May 17, 2004 3:06 PM Subject: Re: [slss] Klausurumgebung, Anregung

Am Freitag, 14. Mai 2004 20:03 schrieb Berndt:

...

Hallo,

zu "automatisches Internetsperren": Ich finde es unglücklich, wenn das Internet automatisch nach 45 Minuten gesperrt wird. Bei uns ist der Unterricht 90 Minuten getaktet. Besser wäre da wohl ein cron-job der das Internet jeweils in den Pausen sperrt. Dann kann jeder seine Wunsch-Sperr-Zeiten eingeben.

zu "Klausurumgebungen":

Es ist angedacht, dass es auf der Oberfläche "Zugangsrechte Setzten" eine neue Möglichkeit geben wird: eine Klasse vom Anmelden auszusperren. Dadurch werden sich praktisch alle zusätzliche Kontrollmöglichkeiten fast erübrigen, da Workstationbenutzer keine Rechte haben außer sich an den eigenen Rechner anzumelden.

...

Auch ich finde die SLSS-Lösung unglücklich. Schüler können sich während

der

...

Klausur ab- und später wieder anmelden. Das ist eine schlimme Sicherheitslücke. Es ist möglich, mit Samba Einweg-Passworte einzurichten. Dieses wird den Schülern zu Beginn der Klausur bekanntgegeben. Ich habe das mit Windows 2000-Clients getestet: Sobald sich ein Schüler anmeldet (und Windows automatisch über die Profile eine Verbindung zum Homeverzeichnis

herstellt)

...

wird der Account gesperrt. Er kann aber weiter in seinem Home-Verzeichnis arbeiten. Ein erneutes Anmelden ist nicht möglich. Falls der Schüler versucht, sein Passwort zu ändern "blockiert" Windows. Dann geht gar

nichts

...

mehr.Warum weiß ich auch nicht. Ich habe früher einen eigenen Samba-Server eingerichtet. Da war es so, das jeder Lehrer zusätzlich zu seinem Account (z.B. "pauker") noch weitere Accounts für Klausuren hatte (pauker1, pauker2 usw.). Die Home-Verzeichnisse dieser zusätzlichen Accounts lagen in dem Home-Verzeichnis von pauker. Vorteil: Die Klausur findet im Home-Verzeichnis des Paukers statt. Jeder Lehrer muss seinen Bereich also selbst sauber halten. Nachteil: Wenn ein Schüler massiv Daten produziert, kann er das Quota des Lehrers ausschöpfen und so die Klausur sabotieren. Falls dieser Ansatz interessant sein sollte, stelle ich gern die entsprechenden Samba-Config-Zeilen zur Verfügung. Es fehlt allerdings noch ein Web-Tool, dass die Passworte dann wieder auf einen einzugebenden Wert setzt. Der dazugehörige Konsolen-Befehl ist einfach nur "smbpasswd" mit Optionen, aber mir fehlen die Kenntnisse ein solches Tool anständig zu programmieren.

Andreas Berndt

-- ----------------------------------- Péter Varkoly -o) SuSE Linux AG /\\ e-mail: Peter.Varkoly@suse.de _\_/ Tel.: +49-911-74053484 Mobil.: +49-179-1277635 -----------------------------------

-- Um die Liste abzubestellen, schicken Sie eine Mail an: slss-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: slss-help@suse.com

-- ----------------------------------- Péter Varkoly -o) SuSE Linux AG /\\ e-mail: Peter.Varkoly@suse.de _\_/ Tel.: +49-911-74053484 Mobil.: +49-179-1277635 -----------------------------------