Android Tablets - Einrichtung schuleigener Geräte


#1

Hallo,

uns erfasst gerade auch die Tabletwelle und wir werden in einigen Wochen die ersten beiden Tabletklassensätze bekommen. Ich frage mich gerade, wie man schuleigene Android-Tablets konfiguriert, so dass sie tauglich für den Schuleinsatz sind.
Vielleicht kann man diesen Thread dazu nutzen, ein paar Ideen und Erfahrungen zu sammeln:

Was ich bereits versucht habe:

Apps automatisch installieren:

  • Geht mit Google Apps for Education (ob wir es einsetzen dürfen, entscheidet gerade der Datenschutzbeauftragte)
  • Testweise auch mit relution for education. (Gibt ein docker-Container, den man einfach aufsetzen kann) Kosten: einmalig 14,90 € pro Geräte und dann jährlich 2,90 €
  • Gerade einen Testzugang für JimmyControl bekommen, mal schauen was das leistet.
  • Eigener fdroid-Server und Schüler installieren freigegebene Apps selber.

Benutzerprofile:

  • eingeschränkte Benutzerprofile kann man per adb anlegen (Android-Tablets per ADB klonen/verwalten).
    Problem: beim eingeschränkten Profil können die Nutzer noch Geräteeinstellungen ändern, so z. B. das Muster für die Anmeldung. Das ist ungeeignet.
  • Normalen Benutzer nutzen und mit “Norton App Lock” Geräteeinstellungen sperren und ggf. Apps.
    Problem: Habe bis jetzt keine Möglichkeit gefunden, die Einstellungen per adb zu kopieren. Also muss zumindest diese App per Hand eingerichtet werden.

Classroom-management:

Allgemein:

  • wireless adb ainrichten.

#2

Hej,
werden das zwei Klassensätze, bei denen die Geräte einem Schüler fest zugeordnet sind (1:1) oder zwei Verleihwagen (1:n)?
Grüße
Michael


#3

Hallo 1:n. Also Leitablets die in verschiedenen Klassen eingesetzt werden.


#4

Hallo Frau oder Herr Lebowski,

ich habe gerade WSO2 auf einem linuxmuster server installiert, mir ein
android tablet und ein ipad ausgeliehen und habe in den Maiferien vor zu
testen, was in Bezug auf Deine Anforderungen damit geht.
Im Sinne von OpenSource scheint mir WSO2 eine Oprion für linuxmuster zu
sein. Ich glaube das setzt jemand hier bereits ein - bitte melden!
https://docs.wso2.com/display/EMM110/WSO2+Enterprise+Mobility+Manager

Gruß Jürgen


#5

Halllo,

klingt gut. Hast du eine Installationsanleitung oder einen docker-compose Datei

Gruß, Martin


#6

Hallo,

ich habe gerade einen “Schnelltest” mit ws02emm gemacht. Und es scheint meine Wünsche zu erfüllen: Apps installieren, Konfiguration verschiedener Art vornehmen und Blacklist anlegen. So können Lehrer während de Unterrichts nur bestimme Apps zulassen bzw. sperren. Ein Kioskmodus für schuleigene Tablets fehlt, aber ich Versuche über die Richtlinien gerade einzustellen, dass man die Geräteeinstellungen nicht öffnen kann. LDAP Support gibt es auch, aber noch nicht getestet.

Nutze den Container suzel/docker-wso2emm. Man kann sich auch einen Trial-Zugang unter dem Link oben anlegen und die allerneuste Version mit Updates installieren. Die Version von suzel ist aber auch aus 2018.

Hier die Schritte: (unter Ubuntu 16:04)

Image holen:
sudo docker pull suzel/docker-wso2emm

Container starten:
docker run --name wso2emm -p 9443:9443 -p 9763:9763 -d suzel/docker-wso2emm

nach ca 15s kann man dann über https://meineIP:9443/emm auf wso2 zugreifen und sich mit dem Benutzer-Namen admin und Passwort admin einloggen. Bedienung ist eigentlich selbst erklärend.

Erstes Problem ist: Weiterleitungen finden auf localhost:9443 statt oder auf die IP voom Docker-Container. Da der container auf dem Schulserver läuft und ich gerade zuhause bin, muss man einige Konfigurationen ändern um eine externe IP oder Hostname zu verwenden.: https://docs.wso2.com/display/EMM201
/General+Server+Configurations

Gruß, Martin


#7

Hallo Martin,

ich habe einfach das binary in /opt ausgepackt. Geht auch.

Gruß Jürgen


#8

Moin.
Super, dass auch dieses Thema hier wieder Fahrt aufnimmt. :+1:
Wenn alles per docker läuft, umso besser!

Meine Frage dazu: Wenn die kommende Version lml V7 eh einen Docker-Host verpasst bekommt, wird es ja so sein, dass die Container, die dort laufen, Zugriff auf ganz unterschiedliche Netz haben müssen. Das heißt, dass der Docker-Host auch (virtuelle) Netzwerkkarten in all diesen Netzen haben muss. Damit verbindet man auf diesem Weg dann unter Umständen etwas, was man ggf gar nicht verbunden haben will, oder??

Bsp: Der WSO2-Container muss für die Tablets in ein seperates WLAN. Der Docker-Container muss also auch auf dieses Subnetz zugreifen können. Eigentlich ist der DockerHost aber im Servernetz angesiedelt…

Schöne Grüße,
Michael


#9

Hallo Michael,

ich würde das immer auf extra virtualisierten Docker-Host (oder gar dem Host selber?) machen, nie auf der LMN, da gehört es imho nicht hin.

LG
Max


#10

Hi Max
Das meinte ich auch nicht so. Es soll ja so sein, dass der DockerHost als VM mit ausgeliefert wird. Der ist aber ja auch per NIC einem bestimmten Netz zugeordnet und muss aber in vielen Netzen mitmischen, wenn er z.B. auch eine MDM Software vewalten soll. Daher die Frage. …
Michael


#11

Hallo Max,

ich würde das immer auf extra virtualisierten Docker-Host (oder gar dem Host selber?) machen, nie auf der LMN, da gehört es imho nicht hin.

das meinte michael anders.
Die lmn 7 kommt mit folgenden Servern
opnsense
lmnserver
opsi server (optional)
docker server (optional)

und die sind alle in Grün.
Der dockercontainer soll aber Netzzugang zum Tabletnetz haben…

Das kann man natürlich alles im dockerserver regeln (zwei Netzwerkkarten
oder eine mit VLAN Tags) … aber es wird halt noch komplizierter:
deswegen würde ich erstmal auch dazu tendieren eine eigene 18.04
dockerserver für das Tabletmanagement laufen zu lassen.

Noch schlimmer: das Ding sollte ja aus dem Internet erreichbar sein:
damit gehört er garnicht mehr ins grüne netz.

LG

Holger


#12

Ich habe es gerade mal versucht … der Container wird problemlos gestartet. Allerdings habe ich ein paar Fragen:

  • Ist die Version, die in dem suzel-Container gestartet wird, die aktuelle Version??
    Mir kommt es nicht so vor, denn:

         docker exec -it 03f64b6ee3b3  bash
          ---> wso2emm-2.2.0
         Zudem: "This repository is no longer maintained." auf https://github.com/suzel/docker-wso2emm 

    Auf der Homepage gibt es allerdings immer nur das EMM nur zusammen mit einem IoT-Server (??) in Version 3.3.0, wenn ich das richtig sehe??

  • Hast du es geschafft, die IP-Adresse so abzuändern, dass der angezeigte QR-Code nicht die docker-IP zeigt?

Wir werden bei uns demnächst auch diverse Tablets einführen. Daher brauchen wir ebenfalls eine gescheite MDM-Software. Bei uns werden die Geräte aber 1:1 benutzt. Ich frage mich daher nicht zum ersten Mal, welche Lösung die beste ist, um Software, Einstellungen $whatever zu verteilen… und das, möglichst ohne von google abhängig zu sein?

Michael


#13

Das Problem mit der Docker-ip habe ich auch noch und löse es aktuell noch über routen.
Habe noch diesen Thread gefunden aber noch nicht getestet https://stackoverflow.com/questions/30291923/wso2-emm-unable-to-connect-via-external-ip mach mich Sonntag nochmal ran.


#14

Hallo,

ich habe nun erstmal auf die neuste Version geupdated (die von suzel ist 2.2.0 die neueste 3.3.0). In der gibt es ein skript, zu ändern der IP-Adressen https://docs.wso2.com/display/EMM330/Configuring+the+IP+or+Hostname#ConfiguringtheIPorHostname-ConfiguringtheIPorhostnameusingthescript

Man muss sich zunächst registrieren. Dann habe ich die Variante mit docker compose verwendet: https://wso2.com/iot/install/docker-compose/get-started/

Läuft der Container, muss man erst mal einen Terminal im Container starten. Dazu braucht man die Container-ID. Die bekommt man, wenn man

sudo docker ps

aufruft. Dann sucht man das Image docker.wso2.com/wso2iot-broker:3.3.0, in der Zeile steht auch die ID.
Dann führt man

sudo docker exec -it -u 0 <id einfügen> bash

aus und ist als root auf einem Terminal im Container.
Dann navigiert man in das Verzeichnis wso2iot-3.3.0/scripts und führt mit

./change-ip.sh 

das besagte Skript aus. Erste Eingabe ist localhost , zweite Eingabe die IP-Adresse des Servers (nicht die des Dockercontainer). Danach muss man noch ein paar Angaben zum ssl-Zertifikat machen.

Nun scheint erstmal alles im internen Netz zu funktionieren. Namensauflösung probiere ich gerade.


#15

Dann bekommst du aber “nur” eine 15-Tage-Trial-Version, richtig?
Michael


#16

Dann bekommst du aber “nur” eine 15-Tage-Trial-Version, richtig?

Ich glaube danach nur keine automatischen updates mehr und support (s. https://wso2.com/subscription/free-trial ). Man kriegt aber anscheint nicht die aktuelle Version ohne den Subscript, ist schon irgendwie merkwürdig, da es ja eigentlich ein OpenSource-Projekt ist.

Zusatz zu der Beschreibung oben:
Man muss nach Abarbeiten des Skripts noch den Container (oder wso2) neustarten, geht mit

sudo docker restart <container-id>

Wenn man bei Schritt zwei statt der IP-Adresse den Hostnamen eingibt, und dieser von intern und extern in die richtige IP-Adresse aufgelöst wird, klappt es größtenteils auch. Man kommt aber irgendwann in eine External Servererror beim SingleSignOn. Suche noch die richtige config-Datei.


#17

Hi.

Finde ich auch seltsam. Hast du eine Ahnung, was das ganze kostet, wenn man so eine Subsription kaufen würde? Vielleicht ist es ja ähnlich wie bei Proxmox: Zwar OpenSource und für alle zu haben aber Support und die Enterprise-Version kostet eben…

… habe ich ausprobiert und auf die IP der Schnittstelle im roten Netz geändert (direkt an der FritzBox). Danach mit docker-compose down und docker-compose up neu gestartet. Leider erreiche ich den MDM-Server unter https://192.168.178.112:9443/devicemgt aber nicht. Wie meintest du das mit dem Hostname bzw was hast du dort eingetragen?

Michael


#18

Die Ansätze mit F-Droid und wso2 finde ich gut. Unabhängig vom Datenschutzbeauftragten würde ich aufgrund meiner Vorbildfunktion auf Google-Play verzichten.
Damit Android-Updates auch in Zukunft vorhanden sind und aus Datenschutzgründen würde ich darauf schauen, dass die Tablets mit LineageOS laufen.
Erfahrung mit wso2 habe ich nicht, wollte das aber kurz zu bedenken geben.


#19

Hallo,

habe herausgefunden, wie man an die freie Version von wso2 kommt:

Hier bekommt man die dockerfiles: https://github.com/wso2/docker-iot/tree/master/dockerfiles

Die kann man sich mit git klonen. Dann benötigt man noch die Datei wso2iot-3.3.0.zip Die kann man sich hier https://wso2.com/iot/install/download/?type=downloader (Abschnitt Download without Updates ) herunterladen. Man muss zwar einmal eine eMail-Adresse angeben, aber die wird nicht geprüft. Danach startet dann der Download.

Danach benötigt man noch die jdk8 und einen mysqlconnector, steht aber alles in dem ersten gepostet Link.

Werde jetzt erstmal ein Image bauen.


#20

Verstehe ich jetzt nicht ganz… Du hattest doch oben schon geschrieben, dass du es mit “docker-compose” versucht hattest?? Damit laufen diese ganzen Schritte imho automatisch ab…?!?
Michael