Coovachilli - Benutzersteuerung + Schulkonsole in 6.2

Hi.

Ich habe die 6.2.
Mein Problem: Wie kriege ich Schüler ins WLAN, wenn ich Coova installiert habe?
Die ANleitung hier: http://www.linuxmuster.net/wiki/anwenderwiki:benutzerrechner:wlan:coovachilli-usermanagement sagt: User in p_wifi eintragen.
Die ReleaseNotes von Frank hier: http://docs.linuxmuster.net/de/latest/release-information/schulkonsole.html#verwaltung-wlan suggerieren , dass p_wifi nur dem Admin gehört und kein anderer mitmachen darf (no-join).
Eins ist klar: was in /etc/linuxmuster/wlan_defaults steht, gilt und ich habe sowohl die Gruppe p_wifi, als auch wird mit sophomorix-project -i -p p_wifi angezeigt, dass die in wlan_defaults definierten Gruppen drin sind.
Aber: Ebenfalls gilt das “no-join” - ein Lehrer kann (über die Schulkonsole) keinen Benutzer in p_wifi eintragen.

Wie kriege ich Schülre über die Schulkonsole als Lehrer ins WLAN?
Ist das ganze so gedacht?
Soll ich jetzt also ein p_wlan anlegen, welches in p_wifi ist und die Lehrer dürfen einzelne Schüler/Gruppen in p_wlan reinschreiben? Oder gibt es einen anderen Weg?

VG, Tobias

Lösung: siehe Fazit in Beitrag 11

Also hier ist es so: alle Lehrer sind in p_wifi als “Admin” eingetragen. Sie können dann beliebig Klassen/Schüler/Projekte ebenfalls einschreiben; werden aber dann am Ende der nächsten Doppelstunden wieder gekickt. Das funktioniert hier seit Jahren super.
Dazu:
https://www.linuxmuster.net/wiki/anwenderwiki:benutzerrechner:wlan:coovachilli-disconnect

Hallo Michael,

danke für den support.
Also, d.h. du hast die benutzernamen der Lehrer explizit mit sophomorix-project -p p_wifi --addadmins kuechel,hinz,kunz hinzugefügt?
Oder geht das über die wlan_defaults Datei?

VG, Tobias
p.s.

 # sophomorix-project -p p_wifi --addadmins kuechel
#### /usr/sbin/sophomorix-project started ...                             ####
Changing something, eh ----
Project is NOT joinable 0
You must use --caller name to modify such a project!
#### Request to modify nojoin project without --caller!                   ####

daher:

 # sophomorix-project -p p_wifi --addadmins kuechel --caller administrator
#### /usr/sbin/sophomorix-project started ...                             ####
...

Geht: “kuechel” ist jetzt group-admin. Aber: in der SchuKo darf ich das Projekt trotzdem nicht editieren. Ich denke das liegt an dem no-join.

Und die Lehrer alle (als Gruppe) aufnehmen geht nicht:

# sophomorix-project -p p_wifi --addadmins teachers --caller administrator
Checking admins:
   * checking admin user administrator
   * checking admin user kuechel
  --> Users to add as admins (Summary): teachers
   User teachers does not exist, doing nothing.
create_share_link does nothing
WARNING: Could not find data for user teachers. NOT repairing home!
...

geht also nicht.

Selbst, wenn ich mich als “administrator” an der SchuKo anmelde, kann ich nix machen. Ich kann zwar einzelnen Projekten WLAN zufügen, aber das editiert “nur” die wlan_defaults.

Fazit: Ich bin mehr und mehr der überzeugung, dass es so gedacht ist: der admin fügt eine Gruppe, wie “p_wlan” hinzu und die Lehrer können dann PErsonen in “p_wlan” aufnehmen.

VG, Tobias

Hmmmm. Wenn ich das noch wüsste. Hatte ich nicht einfach in der SchKo nach Lehrer * gesucht und dann alle in einem Rutsch hinzugefügt?? Genau weiß ich’s gerade nicht (auswendig)…

Als caller auch schon „admin, root“ und all die anderen ausprobiert? Wenn zeigt sophomorix-Project zZ als Admin an? Der müsste je dürfen; ansonsten evtl ein dpkg-reconfigure?

Hi Michael,
sorry, fehler.
ich habe meinen Beitrag nochmal korrigiert.
Grüße, Tobias

Hallo Tobias,

schau mal in der Schulkonsole nach Klassen, wähle dort eine Klasse aus und
dann siehst Du wie die Schüler in p_wifi kommen.

Gruß

Alois

Am 17. Februar 2017 um 15:07 schrieb Michael Hagedorn <
noreply@linuxmuster.net>:

Hallo Tobias,

sorry, unter Klassen und Unterricht findest Du nach Auswahl der Klasse die
Option den Unterricht zu beginnen und dann kannst Du der Klasse den
Wlan-Zugang freischalten. Das geht genau so wie das Freischalten des
Internets im Computerraum.

Gruß

Alois

Am 17. Februar 2017 um 15:13 schrieb Alois Raunheimer <
alois.raunheimer@gmail.com>:

Hi nochmal. Ich habe gerade nochmal bei uns gesucht … aber nicht wieder gefunden, wie ich damals alle Lehrer eingetragen habe. Allerdings kann (oder konnte?) man den Prozess irgendwann mal vereinfachen, indem man sich eine Datei anlegt. In meinen HowTo’s habe ich das hier wiedergefunden; wenn mich nicht alles täuscht, kam das damals von Alois. Ich weiß aber nicht, ob es unter 6.2 noch benötigt wird oder ob sich da etwas geändert hat. Daher alles ohne Garantie :slight_smile:


[p_wifi]
  p_wifi.addmailquota=0
  p_wifi.addquota=quota
  p_wifi.admins=<Hier stehen die Benutzernamen aller LehrerInnen durch Komma getrennt -- weiter automatisierbar?>
  p_wifi.creationdate=2015-03-04 17:45:22
  p_wifi.deactivationdate=
  p_wifi.department=
  p_wifi.enddate=
  p_wifi.id=800
  p_wifi.joinable=1
  p_wifi.longname=p_wifi
  p_wifi.mailalias=0
  p_wifi.maillist=0
  p_wifi.maxmembers=0
  p_wifi.membergroups=
  p_wifi.memberprojects=
  p_wifi.members=
  p_wifi.sophomorixstatus=P
  p_wifi.schooltype=
  p_wifi.tolerationdate=
  p_wifi.type=

Audführbare Datei mi dem Namen project_wifi_neu_anlegen

#!/bin/bash
/usr/sbin/sophomorix-project --create-from-file /root/project_wifi
sophomorix-user --list-teachers-by-year |awk '{print $2","}' | tail -n+4 | sed ':a;N;$!ba;s/\n//g'

Der Code ist (bis auf den sophomorix-Befehl) ungetestet … daher keine Gewähr…

Hallo,

sorry, unter Klassen und Unterricht findest Du nach Auswahl der Klasse die
Option den Unterricht zu beginnen und dann kannst Du der Klasse den
Wlan-Zugang freischalten. Das geht genau so wie das Freischalten des
Internets im Computerraum.

genau: so geht das in der neuen SchuKo.
Niemand muss mehr Leute in das Projekt eintragen: man geht in der SchuKo
als Lehrer auf „Klassen“ und wählt seine Klasse aus.
Dann geht man nochmal auf den Reiter „Klassen“ und wählt im Pulldown
Menü den untersten (neuen) Punkt „Unterricht“.
Dort wählt man die Schüler aus, die WLAN haben sollen … bis der
UNterricht aus ist (stellt man oben ein).

LG

Holger

Hi Ihr,
danke!
@Michael: dieser Prozess mit Lehrer eintragen ist wirklich nicht mehr nötig,
@baumhof,@alois: danke, genau so geht es.

nichts davon ist offiziell dokumentiert, daher fasse ich zusammen:

wenn man einen coova-chilli hat (oder einen anderen dienst, der die Zugehörigkeit zu p_wifi als Kriterium prüft, z.B. unifi-netzint-portal), dann muss man gar nichts weiter tun und kann

  1. Klassen oder Projekte permanent freischalten für WLAN: Schulkonsole als Administrator unter Einstellungen -> Klassen -> einzelne Klassen WLAN “an” oder Einstellungen -> Projekte -> einzelnen Projekte WLAN “an”

  2. Klassen, Projekte, einzelne Schüler für den Zeitraum eines Unterrichts freischalten: Schulkonsole als Lehrer unter Klassen -> Unterricht -> Beginnen -> WLAN yes bzw. Projekte -> Unterricht -> Beginnen -> WLAN yes.

  3. In der Datei /etc/linuxmuster/wlan_defaults Gruppen wie Klassen und Projekte permanent freischalten (äquivalent zu Optionen in der Schulkonsole als administrator). Zusätzlich lässt sich die besondere Gruppe teachers oder einzelne Benutzer permanent freischalten. Es bietet sich an die Gruppe teachers permanent einzustellen, sodass diejenigen die Schulkonsole aus dem WLAN erstmal erreichen können, um die Schüler Unterrichtsweise freischalten zu können. Dafür ist eine Weiterleitung von BLAU nach GRÜN erforderlich.

Danke für die Aufklärung - jetzt könnte das noch in die Doku :slight_smile:
Achso: @alois, @baumhof, könnt Ihr das reviewen und denkfehler korrigieren? Dann könnte das tatsächlich in die Doku. Es ist ja scheinbar kein Coova notwendig, oder? vllt. macht das unifi-netzint-portal oder ein freeradius-direkt-wlan-einwahl eine ähnliche Abfrage, dann wäre das “p_wifi”-feature (von Frank Schütte, wie ich vermute) ziemlich unabhängig und damit einfach zu dokumentieren.

VG, Tobias

Hallo Tobias,

man muss nur mit einer Firewallregel das Erreichen der Schulkonsole möglich
machen

so in etwa

blau nach grün Port 242

Gruß

Alois

:

Hallo Tobias,

schau Dir in der Schulkonsole als Administrator eingeloggt die Seite Einstellungen\Klassen an. Dort kann der Administrator einzelnen Klassen generell das WLAN frei schalten.

Inwieweit der Lehrer das in der Schulkonsole temporär rückgängig machen kann weiss ich nicht.

Gruß

Alois

Hallo Tobias,

Das Netzint-Portal macht das Gleiche. Es nutzt auch die Eintragungen in p_WIFI

Gruß

Alois

Hi Alois,

danke für die Vervollständigung. Einstellungen / Klassen war mir entgangen -> ganz wichtig, danke!

Grüße, Tobias

Hi Alois,

ja, genau so geht es:
Blau nach 10.16.1.1 zielport 242
Dann kann ich nach der Anmeldung via WLAN mich in der Schulkonsole anmelden.

Noch eine Option: Ich stelle im Chilli „10.16.1.1“ in /etc/chilli/config unter HS_UAMALLOW dazu einzutragen.
Dann kann man sich ohne Anmeldung am Coova direkt auf die Schuko zugreifen und die Schüler freischalten.

Hm, einziges zusätzliches Sicherheitsrisiko: Unbeteiligte können DoS-oder Brute-Force-Angriffe auf die Schulkonsole machen (Annahme: Coova ist quasi öffentlich)

VG, Tobias

Hallo Tobias,

Noch eine Option: Ich stelle im Chilli „10.16.1.1“ in
|/etc/chilli/config| unter |HS_UAMALLOW| dazu einzutragen.
/Dann/ kann man sich ohne Anmeldung am Coova direkt auf die Schuko
zugreifen und die Schüler freischalten.

davon rate ich ab.

Hm, einziges zusätzliches Sicherheitsrisiko: Unbeteiligte können
DoS-oder Brute-Force-Angriffe auf die Schulkonsole machen (Annahme:
Coova ist quasi öffentlich)

nicht nur das.
Sie erreichen die SchuKo „von außen“ und können sie gemütlich auf
Sicherheitsprobleme hin scannen und dann infiltrieren.
Die Schulkonsole hat einige wrapper die Aktionen auf dem Server mit
rootrechten ausführen … laßt „die Kirche im Dorf“ … :slight_smile:

Viele Grüße

Holger

Da bin ich heute nach dem Start von 6.2 (also erster Tag mit 6.2) auch etwas aufgelaufen. Das sollte unbedingt in die Doku rein (unter: entwicklung:betatest-babo62 [CommunityWiki])

Frage: Wir verwenden das WLAN auch (meistens?) in Projektwochen. D.h. man hat die Klasse aufgenommen und am Wochenende lief dann ein /usr/bin/sophomorix-project -p p_wifi --membergroups „“ --members „“ --memerprojects „“ durch. Die Admins waren noch da, die User gelöscht.

Nebenbei: Ich habe das Update auf die 6.2 in den Ferien gemacht. D. h. dieses Skript ist nun 1x durchgelaufen. Habe ich ein Problem?

Wenn ich nun sophomorix-project -i -p p_wife mache, dann sehe ich bei Admins die alten p_wifi Admins und bei Member Groups teachers. Die Spalten MembersbyOption und MemberProjects ist leer. Kann/Soll ich die alten Admins löschen?

Wenn ich heute der 9a als Admin in der Schulkonsole das Wlan dauerhaft freischalte, kann ich das dann per Skript wieder löschen? Das Standardvorgehen mit Freischalten für max. einen Tag ist für unseren Zweck meistens zu kurz.

VG,
Markus

Gruß,
Markus

Nein, das ist entwickler-doku. Die Doku die in Frage kommt ist

http://docs.linuxmuster.net/de/latest/release-information/index.html

Hallo Markus,

tatsächlich steht schon alles notwendige in der Doku drin, wo es hingehört: in die Releasenotes der 6.2. Frank hatte das vorbildlich gemacht:
http://docs.linuxmuster.net/de/latest/release-information/index.html
Du hattest nur nicht die richtige Doku angeschaut, vermute ich.

Wie in den Releasenotes geschireben: man muss gar nichts machen, per sophomorix-project schon gar nicht, sondern über die Datei /etc/linuxmuster/wlan_defaults und den Befehl linuxmuster-wlan-reset. Ich denke aber du hast kein Problem. du kannst - wenn die Berechtigungen es aber zulassen, die alten p_wifi Admins rauslöschen. Nur administrator ist Admin dieser GRuppe.

Als administrator in der Schulkonsole freischalten - dauerhaft. Und dann wieder als administrator aus der Schulkonsole entfernen - oder die Datei wlan_defaults per skript anpassen und linuxmuster-wlan-reset ausführen.

vG, Tobias

P.S. ich werde die Doku nur rudimentär anpassen, v.a. die Releasenotes. Ich denke ein extra Howto für WLAN-STeuerung wäre nett, aber nicht notwendig, richtig?

1 „Gefällt mir“