LM7, Linux-Client, Gruppe erzeugen, in der nur (!) Schüler drin sind

Hallo,
ich richte gerade Veyon in unserem System ein. Ich möchte mich nicht mit LDAP rumschlagen (zumal, wenn ich das richtig verstanden habe, die Raumzuordnung mit LDAP und Linuxmuster ohnehin nicht geht) und mache das daher mit der Schlüsselauthentifizierung.

Ich habe das bei unserem alten System so gelöst: Der private Schlüssel gehört der Gruppe „teachers“. Das geht auch bei LM so.
Der öffentliche Schüssel gehörte der Gruppe „students“. Das hat dazu geführt, dass der öffentliche Schlüssel von Lehrern nicht gelesen werden konnte, sodass Lehrer per Veyon nicht überwacht werden konnten (das war also ein gewünschtes Verhalten).
Unter LM ist es aber so, dass man als Lehrer auch automatisch in der Gruppe students drin ist. Das würde dann dazu führen, dass Lehrer andere Lehrer überwachen können, wenn sie eingeloggt sind. Das möchte ich nicht.
Daher müsste ich bitte wissen, wie ich unter LM 7, Linuxclient, dafür sorgen kann, dass alle Schüler (die wirklich Schüler sind) in eine Gruppe reinkommen, in der sonst niemand drin ist. Vielleicht gibt es eine solche Gruppe ja schon, aber students ist es wohl nicht.

Dank und Gruß,
Andreas

Hallo Andreas,

vielleicht geht es so

Gruß

Alois

Hallo Alois,
danke für den Tipp. Ich glaube aber nicht, dass das so geht. Ich bin z.B. in einem Projekt, das ich angelegt habe, aber das wird nicht in eine Linux-Usergruppe abgebildet. Außerdem ist das kein Automatismus, das müsste man ja immer wieder aufrufen, sobald sich an den Klassen / Schülern was ändert.
Ich verstehe auch gar nicht, warum (unter LM7) die Lehrer auch gleichzeitig in der Gruppe „students“ sind. Vermutlich, um bestimmte shares lesen zu können, aber das hat eben auch Nachteile.

Dank + Gruß, Andreas

Hallo Andreas,

danke für den Tipp. Ich glaube aber nicht, dass das so geht.

ich denke schon, dass das geht.
Die Schüler wechseln zwar öfter, aber die Klassengruppen bleiben gleich:
und sophomorix kann Gruppen in Gruppen.
Also steckst du in die p_alle-klassen alle Klassen rein: dann ist es
egal wenn Peter von 5a nach 6a wechselt: er ist noch immer in der
p_alle_klassen

LG

Holger

Hallo Holger,
bleibt aber noch die Frage, ob daraus auch automatisch eine Linux-Nutzergruppe wird. Ich glaube, das ist nicht so. Ich kann es aber nochmal ausprobieren (aber erst nächste Woche wieder).
Dank + Gruß, Andreas

Hallo Andreas,

Veyon hat doch passende ACLs. Die Gruppe Students wird gar nicht benötigt. Einfach zugreifenden Nutzer Gruppe Teacher erlauben und lokaler Nutzer teacher zugriff verweigern.

Das ist mit LMN7 tatsächlich super easy :slight_smile:

Ah, das klingt gut, das sozusagen mit der Veyon-Seite zu regeln.

Ich hatte es eben bisher so, dass der private Schlüssel nur von Lehrern gelesen werden konnte, der öffentliche Schlüssel nur von Schülern, sodass Lehrer dann automatisch NICHT überwacht werden konnten. Ich schaue mir das die Tage mal an! Tatsächlich war die sonstige Einrichtung schon super easy, ich hoffe, ich finde das dann auch noch.
Dank + Gruß,
Andreas

Hallo @Till ,

ich habe das heute versucht und nicht hinbekommen.

Sobald ich ACLs einfüge, wird alles verweigert.

Es handelt sich durchgehend um Linux-Clients.

Wenn ich als Lehrer auf der Konsole (am Client) „groups“ eingebe, dann erscheint, dass ich Gruppenmitglied bei „teachers“ bin, bei einem Schüler nicht.

Im Veyon-Configurator erscheinen diese Gruppen „teachers“ und „students“ aber nicht! Ich kann sie in dem Feld aber trotzdem eintippen.

Ich weiß jetzt nicht, ob es daran liegt, dass veyon diese Gruppen nicht kennt, oder ob ich bei den ACLs etwas falsch gemacht habe. Läuft das bei Dir mit Linux-Clients und ohne LDAP?

Ich hatte als erste ACL Zugreifender Nutzer Teacher Allow, als zweite lokaler Nutzer Teacher Deny, muss da noch was rein?

Danke für einen Tipp,
Andreas

Edit: Ich habe noch einen Verdacht, warum ich die lokalen Unix-Gruppen im veyon-Konfigurator vielleicht nicht sehen konnte.

Ich gehe über linuxadmin rein und starte mit sudo veyon-configurator. Der ist ja aber kein Domänenmitglied, eventuell waren deswegen die Gruppen nicht sichtbar. Die Gruppen aus dem AD werden ja auf unix-Gruppen abgebildet, oder? Würde es vielleicht was helfen, einen Domänenuser in die sudoer-Gruppe zu packen und damit den veyon-configurator zu starten?

Dabei bin ich mir nicht ganz sicher, wir verwenden bisher ausschließlich Windows Clients in der Kombination Veyon und LMN7.

Letztendlich bindet ja Veyon an das LDAP und liest entsprechend alle Gruppen aus. Ich nehme an hier liegt der Fehler.
Der Zugriffsnutzer wird ja auch beim Veyon Start Explizit abgefragt, nur der lokal angemeldete Benutzer muss synchronisiert angefragt werden. Eventuell gibt es an dieser Stelle auch einen Feher im Abfragen welcher Nutzer lokal angemeldet ist, dass kann ich aus dem Stehfreif nicht sagen.

Das heißt also, dass Ihr die LDAP-Anbindung aktiviert habt, ja?
Ich hatte das bisher nicht und „früher“ die Zugriffskontrolle eben über die Schlüssel geregelt, das war für mich einfacher.
Könntest Du mal (anonymisiert) Deine LDAP-Einstellungen für Veyon posten? Das wäre sehr hilfreich!
Gruß, Andreas

Hallo Andreas,
ich bin nach folgender Anleitung vorgegangen:
https://wiki.linuxmuster.net/community/anwenderwiki:classroom_management:veyon-lmn7-ldap

Es hat allerdings etwas gedauert, bis die Daten eingelesen waren (oder warum auch immer). Am nächsten Tag lief es.

Viel Erfolg!
Roland