LM7, Linux-Client, Gruppe erzeugen, in der nur (!) Schüler drin sind

andreas72 · 1. November 2019 um 09:25

Hallo,
ich richte gerade Veyon in unserem System ein. Ich möchte mich nicht mit LDAP rumschlagen (zumal, wenn ich das richtig verstanden habe, die Raumzuordnung mit LDAP und Linuxmuster ohnehin nicht geht) und mache das daher mit der Schlüsselauthentifizierung.

Ich habe das bei unserem alten System so gelöst: Der private Schlüssel gehört der Gruppe „teachers“. Das geht auch bei LM so.
Der öffentliche Schüssel gehörte der Gruppe „students“. Das hat dazu geführt, dass der öffentliche Schlüssel von Lehrern nicht gelesen werden konnte, sodass Lehrer per Veyon nicht überwacht werden konnten (das war also ein gewünschtes Verhalten).
Unter LM ist es aber so, dass man als Lehrer auch automatisch in der Gruppe students drin ist. Das würde dann dazu führen, dass Lehrer andere Lehrer überwachen können, wenn sie eingeloggt sind. Das möchte ich nicht.
Daher müsste ich bitte wissen, wie ich unter LM 7, Linuxclient, dafür sorgen kann, dass alle Schüler (die wirklich Schüler sind) in eine Gruppe reinkommen, in der sonst niemand drin ist. Vielleicht gibt es eine solche Gruppe ja schon, aber students ist es wohl nicht.

Dank und Gruß,
Andreas

alois · 1. November 2019 um 09:57

Hallo Andreas,

vielleicht geht es so

Gruß

Alois

andreas72 · 1. November 2019 um 14:49

Hallo Alois,
danke für den Tipp. Ich glaube aber nicht, dass das so geht. Ich bin z.B. in einem Projekt, das ich angelegt habe, aber das wird nicht in eine Linux-Usergruppe abgebildet. Außerdem ist das kein Automatismus, das müsste man ja immer wieder aufrufen, sobald sich an den Klassen / Schülern was ändert.
Ich verstehe auch gar nicht, warum (unter LM7) die Lehrer auch gleichzeitig in der Gruppe „students“ sind. Vermutlich, um bestimmte shares lesen zu können, aber das hat eben auch Nachteile.

Dank + Gruß, Andreas

baumhof · 1. November 2019 um 15:14

Hallo Andreas,

danke für den Tipp. Ich glaube aber nicht, dass das so geht.

ich denke schon, dass das geht.
Die Schüler wechseln zwar öfter, aber die Klassengruppen bleiben gleich:
und sophomorix kann Gruppen in Gruppen.
Also steckst du in die p_alle-klassen alle Klassen rein: dann ist es
egal wenn Peter von 5a nach 6a wechselt: er ist noch immer in der
p_alle_klassen

LG

Holger

andreas72 · 1. November 2019 um 15:34

Hallo Holger,
bleibt aber noch die Frage, ob daraus auch automatisch eine Linux-Nutzergruppe wird. Ich glaube, das ist nicht so. Ich kann es aber nochmal ausprobieren (aber erst nächste Woche wieder).
Dank + Gruß, Andreas

Till · 4. November 2019 um 07:16

Hallo Andreas,

Veyon hat doch passende ACLs. Die Gruppe Students wird gar nicht benötigt. Einfach zugreifenden Nutzer Gruppe Teacher erlauben und lokaler Nutzer teacher zugriff verweigern.

Das ist mit LMN7 tatsächlich super easy

andreas72 · 4. November 2019 um 15:21

Ah, das klingt gut, das sozusagen mit der Veyon-Seite zu regeln.

Ich hatte es eben bisher so, dass der private Schlüssel nur von Lehrern gelesen werden konnte, der öffentliche Schlüssel nur von Schülern, sodass Lehrer dann automatisch NICHT überwacht werden konnten. Ich schaue mir das die Tage mal an! Tatsächlich war die sonstige Einrichtung schon super easy, ich hoffe, ich finde das dann auch noch.
Dank + Gruß,
Andreas

andreas72 · 11. November 2019 um 15:19

Hallo @Till ,

ich habe das heute versucht und nicht hinbekommen.

Sobald ich ACLs einfüge, wird alles verweigert.

Es handelt sich durchgehend um Linux-Clients.

Wenn ich als Lehrer auf der Konsole (am Client) „groups“ eingebe, dann erscheint, dass ich Gruppenmitglied bei „teachers“ bin, bei einem Schüler nicht.

Im Veyon-Configurator erscheinen diese Gruppen „teachers“ und „students“ aber nicht! Ich kann sie in dem Feld aber trotzdem eintippen.

Ich weiß jetzt nicht, ob es daran liegt, dass veyon diese Gruppen nicht kennt, oder ob ich bei den ACLs etwas falsch gemacht habe. Läuft das bei Dir mit Linux-Clients und ohne LDAP?

Ich hatte als erste ACL Zugreifender Nutzer Teacher Allow, als zweite lokaler Nutzer Teacher Deny, muss da noch was rein?

Danke für einen Tipp,
Andreas

Edit: Ich habe noch einen Verdacht, warum ich die lokalen Unix-Gruppen im veyon-Konfigurator vielleicht nicht sehen konnte.

Ich gehe über linuxadmin rein und starte mit sudo veyon-configurator. Der ist ja aber kein Domänenmitglied, eventuell waren deswegen die Gruppen nicht sichtbar. Die Gruppen aus dem AD werden ja auf unix-Gruppen abgebildet, oder? Würde es vielleicht was helfen, einen Domänenuser in die sudoer-Gruppe zu packen und damit den veyon-configurator zu starten?

Till · 12. November 2019 um 08:18

Dabei bin ich mir nicht ganz sicher, wir verwenden bisher ausschließlich Windows Clients in der Kombination Veyon und LMN7.

Letztendlich bindet ja Veyon an das LDAP und liest entsprechend alle Gruppen aus. Ich nehme an hier liegt der Fehler.
Der Zugriffsnutzer wird ja auch beim Veyon Start Explizit abgefragt, nur der lokal angemeldete Benutzer muss synchronisiert angefragt werden. Eventuell gibt es an dieser Stelle auch einen Feher im Abfragen welcher Nutzer lokal angemeldet ist, dass kann ich aus dem Stehfreif nicht sagen.

andreas72 · 12. November 2019 um 08:37

Das heißt also, dass Ihr die LDAP-Anbindung aktiviert habt, ja?
Ich hatte das bisher nicht und „früher“ die Zugriffskontrolle eben über die Schlüssel geregelt, das war für mich einfacher.
Könntest Du mal (anonymisiert) Deine LDAP-Einstellungen für Veyon posten? Das wäre sehr hilfreich!
Gruß, Andreas

luftikuss · 12. November 2019 um 15:39

Hallo Andreas,
ich bin nach folgender Anleitung vorgegangen:
https://wiki.linuxmuster.net/community/anwenderwiki:classroom_management:veyon-lmn7-ldap

Es hat allerdings etwas gedauert, bis die Daten eingelesen waren (oder warum auch immer). Am nächsten Tag lief es.

Viel Erfolg!
Roland

andreas72 · 13. November 2019 um 13:57

Vielen Dank! Dann mach ich das mal in Ruhe.
Ich habe jetzt folgende Zwischenlösung:

da der private Schlüssel für Schüler nicht lesbar ist, kann schon mal kein Schüler das Programm starten
die Lehrerrechner in den PC-Räumen habe ich aus der Liste der Computer für Veyon rausgenommen. Dadurch können auch die Lehrerrechner nicht überwacht werden
ein Lehrer kann den anderen also nur dann überwachen, wenn dieser sich an einem Schülerrechner einloggt, das habe ich den KuK mitgeteilt, dann kann man damit leben, denke ich
Vorteil dieser Lösung ist, dass ich, wenn ich eine Fortbildung für Kollegen mache, ebenfalls Veyon einsetzen kann

Insgesamt ist das mittlerweile ein fantastisches Tool. Wenn das mit LDAP erst mal funktioniert und die Überwachung von Lehrern damit ausgeschlossen ist, nehme ich vielleicht alle Rechner rein. Dann kann man schon mal in der Pause vom Lehrerzimmer aus den Rechner im Klassenraum einschalten , wenn man das möchte

Till · 14. November 2019 um 17:08

Ist richtig, setzen wir so um. Einstellungen kann ich leider nicht teilen, freut mich aber dass du eine passende Lösung gefunden hast.