Raum(vor)einstellungen funktionieren nicht

Server Schulkonsole
1

Als Administrator kann man in Bezug auf Webfilterung, Internetzugang, Zugang zum globalen Tauschverzeichnis ja Standardeinstellungen global festlegen, die man dann für einzelne Räume wieder abweichend und darin für einzelne Hosts abweichend von der Raumvorgabe regeln kann.
Irgendwas muss bei uns falsch konfiguriert, sein, denn:

  • die Vorgabe für den Raum inf (Computerraum) scheint eine andere zu sein als die, die der Administrator in der Schulkonsole festgelegt hat. Internet ist bei allen auf “an” und Webfilter bei allen auf “aus”, obwohl die Standardvorgaben für den Raum genau anders herum sind.
  • Tauschen global ist überall auf aus, obwohl die Standardvorgabe ein ist. Außerdem lässt sich dieses Feld auch bei keinem Host ändern. Es ist nicht aktivierbar.

Das, was dann realisiert wird scheint auch nur eine schwache Korrelation mit den gesetzten Haken aufzuweisen. Ich fühle mich ein wenig Opfer einer Willkürherrschaft. Leider geizt die Schulkonsole sehr mit Meldungen und mit Informationen darüber, welche Skripte im Hintergrund von ihr ausgeführt werden (das fände ich doch mal eine wirklich sinnvolle Erweiterung der Schulkonsole: nicht eine immer hübschere Oberfläche mit noch mehr Bequemlichkeit, sondern lieber bessere technische Informationen, für die “Handwerker”, die all das reparieren müssen, was das hübsche Ding verspricht und dann nicht hält.)

2

Hallo Uwe,

  • die Vorgabe für den Raum inf (Computerraum) scheint eine andere zu
    sein als die, die der Administrator in der Schulkonsole festgelegt
    hat. Internet ist bei allen auf “an” und Webfilter bei allen auf
    “aus”, obwohl die Standardvorgaben für den Raum genau anders herum sind.

poste mal /etc/linuxmuster/room_defaults

  • Tauschen global ist überall auf aus, obwohl die Standardvorgabe ein
    ist. Außerdem lässt sich dieses Feld auch bei keinem Host ändern. Es
    ist nicht aktivierbar.

Prüfe mal in der Schulkonsole als administrator unter Einstellungen -
Benutzerverwaltung, ob unter Global "Schulweites Tauschen aktivieren"
der Haken gesetzt ist.

Das, was dann realisiert wird scheint auch nur eine schwache Korrelation
mit den gesetzten Haken aufzuweisen. Ich fühle mich ein wenig Opfer
einer Willkürherrschaft. Leider geizt die Schulkonsole sehr mit
Meldungen und mit Informationen darüber, welche Skripte im Hintergrund
von ihr ausgeführt werden (das fände ich doch mal eine wirklich
sinnvolle Erweiterung der Schulkonsole: nicht eine immer hübschere
Oberfläche mit noch mehr Bequemlichkeit, sondern lieber bessere
technische Informationen, für die “Handwerker”, die all das reparieren
müssen, was das hübsche Ding verspricht und dann nicht hält.)

Du kannst alles auch über die Konsole steuern. Aber das lernt man
natürlich nicht unbedingt in ein paar Minuten, Stunden oder Tagen. Dafür
ist unser System dann doch zu komplex :wink:

Das “Problem” eines Werkzeugs wie der Schulkonsole ist, dass das auch
für wenig versierte “Admins” (in BW Netzwerkberater genannt) geeignet
sein soll. Wenn da gleich die halbe technische Dokumentation drin
steckt, ist das erst mal abschreckend für viele.

Viele Grüße
Steffen

3

Hallo Uwe,

  • die Vorgabe für den Raum inf (Computerraum) scheint eine andere zu
    sein als die, die der Administrator in der Schulkonsole festgelegt
    hat. Internet ist bei allen auf “an” und Webfilter bei allen auf
    “aus”, obwohl die Standardvorgaben für den Raum genau anders herum sind.
  • Tauschen global ist überall auf aus, obwohl die Standardvorgabe ein
    ist. Außerdem lässt sich dieses Feld auch bei keinem Host ändern. Es
    ist nicht aktivierbar.

Das, was dann realisiert wird scheint auch nur eine schwache Korrelation
mit den gesetzten Haken aufzuweisen. Ich fühle mich ein wenig Opfer
einer Willkürherrschaft. Leider geizt die Schulkonsole sehr mit
Meldungen und mit Informationen darüber, welche Skripte im Hintergrund
von ihr ausgeführt werden (das fände ich doch mal eine wirklich
sinnvolle Erweiterung der Schulkonsole: nicht eine immer hübschere
Oberfläche mit noch mehr Bequemlichkeit, sondern lieber bessere
technische Informationen, für die “Handwerker”, die all das reparieren
müssen, was das hübsche Ding verspricht und dann nicht hält.)

… nun ja: ich bin jetzt schon eine Weile dabei und Probleme mitdem
INternet an/aus und den Tauschlaufwerken gibt es tatsächlich ab und zu,
aber nicht so oft, dass da die Schulkonsole gleich schreiben sollte, wo
man das repariert.
Dafür gibt es ja uns hier im Forum :slight_smile:

  1. Raumschaltung:
    bitte poste mal die Datei
    /etc/linuxmuster/room_defaults

Teste bitte auch, ob du vom Server aus per
ssh -p 222 ipfire
ohne Passworteingabe auf der Console des IPFire landest

  1. Tauschen:

wie das die Schulkonsole macht, weiß ich nicht.
Wenn du es einfach weg haben willst, dann könntest du in der
/home/share/ die beiden Verzeichnisse Schule und school einfach löschen.
Ich denke die Schulkonsoel ändert die Rechte dieser Verzeichnisse…
Oder es geht über ACLs, aber da kenne ich mich nicht so gut aus.

LG

Holger

4

Hallo!

habe ich Dich richtig verstanden und Du magst das globale Tauschen “an” haben? Man muss noch bei jedem Schüler einer Klasse einen Haken in der Spalte “Tauschen” setzen. Bei mir fallen da auch immer mal wieder Haken raus. Wie man das mit einem Konsolenbefelh macht, weiß ich nicht (wär aber praktisch).

LG
Max

5

Hallo an alle,
werde jetzt mal alle Vorschläge abarbeiten und schauen, wie mich das weiterbringt.

 default on on on
 inf-pc01        on      on      off
 inf     off     on      on
 lezi    on      on      off

das sieht korrekt aus. inf-pc01 ist der Lehrerrechner im Informatikraum. Hier soll der Webfilter aus sein. An den Arbeitsplätzen der Schüler soll Internet standardmäßig aus sein, der Webfilter an.

Haken bei Benutzereinstellungen “schulweites Tauschen” ist aktiviert.

Passwortloses einloggen als root auf ipfire port 222 ist möglich.

Die vielen Stellen, an denen man “Tauschen” an und abstellen kann, sind verwirrend. Auf der zu “Unterricht” gehörenden Seite ist “Tauschen global” auf Aus gestellt und lässt sich auch nicht an stellen. Auf der Seite “Tauschen” unterhalb von “Klassen” ist Tauschen global für jedne Schüler auf “an” gestellt und kann individuell ausgestellt werden. Das ist nun sehr verwirrend. Soll das so sein oder ist das ein Fehler?

6

Hallo Uwe,

das sieht korrekt aus. inf-pc01 ist der Lehrerrechner im Informatikraum.
Hier soll der Webfilter aus sein. An den Arbeitsplätzen der Schüler soll
Internet standardmäßig aus sein, der Webfilter an.

Haken bei Benutzereinstellungen “schulweites Tauschen” ist aktiviert.

Passwortloses einloggen als root auf ipfire port 222 ist möglich.

Die vielen Stellen, an denen man “Tauschen” an und abstellen kann, sind
verwirrend. Auf der zu “Unterricht” gehörenden Seite ist “Tauschen
global” auf Aus gestellt

… in der Ansicht des administrators, richtig?

und lässt sich auch nicht an stellen. Auf der
Seite “Tauschen” unterhalb von “Klassen” ist Tauschen global für jedne
Schüler auf “an” gestellt und kann individuell ausgestellt werden. Das
ist nun sehr verwirrend. Soll das so sein oder ist das ein Fehler?

sieht mir nach einem Fehler aus.
Bitte poste mal die Rechte des Verzeichnisses /home/share/

ls -al /home/share/

LG

Holger

7

so sieht das Verzeichnis /home/share aus:

00:19/0 server /home/share # ls -al /home/share
total 40
drwxr-xr-x+  9 root          domadmins 4096 Feb  1 19:24 .
drwxr-xr-x  10 root          root      4096 Feb  2 10:54 ..
lrwxrwxrwx   1 root          root         7 Jan  9 14:57 Klassen -> classes
lrwxrwxrwx   1 root          root         8 Jan  9 14:57 Kollegium -> teachers
lrwxrwxrwx   1 root          root         8 Jan  9 14:57 Projekte -> projects
lrwxrwxrwx   1 root          root         6 Jan  9 14:57 Schule -> school
drwxrwxr-x  31 root          root      4096 Jan 16 14:30 classes
drwxrwxr-x   2 root          root      4096 Jan  9 14:56 exams
drwxr-xr-x   2 root          root      4096 Feb  1 19:24 nfs
drwxrwxr-x   8 root          root      4096 Feb  1 17:56 projects
drwxrwsrwt   3 administrator teachers  4096 Jan 26 09:50 school
drwxrwxr-x   2 root          root      4096 Jan  9 14:56 subclasses
drwxrws--T   3 administrator teachers  4096 Jan 16 10:20 teachers

und wie sollte es?

8

Hallo Uwe!

Sieht auch gut aus!

Hast Du schon einmal linuxmuster-reset --all bemüht?

Das Script sollte eigentlich einmal am Tag ausgeführt werden.

Beste Grüße

Thorsten

9

Hallo Uwe und Thorsten,

Sieht auch gut aus!

sehe ich auch so (verglichen mit zwei Servern).

Hast Du schon einmal |linuxmuster-reset --all| bemüht?

Das Script sollte eigentlich einmal am Tag ausgeführt werden.

das kannst du machen.
Aber wir können auch noch tiefer einsteigen.

Bei den Freigaben darf man nicht nur die Rechte im Dateisystem auf dem
Server betrachten, sondern muss auch die ACLs anschauen.

Wie die sind bekommt man mittels:

getfacl /home/share

heraus.
Bei mir:

12:19/0 server (SSDL) ~ # getfacl /home/share/
getfacl: Entferne führende '/' von absoluten Pfadnamen
# file: home/share/
# owner: root
# group: domadmins
user::rwx
group::r-x
group:s003:---
group:s107:---
group:s004:---
group:s001:---
group:j001:---
group:j111:---
group:j107:---
group:j106:---
group:j205:---
group:s220:---
group:lap:---
group:jmob:---
group:s200:---
group:j100:---
group:l001:---
group:s207:---
group:s100:---
group:j206:---
group:r107:---
group:a001:---
group:j201:---
group:r40:---
mask::r-x
other::r-x

Da stehen alle Räume die es bei mir gibt.

Die ACLs werden bei einem Lauf von import_workstations gesetzt (für die
Exam Accounts in der workstations)

Setzen der ACLs mit diesem Script:
server ~ # /usr/share/linuxmuster/scripts/room_share_acl.sh
Usage: room_share_acl.sh [–allow|–deny]

Allows/denies access for rooms on /home/share.

Die Rechte im Dateisystem sollte man nicht von Hand ändern, sondern mittels:
sophomorix-repair --permissions

Welche Rechte da gesetzt werden wird in dieser Datei geregelt:
/usr/share/sophomorix/devel/repair.directories

dort steht bei mir z.B.:

### SHARES
$share_share::root::domadmins::0755
$share_classes::root::root::0775
$share_subclasses::root::root::0775
$share_exams::root::root::0775
$share_projects::root::root::0775
$share_school::administrator::teachers::3777/0700
#$share_tasks::administrator::domadmins::0775
$share_teacher::administrator::teachers::3770

$share_classes/$klassen::administrator::$klassen::3770
$share_subclasses/$subclasses::administrator::$subclasses::3770
$share_projects/$projects::administrator::$projects::3770

Aber: das ganze deckt eines nciht ab: ich weiß nicht wie der Haken
"Globaer Tausch aktiv/inaktiv in der Admin SchuKo sich auswirkt: ich
nehme start an, dass das einfach den Laufwerksbuchstaben aus der
/home/samba/netlogon/login.bat (oder logon.bat?? ich kanns mir nicht
merken …) raus nimmt.

Was nimmst du eigentlich: Windows oder Ubuntu Clients?

Zum Schluss muss ich aber doch meiner Verwunderung Ausdruck verleihen,
dass das bei einer frischen INstallation nicht funktioniert.
Ich hab schon bestimmt 40 lmns installiert in verschiedenen Version: ein
Problem nach der Installation mit den Tauschverzeichnissen hab ich nie
beobachten können.
Das tauchte ab und zu im Laufe der Benutzung mal auf: aber gleich nach
dem Install? …

LG

Holger

10

Hallo,
vielen Dank für die Bereitschaft, mich in die Geheimnisse der Raumvoreinestellungen über die Schulkonsole einzuweihen.

inuxmuster-reset --all
hat Bemerkenswertes bewirkt. erst Internet ON, dann eine Liste auch der Rechner aus dem Informatikraum, wo nach default-Value, das Internet eigentlich OFF sein sollte.

dann Urlfilter OFF
wieder mit allen Rechnern aus dem Informatikraum, die eigentlich gefiltert werden sollen. Was nun grundlage dieses resets ist, weiß ich nicht. Jedenfalls nicht die Voreinstellungen des Administrators aus der Schulkonsole.

Interessant war dann auch die Sache mit den ACL:
getfacl /home/share
getfacl: Removing leading ‘/’ from absolute path names
# file: home/share
# owner: root
# group: domadmins
user::rwx
user:illgesse:—
user:barthlu:—
user:rankjo:—
user:vockch:—
user:marklefe:—
user:schmidfy:—
user:hiestajo:—
user:wannerhe:—
user:stoberel:—
user:schroemo:—
group::r-x
group:admin:—
group:inf:—

(und weitere Zeilen dieser Art, die aber alle ok zu sein scheinen)
die user, die da auftreten, waren, glaube ich, mal Klassenarbeitsuser. Ein Kollege hat hier mal in den Klassenarbeitsmodus geschaltet gehabt mit diesen usern. KÖnnte es also sein, dass dieser Klassenarbeitsmodus nicht korrekt beendet wurde und alles seitdem etwas hakt?

Bevor ich da nun anfange, an den acls rumzuschrauben warte ich mal eure Antwort ab.

Gibt es irgendeine Möglichkeit, was diese Raumeinstellungssache angeht und wer Zugriff auf Share haben soll, einfach alles von vorne zu beginnen?
Wir benutzen übrigens ausschließlich Linux-Clients, wo der Zugriff auf die Shares vom Paket linuxmuster-client-shares über die pam-mount-Skripte geregelt wird.

Gruß und Dank, Uwe

11

Hallo Uwe,

Interessant war dann auch die Sache mit den ACL:
getfacl /home/share
getfacl: Removing leading ‘/’ from absolute path names

file: home/share

owner: root

group: domadmins

user::rwx
user:illgesse:—
user:barthlu:—
user:rankjo:—
user:vockch:—
user:marklefe:—
user:schmidfy:—
user:hiestajo:—
user:wannerhe:—
user:stoberel:—
user:schroemo:—
group::r-x
group:admin:—
group:inf:—

… standen in der Liste gar keine Räume drin?
Wie heißen den die Räume bei euch?

(und weitere Zeilen dieser Art, die aber alle ok zu sein scheinen)
die user, die da auftreten, waren, glaube ich, mal Klassenarbeitsuser.
Ein Kollege hat hier mal in den Klassenarbeitsmodus geschaltet gehabt
mit diesen usern.

… das war schon mal falsch: Klassenarbeiten schreibt der Schüler nicht
mit seinem eigenen Account sondern mit einem Klassenarbeitsaccount.
Da müßt ihr unbedingt vorher mal die Doku lesen: Klassenarbeiten sind
ein sehr komplexes Thema.

KÖnnte es also sein, dass dieser Klassenarbeitsmodus
nicht korrekt beendet wurde und alles seitdem etwas hakt?

das ist gut möglich.
Am Besten meldest du dich in dem Raum als Lehrer an und schaust in der
Schulkonsole nach, ob eine Klassenarbeit läuft.
Wenn dem so ist, dann beende sie.
Da das aber mehr als 24 Stunden her ist, wurde die Klassenarbeit
spätestens in der Nacht vom linuxmuster-base cronjob beendet, weil die
sophomorix-room --reset ausführt.

Wir sollten auf jeden Fall die Nutzer aus den ACLs heraus bekommen.

Ich kenne Fälle, wo Schüler (auch bei mir an der Schule) in die ACLs
gekommen sind, weil Lehrer während des Unterrichts ihnen den Zugriff auf
die Tauschverzeichnisse verboten haben.
Die habe ich so wieder “rausbekommen” indem ich ihnen halt in der
Schulkonsole diesen Zugriff wieder erlaubte.
Dafür mußt du aber mit den Schülern zusammen im Raum angemeldet sein.

Deswegen versuchen wir es erst mal so:
sophomorix-repair --permissions
import_workstations

Danach nochmal nachschauen, ob die User noch in den ACLs stehen.
Vor allem import_workstations sollte dafür sorgen, dass die Räume drin
stehen.

Noch was zu einer früheren Frage: welche Scripte ruft die SchuKo für das
Austeielen/Einsammeln auf?
Das wird wohl sophomorix-teacher sein, Schau mal
sophomorix-teacher --help
an
Darüber bin ich gerade gestolpert, als ich nach einem
Kommandozeilenbefehl suchte, mit dem man den Klassenarbeitsmodus mit
Einsammeln beenden kann.

Interessant vor allem:
Globally switch on/off shares:
–shares --users user1,user2,…
–noshares --users user1,user2,…

Du könntest also auf der KOmmandozeile die Nutzer mit sophomorix-teacher
wieder aus den ACLs bekommen: mit einer einfachen Liste.
Aber Vorsicht: du arbeitset als root: bist also kein Lehrer.
Du mußt dem Script also einen “Caller” mitgeben: “in wessen Namen” soll
das ausgeführt werden.
Dafür ist der Switch --teacher

Nun noch zu deinem Internet on/off Problem.
Ich hab es schon mal erlebt, dass sich im IPFire was verschluckt hat: es
standen im Reiter “NEtzwerk” Unterpunkt “Web Proxy” im Feld
"Uneingeschränkte MAC-Adressen (eine pro Zeile):"
und/oder
"Gesperrte MAC-Adressen (eine pro Zeile):"
Noch alte Einträge drin.
Lösch die mal alle raus und starte den Proxy neu (+Speichern) Knopf am
unteren Ende der Seite.

Versuch danach nochmal die Voreinstellungen mittels
linuxmuster-reset --all
durch zu setzen.

Noch ein Hinweis: die Spalte “Webfilter” ist in der SchulKonsole
ausgegraut, wenn der URL Filter im IPFire (gleiche Seite wie eben, nur
weiter oben) nicht angehakt ist.
Kontrollier also, ob da ein Haken drin ist.

LG

Holger

1 „Gefällt mir“
12

Hallo Uwe,

… da stand es vor mir und ich habe es nicht gesehen: sophomorix-teacher
ist das richtige Script: auch zum Einsammeln von Klassenarbeiten.
Lies mal

man sophomorix-teacher

LG

Holger

13

Hallo Uwe,

hab noch was gefunden:

sophomorix-janitor – aclhomeshare-remove-all-users (removing all user
acls)

LG

Holger

14

Hallo Holger,
Deine Antworten haben mir sehr weitergeholfen. Ich habe den Verdacht, dass die Schüler-acls einigen Mist verursacht haben. Mit sophomorix-teacher --teacher bosse --shares --users liste,von,usern habe ich sie löschen können. Dann wurden auch die Raumvorgaben gelöscht. Jedenfalls waren sie korrekt nach den von dir vorgeschlagenen repair und reset-Befehlen. Heute mittag war der Webfilter standardmäßig auf “aus”, worüber ich wenig amused war. Jetzt scheint er standardmäßig auf Ein zu stehen, so wie er soll.

Ich danke Dir also nochmals herzlich fürs Mitdenken und Probieren, ich bin dadurch deutllich tiefer in die Materie eingestiegen und weiß jetzt besser, wo anfassen, wenns wieder mal hakt.

Liebe Grüße, Uwe.