Veyon mit Zugriffskontrolle

Hallo zusammen,

ich möchte veyon auf den Linuxclients laufen lassen. Dazu hat Martin dankenswerterweise 2 Wikibeiträge geschrieben:
https://wiki.linuxmuster.net/community/anwenderwiki:classroom_management:veyon-lmn7

Das funktioniert sehr gut, hat aber einen Nachteil: „Lehrer“ können sich von verschiedenen Clients aus - auch gleichzeitig - als Master anmelden.
Eine andere Möglichkeit bieten die Zugriffskontrollregeln im Veyon-Configurator. Voraussetzung hierfür ist wohl eine LDAP-Anbindung, die auch Martin beschrieben hat:
https://wiki.linuxmuster.net/community/anwenderwiki:classroom_management:veyon-lmn7-ldap

Außerdem bräuchte man noch Regeln, die entweder festlegen, dass immer nur einer als Master fungieren kann oder nur auf einem Rechner das Master-Programm läuft.

Das Problem wurde auch hier schon einmal diskutiert:

Aber vielleicht hat es jemand schon zufriedenstellend umgesetzt und kann Näheres über die nötigen Zugriffsregeln sagen.

Viele Grüße

Wilfried

Hallo,

habe folgendes herausgefunden:

1. Nur aktuellen Standort anzeigen

Wenn man beim Veyon-Configurator unter dem Menüpunkt „Master“ einen Haken bei „Nur aktuellen Standort anzeigen“ macht, und die devices.csv ist entsprechend raumgenau, dann kann sich ein Mitglied der Gruppe teacher nur in einem Raum als Master anmelden. Damit sollte die Gefahr des Ausspähens usw. überschaubar sein.-
Empfehlenswert ist auch noch ein Haken bei „Automatisch Computerauswahlbdedienfeld öffnen“.

2. LDAP-Lösung

Stellt man im Veyon-Configurator die LDAP-Lösung ein, dann erspart man sich die Aufnahme der Standorte und Rechner mit IP unter dem Menüpunkt „Standorte & Computer“, weil man über den LDAP alles geliefert bekommt. Außerdem kann man bei der „Zugriffskontrolle“ Zugriffsregeln formulieren, die aber, soweit ich es erkennen konnte, auch nicht mehr Zugriffssicherheit wie unter unter 1. bringen.

„Authentifizierungsschlüssel“ muss man wohl in jedem Fall hinterlegen, da sie auch für den Zugriff auf die Rechner gebraucht werden.

Viele Grüße

Wilfried

Nachtrag: Bei der Umsetzung habe ich jetzt gemerkt, dass „Nur aktuellen Standort anzeigen“ bei mir nur mit der LDAP-Lösung funktioniert. Ohne LDAP führt es dazu, dass gar kein Standort mehr angezeigt wird, obwohl ich sie unter „Standorte & Computer“ händisch eingepflegt hatte.

Hallo Wilfried (@wilfried).
Über die Frage der „Fernabschaltung von Bildschirmen“ denke ich auch gerade nach. Wir haben eine Laptop-Station in Betrieb genommen, wo Laptops an Klassen ausgegeben werden können. Da gibt es also keinen Masterrechner wie in den Computerräumen. Und hier wäre es extrem hilfreich, wenn man die Bildschirme mal kurz abschalten könnte, um die Aufmerksamkeit aller wieder zu sammeln …

Ich bin auf deinen Beitrag zu Veyon gestoßen: Das scheint das ja alles zu können – aber ich habe doch noch ein paar Rückfragen.

  • Die Rolle „Lehrer“ wird ja durch die Einstellungen per LDAP/AD festgelegt. So kann also jeder Client der Master sein – je nachdem, wer sich gerade anmeldet, richtig?
  • Können die Veyon-Settings von Schülern verändert werden? Dann wäre das ganze direkt sinnlos…!?
  • Und die wichtigste Frage: Wenn ich veyon nun installiere und in unser default-Win10-Image packe, bin ich über’s Ziel hinaus geschossen, da sich dann u.U. auch Rechner fernsteuern lassen, bei denen man das gar nicht haben will. Da ich aber nur ungern ein 2. LINBO-Image nur für veyon aufmachen möchte, wäre es vielleicht denkbar, das per Postsync zu regeln!?! Es gibt imho keine portable-Version von veyon aber immerhin gibt es ja die Möglichkeit, die veyon.exe per postsync durch eine leere dummy-Datei zu ersetzen, so dass das Programm wirklich nur auf den Rechnern oder Hardwareklassen gestartet werden kann, wo man das auch haben will. Bist du über dieses Problem auch schon gestolpert?

Viele Grüße,
Michael

Hallo Michael,

ich muss vorausschicken, dass ich noch keine befriedigende Lösung habe, weil ich momentan zu wenig Zeit habe.

Egal ob mit oder ohne LDAP, der im Lehrertausch gespeicherte private Key sorgt dafür, dass Schüler nicht auf den Configurator zugreifen können. Auch beim Master kommt jedes Mal eine Meldung, dass die nötigen Rechte fehlen, was wohl daran liegt, dass teacher beim default-cloop in der datei sudoers stehen.
Was deine wichtigste Frage angeht, da bin ich im Augenblick noch am Forschen. Bevor ich aber mit postsync experimentiere, möchte ich versuchen die Probleme mit der veyon-Konfiguration zu lösen. Stand jetzt: Wenn ich das Zugriffsproblem, auch unter den Gesichtspunkten des Datenschutzes, gelöst habe, dann kann leider gar kein Rechner mehr beobachtet werden. Sie erscheinen dann in der Übersicht als „rote“ Bildschirme, aber sie sind immerhin da.
Sobald ich mehr weiß, melde ich mich.

Viele Grüße

Wilfried

Hallo Wilfried,
Das Tool läuft jetzt soweit – es gibt aber noch ein kleines Problem: Der Hostname lautet bei uns z.B. yoga-12-53 – da wir aber jetzt auch die WLAN-MAC-Adressen eingetragen haben, lautet der Name yoga-12-53-wlan
Das ist ein Problem, da bei der Option „Lokalen Computer ausblenden“ offenbar nur nach dem ersten Hostnamen geschaut wird und demzufolge der eigene Rechner immer in der Übersicht mit erscheint. Das ist nicht günstig, da man sich (wie schon oben erwähnt) selbst ausperren kann …
Gibt es da eine Lösung? Doppelte Hostnamen kann man in der devices.csv ja nicht vergeben, oder?
Viele Grüße,
Michael

Hallo Michael,

ich glaube, ich habe jetzt eine für mich passende Lösung, allerdings nur in meinem virtuellen Clientnetzwerk. Heute Nachmittag komme ich wahrscheinlich dazu, es an der Schule auszuprobieren, danach werde ich berichten.

Viele Grüße

Wilfried

Hallo Michael,

Ich glaube gehört zu haben, dass das bei der 7 geht. Teste es doch einfach.

Beste Grüße

Thorsten

Hi Thorsten!

Leider geht es nicht:

There were errors in the files.
Please fix them first

#### ERROR parsing device files: 1 errors.                                    ####
Calling console printout
LOG       : Reading /etc/linuxmuster/sophomorix/default-school/devices.csv    
ERROR   -1: devices.csv (Line: 654): Device Name (Field2) is double: yoga-12-55 
ERROR   -1: ERROR parsing device files: 1 errors.                             
     1  errors at parsing device files                                   
#### sophomorix-device finished  errors detected!                         ####

… aber irgendwie habe auch etwas ähnliches wie Du im Hinterkopf … es gab hier vor einiger Zeit eine Diskussion um die Einträge der LAN-/WLAN-MAC-Adressen … aber ging es da um identische Hostnames??

Hier war das … die Frage blieb leider unbeantwortet:

Viele Grüße,
Michael

Hallo Michael,

hat leider nicht so geklappt, wie mit meinen virtuellen Clients.-

Entweder es werden zu viele Clients angezeigt, auf die man von überall her Zugriff hat, oder die Clients haben einen roten Bildschirm, d. h. man hat keine Verbindung zu ihnen.
Ich hatte mir einiges davon versprochen, nur unseren Computerraum (r212) anzeigen zu lassen, indem ich im Configurator beim Punkt LDAP Basic unter Umgebungsvariablen > Computerbaum Martins Eintrag so ergänzt habe: OU=r212,OU=Devices,OU=default-school,OU=SCHOOLS. Das klappt auch soweit, dass nun nicht mehr sämtliche Standorte aus der devices.csv erscheinen, sondern nur noch der Standort r212. Aber sämliche Maßnahmen, die gewährleisten sollen, dass auch nur am Standort der Veyon Master gestartet werden kann, funktionieren nicht zuverlässig. Probiert habe ich verschiedene Einstellungen über Configurator > Master und Configurator > Zugriffskontrolle.
Leider sind die Tests sehr aufwändig, da man mindestens 3 Rechner mit der geänderten Configuration versorgen muss: 2 in r212 und einen außerhalb, um zu schauen, ob es von dort auch Zugriff gibt, was ja nicht sein sollte. Vielleicht muss ich doch noch mit Postsync arbeiten.

Viele Grüße

Wilfried

Hi.
Also wir haben an den LDAP-Einstellungen auch etwas herumgeschraubt und ein paar Dinge anders eingestellt als es im Wiki gezeigt wird – bei uns ist es (bisher) ja so, dass veyon NUR in einem Raum installiert werden soll – da war es natürlich einfach, gezielt in den LDAP-Settings diesen Raum suchen zu lassen. Dann wird natürlich auch nur dieser eine Raum angezeigt. Aber es stimmt: Wenn man Haken bei [ ] Nur aktuellen Standort anzeigen setzt, funktioniert es auch hier nicht mehr!
Aber ich bin immerhin soweit, dass NUR der Raum „Ausleihstation“ erscheint und sonst nichts. Das klappt bei Dir nicht?
Kannst du denn nicht auch einfach alle Clients, wo das Tool laufen soll, in eine eigene Klasse bzw Raum in der devices.csv packen??

Ich rätsel aber auch weiterhin, wie ich das gezielt NUR auf diese Clients bekommen kann. Postsync wäre möglich – aber schöner wäre es weiterhin per GPO…

Viele Grüße,
Michael

Hallo Michael,

nur einen Raum anzeigen klappt, aber dass sollte dann auch nur in diesem Raum („Standort“) so sein und nicht von überall her möglich.
Das Tool sollte ja ausschließlich aus pädagogisch/didaktischen Gründen eingesetzt werden, wenn ich das nicht mit vertretbarem Aufwand schaffe, dann lasse ich es lieber.

Viele Grüße

Wilfried

Hi.

Ja, deshalb will ich das Tool auch nicht überall installiert haben – sondern möglichst NUR auf den Clients der Ausleihstation …
Ich habe außerdem gesehen, dass der Start des Programms auch als Schüler möglich ist. Man kann sich da anmelden, bekommt aber nichts zu sehen. Besser wäre es, wenn es direkt gar nicht möglich wäre…

Viele Grüße,
Michael

Hallo Michael,

mein Computerraum heißt in der Anleitung r241, das findet sich auf der Seite 3 bei „LDAP Basic > Computerbaum“ wieder. Die Screenshots der Anleitung geben nur Bilder von Einstellungen wieder, die von Martins abweichen. Die anderen Einstellungen sind geblieben.
Bei einem Test mit (einigen wenigen) realen Rechnern konnte man mit dem Veyon-Master im Raum r241 die Clients beobachten und steuern. In r241 wird nur der Standort r241 angezeigt, an anderen Standorten werden keine Standorte angezeigt.
Dass veyon auf allen Rechnern ist, stört mich nicht, da sich auf den Rechnern noch einige weitere Programme befinden, mit denen der normale User auch nichts anfangen kann, und wer Interesse hat, kann ja nachfragen.
In den Weihnachtsferien starte ich dann mal einen Großversuch, bin aber relativ optimistisch.

veyon.odt (1,1 MB)

Viele Grüße

Wilfried

Nachtrag: Heute ausgerollt und es scheint wie gewünscht zu funktionieren.

1 „Gefällt mir“

Ein Beitrag wurde in ein neues Thema verschoben: Veyon mit Zugriffskontrolle unter KDE NEON