Veyon: Schüler können sich am Masterservice anmelden

tjordan · 23. Juni 2022 um 10:47

Hallo zusammen,

an einer Schule habe ich auf den Linuxclients Veyon genau so konfiguriert wie hier beschrieben:

https://wiki.linuxmuster.net/community/anwenderwiki:classroom_management:veyon-lmn7-ldap

Das funktioniert auch soweit Prima, aber es gibt folgendes Problem: Auch Schüler können sich mit ihren AD-Credentials am Master-Service anmelden und die anderen damit nerven indem sie deren Rechner herunterfahren.
An sich sollte das doch gar nicht möglich sein, da der Benutzerbaum in der Umgebungseinstellung auf die ou=Teachers.ou=default-school,ou=schools zeigt.
Verblüffenderweise geht es aber doch.

Weiß hier jemand Rat?

LG
Thomas

wilfried · 23. Juni 2022 um 12:34

Hallo Thomas,

bin jetzt nicht mehr direkt in der Materie drin, aber hast du dir mal angeschaut, was wir damals diskutiert haben:

Viele Grüße

Wilfried

tjordan · 23. Juni 2022 um 15:27

Hallo Wilfried,

ja hab ich gelesen. Bringt mich aber nicht nicht weiter und erklärt auch nicht, wieso es möglich ist, dass sich Benutzer aus einer anderen ou als Lehrer am Veyon-Master per LDAP-Auth anmelden können, wenn ich in den Umgebungsvariablen dediziert die ou=teachers angebe. Veyon dürfte ja nur den Teilbaum abragen, den ich dort einstelle und somit wäre ein Anmelden von Benutzern aus anderen OUs nicht möglich.

Grüße
Thomas

garblixa · 24. Juni 2022 um 05:29

Hallo Thomas,

bitte verifizieren, ob Du auch eingestellt hast:

Allgemein → Authentifizierung → Methode: Anmelde-Authentifizierung
Allgemein → Netzwerkobjektverzeichnis → LDAP Basic
Zugriffskontrolle → Benutzergruppenbackend: LDAP Basic / Verwendung von Domaingruppen aktivieren [x] Zugriff auf Mitglieder bestimmter Benutzergruppen einschränken
[x] Unter "Authentifizierte Benutzergruppen für den Zugriff „teachers“ hinzufügen.

Viele Grüße
Klaus

rettich · 24. Juni 2022 um 07:18

Hallo Thomas,

das liegt wahrscheinlich an der Athentifizierungsmethode:

Ich benutze Schlüsseldateien.
Der public-key ist auf dem Client. So kann jeder Rechner abgefragt werden.
Und der private-key liegt in einem Unterverzeichnis des Lehrer-Tauschverzeichnisses. Da kommen nur die Lehrer darn.
So ist sicher gestellt, dass nur Lehrer Veyon-Master aufrufen können.

Gruß,
Mathias

tjordan · 24. Juni 2022 um 09:19

Wunderbar! Danke!

nosch · 24. November 2023 um 09:36

Hallo zusammen!

Ich hab noch eine Frage zu diesem Thema:

Ich habe Veyon auch mit LDAP-Anbindung konfiguriert. Das klappt super. Allerdings können sich auch Schüler am Veyon-Master anmelden, dann öffnet sich das Program und man kann die Rechnerübersicht sehen. Aktive Rechner werden mit orangem oder rotem Bildschirm dargestellt. Man kann aber nichts steuern oder beobachten.

Ist das bei euch auch so bzw. ist das normal? Besser fände ich, wenn das Program den Start komplett verweigern würde. Kann man das ändern?

Grüße Noah

Frank84 · 27. November 2023 um 17:43

Hallo Noah,

ich kann das Verhalten bestätigen.

VG,
Frank

nosch · 24. September 2024 um 10:19

Hallo zusammen!

Jetzt hat ein Schüler herausgefunden, dass er mit seinem Schüleraccount Veyon-Master starten kann und mit dem Button oben alle Computer des Raumes starten kann.
Alle anderen Funktionen scheinen gesperrt zu sein.

Gibt es denn eine Möglichkeit, Veyon-Master für Schüler komplett zu sperren?

Viele Grüße
Noah

Frank84 · 24. September 2024 um 14:16

Hallo Noah,

wir haben das so gelöst, indem wir auf den SchülerPCs nur den VeyonWorker installiert haben.

VG,
Frank

nosch · 25. September 2024 um 11:11

Hallo Frank!

Danke für deine Antwort. Ich möchte aber kein weiteres Image pflegen müssen. Kennt jemand eine andere Lösung?

Grüße Noah

Sascha · 25. September 2024 um 11:45

Hi Noah,
das kommt drauf an, ob Du von Linux oder Windows redest.
Unter Linux würde ich einfach die Rechte von veyon-master auf 750 setzen und die Gruppe auf „teachers“, dann können neben Administratoren nur noch Leute, die mit einem Lehreraccount angemeldet sind, dass Programm aufrufen.

Gruß
Sascha

Frank84 · 25. September 2024 um 12:15

Hallo Noah,

das wird nicht über ein anderes Image gelöst, sondern über GPOs wie in der Anleitung Veyon per GPO mit LDAP-Anbindung beschrieben.

Klappt wunderbar!

VG,
Frank

sucher · 25. September 2024 um 16:18

abgesehen davon hat dieser Thread bereits eine markierte Lösung, die ja weiterhin Gültigkeit haben sollte?

nosch · 25. September 2024 um 21:51

Hallo!

Die als Lösung markierten Einstellungen lösten erstmal das Problem von Thomas. Bei ihm hatten Schüler am Veyon-Master noch die gleichen Rechte, wie Lehrer.

Es bleibt aber das Problem, wie ich oben beschrieben habe, dass es trotz der Einstellungen weiterhin möglich ist, dass Schüler Veyon-Master öffnen und sich anmelden können. Zwar sind für Schüler fast alle Funktionen gesperrt, aber eben das Einschalten der anderen Rechner ist merkwürdiger Weise doch möglich und ich finde, Schüler sollten Veyon-Master erst gar nicht öffnen können.

Da ich nur Linux-Clients habe, werde ich Saschas Vorschlag ausprobieren und berichten.

Franks Lösung ist, denke ich, für Windows-Clients interessant.

Vielen Dank und Grüße!
Noah

rettich · 6. Oktober 2024 um 05:40

Hallo Noah,
bei uns ist das so gelöst, dass ich der private Key unter Tausch/teachers/veyon/lehrer/key abgelegt ist.
Da dort nur Lehrer zugang haben, können Schüler Veyon-Master nicht starten.
Gruß,
Mathias