in der Hoffnung, dass der Dienstleister irgendwann den grundsätzlichen Zugriff auf den LDAP (also korrekte Portweiterleitungen in Router und Firewall hinkriegt, wäre eine kontrekte Anleitung, welche Einstellungen in Moodle gemacht werden sollen/müssen hilfreich, wie es die für die Anbindung an LMN gibt.
Gibt’s so was für die pädML Linux 7? Wo kann ich die herkriegen? Oder kannst du mir die Einstellungen nennen?
Von unserem Dienstleister habe ich ein PDF mit einer Anleitung zur Anbindung eines DokuWikis bekommen. Die Angaben dort lassen sich aber doch nicht gant 1:1 umsetzen, wie ich meine, weil die Felder bei Moodle schon anders sind.
Eine Anleitung bzw. die Einstellungen für Nextcloud wäre auch noch hilfreich.
Ok, aber eigentlich sollte es so was doch für alle pädML geben, ist ja jetzt nicht gerade ein exotischer Sonderwunsch, daran ein Moodle o.ä. anbinden zu wollen.
Hi Thomas,
dann hätte ich neben OPSI ja auch ein Imaging (nur anderer Art) und es ging in meiner Replik primär um die Aussage, Imaging im Allgemeinen sei nicht mehr zeitgemäß". Insofern stützt Du meine These - denn ohne irgendeine Form von zurücksetzbaren Images kann man Schülern nicht beibringen, wie es ist, einen Computer zu administrieren.
Oben wurde ja schon erwaehnt, dass man Betriebssystemunterricht prima virtualisieren kann, mit dem Vorteil, dass man damit auch miese Dienste wie DHCP unterrichten kann, ohne das ganze Schulnetz/Subnetz lahmzulegen. Diese VMs koennen die Schueler auch ueber mehrere Bloecke erweitern, z.B.Windows Domaincontrollerunterricht ist anders kaum zu unterrichten, alleine das Aufsetzen der Active Directory dauert schonmal mit Erklaerungen eine Doppelstunde und danach will die naechste Klasse rein. Dann die Maschine syncen ist eher kontraproduktiv oder man laesst die Partition mit den Schuelerhomes und den bearbeiteten VMs aus dem Sync raus.
Das müsste alles sein.
Auf der Firewall braucht man halt noch eine NAT Regel für LDAP bzw. LDAPs wenn du verschlüsselt und mit Zertifikaten verbinden willst, vom externen Interface auf die OPEN-LDAP Quelle, da man den SAMBADC nicht direkt anbinden kann (Bzw. nicht konnte…evtl funktioniert das mittlerweile) ich meine der Server lauscht auch auf Port 8389 bzw 8636. Da bin ich mir nicht mehr ganz sicher. Ist schon 'ne Weile her.
Oben wurde ja schon erwaehnt, dass man Betriebssystemunterricht prima virtualisieren kann
richtig. Und dann benutzt Du Images. Das ist (eine Form) von Imaging.Genau das war meine Aussage: „ohne Imaging (in irgendeiner Form) kein Netzwerkunterricht“
Und deswegen ist Imaging IMO mitnichten outdatet, wie der Kollege Markus behauptet, sondern (ich wiederhole: in irgendeiner Form) unerlässlich.
Und nur am Rande (und noch mehr offtopic),nicht alles lässt sich meine Meinung virtualisieren, wir zeigen Schülern auch, wie man ein echtes Netz mit echten Kabeln und echten Switchen zusammensteckt und dann die Managed-Switches konfiguriert, wenn Du das virtuell machst, können es die Schüler ( → zukünftige Administratoren) auch nur virtuell und das ist nicht unser Ziel.
Und nochmal, ich will die Nutzbarkeit von virtuellen Maschinen nicht in Abrede stellen, auch DAS benutzen wir im Unterricht (und natürlich beim Betrieb der LML-Servers) )
ich gebe dir absolut Recht, dass man um Imaging (wie auch immer man es gestaltet) nicht drum rum kommt, wenn die Benutzer, für was auch immer, administrative Rechte brauchen.
Was den Netzwerkunterricht angeht: Klar kann man mit Hardware die Effekte von Loop, eines defekten Kabels, Trunks, Spanning Tree, Loop Protection, Routing und fehlende Routen von Netz A nach Netz B über Netz C etc. direkt zeigen.
Nutzt aber nix, wenn die Schüler das Prinzip dahinter nicht verstehen.
Der Unterschied auf dem cli zwischen einem virtuellen managed-Switch und einem physikalischen managed-Switch ist genau welcher? Sind virtuelle Switche in der Praxis irrelevant? Welchen Mehrwert hat es, zukünftigen Administratoren, Routing anhand physikalischer Router in physikalisch verbundenen Netzen beizubringen? Damit sie lernen “Du solltest auch das Kabel einstecken”…?
In der Schule kommt man da nie drumrum, aus meiner Sicht. Ich habe schon so oft in zugenagelten Windows Umgebungen arbeiten müssen, die natürlich aus administrativer Sicht funktioniert haben, aber eigentlich produktiv schlicht unbenutzbar waren. (Bildschirmauflösungen zugenagelt, Beamer Bild unlesbar und dergleichen, Dateien von Sticks nicht zu öfnen/auszuführen u.ä.)
Das ist aber eben viel schlechter als bei Linbo, wo das jeder direkt am Rechner machen kann. Dazu kommt die Geschwindigkeit: Ich rolle ein 16GB großes Windows Image vom leeren Rechner bis zum Boot-Prompt in 8 Minuten aus, ein Linux Image in 3 Minuten. Ich kann beliebig viele BS parallel haben, Win7, Win10, Linux. Sag mal mit Opsi an
Aber es kommt sicherlich auf den Einsatzzweck vor Ort und die dort herrschenden Rahmenbedingungen an, was am geschicktesten ist, und dazu gehört (leider) eben auch der „Dienstleister“.
Mein Hauptkritikpunkt an die „Dienstleister“ , die ich häufig antreffe ist eben der, dass die letztlich gar kein echtes KnowHow haben, das über ein bissle Windows Gruppenrichtliniengeklicke und ein paar OPSI Einstellungen hinaus geht. Das sind teilweise bloße Produktwiederverkäufer, die ohne Hotline hinter sich einfach zu wenig können – und dafür trotzdem 120EUR/h aufrufen.
Hier brauchen Dienstleister 5 Stunden, um zwei Switches mit VLans dazu zu bewegen, miteinander zu sprechen, dort rechnet einer für die Grundinstallation des linuxmuster.net 6.2 Servers sechs Zeitstunden ab - WTF?
Dokumentation bekommt der Kunde keine, er ist gezwungen, wegen jedem Mist den Dienstleister zu rufen, bezahltes „Lernen beim Kunden“ ist eher die Regel als die Ausnahme. Aber für 120EUR/h erwarte ich, dass der, der da kommt weiß, was er tut, und nicht „Vlan learning by doing“ betreibt. Wenn ich für das Geld das Netz segmentieren lasse, muss der Mensch der das macht verstanden haben, was er da macht und nicht einfach eine Anleitung abarbeiten. Das beinhaltet dann auch, dass er bei Problemen selber weiß, wie er das debuggt - ohne Hotline. Sonst müssen die Preise runter, oder man muss die Zeit abziehen, die man gebraucht hat um Routing und VLans zu verstehen.
ja da gebe ich Dir leider recht das es viele Dienstleister gibt die vor Ort lernen.
Aber ganz ehrlich auch ein Dienstleister kann nicht alles können, das Thema IT ist inzwischen so komplex das das einfach nicht geht. Wir z.B Betreuen Schulen, Öffentliche und Industrie. Und es gibt bei uns keinen Kollegen der sich in der Tiefe mit allem auskennt, das geht schlicht und einfach nicht. Wenn Du dich im Moment mal auf den Arbeitsmarkt umschaust dann gibt es einfach niemanden den man Einstellen kann mit hoher Qualifiaktion.
Bei uns wird immer Versucht jemanden zum Kunden zu schicken der sich auch mit dem jeweiligen Fachgebiet auskennt, so das dem Kunden immer bestmöglich geholfen wird. Wenn ich was vor Ort nicht hinbekomme weil ich Basics wie VLANs nicht drauf habe dann kann ich das dem Kunden auch nicht abrechnen aus meiner Sicht, und das passiert dann auch nicht.
Und ich gebe Dir auch recht wenn ich das Konzept von VLANs nicht verstanden habe dann kann ich das auch nicht nach einer Anleitung machen. Und das wohl kaum dem Kunden berechnen. Übrigens die Netzerweiterung wird auch nicht vom LMZ Supportet das kann ich nur machen wenn ich das selber Supporten kann als Dienstleister.
Daraus resultiert aber eben auch unmittelbar, dass ein Dienstleister nicht unbedingt ein guter Berater ist, weil er letztlich nur das beraten kann, was er weiß und kann (und womit er Geld verdient). Da lassen sich aber z.B. viele Schulträger in die Irre führen. So stehen hier in Grundschulen mit 3 Mitarbeitern im Verwaltungsnetz Exchange Server für die 10 Mails am Tag, mit den entsprechenden Kosten für Lizenzen und Support. Man braucht halt erst nen Plan und muss dem Dienstleister sagen: Das machst du jetzt bitte.
Das passt für mich auch, ich akzeptiere ohne Probleme, dass mir einer sagt: das mach ich zum ersten Mal, ich bekomme das hin, über den Preis müssen wir dann sprechen. ch bin z.B. mit Windows nicht so fit und mache auch Dienstleistungen bei uns im Verwaltungsnetz. Da überlege ich vor der Rechungsstellung jedes Mal, ob die Zeit die ich gebraucht habe gerechtfertigt war, oder ob ich länger gebraucht habe, weil ich keine Übung habe.
Aber wenn einer eben wie oben beschrieben kommt, und dem drei Personen Büro in der Grundschule einen Server für 6k€ hinstellt „weil das der Standard ist“, dann ist das für mich eigentlich ein Kündigungsgrund.
Im übrigen teile ich deine prinzipielle Meinung: Wenn man eine „dumme“ unflexible Lösung für Windows Only Clients braucht und das LMZ noch als Geschäftpartner in Frage kommt, muss man die PaedML Linux nehmen.
Damit kann ich diese Lösung eigentlich gar nicht installieren, sobald ein Rechner im Lehrerzimmer steht, denn die Verwaltungsvorschrift ist da ja sehr eindeutig: „keine personenbezogenen Daten im Schulnetz ohne Segmentierung“. Bei PMLWindows ist es ja glaub ich noch schlimmer, haben die nicht zu wenig IPs für ne gescheite Segmentierung?
Ja da hast du recht ich kann nur das verkaufen was ich auch kenne. Aber ob ich in nem Verwaltungsnetz nen Exchange Server aufstellen muss für 3 Rechner?. Zumindest in BW kann man das ja über das BelWue machen.
Aber mal anderst gerechnet, unsere Standardschule hat eh einen VMWare Server für die paedMl. Wenn jetzt also im VW Netz ein Exchange Server gewollt ist dann kostet das eigentlich fast nichts (F+L Lizenz Exchange liegt glaube ich bei 200€) man kann dann ja zum Beispiel allen Lehrer ne Mailadresse machen dan rentiert sich das ganz auf jedenfall und ich habe das weiterleiten an private Mailadressen nicht mehr.
das Moodle liegt bei Belwü, also ganz extern. Die Nextcloud läuft in einer eigenen VM auf dem ESXi. auf dem auch die pädML Linux läuft, hat also das gleiche „rote“ Netz.
Laut Dienstleister ist der Zugriff per ldaps mit Port 636. Aber wie gesagt, da kriege ich mit ldap-search keine Kommunikation / Antwort vom LDAP bzw. sogar, dass er nicht erreichbar sei.
Auch aus den LDAP-Modulen von Moodle / Nextcloud raus klappt das nicht, wobei da natürlich noch was falsch eingetragen sein kann. Daher danke für deine Hinweise zu Moodle.
Zum einen will ich ja erst mal eine Nextcloud und Moodle anbinden, zum anderen ist das wg. pädML 6 natürlich auch schon veraltet. Da wird z.B: von der Gruppe „lehrer-schule“ gesprochen, du hast die Gruppe nur als „lehrer“ benannt.
Also prinzipiell ist das so das das UCS folgende Ports benutzt
7389 -> LDAP
7636 -> LDAPS
kann man hier nachlesen
Meiner Erfahrung nach ist nach extern aber eher nicht die Firewall der paedMl das Problem sonder (wen vorhanden) der BelWue Router auf dem man auch noch einer Freigabe machen lassen muß.
Bei Diensten wie WebUntis hatte ich in der Vergangenheit Probleme wenn man extern andere Ports als 389/636 benutzt.
Übrigens steht in den Dokument was du verlinkt hast auch der Port 7389 drin.
Viele Dienste die per Java Authentifizieren funktionieren mit LDAPS (7636) nur wenn man ein richtiges Zertifikat einrichtet.
Ist hier beschrieben habe ich aber selber noch nie gemacht
Übrigens genauso nur ohne das ganze SSL gedöns binde ich immer das WebUntis an.
Kleiner Tip noch zu LDAP Anbindungen ich mache das immer als erster mit einem Apache Studio da kann man dann schon sehen ob es prinzipiell klappt.
Man kann dort auch schön die Suchen zusammenbauen und Testen.
wir haben keine Belwü-Router, nur eine normale Fritzbox mit DynDNS für eine „feste IP“. Letzteres klappt auch, per ssh und https komme ich schon von Anfang an auf die VM mit der Nextcloud. Ich gehe mal davon aus, dass dann schon auch eine Portweiterleitung für ldaps eingerichtet sein wird.
Aber vielleicht stimmt halt doch die Firewallregel nicht, oder whatever - ich kann ja nicht selbts nachsehen. Vor der Umstellung hatte ich Zugriff auf alles, weil ich es auch selbst administriert habe - und da hat das auch alles - jahrelang - funktioniert
Ja, der Händler schrieb aber 636, und es ist ja nicht schwer, 636 auf 7636 weiterzuleiten. Von daher ging ich davon aus, dass das schon stimmt, denn auch bei der LMN habe ich immer 636 verwendet, wobei das da natürlich auch auf dem Port liegt.
Ist mir auch klar. Wir hatten aber auch früher nur ein SSL-Zertifikat für den Apache. Auf dem Cloudserver kommt das auch noch immer zum Einsatz.
Vermutlich liegt aber dennoch hier irgendwo der oder zumindest ein Hund begraben, und solche Probleme sollten einem vernünftigen Dienstleister auch bekannt, bewusst und lösbar sein.