Eine wichtige Aufgabe des Systemverwalters ist die Verwaltung der Nutzer auf dem Server. Doch bevor Sie damit loslegen, sollten Sie sich Gedanken über die Verwaltung machen. Üblicherweise gibt es drei verschiedene Gruppen von Zugängen:
Wenn Schüler das Internet gar nicht nutzen, muss ihnen der Zugriff auf die entsprechende Software verweigert werden. Unter Windows 3.1x ist das kein Problem, aber bereits zu Windows 95b gehört der Internet-Explorer fast untrennbar zum Betriebssystem, unter Windows 98 ist er kaum noch zu entfernen.
Für die Stufe 1 sind keine Verwaltungsmaßnahmen zu treffen. Das WWW ist ein anonymer Dienst, jeder kann von einem beliebigen Terminal in einer Bibliothek, einem Internet-Café oder einem anderen öffentlichen Provider-Terminal surfen. Eine Beschränkung von Seiten des Kommunikationsservers gibt es nicht. Jeder, der Zugriff auf einen Browser hat, kann ins Internet. Einzig eine kostenpflichtige Telefonverbindung kann er nicht herstellen: Seiten aus dem Internet sind also nur dann erreichbar, wenn der Telefonzugang freigegeben wird.
Nutzer der Stufe 2 müssen einen Eintrag in der Benutzerverwaltung haben. Er gibt dem Schülern ein eigenes Heimatverzeichnis, ein E-Mail-Postfach und macht ihn namentlich bekannt. Damit hat er "Grundrechte" auf dem Server.
Nutzer der Stufe 3 bekommen zunächst einen Zugang nach Stufe 2. Dann werden ihm über die Benutzerverwaltung weitere Rechte zuerkannt:
Freigegeben des Admin-Interface (berechtigt zum Schalten des Internet-Zugangs).
Einordnen in eine Projektgruppe (ermöglicht die gemeinsame Arbeit in Projekten).
Häufig wird auch gefordert, Universal-Zugänge zu haben, mit denen ein Schüler auf den Datei- und Druckserver zugreifen kann, ohne weitere Rechte zu haben. Hier werden wir im Kapitel 4.7 einen weiteren Weg zeigen.
Sie rufen aus dem Menü "Anwender" den Punkt "Einzeln" auf (siehe Abb. 4-1). Dann wählen Sie "Neu".
Dort geben Sie nun zuerst den Nachnamen und dann den oder die Vornamen ein. Anschließend ordnen Sie den neuen Nutzer der Gruppe der Lehrer oder Schüler zu. Bei einem Schüler müssen Sie noch die Zuordnung zu einer neuen oder bestehenden Klasse vornehmen. Nun erzeugt der Server daraus eine noch nicht benutzte Anwenderkennung, die Sie bestätigen oder anpassen können. Die Kennung muss mindestens 3 Zeichen haben und darf höchstens 8 Zeichen lang sein. Außerdem generiert der Server ein Passwort, das Sie sich mit der Anwenderkennung notieren sollten.
Abbildung 4-1: Menü der
Anwenderverwaltung
Die gemachten Angaben werden zunächst vorgemerkt. Haben Sie alle Nutzer in dieser Runde angelegt, müssen Sie wie immer "AKTIVIEREN". Der Punkt ist unter "Anwender" zu finden.
Bevor Sie hier aber richtig loslegen, sollten Sie sich Kapitel 5.8 durchlesen und die dort beschriebenen Voreinstellungen für die neuen Nutzer treffen!
Wenn Sie eine ganze Klasse (Gruppe) anlegen wollen, können Sie eine einfache Textdatei (unter WINDOWS oder LINUX) erstellen, mit jeweils Nachname und Vorname durch Leerzeichen (oder Tabulator) getrennt. Die Datei muss dazu auf einer Diskette oder z.B. in Ihrem Heimatverzeichnis auf dem Server liegen.
Wenn Sie eine Diskette nutzen, müssen Sie zuerst die Diskette einklinken. Das passiert im Hauptmenü unter "Datenträger" und dort Diskette/CD-ROM einklinken. Sagen Sie nun, dass Sie keinen Schreibschutz haben wollen.
Zuerst will der Server die Klasse wissen, die er jetzt anlegen soll. Dann geben Sie den Pfad zur Datei an, z.B. "/a/kl8b.txt". Der Server liest den Anfang der Datei ein und zeigt ein mögliches Ergebnis an. Sind Sie damit einverstanden, antworten Sie mit "ja" und der Server beginnt mit seiner Arbeit. Er versucht aus den Angaben in der Datei jeweils eine Anwenderkennung zu erzeugen, die aus dem ersten Buchstaben des Nachnamens und den (möglicherweise gekürzten) Vornamen besteht, also bekommt "Frank Müller" ein "mfrank" (wenn diese Kennung noch frei ist). Der Server wandelt Umlaute zuvor um: Er wird als "Frank Mueller" im System geführt. Die Umlaute müssen dazu unter Windows erstellt sein. Umlaute unter DOS haben eine andere Kodierung und werden nicht umgesetzt - es kommt zu Fehlern.
Das Ergebnis des Einlesens der Nutzer schreibt der Server in eine Datei in das Verzeichnis, in dem auch die Ausgangsdatei stand. Wichtig: Der Datenträger muss beschreibbar sein, Disketten also nicht mit Schreibschutz versehen! Diese Datei erhält einen Namen in der Form "kl8b.out", also dem ursprünglichen Dateinamen und der Erweiterung ".out". Dieser entnehmen Sie die vergebenen Anwenderkennungen und Passworte, die Sie Ihren Schülern mitteilen müssen. Auch hier gilt: Die neuen Nutzer sind zunächst nur vorgemerkt. Sie müssen sie wie üblich noch "AKTIVIEREN", damit sie ins System eingetragen werden.
Über das Menü "Gruppe" können Sie auch am Schuljahresende die Klasse ändern, denn aus der 8b wird schließlich mal eine 9b. Alternativ können Sie eine Klassenbezeichnung aus dem Eingangs- oder Abgangsjahr der Schüler bilden, damit Sie die Bezeichnung nicht jedes Jahr ändern müssen.
Jeder Anwender bekommt zunächst einen soweit eingeschränkten Zugang zum System, dass er lediglich sein Passwort ändern kann. Damit wird Missbrauch des Zugangs weitgehend verhindert. Allerdings kann das im Zweifelsfall auch eine zu starke Einschränkung sein. Deshalb bietet der Server eine Anzahl anderer Zugangsoberflächen, sogenannter Shells.
Für Schüler zu empfehlen ist die Mini-Shell: eine einfache Menüoberfläche, mit der neben dem Ändern des Passworts auch das Lesen und Verfassen von Mails und Newsartikeln möglich ist. Außerdem bietet diese Shell einen Überblick über den Inhalt des Heimatverzeichnisses. Diese Mini-Shell können Sie natürlich auch anderen Lehrern oder Lehrerinnen zuordnen. Der Vorteil dieser Shell: Hohe Sicherheit bei einigem Komfort für den Anwender.
Daneben können Sie natürlich auch den üblichen Vollzugang zum System freigeben. Darunter leidet auf jeden Fall die Systemsicherheit. Allerdings kann ein Schüler nur so ein Linux-System wirklich kennen lernen. Wenn Sie also Linux zum Unterrichtsgegenstand machen wollen, müssen Sie den Vollzugang gewähren. Das sollte aber eher die Ausnahme bleiben.
Nur für Lehrer gibt es eine weitere Möglichkeit: Die "Fachlehrer-Shell". Damit können diese auch besondere Aufgaben wahrnehmen: Dateien in die Heimatverzeichnisse von Schülern einer Gruppe kopieren (austeilen) oder im Gegenzug wieder einsammeln. Dazu erhalten diese Lehrer erweiterte Rechte im System.
Sie können nur dann die Shell eines Anwenders ändern, wenn er bereits im System eingetragen wurde. Im Zweifelsfall also erst mal "AKTIVIEREN", wenn sie noch neue Anwender vorgemerkt haben.
Bei Lehrern müssen Sie die Shell unter "Einzeln" ändern, bei Schülern können Sie auch Gruppen eine neue Shell zuweisen, so dass ein Kurs für eine bestimmte Zeit einen Vollzugang erhalten kann.
Neben dem Zugang zum Server an der Server-Konsole oder später per Telnet (oder per SSH) kann man auch per Web-Browser einige Funktionen des Servers nutzen. So können Schüler ihr Passwort ändern, prüfen ob sie Post im Postfach haben oder eine Liste der eingetragenen Nutzer des Systems einsehen.
Einige Lehrer oder ausgewählte Schüler dürfen etwas mehr: Den Internet-Zugang über das Admin-Interface freigeben, dort EMail- und Newsaustausch auslösen, den Server-Status abfragen und vieles mehr. Dieser Teil ist das Admin-Interface (siehe Kapitel 6.1).
Um Missbrauch vorzubeugen, muss das Admin-Interface für den berechtigten Anwender freigeben werden. Das passiert unter "Anwender" --> "Einzeln" und den Punkt "Online". Dort können Sie nun einen Anwenderaus der Liste eintragen, dessen Passwort ändern oder diese Freigabe wieder löschen. Beim Neueintrag müssen Sie ein erstes Passwort festlegen, das der Nutzer selbst jederzeit über das Admin-Interface wieder ändern kann.
Das Online-Passwort ist vom System-(Unix-)Passwort unabhängig. Der Sicherheit halber sollte es nicht mit dem Unix-Passwort übereinstimmen, weil für einen geübten Hacker das Onlins-Passwort recht einfach zu knacken ist.
Sie erreichen das Online-Interface mit jedem Browser durch die Eingabe der URL http://arktur/online . Dort findet man auch den Verweis auf das Admin-Interface unter der URL http://arktur/admin.
Die Funktionen des Online- und Admin-Interfaces werden in Kapitel 6.1 erklärt.
Sie müssen noch ein paar kleine Dinge regeln, die sich aus den Gegebenheiten des Unix - Systems ableiten. Dazu zählt, dass der Server zu vielen seiner Tätigkeiten eine E-Mail erzeugt. Sie enthält Statusberichte und eventuell Fehlermeldungen oder Problembeschreibungen.
Der Server verteilt seine Mails meist nach dem "Verursacherprinzip", d.h. der Nutzer erhält die Mail, der den Prozess veranlasst hat. So gehen viele dieser Berichte an den Superuser "root". Diese Mails können Sie aber aus Sicherheitsgründen nur an der Serverkonsole lesen. Deshalb kann es günstig sein, Mails an "root" in Ihr eigenes Postfach umzuleiten. Sie brauchen dann nicht zwei Postfächer zu kontrollieren und haben vielleicht ein einfacher zu bedienendes Programm zur Verfügung.
Sie finden im Menü "Anwender verwalten" den Punkt "Alias". Hier können Sie zwischen verschiedenen Punkten wählen:
Abbildung 4-2: Aliasverwaltung
Für unser Vorhaben wählen Sie "Neu". Dort wählen Sie als Alias-Eintrag "root" aus. Dann können Sie den Nutzer bestimmen, an den die Mails gehen sollen. Hier suchen Sie nun Ihre Kennung heraus.
Analog können Sie die Mails eines Nutzers weiterleiten lassen, z.B. ihre Mails während der Ferien an den privaten Zugang zu Hause. Über den Gruppeneintrag können Sie den vorhandenen Klassen eine Listenadresse geben. Die zugehörige Liste überarbeitet der Server jeweils nachts. So müssen Sie bei gerade neu eingerichteten Klassen noch einen Tag (oder besser gesagt: eine Nacht) warten, bis Sie den Eintrag vornehmen können.
Jeder Unix-Server verwaltet die Nutzer an Hand einer Nummer, der "User Ident Number", kurz UID. Arktur verwaltet in der Menüoberfläche nur Nutzer mit einer UID zwischen 1000 und 9999. Lehrer erhalten eine UID zwischen 1000 und 1999, Schüler eine zwischen 2000 und 9999.
Wenn Sie selbst zusätzliche Nutzer verwalten wollen, legen Sie diese am besten mit einer UID zwischen 500 und 999 an. Damit vermeiden Sie Konflikte mit der serverspezifischen Nutzerverwaltung. Anderenfalls gehen ihre mühsam eingetragenen Benutzer beim Anlegen oder Löschen weiterer Zugänge wieder verloren.
Um die Arbeit mit den Benutzern etwas zu vereinfachen, legen Sie diese Nutzer am besten mit dem Tool "adduser" an. Dieses Script fragt nach allen Angaben, die erforderlich sind, um einen neuen Nutzer anzulegen. Es erzeugt auch das Heimatverzeichnis dieses Nutzers, wenn Sie dem zustimmen. Die Verfahrensweise bietet sich besonders an, um "Universalzugänge" anzulegen. Eine Ausgabe sieht dann etwa so aus:
Kontrolle der Daten -------------------- Login-Kennung : pc9 Gruppe : users Zusätzl. Gruppen: [none] Real-Name : Schuelerrechner PC9 UID-Nummer : 609 Home-Verzeichnis: /home//pc9 Shell : /usr/bin/passwd Ablaufdatum : never Passwort bleibt erhalten : 5000 Tage Passwort wechselt spätestens nach: 10000 Tagen Passwort noch gültig nach Ablauf : 14 Tage Warnen vor Passwortablauf : 14 Tage Setze Passwort für diesen Nutzer. Setze Samba-Passwort für diesen Nutzer. Alles richtig [N/y] ?
Noch ein wichtiger Tipp: Das Programm fragt unter anderem nach der Gültigkeitsdauer des Passworts. Für die Universalzugänge geben Sie eine maximale "Haltbarkeit" von 10000 Tagen an. Wenn Sie die "Mindesthaltbarkeit" des Passworts auf 5000 stellen, kann der Nutzer 5000 Tage lang sein Passwort nicht selbst ändern. Damit kann verhindert werden, dass ein Schüler einfach das Passwort für "Platz1" ändert. (Die Superuser root und sysadm dürfen das Passwort dennoch jederzeit ändern.)
Die so angelegten Nutzer werden nicht über die sysadm-Oberfläche verwaltet. Das Ändern des Passworts muss über den Eintrag "ALLES" im Passwort-Menü erfolgen. Auch das Löschen dieser Nutzer lässt sysadm nicht zu: Hier müssen Sie als root mit "userdel" arbeiten.