Vorheriger Abschnitt Inhaltsverzeichnis Nächster Abschnitt

4. Anwenderverwaltung

4.1 Worüber Sie sich zuerst Gedanken machen sollten

Eine wichtige Aufgabe des Systemverwalters ist die Verwaltung der Nutzer auf dem Server. Doch bevor Sie damit loslegen, sollten Sie sich Gedanken über die Verwaltung machen. Üblicherweise gibt es drei Gruppen von Zugängen:

Wenn Schüler das Internet gar nicht nutzen, muss ihnen der Zugriff auf die entsprechende Software verweigert werden. Unter Windows 3.1x war das kein Problem, aber bereits bei Windows 95b gehört der Internet-Explorer fast untrennbar zum Betriebssystem, unter Windows 98 ist er kaum noch zu entfernen.

Häufig wird auch gefordert, Universal-Zugänge zu haben, mit denen ein Schüler auf den Datei- und Druckserver zugreifen kann, ohne weitere Rechte zu haben. Hier werden wir im Kapitel 4.7 einen weiteren Weg zeigen.

4.2 Anlegen einzelner Lehrer- und Schülerzugänge

Sie rufen aus dem Menü "Anwender" den Punkt "Einzeln" auf (siehe Abb. 4-1). Dann wählen Sie "Neu".

Dort geben Sie nun zuerst den Nachnamen und dann den oder die Vornamen ein. Anschließend ordnen Sie den neuen Nutzer der Gruppe der Lehrer oder Schüler zu. Bei einem Schüler müssen Sie noch die Zuordnung zu einer neuen oder bestehenden  Klasse vornehmen. Nun erzeugt der Server daraus eine noch nicht benutzte Anwenderkennung, die Sie bestätigen oder anpassen können. Die Kennung muss mindestens 3 Zeichen haben und darf höchstens 8 Zeichen lang sein. Außerdem generiert der Server ein Passwort, das Sie sich mit der Anwenderkennung notieren sollten.

Menü Anwender
Abbildung 4-1: Menü der Anwenderverwaltung

Die Angaben werden zunächst vorgemerkt. Haben Sie alle Nutzer in dieser Runde angelegt, müssen Sie wie immer "AKTIVIEREN". Der Punkt ist unter "Anwender" zu finden.

Bevor Sie hier aber richtig loslegen, sollten Sie sich Kapitel 5.8 durchlesen und die dort beschriebenen Voreinstellungen für die neuen Nutzer treffen!

4.3 Anlegen von Klassen und Gruppen

Wenn Sie eine ganze Klasse (Gruppe) anlegen wollen, können Sie eine einfache Textdatei (unter WINDOWS oder LINUX) erstellen, mit jeweils Nachname und Vorname durch Leerzeichen (oder Tabulator) getrennt. Die Datei muss dazu auf einer Diskette oder z.B. in Ihrem Heimatverzeichnis auf dem Server liegen.

Wenn Sie eine Diskette nutzen, müssen Sie zuerst die Diskette einklinken. Das passiert im Hauptmenü unter "Datenträger" und dort Diskette/CD-ROM einklinken. Sagen Sie nun, dass Sie keinen Schreibschutz haben wollen.

Zuerst will der Server die Klasse wissen, die er jetzt anlegen soll. Dann geben Sie den Pfad zur Datei an, z.B. "/a/kl8b.txt". Der Server liest den Anfang der Datei ein und zeigt ein mögliches Ergebnis an. Sind Sie damit einverstanden, antworten Sie mit "ja" und der Server beginnt mit seiner Arbeit. Er versucht aus den Angaben in der Datei jeweils eine Anwenderkennung zu erzeugen, die aus dem ersten Buchstaben des Nachnamens und den (möglicherweise gekürzten) Vornamen besteht, also bekommt "Frank Müller" ein "mfrank" (wenn diese Kennung noch frei ist). Der Server wandelt Umlaute zuvor um: Er wird als "Frank Mueller" im System geführt.

Das Ergebnis des Einlesens der Nutzer schreibt der Server in eine Datei in das Verzeichnis, in dem auch die Ausgangsdatei stand. Wichtig: Der Datenträger muss beschreibbar sein, Disketten also nicht mit Schreibschutz versehen! Diese Datei erhält einen Namen in der Form "kl8b.out", also dem ursprünglichen Dateinamen und der Erweiterung ".out". Dieser entnehmen Sie die vergebenen Anwenderkennungen und Passworte, die Sie Ihren Schülern mitteilen müssen. Auch hier gilt: Die neuen Nutzer sind zunächst nur vorgemerkt. Sie müssen sie wie üblich noch "AKTIVIEREN", damit sie ins System eingetragen werden.

Über das Menü "Gruppe" können Sie auch am Schuljahresende die Klasse ändern, denn aus der 8b wird schließlich mal eine 9b. Alternativ können Sie eine Klassenbezeichnung aus dem Eingangs- oder Abgangsjahr der Schüler bilden, damit Sie die Bezeichnung nicht jedes Jahr ändern müssen.

4.4 Die Shells

Jeder Anwender bekommt zunächst einen so weit eingeschränkten Zugang zum System, dass er lediglich sein Passwort ändern kann. Damit wird Missbrauch des Zugangs weitgehend verhindert. Allerdings kann das im Zweifelsfall auch eine zu starke Einschränkung sein. Deshalb bietet der Server eine Anzahl anderer Zugangsoberflächen, sogenannter Shells.

Für Schüler zu empfehlen ist die Mini-Shell: eine einfache Menüoberfläche, mit der neben dem Ändern des Passworts auch das Lesen und Verfassen von Mails und Newsartikeln möglich ist. Außerdem bietet diese Shell einen Überblick über den Inhalt des Heimatverzeichnisses. Diese Mini-Shell können Sie natürlich auch anderen Lehrern oder Lehrerinnen zuordnen. Der Vorteil dieser Shell: hohe Sicherheit bei einigem Komfort für den Anwender.

Daneben können Sie natürlich auch den üblichen Vollzugang zum System freigeben. Darunter leidet auf jeden Fall die Systemsicherheit. Allerdings kann ein Schüler nur so ein Linux-System wirklich kennen lernen. Wenn Sie also Linux zum Unterrichtsgegenstand machen wollen, müssen Sie den Vollzugang gewähren.
Das sollte aber eher die Ausnahme bleiben.

Nur für Lehrer gibt es eine weitere Möglichkeit: Die "Fachlehrer-Shell". Damit können diese auch besondere Aufgaben wahrnehmen: Dateien in die Heimatverzeichnisse von Schülern einer Gruppe kopieren (austeilen) oder im Gegenzug wieder einsammeln. Dazu erhalten diese Lehrer erweiterte Rechte im System.

Sie können nur dann die Shell eines Anwenders ändern, wenn er bereits im System eingetragen wurde. Im Zweifelsfall also erst mal "AKTIVIEREN", wenn Sie noch neue Anwender vorgemerkt haben.

Bei Lehrern müssen Sie die Shell unter "Einzeln" ändern, bei Schülern können Sie auch Gruppen eine neue Shell zuweisen, so dass ein Kurs für eine bestimmte Zeit einen Vollzugang erhalten kann.

4.5 Freigeben des Betreuer-Menus

Neben dem Zugang zum Server an der Server-Konsole oder später per Telnet (oder per SSH) kann man auch per Web-Browser einige Funktionen des Servers nutzen. So können Schüler ihr Passwort ändern, prüfen ob sie Post im Postfach haben oder eine Liste der eingetragenen Nutzer des Systems einsehen.

Einige Lehrer oder ausgewählte Schüler dürfen etwas mehr: den Internet-Zugang über das Betreuer-Menu freigeben, dort E-Mail- und Newsaustausch auslösen, den Server-Status abfragen und vieles mehr. Dieser Teil ist das Betreuer-Menu (siehe Kapitel 6.1).

Um Missbrauch vorzubeugen, muss das Betreuer-Menu für den berechtigten Anwender freigeben werden. Das passiert unter "Anwender" --> "Einzeln" und dem Punkt "Betreuer". Dort können Sie nun einen Anwender aus der Liste eintragen, dessen Passwort ändern oder diese Freigabe wieder löschen.

Sie erreichen das Nutzermenu mit jedem Browser durch die Eingabe der URL http://192.168.0.1/nutzer . Dort finden Sie auch den Verweis auf das Betreuer-Menu unter dem URL http://192.168.0.1/admin.

Die Funktionen des Nutzermenus und des Betreuer-Menus werden in Kapitel 6.1 erklärt.

4.6 Mail-Aliasnamen

Sie müssen noch ein paar kleine Dinge regeln, die sich aus den Gegebenheiten des Unix-Systems ableiten. Dazu zählt, dass der Server zu vielen seiner Tätigkeiten eine E-Mail erzeugt. Sie enthält Statusberichte und eventuell Fehlermeldungen oder Problembeschreibungen.

Der Server verteilt seine Mails meist nach dem "Verursacherprinzip", d.h. derjenige Nutzer erhält die Mail, der den Prozess veranlasst hat. So gehen viele dieser Berichte an den Superuser "root". Diese Mail können Sie aber aus Sicherheitsgründen nur an der Serverkonsole lesen. Deshalb  kann es günstig sein, Mail an "root" in Ihr eigenes Postfach umzuleiten. Sie brauchen dann nicht zwei Postfächer zu kontrollieren und haben vielleicht ein einfacher zu bedienendes Programm zur Verfügung.

Sie finden im Menü "Anwender verwalten" den Punkt "Alias". Hier können Sie zwischen verschiedenen Punkten wählen:

Aliasverwaltung
Abbildung 4-2: Aliasverwaltung

Für unser Vorhaben wählen Sie "Neu". Dort wählen Sie als Alias-Eintrag "root" aus. Dann können Sie den Nutzer bestimmen, an den die Mail gehen soll. Hier suchen Sie nun Ihre Kennung heraus.

Analog können Sie die Mail eines Nutzers weiterleiten lassen, z.B. Ihre Mail während der Ferien an den privaten Zugang zu Hause. Über den Gruppeneintrag können Sie den vorhandenen Klassen eine Listenadresse geben. Die zugehörige Liste überarbeitet der Server jeweils nachts. So müssen Sie bei gerade neu eingerichteten Klassen noch einen Tag (oder besser gesagt: eine Nacht) warten, bis Sie den Eintrag vornehmen können.

4.7 Anlegen anderer Nutzer

Jeder Unix-Server verwaltet die Nutzer an Hand einer Nummer, der "User Ident Number", kurz UID. Arktur verwaltet in der Menüoberfläche nur Nutzer mit einer UID zwischen 1000 und 9999. Lehrer erhalten eine UID zwischen 1000 und 1999, Schüler eine zwischen 2000 und 9999.

Wenn Sie selbst zusätzliche Nutzer verwalten wollen, legen Sie diese am besten mit einer UID zwischen 500 und 999 an. Damit vermeiden Sie Konflikte mit der serverspezifischen Nutzerverwaltung. Anderenfalls gehen Ihre mühsam eingetragenen Benutzer beim Anlegen oder Löschen weiterer Zugänge wieder verloren.

Zum Anlegen benutzen Sie (als "root") den Linux-Befehl "useradd"; die Parameter für diesen Befehl erfahren Sie per

	useradd
oder
	pinfo useradd

Noch ein wichtiger Tipp: Das Programm fragt unter anderem nach der Gültigkeitsdauer des Passworts. Für die Universalzugänge geben Sie eine maximale "Haltbarkeit" von 10000 Tagen an. Wenn Sie die "Mindesthaltbarkeit" des Passworts auf 5000 stellen, kann der Nutzer 5000 Tage lang sein Passwort nicht selbst ändern. Damit kann verhindert werden, dass ein Schüler einfach das Passwort für "Platz1" ändert. (Die Superuser root und sysadm dürfen das Passwort dennoch jederzeit ändern.)

Die so angelegten Nutzer werden nicht über die sysadm-Oberfläche verwaltet. Das Ändern des Passworts muss über den Eintrag "ALLES" im Passwort-Menü erfolgen.
Dazu müssen Sie diese Benutzer in der Datei "/etc/Schule/SysPass" vermerken.
Auch das Löschen dieser Nutzer lässt sysadm nicht zu: Hier müssen Sie als root mit "userdel" arbeiten.

4.8 Besondere Nutzer

Bei "Arktur" sind einige besondere Benutzer bereits vor-eingerichtet. Alle diese Nutzer (mit Ausnahme von "sysadm") haben ab Erst-Installation kein gültiges Passwort; "sysadm" kann ihnen (im Menu "Anwender/einzeln/Passwort/Alles") ein Start-Passwort geben.
Vorheriger Abschnitt Inhaltsverzeichnis Nächster Abschnitt
© Reiner Klaproth, 24.02.2002
Diese Seite dokumentiert den c't/ODS-Schulserver, insbesondere die Dateien in den Verzeichnissen "/slack/ods1" und "slack/ods9" auf der Installations-CD (oder der zugehörigen *.iso-Datei).
Die o.g. Dateien stehen unter der GNU Public License GPLv2, dementsprechend steht auch diese Dokumentation unter der GPL.
© Arktur-Team 2004,2005,2006,2007,2008,2009,2010,2011