Die Heft-CD enthält die neueste Version von Open School Server, einer SLES-basierten All-in-one-Lösung für Schulen, kleine Unternehmen und alle, die schnell einen Mail- oder Groupware-Server aufsetzen möchten. Dieser Artikel erklärt das Wie und Warum.

Das Linux-Magazin kommt nur gelegentlich mit einem Datenträger an die Kioske. Wenn dieser Fall eintritt, dann muss es etwas Besonderes sein – so auch diesmal: Die Redaktion präsentiert exklusiv den Open School Server (OSS) der Firma Extis [1]. Die Software trägt die Versionsnummer 2.0.5 und ist zurzeit nur auf dieser Linux-Magazin-CD zu erhalten. Der OSS arbeitet als universeller zentraler File- und Authentifikationsserver und erledigt die Aufgaben des Mailservers, eines Internetproxy und eines Groupware-Servers [2].

Nicht nur für Schulen

Zwar hat Extis das Produkt für Schulen konzipiert, es eignet sich aber genauso gut für den Einsatz in kleinen und mittleren Unternehmen. Der Admin braucht nur Begriffe umzudeuten: aus Schüler wird dann Mitarbeiter, eine Klasse ist auch als Arbeitsgruppe oder Abteilung aufzufassen. Da das gesamte Produkt auf Open-Source-Komponenten beruht, ist es leicht, diese Begriffe an die lokalen Gegebenheiten anzupassen.

Installation mit Yast

Die Installation des OSS lehnt sich eng an die Installation des Suse Linux Enterprise Server 9 an. Nach dem Systemstart über CD und der Auswahl der Sprache erscheint bereits der Übersichtsbildschirm von Yast. Er führt durch die wichtigen Installationsschritte Software-Auswahl, Systemstart und Partitionierung. Da der OSS als Serversystem konzipiert ist, nimmt er bei einer Standardinstallation sämtliche Festplatten im Rechner für sich in Anspruch. Die Verzeichnisse »/var« und »/home« legt er auf separate Partitionen. Findet der Installer zwei Festplatten, richtet er »/home« auf der zweiten ein.

Wer den Schulserver neben einem bestehenden System installiert will, muss manuell partitionieren. Die Partitionen »/var« und »/home« benötigen dazu die Mount-Optionen »defaults«,»acl« und »usrquota«. Die aktuelle Version des OSS kann auch einzelnen Gruppen Festplatten-Quotas zuteilen. Dazu muss »/home/groups« auf einer separaten Partition liegen und mit den Optionen »acl,grpquota« eingehängt werden.

Findet der OSS diese Konstellation vor, lassen sich die Festplatten-Quotas bequem über das Webfrontend einrichten. Als Dateisystem benutzt der aktuelle Schulserver Ext 3, da es bei Reiser-FS im Zusammenspiel mit den Quotas zu mehreren Problemen kam.

Nach der Installation des Grundsystems findet in vier Schritten das Setup des Schulservers statt.

Netzwerk einrichten

Eine der zentralen Aufgaben des Schulservers besteht in der Internetanbindung. Der OSS-Rechner sollte deshalb zwei Netzwerk-Interfaces besitzen. Die Installation ist auch mit einer Netzwerkkarte möglich, der OSS arbeitet dann allerdings nur als Intranetserver.

Im ersten Dialog sammelt der Installer Informationen zum Domainnamen der Schule und zum Netzwerk (siehe Abbildung 1). Dazu stellt Yast Werte für die Netze »10.0.0.0/8«, »172.16.0.0/16« und »192.168.0.0/16« bereit. Wichtig sind hier die Optionen für »Anon_DHCP-Bereich« und »Anzahl der Schulräume«. Sie dienen dem DHCP-Server als Richtwert beim Austeilen der IP-Adressen. Der Anon-Bereich legt fest, welche IP-Adressen der Schulserver an nicht registrierte Rechner vergibt.

Abbildung 1: Im ersten Dialog richtet der Schulserver Domainname, Netzwerk und DHCP-Server für das System ein.

Um dem DHCP-Server die Arbeit so einfach wie möglich zu machen, ist die Anzahl der Schulräume mit 32 festgelegt. In deutlich kleineren Umgebungen passen hier aber auch Werte von zwölf oder weniger. Die Angabe der Domäne ist auch bei Installationen ohne direkte Internetanbindung obligatorisch.

Im nächsten Dialog richtet der OSS den Zugang zum Internet ein (Abbildung 2). Verfügt der Rechner über zwei Netzwerkkarten, ist »Über Transportnetz« die richtige Wahl. Der Server startet für dieses Interface dann automatisch eine Firewall. Bei dieser Variante ist es wichtig, im folgenden Dialog die Netzwerkmaske richtig zu setzen. Der OSS akzeptiert die Einstellungen sonst nicht. Ein Klick auf »Keine Internetverbindung« richtet den Server nur mit einem Interface ein.

Abbildung 2: Für die Internetanbindung lässt sich ein beliebiges zweites Netzwerkgerät einsetzen.

Individuelles Setup

In den folgenden zwei Dialogen richtet Yast eine Certificate Authority mit einem Standardzertifikat ein und setzt den LDAP-Server auf. Änderungen an den Standardwerten sind nicht empfohlen. Dann legt der Administrator die einzelnen Klassen und Jahrgänge an (Abbildung 3). Der OSS kombiniert diese Angaben automatisch und legt aus möglichen Kombinationen Gruppen, Verzeichnisse und Mail-Aliase an. Ein Minuszeichen vor dem Jahrgang verhindert das Anlegen von Parallelklassen.

Abbildung 3: Yast erstellt aus den Schul- und Parallelklassen automatisch Gruppen, Verzeichnisse und Aliase.

Im unteren Teil des Dialogs fragt Yast die grundlegenden Werte des Samba-Servers ab: den Namen der Arbeitsgruppe und den Netbios-Namen des Schulservers. Soll der OSS nicht als Schulserver, sondern als kleiner Firmenserver arbeiten, lassen sich statt der Schulklassen auch andere Werte eintragen. Das Feld »Parallelklassen« kann dabei leer bleiben. Um den externen Mailverkehr für alle Benutzer freizuschalten, darf die Option »Das Versenden von externen Mails für Schüler verbieten« nicht aktiviert sein.

Sprache und Groupware

Mit Rücksicht auf die Vielsprachigkeit der heutigen Schulen, bietet der OSS im nächsten Schritt Spracherweiterungen für die Admin-Oberfläche an. Neben Deutsch und Englisch stehen Spanisch, Italienisch, Tschechisch, Rumänisch und Ungarisch zur Auswahl, wobei einige Übersetzungen nicht komplett sind. Jeder Benutzer kann die Sprache individuell einstellen.

Im letzten Dialog wählt der Administrator die Groupware-Komponente aus. Der Schulserver benutzt Open Xchange [4] in der Version 0.8 als Standard. Open Xchange ist in Java geschrieben und bietet neben den Grundfunktionen Kalender, Mail und Adressbuch auch ein Forum, ein Wiki, ein Trouble-Ticket-System sowie eine Projektplanung. Zusätzlich enthält es ein Dokumenten- und Aufgaben-Management.

Alternativ steht E-Groupware [3] zur Wahl. Die auf PHP 4 basierende Weboberfläche bietet die gleichen Funktionen wie Open Xchange, jedoch ohne Dokumenten- und Aufgabenmanagement. Der Admin muss sich bei der Installation des Servers für eine der beiden Groupware-Umgebungen entscheiden. Ein späterer Wechsel ist nicht möglich.

Als neues Feature lässt sich für Windows-Arbeitsplatzrechner erstmals ein Single-Singn-on-Login einrichten. Seine Benutzer erhalten dann nach der Anmeldung ohne weitere Authentifizierung Zugriff auf Internet, Weboberfläche und E-Mail. In der Grundeinstellung ist diese Funktion jedoch deaktiviert.

Nach knapp 20 Minuten ist der OSS auf einem Athlon-Rechner mit 1,4 GHz und 265 MByte Hauptspeicher installiert und einsatzbereit. Die Versionen der wichtigsten Softwarepakete zeigt Tabelle 1.

Administration im Browser

Nach der Installation zeigt der Schulserver den Login-Manager KDM an, über den sich der Administrator mit dem Account »admin« anmeldet. Auf dem Desktop begrüßt KDE den Administrator (siehe Abbildung 4). Sämtliche Einstellungen am Schulserver nimmt der Benutzer »admin« über das Webinterface des OSS vor. Eingriffe als Root sind in der Regel nicht nötig.

Abbildung 4: Nach rund 30 Minuten Installation begrüßt die Linux-Magazin-Ausgabe des Open School Server den Administrator mit einer hübschen KDE-Oberfläche.

Da sich der OSS anfangs einigelt, besteht die erste Aufgabe des Administrators darin, für SSH den Port 22 zu öffnen. Auch die Weboberflächen lassen sich für den externen Zugriff freischalten. Dazu startet er über den KDE-Desktop das Admin-Interface und erlaubt unter »Sicherheit« | »Externer Zugriff« den Zugriff auf die Groupware-Oberfläche und beziehungsweiseoder den Zugriff auf die Administrationsoberfläche.

Die Admin-Oberfläche des OSS ist über Port 444, die der Groupware über Port 443 auch von externen Rechnern erreichbar. Intern öffnen die Benutzer die beiden Oberflächen über »https://admin« respektive »https://schulserver«. Damit auch der Mailserver ordnungsgemäß arbeitet, ist an gleicher Stelle die Option »SMTP-Port öffnen« zu aktivieren.

Die Hauptaufgabe des Schulservers besteht darin, den Internet- und Mailzugang zu regeln. Dazu legt der Admin über »Rechner/Domänen | Rechnerverwaltung« einzelne PC-Räume an und ordnet diesen Client-Maschinen zu. Das System erstellt dann einen LDAP-Eintrag für die Objektklasse »SchoolRoom«, die der DHCP-Server beim Austeilen der IP-Adressen berücksichtigt. Am einfachsten funktioniert das Registrieren von Arbeitsrechnern, wenn sich der Administrator auf dem Client selbst einloggt. Der Schulserver ermittelt dann automatisch die MAC-Adresse des Rechners. Alternativ gibt der Admin die MAC-Adressen von Hand ein. Auch diese Konfigurationsdaten speichert der OSS in der zentralen LDAP-Datenbank.

Registrierten Rechnern erteilt der Schulserver den Namen »Schulraum-pcxx. Domainname«, es besteht aber auch die Möglichkeit individueller Rechnernamen. Für Lehrer-Rechner steht eine Checkbox bereit, um sie von möglichen Zugangsbeschränkungen für den Raum auszuschließen. Für die Schulräume bestimmt anschließend der Administrator unter »Sicherheit | Zugangsrechte«, ob den Clients der direkte Internetzugang, der Zugang über den Proxyserver sowie E-Mail und Drucken erlaubt sind.

Eine Checkbox verhindert, dass sich Lehrer aus Versehen selbst aussperren. Unter »Benutzer | Bearbeiten« lässt sich der Internetzugang auch auf Benutzerebene einschränken – von den einzelnen PC-Räumen unabhängig.

Kindersicherung

Bei Klassenarbeiten ist der Internet- und Mailzugang oft nicht erwünscht. Damit nicht jeder Lehrer vor der Stunde die aktuellen Einstellungen überprüfen muss, bietet der OSS einen Zugangszeitplan an, um zum Beispiel den Mailverkehr für eine Stunde zu blockieren oder den direkten Internetzugang für 45 Minuten freizuschalten, falls die Lektion gerade das Thema Chat behandelt.

Um die Schüler vor schädlichen Inhalten aus dem Internet zu schützen, läuft neben dem Squid-Proxyserver auch Squidguard. Es überprüft URLs auf Grundlage von Stichwörtern und einer Blacklist nach pornografischen und rechtsradikalen Inhalten, wie dies für Schulen in manchen Ländern bereits gesetzlich vorgeschrieben ist. Der OSS bietet hier überdurchschnittlich guten Schutz, da bei der Zusammenstellung der Liste auch rund 150 Testschulen der Version 1.0 im In- und Ausland mithalfen.

Neben weiteren Möglichkeiten bietet die Administrationsoberfläche des OSS auch eine Systemstatistik, die die Auslastung des Servers grafisch darstellt, sowie eine Dienstüberwachung, um die zentralen Dienste wie Cups, LDAP, Samba, Postfix und Squid auch von einem entfernten Rechner neu zu starten.

Benutzerverwaltung

Eine weitere wichtige Aufgabe des OSS ist die Verwaltung der Schüler- und Lehrer-Accounts. Damit nicht alle Benutzer von Hand angelegt werden müssen, bietet der Schulserver unter »Benutzer | Benutzer importieren« eine Importfunktion über CVS-Dateien an. Die Datei enthält für jeden Schüler mindestens den Vor- und Nachnamen, Geburtsdatum und Klasse, da der OSS Benutzer nach diesen Daten authentifiziert.

Aus den ersten vier Buchstaben des Vor- und Nachnamens generiert der OSS den Login. Beim Einlesen der CVS-Datei erstellt das System auch automatisch für jeden Benutzer ein Passwort und speichert es im Homeverzeichnis des Systemadministrators. Benutzt die Schule eines der Schulverwaltungsprogramme Winsv, Sibank oder Schild-NRW, kann der Admin auch einen Direktimport durchführen.

Sobald ein Schuljahr beginnt, lässt der Administrator den OSS die Liste der Schüler erneut einlesen. Bei allen Schülern, die dem Server bereits bekannt sind, befördert er die Schüler automatisch in die neue Klasse. Fehlt ein Name in der neuen CVS-Datei, geht der Server davon aus, dass der Betroffene die Schule verlassen hat. Das System legt daraufhin eine Sicherungskopie der E-Mails und persönlichen Daten an und löscht den Schüler anschließend aus der LDAP-Datenbank. Auch für Lehrer besteht eine entsprechende Importfunktion.

Der OSS führt für Schüler wie Lehrer Mail- und Festplatten-Quotas. Bei Schülern beträgt die Mailquota 5 MByte, in ihrem Homeverzeichnis dürfen sie 50 MByte an Dateien anlegen. Für Lehrer ist die Mailquota standardmäßig auf 50 MByte und die Festplatten-Quota auf 250 MByte gesetzt.

Client-Anbindung

Jeder Rechner des Schulnetzes bekommt zunächst eine IP-Adresse aus dem Anon-Bereich des DHCP-Servers und einen neutralen Rechnernamen, zum Beispiel »dhcp25«. Erst nachdem der Admin den Rechner über das Webinterface einem Schulraum zugeordnet hat, erhält der PC seinen definitiven Namen. Damit der OSS seine Dienste voll wahrnehmen kann, müssen Linux-Rechner als NFS- und LDAP-Clients ins System eingebunden sein. Die Schüler finden dann eine einheitliche Desktop-Oberfläche vor, die bereits Links auf die Admin- und die Groupware-Oberfläche enthält. Die Windows-Rechner treten der eingerichteten Samba-Domäne bei, wobei dies nur bei Windows 98, 2000 und XP Professional möglich ist.

Für Suse-Linux-Clients kann der OSS auch die Aufgabe eines Installationsservers übernehmen. 32- und 64-Bit-Arbeitsplatzrechner lassen sich dann ohne manuelle Eingriffe vollautomatisch installieren. Dazu kopiert der Administrator auf dem Server sämtliche RPM-Pakete der Suse-Linux-CDs ins Verzeichnis »/srv/tftp/akt/CD1« bis »CD5«. Der Client startet dann die Installation entweder über eine PXE-fähige Netzwerkkarte oder über eine spezielle Boot-CD. Ein rund 70 MByte großes ISO-Image dieser Boot-CD für Suse Linux 10.0 steht unter [5] zum Download bereit.

Skalierung

Bei der derzeit größten Installation bedient ein einziger Schulserver auf einem 1-GHz-Xeon-Rechner mit 4 GByte Hauptspeicher rund 300 PCs, 1500 Schüler und 120 Lehrkräfte. Ist die Rechenleistung des Hauptservers zu gering, lassen sich beinahe alle Dienste mit Ausnahme des Proxyservers auf separate Rechner auslagern. Am einfachsten funktioniert dies beim Installations- und beim Printserver – Aufgaben für die sich ein beliebiger Linux-Rechner eignet.

Auch Web- und Mailserver sind mit relativ geringem Aufwand auf einem zweiten Server einzurichten und von dort zu starten. Um zum Beispiel den Mailserver auf einen externen Rechner zu verlagern, registriert der Administrator einen neuen Rechner und vergibt diesem als Alias »mailserver«.

Schwieriger wird die Aufgabe beim Samba- und beim LDAP-Server. Hier bieten die Entwickler von Extis Schulungen und Support, um zum Beispiel in Institutionen mit mehreren Niederlassungen die Benutzerverwaltung auf einem zentralen LDAP-Server einzurichten.

Umfangreiche Onlinehilfe

Der Open School Server 2.0.5 bietet vielen Schulen sowie kleinen Organisationen und Firmen ein schnell installiertes, leicht zu administrierendes System mit zahlreichen Features und einer übersichtlichen Weboberfläche.

Als Pluspunkt sei noch erwähnt, dass die Administrationsoberfläche über eine ausführliche Onlinehilfe verfügt. Diese ist bei dem großen Funktionsumfang des OSS auch oft notwendig, da sich viele Parameter – etwa die des DHCP-Servers – nicht über die gewohnten Konfigurationsdateien einstellen lassen, sondern nur im zentralen LDAP-Server. Einige Dokumentationen im PDF-Format finden sich auch unter [6].