Viele Lehrkräfte meiden Linux, da sie zum Erlernen des Betriebssystems nochmals die Schulbank drücken müssten. Hier setzt der Open School Server an, er kombiniert die Sicherheit und Stabilität von Linux mit einer benutzerfreundlichen Weboberfläche.
Schulen neigen aus Angst vor Spam und Viren dazu, das Internet zu meiden. Diese Angst will ihnen die deutsche Firma Extis mit einem Stand-alone-Linux für Schulen nehmen: Open School Server (OSS,[1]) kombiniert ein auf dem Suse Linux Enterprise Server 9 (SLES 9) basierendes Grundsystem mit einer grafischen Administrationsoberfläche und einer Groupware-Komponente.
Der Open School Server nimmt nach einer Standardinstallation unter anderem folgende Aufgaben für Windows- und Linux-Clients wahr:
- Fileserver
- Mailserver
- Authentikationsserver
- Internet-Proxy
- Groupware-Server mit Webinterface
- Firewall
Die für Mai 2005 geplante Release der Version 2.0 unterstützt 32-Bit-Rechner von Intel und AMD. Betaversionen stehen unter[2] zum freien Download zur Verfügung. Extis verkauft den OSS als Boxenprodukt in einer DVD-Hülle. Der Preis von 400 Euro beinhaltet nebst Installationsmedium und Handbuch ein Jahr Maintenance für OSS und SLES 9 sowie technischen Support per E-Mail. Die Software ist zurzeit nur für akademische Institute verfügbar. Eine Version ohne SLES 9, die jedermann erwerben kann, ist in Planung.
Installation
Die Installation des Schulservers unterscheidet sich nur wenig von jener des SLES 9. Nach dem Systemstart über CD und der Auswahl der Sprache erscheint der Übersichtsbildschirm von Yast. Er bietet Zugriff auf die wichtigsten Installationsoptionen wie Software-Auswahl, Systemstart und Partitionierung.
Bei der Standardinstallation nimmt der Schulserver die ganze Festplatte für sich in Anspruch. Die Verzeichnisse »/var« und »/home« legt er auf separate Partitionen. Findet der Installer zwei Festplatten, richtet er »/home« auf der zweiten ein. Wer den Open School Server neben einem bestehenden System installiert will, muss manuell partitionieren. Die Partitionen »/var« und »/home« benötigen dazu die Mount-Optionen »defaults« und »usrquota«.
Eine der zentralen Aufgaben des Schulservers besteht in der Internetanbindung. Der OSS-Rechner sollte deshalb zwei Netzwerk-Interfaces besitzen. Die Installation ist auch mit einer Netzwerkkarte möglich, der OSS arbeitet dann allerdings nur als Intranetserver.
Schulnetz einrichten
Nach der Installation des Grundsystems findet in vier Schritten das Setup des Schulservers statt. Im ersten Dialog sammelt der Installer Informationen zum Domainnamen der Schule und zum Netzwerk (Abbildung 1). Dazu stellt Yast Werte für die Netze »10.0.0/8«, »172.16 .0.0/16« und »192.168.0.0/16« bereit. Wichtig sind hier die Optionen für »Anon_DHCP-Bereich« und »Anzahl der Schulräume«. Sie dienen dem DHCP-Server als Richtwert beim Austeilen der IP-Adressen. Der Anon-Bereich legt fest, welche IP-Adressen der Schulserver an nicht registrierte Rechner vergibt.
Im nächsten Dialog (Abbildung 2) legt der Administrator die einzelnen Klassen und Jahrgänge an. Der Schulserver kombiniert die hier gemachten Angaben automatisch und legt aus den möglichen Kombinationen Gruppen, Verzeichnisse und Mail-Aliase an. Ein Minuszeichen vor dem Jahrgang verhindert das Anlegen von Parallelklassen. Im unteren Teil des Dialogs fragt Yast die grundlegenden Werte des Samba-Servers ab: den Namen der Arbeitsgruppe und den Netbios-Namen des Schulservers.
|
Tabelle 1: |
|
|---|---|
|
Komponente |
Version |
|
Kernel |
2.6.5-7.135 |
|
OpenLDAP |
2.2.6 |
|
MySQL |
4.0.18 |
|
Samba |
3.0.9 |
|
PHP |
4.3.4 |
|
KDE |
3.2.1 |
|
E-Groupware |
1.0.006 |
|
Open Xchange |
0.7.5 |
|
Java |
1.4.2 |
Auswahlmöglichkeiten
Um der Vielsprachigkeit der heutigen Schulen Rechnung zu tragen, bietet der OSS im nächsten Schritt Spracherweiterungen für die Admin-Oberfläche an. Neben Deutsch und Englisch stehen Spanisch, Italienisch, Tschechisch, Rumänisch und Ungarisch zur Auswahl, wobei einige Übersetzungen nicht komplett sind. Jeder Benutzer kann die Sprache individuell einstellen.
Im letzten Dialog wählt der Administrator die Groupware-Komponente aus. E-Groupware[3] löst hier im OSS 2.0 PHP-Groupware als Standardlösung ab. Die auf PHP 4 basierende Weboberfläche bietet neben Kalender-, Mail- und Adressbuchfunktionen auch ein Forum, ein Wiki, ein Trouble-Ticket-System sowie eine Projektplanung. Im Test traten keine Überraschungen auf. Lediglich der erste Login in Konqueror dauerte mit rund 3 Minuten unangenehm lange. Verantwortlich dafür ist ein Bug in Konqueror bei der IPv6-Abfrage.
Als Alternative zu E-Groupware steht in der Beta 5 Open Xchange[4] in der Version 0.7.5 zur Wahl. Open Xchange ist in Java geschrieben und bietet außer dem Wiki und dem Trouble-Ticket-System Features wie die PHP-Lösung. Zusätzlich beinhaltet es ein Dokumenten- und Aufgaben-Management. Zurzeit arbeiten die OSS-Entwickler an der Implementation der Release 0.8 von OX.
Der Administrator muss sich bei der Installation des Servers für eine der beiden Groupware-Umgebungen entscheiden. Ein späterer Wechsel ist nicht möglich. Nach knapp 20 Minuten ist der OSS auf einem Athlon-Rechner mit 1,4 GHz und 265 MByte Hauptspeicher installiert und einsatzbereit. Die Versionsnummern der wichtigsten Softwarepakete zeigt die Tabelle “Komponenten”.
Abbildung 1: In einem ersten Dialog richtet der Schulserver mit Yast-Hilfe Domainname, Netzwerk und DHCP-Server ein.
Abbildung 2: Yast erstellt aus den Schul- und Parallelklassen automatisch Gruppen, Verzeichnisse und Aliase.
Administration im Browser
Nach der Installation zeigt der Schulserver den Login-Manager KDM an, über den sich der Administrator mit dem Account »admin« anmeldet. Sämtliche Einstellungen am Schulserver nimmt der Benutzer »admin« über das Webinterface des OSS vor. Eingriffe als Root sind in der Regel nicht nötig.
Da sich der OSS anfangs einigelt, besteht die erste Aufgabe des Administrators darin, für SSH den Port 22 zu öffnen. Auch die Weboberflächen lassen sich für den externen Zugriff freischalten. Dazu startet man über den KDE-Desktop das Admin-Interface und erlaubt unter »Sicherheit« | »Externer Zugriff« den Zugriff auf die Groupware-Oberfläche und/oder den Zugriff auf die Administrationsoberfläche. Die Admin-Oberfläche des OSS ist über Port 444, die Groupware-Oberfläche über Port 443 auch von externen Rechnern erreichbar. Intern öffnen die Benutzer die beiden Oberflächen über »https://admin« respektive »https:// schulserver«. Damit auch der Mailserver ordnungsgemäß arbeitet, ist an gleicher Stelle die Option »SMTP-Port öffnen« zu aktivieren.
Die Hauptaufgabe des Schulservers besteht darin, den Internet- und Mailzugang zu regeln. Dazu legt der Admin über »Rechner/Domänen« | »Rechnerverwaltung« einzelne PC-Räume an und ordnet diesen Client-Maschinen zu. Das System erstellt dann einen LDAP-Eintrag für die Objektklasse »SchoolRoom«, die der DHCP-Server beim Austeilen der IP-Adressen berücksichtigt.
Am einfachsten funktioniert das Registrieren von Arbeitsrechnern, wenn sich der Administrator auf dem Client selbst einloggt. Der Schulserver ermittelt dann automatisch die MAC-Adresse des Rechners (siehe Abbildung 3). Alternativ gibt der Admin die MAC-Adressen von Hand ein. Auch diese Konfigurationsdaten speichert der OSS in der zentralen LDAP-Datenbank.
Registrierten Rechnern erteilt der Schulserver den Namen » Schulraum-pc xx. Domainname«, es besteht jedoch auch die Möglichkeit individueller Rechnernamen. Für Lehrerrechner steht eine Checkbox bereit, um den Rechner von möglichen Zugangsbeschränkungen des Raums auszuschließen. Für die angelegten Schulräume bestimmt anschließend der Administrator unter »Sicherheit« | »Zugangsrechte«, ob den Clients der direkte Internetzugang, der Zugang über den Proxyserver sowie E-Mail und Drucken erlaubt sind.
Eine Checkbox verhindert, dass sich Lehrer aus Versehen selbst aussperren. Unter »Benutzer« | »Bearbeiten« lässt sich der Internetzugang auch auf Benutzerebene einschränken – von den einzelnen PC-Räumen unabhängig.
Schutzmaßnahmen
Bei Klassenarbeiten ist der Internet- und Mailzugang oft nicht erwünscht. Damit nicht jeder Lehrer vor der Stunde die aktuellen Einstellungen überprüfen muss, bietet der OSS einen Zugangszeitplan an, um zum Beispiel den Mailverkehr für eine Stunde zu blockieren oder den direkten Internetzugang für 45 Minuten freizuschalten, falls die Lektion gerade das Thema Chat behandelt.
Um die Schüler vor schädlichen Inhalten aus dem Internet zu schützen, läuft neben dem Squid-Proxyserver auch Squidguard. Es überprüft URLs auf der Grundlage von Stichworten und einer Blacklist nach pornografischen und rechtsradikalen Inhalten, wie dies für Schulen in manchen Ländern bereits gesetzlich vorgeschrieben ist. Der OSS bietet hier überdurchschnittlich guten Schutz, da bei der Zusammenstellung der Liste auch rund 150 Testschulen der Version 1.0 im In- und Ausland mithalfen.
Neben weiteren Möglichkeiten bietet die Administrationsoberfläche des OSS auch eine Systemstatistik, die die Auslastung des Servers grafisch darstellt, sowie eine Dienstüberwachung, um die zentralen Dienste wie Cups, LDAP, Samba, Postfix und Squid auch von einem entfernten Rechner neu zu starten.
Benutzerverwaltung
Eine weitere wichtige Aufgabe des OSS ist die Verwaltung der Schüler- und Lehrer-Accounts. Damit nicht alle Benutzer von Hand angelegt werden müssen, bietet der Schulserver unter »Benutzer« | »Benutzer importieren« eine Importfunktion über CVS-Dateien an. Die Datei enthält für jeden Schüler mindestens den Vor- und Nachnamen, Geburtsdatum und Klasse, da der OSS Benutzer nach diesen Daten autentifiziert. Sie muss im UTF-8-Format vorliegen.
Den Login generiert der OSS aus den ersten vier Buchstaben des Vor- und Nachnamens automatisch. Beim Einlesen der CVS-Datei erstellt das System auch automatisch für jeden Benutzer ein Passwort und speichert es im Homeverzeichnis des Systemadministrators. Das genaue Dateiformat der Importdatei wird in der Dokumentation ausführlich beschrieben.
Abbildung 3: Am einfachsten funktioniert das Hinzufügen neuer Rechner auf dem Client selbst.
Benutzt die Schule eines der Schulverwaltungsprogramme Winsv, Sibank oder Schild-NRW, kann der Admin auch einen Direktimport durchführen. Dazu wählt er unter »Hilfsmittel« | »Globale Konfiguration« den gewünschten Eintrag für »ImportFileFormat« aus.
Sobald ein Schuljahr beginnt, lässt der Administrator den OSS die Liste der Schüler erneut einlesen. Bei allen Schülern, die dem Schulserver bereits bekannt sind, befördert der OSS die Studierenden automatisch in die neue Klasse. Fehlt ein Name in der neuen CVS-Datei, geht der Server davon aus, dass der Betroffene die Schule verlassen hat. Das System legt daraufhin eine Sicherungskopie der E-Mails und persönlichen Daten an und löscht den Schüler anschließend aus der LDAP-Datenbank. Auch für Lehrer besteht eine entsprechende Importfunktion. E
Abbildung 4: Der Schulserver bietet zahlreiche Möglichkeiten, um den Netzwerkverkehr zu regeln.
Der OSS führt für Schüler wie Lehrer Mail- und Festplatten-Quotas. Bei Schülern beträgt die Mailquota 5 MByte, in ihrem Homeverzeichnis dürfen sie 50 MByte an Dateien anlegen. Für Lehrer ist die Mailquota standardmäßig auf 50 MByte und die Festplatten-Quota auf 250 MByte gesetzt.
Client-Anbindung
Jeder Rechner des Schulnetzes bekommt zunächst eine IP-Adresse aus dem Anon-Bereich des DHCP-Servers und einen neutralen Rechnernamen, zum Beispiel »dhcp25«. Erst nachdem der Admin den Rechner über das Webinterface einem Schulraum zugeordnet hat, erhält der PC seinen definitiven Namen.
Damit der OSS seine Dienste voll wahrnehmen kann, müssen Linux-Rechner als NFS- und LDAP-Clients ins System eingebunden sein. Die Schüler finden dann eine einheitliche Desktop-Oberfläche vor, die bereits Links auf die Admin- und die Groupware-Oberfläche enthält. Windows-Rechner treten der eingerichteten Samba-Domäne bei, wobei dies nur bei Windows 98, 2000 und XP Professional möglich ist. Auch hier richten Login-Skripte die Arbeitsoberfläche der Benutzer ein. Für Suse-Linux-Clients kann der OSS auch die Aufgabe eines Installationsservers übernehmen.
Skalierung
Bei der derzeit größten Installation bedient ein einziger Schulserver auf einem 1-GHz-Xeon-Rechner mit 4 GByte Hauptspeicher rund 300 PCs, 1500 Schüler und 120 Lehrkräfte. Ist die Rechenleistung des Hauptservers zu gering, lassen sich beinahe alle Dienste außer dem Proxyserver auf separate Rechner auslagern. Am einfachsten funktioniert dies beim Installations- und beim Printserver – Aufgaben für die sich ein beliebiger Linux-Rechner eignet.
Abbildung 5: Lehrer verteilen ihre Hausaufgaben bequem über das Webinterface.
Auch Web- und Mailserver lassen sich mit relativ geringem Aufwand auf einem zweiten Server starten. Um zum Beispiel den Mailserver auf einen externen Rechner zu verlagern, registriert der Administrator einen neuen Rechner und vergibt diesem als Alias »mailserver«.
Schwieriger wird die Aufgabe beim Samba- und beim LDAP-Server. Hier bieten die Entwickler von Extis Schulungen und Support, um zum Beispiel in Institutionen mit mehreren Niederlassungen die Benutzerverwaltung auf einem zentralen LDAP-Server einzurichten.
Für Lehrer
Auf die Admin-Oberfläche haben auch Schüler und Lehrer Zugriff. Schüler finden hier die Möglichkeit – soweit erlaubt -, ihre persönlichen Daten zu ändern, ein neues Passwort zu setzen oder Mailfilter einzustellen.
Für Lehrer bietet das Webinterface weitere Pluspunkte (siehe Abbildung 5). Unter »Zugangsrechte« dürfen Sie die Internetverbindung für den Schulraum, in dem sie sich befinden, ein- und ausschalten. Auch einzelnen Schülern können sie das Recht auf Internet, E-Mail und Drucker zuteilen oder entziehen – sofern sie zu ihrer Klasse gehören. Über die Reiter »Dateien verteilen« und »Datei holen« verteilt der Lehrer die Hausaufgaben bequem über den Browser. Dazu wählt er die gewünschte Klasse aus und lädt dann die entsprechende Datei hoch. Die Schüler finden die Aufgaben im Ordner »Import« in ihrem Homeverzeichnis und erhalten zusätzlich eine entsprechende E-Mail.
Haben die Schüler ihre Hausaufgaben gemacht, hinterlegen sie das Ergebnis im Ordner »Export« in ihrem Homeverzeichnis. Von hier sammelt sie der Lehrer durch einen Klick auf »Dateien sammeln« wieder ein. Der Schulserver legt daraufhin im Homeverzeichnis des Lehrers unter »Import« für jeden Schüler ein separates Verzeichnis an und speichert darin die Hausaufgaben.
Neu in Version 2.0 des OSS ist für Lehrer das Recht, Gruppen anzulegen und zu bearbeiten. Da der Schulserver für jede Gruppe ein Mail-Alias einrichtet, lassen sich so über wenige Mausklicks auch Mailinglisten anlegen.
Achillesferse
Der Open School Server 2.0 bietet Schulen ein schnell installiertes, leicht zu administrierendes System mit zahlreichen Features. Als einziges Manko fiel beim Test der Betaversion auf, dass einige Bereiche der Administrations-Oberfläche keine Onlinehilfe aufweisen. Sie ist jedoch bei dem großen Funktionsumfang des OSS oft erforderlich, da sich viele Parameter – etwa die des DHCP-Servers – nicht über die gewohnten Konfigurationsdateien einstellen lassen, sondern nur im zentralen LDAP-Server.
Zeigt sich der Schulserver auch im produktiven Einsatz so stabil und ausfallsicher wie während des dreitägigen Tests der Redaktion, könnte er in der Tat schnell Schule machen.
|
Infos |
|---|
|
[1] Projekt-Homepage: [http://www.extis.de/oss.html] [2] Download: [ftp://ftp2.schul-netz.de/pub/openschoolserver/] [3] E-Groupware: [http://www.egroupware.org] [4] Open Xchange: [http://www.open-xchange.org] |
