Hallo zusammen,
@Kevin: danke für deine ausführlichen Antworten. Ich selber bin nicht in der Position, dir irgendwelche Aufträge zu erteilen. Ich bin lediglich gebeten worden ... und das nicht zum ersten Mal, mir ein Arbeitsgerät aus einer Linuxmuster-Schule anzuschauen und meine Erkenntnisse aufzuschreiben. Und dies habe ich mit der aus meiner Sicht notwendigen Ausführlichkeit getan. Ich hole übrigens an einigen Stellen weiter aus, um auch diejenigen mit meinen Beschreibungen zu erreichen, die mit der Administration von Linux nur wenig Erfahrungen haben.
@Daniela: sorry, dass ich deinem Wunsch nicht nachkommen kann, die Dinge in drei Sätzen abzuhandeln. Gerne moderiere ich eine mehrstündige Fortbildung, in der ich die in diesem Beitrag vorkommenden Linux-Details mit zusätzlichen Hintergrundwissen erweitere. Vielleicht brauche ich aber auch eine Fortbildungsreihe dafür ... es geht nicht immer schnell schnell!
@alle: ja, bei der Betrachtung von Linuxmuster habe ich auch die andere Schulserver-Lösung Puavo im Blick. Nein, ich möchte nicht Linuxmuster gegen Puavo ausspielen, oder umgekehrt. Es geht mir nicht um Konkurrenz, sondern um die beste Lösung für Schulen. Es geht mir um schulische Abläufe, einfache Bedienung, klare Strukturen, fehlerfreies Funktionieren, offene Schnittstellen, Nachhaltigkeit und Transparenz.
Herzliche Grüße
Ralf
Lokale Nutzerverzeichnisse
Wenn ich Kubuntu (oder auch eine andere Linuxdistribution auf einem Computer installiere, dann werden die Nutzerkonten anders verwaltet als bei einer Serververbindung. Lege ich einen Nutzer lokal auf dem Computer an, so wie linuxadmin und gast, werden diese Nutzer jeweils getrennten Gruppen zugeordnet. Der Nutzer linuxmuster ist in der Gruppe linuxmuster und der Nutzer gast ist in der Gruppe gast. Wahrscheinlich ist es sinnvoll, die Bedeutung der Zugriffsrechte drwxr-x--- an diesem konkreten Beispiel zu erklären. Das d steht für Verzeichnis (directory). Das erste Trippel rwx zeigt die Rechte des Eigentümers (owner), nämlich lesen (read), schreiben (write) und ausführen (execute). Bei einem Verzeichnis braucht man das Recht ausführen, um das Verzeichnis betreten zu dürfen. Das zweite Trippel zeigt die Rechte r-x für die jeweilige Gruppe, d.h. andere Gruppenmitglieder können das Verzeichnis betreten und darin lesen. Das dritte Trippel hat die Rechte --- und verbietet anderen Nutzer/innen jeglichen Zugriff auf dieses Verzeichnis.
linuxadmin@lap-2836:/home$ ls -alinsgesamt
48drwxr-xr-x 12 root root 4096 Nov 7 06:23
.drwxr-xr-x 20 root root 4096 Aug 8 11:23
..lrwxrwxrwx 1 root root 44 Jun 29 13:35
.directory ->
/etc/kubuntu-default-settings/directory-homedrwxr-xr-x 28
faikaal domain users 4096 Sep 11 12:38 faikaaldrwxr-x---
15 gast gast 4096 Nov 6 19:50 gastdrwxr-xr-x
28 glaessli domain users 4096 Sep 26 08:19
glaesslidrwxr-xr-x 28 hempella domain users 4096 Sep 4
09:59 hempelladrwxr-xr-x 28 herbstmo domain users 4096
Sep 11 10:20 herbstmodrwxr-xr-x 27 leimanja domain users
4096 Sep 15 11:13 leimanjadrwxr-x--- 27 linuxadmin
linuxadmin 4096 Nov 7 07:05 linuxadmindrwxr-xr-x 28
1888201301 domain users 4096 Aug 8 11:29 muskeldrwxr-xr-x
27 rabe domain users 4096 Nov 7 06:46 rabedrwxr-xr-x
28 theilele domain users 4096 Sep 14 08:25
theilelelinuxadmin@lap-2836:/home$
Bei allen anderen Nutzerkonten (außer linuxadmin und gast) sind die Zugriffsrechte allerdings auf drwxr-xr-x gesetzt. Der jeweilige Eigentümer darf lesen, schreiben und ausführen. Mitglieder der Gruppe dürfen immerhin lesen und ausführen ... und auch alle anderen dürfen lesen und ausführen. Alle in Linuxmuster angelegten Nutzer/innen scheinen Mitglieder einer einzigen Gruppe (domain users) zu sein. Aus meiner Sicht müssten die Zugriffsrechte der Nutzerverzeichnisse standardmäßig auf drwx------ gesetzt werden, damit die Inhalte vor Fremdzugriffen geschützt sind.
Nutzung innerhalb und außerhalb der Schule
Computer sind universelle Arbeitsgeräte, denen Nutzung nicht auf innerhalb der Schule beschränkt sein darf. Ich denke, ich habe bereits einige aussagekräftige Beispiele benannt, so dass ich mich hier nicht wiederholen möchte. Ja, alle Programme müssen vollumfänglich innerhalb und außerhalb der Schule funktionieren. Deswegen müssen WLAN-EInstellungen vorgenommen werden können und die Proxyeinstellungen automatisch oder manuell aktivierbar und deaktivierbar sein.
Als Ausnahme für ein Funktionieren außerhalb der Schule könnte man alle Programme akzeptieren, die auf dem Linuxmuster-Server laufen und außerhalb nicht aufrufbar sind. Genauso verhält es sich mit dem Screenmirroring, was auf die schulischen Displays abgestimmt ist und möglicherweise außerhalb der Schule mit fremden Displays nicht läuft. Niemand wird erwarten, dass außerhalb der Schule die Anzeige des Digitalmikroskops funktioniert, wenn das Digitalmikroskop innerhalb der Schule steht. Niemand wird versuchen, einen Lego-Roboter zu steuern, wenn der Lego-Roboter außerhalb der Schule nicht verfügbar ist.
Nutzerkonto linuxadmin
@Kevin: du schreibst, dass der Nutzer linuxadmin nicht dafür vorgesehen ist, von Lehrkräften und Schüler/innen verwendet zu werden. Das ist mir klar! Ebenso gehe ich fest davon aus, dass bei zentral verwalteten Geräten keine Installationen oder Aktualisierungen lokal auf einem Gerät vorgenommen werden. Trotzdem wollte ich persönlich gerne wissen, auf welchem Softwarestand das mir vorliegende Linuxmuster-Image ist, weswegen ich mir die Aktualisierungsoption zwar angeschaut, aber nicht ausgeführt habe.
Der Nutzer linuxmuster ist ein administrativer Zugang zu jedem Computer einer Schule. Ja, das Kennwort sollte möglichst sicher sein, weil man damit viel Unfug anstellen kann. Das Kennwort muss aber allen Personen zugänglich sein, die einen administrativen Zugang zum Gerät brauchen. Das sind die Administratoren aus dem Team. Das sind aber auch die Medienpädagog/innen, die auf dem Gerät etwas suchen oder eine Hilfestellung geben möchten. Ja, letztendlich sind das auch Personen wie ich, die sich die Installation anschauen sollen. Und der schulische Administrator braucht den Zugang ebenfalls ... anders kann er nämlich keine unerwünschten Aktivitäten auf den Geräten nachweisen, dokumentieren und korrigieren ... ohne den administrativen Zugang könnten die Schüler/innen mit den Geräten machen was sie wollen, weil ja nach der oben beschriebenen Rechteänderung niemand mehr in ihre Verzeichnisse kommt.
Nutzerkonto gast
Als Gastnutzer erwarte ich eigentlich, dass meine Dateien und Internetspuren sofort mit dem Abmelden verschwunden sind. So ist es (hoffentlich) bei jedem öffentlichen Computer im Internetcafe, in der Stadtbücherei, im Hotel, am Bahnhof, im Flughafen ... warum soll es in der Schule anders sein? Okay, wenn ich weiß, dass die Gastdaten erst beim Neustart gelöscht werden, dann klebe ich ein Warnschild an, damit Gäste den jeweiligen Computer immer sofort herunterfahren, wenn sie ihn nicht mehr brauchen.
Die Wichtigkeit eines Gastzugriffs wird häufig unterschätzt. Nein, der Gastzugriff ist kein Notfallzugriff bei Server- oder Netzwerkausfällen. Mehrere Beispiele sollen zeigen, was ich meine.
In einer Berufsschule klagt die Schulleitung, dass wöchentlich 10 oder 20 Schüler/innen neu an der Schule angemeldet werden. Diese Schüler/innen sind solange von der Nutzung der schulischen Computer ausgeschlossen, bis ihnen ein Nutzerkonto angelegt wurde. Wie lange dauert dieser Vorgang im normalen schulischen Alltag? Eine Woche? Zwei Wochen? Oder länger? Nein, ihren persönlichen Geräten können sie nicht nutzen. Ja, in dieser Zeit müssen die Schüler/innen mit dem Gastzugriff auch ins Internet!
Was machen Schüler/innen, die ihre Zugangsdaten vergessen haben? Ich weiß ... viele Schulen verbieten ihren Schüler/innen das Ändern der Kennwörter , damit sie gedruckte Kennwortlisten im Schrank und häufig sogar im direkten Zugriff von Schüler/innen haben ... da gibt es dann kein Vergessen von Kennwörtern. In Bezug auf den Datenschutz ist dieses Vorgehen allerding mehr als bedenklich!
Beim Elternabend sollen die schulichen Computer und deren pädagogische Möglichkeiten präsentiert und diskutiert werden. Muss man dafür jedes Mal Demokonten anlegen? Nein, sicherlich nicht! Dass die Eltern keinen Zugriff auf den Schulserver und die dortige Datenablage haben, wird für jeden verständlich sein. Dass die Computer aber keinen Zugriff aufs WLAN und aufs Internet haben sollen, wird den Eltern nicht einleuchten.
Gleiches (wie für den Elternabend) gilt für eine zentrale Lehrerfortbildung, bei der Lehrkräfte aus unterschiedlichen Magdeburger Schulen zusammen kommen. Ja, in der Lehrerfortbildung muss der volle Zugriff aufs Internet sichergestellt sein. Nein, das Anlegen von Demokonten ist auch hier aus meiner Sicht nicht sinnvoll. Demokonten können nämlich nur einmal verwendet werden, weil die von den jeweiligen Demonutzern gespeicherten Daten auf den Computern und auf dem Server erhalten bleiben.
Nutzung der Nextcloud
@Kevin: Sollte der Eindruck entstanden sein, dass ich das Vorhandensein der Nextcloud nicht zu schätzen weiß, so bitte ich das zu entschuldigen.
Leider habe ich bisher keine zufriedenstellende Präsentation der Nextcloud von Linuxmuster erlebt, obwohl ich bereits mehrfach versucht habe, entsprechende Einblicke zu bekommen. Ich weiß nicht, welche Verzeichnisse standardmäßig auf dem Linuxmuster-Server angelegt sind und welche Verzeichnisse über die Nextcloud bereitgestellt werden. Welche Verzeichnisse hat der Nutzer rabe selber angelegt? Werden alle Dateien und Verzeichnisse des persönlichen Verzeichnisses über die Nextcloud gezeigt? Deswegen sind mir die Verzeichnisse Transfer und ServerTausch eben wegen ihrer Namen besonders aufgefallen.
Vielleicht erfahre ich ja in näheren Zukunft mehr über die Optionen der Nextcloud in Linuxmuster. Ich halte den externen Zugriff auf den schulischen Speicher für notwendig und hinterfrage diesbezüglich alle Lösungen, die keinen externen Zugriff haben. Das Lernen muss in der Schule und zu Hause gleichermaßen stattfinden können. Wenn jemand krank ist, könnte er sich trotzdem die schulischen Dateien nach Hause holen. Wenn jemand in einem Trainingslager oder Wettkampf ist, wenn jemand ein mehrwöchiges Praktikum absolviert oder wenn jemand ein Auslandsjahr macht, sollte der schulische Austausch weiter stattfinden. Ja, das geht mit Moodle, aber das geht eben auch mit der Nextcloud.
Und sollte das Land Sachsen-Anhalt tatsächlich wegen des akuten Lehrermangels das schulische Lernangebot auf 4+1 einschränken (4 Tage Schule, 1 Tag keine Schule), dann werden externe Zugriffe auf den Schulserver noch viel wichtiger.
Aktualisierung von Software
Mit der Aktualisierung der schulischen Computer sollte nicht leichtfertig verfahren werden. Ich war selber 25 Jahre IT-verantwortlicher Lehrer in einer großen Gesamtschule mit 1350 Schüler/innen und 120 Lehrkräften. Ich weiß also, was es heißt, 150 bis 200 Computer auf dem aktuellen Stand zu halten. Die Browserhersteller selber sagen, dass teilweise wöchentliche Aktualisierungen notwendig sind, um die Sicherheit zu gewährleisten. deswegen darf es nicht passieren, dass Computer gar nicht aktualisiert werden.
In meiner Zeit als aktiver Lehrer und Fortbildner für Informatik habe schulische Installationen gefunden, in denen eine Doktor-Kaiser-Karte erfolgreich jegliche Aktualisierung über 7 Jahre verhindert hat. Ihr selber kennt Schulen, in denen vor über zwei Jahren das Interim-Image installiert wurde und seit dem keine Aktualisierung stattgefunden hat. Ihr selber kennt Schulen, in denen Linuxmuster vor zwei Jahren installiert wurde und das Image bisher nicht aktualisiert wurde. Ihr kennt aber auch Schulen, in denen Puavo-Geräte stehen, deren Image aus dem Jahr 2020 stammt. Und genau daran müssen wir arbeiten, offen diskutieren und die Lösungen für die Schulen optimieren.