Hallo Christoph, ich weiß ja nicht, wie weit Du zu Deiner Schule fahren müsstest ...
Es gibt jedoch zwei gute Gründe dafür, dass Dein Server NICHT von außen erreichbar ist. 1) Es stellt höhere Anforderungen daran, dass Du ihn auch wirklich sicher konfigurierst - einschließlich stets aktueller Sicherheits-Patches. 2) Die Hemmungen Deiner KollegInnen könnten sinken, auch "außerhalb der Regelarbeitszeit" etwas von Dir zu wollen ;-) Du ahnst es: "Meiner" ist es nicht und es ist von der Schulleitung auch nicht gewollt. Gruß Jürgen Am 05.01.2015 um 17:12 schrieb Christoph Krebs: > Hey, das is ja eine rege Resonanz, vielen lieben Dank!!! > > Was die Art der Passwort-Abfrage bei ldap angeht: > Mit ldap sollte sich beim Öffnen eines Internetbrowsers bzw. dessen > Zugriff über den Proxy ins Internet ein kleines Fenster öffnen, in dem > man nochmal das übliche Login und PW eingeben muss (wie vorher schon > beim Login in Windoof). > > Das ganze hat für uns zwei Vorteile: > Erstens brauch ich dann nur noch die IPFire-Logdateien durchsehen, > weil der Login-Name gleich mitprotokolliert wird. > Zweitens und vor allem aber habe ich ein paar Rechner mit einem > passwortfreien Offline-User versehen, da diese PCs in der Regel nicht > am Netz hängen (können). > Wenn sich da jemand aber mit diesem offline-Account einloggt, den PC > doch ans Netzwerk anschließt und einen Browser öffnet, müsste er ins > Internet kommen, ohne dass ich später die Person nachvollziehen kann, > oder irre ich mich da? Und das is mir zu riskant. Wäre es mir auch. So wäre es ja auch bei dem von mir erwarteten Verhalten bei der Proxy-Authentifizierung. > > Ich werde also morgen in der slapd.conf die Zeilen > by anonymous peername.ip=10.16.1.254 auth > by anonymous peername.ip=10.16.1.1 auth > eingeben, falls diese nicht drin stehen. Danke für den Tipp, Holger! > Mal sehn, ob's hilft! :) > > Und jaaa, ich hab immernoch keinen externen Server-Zugang > eingerichtet, ich wollte das immer machen, wenn alles andere läuft... > Wenn man mal drüber nachdenkt eine echt blöde Idee... :( > > @Jürgen: > Ich denke (Trommelwirbel) auch nicht, das es eine bessere Software als > lml für schulische Zwecke gibt, sonst hätt' ich ja kein lml! :) könnte ja auch eine Sparmaßnahme sein ;-) > Ich würde auch keine andere einführen, sondern einfach lml aufgeben > und sagen, sucht Euch wen anderen. Und was dann die vermutlich > beauftragte Firma machen würde, wäre dann halt nicht mehr mein Problem... Dann aber ganz abgeben - sonst hast Du zusätzlich zum Stress mit den KollegInnen auch noch den mit der Firma :-( > > Gruß > Christoph > > > Am 05.01.2015 16:08, schrieb Alois Raunheimer: >> Hallo Jürgen, >> >> Zitat: "Wenn man jedoch als LDAP-Benutzer am Desktop angemeldet ist und >> der Internetzugang prinzipiell erlaubt ist, würde ich erwarten, dass der >> Anmeldetoken durchgereicht wird, ohne das man es bemerkt. Erst wenn >> diese Informationen ungültig wären, würde ich ein Fenster erwarten, >> welches eine separate Authentifizierung fordert." >> >> Jedenfalls müsste in den Logdateien der Benutzer sichtbar sein, wenn er >> automatisch eingeloggt wird. >> >> Das ist aber - wie Holger schon andeutete - aus Datenschutzgründen >> fragwürdig. >> >> Gruß >> >> Alois >> >> Am 5. Januar 2015 um 15:53 schrieb Juergen Engeland >> <[email protected] <mailto:[email protected]>>: >> >> Hallo miteinander, >> >> da Time for Kids bei uns es seit einem halben Jahr vor sich her >> schiebt, eine Verbindung zwischen der lml 6.1 und deren Schulrouter >> einzurichten, so wie es diese für die lml 5.1 schon lange gibt, >> erfolgt bei uns noch keine Authorisierung für das Internet. Ich >> könnte natürlich auf eigene Faust mal probieren, was passiert, wenn >> ich auf dem Schulrouter LDAP-Authentifizierung einschalte ... >> >> Wenn man jedoch als LDAP-Benutzer am Desktop angemeldet ist und der >> Internetzugang prinzipiell erlaubt ist, würde ich erwarten, dass der >> Anmeldetoken durchgereicht wird, ohne das man es bemerkt. Erst wenn >> diese Informationen ungültig wären, würde ich ein Fenster erwarten, >> welches eine separate Authentifizierung fordert. >> >> Sehe ich dies richtig? >> >> Gruß Jürgen >> >> >> >> Am 05.01.2015 um 15:36 schrieb Alois Raunheimer: >>> Hallo Christoph, >>> >>> Zitat: "Dennoch: Es findet einfach keine Passwortabfrage beim >>> Start des Internetbrowsers statt..." >>> >>> Bei welcher Gelegenheit soll denn die Passwortabfrage erfolgen? >>> >>> Schulkonsole? >>> >>> Gruß >>> >>> Alois >>> >>> Am 5. Januar 2015 um 15:18 schrieb Christoph Krebs >>> <[email protected] <mailto:[email protected]>>: >>> >>> Ok, schon mal vielen Dank! >>> Ich komm aber leider erst morgen wieder in die Schule und kann >>> da mit den CLients auch nur vor Ort testen. >>> >>> Was bedeutet genau, dass IPFire in /etc/ldap/slapd.conf >>> drinstehen muss? >>> Muss ich da 10.16.1.254 eintragen oder 10.16.1.254:636 >>> <http://10.16.1.254:636> oder was anderes? >>> Ich hab' ja eigentlich immer die grafische Oberfläche von >>> IPFire verwendet, werden obige Dateien davon geschrieben oder >>> ist das was völlig Neues? >>> >>> Übrigens: Im lml 6.0 lief das ganze noch über Port 389, sicher >>> dass das jetzt der neue Port sein muss? >>> >>> Nochmal danke und Gruß >>> Christoph >>> >>> >>> @Alois: >>> Meinetwegen ist es Erpressung, aber was soll ich denn >>> bitteschön machen? >>> Übermorgen is wieder Schule, da muss das System irgendwie >>> laufen. >>> Und dass ich seit dem Umstieg auf lml ständig am >>> Fehler-Hinterherlaufen bin mag ja an meiner eigenen >>> Inkompetenz oder dem Rumpfuschen meines Vorgängers liegen, >>> ändert aber auch nix daran, dass ich Stunde um Stunde meiner >>> Zeit investiere. >>> Ich selbst würde auch kein anderes System nehmen, sondern den >>> Job einfach hinschmeißen. Dass dann aber irgendeine Firma ein >>> anderes System verwenden würde, halte ich für wahrscheinlich... >>> >>> >>> >>> Am 05.01.2015 14:36, schrieb Holger Baumhof: >>> >>> Hallo Christoph, >>> >>> lass uns mal drüber nachdenken: >>> beim Öffnen des Browsers kommt eine LDAP Abfrage: da fragt >>> doch der >>> Client den LDAP des Servers ab: dann muß der Port in der >>> Firewall des >>> Servers frei sein: damit die Anfrage ankommt. >>> Und das muss der Port "immer" sein, unabhängig von der >>> Internetsperre. >>> Also müßtest du Port 636 eintragen in die Datei >>> /etc/linuxmuster/base_ports >>> >>> Vor allem muß es 636 sein, da der ldap, denke ich, keine >>> unverschlüsselten Abfragen annimmt.... >>> >>> >>> .. habs mir anders überlegt: die authentifizierung findet >>> ja im IPFire >>> statt: dann muß der IPFire in der Datei >>> /etc/ldap/slapd.conf >>> drin stehen. >>> >>> Schick mir mal die Datei zu (lösch das ldap-secret vorher >>> raus. >>> >>> Ich bin eine Stunde weg, dann schau ich mir das an. >>> >>> Viele Grüße >>> >>> Holger >>> >>> >>> _______________________________________________ >>> linuxmuster-user mailing list >>> [email protected] >>> <mailto:[email protected]> >>> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user >>> >>> >>> >>> >>> _______________________________________________ >>> linuxmuster-user mailing list >>> [email protected] >>> <mailto:[email protected]> >>> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user >> >> >> _______________________________________________ >> linuxmuster-user mailing list >> [email protected] >> <mailto:[email protected]> >> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user >> >> >> >> >> _______________________________________________ >> linuxmuster-user mailing list >> [email protected] >> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user >> > _______________________________________________ > linuxmuster-user mailing list > [email protected] > https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user > _______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
