Re: samba-anmeldescripte für lehrer/schüler
Am Samstag, den 4. September hub Hans-Dietrich Kirmse folgendes in die Tasten:
Moin, Moin!
> ich danke dir recht herzlich für diese Erläuterung. Leider habe ich auch
> mit dieser Erklärung massive Probleme und ich komme eher zu dem Schluß, dass
> diese Lösung in Schulen nicht eingesetzt werden sollte.
Warum?
> Nun gehe ich davon
> aus, dass über dieses Konzept genügend nachgedacht worden ist
Japp.
> und ich suche den Denkfehler logischerweise bei mir -
> nur ich kann ihn nicht finden.
Bitte nimm das nicht persoenlich, aber das mag vielleicht an Deiner
Windowssicht der Dinge liegen.
[...]
> bedeutet das, dass jeder User ein Projektverzeichnis erstellen kann und
> dieser User kann dann sagen, wer in diesem Verzeichnis schalten und walten
> kann? - für einen Server an einer Uni, einer Firma, einer Community ist das
> voll okay, aber für eine Schule? mir sträuben sich als Admin die Nackenhaare
> wenn es denn so wäre :-(
Das haengt ganz davon ab, *wo* er das Verzeichnis anlegen soll/kann/darf.
In seinem $HOME kann der User natuerlich machen was er will, und das ist
auch gut so; alles andere wuerde private Homes ad absurdum fuehren.
Mir schwebt eher ein /skole/tjener/projekte/<foo> vor (um mal in der
akt. Nameskonvention zu bleiben) vor, wo der *Admin* ein Projektverzeichnis
anlegt und automagisch die Rechte korrekt gesetzt werden. (owner =
$Lehrer, Gruppe=$Projektgruppe)
Der User kann dort natuerlich selbst nichts machen, da er weder
* root-Rechte hat, bzw. dort schreiben darf
* den "Owner" eines Verzeichnisses nicht aendern darf
In seinem $HOME kann er natuerlich beliebig Verzeichnisse anlegen,
die Rechte dafuer aendern (chmod 2775 <dir>) und eine Gruppe festlegen,
die dort wurschteln darf (chgrp students <dir>).
[...]
> das ist schon richtig. Aber es gibt Vorteile und Nachteile und es gibt
> K.o.-Kriterien. Wenn jeder User ein Verzeichnis mit verbotenen bzw.
> unerwünschten Inhalten anlegen kann und kann dieses Verzeichnis jeglicher
> Kontrolle von Lehrern (z.B. während des Unterrichts) entziehen, dann ist
> es nur eine Frage der Zeit, bis eine Neuauflage von Erfurt (Gutenberg-
> Gymnasium) ins Haus steht.
Natuerlich kann ein User ein Verzeichnis anlegen und den Lehrer erstmal
aussperren.
mkdir ganzBoeseSachen
chmod 700 ganzBoeseSachen
chgrp lehrer ganzBoeseSachen
Das geht aber auch bei Arktur mit seinen Windows-Clients und Samba...
Un nu?
> Ob Counterstrike nun wirklich die Ursache des
> Unheils ist, steht für den betroffenen Admin gar nicht zur Debatte.
> Ihm wird man grobe Fahrlässigkeit vorwerfen, ein System installiert zu
> haben, welches nicht ermöglicht, dass die Lehrer ihrer Verantwortung
> insbesondere gegenüber jüngeren "Schutzbefohlenen" gerecht werden konnten.
*gaehn*
Bitte ein bisschen Realismus.
Ich habe auch schon oft CounterStrike und aehnliches gespielt, laufe
jetzt aber auch nicht mit ner Knarre durch die Uni und schiesse auf
alles, was sich bewegt...
Wenn Leute das spielen wollen, dann lasst sie das tun.
Wenn Ihr Angst habt, dass sie das in der Schule tun, dann sagt ihnen
einfach, dass sie CS bitte zu Hause spielen sollen und sie erst garnicht
auf die Idee kommen sollen, sowas in der Schule zu speichern, geschweige
denn zu spielen.
Mal ehrlich: Wann sollen die Schueler eigentlich Zeit haben, CS und
Konsorten zu spielen? Im Unterricht? Dann macht der Lehrer etwas sehr
drastisch falsch!
Ich waere ebenfall niemals auch nur auf die Idee gekommen irgendwelchen
$Schweinkram in der Schule zu speichern, wer weiss welche Lehrer alle in
meinen Daten rumwurschteln... (was bitte nicht so zu verstehen ist, dass
ich sowas zu Hause speichere, geschweige denn angucke!)...
Wenn sich der Lehrer alles angucken darf/muss/soll was jeder Schueler
auf dem Server so speichert, koennen wir mE das Konzept User-Homes
komplett vergessen und ein grosses Home fuer alle anlegen, da man eh
keine Privatesphaere mehr hat.
> Um es mal zu überspitzen: natürlich ist es gut, wenn ein Sportclub jedem
> das Training ermöglicht (hier schießen). Es wurde sogar jedem die Waffe
> gegeben, leider auch mit nach Hause. Dieser sportclub hätte auch dafür
> sorgen müssen, dass nach dem Training die Waffen wieder verschlossen
> werden, damit kein Unheil passiert.
Was hat das mit Gruppen zu tun?
> natürlich ist es schön, wenn ein Admin jedem Schüler ermöglicht, alle
> möglichen Projekte mit Gleichgesinnten zu machen. Aber der Admin hat m.E.
> schon dafür zu sorgen, dass die Lehrer eine Chance haben, ihrer Verantwortung
> nachzukommen. Wenn selbst bei begründeten Verdacht auf "Projekte mit
> sexistischen Inhalt, mit Verherrlichung von Brutalität, Raubkopien, ..."
> der Lehrer außen vor ist, dann habe ich als Lehrer und als Admin ein Problem.
> Dummerweise hat der Admin dieses System zur Verfügung gestellt :-(
Worauf willst Du hinaus?
Geht es hier noch um das Konzent private Gruppen?!
Ein User kann *immer* Daten verstecken, ob er dazu eine private Gruppe
hat spiel dabei ueberhauptkeine Rolle...
Und wenn er das Zeug in /tmp oder /dev/shm oder wasweissichwo versteckt...
Solange er da schreiben darf ist das fuerchterlich egal.
Das kann er ueberigens auch in Deinem $HOME als
.ganzGanzBoeseDinge/nochVielBoeser/... machen, wenn er da dran darf...
> mir geht es nicht um Windows. die Überlegungen gelten für Linux-, Windows-
> Mac-Clients gleichermaßen.
Hmm, ich lese bei Dir immer wieder "samba".
Was ist mit NFS/AFS/whatever und Linux/Unix?
> verständlich schon. m.E. habe ich den Sinn dieser "User Private Groups" bei
> einem Debian-Server verstanden. Aber für einen Schulserver sehe ich momentan
> nur Nachteile.
Die da waeren?
> - ich habe es demnach immernoch nicht gerafft. :-(
Vergiss mal alles, was Du bisher fuer Arktur entwickelt und eingesetzt hast.
Dann vergiss mal Windows und ACLs. (Eine Diskussion ueber "(Skole)Linux kann
keine ACLs" ist mueszig... AFS kommt... hoffentlich bald...)
Jetzt stell Dir mal einen Rechner mit Linux vor (von mir aus auch ein
paar mehr, die vernetzt sind und auf den gleichen Datenbestand zugreifen)
und ueberleg Dir, wie Du *da* Zugriffsrechte setzten willst um
Kooperationen zu ermoeglichen und was Du dafuer alles brauchst...
(Gruppen, SGID-Bit...)
Ciao
Max
--
Follow the white penguin.
Reply to: