[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: samba-anmeldescripte für lehrer/schüler

Hallo Maximilian,

Maximilian Wilhelm schrieb:
> 
> Am Sonntag, den  5. September hub Hans-Dietrich Kirmse folgendes in die Tasten:
> 
> > > die dort wurschteln darf (chgrp students <dir>).
> 
> > und das kann nicht im Interesse der Schule sein. Und das ermöglichen m.E.
> > die "User Private Groups".
> 
> Nein!
> Ob das Verzeichnis jetzt standardmaessig "students" als Gruppe hat oder
> ob ich das erst manuell von "max" auf "students" setze ist fuerchterlich
> egal.
> Das wuerde auch mit Arktur gehen, haettet Ihr NFS oder aehnliches.

Arktur hat NFS. Was mich wundert, ich habe es (trotz Shellzugang) nicht 
geschafft, als User mmustermann einfach ein neu angelegtes Verzeichnis
eine durchaus existierenden Gruppe zuzuweisen. Irgend was scheine ich
falsch zu machen (?)  achso, als root ging es natürlich.

> (Wie in der Mail an Helmut geschrieben wird sich sowas auch ueber die
>  Windows-ACLs setzen lassen...)
> 
> > Deshalb stehe ich (momentan) noch auf dem
> > Standpunkt, die sind für einen Schulserver einfach fehl am Platz (oder
> > sollten zumindestens "abschaltbar" sein)
> 
> Das kannst Du nicht abschalten, dass ist ganz normales Unix
> Rechteverwaltung.



>
> Ich kann auch ohne "User Private Groups" mit der gleichen Methode dafuer
> sorgen, dass Du als Lehrer erstmal nichts mitbekommst...
> Dann setzt ich einfach die Gruppe auf "shadow" oder sowas und dann ists
> auch erstmal vorbei. Dafuer brauche ich *keine* User Private Groups,
> dass ist eine gewaltige Fehlannahme.

das ist mir (auf Arktur) weder als Lehrer noch als Schüler gelungen
 
> > > Und wenn er das Zeug in /tmp oder /dev/shm oder wasweissichwo versteckt...
> > > Solange er da schreiben darf ist das fuerchterlich egal.
> 
> > nochmal, er kann natürlich in seinem Homeverzeichnis schreiben, aber er kann
> > (bzw. darf) nicht dort ein solches Projekt für eine Gruppe ohne Kontroll-
> > möglichkeit anlegen können.
> 
> Kann er aber, *immer*.

das kann und darf nicht sein. jedenfalls nicht bei einem Schulserver wie wir
das verstehen (ich will mich jetzt nicht drüber auslassen wer "wir" ist).

nun gehe ich mal davon aus, dass ich mich wirklich zu blöd angestellt habe.
(allerdings würde ich eher sagen, es ist den Arkturentwicklern doch gelungen
genau das hinzubekommen)

Trotzdem Lösungsansätze: auf die Schnelle: man nehme nur win9X-clients 
(natürlich keine Shell) und das Problem ist gelöst.

für win2k und winXP sehe ich folgende Lösung: die Rechte werden wie gewohnt
über Samba gesetzt, dem User wird durch win2k die Möglichkeit entzogen, diese
Rechte zu ändern. Ich gehe jetzt einfach davon aus, dass der Administrator
des win2k-Rechners entsprechende einstellungen vornehmen kann und u.a. auch
den Zugriff auf das Teil, welches man für diese Rechtevergabe braucht für 
alle anderen Nutzer sperren kann. (ich habe hier einfach mal den Gedanken
von Helmut weitergesponnen)

ich gehe weiter davon aus, wenn das mit win2k geht (und davon bin ich 
überzeugt), geht das auch mit Linux-Clients, denn sonst wäre ja Linux keine
Alternative zu Windows und das kann doch nicht sein.


Übrigens hätte ich noch einen Ansatz gesehen: das Homeverzeichnis des Users
"mustermann" bekommt nicht mehr den Owner "mustermann" sondern irgendetwas
anderes, z.B. admin. dieser admin-Account kann ja per ACL den User mustermann
alle Rechte geben, nur m.E. kann dann der User mustermann nicht die
Rechte von admin killen. (habe ich heute in der Schule verifiziert - es kommt
immer "Zugriff nicht erlaubt" oder so ähnlich, wenn einer, der per ACL
reingelassen wird, den Owner irgendwelche Rechte entziehen will).
der Account "admin" wäre natürlich nur ein Hilfsaccount um den Lehrern den 
Zugriff zu ermöglichen. Es ist sogar noch besser, es kam immer eine Fehler-
meldung, wenn man als User mit einer ACL die primäre Gruppe ändern wollte. 
Das bedeutet, der admin-Account wäre nur noch ein Dummy und die Lehrer in 
der primären Gruppe hätte jederzeit Zugriff. 

Obwohl ich davon überzeugt bin dass dieser Ansatz auch gehen wird, hätte der
das große Problem, dass dann die Quotas nicht mehr gehen.
Aber ich würde das als das kleinere Übel auffassen. Nur das es keine Lösung
gibt, davon lasse ich mich nicht so schnell überzeugen. ;-)


> 
> > > Die da waeren?
> 
> > - Bereiche die dem Verantwortungsbereich von Lehrern entzogen werden können.
> 
> Das geht, auch ohne, Erklaerungen dazu siehe oben und in den letzen Mails.
>  => Ergo: kein Nachteil.

das ist natürlich richtig. wenn sich dieses Problem nicht lösen läßt, dann
ist das natürlich kein Nachteil. Aber ich bin (noch ;-) der Überzeugung, dass
sich sogar die erste Variante umsetzen lassen wird und dann ist es ein 
Nachteil.


Egal wie sich diese Sache weiter entwickelt, auf jeden Fall hast du mir (und 
damit auch anderen) enorm weitergeholfen - danke.


                                  /"\
Mit freundlichen Grüßen           \ / ASCII ribbon campaign
Hans-Dietrich                      X  against HTML mail 
                                  / \ and postings
Reply to: