Ein Überblick über alternative Open Source Netzwerkkonzepte entwickelt von OSOS Austria gemeinsam mit der DVT (Daten Verarbeitung Tirol https://www.dvt.at/).
Einleitung:
Seit 2010 können Tiroler Schulen, neben den bereits vorhandenen Diensten Mail und Moodle im Portal Tirol https://portal.tirol.gv.at, auf einen zusätzlichen Service zurückgreifen, der die Arbeit der IT – Teams erleichtert. Die lokalen Active Directories (AD) an den Schulstandorten werden von der Daten Verarbeitung Tirol (DVT) mit tagesaktuellen Schüler*innen-, Lehrer*innen- und Klassendaten bestückt. Diese aus Sokrates abgefragte Information reduzieren die Arbeit der IT – Teams auf die Pflege der Benutzer*innen – Passwörter im Webinterface des Portals Tirol.
Der Wunsch jener Schulen, die Linux – Clients verwenden, diesen Service auszuweiten, fiel bei der DVT, welche selbst viele Open Source Produkte einsetzt, auf fruchtbaren Boden. So wurde gemeinsam mit OSOS – Austria die Bestückung eines Samba 4 Active Directories entwickelt. Die Übernahme eines bestehenden und erprobten Prüfungssystems erweitert die Samba 4 – Windows – Linux – Neuentwicklung gegenüber dem bestehenden System für Windows – ADs.
Auch wenn dieses System vor allem für Tiroler Schulen besonders attraktiv erscheint, kann die Basis sehr gut in anderen Netzwerken einsetzt werden.
Dies gilt einerseits, weil für die Einbindung und Verwaltung von Rechnern entsprechende Strukturen geschaffen wurden, auf denen gut aufgebauen werden kann und andererseits, weil die vorhandenen samba – tools (https://wiki.samba.org/index.php/Adding_users_with_samba_tool) gemeinsam mit eigenen Skripten eine effiziente und einfache Benutzerverwaltung sowie Pflege der User – Homverzeichnisse ermöglichen.
Im nachfolgenden Teil, unserer evt. mehrteiligen Serie, geben wir einen Überblick über die verschiedenen Komponenten dieses Systems.
Was bekommt man?
- Ein Windows – kompatibles SAMBA 4 – Active – Directory mit den zusätzlichen Linux Attributen, welches
* Windows – und
* Linux – Clients (auch über WLAN)
gleichermaßen bedient. - Eine Container – Struktur im AD für mehrere Schulen am Schulstandort
(siehe Bild unten: APP.png) - Eine Container – Struktur für PC – Clients in mehreren Stöcken und Räumen
(siehe Bild unten: APP.png) - Replikationsserver für das SAMBA 4 – Active – Directory
- SAMBA 4 Windows – kompatible Fileserver
- Sicheres NFS4 mit Kerberos durch den SAMBA 4 – Server
- Skript zum Anlegen der Fileserver und anderer Server in das Directory
- Skript zum Anlegen der Clients aus einem dhcp.conf – File in das Directory
- Skript zum Automatischen Domain – Join für Linux – Clients
- Skript zum Anlegen und Verwalten der User – Homeverzeichnisse auf einem Fileserver
Wie bekommt man das?
- Samba4 Active – Directory – Server,
- Samba4 Replikationsserver für das Directory,
- Samba4 Fileserver und
- Samba4 Linux Client
werden mit Hilfe einer Konfigurationsdatei und darauf zurückgreifende Skripten erstellt.
Wo bekommt man das?
Die Skripte für die Beispielinstallation eines gesamten Netzwerkes
finden sich unter: https://gitlab.com/osos_app/samba4box
Zusätzlich zu den Skripten enthält das Repository ein ausführliches README, in welchem die Installation des ebenfalls vorhanden Beispielnetzwerkes genau erklärt wird.
Die Konfigurationsdatei heißt SAMBA4.conf, die Installationsdateien beginnen mit install-* im Verzeichnis samba4.
Zusätzliche Skripte für die Installation von Linux – Clients finden sich unter:
https://gitlab.com/osos_app/autoinstall/-/tree/main/laus/scriptsForClasses/CONFIG_U2004_AD
Die LAUS Skripte sind eine umfangreichere Sammlung von Skripten, die die Linux – Clients aufsetzen. Das Skript, welches den Domain – Join vornimmt, heißt:
Überblick Directory:
Erklärung zu den einzelnen Einträgen im Directory:
- OU=APP:
der Container im Directory für die Schule, wird vom TSN/DVT Synchronisationsuser/-gruppe verwaltet. - OU=APP, OU=701036:
Schulnummer der ersten Schule am Standort - OU=APP, OU=701076:
Schulnummer der zweiten Schule am Standort - XXXXXX_Examinee:
Container für die Prüfungsaccounts - XXXXXX_Gruppen:
Container für die notwendigen Gruppen - XXXXXX_Lehrer:
Container für die Lehrer*innen - XXXXXX_Schueler:
Container für die Schüler*innen - XXXXXX_Sonstige:
Container für sonstige Nutzer*innen - OU=Computers:
Container für die Clients aufgeteilt in Container für Stockwerke und Räume.
Dieser Container wird von einer Domain-join-group mit eingeschränkten Rechten verwaltet. - OU=Managers:
Container für den priviligierten TSN/DVT Syncronisationsuser/-gruppe und dem eingeschränkten Domain-join-user/-gruppe, der Clients im Directory anmelden kann. - OU=Servers:
Container in dem sich die Fileserver und alle anderen Server (apt-cacher, dhcp, usw.) befinden. - OU=Domain Controllers:
Ein Microsoft Standard Container, der die Domain Controller beinhaltet.
Video:
Gleichzeitige Nutzung eines Linux- & eines Windows-Clients.
Produktiver Betrieb:
Das oben vorgestellte Netzwerk – Konzept befindet sich seit Herbst 2022 im Tagesgymnasium & Abendgymnasium am Adolf-Pichler-Platz in Innsbruck für jeweils etwa 800 Schüler*innen im Einsatz.
2 Kommentare
Sebastian · 03.10.2022 um 12:31
Tolle, feine Sache! Schade, dass das nur in Tirol angeboten wird.
Reinhard Fink · 03.10.2022 um 23:04
Grundsätzlich wäre ein Ausrollen der Dienste des Portal Tirols auch auf andere Bundesländer möglich. Allerdings müsste eine gewisse Größe (=Anzahl von Bundesländern) gegeben sein, damit sich das Hochskalieren nach Ansicht der DVT rentiert.
Und leider wird vom Bund die Erstellung von Pods lieber an externe Dienstleister ausgelagert, anstatt lokales Knowhow zu nutzen 🙁