Kategorie: Tech-Talk

Moodle, MNETSSL

Kommentar hinterlassen

Mood­le kann mit ande­ren Sys­te­men so gekop­pelt wer­den, dass Benut­zer naht­los zwi­schen ihnen wech­seln kön­nen, ohne dass sie es mer­ken. Kon­zep­tio­nell ist Mood­le damit Pro­jek­ten wie Dia­spo­ra von der Idee schon längst vor­aus gewe­sen. In „Mood­le-Sprech“ heißt die­ses Fea­ture MNET, nutzt aber im Grun­de genom­men einen stan­dar­di­sier­ten SSO-Mecha­nis­mus auf Basis von XMLRPC dazu. Meh­re­re Mood­le­sys­te­me las­sen sich so zu einer gro­ßen Fami­lie zusam­men­fas­sen: So kann z.B. die Klas­se XY von mei­ner Schu­le direkt den Kurs von Leh­rer Lem­pel auf dem Sys­tem von Leh­rer Lem­pels Schu­le nut­zen – d.h. man kann schul‑, bun­des­land- bzw. euro­pa- oder sogar kon­ti­nen­tüber­grei­fend zusam­men­ar­bei­ten, ohne die Kon­trol­le über die eige­nen Daten zu ver­lie­ren. Zusätz­lich sind Sprün­ge über Appli­ka­tio­nen hin­weg mög­lich: Auch Maha­ra oder Elgg – Sys­te­me, die kon­zep­tio­nel­le Nach­tei­le von Mood­le aus­glei­chen, z.B. die feh­len­de Schü­ler­zen­trie­rung – las­sen sich über MNET-Funk­tio­nen anbin­den. Selbst für die Goo­g­le­Apps-Fami­lie ist ein ent­spre­chen­des Plug­in ent­wi­ckelt – ich bin bei letz­te­rem noch vor­sich­tig, obwohl es immer ver­lo­cken­der wird.

Ich war lan­ge Zeit sehr miss­trau­isch MNET gegen­über – ich hat­te vor allem Sor­ge um die Art der Daten­über­tra­gung bzw. deren Sicher­heit. Das ist aber unnö­tig, da MNET ein asym­me­tri­sches Ver­schlüs­se­lungs­ver­fah­ren nutzt – hier am Bei­spiel der Kopp­lung zwi­schen Maha­ra und Moodle:

Wei­ter­le­sen

Moodle, Tech-Talk HTTPS, Mahara, MNET, Moodle, Pubkey, SSL, SSO

Schulserver via HTTPS

Kommentar hinterlassen

Seit dem Wochen­en­de hat auf eini­gen Web­sei­ten unse­rer Schu­le etwas verändert:

Die gesam­te Kom­mu­ni­ka­ti­on zwi­schen den Cli­ents der Schü­le­rin­nen und Schü­ler und unse­rem Web­ser­ver läuft damit über HTTPS. So flie­gen kei­ne Schul­netz­werk­pass­wor­te mehr im Klar­text durch die Gegend – als Neben­ef­fekt blei­ben auch die Logs des Netz­werkser­vers davon ver­schont. Die Per­for­mance lei­det etwas, da es beim Hand­shake zwi­schen Brow­ser und Web­ser­ver nun eini­ges mehr zu rech­nen gibt – über die ver­schlüs­sel­te Ver­bin­dung – so ein­mal eta­bliert – lachen sich moder­ne Pro­zes­so­ren eher sche­ckig. Man kann die­sen Effekt sehr deut­lich in z.B. Mood­le bemer­ken: Surft man zügig durch das Sys­tem, flufft es fast wie vor­her. Liest man län­ge­re Zeit auf einer Sei­te und klickt dann auf einen Link, braucht es ca. drei Gedenk­se­kun­den – zumutbar.

Die alten URLs muss­ten nun auf HTTPS umge­bo­gen wer­den, damit die Benut­zer das Sys­tem mit ihren alten Book­marks benut­zen kön­nen – das geht mit dem von mir ver­wen­de­ten lighttpd-Web­ser­ver sehr hübsch. Ein

$SERVER[„socket“] == „:80“ {

$HTTP[„host“] =~ „alte.domain.de“ {
url.redirect = ( „^/(.*)“ => „https://alte.domain.de/$1“ )
}

}

(Über­setzt: Schrei­be http://alte.domain.de/irgendwas auf https://alte.domain.de/irgendwas um).

über­gibt die User an die SSL-Engi­ne von lighttpd, die dann die vhost-Geschich­te übernimmt.

Die Umstel­lung hat übri­gens fast nie­mand bemerkt: Mein Ser­ver­zer­ti­fi­kat ist durch eine Aut­ho­ri­ty signiert, dann meckert auch kein Brow­ser – es wird nur blau in der Adress­zei­le. Jetzt zie­he ich als nächs­tes den Mail­ser­ver der Schu­le um und kann dann end­lich auch über mei­ne Zer­ti­fi­ka­te IMAPS und SMTPS anbie­ten. Da ich als Clas­s2-Mem­ber ein Wild­card-Zer­ti­fi­kat signie­ren las­sen kann, gibt es auch kei­nen Trou­ble mit IPs…

Tech-Talk Absicherung, HTTPS, Moodle, Schulserver, SSL, startssl

Ho, ich habe Feuer gemacht…

Kommentar hinterlassen

Am Mitt­woch pas­sier­te es: Mein erst kürz­lich erwor­be­nes Asus D250 (ich kau­fe fast grund­sätz­lich nur Vor­jah­reshard­ware, weil das Preis-Leis­tungs­ver­hält­nis da meist stimmt) fiel bei der Bespre­chung der münd­li­chen Noten in der Klas­se vom Schü­ler­tisch. Danach zeig­te das Dis­play nur noch Regen­bo­gen­far­ben und die übli­chen Ris­se sorg­ten für eine kla­re Dia­gno­se: Dis­play­bruch. Nach anfäng­li­chem Hadern, was sogar so weit ging, dass ich ernst­haft über ein iPad nach­dach­te, dann die zün­den­de Idee: Bei Ebay ein­mal die Such­be­grif­fe „Dis­play“ und „D250“ ein­ge­tippt – schon lach­ten mir Ange­bo­te ab 50,- Euro inkl. Ver­sand entgegen.

Dann kam erst­mal die Zer­le­ge­pro­be: Wür­de es mir gelin­gen, dass alte Dis­play aus­zu­bau­en, ohne das Gerät ernst­haft zu beschä­di­gen? Ers­te Ver­su­che mit einem schma­len Mes­ser för­der­ten zu Tage, dass sich hin­ter vier­ecki­gen Kap­pen am Dis­play­ge­häu­se Kreuz­schlitz­schrau­ben befan­den. Nach Ent­fer­nung sel­bi­ger ließ sich das Dis­play­ge­häu­se auf­he­beln. Nach wei­te­ren sechs Schrau­ben hielt ich das alte Dis­play in den Hän­den – ok, noch ein klei­ner, sta­bi­ler Metall­ste­cker war zu lösen. Start­si­gnal für die Bestellung.

Zwei Tage spä­ter kam das Paket – der Ein­bau dau­er­te 10 Minu­ten und alles ist nun wie­der gut – fast sogar noch bes­ser, da ich das „Gla­re-Dis­play“ gleich durch ein mat­tes ersetzt habe. Ledig­lich eine Schar­nier­ab­de­ckung habe ich ver­lo­ren – nun­ja, Sekun­den­kle­ber hat es gerichtet.

Jetzt hat mich das Gerät zwar 250,- Euro statt der ursprüng­li­chen 200,- Euro gekos­tet, aber nun gut, glat­te 400,- Euro gegen­über dem viel rechen­schwä­che­ren iPad gespart – Puh.

Tech-Talk Asus, Austausch, Bruch, d250, Display

Der neue Schulserver

Kommentar hinterlassen

In der letz­ten Woche habe ich mich mit der Kon­fi­gu­ra­ti­on unse­res neu­en Schul­ser­vers abge­müht – im Spe­zi­el­len mit dem Mail­ser­ver. Ich kon­fi­gu­rie­re Mail­ser­ver in etwa so ger­ne wie ich zum Zahn­arzt gehe, weil die Bies­ter recht ver­trackt und kom­plex sind. Außer­dem wird der Mail­ser­ver zuneh­mend dienst­lich genutzt, d.h. auch für die inter­ne Kom­mu­ni­ka­ti­on unter Lehr­kräf­ten, muss also eini­ger­ma­ßen zuver­läs­sig funk­tio­nie­ren. Es sieht all­mäh­lich end­lich gut aus. Was macht unse­ren Mail­ser­ver so beson­ders vertrackt?

  1. Es ist ein Viren­fil­ter inte­griert, zur Zeit cla­mav. Die­ser prüft sowohl Mails, die von außen hin­ein­kom­men, als auch sol­che, die unse­re Schü­ler und Lehr­kräf­te ein­lie­fern. So gelangt der Virus vom schlecht gewar­te­ten Schü­ler-PC nicht in eine ande­re Mail­box, son­dern kommt ein­fach mit einem aus­sa­ge­kräf­ti­gen Ver­merk zurück.
  2. Es ist ein Spam­fil­ter inte­griert, zur Zeit spamass­as­sin. Die­ser mar­kiert alles Ver­däch­ti­ge mit einem „*** SPAM ***“ im Betreff, sodass der Nut­zer frei fil­tern kann. Schwie­rig ist, dass es das auch bei Mails tut, die KuK oder SuS ein­lie­fern und wenn die­se z.B. an die gan­ze Klas­se sen­den, erhö­hen die zusätz­li­chen Emp­fän­ger den Spam­S­core doch beträcht­lich. Da muss man etwas tricksen.
  3. Wir set­zen auf dem Ser­ver LDAP als zen­tra­le Authen­ti­fi­zie­rungs­me­tho­de ein. Man muss sowohl post­fix als MTA als auch SASL (sas­lau­thd) dazu über­re­den, mit dem LDAP zu kom­mu­ni­zie­ren. Letz­te­res ist nicht ganz ein­fach – aber jetzt kön­nen Mails sowohl lokal als auch via E‑Mailclient ein­ge­lie­fert werden.
  4. Als Web­mail­ober­flä­che wird Round­cu­be zum Ein­satz kom­men – sehr auf­ge­räumt und fast wie Outlook…

Nach­dem die­se inte­gra­le Geschich­te end­lich läuft, kann ich mich um Schman­kerl wie SMTP-SSL, IMAP-SSL  (POP3 wer­de ich nicht mehr anbie­ten…) und WEB-SSL küm­mern, um damit anzu­bie­ten, alle unse­re Diens­te auch ver­schlüs­selt zu nut­zen. Dank Level-2-Zer­ti­fi­zie­rung kann ich mir jetzt Zer­ti­fi­ka­te signie­ren las­sen bis der Arzt kommt.

Dann steht die Karos­se­rie und die bun­te Hül­le kann dar­über gezo­gen wer­den (Mood­le, Maha­ra, Word­Press­MU, Frox­lor…). Aber das ist im Prin­zip Kinderkacke…

Tech-Talk Konfiguration, Mailserver, Schule, Server

OpenLDAP 2.4 mit qmail-Schema

2 Kommentare

In eige­ner Sache: Hm – die Fall­hö­he zum vor­an­ge­hen­den Arti­kel ist schon krass… Erst eher Lyri­sches, dann pro­fan Tech­ni­sches, aber nun denn…

Vor­ge­schich­te

Unser Schul­ser­ver migriert zur Zeit auf leis­tungs­fä­hi­ge­re Hard­ware: Hetz­ner bie­tet die Vor­se­rie zu den aktu­el­len Model­len zur Zeit ohne Ein­rich­tungs­ge­bühr an. Inte­gra­ler Bestand­teil mei­nes Set­ups ist dabei OpenLDAP (Das Pen­dant bei Klein­weich Fens­ter heißt Acti­ve­Di­rec­to­ry – ist aber im Prin­zip eine LDAP-Imple­men­tie­rung). So braucht jeder nur ein Pass­wort für alle Diens­te, die die Schu­le zur Zeit anbie­tet. Prin­zi­pi­ell ist das alles mög­lich, was mit LDAP spricht – und etwas ande­res kommt mir eh nicht auf die Plat­te. Mood­le, Maha­ra, Word­Press, Egroup­ware, Elgg, Media­Wi­ki usw. spre­chen zumin­dest alle­samt LDAP wie auch unser Mailsystem.

Es lag nahe, bei dem Umzug gleich auch die Ser­ver­soft­ware auf eine aktu­el­le­ren Stand zu brin­gen: Bis­her nutz­te ich Ubun­tu 8.04 LTS (Har­dy Heron) mit drei von­ein­an­der getrenn­ten vir­tu­el­len Maschi­nen (eine für die Home­page, eine für Mood­le & Co. und eine zum Spie­le für die inter­es­sier­ten Kol­le­gin­nen und Kollegen.

Das Set­up war Mist, weil sich drei (mit der domU sogar vier) unter­schied­li­che Maschi­nen schwer war­ten und sichern las­sen. Außer­dem ver­schluck­te sich der Hyper­vi­sor stets, wenn mehr als zwei CPU-Ker­ne zu vir­tua­li­sie­ren waren, sodass effek­tiv nur ein Kern nutz­bar wur­de.  Daher schwen­ke ich nun um auf Ubun­tu 10.04 LTS (Lucid) und fas­se die vir­tu­el­len Maschi­nen zu einer zusam­men – dann gibt es auch etwas mehr Power, wenn­gleich auch spä­te­re Erzie­hungs­maß­nah­men hin zur Nut­zung von FTPS und eine stren­ge­re Poli­cy für den Zugriff von Kol­le­gen auf den Ser­ver auf Fileebene.

Der Kampf

Lucid kommt mit OpenLDAP 2.4 daher. Neu ist vor allem, dass slapd nun sei­ne sämt­li­chen Kon­fi­gu­ra­ti­ons­da­ten in einem sepa­ra­ten LDAP-Baum spei­chert und neu ist vor allem, dass das ent­spre­chen­de Paket in Lucid nur sehr mager vor­kon­fi­gu­riert ist – z.B. ist ledig­lich das core-Sche­ma inte­griert. Ich brau­che für mei­nen LDAP jedoch zusätz­lich fol­gen­de Sche­men: cosi­ne, inet­org­per­son, qmail. Die Sche­men müs­sen in die Daten­bank. Freund­li­cher­wei­se lie­fert Lucid eine Rei­he von Sche­men mit:

lda­padd ‑Y EXTERNAL ‑H ldapi:/// ‑f /etc/ldap/schema/cosine.ldif
lda­padd ‑Y EXTERNAL ‑H ldapi:/// ‑f /etc/ldap/schema/inetorgperson.ldif

Wei­ter­le­sen

Tech-Talk Konfiguration, ldif, lucid, openldap, qmail, qmail.ldif, schema, slapd
1 13 14 15 16 17 24