Per WLAN Zugriff auf die pädagogische Oberfläche

Unser Schul WLAN setzt auf einem Rembo Server mit Logodidakt auf.  Dort verfügen die Nutzer  über eigene Ordnerstrukturen.  Schülerinnen und Schüler die für unser WLAN authorisiert sind, können über WebDAV mit ihren mobilen Endgeräten auf unser pädagogisches System  zugreifen, solange sie sich im Empfangsbereich unseres WLan befinden.  Das geht z.B. Mit  Good Reader kann im Bereich Server ein neuer Server per Add hinzugefügt werden


Aus der Liste der Server sucht man sich WebDAV heraus….


Dann noch schnell die Zugangsdaten erfasst:  bei uns ist das einfach //:files und dann Name/Passwort  und schon wird man verbunden.

Der Vorteil dieser Technologie ist, dass sich Schülerinnen und Schüler mit ihren eigenen Endgeräten (BYOD) gefahrlos ins pädagogische Netz integrieren können. Dies ermöglicht ohne großen Aufwand auch temporäre, flexible multimediale Unterrichtskonzepte ohne die mit einem Umzug in den PC Raum – oder holt mal die Notebooks – verbundenen Unterrichtunterbrechungen. Viele kostenlose Apps wie z.B. Pydio erlauben die Einrichtung einer WebDAV Verbindung. In vielen Apps sind solche Serveranbindungen bereits enthalten. die Einrichtung ist immer identisch. Benötigt werden URL, Zugangsname und Passwort. Diese Informationen sollten Sie von Ihrer Schul-IT erhalten.

{ 0 comments }

2. Mein persönlicher Einstieg

Im Herbst 2009 machte ich meine ersten Schritte als Vertretungslehrer an einer Hauptschule und im Frühjahr 2010 als Vertretungslehrer an einem Berufskolleg für Metalltechnik und Maschinenbau. Nachdem ich 35 Jahre lang gewohnt war in meinem Beruf mit unterschiedlichen Computern, PC’s, Notebooks, Handhelds, Smartphones und Tablets sowie Software und Betriebssystemen zu arbeiten waren Tafel und Kreide, Flip-Chart und Overhead-Projektorein kleiner Kulturschock. Als Softwarearchitekt und Anwendungsentwickler für Webtechnologien war ich Arbeiten auf einem anderen Niveau gewohnt. Bei Projekten, welche ich für Institutionen, Agenturen, Wirtschaft und Industrie durchführte hatten sowohl für die Planung als auch für die  Durchführung und Verwirklichung eingesetzten Werkzeuge, Systeme und Prozesse auf dem neuesten Stand der Technik, beste Praxis und Agil zu sein.

E-Education, E-Learning, E-Teaching, Digital Signage, Kiosk-Systeme, Infotainement sind seit mehr als 10 Jahren Hilfsmittel um Informationen, Weiterbildung und nachhaltiges Lernen in Wirtschaft und Industrie zu unterstützen. Präsentationen mit Powerpoint & Co sind seit langer Zeit bereits so Standard, dass niemand diese mehr sehen will und seit einigen Jahren ein Streben nach neuen Ideen und Entwicklungen zu beobachten ist um nachhaltiger, kreativer und ohne Redundanz zu präsentieren. Dialogische Präsentationen mit Prezi, Webinare, iTunes-U sind nur einige solcher Systeme mit hoher Individualisierung.

Mein Entschluss das zweite Staatsexamen in Mathematik und Fertigungstechnik zu machen, brachte mir im Bereich der Integration von Notebook, Tablet, Smartphone in didaktische Konzepte keine Fortschritte. Im Gegenteil – es wurde mir von Fachleitern empfohlen doch mehr mit Folien zu arbeiten und Tafel und Kreide zu benutzen…

Moderne und erprobte didaktische Konzepte – Handlungsorientierung, Situationsorientierung, Kompetenzorientierung,  Individuelles Lernen … und dann sowas. Ich war froh als ich innerhalb dieser tollen Konzepte endlich frei arbeiten und aktuelle Werkzeuge erproben und einsetzen durfte. Schülerzentriert und Lehrerbezogen beide sollten was davon haben…

 

{ 0 comments }

 

Teil 1 – Aspera

Plötzlich reden alle von der Verwendung mobiler Endgeräte im Unterricht. Seit 10 Jahren gibt es die Dinger und unsere Unterrichtsrealität sieht leider immer noch so aus, dass Schulen Smartphones verbieten, Lehrerinnen und Lehrer Smartphones und Tablets einsammeln und die Verwendung unter Strafe stellen.  Hat da der lustige Herr Spitzer gewonnen und die Kreativität der Bauklötzchen gesiegt?  Ich fühle mich zurückversetzt in die Zeit der ersten Taschenrechner. Einigen meiner Professoren waren die programmierbaren HP und TI Rechner so suspekt, dass nur mit dem Rechenschieber ermittelte Ergebnisse gültig waren.

Verliert der Lehrende an Macht wenn Schülerinnen und Schüler sozusagen in Echtzeit per Wikipedia den Unterricht fachlich und sachlich überprüfen können oder gar per YouTube eine verständlichere Lektion erfahren?

Wäre nicht allen gedient, wenn wir als Lehrerinnen und Lehrer uns für neue Wege und zusätzliche Perspektiven begeistern könnten – uns die neue Vielfalt zu Nutze machten und statt herumzumeckern uns mit den geänderten didaktischen und methodischen Randbedingungen auseinandersetzen?

Ist es nicht sinnvoller Schülerinnen und Schülern den kritischen Umgang mit den neuen Möglichkeiten beizubringen, gemeinsam das veränderte Lernen zu erforschen, Neues zu entdecken, Schlechtes zu entlarven…img_5441

Tatsache ist, dass unser Bildungssystem denkbar schlecht aufgestellt ist um neue Technologie zielführend und effizient in unsere didaktischen und methodischen Konzepte einzubinden. Die Lehrerausbildung berücksichtigt weder die geänderten Prozesse noch die Systeme in notwendigem und hinreichendem Umfang. Konzepte sind Mangelware und die notwendige Infrastruktur fehlt an den meisten Schulen. Hinzu kommt ein verwirrendes Angebot an Hardware, Software, Apps  und damit verbundene mögliche Abhängigkeiten von Herstellern und Betriebssystemen. Viele Schulen arbeiten noch mit Windows XP oder Windows 7 , haben kein schnelles WLAN, benutzen noch PC-Räume mit Desktop Rechnern und die Administration wird den Kolleginnen und Kollegen aufgehalst die dummerweise irgendwann kundgetan haben, dass sie sich für Computer interessieren. Verwunderlich – bedenkt man das notwendige erforderliche Budget im Haushalt des Schulträgers. Schulen mit 2000 Schülerinnen und Schülern und 100 Kollegen sind durchaus vergleichbar mit mittelständischen Unternehmen, die eigene IT-Abteilungen unterhalten. Bei Schulen wird erwartet, dass Lehrerinnen und Lehrer das kostenlos in ihrer Freizeit erledigen. Bei Software wird auf OpenSource Software zurückgegriffen und munter kopiert damit ja kein Geld ausgegeben wird. Nach wie vor beinhaltet die Lernmittelfreiheit nur Bücher und keine Tablets oder Notebooks, E-Books sind Mangelware und kostenlose E-Books gibt es nur in Polen…Ah der Cloud Service – geht nicht die Daten könnten ja bei den bösen Amis landen – dass beispielsweise das Land NRW sich mit DropBox einigt oder einen eigenen Clousservice zur Verfügung stellt – Fehlanzeige. Der von der Stadt Köln empfohlene Cloudservice will mehr Daten der Benutzer einsammeln und verlangt zusätzliche administrative Maßnahmen, so dass sich das ganze nicht lohnt.

BYOD ist die Devise der Schulträger um sich die Kosten vom Hals zu schaffen – da landet der schwarze Peter wieder bei Eltern, Schülern, Lehrern.  Gibt es einen Ausweg aus dieser Situation? Ist Apple als einziger Hersteller mit einem klaren und seit Jahren erprobten Konzept für alle Schularten der Retter in der Not?

Machen wir damit unser Bildungssystem nicht abhängig?

Ist es nicht auch möglich ein heterogenes Konzept zu fahren bei dem unterschiedliche Endgeräte mit gleicher Software und Apps funktionieren?

Welche Infrastruktur ist nötig?

Was muss die Bildungspolitik leisten um Schülerinnen und Schüler, Eltern, Lehrerinnen und Lehrer zu unterstützen?

Was ist mit Qualitätsentwicklung an der Schule? Der Schulaufsicht?

Wie passt das Alles in moderne didaktische Konzepte?

Fragen über Fragen, die ich versuchen werde in meinen nächsten Artikeln aus meiner Sicht zu beantworten. Denn als ich 2009 als Lehrer an einer Hauptschule begann stand ich genau vor diesem Problem:

Was tun mit meinem Smartphone im Unterricht…

Oder wie ich dennoch meinen Weg und mein didaktisches Konzept gefunden habe …

{ 0 comments }

Automatisches entpacken von Zips verhindern

Contentmanagementsysteme wie Joomla oder WordPress aktualisieren oder installieren beispielsweise Themen und Plugins  mittels komprimierten .zip-Archiven. Sind diese Archive entpackt und werden wieder neu gepackt erkennen weder WordPress noch Joomla dass es sich hier um Installationsdateien handelt. OSX entpackt via Safari heruntergeladene Archive sofort – um dieses Verhalten (automatisches Entpacken von Archiven) zu unterdrücken, kann bei Safari unter Einstellungen -> Allgemein das Häkchen bei „sichere Dateien …“ herausgenommen werden – und schon bleiben gezippte Archive im installationsfähigen Zustand.safari nozip

{ 0 comments }

seit 5 Jahren benutze ich jetzt TeacherTool und es war eigentlich in der Version 4.xx sehr gut und hilfreich. In der Version 5 hat Udo die Bedienerführung und das Erscheinungsbild vornehm zurückhaltend angepasst aber „unter der Haube“ kräftig die Effizienz verbessert und beispielsweise das Kursbuch zu einem Kompletten Werkzeug für Unterrichtsplanung, Vorbereitung und Organisation aufgepumpt. So kann ich zu jeder einzelnen Unterrichtsstunde digitalisierte Materialien hinzufügen auch die Verwaltung des Kursbuches ist intuitiver geworden.

Die Leistungen und Fehlzeiten von Schülerinnen und Schülern können nun graphisch dargestellt werden und sind so Hilfreich für Beurteilung und Zielgespräche mit einzelnen Schülerinnen und Schülern. Bei der Auswahl einer Schülerin oder Schülers können die anderen KursteilnehmerInnen ausgeblendet werden – das dient nicht nur dem Datenschutz.

Die anderen herausragenden Features wie die Erfassung von Klausuren als Prüfungen mit Einzelaufgaben und die Zuordnung unterschiedlicher – auch selbst gestalteter Schlüssel zur Punkteverteilung und Benotung – blieben unverändert. Nur dieses Feature hat mir eine Menge Zeit eingespart und ich habe keine leidigen Nachbesserungsdiskussionen mehr.

Bei der Installation erkennt TeacherTool 5 dass eine Datenbank der Vorgängerversion vorhanden ist (sofern diese besteht) und importiert auf Wunsch die aktuelle Datenbank. Nachteil – es wird nur die gerade aktive Datenbank importiert und nicht alle auf dem IOS Gerät befindlichen Datenbanken auf einmal. Diese müssen dann etwas Mühsam einzeln exportiert werden und entweder per E-Mail oder iTunes in TeacherTool 5 übertragen werden. Das hätte ich mir einfacher gewünscht.

Was ich mir noch Wünschen würde wäre eine vereinfachte Klassenlehrerfunktion in der ich Noten aus anderen Kursen und einen Klassenstundenplan mit Kollegen und deren Emails verwalten kann. Derzeit behelfe ich mir mit den vorhandenen Mitteln indem ich einen Klassenkurs mit Noten für die einzelnen Fächer anlege und in den Bemerkungen die Kollegen mit Kontaktdaten erfasse. das funktioniert ganz gut. Einen Workaround für den Stundenplan habe ich noch nicht gefunden – ich suche noch…

{ 0 comments }

Das iPad als „ImmerDabeiZweitMonitor“

Beim Recherchieren, der Unterrichtsvorbereitung und Arbeiten mit OSX-Apps die viele Einstellungen bieten wie z.B. Photoshop ist ein zweiter Bildschirm eine hilfreiche Angelegenheit. Nicht immer schleppt man einen Cinema Display mit sich herum. Warum nicht das iPad als Zweitmonitor für ein MacBook „missbrauchen“?  Das funktioniert prima mit der App von Duetdisplay

Die Duet App startet auf dem iPad

Duet App auf dem iPad – nach dem Start wird der erweiterte Monitor des MacBook abgebildet.

duet

Auf dem MacBook ist Duett in der Symbolleiste zu finden. Viele Einstellungen gibt es nicht. Alle Bildschirmeinstellungen können wie bei jedem Zweitmonitor in Systemeinstellung Monitore gemacht werden.

 

. Die App gibt es im AppStore. Auf der Webseite von Duftdisplay erhält man die dazugehörende kostenlose App für das MacBook. Duet wird als kleines Symbol in der Symbolleiste des MacBooks angezeigt. Nun nur noch das iPad per Lightning/USB Kabel mit dem MacBook verbinden und die Duett App starten. Danach kann über die Systemeinstellung – > Monitore die Anordnung des iPads als Zweitmonitor von rechts nach links geändert werden (Diese Einstellung bestimmt die Übergangsseite der Maus – bei links lässt sich die Maus an der linken Seite aus dem MacBook Monitor auf den iPad Monitor bewegen) oder die Einstellung von erweitertem Bildschirm auf Synchronisation geändert werden.  Die Touchbedienung des iPad bleibt dabei erhalten und damit natürlich auch die Bedienung per Eingabestift. Dadurch eröffnen sich vielfältige interessante Anwendungsmöglichkeiten. Da jetzt OSD-Apps mit dem Finger bedient werden können…

{ 0 comments }

OSX Server Benutzer, Administratoren & Co

Der Nachfolgende Text enthält die Informationen aus der offiziellen Hilfe von Apple für den OSD Yosemite und Mavericks Server, mit Bemerkungen wo ich es für notwendig halte.

Jede Person, die Dienste von OS X Server also auch dem Profile Manager verwenden möchte, benötigt einen Benutzeraccount. Wer mit dem Profil-Manager viele Benutzer verwalten will sollte Benutzer und Benutzergruppen anlegen, welche sich dann über ein Netzwerk mit dem OSX-Server und dem Profil Manager dienst verbinden.

Ein Benutzeraccount dient verschiedenen Zwecken: Er ermöglicht es dem Benutzer, sich gegenüber Diensten zu authentifizieren, er steuert, welche Dienste dem Benutzer zur Verfügung stehen, und er legt die Gruppenmitgliedschaft des Benutzers fest. Mit der Server-App können Sie auf Ihrem Server eigene Accounts für Benutzer und für Gruppen erstellen. Sie können Ihren Server aber auch so konfigurieren, dass er Benutzer von einem anderen Netzwerkaccountserver (Open Directory- oder LDAP-Server) Ihrer Organisation übernimmt. Neben dem Erstellen und dem Importieren von Benutzern haben Sie außerdem auch die Möglichkeit, direkt auf die Benutzer- und Gruppenaccounts zuzugreifen, die sich auf dem Netzwerkaccount-Server Ihrer Organisation befinden.

Benutzeraccounts

Ein Benutzer, dessen Account auf Ihrem Server definiert ist, erhält Zugriff auf alle Dienste, die von Ihrem Server bereitgestellt werden. Ein Benutzeraccount enthält alle Informationen, die ein Benutzer benötigt, um sich gegenüber Diensten zu identifizieren, die eine Authentifizierung erfordern. Ein Benutzeraccount ist darüber hinaus ein zentraler Speicherort für benutzerspezifische Kontaktinformationen und Daten.

Sie können in der Server-App im Bereich „Benutzer“ einen neuen Benutzeraccount auf eine der folgenden Weisen hinzufügen:

  • Erstellen eines Benutzeraccounts

  • Berechtigen der Accounts auf einem Netzwerkaccount-Server zum Zugriff auf Ihren Server, sofern Ihr Server mit einem Netzwerkaccount-Server (auch als Verzeichnis- oder Directory-Server bezeichnet) Ihrer Organisation verbunden ist

  • Importieren von Accounts aus einer Datei

Im Bereich „Benutzer“ der Server-App werden lokale Accounts (darunter fallen auch Accounts, die mithilfe der Systemeinstellungen definiert wurden), Netzwerkaccounts, die auf dem Netzwerkaccount-Server Ihres Servers gespeichert sind, sowie importierte Benutzeraccounts aufgelistet.

Lokale Benutzeraccounts

Benutzer, die über die Administratorrechte für ihre Mac-Computer verfügen, können in der Systemeinstellung „Benutzer & Gruppen“ lokale Benutzeraccounts erstellen. Diese lokalen Accounts werden auf den Benutzercomputern gespeichert. Jedem lokalen Account ist ein Benutzerordner auf dem Computer zugeordnet, und jeder lokale Account kann für die Anmeldung an dem jeweiligen Computer verwendet werden. Mit den lokalen Benutzeraccounts auf ihren Computern ist es den Benutzern aber nicht möglich, über das Netzwerk auf Ihren Server zuzugreifen. Mit den lokalen Benutzeraccounts auf dem Server können die Benutzer über das Netzwerk auf Ihren Server zuzugreifen.

Ähnlich wie auf den Mac-Computern der Benutzer gibt es auch auf Ihrem Server lokale Accounts – zusätzlich zu den Serveraccounts. Alle lokalen Accounts Ihres Servers können dazu verwendet, die Anmeldung am Server vorzunehmen, und lokale Accounts mit Administratorrechten ermöglichen zusätzlich die Verwaltung des Servers.

Lokales Netzwerk und Netzwerkverzeichnis-Accounts

Netzwerkaccounts können auf dem Netzwerkaccount-Server Ihrer Organisation oder einem anderen Netzwerkaccount-Server gespeichert sein, mit dem Ihr Server verbunden ist. Sie können die Server-App verwenden, um einen Netzwerkaccount-Server auf Ihrem Server zu aktivieren. Wird der Netzwerkaccount-Server nicht aktiviert, werden alle Accounts, die Sie auf Ihrem Server erstellen, im lokalen Verzeichnis Ihres Servers gespeichert.

Es gibt einige Gründe, Netzwerkaccounts auf Ihrem Server zu speichern:

  • Ihr Unternehmen hat einen Netzwerkaccount-Server, auch als Verzeichnisserver oder Directory-Serverbezeichnet, und Sie wollen, dass Personen ihre vorhandenen Netzwerkaccounts für Ihren Server verwenden.

  • Sie planen, mehrere Server einzusetzen, und wollen, dass jeder Benutzer einen Netzwerkaccount hat, der für alle Ihre Server verwendet werden kann.

  • Sie wollen den Profilmanager verwenden, um Mac-Computer mit OS X und iOS-Geräte wie iPhone, iPad und iPod touch zu verwalten.

Typen von Benutzeraccounts

OSD-Server kann eigene Netzwerkaccounts bereitstellen oder die Accounts eines vorhandenen Netzwerkservers verwenden.

Im Folgenden sehen Sie eine vergleichende Übersicht über die drei Accounttypen.

Merkmal

Lokaler Account

Lokaler Netzwerkaccount (auf Ihrem Server)

Netzwerkaccount von vorhandenem Server

Speicherort

Lokales Verzeichnis

Open Directory des Servers

Anderer Netzwerkserver

Ersteller/Erstellort

Sie (als Serveradministrator) in den Systemeinstellungen oder mit der Server-App

Sie (als Serveradministrator) mit der Server-App

Der Administrator des Netzwerkaccount-Servers

Mitgliedschaft in Netzwerkgruppen

Zulässig

Zulässig

Zulässig

Unterstützung in Systemeinstellungen

Bearbeiten (inkl. Ändern des Passworts), lokale Gruppenmitgliedschaft

Ändern des Passworts

Nicht verfügbar

Lokaler Zugriff auf Serverdienste

Vollzugriff

Vollzugriff

Kein Zugriff. Dienstzugriff muss eingeräumt werden.

Fernzugriff auf Serverdienste

Vollzugriff

Vollzugriff

Kein Zugriff. Dienstzugriff muss eingeräumt werden.

Zugriff auf Gruppenordner

Vollzugriff

Vollzugriff

Vollzugriff für Mitglieder der Gruppe

Benutzerordner auf Server

Ja

Ja

Nein

Administratorenaccounts

Damit Sie mit der Server-App weitere Benutzeraccounts sowie Gruppen erstellen und die Servereinstellungen ändern können, brauchen Sie einen Administratoraccount auf Ihrem Server. Ein solcher Administratoraccount ist auch die Voraussetzung dafür, dass Sie gesperrte oder geschützte Systemeinstellungen ändern, zusätzliche Software auf Ihrem Server installieren und andere Aufgaben wahrnehmen können, zu denen ein „Standard“-Benutzer nicht berechtigt ist

Anfangs sind auf Ihrem Server außer dem primären Administratoraccount keine weiteren Administratoraccounts vorhanden. Wenn Sie auf Ihrem Server einen Netzwerkaccount-Server aktivieren (auch als Verzeichnis- oder Directory-Server bezeichnet), erhält Ihr Server zusätzlich zum primären Administratoraccount einen Directory-Administratoraccount.

Primärer Administratoraccount

Der primäre Administratoraccount ist auf jedem Server vorhanden. Der Name und das Kennwort für diesen Account werden beim Einrichten des Servers festgelegt. Der primäre Administratoraccount wird im lokalen Verzeichnis gespeichert, in dem auch die anderen Benutzeraccounts gespeichert werden, die Sie im Bereich „Benutzer & Gruppen“ der Einstellungen erstellen. Sie können sich mit diesem Administratoraccount direkt an Ihrem Servercomputer anmelden, ihren Servercomputer mit diesem Account aber auch von einem Mac über das Netzwerk verwalten.

Directory-Administratoraccount

Standardmäßig stellt OS X ein lokales Verzeichnis zur Verfügung, aktiviert aber nicht den Netzwerkaccount-Server, mit dem Netzwerkaccounts verwaltet werden. Sie können diesen Netzwerkaccount-Server aber jederzeit in der Server-App aktivieren.

Wenn Sie den Netzwerkaccount-Server aktivieren, erhält Ihr Server einen zusätzlichen Directory-Administratoraccount. Dieser Account wird erstellt, wenn Sie Open Directory in der Server-App konfigurieren. Standardmäßig lautet dessen vollständiger Name „Directory Administrator“ und der Kurzname „diradmin“.

Der Directory-Administratoraccount wird auf dem Netzwerkaccount-Server gespeichert, in dem auch die anderen Benutzeraccounts gespeichert werden, die Sie im Bereich „Benutzer“ der Server-App erstellen. Wenn eine Störung den primären Administratoraccount unbrauchbar macht, können Sie den Directory-Administratoraccount des Servers verwenden, um sich in der Server-App zu authentifizieren und den Server lokal oder entfernt zu verwalten.

Der Directory-Administratoraccount wird standardmäßig nicht im Bereich „Benutzer“ der Server-App angezeigt. Sie können aber den Directory-Administrator- und auch alle anderen Administrator- und Systemaccounts anzeigen, indem Sie „Darstellung“ > „Systemaccounts anzeigen“ auswählen.

Die folgende Tabelle bietet einen Vergleich zwischen dem primären Administratoraccount und dem Directory-Administratoraccount.

Merkmal

Primärer Administrator

Directory-Administratoraccount

Name und Kurzname

Festlegung beim Einrichten des Servers

„Directory Administrator“ bzw. „diradmin“

Speicherung im lokalen Verzeichnis des Servers

Ja

Nein

Speicherung im Netzwerkaccount-Server des Servers

Nein

Ja

Nutzungsmöglichkeit auf Administratorcomputer

Ja

Ja

Hinzufügen von Administratoren

Sie können neue Administratoren hinzufügen, wenn Sie neue Benutzeraccounts erstellen. Sie können aber auch bestehende Accounts ändern.

  • Wählen Sie die Option „Der Benutzer darf diesen Server verwalten“, wenn Sie einen neuen Benutzer erstellen möchten.

  • Wenn Sie einen vorhandenen Benutzer zum Administrator hochstufen möchten, wählen Sie den Benutzer durch Doppelklicken aus und wählen Sie dann „Diesen Server verwalten“.

Sicherheitsaspekte für Administratoraccounts

Um die Sicherheit und den Schutz Ihres Servers nicht zu gefährden, sollten Sie Folgendes beachten:

  • Teilen Sie den Administratornamen und dessen Kennwort niemand anderem mit.

  • Melden Sie sich ab, wenn Sie sich vom Servercomputer entfernen, oder richten Sie im Bereich „Sicherheit“ der Einstellungen einen Bildschirmschoner mit Sperrfunktion ein. Wenn Sie angemeldet bleiben, solange Sie sich nicht beim Servercomputer aufhalten, und der Bildschirmschoner keine Sperrfunktion hat, kann ein Unbefugter die Gelegenheit ergreifen, unter Missbrauch Ihrer Administratorrechte Änderungen an den Servereinstellungen vorzunehmen.

  • Schalten Sie die Option „Automatische Anmeldung“ im Bereich „Benutzer & Gruppen“ > „Anmeldeoptionen“ aus. Wenn die Anmeldung am Server als Administrator erfolgt, kann ein Unbefugter den Server neu starten, um als Administrator auf den Server zuzugreifen.

  • Machen Sie es sich zur Angewohnheit, sich als „Standard“-Benutzer anzumelden. Sie erhöhen dadurch die Sicherheit und den Schutz für Ihren Server. Verwenden Sie Ihren Administratornamen und das zugehörige Passwort nur, wenn Sie die Server-App öffnen oder eine andere App ausführen wollen, die Administratorrechte voraussetzt.

Anzeigen von System- und Administratoraccounts

Standardmäßig werden im Bereich „Benutzer“ der Server-App alle Benutzeraccounts sowie der primäre Administratoraccount, nicht aber der root-Account und der Account des Directory-Administrators angezeigt.

Diese Accounts werden bewusst nicht angezeigt, da sie nicht bearbeitet und auch nicht für die Anmeldung an einem Clientcomputer verwendet werden sollten.

  • Wählen Sie in der Server-App „Darstellung“ > „Systemaccounts anzeigen“ aus.

    Wählen Sie „Darstellung“ > „Systemaccounts ausblenden“, wenn die angezeigten Systemaccounts wieder ausgeblendet werden sollen

Erstellen eines Benutzeraccounts

Sie können in der Server-App einen Account für jede Person erstellen, die die von Ihrem Server bereitgestellten Dienste nutzt. Sie können einen lokalen Benutzeraccount oder einen Account für einen lokalen Netzwerkbenutzer erstellen.

Sie können von Ihnen vorab erstellte Vorlagen verwenden, um dem neuen Benutzer vordefinierte Einstellungen zuzuordnen. Weitere Informationen finden Sie unter Erstellen von Vorlagen.

  1. Wählen Sie „Benutzer“ in der Seitenleiste der Server-App aus.

  2. Klicken Sie auf das Einblendmenü, wählen Sie „Lokale Benutzer“ oder „Lokale Netzwerkbenutzer“ aus und klicken Sie auf „Hinzufügen“ hinzufügen.

    Die Accounts lokaler Benutzer werden auf Ihrem lokalen Computer gespeichert, während Accounts für lokale Netzwerkbenutzer auf Ihrem Open Directory-Server gespeichert werden. „Lokale Netzwerkbenutzer“ wird im Einblendmenü nur angeboten, wenn ein Open Directory-Server ausgeführt wird und verfügbar ist. Weitere Informationen finden Sie unter Benutzeraccounts.

  3. Wählen Sie, sofern Sie Vorlagen erstellt haben, die gewünschte Vorlage im Einblendmenü „Vorlage“.

    In die Felder für den neuen Benutzer werden automatisch die vordefinierten Einstellungen aus der Vorlage übernommen.

  4. Geben Sie in das Feld „Vollständiger Name“ den Namen für den Benutzer ein.

    Der Name darf maximal 255 Zeichen (bzw. maximal 85 japanische Schriftzeichen) umfassen und auch Leerzeichen enthalten.

  5. Behalten Sie im Feld „Accountname“ den generierten Kurznamen bei oder geben Sie einen Kurznamen Ihrer Wahl ein.

    Nachdem der Account erstellt wurde, kann dieser Kurzname nicht mehr geändert werden.

    Der Kurzname ist normalerweise maximal acht Zeichen lang, er darf aber bis zu 255 lateinische Zeichen umfassen. Zulässig sind Klein- und Großbuchstaben (a bis z und A bis Z), die Ziffern 0 bis 9 sowie die Zeichen „.“ (Punkt), „_“ (Unterstreichungszeichen/Tiefstrich) und „-“ (Bindestrich).

    Hinweis: Wenn für einen Benutzer ein Kurzname auf einem Mac-Computer definiert ist, sollten Sie versuchen, für den Account des Benutzers auf Ihrem Server den vorhandenen Kurznamen zu verwenden. Die Vereinheitlichung des Kurznamens erleichtert den Zugriff des Benutzers auf die bereitgestellten Dienste.

  6. Geben Sie in das Feld „E-Mail-Adresse“ die E-Mail-Adresse des Benutzers ein.

  7. Geben Sie das Kennwort für den Benutzer in die Felder „Passwort“ und „Bestätigen“ ein.

    Sie können zum Erstellen des Passworts den Passwortassistenten verwenden. Wenn Sie auf die Taste rechts neben dem Feld „Passwort“ klicken, können Sie sehen, wie sicher das von Ihnen eingegebene Passwort ist. Der Benutzer kann dieses Passwort auf seinem Computer im Bereich „Benutzer & Gruppen“ der Einstellungen ändern.

  8. Klicken Sie auf die Silhouette, wenn Sie dem Benutzer ein Bild zuordnen wollen. Wählen Sie danach eines der angebotenen Standardbilder aus, oder klicken Sie auf „Bild bearbeiten“, wenn Sie ein Bild Ihrer Wahl zuweisen wollen.

    Nach dem Klicken auf „Bild bearbeiten“ haben Sie die Möglichkeit, entweder ein Foto mit der Kamera Ihres Computers aufzunehmen oder eine auf Ihrem Computer bereits gespeicherte Grafikdatei auszuwählen. Das neu aufgenommene Foto bzw. das ausgewählte Bild können Sie im Auswahlrahmen bewegen, bis darin der gewünschte Ausschnitt zu sehen ist, und mithilfe des Reglers vergrößern und verkleinern. Klicken Sie auf „Festlegen“, wenn das Bild Ihren Vorstellungen entspricht.

  9. Klicken Sie auf „Erstellen“.

    Ändern der Accounteinstellungen eines Benutzers

    Sie können in der Server-App für einen Benutzer den Namen, das Bildsymbol, das ihn repräsentiert, die Administratorzugriffsrechte und die Gruppenmitgliedschaften ändern.

    Darüber hinaus können Sie die erweiterten Einstellungen eines Benutzers bearbeiten, zum Beispiel die Benutzer-ID, die Gruppe, der er angehört, den Kurznamen, seine Aliasnamen (zusätzliche Kurznamen), die Anmelde-Shell und den Benutzerordner. Diese erweiterten Einstellungen werden festgelegt, wenn Sie einen Benutzeraccount erstellen oder importieren.

    Lassen Sie beim Ändern dieser Einstellungen erhöhte Vorsicht walten, da ungültige Einstellungen dazu führen können, dass sich der betroffene Benutzer nicht mehr anmelden kann.

    Grundlegende Accounteinstellungen eines Benutzers ändern

    1. Wählen Sie „Benutzer“ in der Seitenleiste der Server-App aus.

    2. Doppelklicken Sie auf einen Benutzeraccount.

      Möchten Sie mehrere Accounts auswählen, halten Sie die Befehlstaste beim Klicken auf die Benutzeraccounts gedrückt und klicken Sie dann auf das Aktionsmenü Zahnrad. Wählen Sie anschließend „Benutzer bearbeiten“ aus.

    3. Führen Sie einen der folgenden Schritte aus:

      Gewünschte Aktion

      Vorgehensweise

      Namen des Benutzers ändern

      Geben Sie in das Feld „Vollständiger Name“ den Namen für den Benutzer ein.

      Der Name darf maximal 255 Zeichen (bzw. maximal 85 japanische Schriftzeichen) umfassen und auch Leerzeichen enthalten.

      Festlegen, ob der Benutzer ein Serveradministrator ist (dies ist für mehrere Benutzer gleichzeitig möglich)

      Aktivieren bzw. deaktivieren Sie die Option „Der Benutzer darf diesen Server verwalten“.

      Wählen Sie aus, wo sich der Benutzerordner des Benutzers befindet (dies ist für mehrere Benutzer gleichzeitig möglich)

      Wählen Sie einen Ordner aus dem Einblendmenü „Benutzerordner“ aus.

      Das Einblendmenü „Benutzerordner“ wird nur angezeigt, wenn auf Ihrem Server die Dateifreigabe aktiviert wurde und mindestens eine Freigabe für die Bereitstellung von Benutzerordnern aktiviert wurde.

      Fügen Sie den Benutzer zu einer Gruppe hinzu (dies ist für mehrere Benutzer gleichzeitig möglich)

      Klicken Sie auf die Taste „Hinzufügen“ hinzufügen und geben Sie den Namen einer Gruppe im Verzeichnis Ihres Servers ein. Der Name wird nach der Eingabe der ersten Zeichen automatisch komplettiert. Wählen Sie einen Gruppennamen aus, um den Benutzer als neues Mitglied in diese Gruppe aufzunehmen. Falls der Name nicht automatisch komplettiert wird, müssen Sie prüfen, ob die eingegebenen Anfangszeichen richtig sind.

      Sie können Benutzer nur zu Gruppen Ihres Servers hinzufügen. Sie können sie nicht zu Gruppen in Verzeichnis-Domains hinzufügen, mit denen Sie verbunden sind.

      Benutzer aus einer Gruppe entfernen (dies ist für mehrere Benutzer gleichzeitig möglich)

      Wählen Sie eine Gruppe aus und klicken Sie auf die Taste „Entfernen“ entfernen.

      Alle auf Ihrem Server definierten Benutzeraccounts gehören der Gruppe „Arbeitsgruppe“ an. Sie sollten Benutzer nicht aus dieser Gruppe entfernen.

      Bild für einen Benutzer ändern (dies ist für mehrere Benutzer gleichzeitig möglich)

      Klicken Sie auf die Silhouette bzw. das aktuelle Bildsymbol, wenn Sie dem Benutzer ein anderes Bild zuordnen wollen. Wählen Sie danach eines der angebotenen Standardbilder aus, oder klicken Sie auf „Bild bearbeiten“, wenn Sie ein Bild Ihrer Wahl zuweisen wollen.

      Nach dem Klicken auf „Bild bearbeiten“ haben Sie die Möglichkeit, entweder ein Foto mit der Kamera Ihres Computers aufzunehmen oder ein auf Ihrem Computer gespeichertes Bild auszuwählen. Das neu aufgenommene Foto bzw. das ausgewählte Bild können Sie im Auswahlrahmen bewegen, bis darin der gewünschte Ausschnitt zu sehen ist, und mithilfe des Reglers vergrößern und verkleinern.

      Klicken Sie auf „Festlegen“, wenn das Bild Ihren Vorstellungen entspricht.

    4. Klicken Sie auf „Fertig“, um Ihre Änderungen am Benutzeraccount zu sichern.

    Erweiterte Accounteinstellungen eines Benutzers ändern

    1. Wählen Sie „Benutzer“ in der Seitenleiste der Server-App aus.

    2. Klicken Sie bei gedrückter Taste „ctrl“ auf einen Benutzeraccount und wählen Sie „Erweiterte Optionen“.

      Möchten Sie mehrere Accounts auswählen, halten Sie die Befehlstaste beim Klicken auf die Benutzeraccounts gedrückt und klicken Sie dann bei gedrückter Taste „ctrl“ auf einen ausgewählten Benutzeraccount. Wählen Sie anschließend „Erweiterte Optionen“ aus.

      Folgende Einstellungen sind verfügbar:

      Einstellung

      Beschreibung

      Benutzer-ID

      Diese numerische ID wird bei der Festlegung der Zugriffsrechte für Dateien und Ordner verwendet.

      Gruppe

      Dies ist die UNIX-Gruppe, der der Benutzer angehört. Im Normalfall sollte dies die Gruppe „staff“ sein. Sie können diese Option für mehrere Benutzer gleichzeitig bearbeiten.

      Accountname

      Dies ist der Accountname des Benutzers.

      Aliasnamen

      Dies sind zusätzliche Accountnamen (Kurznamen), die der Benutzer verwenden kann, um sich anzumelden.

      Anmelde-Shell

      Dies ist die UNIX-Shell des Benutzers. Standardmäßig wird „/bin/bash“ verwendet. Sie können diese Option für mehrere Benutzer gleichzeitig bearbeiten.

      Benutzerordner

      Dies ist der Speicherort für den Benutzerordner des Benutzers.

    3. Klicken Sie auf „OK“.

    Zurücksetzen des Passworts eines Benutzers

    Sie können in der Server-App die Passwörter von Benutzeraccounts zurücksetzen, die in der Verzeichnis-Domain Ihres Servers definiert sind. Die Passwörter importierter Accounts können hingegen nicht zurückgesetzt werden.

    Ein Benutzer kann sein persönliches Passwort über die Systemeinstellungen ändern.

    1. Wählen Sie „Benutzer“ in der Seitenleiste der Server-App aus.

    2. Klicken Sie bei gedrückter Taste „ctrl“ auf einen Benutzer und wählen Sie „Passwort zurücksetzen“.

      Möchten Sie die Passwörter mehrerer Benutzer zurückzusetzen, halten Sie die Befehlstaste beim Auswählen von Benutzern gedrückt und klicken Sie dann bei gedrückter Taste „ctrl“ auf einen ausgewählten Benutzer. Wählen Sie dann „Passwort zurücksetzen“ aus.

    3. Geben Sie das neue Passwort für den Benutzer in die Felder „Neues Passwort“ und „Bestätigen“ ein und klicken Sie auf „Passwort ändern“.

      Sie können zum Erstellen des Passworts den Passwortassistenten verwenden. Wenn Sie auf die Taste rechts neben dem Feld „Neues Passwort“ klicken, können Sie sehen, wie sicher das von Ihnen eingegebene Passwort ist. Der Benutzer kann dieses Passwort auf seinem Computer in der Systemeinstellung „Benutzer & Gruppen“ ändern.

      Festlegen der globalen Passwortrichtlinie

      Sie können die Server-App verwenden, um eine globale Passwortrichtlinie festzulegen, die auf alle Nicht-Administratorbenutzer angewendet wird. Änderungen werden wirksam, wenn sich Benutzer das nächste Mal anmelden.

      Es gibt zwei Typen von Richtlinien: Deaktivieren der Anmeldung, wenn bestimmte Bedingungen erfüllt sind, und Passwortbeschränkungen.

      Der Server setzt Passwortrichtlinien für Benutzer durch. Zum Beispiel kann die Passwortrichtlinie eines Benutzers ein Passwortablaufintervall vorsehen. Wenn der Benutzer versucht, sich anzumelden, und der Server ermittelt, dass das Passwort des Benutzers abgelaufen ist, muss der Benutzer ein neues Passwort festlegen, um sich anzumelden.

      Passwortrichtlinien können einen Benutzeraccount an einem angegebenen Datum, nach mehreren Tagen, nach einer Periode der Inaktivität oder nach mehreren fehlgeschlagenen Anmeldeversuchen deaktivieren. Passwortrichtlinien können auch vorsehen, dass Passwörter eine Mindestlänge haben müssen, dass sie mindestens einen Buchstaben enthalten müssen, dass sie mindestens eine Ziffer enthalten müssen, dass sie sich von zuletzt verwendeten Passwörtern unterscheiden müssen oder dass sie regelmäßig geändert werden müssen.

      Passwortrichtlinien wirken sich nicht auf Administratoraccounts aus. Administratoren sind von Passwortrichtlinien nicht betroffen, weil sie diese Richtlinien ändern können und weil das Durchsetzen von Passwortrichtlinien für Administratoren sie Denial-of-Service-Angriffen aussetzen könnte.

      1. Wählen Sie „Benutzer“ in der Seitenleiste der Server-App aus.

      2. Klicken Sie auf das Aktionsmenü Zahnrad und wählen Sie „Globale Passwortrichtlinie bearbeiten“.

      3. Wählen Sie die zu aktivierenden Optionen aus und klicken Sie dann auf „OK“.

      Löschen eines Benutzeraccounts

      Sie können in der Server-App Benutzeraccounts löschen, die nicht mehr benötigt werden.

      Beim Löschen eines Benutzeraccounts werden auch die Gruppenmitgliedschaften des Benutzers, sein Zugriff auf Dienste, die für die Gruppe bereitstehen, und sein Zugriff auf private Wikis annulliert. Außerdem werden mit dem Benutzeraccount auch alle E-Mails gelöscht, die für den Benutzer auf dem Server gespeichert sind. Ein Benutzer, dessen Account gelöscht wurde, hat keinen Zugriff mehr auf die Kalender- und Kontaktinformationen auf dem Server.

      Beim Löschen eines Benutzeraccounts werden nicht automatisch auch die Sicherungsdaten gelöscht, die für den Benutzer gespeichert sind. Wenn auf dem Computer des Benutzers, dessen Account gelöscht wurde, in den Einstellungen für Time Machine der Server als Ziel für die Sicherungen des Benutzers eingestellt ist, verbleiben die Sicherungsdaten des Benutzers im Verzeichnis „/Shared Items/Backups/“ auf dem Zielmedium, das im Bereich „Time Machine“ der Server-App festgelegt ist.

      1. Wählen Sie „Benutzer“ in der Seitenleiste der Server-App aus.

      2. Wählen Sie den Benutzeraccount, den Sie löschen möchten, aus.

      3. Klicken Sie auf „Entfernen“ (entfernen).

      Festlegen des Speicherorts für den Benutzerordner eines Benutzers

      Wenn Sie für einen Benutzer einen Benutzerordner auf Ihrem Server zur Verfügung stellen, hat der Benutzer die Möglichkeit, für die Anmeldung an seinem Computer die auf Ihrem Server gespeicherten Accountinformationen zu verwenden. Da sich der Benutzerordner des Benutzers auf Ihrem Server befindet, werden die von dem Benutzer gespeicherten Dateien ebenfalls auf Ihrem Server gespeichert.

      1. Richten Sie Ihren Server so ein, dass er als Host für Netzwerkaccounts fungiert, falls dies noch nicht geschehen ist, und aktivieren Sie die Freigabe für den Benutzerordner.

        Weitere Informationen finden Sie unter Bereitstellen von Netzwerk-Accounts und Freigeben von Dateien für mehrere Geräte.

      2. Wählen Sie „Benutzer“ in der Seitenleiste der Server-App aus.

      3. Doppelklicken Sie auf einen Benutzeraccount.

        Wenn Sie Benutzerordner für mehrere Benutzer gleichzeitig anlegen wollen, müssen Sie die Benutzer bei gedrückter Taste „Befehl“ markieren und danach auf das Aktionsmenü Zahnrad klicken und „Benutzer bearbeiten“ wählen.

      4. Wählen Sie einen Ordner im Einblendmenü „Benutzerordner“ und klicken Sie auf „Fertig“.

        Wenn das Einblendmenü „Benutzerordner“ nicht angezeigt wird, bedeutet dies, dass Sie keine Freigabe für Benutzerordner aktiviert haben.

        Wenn Sie „Nur lokal“ auswählen, wird der Benutzerordner für den Benutzer auf dem Server angelegt.

      Importieren von Benutzern und Gruppen aus einer Datei

      Sie können Benutzer und Benutzergruppen aus einer Textdatei mit Trennzeichen importieren. Dies ist eine Möglichkeit, um schnell eine große Anzahl von Accounts einzurichten.

      Zum Erstellen einer Textdatei mit Trennzeichen, in der die auf Ihrem Netzwerkserver befindlichen Accounts gespeichert werden, können Sie das Befehlszeilenprogramm „dsexport“ verwenden. Weitere Informationen über die Arbeit mit „dsexport“ erhalten Sie, wenn Sie „man dsexport“ in Terminal eingeben.

      Passwörter werden nicht in die mit dem Befehl „dsexport“ erstellten Exportdateien übernommen, können aber durch manuelles Bearbeiten der Dateien hinzugefügt werden. Andernfalls müssen Sie den Benutzern nach dem Import Passwörter zuweisen.

      1. Richten Sie Ihren Server als Host für Netzwerkaccounts ein, falls dies noch nicht geschehen ist.

        Weitere Informationen finden Sie unter Bereitstellen des Open Directory-Diensts.

      2. Wählen Sie im Serverprogramm „Verwalten“ > „Accounts von Datei importieren“ aus.

      3. Wählen Sie die zu importierende Datei aus und klicken Sie auf „Importieren“.

      Sie können zum Importieren von Benutzern aus einer Datei auch den Befehl dsimport verwenden. Aus einer Datei importierte Benutzer erhalten erst Zugriff auf Dienste, wenn Sie Ihnen die Zugriffsrechte einräumen. Weitere Informationen darüber, wie Sie Benutzern die Zugriffsrechte für Dienste einräumen, finden Sie unter Definieren des Dienstzugriffs durch Benutzer.

      Definieren des Dienstzugriffs durch Benutzer

      Sie können konfigurieren, welche Benutzer und Gruppen Zugriff auf die von Ihnen bereitgestellten Dienste haben sollen. Manchmal wird diese Art der Zugriffssteuerung als Dienstzugriffssteuerungsliste (SACL) bezeichnet.

      Sie können Gruppen im Hinblick auf bestimmte Dienste oder für alle Dienste erstellen. Standardmäßig haben alle Benutzer Zugriff auf alle aktivierten Dienste aller Netzwerkadressbereiche.

      Ergänzend zu den Benutzern und Gruppen, die Sie erstellen, können Sie (sofern verfügbar) spezielle Gruppen wie „Lokale Accounts“ oder „Lokale Netzwerkaccounts“ verwenden.

      Standardzugriff definieren

      1. Wählen Sie in der Seitenleiste der Server-App Ihren Server aus und klicken Sie auf „Zugriff“.

      2. Klicken Sie auf das Einblendmenü „Verbindungen erlauben von“ und wählen Sie „Nur bestimmten Benutzern“ aus.

      3. Geben Sie im Bereich „Benutzer und Gruppen“ einen Benutzer- bzw. einen Gruppennamen ein.

      4. Klicken Sie auf „Hinzufügen“ (hinzufügen), wenn Sie weitere Benutzer oder Gruppen hinzufügen wollen, und geben Sie einen weiteren Namen ein.

      5. Klicken Sie auf „OK“, nachdem Sie alle gewünschten Benutzer und Gruppen hinzugefügt haben.

      Angepassten Zugriff definieren

      1. Wählen Sie in der Seitenleiste der Server-App Ihren Server aus und klicken Sie auf „Zugriff“.

      2. Klicken Sie auf „Hinzufügen“ (hinzufügen) unter der Liste „Angepasster Zugriff“ und wählen Sie den gewünschten Dienst aus.

        Bei manchen Diensten können auf dieser Seite neben dem Einblendmenü „Benutzerzugriff“ mehr Einstellungen anpassen.

      3. Klicken Sie auf das Einblendmenü „Verbindungen erlauben von“ und wählen Sie „Nur bestimmte Benutzer“ aus.

      4. Geben Sie im Bereich „Benutzer und Gruppen“ einen Benutzer- bzw. einen Gruppennamen ein.

      5. Klicken Sie auf „Hinzufügen“ (hinzufügen), wenn Sie weitere Benutzer oder Gruppen hinzufügen wollen, und geben Sie einen weiteren Namen ein.

      6. Klicken Sie auf „OK“, nachdem Sie alle gewünschten Benutzer und Gruppen hinzugefügt haben.

      Werkzeuge für die Clientverwaltung

      Clientaccounts können mit der Server-App und auf der Website „Profilmanager“ verwaltet werden. Es empfiehlt sich, Accounts mit der Server-App zu erstellen und zu verwalten und auf der Website „Profilmanager“ Voreinstellungen und die App-Einstellungen zu konfigurieren.

      Im Bereich „Benutzer & Gruppen“ der Server-App können Sie die grundlegenden Einstellungen für Benutzer- und für Gruppenaccounts konfigurieren und im Bereich „Dienste“ können Sie Dienste für diese Benutzer und Gruppen aktivieren und konfigurieren.

      Auf der Website „Profilmanager“ können Sie Konfigurationsprofile erstellen, mit denen sich das Konfigurieren von Voreinstellungen, das Installieren von Zertifikaten und das Ändern von App-Einstellungen automatisieren lässt. Zur Website „Profilmanager“ gelangen Sie, wenn Sie im Bereich „Profilmanager“ der Server-App auf einen der angebotenen Links klicken. Sie können die von Ihnen erstellten Konfigurationsprofile über das Netzwerk bereitstellen oder sie alternativ per E-Mail oder über das Web verteilen. Mithilfe von Konfigurationsprofilen können Computer und Mobilgeräte wie iPhone, iPad und iPod touch verwaltet werden.

{ 0 comments }

Profile Manager – Alles OpenDirectory –

Ohne OpenDirectory Dienste können nur Benutzer welche auf dem Server direkt eingetragen sind mit dem Server kommunizieren. Damit auch allgemeine Benutzer, die sich über ein Netzwerk 7.B. das Internet, Intranet oder WLAN anmelden wollen mit dem Server Daten und Informationen z.B. Profile austauschen können benötigt der OSD Server einen sogenannten Open Directory Dienst. Dieser kann selbst aufgebaut werden, oder aus einer Sicherung oder Replik wiederhergestellt werden oder es besteht die Möglichkeit sich einem bereits vorhandenen Open Directory Service anzuschließen. Benutzer sozusagen zu „importieren“. Open Directories können in sogenannte Domains aufgeteilt werden. Domains enthalten Richtlinien für bestimmte Benutzergruppen und erlauben so in großen Unternehmen oder Instituten eine gute Strukturierung.

Bereitstellen des Open Directory-Diensts

Open Directory stellt also ein zentrales Lager für Informationen zu Benutzern und Ressourcen in einem Unternehmen bereit. Das Zentralisieren von Informationen zu Benutzern und Ressourcen kann den Aufwand des Systemadministrators für die Informationsverwaltung verringern. Außerdem hat jeder Benutzer einen zentralisierten Benutzeraccount, um sich an jedem berechtigten Computer im Netzwerk anzumelden. Im Bereich „Open Directory“ der Server-App können Sie eine Open Directory-Domain erstellen, einer Open Directory-Domain beitreten, Open Directory-Repliken hinzufügen und löschen, Benutzer und Gruppen hinzufügen und löschen, Kennwortrichtlinien festlegen und Ländereinstellungen hinzufügen, löschen und bearbeiten sowie Open-Directory-Archive erstellen.

Open Directory erfordert, dass DNS im Netzwerk verfügbar und richtig konfiguriert ist, um den vollständig qualifizierten DNS-Namen des Open Directory-Servers in seine IP-Adresse aufzulösen. DNS muss auch konfiguriert sein, um die IP-Adresse in den vollständig qualifizierten DNS-Namen des Servers aufzulösen. Der DNS-Service ist ein weiterer Server Dienst, der es ermöglicht den für den Computer einfacher zu handhabenden eineindeutigen IP-Adressen z.B. 192.168.12.21 eine Namensadresse z.B. „PCvonHildeSchmitz“ oder „www.flexoflux.de“ zuzuordnen. Sehr ähnlich einem Telefonverzeichnis in dem jedem Namen eine Telefonnummer zugeordnet ist.

Konfigurieren von Open Directory

Wenn Sie den Open Directory-Dienst zum ersten Mal starten, steht Ihnen ein Assistent zur Verfügung, um eine Open Directory-Domain zu konfigurieren oder einer Open Directory-Domain als Replik beizutreten.

  1. Wählen Sie „Open Directory“ in der Seitenleiste der Server-App aus.

  2. Aktivieren Sie „Open Directory“.

    Im Fenster des Assistenten können Sie sich entscheiden, ob Sie eine neue Open Directory-Domain erstellen oder einer vorhandenen Domain als Replik beitreten wollen.

Hinzufügen einer Replik

Sie können Repliken Ihrer Open Directory-Domain hinzufügen. Diese Repliken stellen anderen Computern dieselben Verzeichnis- und Authentifizierungsinformationen wie Ihr Open Directory-Server zur Verfügung. Repliken ermöglichen die Ausfallumschaltung und die Lastverteilung bei Open Directory-Clients.

Bei dem Server, den Sie hinzufügen, muss die Fernverwaltung aktiviert sein, damit Sie ihn als Replik hinzufügen können. Weitere Informationen finden Sie unter Zulassen des Fernzugriffs auf einen Server.

Wenn auf Computern in Ihrem Netzwerk verschiedene Versionen von OS X Server im Einsatz sind, kann eine erste Version nicht Replik des Masters einer zweiten Version sein.

Version der Replik

OS X Server-Master mit Server-App 3.x

OS X Server-Master mit Server-App 4

OS X Server mit Replik der Server-App 3.x

Ja

Nein

OS X Server mit Replik der Server-App 4

Nein

Ja

  1. Wählen Sie „Open Directory“ in der Seitenleiste der Server-App aus.

  2. Klicken Sie auf „Einstellungen“ und danach auf „Hinzufügen“ hinzufügen.

  3. Geben Sie die folgenden Informationen ein:

    • Serveradresse: Geben Sie die IP-Adresse oder den DNS-Namen des Replikservers ein.

    • Name des Serveradministrators: Geben Sie den Namen des lokalen Administratoraccounts der Replik an.

    • Passwort: Geben Sie das Kennwort für den Replikserver ein.

    • Übergeordneter Server: Klicken Sie auf das Einblendmenü und wählen Sie den übergeordneten Server aus.

    • Directory-Administrator: Geben Sie den Namen des Administrators der Verzeichnis-Domain für den übergeordneten Server ein.

    • Passwort: Geben Sie das Passwort für den übergeordneten Server ein.

  4. Klicken Sie auf „Weiter“.

  5. Überprüfen Sie Ihre Einstellungen und klicken Sie auf „Konfiguration“.

Bearbeiten globaler Passwortrichtlinien

Es gibt zwei Typen von Richtlinien: Deaktivieren der Anmeldung, wenn bestimmte Bedingungen erfüllt sind, und Passwortbeschränkungen.

Der Server setzt Passwortrichtlinien für Benutzer durch. Zum Beispiel kann die Passwortrichtlinie eines Benutzers ein Passwortablaufintervall vorsehen. Wenn der Benutzer versucht, sich anzumelden, und der Server ermittelt, dass das Passwort des Benutzers abgelaufen ist, muss der Benutzer ein neues Passwort festlegen, um sich anzumelden.

Passwortrichtlinien können einen Benutzeraccount an einem angegebenen Datum, nach mehreren Tagen, nach einer Periode der Inaktivität oder nach mehreren fehlgeschlagenen Anmeldeversuchen deaktivieren. Passwortrichtlinien können auch vorsehen, dass Passwörter eine Mindestlänge haben müssen, dass sie mindestens einen Buchstaben enthalten müssen, dass sie mindestens eine Ziffer enthalten müssen, dass sie sich von zuletzt verwendeten Passwörtern unterscheiden müssen oder dass sie regelmäßig geändert werden müssen.

Passwortrichtlinien wirken sich nicht auf Administratoraccounts aus. Administratoren sind von Passwortrichtlinien nicht betroffen, weil sie diese Richtlinien ändern können und weil das Durchsetzen von Passwortrichtlinien für Administratoren sie Denial-of-Service-Angriffen aussetzen könnte.

  1. Wählen Sie „Open Directory“ in der Seitenleiste der Server-App aus.

  2. Klicken Sie auf „Server“.

  3. Klicken Sie auf das Aktionsmenü Zahnrad und wählen Sie „Globale Passwortrichtlinie bearbeiten“.

    Sie können globale Richtlinien für Benutzeranmeldungen und -passwörter festlegen. Wählen Sie eine Einschränkung oder Anforderung aus und geben Sie nach Bedarf einen Wert ein, um Ihre globale Richtlinie zu definieren.

  4. Klicken Sie auf „OK“.

    Die Richtlinie wird angewendet, wenn sich das nächste Mal ein Benutzer, der kein Administrator ist, anmeldet.

Repliken in Open Directory-Master umwandeln

Wenn ein Open Directory-Master ausfällt und sich auch über eine Sicherungskopie nicht wiederherstellen lässt, können Sie eine Replik in einen Master umwandeln. Der neue Master (umgewandelte Replik) verwendet die Verzeichnis- und Authentifizierungsdatenbanken der Replik.

  1. Wählen Sie „Open Directory“ in der Seitenleiste der Server-App aus.

  2. Klicken Sie auf „Server“.

  3. Wählen Sie die Replik aus, die umgewandelt werden soll, klicken Sie auf das Aktionsmenü Zahnrad und wählen Sie „Replik in Master umwandeln“.

  4. Geben Sie den Namen und das Passwort des Directory-Administrators ein.

  5. Wenn Sie Open Directory-Daten mit Schlüsseln Ihrer Zertifizierungsinstanz archiviert haben, können Sie diese durch Eingabe des Speicherorts des Open Directory-Archivs wiederherstellen oder auf „Auswählen“ klicken, um nach dem Archiv zu suchen.

  6. Klicken Sie auf „Weiter“.

  7. Geben Sie den Benutzernamen und das Passwort für die Replik ein, die umgewandelt wird, und klicken Sie auf „Verbinden“.

    Erstellen einer Open Directory-Domain

    Beim Erstellen einer Open Directory-Domain benötigen Sie die folgenden Informationen:

    • Organisation: Dieser Name hilft Benutzern, Ihren Open Directory-Server zu erkennen.

    • Administrator-E-Mail-Adresse: Sie stellt den Benutzern eine E-Mail-Adresse für den Support und zur Prüfung der Echtheit Ihres Open Directory-Servers zur Verfügung.

    Sie müssen auch ein Passwort für den Directory-Administrator erstellen.

    1. Geben Sie ein Passwort in die entsprechenden Felder ein und klicken Sie dann auf „Weiter“.

    2. Geben Sie einen Namen in das Feld „Organisation“ und eine E-Mail-Adresse in das Feld „Administrator-E-Mail-Adresse“ ein. Klicken Sie danach auf „Weiter“.

    3. Überprüfen Sie Ihre Einstellungen und klicken Sie dann auf „Konfiguration“.

    Archivieren und Wiederherstellen von Open Directory-Daten

    Open Directory-Daten können mit der Server-App oder über die Befehlszeile archiviert und wiederhergestellt werden. Verwenden Sie den Befehl „slapconfig“, um Ihre Open Directory-Daten über die Befehlszeile zu archivieren oder wiederherzustellen. Sie können eine Kopie der Daten archivieren, während der Open Directory-Master aktiviert ist.

    Folgende Dateien werden archiviert:

    • Die LDAP-Verzeichnisdatenbank (einschließlich der Passwortdaten) und die Konfigurationsdateien

    • Kerberos-Konfigurationsdateien

    • Schlüsselbunddaten, die von Open Directory benötigt werden

    Die Archive werden nur von Open Directory-Mastern verwendet. Sollte bei einer Replik ein Fehler auftreten, können Sie die Replik aus dem Open Directory-Master entfernen, die Replik als neuen Server (mit einem neuen Hostnamen) konfigurieren und dann erneut als Replik desselben Masters einrichten.

    Wichtig: Bewahren Sie die Archivmedien sorgfältig auf, auf denen sich eine Kopie der Open Directory-Passwortdatenbank, die Kerberos-Datenbank sowie die Kerberos-keytab-Datei befinden. Das Archiv enthält vertrauliche Informationen. Ihre Sicherheitsmaßnahmen für die archivierten Medien müssen ebenso strikt wie für den Open Directory-Master sein.

    Wenn Sie auf dem Server Time Machine aktivieren, werden das Verzeichnis und die Authentifizierungsdaten automatisch archiviert.

    Open Directory-Daten mit der Server-App archivieren

    1. Klicken Sie im Bereich „Open Directory“ auf „Server“.

    2. Klicken Sie auf das Aktionsmenü Zahnrad und wählen Sie „Open Directory-Master archivieren“.

    3. Geben Sie in das Feld „Archivdatei“ den Pfad zu dem Ordner ein, in dem die Open Directory-Daten archiviert werden sollen, oder wählen Sie den gewünschten Pfad aus.

    4. Geben Sie ein Kennwort für das Archiv ein und klicken Sie auf „Weiter“.

    5. Überprüfen Sie Ihre Einstellungen und klicken Sie auf „Archivieren“.

    Open Directory-Daten über die Befehlszeile archivieren

    Open Directory-Daten werden über die Befehlszeile archiviert.

    • Öffnen Sie die App „Terminal“ (in „Programme/Dienstprogramme“) und geben Sie den folgenden Befehl ein:

      $ sudo slapconfig -backupdb /vollständiger/pfad/zum/archiv

    Ein Beispiel für „/vollständiger/pfad/zum/archiv“ wäre „/Volumes/Data/meinODArchiv“.

    Geben Sie ein Passwort ein, um die Image-Datei zu verschlüsseln. Das Verschlüsseln der Image-Datei schützt die vertraulichen Informationen in der Open Directory-Datenbank.

    Die Archivdatei besitzt die Dateierweiterung „.sparseimage“.

    Open Directory-Daten mit der Server-App wiederherstellen

    1. Aktivieren Sie Open Directory im Bereich „Open Directory“.

    2. Wählen Sie „Eine Open Directory-Domain aus einer Archivdatei wiederherstellen“ und klicken Sie auf „Weiter“.

    3. Geben Sie in das Feld „Archivdatei“ den Pfad zu der Open Directory-Archivdatei ein, oder wählen Sie den gewünschten Pfad aus.

    4. Geben Sie das Passwort für das Archiv ein und klicken Sie auf „Weiter“.

    5. Klicken Sie auf „Wiederherstellen“.

    Open Directory-Daten über die Befehlszeile wiederherstellen

    Open Directory-Daten werden über die Befehlszeile wiederhergestellt.

    • Öffnen Sie die App „Terminal“ (in „Programme/Dienstprogramme“) und geben Sie den folgenden Befehl ein:

      $ sudo slapconfig -restoredb /vollständiger/pfad/zum/archiv.sparseimage

    Ein Beispiel für „/vollständiger/pfad/zum/archiv.sparseimage“ wäre „/Volumes/Data/meinODArchiv.sparseimage“.

    Wenn Sie beim Archivieren ein Passwort zum Verschlüsseln der Daten festgelegt haben, müssen Sie dieses Passwort eingeben, wenn Sie dazu aufgefordert werden.

{ 0 comments }

Wie finde ich meine MAC-Adresse?

MAC-Adresse ????
Jeder physikalische Adapter, der eine Kommunikationsverbindung herstellen kann -LAN-Adapter, WLAN-Adapter, Bluetooth-Adapter – verfügt über eine eindeutige und (fast) unveränderliche Kennzeichnung. Die sogenannte MAC – Adresse. Diese sieht z.B. so aus:
Ef:23:45:0a:6d:00
anstelle des Doppelpunktes können auch Striche treten. Über diese MAC-Adresse ist jeder Netzwerkadapter eineindeutig gekennzeichnet. Durch das Hinterlegen dieser MAC-Adresse in einer Datenbank kann das Sicherheitssystem eines Netzwerkes kontrollieren ob das Gerät zur Teilnahme erlaubt erlaubt ist, indem es die MAC-Adresse der Anmeldung mit der gespeicherten vergleicht.

MAC-Adresse bei IOS Geräten

Unter der App „Einstellungen“  befindet sich die Position „Allgemein“ -> „Info“. Dort bitte bis zu „WLAN-Adresse“ scrollen und die rechts stehende MAC-Adresse  übernehmen. Vorsicht das ihr nicht die direkt darunter liegende MAC-Adresse des Bluetooth Adapters übernehmt.

MAC

Unter Einstellungen -> Allgemein ->Info finden sich alle Informationen über das IOS Gerät. MAC-Adressen, IMEI u.v.m.

Mac-Adresse bei Windows Geräten

 

ip-win-1

Durch Klick auf den Windows-Start-Button öffnet sich ein Suchfenster. Dort gibt man den Befehl „cmd“ ein. Danach öffnet sich das Terminal Fenster.

Im Terminalfenster gibt man hinter dem Prompt-Zeichen den Befehl“ ipconfig /all“ ein und schließt diesen mit der Eingabetaste ab. Danach seht ihr eine ganze Reihe hochinteressanter Informationen von denen nur wenige für uns von Interesse sind. In der Auflistung der Netzwerkadapter suchen wir nach „Ethernet-Adapter“ und „Drahtlos-Adapter“ dort findet sich ein Eintrag: Physikalische Adresse. Dahinter verbirgt sich die MAC-Adresse.

ip-win-2

Adapter finden: Ethernet und/oder Drahtlos -> physikalische Adresse notieren. Wenn beides vorhanden ist beides wichtig.

 MAC-Adresse bei OSX-Geräten

ip_1 (1)

Unter dem Äpfelchen auf Systemeinstellungen klicken öffnet das Fenster der Systemeinstellungen. Dort auf Netzwerk klicken.

 

Jetzt noch den angeschlossenen Adapter markieren und dann auf „weitere Optionen“.

 

ip_4 (1)

Die MAC-Adresse findet sich unter dem Reiter Hardware.

 

 

MAC-Adresse bei Android Geräten

Wegen der vielen unterschiedlichen Systemversionen und Herstellereigenen Bezeichnungen und Pfade kann ich hier nur grob die Richtung angeben wo die MAC-Adresse gefunden werden kann. In der Regel wird die MAC-Adresse des WLAN Adapters erst angezeigt, wenn der Adapter aktiv – das WLAN oder WiFi eingeschaltet ist.
Mit dieser Tastenfolge sollte das bei den meisten Androidgeräten funktionieren:

Einstellungen -> Telefoninfo-> Status-> WLAN-MAC-Adresse oder

Einstellungen -> Telefoninfo-> Status-> WiFi-MAC-Adresse oder

Einstellungen -> Kategorie System -> Über das Telefon -> Status -> WLAN-MAC-Adresse 

 

{ 0 comments }

Statische & Dynamische IP-Adressen

So wirst du gefunden…

Jedes Gerät in einem Netzwerk benötigt eine Adresse, damit es mit anderen Geräten, Routern und Servern zum Beispiel oder auch wieder mit sich selbst kommunizieren kann. Im Internet (WAN = Wide Area Network) oder dem Hauseigenen Netz (LAN = Local Area Network/WLAN = Wireless Local Area Network) werden unterschiedliche Adresskreise vergeben. Ähnlich wie bei einem Ferngespräch, Ortsgespräch, internem Gespräch über die Telefonnetze.

In Datennetzwerken nennt man diese Adresse IP-Adresse und benutzt dafür eine Kette von Zahlen z.B. 170.156.89.100 – Eine IP Adresse darf in einem Netzwerk nur einmal vorkommen. Durch die Vergabe unterschiedlicher Adresskreise und das Abbilden eines „Unternetzwerkes“ nach aussen hin z.B. in das WAN kann ich dafür sorgen, dass diese Singularität auch erhalten bleibt.

Der DHCP-Service – ein spezieller Dienst in der Serversoftware – überwacht das dem Server zugeordnete Netzwerk daraufhin, dass jede IP Adresse nur einmal vergeben wird.

ping

Mit dem Terminal-Befehl „ping Fritz.Box“ erfahre ich die IP-Adresse meiner FritzBox. „ping 192.168.178.69“ schickt ein kleines Datenpaket an das unter dieser IP-Adresse erreichbare Gerät. Bei erfolgreicher Kommunikation sehe ich wie beim PingPong das hin und her kleiner Datenpakete…

 

Meine externe IP-Adresse herausfinden

Mit diesem Link  finden Sie die nach aussen sichtbare IP-Adresse.

http://www.whatismyip.com

Meine interne IP-Adresse und MAC- Adresse herausfinden

nach dem Klick auf das Äpfelchen  findet man die Systemeinstellungen und wählt dort das Netzwerk.ip_1 (1)

 

weitere Optionen ermöglichen – nun ja weitere Optionen…

ip_2 (1)

 

Der Reiter TCP/IP zeigt uns alle Einstellungen in diesem Bereich. Unter iPv4 konfigurieren kann dem Mac eine feste (statische) IP-Adresse vergeben werden, falls das nicht bereits über den Router erfolgt. Ein Klick auf „Lease erneuern“,  wirkt wahre Wunder bei Geräten die häufig in unterschiedlichen Netzwerken unterwegs sind. Auch bei IOS-Geräten. Hier findet man diese Möglichkeit unter den WLAN Einstellungen. Dadurch wird der DHCP-Server gezwungen die IP-Adresse erneut zu konfigurieren.

 

ip_3 (1)

 

Interessant ist es auch die MAC-Adresse des gerade angeschlossenen Adapters herauszufinden. Der Reiter Hardware gibt diese preis. Besonders bei den aktuellen MacBooks die eine LAN-Verbindung über einen Thunderbolt-Adapter herstellen ist diese Möglichkeit wichtig.

ip_4 (1)

Mit diesen Daten ist die Geräteverwaltung bereits deutlich näher gerückt. Es ist sinnvoll diese Daten gesondert in einer Liste sicher abzulegen. Am HBBK wird die Geräteliste mit einer Tabelle über den Rambo-Server zentral verwaltet. Diese Liste kann dann noch ergänzt werden durch Seriennummer, Gerätename, IMEI-falls vorhanden. Damit ist nicht nur eine gute Grundlage für das Einrichten des Netzwerks geschaffen, sondern  im Falle eines Verlustes stehen auch Ermittlung- und versicherungsrelevante Daten zur Verfügung.

AA036209Statische IP-Adresse

Mit der Vergabe einer statischen IP-Adresse wird eine ganz bestimmte festgelegte Adresse an ein bestimmtes Gerät im Netz vergeben.

Die IP-Adresse wird hier manuell an die Mac Adressen eines Gerätes gebunden. Eine MAC-Adresse besitzt jedes Netzwerkgerät und ist eine eindeutige Kennung des jeweiligen Gerätes. Eine MAC-Adresse kann nur schwer oder gar nicht geändert werden. Deshalb ist dieses Verfahren auch unter Sicherheits- und Missbrauchsaspekten interessant und wird z.B. bei uns in der Schule eingesetzt. Ein Macbook besitzt meist drei MAC-Adressen: LAN-Adapter, WLAN -Adapter, Bluetooth-Adapter.

Die statische IP-Adresse ändert sich nicht und wird im Regelfall vom Netzwerkadministrator angepasst. Statisch vergebene IP-Adressen  ermöglichen und vereinfachen das Strukturieren großer Netzwerke und erleichtern das Routing der Datenpakete. Für ein Schulnetz sind fest vergebene IP-Adressen das Mittel der Wahl.

  • Ohne statische oder feste IP-Adresse wäre es im WAN oder WWW unmöglich einen bestimmten Kommunikationspartner oder eine bestimmte Webseite zu finden. Auch eine eigene Domain benötigt eine statische IP-Adresse, damit diese von aussen gefunden werden kann.
  • Eine statische IP-Adresse wird vom IPS (Internet Service Provider) an Kunden oder an Server vergeben, damit diese stets unter der gleichen Adresse erreichbar sind. Ähnlich einer Telefonnummer, die ja auch nicht täglich wechselt. Im LAN/WLAN wird mit einer statischen IP-Adresse ähnliches erreicht und es ist für den Router oder Server leichter Datenpakete an bestimmte Geräte zu liefern. Umgekehrt können Geräte den Router oder Server erst finden, wenn dieser über eine feste IP-Adresse verfügt. Ansonsten ist es eher Zufall um  in größeren Netzwerken den richtigen Partner zu finden.
  • Typische Adresskreise für LAN/WAN sind z.B. 192.168.0.1 für einen Router oder 192.168.100.1 für einen Server. Unseren iPads im Labor haben einen eigenen Adressbereich unsere Notebooks wieder einen anderen….
  • Am häufigsten werden derzeit noch Adressen nach dem IPV4 Protokoll vergeben, allerdings ist dieser Adressbereich schon ziemlich ausgereizt und es ist abzusehen wann alle IPV4 Adressen im gesamten Internet belegt sind. Deshalb wurde der Adressbereich IPV6 eingeführt, der weiteres Wachstum des Internet ermöglicht.

Dynamische IP-Adressen

Ein DHCP-Server vergibt Dynamische IP-Adressen. Diese sind temporäre Adressen, welche nur solange gültig sind, solange das Gerät am DHCP-Server angemeldet ist. Meist ist der DHCP Server Bestandteil der Router Software, kann aber auch am  OSD-Server aktiviert werden. Wichtig ist, dass es nur einen einzigen aktiven DHCP Server in einem Netz geben darf.  Nur so ist gewährleistet, dass IP-Adressen nicht kollidieren.  Heimnetzwerke sind meist so eingestellt, dass IP-Adressen  dynamisch oder automatisch vergeben oder bezogen werden. In den meist kleinen Heimnetzen mit weniger als 20 Netzwerkgeräten spielt die benötigte Zeit die Datenpakete von einem Gerät zum nächsten unterwegs sind auch eine untergeordnete Rolle.

  • Eine typische dynamische Adresse vergibt ein IPS wie z.B. die Telekom täglich einmal (alle 24h) an jeden aktiven Internetzugang. Diese Adresse kann am nächsten Tag komplett geändert werden. Wer welche Adresse erhält, erfolgt mehr oder weniger zufällig. Deshalb ist ohne weitere Zwischenstation die diesen dauernden Wechsel puffert und aus der dynamischen IP-Adresse eine statische IP-Adresse macht solch ein Anschluss nicht von aussen zu erreichen.
  • Früher war DynDns eine kostenlose Möglichkeit aus dynamischen Adressen statische zu machen. Bei FritzBox Routern von AVM übernimmt diese Arbeit AVM. Noip ist ein neuer Anbieter für diesen unter bestimmten Bedingungen  kostenfreien Service.

{ 0 comments }