6. Integration und Verwaltung von Microsoft Windows-Clients#

Microsoft Windows-Clients werden in Univention Corporate Server (UCS) mithilfe von Samba integriert und verwaltet. Die Windows-Clients authentifizieren sich dabei gegen den Samba-Server. Auch Datei- und Druckdienste werden für die Windows-Clients über Samba bereitgestellt. Weitere Hinweise finden sich in Anmeldedienste mit Samba.

Die Netzkonfiguration der Clients kann zentral über in UCS integrierte DNS- und DHCP-Dienste durchgeführt werden. Weitere Hinweise finden sich in Skriptbasierter Import von PCs.

Beim Import von neuen Benutzern des Edukativnetzes über die Importskripte oder über den Assistenten in der UMC werden automatisch windows-spezifische Einstellungen zum Profilpfad und zum Heimatverzeichnispfad vorgenommen. Weitere Hinweise finden sich in Windows-spezifische Benutzereinstellungen.

Auf den Windows-Clients der Schüler kann die Software Veyon installiert werden. Sie erlaubt es Lehrern, über ein UMC-Modul den Desktop der Schüler einzuschränken und z.B. Bildschirme und Eingabegeräte zu sperren. Außerdem kann ein Übertragungsmodus aktiviert werden, der die Bildschirmausgabe des Desktops des Lehrers auf die Schülerbildschirme überträgt. Die Installation von Veyon wird in Computerraumüberwachung in UCS@school mit Veyon beschrieben.

Aufgrund einiger Limitierungen (u.a. von Veyon) kann auf Windows-Terminalservern nicht der volle Funktionsumfang von UCS@school genutzt werden. Die Verwendung von Terminalservern mit UCS@school wird daher nicht unterstützt.

Wichtig

Die App UCS@school Veyon Proxy wird in Single-Server-Umgebungen, sowie auf edukativen Schulservern automatisch installiert. Sie wird von UCS@school angesprochen und ist nicht zur manuellen Verwendung gedacht.

Die App darf nicht manuell deinstalliert werden.

6.1. Anmeldedienste mit Samba#

UCS@school integriert Samba 4. Die Unterstützung von Domänen-, Verzeichnis- und Authentifizierungsdiensten, die kompatibel zu Microsoft Active Directory sind, erlauben den Aufbau von Active Directory-kompatiblen Windows-Domänen. Diese ermöglichen u.a. die Verwendung der von Microsoft bereit gestellten Werkzeuge beispielsweise für die Verwaltung von Benutzern oder Gruppenrichtlinien (GPOs). Univention hat die benötigten Komponenten für die Bereitstellung von Active Directory kompatiblen Domänendiensten mit Samba 4 getestet und in enger Zusammenarbeit mit dem Samba-Team in UCS integriert.

Vorsicht

Bei der Verwendung von Samba 4 in einer Multi-Server-Umgebung ist es zwingend erforderlich, dass alle Windows-Clients ihren jeweiligen Schul-DC als DNS-Server verwenden, um einen fehlerfreien Betrieb zu gewährleisten.

Windows-Clients des Edukativnetzes, die ihre DNS-Einstellungen über DHCP beziehen, erhalten in der Standardeinstellung automatisch die IP-Adresse des Schul-DCs als DNS-Server zugewiesen. Dafür wird beim Joinen eines Schulservers automatisch am unter dem Schul-OU-Objekt liegenden DHCP-Container eine DHCP-DNS-Richtlinie verknüpft. Das automatische Verknüpfen dieser Richtlinie kann über das Setzen einer UCR-Variable auf dem Primary Directory Node und dem Schulserver deaktiviert werden. Die folgende Variable muss vor der Installation von UCS@school oder dem Update des Systems gesetzt werden:

$ ucr set ucsschool/import/generate/policy/dhcp/dns/set_per_ou=false

Dies lässt sich am besten über eine UCR-Richtlinie für die gesamte UCS@school-Domäne erledigen. Wurde die Variable versehentlich nicht gesetzt, werden automatisch fehlende DHCP-DNS-Richtlinien wieder angelegt und mit den entsprechenden DHCP-Container der Schul-OU-Objekte verknüpft. Dies kann gerade in Verwaltungsnetzen zu Fehlfunktionen führen (siehe auch Verwaltungsnetz und Edukativnetz).

Bei Neuinstallationen von UCS@school wird standardmäßig Samba 4 installiert. Umgebungen, die von einer Vorversion aktualisiert werden, müssen von Samba 3 auf Samba 4 migriert werden. Das dafür notwendige Vorgehen ist unter der folgenden URI dokumentiert: Univention Help 21846 - „UCS@school Samba 3 to Samba 4 Migration“.

Weiterführende Hinweise zur Konfiguration von Samba finden sich in Services für Windows in Univention Corporate Server - Handbuch für Benutzer und Administratoren [2].

6.2. Server für Dateifreigaben#

Beim Anlegen einer neuen Klasse bzw. eines Benutzers wird automatisch eine Klassenfreigabe für die Klasse bzw. eine Heimatverzeichnisfreigabe für den Benutzer eingerichtet. Der für die Einrichtung der Freigabe notwendige Dateiserver wird in den meisten Fällen ohne manuellen Eingriff bestimmt. Dazu wird am Schul-OU-Objekt bei der Registrierung einer Schule automatisch der in der Univention Management Console angegebene Schulserver als Dateiserver jeweils für Klassen- und Benutzerfreigaben hinterlegt.

Die an der Schul-OU hinterlegte Angabe bezieht sich ausschließlich auf neue Klassen- und Benutzerobjekte und hat keinen Einfluss auf bestehende Objekte im LDAP-Verzeichnis. Durch das Bearbeiten der entsprechenden Schul-OU im UMC-Modul LDAP-Verzeichnis können die Standarddateiserver für die geöffnete Schul-OU nachträglich modifiziert werden.

Es ist zu beachten, dass die an der Schul-OU hinterlegten Dateiserver nur in einer Multi-Server-Umgebung ausgewertet werden. In einer Single-Server-Umgebung wird für beide Freigabetypen beim Anlegen neuer Objekte immer der Primary Directory Node als Dateiserver konfiguriert.

6.3. Netlogon-Skripte für Samba 4 Umgebung#

In UCS-Umgebungen mit mehreren Samba 4 Domänencontrollern werden in der Standardeinstellung alle Dateien der NETLOGON-Dateifreigabe automatisch (durch die SYSVOL-Replikation) zwischen allen Samba 4 Domänencontrollern repliziert. Beim Einsatz von UCS@school kann es bei der Verwendung von domänenweiten Benutzerkonten und benutzerspezifischen Netlogon-Skripten zu Synchronisationskonflikten kommen. Konflikte können ebenfalls bei eigenen, standortbezogenen Netlogon-Skripten auftreten.

In diesen Fällen ist es ratsam, die Synchronisation der NETLOGON-Freigabe zu unterbinden, indem ein abweichendes Verzeichnis für die NETLOGON-Freigabe definiert wird. Das Verzeichnis darf dabei nicht unterhalb der SYSVOL-Dateifreigabe (/var/lib/samba/sysvol/REALM/) liegen.

Das folgende Beispiel setzt das Verzeichnis der NETLOGON-Freigabe auf /var/lib/samba/netlogon/ und passt ebenfalls das Verzeichnis für die automatisch generierten Benutzer NETLOGON-Skripte an:

$ ucr set samba/share/netlogon/path=/var/lib/samba/netlogon
$ ucr set ucsschool/userlogon/netlogon/path=/var/lib/samba/netlogon/user

Die zwei UCR-Variablen müssen auf allen Samba 4 Domänencontrollern gesetzt werden. Dies kann z.B. in der UMC über eine UCR-Richtlinien global definiert werden. Nach der Änderung müssen die Dienste samba und univention-directory-listener neu gestartet werden:

$ service samba restart
$ service univention-directory-listener restart

6.4. Computerraumüberwachung in UCS@school mit Veyon#

Veyon ist eine freie und quelloffene Software zur plattformübergreifenden Überwachung und Steuerung von Computern. In UCS@school können Sie Veyon verwenden, um in Computerräumen die Computer von Schülern zu steuern und zu überwachen.

Sie können Veyon mit den folgenden Möglichkeiten nutzen:

  • über die integrierte UCS@school-Web-Oberfläche

  • direkt über die von Veyon bereitgestellte Windows Applikation Veyon Master.

Damit Sie die Web-Oberfläche nutzen können, müssen Sie die folgenden Installations- und Konfigurationsschritte abschließen:

  1. Veyon Installation auf Windows-Clients von Schülern

  2. Veyon Konfiguration für die UCS@school Web-Oberfläche

Alternativ können Sie die Rechner so einrichten, dass Sie die Windows Applikation Veyon Master verwenden. Für Veyon Master müssen Sie die folgenden Schritte abschließen:

  1. Veyon Installation auf Windows-Clients von Schülern

  2. Veyon Installation auf Windows-Clients von Lehrern

  3. Einrichten des Veyon Master

Lehrende, die den Veyon Master verwenden, finden Informationen im Veyon-Benutzerhandbuch.

Welche Möglichkeit Sie wählen, hängt neben den verfügbaren Features auch von der Anzahl der gleichzeitig zu überwachenden Computer bzw. Computerräume ab.

Wichtig

Auf den Windows-Clients muss in jedem Fall sichergestellt werden, dass die installierte System-Firewall den Port 11100 nicht blockiert. Der offene Port 11100 ist Voraussetzung für eine funktionierende Veyon-Umgebung, da Veyon diesen Port für die Kommunikation mit dem Schulserver bzw. anderen Computern verwendet.

Siehe auch

Import/Export der Konfiguration im Veyon-Administrationshandbuch

für Information über Werkzeuge, die die Übertragung von Konfigurationen erleichtern.

6.4.1. Systemanforderungen des UCS@school Veyon Proxy#

Wenn Sie die integrierte Web-Oberfläche zur Überwachung der Computerräume verwenden, steigen die Hardwareanforderungen an den Schulserver. Tab. 6.1 liefert eine Orientierung über die Hardwareanforderungen.

Ein Computer gilt dabei als aktiv, wenn er angeschaltet ist und sich in einem Computerraum befindet, welcher zu diesem Zeitpunkt überwacht wird.

Computer, die nicht aktiv überwacht werden, spielen für die Performance nur eine untergeordnete Rolle.

Warnung

Es gilt zu beachten, dass es sich hierbei um Messungen unter Laborbedingungen handelt. Die tatsächlichen Hardwareanforderungen können mitunter stark von den Angaben abweichen und sind zum Beispiel von der Bildschirmauflösung und aktiver Nutzung der Windowsrechner, sowie der tatsächlichen Leistung der Prozessorkerne abhängig.

Tab. 6.1 Minimale Systemressourcen unter Last#

Anzahl gleichzeitig aktiver Computer

Arbeitsspeicher

Ausgelastete Prozessoren

20

500 MB

2 vCPU / Threads

40

1000 MB

3 vCPU / Threads

80

2000 MB

6 vCPU / Threads

120

3000 MB

8 vCPU / Threads

200

5000 MB

12 vCPU / Threads

Die aufgeführten benötigten Systemressourcen wurden mit einem Intel® Xeon® Silver 4314 Prozessor gemessen. Die Hardwareanforderungen können je nach Umgebung reduziert werden, indem die Einstellungen der Veyon Proxy App und des Computerraum Moduls angepasst werden, wie in Performance-Optimierungen der App UCS@school Veyon Proxy beschrieben. Für diese Messungen wurden die Einstellungen nicht angepasst.

Bemerkung

Bei mehr als 200 gleichzeitig aktiven Computern empfehlen wir den direkten Einsatz von Veyon Master, siehe Einrichten des Veyon Master.

6.4.2. Veyon Installation auf Windows-Clients von Schülern#

Dieser Abschnitt beschreibt die Installation von Veyon auf den Schüler-PCs. Für Informationen über die Administration über die UCS@school Web-Oberfläche durch Lehrkräfte, siehe UCS@school - Handbuch für Lehrkräfte und Schuladministratoren [1].

Für die Nutzung der Rechnerüberwachungs- und Präsentationsfunktionen in der Computerraumverwaltung (siehe Modulübersicht) wird vorausgesetzt, dass auf den Windows-Clients die Software Veyon installiert wurde und als Computerraum Backend des entsprechenden Computerraums Veyon gesetzt ist (siehe Konfiguration des Computerraum-Moduls).

Neu in Version 4.4v9: Seit UCS@school 4.4 v9 sind Windows-Binärpakete für die Open Source-Software Veyon in UCS@school enthalten.

Die Binärpakete sind direkt über die Samba-Freigabe Veyon-Installation abruf- und installierbar. Die Installationsdatei der 64-Bit Version von Veyon findet sich auf dem Schulserver im Verzeichnis /usr/share/ucs-school-veyon-windows/.

Interoperabilitätstests zwischen UCS@school und Veyon wurden ausschließlich mit der von UCS@school mitgelieferten Veyon Version unter Windows 7 und Windows 10 (64 Bit) durchgeführt.

*Veyon* Installation: Auswahl der Komponenten

Abb. 6.1 Veyon Installation: Auswahl der Komponenten#

Veyon bringt ein Installationsprogramm mit, das durch alle notwendigen Schritte führt. Installieren Sie Veyon Service sowie Interception driver. Auf den Schüler-PCs ist kein Veyon Master nötig.

6.4.3. Veyon Konfiguration für die UCS@school Web-Oberfläche#

Falls eine direkte Steuerung über den Veyon Master gewünscht ist, ist dieser Abschnitt nicht notwendig und kann übersprungen werden.

Nach der Installation von Veyon auf dem Windows-Client muss das Programm mit dem installierten Veyon Configurator für eine Schlüsseldatei-Authentifizierung konfiguriert werden. Zunächst muss im Veyon Configurator unter Allgemein ‣ Authentifizierung die Methode Schlüsseldatei-Authentifizierung ausgewählt werden.

*Veyon* Konfiguration: Auswahl der Authentifizierungs-Methode

Abb. 6.2 Veyon Konfiguration: Auswahl der Authentifizierungs-Methode#

Anschließend muss unter Zugriffskontrolle die Checkbox Verwendung von Domaingruppen aktivieren aktiviert werden. Als Benutzergruppen-Backend wird der Standard Systembenutzergruppen verwendet.

*Veyon* Konfiguration: Zugriffskontrolle

Abb. 6.3 Veyon Konfiguration: Zugriffskontrolle#

Schließlich muss der öffentliche Schlüssel importiert werden, damit der Schulserver Zugriff auf das installierte Veyon Backend erhält. Der Import kann mit Authentifizierungsschlüssl ‣ Schlüssel importieren durchgeführt werden. Dort ist der Veyon Schlüssel des Schulservers anzugeben.

*Veyon* Konfiguration: Schlüsselimport

Abb. 6.4 Veyon Konfiguration: Schlüsselimport#

Der Schlüssel wird automatisch auf der SYSVOL-Freigabe des Schulservers unter dem Namen der Schuldomäne unter scripts/veyon-cert_SERVERNAME.pem abgelegt. (U.U. liegt dort zusätzlich eine Datei veyon-cert.pem ohne den Namen des Servers. Diese sollte nicht verwendet werden.) Im Dialog Authentifizierungsschlüsselname muss der Name teacher angegeben werden. Außer den beschriebenen Konfigurationen müssen keine weiteren Anpassungen vorgenommen werden.

Der Konfigurationstest im Veyon Configurator unter Allgemein ‣ Authentifizierung ‣ Testen wird trotz korrekter Einrichtung fehlschlagen. Die korrekte Einrichtung kann im Computerraum Modul überprüft werden. Hier sollte sich der Punkt neben dem Namen des eingerichteten Windows Clients dunkelgrau färben.

6.4.4. Performance-Optimierungen der App UCS@school Veyon Proxy#

Vorsicht

Dieser Abschnitt beschreibt ausschließlich Experteneinstellungen zur Optimierung und kann bei einer regulären Installation übersprungen werden. Die weiter unten beschriebenen Einstellung zum UCS@school Veyon Proxy werden ohne Verifikation direkt an den im Docker-Container enthaltenen Veyon Master weitergereicht.

Bemerkung

Alle Einstellungen müssen auf dem edukativen Schulservern gemacht werden.

Ab Version 4.8.3.8-ucs1 des UCS@school Veyon Proxy stehen neue App-Einstellungen zur Verfügung um Performance-Optimierungen zu definieren.

Die Einstellungen steuern die Verbindung zwischen UCS@school Veyon Proxy und den Windows-Clients.

  • veyon/Master/ComputerMonitoringUpdateInterval

  • veyon/Master/ComputerMonitoringImageQuality

  • veyon/Core/ComputerStatePollingInterval

  • veyon/WebAPI/ConnectionIdleTimeout

Quellcode 6.1 App-Einstellungen werden wie folgt geändert, die App wird dabei neu gestartet.#
univention-app configure ucsschool-veyon-proxy --set veyon/WebAPI/ConnectionIdleTimeout=60

Die Einstellung veyon/Master/ComputerMonitoringImageQuality bietet die Möglichkeit die Qualität der VNC Verbindung zwischen den Windows-Clients und dem UCS@school Veyon Proxy zu ändern. Der Wert ist von 0 (höchste Qualität) bis 4 (niedrigste Qualität) begrenzt. Auf Stufe 4 können Kompressionsartefakte erkennbar sein, ein Unterschied zwischen den Stufen ist meist nur im direkten Vergleich erkennbar. Ist die Qualität niedrig eingestellt reduziert dies die Datenmenge, die über die VNC Verbindung zwischen Windows-Clients und dem UCS@school Veyon Proxy übertragen wird. Wir empfehlen Stufe 4 als Standardeinstellung.

Die Einstellungen veyon/Master/ComputerMonitoringUpdateInterval und veyon/Core/ComputerStatePollingInterval steuern den Intervall, in dem der UCS@school Veyon Proxy neue Screenshots und Statusupdates von Zielrechnern abfragt und ist in Millisekunden angegeben. Hierbei beträgt der maximal Wert 10000 msec, der Standardwert beträgt 1000 msec. Das Minimum beider Werte bestimmt wie oft der UCS@school Veyon Proxy einen neuen Screenshot erzeugt. Durch erhöhen der Werte kann die Prozessor- und Netzwerklast, des Systems, reduziert werden.

Die Einstellung veyon/WebAPI/ConnectionIdleTimeout definiert die Zeit in Sekunden, nach der eine inaktive VNC-Verbindung zwischen dem UCS@school Veyon Proxy und einem Windows-Client geschlossen wird. Wir empfehlen 60 Sekunden, der Wert sollte jedoch immer höher sein als die folgenden Computerraum Modul Einstellungen, um zu Vermeiden das Verbindungen neu auf gebaut werden.

6.4.5. Performance-Optimierungen des Computerraum Moduls#

Auch das Computerraum Modul bietet einige Einstellungen zur Performance-Optimierung. Dabei zielen alle Einstellungen darauf, den UCS@school Veyon Proxy zu entlasten, indem die Anzahl von Anfragen an den Proxy reduziert werden.

Die Einstellungen steuern die Verbindung zwischen Univention Management Console und dem UCS@school Veyon Proxy. Statusupdates und Screenshots werden vom UCS@school Veyon Proxy zwischen gespeichert. Die folgenden UCR-Variablen steuern wie oft dieser Zwischenspeicher (Cache) abgefragt wird.

  • ucsschool/umc/computerroom/update-interval

  • ucsschool/umc/computerroom/screenshot/interval

Die Einstellung ucsschool/umc/computerroom/update-interval steuert das Intervall in Sekunden, mit dem der Computerraum Informationen zum eingeloggten Benutzer, sowie dem Sperrzustand von Monitor und Eingabegeräten, an der App, abfragt. Die Standardeinstellung beträgt 1 Sekunde.

Die Einstellung ucsschool/umc/computerroom/screenshot/interval steuert das Intervall in Sekunden, mit dem der Computerraum einen Screenshot des Computers abfragt. Der Standardwert beträgt 5 Sekunden. Der Inhalt des Screenshots ändert sich nur, wenn die App einen neuen Screenshot zwischenspeichert.

Quellcode 6.2 Computerraum Einstellungen werden als UCR-Variablen gesetzt. Die UMC muss manuell neu gestartet und die UMC im Browser muss neu geladen werden, damit die Einstellungen greifen.#
ucr set ucsschool/umc/computerroom/update-interval=1
service univention-management-console-server restart

6.4.6. Veyon Installation auf Windows-Clients von Lehrern#

Dieser Abschnitt beschreibt die Installation von Veyon auf Lehrer-PCs. Wenn Sie nur die UCS@school Web-Oberfläche verwenden, können Sie diesen Abschnitt überspringen.

Sie können die Veyon Binärpakete direkt über die Samba-Freigabe Veyon-Installation abrufen und installieren. Die Installationsdatei der 64-Bit Version von Veyon finden Sie auf dem Schulserver im Verzeichnis /usr/share/ucs-school-veyon-windows/.

Univention hat Interoperabilitätstests zwischen UCS@school und Veyon mit der von UCS@school mitgelieferten Veyon Version unter Windows 7 und Windows 10 (64 Bit) durchgeführt.

Veyon bringt ein Installationsprogramm mit, das durch alle notwendigen Schritte führt. Während der Installation müssen Sie alle aufgelisteten Komponenten installieren.

*Veyon* Installation: Auswahl der Komponenten

Abb. 6.5 Veyon Installation: Auswahl der Komponenten#

Für eine erfolgreiche Authentifizierung zwischen Lehrer- und Schüler-PCs zur Überwachung und Steuerung wählen Sie entweder die Anmeldeauthentifizierung oder die Schlüsselauthentifizierung im Abschnitt Allgemein des Veyon Configurator, sowohl auf den Lehrer- als auch auf den Schüler-PCs. Weitere Details finden Sie unter Authentifizierung im Veyon-Administrationshandbuch.

Tipp

Bei einer Migration von der UCS@school Web-Oberfläche hin zum Veyon Master können Sie die bestehenden Schlüssel wiederverwenden. Kopieren Sie den privaten Schlüssel /etc/ucsschool-veyon/key.pem von dem Schulserver auf den Lehrer-Computer und importieren Sie diesen mit dem Veyon Configurator. Eine Änderung der Schüler-PCs ist damit nicht notwendig.

6.4.7. Einrichten des Veyon Master#

Alternativ zur Kontrolle von Computern über die Computerraum-Weboberfläche von UCS@school können Sie Veyon Master direkt verwenden. Gehen Sie durch die nachfolgenden Konfigurationsschritte, um Veyon Master auf mehreren Computern einzurichten.

Tipp

Es gibt Integrationstests für Veyon, die Sie nach Abschluss aller Konfigurationsschritte im Veyon Configurator durchführen können. Die Tests müssen erfolgreich sein. Die Tests finden Sie auf der letzten Seite der LDAP-Basic Einstellungen.

Bemerkung

Zu allen Bildern der grafischen Benutzerschnittstelle des Veyon Configurator enthält dieses Kapitel ergänzend Programmblöcke in PowerShell, die auf die Veyon CLI zurückgreifen. Sie können die Programmblöcke z.B. als Bausteine zur Automatisierung verwenden.

6.4.7.1. Erstellen eines Veyon Benutzers#

Erstellen Sie ein einfaches Authentisierungskonto auf dem Primary Directory Node mit dem UMC-Modul Benutzer. Veyon verwendet das Authentisierungskonto für die LDAP-Verbindung. Quellcode 6.3 zeigt die Erstellung des Kontos auf der Kommandozeile.

Quellcode 6.3 Einrichten eines einfachen Authentisierungskonto mit UDM.#
VEYON_PASSWORD="veyon-user-account-password"  # Passen Sie dieses Passwort an!
SCHOOL_NAME="school1"

udm users/ldap create --position "cn=users,ou="$SCHOOL_NAME",$(ucr get ldap/base)" \
   --set username="veyon-$SCHOOL_NAME" \
   --set lastname="veyon-$SCHOOL_NAME" \
   --set password="$VEYON_PASSWORD"

6.4.7.2. LDAP-Basiseinstellungen#

Als nächstes müssen Sie die Einstellungen für die Authentisierung setzen. Hierfür können Sie sowohl den Veyon Configurator als auch die veyon-cli Kommandozeilen-Schnittstelle verwenden. Beide Werkzeuge wurden in den vorangegangenen Schritten mit Veyon auf den Windows-Clients installiert. Viele der Einstellungen in diesem Abschnitt hängen von der Umgebung ab und müssen angepasst werden. Die Kommentare am Ende einer Zeile mit veyon-cli config set ... verweisen auf die Kennzeichnung in der grafischen Benutzeroberfläche des Veyon Configurator.

Vor der Ausführung der Befehle in Quellcode 6.4 müssen Sie das öffentliche Zertifikat der Zertifizierungsstelle der UCS Domäne auf den lokalen Rechner kopieren. Das Wurzelzertifikat können Sie über die Univention Management Console herunterladen. Setzen Sie anschließend die Variable $CA_CERTIFICATE_PATH auf den Wert, der dem Pfad des Zertifikats entspricht. Wenn Sie die grafische Benutzeroberfläche zur Konfiguration verwenden, muss der Dateipfad manuell eingetragen werden, da bei der interaktiven Dateiauswahl nur PEM-Dateien angezeigt werden.

Quellcode 6.4 Setzen der LDAP-Basiseinstellungen über die Veyon Kommandozeilen-Schnittstelle#
# Diese Variablen müssen auf das Zielsystem angepasst werden:
$LDAP_BASE = 'dc=univention,dc=de'
$SCHOOL_FQDN = 'school1.univention.de'
$VEYON_USER = "uid=veyon-school1,cn=users,ou=school1,$LDAP_BASE"
$VEYON_PASSWORD = 'veyon-user-account-password'  # Passen Sie dieses Passwort an!
$CA_CERTIFICATE_PATH = 'path-to-tls-ldap-certificate'

cd 'C:\Program Files\Veyon\'

.\veyon-cli config set LDAP/ServerHost "$SCHOOL_FQDN"  # LDAP-Server
.\veyon-cli config set LDAP/ServerPort 7389  # LDAP-Port
.\veyon-cli config set LDAP/BindPassword $VEYON_PASSWORD # Bind-Passwort
.\veyon-cli config set LDAP/BindDN "$VEYON_USER"  # Bind-DN

.\veyon-cli config set LDAP/ConnectionSecurity 1  # Verschlüsselungsprotokoll (1 = TLS)
.\veyon-cli config set LDAP/TLSVerifyMode 2  # TLS-Zertifikatsüberprüfung
.\veyon-cli config set LDAP/TLSCACertificateFile "$CA_CERTIFICATE_PATH"  # Benutzerdefinierte CA-Zertifikatsdatei
.\veyon-cli config set LDAP/UseBindCredentials true  # Bind-Zugangsdaten verwenden

.\veyon-cli config set LDAP/BaseDN "$LDAP_BASE"  # Fester Base-DN
.\veyon-cli config set NetworkObjectDirectory/Plugin '{6f0a491e-c1c6-4338-8244-f823b0bf8670}'  # Backend (Setzt das Netzwerkobjektverzeichnis zu "LDAP Basic ...")
:program:`Veyon Master` Konfiguration: Beispiel für LDAP Grundeinstellungen

Abb. 6.6 Veyon Master Konfiguration: Beispiel für LDAP Grundeinstellungen#

6.4.7.3. LDAP-Umgebungseinstellungen#

Die folgenden Einstellungen sind so gewählt, dass Standorte im Veyon Master den Computerräumen von UCS@school entsprechen.

Quellcode 6.5 Setzen der LDAP-Umgebungseinstellungen über die Veyon Kommandozeilen-Schnittstelle#
cd 'C:\Program Files\Veyon\'

.\veyon-cli config set LDAP/RecursiveSearchOperations true  # Rekursive Suchoperationen in Objektbäumen durchführen
.\veyon-cli config set LDAP/UserLoginNameAttribute uid  # Attribut Benutzeranmeldename
.\veyon-cli config set LDAP/GroupMemberAttribute uniqueMember  # Attribut Gruppenmitglied
.\veyon-cli config set LDAP/ComputerDisplayNameAttribute displayName  # Attribut Computeranzeigename
.\veyon-cli config set LDAP/ComputerHostNameAttribute cn  # Attribut Computerhostname
.\veyon-cli config set LDAP/ComputerHostNameAsFQDN false  # Hostnamen sind als vollqualifizierte Domainnamen gespeichert
.\veyon-cli config set LDAP/ComputerMacAddressAttribute macAddress  # macAddress
.\veyon-cli config set LDAP/LocationNameAttribute cn  # Attribute Standortname
:program:`Veyon Master` Konfiguration: LDAP Umgebungseinstellungen

Abb. 6.7 Veyon Master Konfiguration: LDAP Umgebungseinstellungen#

6.4.7.4. Erweiterte Einstellungen#

Dieser Abschnitt zeigt, wie Sie die erweiterten LDAP Einstellungen setzen müssen, um relevante Benutzer, Gruppen und Computer zu identifizieren. Die folgenden Einstellungen sind so gewählt, dass Standorte im Veyon Master den Computerräumen von UCS@school entsprechen:

Quellcode 6.6 Setzen der erweiterten LDAP-Einstellungen über die Veyon Kommandozeilen-Schnittstelle#
cd 'C:\Program Files\Veyon\'

.\veyon-cli config set LDAP/UsersFilter '(|(ucsschoolRole=student*)(ucsschoolRole=teacher*))' # Filter für Benutzer
.\veyon-cli config set LDAP/UserGroupsFilter '(objectClass=ucsschoolGroup)'  # Filter für Benutzergruppen
.\veyon-cli config set LDAP/ComputersFilter '(objectClass=ucsschoolComputer)'  # Filter für Computer
.\veyon-cli config set LDAP/QueryNestedUserGroups false  # Verschachtelte Benutzergruppen abfragen
.\veyon-cli config set LDAP/IdentifyGroupMembersByNameAttribute false  # Identifizierung von Gruppenmitgliedern
.\veyon-cli config set LDAP/ComputerGroupsFilter '(&(ucsschoolRole=computer_room:school:*)(!(cn=*all-windows-hosts*)))' # Filter für Computergruppen
.\veyon-cli config set LDAP/ComputerLocationsByContainer false  # Computercontainer oder OUs
.\veyon-cli config set LDAP/ComputerLocationsByAttribute false  # Attribut Standort in Computerobjekten
:program:`Veyon Master` Konfiguration: LDAP Erweiterte Einstellungen

Abb. 6.8 Veyon Master Konfiguration: LDAP Erweiterte Einstellungen#

6.4.7.5. Verhaltenseinstellungen des Veyon Master#

Dieser Abschnitt zeigt optionale empfohlene Einstellungen. In Umgebungen mit vielen Computerräumen kann es sinnvoll sein, nur den Standort bzw. Computerraum anzuzeigen, in welchem sich auch der aktuell genutzte Computer befindet. Bei Umgebungen mit vielen Computerräumen kann es sonst unübersichtlich werden. Die Einstellung HideLocalComputer verbirgt den eigenen Computer in der Darstellung.

Quellcode 6.7 Setzen der Veyon Master Verhaltens-Einstellungen über die Veyon Kommandozeilen-Schnittstelle#
cd 'C:\Program Files\Veyon\'

.\veyon-cli config set Master/ShowCurrentLocationOnly true  # Nur aktuellen Standort anzeigen
.\veyon-cli config set Master/HideLocalComputer true  # Lokalen Computer ausblenden
:program:`Veyon Master` Konfiguration: Verhalten des :program:`Veyon Masters`

Abb. 6.9 Veyon Master Konfiguration: Verhalten des Veyon Master#