Skolu serveru funkciju audits rāda, ka skolās nav obligāti nepieciešams domēna kontrolieris, bet tikai failserveris un Web serveris Viena no merfioloģijas atziņām: “radi vajadzību un apmierini to”. Uz šī principa ir balstīts ne viens vien IT “vispārpieņemtais” vai “vismodernākais” risinājums. Līdz ar to daudzas lietas der izvērtēt no to reālās nepieciešamības viedokļa. Kā rāda pieredze, lielākajā daļā skolu serveri praktiski netiek izmantoti, jo informātikas skolotājiem trūkst ieinteresētības un tehniskās varēšanas ar to to tikt galā. Neraugoties uz to, skolotāji, kas serverus reāli neizmanto, uzskata, ka viņiem ir nepieciešams tieši domēna kontrolieris. Tās ir korporācijas Microsoft menedžmenta un informātikas skolotāju apmācības sekas. Tādēļ vispirms veiksim skolas servera funkciju auditu un tikai tad varēsim pateikt, kāds risinājums ir optimāls.
Tehniski ir iespējams izveidot kā Microsoft Windows domēna kontrolieri, kas strādā ar MS Windows darbstracijām; tā Windows domēna kontrolieri, kas strādā ar Linux darbstacijām, kā arī Linux domēna kontrolieri, kas strādā ar Windows darbstacijām; un Linux domēna kontrolieri, kas strādā ar Linux darbstacijām; un, protams, visus iespējamos miksētos risinājumus. Tikai problēma ir tā, ka tie visi ir visai sarežģīti risinājumi un nav skolā īsti nepieciešami. Skolas serverim pietiek ar failservera lomu – klasiskajām UNC šārēm un ideālā gadījumā vēl noderētu Web servera loma – skolēnu mājas lapām un MOODLE e-mācību serverim.
Informātikas skolotājam tipiski ir nepieciešams izmantot servera koplietojuma resursus jeb šāres ar lietotāju autentifikāciju, uz kurām var atrasties kā skolēnu un skolotāju privātās jeb mājas mapes, tā visiem vai atsevišķām grupām pieejamas koplietošanas mapes (instalācijas, mācību materiāli, akreditācijas materiāli, sēžu protokoli, fotogrāfijas). Šī ir reāla nepieciešamība un tā ir atbalstāma, bet priekš tās NAV NEPIECIEŠAMS DOMĒNA KONTROLIERIS! Tāpat skolotājam ir nepieciešams, lai skolēni nevarētu sabojāt darbstaciju, instalēt programmas, bet arī tam nav nepieciešams domēna kontrolieris!
Ļoti piemērots skolai būtu risinājums, kad skolotāja datorā veido šāri, kurai skolēni stundā var pieslēgties, bet diemžel Microsoft Windows darbstacijas var veidot tikai 10 savienojumus, bet klasē tipiski ir 15 skolēni (pēc MS Windows XP 2. servispakas šo ierobežojumu vairs nav iespējams apiet). Savukārt Linux darbstacijām noklusēti nav ierobežots lietotāju skaits, kas tām var pieslēgties tāpat kā serveriem, līdz ar to pasniedzēja Ubuntu Linux dators var pildīt arī failservera funkciju (ja tam pieinstalē SAMBA, tā šārēm varēs pieslēgties kā no Linux, tā MS Windows datoriem jebkurš nepieciešamais lietotāju skaits). Ar minēto 10 savienojumu limitu Microsoft ir mākslīgi radījis nepieciešamību skolās uzstādīt serverus, turklāt informētības trūkuma dēļ daudzi skolotāji iedomājas, ka tam obligāti jābūt domēna kontrolierim. Pāreja uz Linux šo situāciju atrisina, jo jebkurš nepieciešamais lietotāju skaits var pieslēgties kā servera, tā darbstacijas SAMBA šārēm (šo skaitu gan var ierobežot līdz, piemēram, 5000 savienojumiem).
Domēna kontroliera būtība ir nodrošināt lietotāju autentifikāciju un autorizāciju – tas reāli izpaužas tā, ka skolēni un skolotāji var ielogoties domēnam pievienotajās darbstacijās tikai ar servera Aktīvajā Direktorijā reģistrētiem lietotājvārdiem. No šī nebūt ne vienkāršā risinājuma ieguvums ir tas, ka lietotājam automātiski tiek piešķirtas viņa grupai atbilstošās tiesības un kā Z disks uz darbastacijas datora automātiski tiek piemontēta serverī esošā lietotāja mājas mape. Reāls ieguvums ir automātiskā mājas mapes piemapošana, bet zaudējums ir tās, ka uz visai lēnajiem skolu datoriem jūtami palielinās ielogošanās laiks darbstacijas datorā salīdzinājumā ar lokālu ielogošanos. Tāpat zaudējums ir katra lietotāja profilam lokālajā darbstacijas cietajā diskā patērētā diska vieta, kas var būt sākot no 5...10 MB uz katru lietotāju fiksēta profila gadījumā līdz jebkuram izmēram, ja skolēni var lokālajā datorā saglabāt failus, šis risinājums ved pie darbstaciju cietā diska vietas nelietderīgas aizņemšanas.
Alternatīvs risinājums un tā implementēšanas scenārijs pa soļiem ir šāds:
- Lokālajā datorā jeb darbstacijā veido neprivileģētu lietotāju “skolens” ar paroli, piemēram, “sk” (Ubuntu Linux darbstacijā tam der Desktop user vai Unprivileged, vai pielāgots lietotājs pa vidu starp tiem, skat. lietotāja privilēgijas tablapu “Lietotāji un grupas” rīkā; bet MS Windows gadījumā izveido parastu lietotāju un to noņem no Users grupas un pieliek Guests grupai). Darbstacijas datorā izveido arī administratora kontu datora apkopei (Ubuntu variantā, līdzīgi kā uz MS Windows, tam izvēlas lietotāja tipu Administrator).
- Ja ir vēlme, lai lietotājs “skolens” nevar neko mainīt savā profilā, tad Ubuntu Linux gadījumā pēc instalācijas un konfigurācijas vispirms padarbina visas programmas, tad padara lietotāju profilu tikai lasāmu (chmod 0500), izņemot tās mapes kurās tas glabās dokumentus un attēlus, kā arī izņemot miskasti, pārlūkprogrammu u.c. keša un mainīgas informācijas mapes un autorizācijas failu (.local/share, .mozilla/firefox, .cache, .ICEauthority u.c.). Kaut arī šis uzdevums ir izpildāms, es uzskatu, ka skolas datoru instalāciju bojāšanas jautājums ir jārisina pedagoģiskiem, nevis tehniskiem līdzekļiem, lai gatavotu skolēnus reālajai dzīvei, kā, piemēram, nenožogo ar dzeloņdrātīm to sienu latviešu valodas kabinetā, uz kuras kāds kādreiz ir kaut ko nepiedienīgu uzrakstījis.
- Pilnībā sainstalētu darbstacijas datoru klonē ar CloneZilla (MS Windows gadījumā piemērotāks ir Norton Ghost) uz pārējiem datorklases datoriem un nomaina datora vārdu un IP adresi (ja nav DHCP). Jaunās Ubuntu Linux versijas ar Norton Ghost var klonēt tikai pa sektoriem, tātad uz identiska cietā diska, bet ar CloneZilla Linux var klonēt starp dažādu parametru cietajiem diskiem.
- Skolas Ubuntu Linux serverī (vai skolotāja darbstacijā) pieinstalē SAMBA dēmonu jeb servisu un izveido katram skolēnam savu kontu ar mājas mapi (noklusēti mapē /home) un uzliek mājas mapēm privātuma tiesības (vajag chmod 0700, noklusētās ir 0755, kas šim nolūkam neder). Mapes šārēšanu skolotāja darbstacijā vēlams veikt SAMBA konfigurācijas failā, nevis grafiskajāvidē, lai šāres nebūtu atkarīgas no tā, kurš lietotājs ir ielogojies pasniedzēja datorā. Savukārt uz servera grafisko vidi neliek un konfigurāciju veic vai nu teksta failos, vai Web interfeisā ar, piemēram, Webmin rīku. Tā kā Linux ir cita šāru tiesību ideoloģija nekā Windows, tad Linux serverī, piemēram, ieskaites darbu nodošanu optimāli nevajag organizēt uz mājas mapju šāres, bet tam izveidot atsevišķu šāri ar tādām īpašībām, ka skolēna iekopēto failu ne citi, ne viņš pats nevar atvērt, kopēt, rediģēt (ja pašam skolēnam atļauj rediģēt nodoto darbu, tad darbu nodošanas mape var būt uz /home mapes šares, bet tad pastāv risks, ka kāds skolēns savu lietotājvārdu pirms stundas nodevis citam un tādējādi notiek darba parauga izplatīšana).
- Skolēni datorā ielogojas ar ierobežotu tiesibu lietotājvārdu “skolens” un serverim (vai skolotāja datoram) pieslēdzas:
a) Ubuntu Linux darbstacijās – “Vietas/ Pieslēgties serverim” (vai ar speciālu skriptu), tad parādās logs, kurā skolēns ievada savu servera lietotājvārdu un paroli,
b) Microsoft Wondows darbstacijās – programmā “My Computer” lieto “Tools/ Map network drive” (var izmantot to pašu speciālo VB skriptu, ko veido, lai pieslēgtos Windows serverim).
- Visbeidzot pilnam nodrošinājumam skolas Ubuntu Linux serveri sakonfigurējam kā Web serveri (Apache, PHP, MySQL), optimāli šīs trīsvienības instalāciju ir veikt servera instalēšanas sākumā izvēloties, ka liksim LAMP serveri (tas netraucēs tam pievienot SAMBA). Nav jāuztraucas par to, ka skolas servera lietotāji noklusēti tiks glabāti kā Linux lietotāji teksta failos, jo mazām sistēmām līdz dažiem tūkstošiem lietotāju, kādas ir skolas, tas ir labs risinājums (nav obligāti sevi apgrūtināt ar SAMBA lietotāju glabāšanu MySQL vai citā datu bāzē). Tiem skolēniem, kas vēlas glabāt skolas serverī savas mājas lapas, veidojam otru loginu un tam piekļuvi pa ftp (lietotajam jberzins mājas lapas piekļuvei pa ftp izveidosim loginu wjberzins; tas netraucē viņa web mapi veidot kā otru mājas mapi /var/www/jberzins). Drošības nolūkos skolotāju loginus vajag ierakstīt ftp servisam aizliegto loginu sarakstā. Līdz ar to ir iegūts vienkāršs, efektīvs, ērts, ātrdarbīgs, mūsdienīgs un drošs risinājums bez sarežģītas lietotāju pārvaldības programmatūras apguves un lietojuma.
Tādējādi mēs redzam,ka skolā nav obligāti nepieciešams domēna kontrolieris, jo šā vai tā no tā iespējām parasti izmanto tikai pieslēgšanos failserverim, tad loģiskāk un būtiski vienkāršāk ir veidot tikai failserveri (Linux ar SAMBA servisu). Linux serveru ātrdarbība ir manāmi lielāka kā Windows serveriem, turklāt Linux serveri ir vīrusu droši un tiem /etc/hosts.deny un /etc/hosts.allow failos ir viegli un saprotami konfigurējamas ugunsmūra pamatfunkcijas (ar iptables var izveidot arī sarežģītu dinamisko ugunsmūri, kas gan skolas serverim reāli nav nepieciešams).
Ja tomēr ir vēlēšanās veidot Linux domēna kontrolieri, tad tas ir iespējams 3 veidos: a) domēna kontroliera funkcijas var konfigurēt SAMBA servisā (konfigurāciju viegli veikt ar Webmin), b) izmantot kompānijas Novell izstrādāto Suse Linux Enterprise maksas distribūciju, c) kā bezmaksas risinājumu Ubuntu Linux serveri papildināt ar kompānijas IBM izstrādāto 389 Directory Server (Fedora Directory Server pēctecis), d) iegādāties, apgūt un insatalēt Microsoft Windows Server 2008. Neraugoties uz šīm iespējām es priekšroku dodu lētākajam (bezmaksas) un vienkāršākajam risinājumam: Ubuntu Linux + SAMBA kādā no šīs kombinācijas piedāvātajām un šajā rakstā minētajām iespējām.
Rīgas Domes atbalstītā skolu APP projekta ietvaros 17 Ŗīgas informātikas skolotāji 2009.g. nov., dec. LU PPF izgāja Linux darbstaciju instalēšanas un administrēšanas 24 stundu kursus, pēc kuru beigšanas tie varēs ne tikai instalēt skolās Linux darbstacijas (ieskaitot divējādās sāknēšanas jeb dualboot sistēmu izveidi) un strādāt ar tām, bet arī izveidot SAMBA šāres, līdz ar to nodrošinot mūsdienīgu darbu skolas datortīklā.
Veiksmi darbā!
doc. Imants Gorbāns |
![[Valid RSS]](images/valid-rss.png "Validate my RSS feed")