Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
paedmlwindows:start [26.02.2011 12:49] Adreas Mayer [Installation von openschulportfolio auf dem paedML Windows Server (S1)] |
— (aktuell) | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== Installation von openSchulportfolio auf einem Server mit paedML® Windows ====== | ||
- | |||
- | <note warning>Anleitung ist gerade in Arbeit, bitte gedulden Sie sich noch etwas. Fertigstellung geplant bis 27.2.2011</note> | ||
- | |||
- | ===== Voraussetzung auf dem Server ===== | ||
- | |||
- | |||
- | * Auf dem Server muss eine PHP Installation verfügbar sein. Verwenden Sie hierzu ein möglichst ein vorgefertigtes msi Paket. Sie haben zwei Möglichkeiten (Stand Februar 2011): | ||
- | * Paket zur Installation der Raumbuchung MRBS auf dem Lehrerfortbildungsserver. [[http://lehrerfortbildung-bw.de/netz/muster/win2000/material/remote/raumbuchung/dateien/PHP-5.2.1.zip|Link]] | ||
- | * Paket zur Installation des Mediamanagers (verfügbar ca. ab April 2011 beim LMZ). | ||
- | |||
- | ===== Installation von openschulportfolio auf dem paedML Windows Server (S1) ===== | ||
- | |||
- | * Um openSchulportfolio auf einer paedML® Windows zu installieren, verwendet man das im [[downloads:start|Downloadbereich erhältliche zip-Paket von OSP]]. | ||
- | * Dieses wird auf dem Musterlösungsserver entpackt. Den Ordner ''portfolio'' kopiert man dann nach ''C:\Programme'', das ergibt dann ''C:\Programme\portfolio''. | ||
- | * Nun ersetzt man die beiden Dateien ''acl.auth.php'' und ''local.php'' aus dem Verzeichnis ''C:\Programme\portfolio\conf'' durch die aus dem ZIP Paket [[http://www.openschulportfolio.de/_media/dokumentation/conf_paedml_windows_install.zip|conf_paedml_windows_install.zip]] | ||
- | * Hintergrund: In der Datei ''acl.auth.php'' stehen die Zugriffsberechtigungen der verschiedenen Gruppen. Hier wird z.B. festgelegt, dass die Projektgruppe portfoliored (Redakteure des Portfolios) die zum Verfassen von Artikeln notwendigen Berechtigungen hat. Man sieht die Einstellungen im Adminbereich des Portfolios unter Zugangsverwaltung. Hier lassen sich auch einfach Änderungen vornehmen. | ||
- | * Hintergrund: In der Datei ''localh.php'' stehen wichtige Konfigurationseinstellungen des Portfolios. Diese Datei sollten Sie möglichst nicht direkt editieren, mit Ausnahme der unten dargestellten Änderungen. | ||
- | ==== Datei ''local.php'' anpassen ==== | ||
- | * Öffnen Sie die Datei ''local.php'' mit Wordpad oder z.B. notepad++ (verwenden Sie nicht den Windows Editor) | ||
- | * in der Zeile ''$conf['auth']['ad']['ad_password'] = 'muster';'' ersetzen Sie //muster// durch ein möglichst sicheres Passwort. Dieses Passwort geben Sie später einem neu anzulegenden Benutzer (//ldapabfrage//), unter dessen Account openschulportfolio eine LDAP Abfrage an das Active Directory ausführt. | ||
- | |||
- | |||
- | ===== Sicherheitseinstellungen und Webfreigabe ===== | ||
- | |||
- | Im jetzigen Zustand haben //Authentifizierte Benutzer// Leserechte auf den Ordner ''C:\Programme\portfolio''. Da im Portfolio auch vertrauliche Informationen stehen, sollen Schüler hierauf keinen Zugriff haben. Da Schüler zur Gruppe //Authentifizierte Benutzer// gehören, wird diese aus den Sicherheitseinstellungen entfernt und durch die Gruppe //G_Lehrer// ersetzt. | ||
- | |||
- | ==== Berechtigungen für Authentifizierte Benutzer entfernen und G_Lehrer hinzufügen ==== | ||
- | Die Berechtigungen auf den Ordner ''portfolio'' werden vom Programmverzeichnis vererbt. Bevor man die Gruppe //Authentifizierte Benutzer// entfernen kann, muss man diese Vererbung zuerst beenden. Hier das Vorgehen: | ||
- | * Rechtsklick auf ''portfolio'' => Sicherheit und Freigebe => Registerkarte Sicherheit => Erweitert | ||
- | * Haken entfernen bei //Berechtigungen übergeordneter Objekte auf untergeordnete Objekte, sofern anwendbar, vererben. Diese Objekte inklusive den hier definierten Einträgen mit einbeziehen.// | ||
- | * Im aufgehenden Fenster wählt man //Kopieren// und bestätigt dann mit //OK// | ||
- | * Jetzt entfernt man //Authentifizierte Benutzer//. | ||
- | * Nun fügt man die Gruppe ''G_Lehrer'' hinzu und belässt die voreingestellten Werte (Lesen/Ausführen, Ordnerinhalte auflisten, Lesen) | ||
- | * Im Unterverzeichnis ''data'' benötigen Lehrer zum Lesen Schreibrechte, als Redakteure an manchen Stellen sogar Vollzugriff. Um eine zu komplizierte Rechtevergabe zu vermeiden, erteilt man der Gruppe //G_Lehrer// Vollzugriff auf den Ordner ''data''. (Lehrer haben keinen direkten Zugriff auf dieses Verzeichnis, daher kann man diese Berechtigung geben) | ||
- | |||
- | ==== Webfreigabe erteilen ==== | ||
- | |||
- | Damit man per Browser auf Openschulportfolio zugreifen kann, muss auf diesen Ordner noch eine Webfreigabe erteilt werden: | ||
- | * Rechtsklick auf ''portfolio'' => Sicherheit und Freigebe => Registerkarte Webfreigabe | ||
- | * Aktivieren Sie //Diesen Ordner freigeben// und übernehmen Sie den vorgeschlagenen Namen ''portfolio''. Klicken Sie ''OK''. | ||
- | |||
- | |||
- | noch offen: | ||
- | |||
- | ===== Benutzer für LDAP Abfrage ===== | ||
- | |||
- | Openschulportfolio sendet eine LDAP Abfrage ans Active Directory. Hierfür werden die Benutzerdaten eines Benutzers der Domäne verwendet. Es wird empfohlen, hierfür einen neuen Benutzer namens ldapabfrage anzulegen. | ||
- | |||
- | * Erstellen Sie im Active Directory in der OU Users einen neuen Benutzer mit folgenden Einstellungen: | ||
- | * //Vollständiger Name// und //Benutzeranmeldename//: ''ldapabfrage'' | ||
- | * Kennwort: gleiches Kennwort, das Sie in der Datei local.php eingegeben haben | ||
- | * Kennwort läuft nie ab | ||
- | * kein Exchange Konto | ||
- | ===== Projektgruppen in der Schulkonsole ===== | ||
- | |||
- | Die Zugriffssteuerung auf das Portfolio erfolgt über die Zugehörigkeit zu Gruppen im Active Directory. | ||
- | |**Beschreibung**|**Name der Benutzergruppe im AD**|**Berechtigungen**| | ||
- | |//Alle// außer Lehrer|-|Kein Zugriff| | ||
- | |Lehrer|''G_Lehrer''|Lesen| | ||
- | |//Redakteure// = Projektgruppe ''portfoliored''|''g_projekt_portfoliored''|Artikel verfassen| | ||
- | |//Superuser// mit Adminrechten = Projektgruppe ''portfolioadm''|''g_projekt_portfolioadm''|Konfiguration| | ||
- | |||
- | Hierfür müssen Sie nun die zwei oben beschriebenen Projektgruppen über die Schulkonsole erstellen. Achten Sie auf die Schreibweise! Fügen Sie den Projektgruppen die gewünschten Lehrer hinzu. | ||
- | |||
- | * ''projektred'' | ||
- | * ''projektadm'' | ||
- | |||
- | ===== Sicherheitseinstellungen im IIS ===== | ||
- | |||
- | Betreibt man Openschulportfolio mit den bisherigen Einstellungen, erhält man gelegentlich einen Sicherhietshinweis, dass Unterverzeichnisse wie z.B. das ''data'' Verzeichnis nicht über das Web erreichbar sein sollten. [[https://www.dokuwiki.org/security]] | ||
- | |||
- | Um diese Hinweise umzusetzen, gehen Sie wie folgt vor: | ||
- | |||
- | * Öffenen Sie die den IIS über ''Start | Programme | Verwaltung | Inernetinformationsdienste-Manager'' | ||
- | * Öffnen Sie ''S1 | Websites | Standardwebsite | portfolio'' | ||
- | * Rechtsklick auf ''data | Eigenschaften'' | ||
- | * Registerkarte ''Verzeichnissicherheit'' | Einschränkungen für IP Adressen und Domänennamen ''Bearbeiten'' | ||
- | * Wählen Sie Zugriff verweigern | ||
- | * Wiederholen Sie den Vorgang für die Verzeichnisse ''conf, bin'' und ''inc''. | ||
- | |||
- | |||
- | |||
- | |||
- | |||
- | Diese Schritte stellen die Vorgehensweise stakt verkürzt dar, eine ausführliche Anleitung mit genaueren Hinweisen und Anmerkungen wird dankenswerterweise von Herrn Berber [[http://www.realschule-ehingen.de/index.php?menuid=77&reporeid=628|auf den Seiten der Realschule Ehingen bereitgestellt]]. | ||
- | |||
- | |||