Konfiguration zur Integration eines Schulservers/ Domain Controllers

Was ist ein Schulserver?

Je nachdem, welche(s) TIME for kids Lösungspaket(e) Sie verwenden und wie Ihr Schulnetzwerk strukturiert ist, ergeben sich folgende Aufgaben zum Anbinden Ihres Schulservers.

Die folgenden Anbindungsmöglichkeiten und Schnittstellenkonfigurationen können, wenn nicht anders angegeben, mit allen TIME for kids Lösungspaketen vorgenommen werden.

Hilfe zur Selbsthilfe finden Sie im Bereich “Hallo Support”.

TIME for kids IDM-Connector mit Benutzerverwaltung verbinden

Welchen DHCP möchte ich einsetzen?

Standardmäßig verfügen Schulserver in Ihrer Rolle als Domain Controller über die DHCP-Server-Funktion. Beim Einsatz des Schulrouter Plus empfehlen wir Ihnen die DHCP-Funktion des Schulrouter Plus zu nutzen.

Folgendes ist abhängig von Ihrer Entscheidung bzgl. des DHCP-Servers zu beachten:

Auswahl 1: DHCP-Server des Schulservers/ Domain Controllers

Die Lösungspakete “Mobiles Lernen” und “Netzwerksicherheit” verfügen beide über die Funktion einer transparenten Webseitenfilterung von HTTP- und HTTPS-Seiten. Damit diese Funktion genutzt werden kann, müssen Sie in Ihrem DHCP-Server den Gateway für die Endgeräte ändern.

Auswahl des Gateways

• Schulfilter Plus mit dem Lösungspaket “Mobiles Lernen”

  • Wie in der “Anleitung Schulfilter Plus mit dem Lösungspaket Mobiles Lernen” im Bereich der Netzwerk-Konfiguration beschrieben, gibt es eine interne Schnittstelle für den Zugriff aus dem Schulnetz. Die von Ihnen konfigurierte IP-Adresse für den Schulfilter Plus verwenden Sie als Gateway für die Endgeräte.

• Schulrouter Plus mit dem Lösungspaket “Netzwerksicherheit”

  • Der Schulrouter Plus verfügt über verschiedene Sicherheitszonen. Jede Sicherheitszone verfügt über eine aus der jeweiligen Sicherheitszone ansprechbaren IP-Adresse. Als Gateway für die Endgeräte verwenden Sie die Schulrouter Plus IP der Sicherheitszone, in der sich auch die Endgeräte befinden.

Auswahl 2: DHCP-Server des Schulrouter Plus

Sie müssen diesen Punkt nur beachten, wenn Sie das Schulrouter Plus mit dem Lösungspaket “Netzwerksicherheit” einsetzen.

Wollen Sie den DHCP-Server des Schulrouter Plus verwenden, so sollte kein weiterer DHCP-Server in der entsprechenden Sicherheitszone betrieben werden.

Alle Endgeräte, die eine IP-Adresse vom DHCP-Server des Schulrouter Plus erhalten, bekommen automatisch den Schulrouter Plus als Gateway.

Meine Konfiguration der Firewall im Schulrouter Plus

Sie müssen diesen Punkt nur beachten, wenn Sie das Schulrouter Plus mit dem Lösungspaket “Netzwerksicherheit” einsetzen.

Ausgehender Datenverkehr

Soll ein Zugang zu externen Diensten, Anwendungen oder Domains für Ihren Schulserver sichergestellt werden, so können Sie dies in der Firewall “Ausgehender Datenverkehr” im Schulrouter Plus definieren.

Verwenden Sie dort die IP des Schulservers als Quelle und schalten Sie nicht mehr frei, als benötigt wird.

Nähere Informationen hierzu finden Sie im Handbuch unter “Ausgehender Datenverkehr”.

Eingehender Datenverkehr

Es gibt Schulserver, die von außen aufgerufen werden können, zum Beispiel über HTTPS. Hierfür müssen ggf. Portweiterleitungen eingerichtet werden. Die entsprechenden Ports leiten Sie an die IP des Schulservers weiter. Welche Ports weitergeleitet werden müssen, entnehmen Sie den Dokumentationen des jeweiligen Schulserverherstellers.

Nähere Informationen hierzu finden Sie im Handbuch unter “Portweiterleitung”.

Interner Datenverkehr

Sollte der Schulserver in einer anderen Sicherheitszone stehen, als die Endgeräte, so müssen Sie hier alle relevanten Zugriffe vom Schulserver und zum Schulserver freigeben, zum Beispiel HTTPS zum Erreichen der Weboberfläche.

Nähere Informationen hierzu finden Sie im Handbuch unter “Interner Datenverkehr”.

Meine Konfiguration des DNS auf den Endgeräten sowie im Schulserver und wahlweise im Schulrouter Plus

Die Konfiguration des DNS auf den Endgeräten sorgt dafür, dass die gewünschte Zusammenarbeit zwischen dem Schulfilter Plus, dem Schulrouter Plus und meinem Schulserver möglich ist. Wir empfehlen Ihnen den Auswahl 1 umzusetzen.

Schulfilter Plus mit dem Lösungspaket “Mobiles Lernen”

Die von Ihnen konfigurierte IP im Schulfilter Plus mit dem Lösungspaket “Mobiles Lernen” verwenden Sie als DNS für die Endgeräte.

Schulrouter Plus mit dem Lösungspaket “Netzwerksicherheit”

Auswahl 1 (empfohlen)

Als DNS für die Endgeräte verwenden Sie im DHCP-Server die Schulrouter Plus IP der Sicherheitszone, in der sich auch die Endgeräte befinden. Damit die Namensauflösung in Ihrer internen Domäne weiterhin funktioniert, tragen Sie in der WAN-Verbindung auf dem Schulrouter Plus als ersten DNS die IP-Adresse Ihres Schulservers ein. In diesem Fall müssen Sie zwingend als zweiten DNS-Server einen externen DNS-Server eintragen, z.B. den Provider.

Nähere Informationen hierzu finden Sie im Handbuch unter “WAN-Verbindungen”.

Vorteil: Auf diesem Weg müssen die Netzwerkeinstellungen Ihres Schulservers nicht geändert werden. Lokale DNS-Einstellungen durch auf dem Schulserver eingetragene lokale DNS-Server oder DNS-Server aus einem Rechenzentrum haben somit weiter Bestand.

Auswahl 2

Eine andere Möglichkeit ist, den Schulserver (weiterhin) als DNS für die Endgeräte zu verwenden und in dessen WAN-Verbindung den Schulrouter Plus als einzigen DNS anzugeben.

Wenn Sie lokale DNS-Server oder DNS-Server aus einem Rechenzentrum verwenden, die Sie durch den DNS des Schulrouter Plus austauschen müssten, so ist dieser Weg nicht zu empfehlen.

Meine unterschiedliche Konfiguration des Proxys bei mobilen und stationären Endgeräten sowie im Schulserver und wahlweise im Schulrouter Plus

Vorteile der transparenten Filterung bei mobilen Endgeräten mit dem Schulfilter Plus

Der Schulfilter Plus verhält sich gegenüber den Endgeräten nahezu unsichtbar, weswegen man die Filterung der Webseiten als “transparent” bezeichnet. Sie müssen am Endgerät nichts einstellen, alle aufgerufenen Webseiten werden vom Schulfilter Plus geprüft. Dieser Weg wird gerade für mobile Endgeräte (z.B. BYOD) in Ihrem Schulnetzwerk empfohlen. Bei Rechner aus dem Schul-LAN, die Mitglied Ihrer lokalen Schuldomäne sind, empfiehlt es sich mit eingetragenem Proxy im Browser zu arbeiten, wie unter “Authentifizierung” auf dieser Seite beschrieben.

Läuft der Datenverkehr von und zum Internet über den Schulfilter Plus, weil zum Beispiel die Endgeräte über DHCP die IP des Schulfilter Plus bzw. des Schulrouter Plus als Gateway erhalten haben, müssen Sie am Endgerät keinen Proxy eintragen, denn die Webseitenfilterung erfolgt transparent für HTTP und HTTPS.

Konfiguration der transparenten Filterung im Schulrouter Plus

Der Schulrouter Plus bieten eine Zugriffssteuerung der einzelnen Sicherheitszonen auch beim Proxy an. Damit der Schulserver auch über den Proxy erreichbar ist, erstellen Sie im Schulrouter Plus entsprechende Zugriffsrichtlinien.

Nähere Informationen hierzu finden Sie im Handbuch unter “Zugriffsrichtlinien”.

Aktivierung der transparenten Filterung im Schulrouter Plus

Die transparente Filterung wird im Bereich “Proxy” aktiviert. Durch die Aktivierung des transparenten Proxys für HTTP-Seiten wird auch die transparente Filterung von HTTP und HTTPS-Seiten für die gewählten Sicherheitszonen aktiviert.

Nähere Informationen hierzu finden Sie im Handbuch unter “Aktivierung”.

Beachten Sie bitte, dass für alle Sicherheitszonen, bei den Sie die transparente Filterung aktiviert haben, eine Freigabe in der Firewall ”Ausgehender Datenverkehr” für den ausgehenden TCP-Port 443 (HTTPS) erstellt werden muss.

Nähere Informationen hierzu finden Sie im Handbuch unter “Ausgehender Datenverkehr”.

Vorteile der Authentifizierung statt transparente Filterung bei stationären Endgeräten mit dem Schulfilter Plus

Wenn Sie den vollen Umfang des Schulfilter Plus auch für Ihre Endgeräte im Schul-LAN nutzen möchten, so benötigen Sie die Authentifizierung am Proxy. Ein Beispiel hierfür ist der Web-Manager für Lehrkräfte. Wenn ein Lehrer einer Klasse im Unterricht Seiten freigeben möchte, und die Schüler sitzen an stationären Endgeräten (z.B. Computerraum), so können seine Einstellungen nur wirksam sein, wenn dem Proxy die Benutzernamen bekannt sind. Natürlich ist eine Filterung auf IP-Gruppen in diesem Fall auch möglich aber stationäre Geräte erhalten oftmals ihre IP per DHCP und diese kann sich ändern.

Ein weiterer Aspekt ist die Nachweisbarkeit. Im Ernstfall kann man nur so nachweisen, welcher Schüler oder Lehrer beispielsweise eine Webseite mit illegalen Aktivitäten aufgerufen hat. Für diesen Fall sollten man auch unbedingt die Protokollierung im Schulfilter Plus aktivieren.

Konfiguration des Schulfilter Plus und Schulrouter Plus

Der Schulfilter Plus hat einen eigenen Proxy an dem Sie Einstellungen vornehmen können. Diese entfallen, wenn Sie den Schulrouter Plus in Kombination mit dem Schulfilter Plus einsetzen. Dann machen Sie nur Eintragungen am Proxy im Schulrouter Plus.

Auswahl 1 (Schulfilter Plus)

Sie können die VM des Schulfilter Plus oder Schulrouter Plus Ihrer lokalen Domänen hinzufügen, um eine Authentifizierung am Proxy zu ermöglichen.

Nähere Informationen erhalten Sie hier:

• Anleitung Schulfilter Plus mit dem Lösungspaket Mobiles Lernen

• Anleitung Schulrouter Plus mit den Lösungspaketen Netzwerksicherheit und Mobiles Lernen

Auswahl 2 (Schulrouter Plus in Kombination mit Schulfilter Plus)

Beachten Sie, dass für ein Single-Sign-On der Windows-Endgeräte am Proxy auch noch Einstellungen am Endgerät selbst vorgenommen werden müssen. Diese Einstellungen können in einer Windows-Domäne auch über Gruppenrichtlinien verteilt werden.

Nähere Informationen hierzu erhalten Sie unter:
Netzwerksicherheit: LAN Manager-Authentifizierungsebene

Aktiviert man für eine Sicherheitszone die integrierte Authentifizierung, so kann auf dieser Sicherheitszone nicht transparent gefiltert werden. Da es sich hierbei um Domain-Clients handelt, kann ein Proxyeintrag per Gruppenrichtlinie verteilt werden.

Proxykette

Wenn Sie den Proxy des Schulservers als primären Proxy für Ihre Endgeräte benötigen, damit Sie alle Funktionen des Schulservers weiterhin nutzen können, so sollte eine Proxykette eingerichtet werden, damit Sie auch alle Funktionen der TIME for kids Lösungspakete nutzen können.

Die Einrichtung eine Proxykette sollte von IT-Administratoren vorgenommen werden, da diese häufig nicht über Benutzeroberflächen einzustellen ist.

Bespielhafte Einrichtung einer Proxykette mit Squid-Proxys

Konfiguration des Schulserver

Auf dem Schulserver wird in der Squid-Konfiguration folgendes eingetragen:

cache_peer [TFK-IP] parent [TFK-Proxy-Port] 7 no-query default
never_direct allow all

[TFK-IP] = IP des Lösungspaketes bzw. der entsprechenden Sicherheitszone des Schulrouter Plus

[TFK-Proxy-Port] = Beim Schulfilter Plus ist dieser Port 3128, beim Schulrouter Plus standardmäßig 800

Danach startet man den Squid-Proxy neu.

Konfiguration des Schulrouter Plus und Schulfilter Plus

Diese Änderung sollte durch TIME for kids Mitarbeiter des Service und Supports vorgenommen werden!

In der Squid-Konfiguration (squid.conf) bzw. im Template der Konfiguration (squid.conf.tmpl) müssen folgenden Zeilen im Bereich der ACLs eingetragen werden:

acl SchulserverIPforward src [Schulserver-IP]
follow_x_forwarded_for allow SchulserverIPforward 

[Schulserver-IP] = IP des Schulservers

Schulfilter Plus

Freigabe des Schulservers über Adresslisten

Ist Ihr Schulserver über den Browser über eine Domain (z.B. meineschule.de) erreichbar, so muss der Schulserver bzw. die Domain des Schulservers in den globalen Adresslisten des Schulfilter Plus ggf. freigegeben werden.

Nähere Informationen erhalten Sie hier.

Wird die Domain des Schulservers (z.B. meinsschule.de) nur lokal aufgelöst, so ist diese Einstellung nicht notwendig, da lokale IPs generell vom Schulfilter Plus freigegeben sind.