Der zweite Versuch die Alteschbühlhöhle zu finden. Ich dachte, dass der Schnee an der Stelle geschmolzen sein könnte, an der nur Stangen den Eingang abdecken. Gefunden habe ich nichts – weder in den Dolinenfeldern im Wald noch um das Wäldchen herum. Der Schnee lag wohl zu dick – oder über den Stangen liegt schon so viel Humus, dass dieser isolierend wirkt und so das Schmelzen verhindert.
OSM mit Routenplaner
(C) Openstreetmap und Mitwirkende; https://www.openstreetmap.org/copyright
Openstreetmap enthält seit kurzem einen Routenplaner, der zumindest bei meinen ersten Tests, keinen totalen Blödsinn plant: OSM würde mich auf meine Standardstrecke nach Biberach ebenso schicken wie auf meine liebste Strecke nach Esslingen-Zell. Auch im näheren Umfeld scheint auf den ersten Blick alles zu passen.
(C) Openstreetmap und Mitwirkende; https://www.openstreetmap.org/copyright
Etwas wild scheint mir die Planung innerhalb von Stuttgart auf dem Weg zum KM zu sein: Einfacher wäre es hier, in die Kronenstraße einzubiegen und dann über die Lautenschlägerstraße zur Thouretstraße zu fahren. Ich muss mir die Daten einmal vor Ort ansehen – evtl. fehlen da ein paar Knoten auf der Karte.
(C) Openstreetmap und Mitwirkende; https://www.openstreetmap.org/copyright
Etwas verwunderlich für mich: Will man zu Fuß z.B. vom Öschinger Freibad zur Öschinger Klufthöhle, dann endet die Wegbeschreibung zusammen mit dem Weg. Man kommt also in die Nähe, aber nicht ans Ziel 🙂 Ein Phänomen, das mir gerade im Fall dieses Lochs wohl vertraut ist.
Im Moment ist die Routenplanung auf Start und Ziel beschränkt – Zwischenstops werden noch nicht unterstützt.
Mehr Infos bei OSM im Blog schon am 16/02.
Locale Probleme mit Dudle auf 14.04
Sollten sich bei einer Dudle Installation auf 14.04 die Apache error.logs mit Meldungen in der folgenden Art füllen
[cgi:error] [pid 20502] AH01215: /var/www/pfad/zu/dudle/vcs_git.rb:53:in `split': invalid byte sequence in US-ASCII (ArgumentError), referer: https://pfad.zu/dudle/ [cgi:error] [pid 20502] AH01215: \tfrom /var/www/pfad/zu/dudle/vcs_git.rb:53:in `history', referer: https://pfad.zu/dudle/ [cgi:error] [pid 20502] AH01215: \tfrom /var/www/pfad/zu/dudle/giykf19s/edit_columns.cgi:47:in `<main>', referer: https://pfad.zu/dudle/ [cgi:error] [pid 20502] End of script output before headers: edit_columns.cgi, referer: https://pfad.zu/dudle/
und Dudle einen bei der Eingabe von Worten mit Umlauten und / oder Ligaturen wieder auf seine Startseite werfen, dann hilft das Folgende: Zuerst ausschließen, dass man auf dem Server ein generelles Problem mit seinem locales hat. Es hilft ein
dpkg-reconfigure locales
Ein kontrollierender Blick in die folgenden Systemdateien sollte auch nicht schaden. Hier werden die Defaults gesetzt:
PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin" LC_ALL="de_DE.UTF-8" LANG="de_DE.UTF-8" /etc/environment (END)
und
LANG="de_DE.UTF-8" LC_ALL="de_DE.UTF-8" /etc/default/locale (END)
Ist hier alles in Ordnung, dann kann der folgende Eintrag in die dudle.rb helfen:
# /var/www/pfad/zu/dudle/dudle.rb # coding: utf-8 Encoding.default_external = Encoding::UTF_8 Encoding.default_internal = Encoding::UTF_8
Nach einigem Hin und Her haben mir vor allem diese Einträge bei stackoverflow geholfen auf die richtige Spur zu kommen.
Wer unter CentOS und damit ruby 1.8 arbeitet hat noch Glück: Der Fehler geht an einem vorbei, scheint demnach ein Ubuntu Server und ruby 1.9.x Problemchen zu sein.
Pydio auf LD-Server über HTTPS
Pydio wird vom LD-Server in einem LXC Container als Virtuallisierungsschicht mitgeliefert. Nur dumm, dass die gesamte Konfiguration des LD-Servers immer über Subdomains läuft, was den Einsatz eines günstigen Zertifikats für nur eine Domain unmöglich macht, will man nicht auf self-signed zurückgreifen. Self-signed verbietet sich jedoch im schulischen Umfeld für die Dienste, die alle nutzen können sollten, weil man so die LuL und SuS dazu erzieht, Zertifikatswarnungen nicht ernst zu nehmen. Meine Lösung verwendet nun einen Apache Reverse Proxy [1], um die interne Pydio Domain extern in einem Unterverzeichnis der SSL-verschlüsselbaren Schuldomain einzublenden. Damit das klappt, müssen der Reverse Proxy Pound des LD-Servers mit dem Reverse Proxy Apache und dem NGinx im LXC-Container in Reihe geschaltet werden. Das geht so:
1. Kontrollieren ob der Symlink auf /etc/apache2/sites-available/pydio in /etc/apache2/sites-enabled weg ist (die Konfiguration findet an anderer Stelle statt).
2. In der /etc/apache2/sites-enabled/000-default die folgenden Einträge in den Abschnitt für VirtualHost * und auch in den Abschnitt für VirtualHost *:443 vornehmen:
ProxyRequests Off
<Proxy *>
Order allow,deny
Allow from all
</Proxy>
ProxyPass /pydio http://pydio/
ProxyPassReverse /pydio http://pydio/
3. In der /etc/logodidact/service.conf Pydio für die Domain, die man schon mit SSL versorgt, einschalten:
[Pydio] Host sub.domain.tld Alias pydio.sub.domain.tld AllowExternalHTTPS yes URL sub.domain.tld/pydio RedirectExternalHTTP https://sub.domain.tld/pydio
4. Die beteiligten Dienste neu starten:
ldfirewall restart update_pound_config -r /etc/init.d/apache2 restart
Ein
host pydio
auf dem LD-Server muss eine Antwort liefern, sonst braucht man nicht weiterforschen, sondern muss die DNS Probleme in den Griff bekommen. Auch ein
links2 http://pydio links2 https://pydio # weniger relevant, s.U.
sollte Ergebnisse liefern – mindestens eine Zeile HTML Code sollte zu sehen sein, mehr schafft links2 nicht, weil es kein JavaScript kann.
Der Aufruf von Pydio funktioniert dann reibungslos, wenn man den „trailing slash“ im URI zu Pydio nicht vergisst. Ohne diesen sieht man nur ein leeres Fenster. Alle Links für die Kolleg/innen und Schüler/innen sollten also so aussehen:
https://sub.domain.tld/pydio/
Jetzt funktioniert das Setup durchgehend ohne Zertifikatswarnungen und zumindest bis zum internen Reverse Proxy Pound auch verschlüsselt.
Wie und ob Pound dann dem Apache Reverse Proxy (als Übersetzer zwischen Internet und virtueller Pydio Maschine m LXC Container) die Daten verschlüsselt weiterreicht habe ich nicht geprüft. Ich vermute aber, auf Grund der Konfiguration, dass dem nicht so ist. Das sollte aber kein Problem darstellen, da an diesen Datenstrom nur root direkt auf dem Server rankommt.
Zu empfehlen ist eine Konfiguration von Pydio durch den Benutzer admin. Auf Pydio ist dieser mit den nötigen Rechten ausgestattet, weil der LXC Container über LDAP am LD-Server hängt. Hier sollte man alles abschalten was geht – vor allem die Funktionen zum unbegrenzten Teilen per Link und ohne Passwort. Denn: LD stellt Pydio extrem offen zur Verfügung. So offen, dass man aus Urheberrechts- und Datenschutzsicht Einschränkungen vornehmen muss, will man seine Schule und Schüler nicht ausliefern.
Weiter ist die Pydio Installation auch komplett veraltet (Version 5.0.4 – aktuell ist 6). Damit muss man wohl leben bei dieser Schulserverlösung. Deren Marketingabteilung wird das Konzept sicherlich als „bewährte Software“ verticken. Auf den bekannteren Exploit-DBs fand ich aktuell aber nichts, was Skript-Kiddies auf die Schnelle gegen Pydio einsetzen könnten.
Ratte 3
Lewin hat sich zu Weihnachten eine Madcatz Mad Catz R.A.T.3 Mouse besorgt. Die wollte aber an seinem Rechner nicht funktionieren. Je nachdem, wann man sie einsteckte, funktionierte sie zuerst wie jede andere Maus auch – dann aber bald überhaupt nicht mehr. Zickig war vor allem die linke Maustaste.
Eine Recherche im Netz brachte immer wieder den Tipp, in die xorg.conf Einträge zu dieser Maus vorzunehmen [1, 2]. Das ist im Prinzip auch richtig, passt aber auf Lewins Rechner nicht, weil er Dank proprietärem Nvidia-Treiber schon eine ausgewachsene /etc/X11/xorg.conf hat, die bei den vorgeschlagenen Erweiterungen den X-Server am Start hindern. Copy and Paste nach Online-Anleitung half ihm demnach nicht weiter.
Das folgende Vorgehen brachte die Maus zu Laufen und X wurde nicht behindert: Mit xinput wird der exakte Name der Maus ausgelesen, damit die MatchProduct Zeile (siehe unten) später funktioniert:
dirk@lewin:~$ xinput
? Virtual core pointer id=2 [master pointer (3)]
? ? Virtual core XTEST pointer id=4 [slave pointer (2)]
? ? Madcatz Mad Catz R.A.T.3 Mouse id=11 [slave pointer (2)]
? ? AlpsPS/2 ALPS DualPoint TouchPad id=13 [slave pointer (2)]
? ? DualPoint Stick id=14 [slave pointer (2)]
? Virtual core keyboard id=3 [master keyboard (2)]
? Virtual core XTEST keyboard id=5 [slave keyboard (3)]
? Power Button id=6 [slave keyboard (3)]
? Video Bus id=7 [slave keyboard (3)]
? Power Button id=8 [slave keyboard (3)]
? Sleep Button id=9 [slave keyboard (3)]
? Laptop_Integrated_Webcam_3M id=10 [slave keyboard (3)]
? AT Translated Set 2 keyboard id=12 [slave keyboard (3)]
? Dell WMI hotkeys id=15 [slave keyboard (3)]
Unter Kubuntu 14.04 wird sodann die Datei /usr/share/X11/xorg.conf.d/50-vmmouse.conf überarbeitet:
#Section "InputClass"
# Identifier "vmmouse"
# MatchIsPointer "on"
# MatchTag "vmmouse"
# Driver "vmmouse"
#EndSection
Section "InputClass"
Identifier "Mouse Remap"
MatchProduct "Madcatz Mad Catz R.A.T.3 Mouse"
MatchDevicePath "/dev/input/event*"
Option "ButtonMapping" "1 2 3 4 5 6 7 8 9 0 0 0 0 0 0"
EndSection
Die /etc/X11/xorg.conf bleibt demnach unangetastet.
Den Rechner einmal neu gebootet (evtl. reicht auch ein Neustart des X-Servers), eingeloggt, erst dann die Maus angesteckt, damit X eine Chance hat, den event zu registrieren, und sie funktioniert.
Wozu Lewin 14 Tasten auf ner Maus benötigt? Ich weiß es nicht. Ist aber sein Problem.
LDAPs von ownCloud auf LD-Server
Nicht nur die Anbindung des LD-Servers an eine externe DokuWiki Installation, sondern auch an ein externes ownCloud funktioniert über LDAPs und lässt sich wie folgt einrichten:
Der erste Schritt ist vom OC-Administrator vorzunehmen, der im Backend die LDAP App einschalten muss. Weiter muss auf dem ownCloud-Server auch php5-ldap installiert sein und in der folgenden Datei die Prüfung auf Zertifikate abgeschaltet werden, wenn man intern auf dem LD-Server für den eigenen LDAP nur selbst-signierte Zertifikate einsetzt (was in den meisten Fällen zutreffen dürfte – leider):
# /etc/ldap/ldap.conf TLS_REQCERT allow
Als OC-Administrator lässt sich dann unter dem Menü-Eintrag /Administration die restliche Konfiguration vornehmen.
In der Server-Registerkarte ist die URL (besser: IP) für den LD-Server zu hinterlegen. Danach klickt man einmal in Benutzer-DN, trägt aber nix ein, klickt einmal in Passwort, trägt aber nix ein und schreibt dann die DN Angaben in das letzte Feld. Bei BelWü-Kunden dürfte es sich hierbei um einen Eintrag in der folgenden Form handeln:
dc=schulkuerzel,dc=stadt,dc=schule-bw,dc=de
Dann klickt man auf Fortsetzen – wie auch bei allen anderen folgenden Registerkarten.
In der Nutzer-Filter-Registerkarte sollte inetOrgPerson vorausgewählt sein und ownCloud auch gleich alle internen Benutzer (und Workstations etc.) finden. Im Bild oben sind dies 1008 Benutzer. Das sind etwas viele, die sich anmelden dürften, weswegen man Beschränkungen vornehmen sollte. Im Folgenden beschränke ich die Nutzung für die Gruppe der Lehrer/innen.
Die Beschränkung erfolgt schon bei der Anmeldung: Nur Mitglieder der Gruppe teacher werden akzeptiert. Die entscheidende Funktion wird durch vorauswählbare Einträge nicht scharf schaltbar, weshalb man selbst den Original-Filter bearbeiten muss, so dass dieser am Ende wie folgt aussieht:
(&(|(objectclass=inetOrgPerson))(|(ldRole=teacher))(|(uid=%uid)(|(mailPrimaryAddress=%uid)(mail=%uid))(|(cn=%uid))))
Hinzugefügt wurde in die Voreinstellungen ein
(|(ldRole=teacher))
Der Gruppen-Filter von ownCloud bezieht sich nämlich nicht auf die Benutzerrechte im Anmeldekontext, sondern lediglich auf das Recht, innerhalb von ownCloud Gruppen bilden zu dürfen.
Was bei der Arbeit auf jeden Fall hilft, ist einmal auf dem LD-Server mit tshark zu gucken, ob überhaupt LDAPs Anfragen ankommen.
tshark -i extern port 636
Weiter macht es Sinn mit
tail -f /var/www/owncloud/data/owncloud.log
zu verfolgen, was alles bei den Anmeldeversuchen schief läuft. Man braucht mindestens einen Lehreraccount und einen Schüleraccount zum Testen – sonst wird man irre. Auch darf man damit rechnen, dass man mehrfach
service apache2 restart
auf dem ownCloud Server benötigt, weil sich dieser an den Einstellungen verschluckt hat. Das kann man gut in der owncloud.log verfolgen: Sollte diese im Sekundenabstand mit Zeilen gefüllt werden, die ungefähr diese Angaben enthalten, dann ist es mal wieder Zeit für einen Apache Restart und einen erneuten Versuch im OC-Backend:
{"app":"user_ldap","message":"Configuration Error (prefix ): Not a single Base DN given.","level":2,"time":"2014-12-19T16:50:15+00:00"}
{"app":"user_ldap","message":"Configuration Error (prefix ): login filter does not contain %uid place holder.","level":2,"time":"2014-12-19T16:50:15+00:00"}
Wer das alles für seine Linuxmuster.net Lösung haben will, wird im Wiki fündig. Wie immer sind die freien Schulserver-Lösungen bei der Dokumentation von Sonderwünschen und Erweiterungen vorbildlich.
SSL, Apache, Komfort und Sicherheit III
Der Weg zu einem A-Rating bei SSL-Labs ist steinig. Wie hier und da und dort schon geschrieben: Kompatibilität und Sicherheit lassen sich mit den folgenden Zeilen in der ssl.conf des Apache ganz ordentlich verwirklichen:
SSLHonorCipherOrder on SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
wenn man den Key richtig erstellt hat – z.B. damit:
openssl req -new -nodes -sha256 -keyout server.key -out server.csr -newkey rsa:4096
Was SSL Labs dann noch zu mockieren hatte, war die Key Chain, die unsichere Elemente enthielt und zum folgenden Rating führte:
Die Keychain lässt sich jedoch einfach umbauen: Ein
wget https://www.startssl.com/certs/class1/sha2/pem/sub.class1.server.sha2.ca.pem
holt die intermediären Zertifikate im richtigen Format an Bord. Und die folgenden Zeilen in der Apache default-ssl.conf
SSLCertificateChainFile /etc/apache2/ssl/startssl/sub.class1.server.sha2.ca.pem SSLCACertificateFile /etc/apache2/ssl/startssl/ca.pem # unverändert
zusammen mit einem
service apache2 restart
schalten diese scharf. Dann erreicht man das folgende Rating bei SSL Labs:
Hinweise und Links hier im StartSSL Forum.
In den Weihnachtsferien kommen dann die anderen Domains mit dickeren Keys dran. Bis dahin ist schlicht Land unter und außerdem muss ich bei StartSSL warten, bis das Zertifikat fast abgelaufen ist, will ich keinen revocation Prozess beginnen, der teuer ist.
Duplex mit LO und HL 5250DN
Vier Seiten später hab ich endlich rausgefunden, wie ich meinen Brother HL 5250-DN dazu bringe aus LibreOffice heraus Duplex zu drucken.
Das Häkchen bei „Sortieren“ darf drin bleiben.
Ein kontrollierender Blick auf die „Eigenschaften“ des Druckers zeigt, ob Duplex aktiviert wurde.
Long Edge ist der Standard und damit funktioniert es auch. Denn: Entscheidend ist die folgenden Einstellung für den Druck:
Im Druckdialog von LibreOffice muss in der Registerkarte „Optionen“ ein Haken bei „Einzelne Druckaufträge für sortierte Ausgabe erzeugen“ gesetzt sein.
Dudle auf 14.04
Der Dienst Dudle ist datenschutzrechtlich eine saubere Alternative zu Doodle, das zwar in der Schweiz zu Hause ist, jedoch Google Analytics einsetzt und die Benutzer mit Werbung bewirft. Außerdem ist die Verwendung von Doodle für Beamte in Baden-Württemberg schlicht verboten.
Die Installation ist kein Zuckerschlecken, geht aber insgesamt dann doch eher freundlich als kompliziert über die Bühne. Das ganze Gefrickel lohnt nur dann, wenn man eine HTTPS Verschlüsselung für die eigenen Seiten schon am Laufen hat – wenn nicht, dann verwendet man besser den Dienst der TUD direkt.
Es kann durchaus sein, dass ich im folgenden ein paar Pakete zu viel an Bord hole – das mag dann bitte jeder selbst für sich prüfen. Außerdem kann es sein, dass einige Pakete nicht installiert wurden, weil diese auf meinem Zielsystem schon vorhanden waren. Anyway – so ging’s bei mir:
apt-get install bzr libgettext-rails-ruby1.8 potool make libgettext-rails-ruby ruby-gettext gettext
Bei mir kamen hierbei die Pakete ruby1.9.1-dev ruby-dev schon mit an Bord und auch die Symlinks von ruby auf ruby1.9.1 wurden eingerichtet.
cd /var/www/ # oder wo auch immer dudle später hin soll
Ein simples bzr branch https://dudle.inf.tu-dresden.de/ dudle bewirft den Benutzer mit Fehlermeldungen. So will es dann klappen:
bzr -Ossl.cert_reqs=none branch https://dudle.inf.tu-dresden.de/ dudle
Das Verzeichnis /var/www/dudle wird mittels des Befehls angelegt, gehört aber erst einmal root, was wir nicht wollen.
chown -R www-data.www-data dudle/ cd dudle/ cp -p config_sample.rb config.rb
In die .htacces im Stammverzeichnis von Dudle sollte man bei der Nutzung von Ruby 1.9.1 (also auf einem 14.04 Server) hinzufügen:
SetEnv RUBYLIB /var/www/dudle/
Geschieht dies nicht, dann wirft Dudle Fehlermeldungen in die Apache error.log, die darauf hindeuten, dass Dudle seine Ruby Dateien nicht findet.
Wir holen uns noch die Sprachpakete für Dudle an Bord:
for i in locale/??; do wget -O $i/dudle.mo https://dudle.inf.tu-dresden.de/locale/`basename $i`/dudle.mo ; done
Die folgenden Schritte integrieren Dudle in den Webserver:
a2enmod auth_digest
Dann die Sitekonfiguration des Apachen bearbeiten – das könnte je nach System z.B. in die folgende Datei sein: /etc/apache2/sites-available/default-ssl.conf
Alias /dudle /var/www/dudle
<Directory /var/www/dudle>
Options +ExecCGI
AllowOverride All
Order allow,deny
Allow from all
</Directory>
Nachdem die Voraussetzung nun geschaffen sind, Dudle zu installieren, kann der Compiler im Verzeichnis /var/www/dudle angeworfen werden:
make
In den hier auftauchenden Fehlermeldungen (eigentlich sollten keine mehr kommen – die obigen Schritte integrieren alles, was ich habe lernen müssen) kann man sehen, was Dudle noch fehlt. Zumindest so ungefähr. Meistens, so musste ich erfahren, hilft nur eine Suchmaschine weiter, weil die Ruby-Fehlermeldungen etwas kryptisch für mich waren.
Ging alles glatt – den Apachen neu starten:
service apache2 restart
Der Rest ist Anhübschungskram – z.B. durch Anpassung der Dateien im Verzeichnis dudle/css. Empfehlenswert ist das folgende Stylesheet:
wget https://dudle.inf.tu-dresden.de/css/TUD2.css wget https://dudle.inf.tu-dresden.de/css/tud/logo.png
Ich hab dann noch das Logo ausgetauscht, die Rechte wieder angepasst und beschlossen, dass nun erst einmal alles gut ist.
Dudle legt neue Abfragen im Stammverzeichnis /dudle/ unter jeweils recht kryptisch anmutenden Namen als Ordner an, die alle Umfragedaten (Benutzer, Passwörter derselben, Zeiten etc.) enthalten. Die Passwörter landen gehashed in .htdigest Dateien.
Meine Schule wäre versorgt – andere können den Dienst bei der TUD (Link siehe oben) oder auch gerne das Dudle auf dem Lehrerforbildungsserver nutzen:
https://lehrerfortbildung-bw.de/dudle/
Bei Problemen nach der Eingabe von Umlauten oder Ligaturen in die Dudle Felder: hier weiterlesen.
SSH trouble
Schlichte Meldung meines Clients beim ersten Anmeldeversuch:
Received disconnect from host ... Too many authentication failures for ...
Mein erster Versuch war in .ssh/config mit einer Veränderung ServerAliveInterval und ServerAliveCountMax zum Erfolg zu kommen, aber als es mit
ServerAliveInterval 30 ServerAliveCountMax 10
immer noch nicht klappen wollte, war auch mir klar, dass die Ursache an einer anderen Stelle zu suchen sein muss. Schließlich kam die Verbindung überhaupt nicht zustande. An den Alive-Werten zu spielen macht demnach keinen Sinn.
Die Ursache für das Verbindungsproblem ist, dass ssh zuerst jeden DSA/RSA identity file in .ssh/ durchprobiert, bevor es am Ende auf den default password authentication zurückfällt.
Wenn jedoch auf Serverseite der SSHD nach 5 Verbindungsversuchen (das scheint der default unter Ubuntu zu sein) dicht macht, lokal aber mehr als 5 ID Dateien vorhanden sind … läuft man vor die Wand. Die Lösung ist einfach: Man teilt SSH mit, dass man ohne ID Datei verbinden will:
ssh -o PubkeyAuthentication=no user@host
und dann klappt es.